Il prossimo 7 marzo scadrà il termine ultimo per l’adozione delle nuove regole imposte dal Digital Markets Act, la legge europea nata con l’intenzione di rendere più aperte e competitive le grandi piattaforme digitali. Nel caso di Apple le novità più importanti riguardano iOS: a partire dalla versione 17.4, in arrivo con ogni probabilità martedì 5, gli utenti residenti nei paesi dell’Unione Europea potranno installare le app tramite Store alternativi a quello ufficiale.
L’annuncio del primo App Store alternativo (con l’abbonamento)
Chi si aspettava l’immediata esplosione di alternative all’App Store rimarrà deluso. Finora soltanto MacPaw, nota azienda di sviluppo software ucraina, ha annunciato di aver aderito alle procedure messe a punto da Apple per ottemperare al DMA. La software house porterà su iPhone il servizio di abbonamento Setapp Mobile, una sorta di Netflix delle applicazioni cui gli utenti possono accedere con un abbonamento mensile di circa 10 euro. Setapp, che ad oggi è già disponibile su Mac, arriverà in versione beta ad aprile e offrirà un assortimento di utility, app per il business e altri software per la produttività, il design e la creatività.
La scelta di MacPaw è significativa in particolare perché l’adesione alle nuove regole per il DMA è una strada a senso unico: Apple prevede infatti che gli sviluppatori che adotteranno percorsi alternativi all’App Store in futuro non potranno distribuire le app attraverso il canale ufficiale gestito dall’azienda. Non solo: per le applicazioni con più di un milione di installazioni all’anno Apple impone un emolumento di 50 centesimi per app installata, una “Core Technology Fee”. La misura, dicono da Apple, è un compenso per l’uso intensivo degli strumenti di sviluppo software e distribuzione delle app messi a disposizione di tutti gli sviluppatori.
Il rapporto: i rischi per gli utenti
Nel frattempo, in vista dei cambiamenti che arriveranno nei prossimi giorni, Apple ha pubblicato un nuovo “whitepaper” sulle novità imposte dal DMA. L’azienda reitera che le imposizioni della normativa renderanno iOS meno sicuro per gli utenti dell’Unione Europea. Tuttavia il documento illustra anche le iniziative intraprese per minimizzare i rischi per gli utenti, entro i limiti imposti dall’adeguamento alle regole europee.
Le tre macroaree di rischio indicate da Apple riguardano le tecniche predatorie di pagamento digitale, la diffusione del ransomware e del malware, e l’aumento di attacchi spyware ai danni degli utenti. Nel primo caso, la tesi di Apple è che le regole del DMA sui pagamenti alternativi offrono più scelta agli sviluppatori, ma allo stesso tempo riducono le protezioni per gli acquirenti.
“Gli utenti non avranno le stesse protezioni e gli stessi vantaggi offerti dal sistema di pagamento privato e sicuro di Apple [..] come la facilità di cancellazione dell’abbonamento, la pagina centralizzata della cronologia degli acquisti, i controlli parentali come Chiedi di Acquistare o le protezioni da tattiche predatorie come quelle che mirano a ingannare gli utenti facendoli pagare per un bene digitale un importo diverso da quello pubblicizzato”, si legge nel rapporto. “Gli utenti avranno inoltre l’onere di capire da soli, applicazione per applicazione, quali vantaggi e protezioni possono essere disponibili e chi devono contattare per ottenere aiuto quando le transazioni non andassero a buon fine, dato che gli agenti del supporto AppleCare avranno una capacità limitata (se non nulla) di assisterli”.
Nel caso dei ransomware, malware e spyware, la posizione di Apple è altrettanto diretta: la riduzione delle protezioni offerte dai controlli dell’App Store apre nuove opportunità per la distribuzione di app malevole. L’onere del controllo, spiegano dall’azienda, passerà ora in mano agli sviluppatori e soprattutto ai gestori di app store alternativi. Il sottinteso è che, avendo meno risorse ed esperienza, questi soggetti terzi non potranno – anche nelle migliori delle intenzioni – garantire gli standard di sicurezza e protezione della privacy offerti dall’App Store.
Mitigazione del rischio
L’adozione della normativa europea non è però un vero e proprio liberi tutti: nel white paper Apple delinea infatti quali sono le procedure che, nonostante la presenza di forme alternative di installazione delle app, garantiranno almeno una sicurezza di base della piattaforma. Innanzitutto, per sviluppare e distribuire applicazioni – sia su App Store che su piattaforme alternative – sarà comunque sempre necessario un account da sviluppatore. Per aprirlo, è necessario fornire un documento di identità e informazioni fiscali dettagliate.
Nonostante questo, dicono da Apple, centinaia di migliaia di account di sviluppatori fraudolenti vengono scoperti e chiusi ogni anno.
L’azienda ha poi introdotto la procedura di “Notarization” delle app, analoga a quella già prevista per registrare e firmare le applicazioni per il Mac.
“Apple firmerà elettronicamente ogni app distribuita su iOS nell’UE, indipendentemente dalle modalità di distribuzione, e questa firma sarà richiesta per qualsiasi app su iOS”, si legge nel documento. “Prima di firmare qualsiasi app, Apple la analizzerà (utilizzando una combinazione di strumenti automatizzati e revisione umana) per verificare che sia priva di malware e altre minacce alla sicurezza, che in generale funzioni come pubblicizzato e che non esponga gli utenti a frodi eclatanti. Effettuando questi controlli in prima battuta, possiamo contribuire a prevenire attacchi informatici e altre minacce prima che si diffondano tra gli altri utenti.
Questo processo è un’estensione di Notarization per macOS; da anni Apple scansiona e firma il software distribuito su macOS per garantire che sia privo di malware noto. Questa procedura ha funzionato bene e l’abbiamo adattata a iOS, includendo nuovi miglioramenti per soddisfare le esigenze uniche della piattaforma. Notarization non copre però i contenuti delle app, le pratiche commerciali e non fornisce altre protezioni per gli utenti disponibili tramite l’App Store”.
Per poter aprire e gestire uno store di app alternativo, inoltre, sarà necessario fornire ad Apple delle specifiche garanzie per confermare che l’azienda che lo gestisce è seria, ed ha le capacità e risorse per garantire almeno un meccanismo di revisione e controllo di base delle app.
Apple ha infine messo a punto alcuni specifici popup che vengono presentati agli utenti al momento dell’installazione di app al di fuori dell’App Store o del pagamento con sistemi alternativi.
Il popup d’installazione delle app “riflette i dati che lo sviluppatore presenta in merito alla propria app e che viene poi controllato per verificarne l’accuratezza durante la notarization”.
Secondo Apple serve per informare gli utenti su come l’app è stata presentata inizialmente e su quale fosse il suo scopo dichiarato quando è stata presentata ad Apple per la revisione”, per evitare che le “app civetta” possano ingannare gli utenti con un aspetto o una descrizione truffaldina. Nel caso dei pagamenti con sistemi esterni all’App Store, il popup avvisa dei rischi associati all’uso di circuiti esterni a quelli controllati da Apple.
Le proteste di Spotify e non solo
Spotify, Epic, Deezer, Paddle e altri 30 sviluppatori e associazioni di categoria hanno inviato venerdì una lettera alla Commissione Europea per protestare contro il modo in cui Apple ha scelto di ottemperare al DMA e chiedendo un’azione rapida e decisiva contro l’azienda di Cupertino.
Secondo i firmatari, la procedura di Notarization, la Core Technology Fee, i popup di avviso sui pagamenti e sull’installazione e altre procedure “non rispondono agli obblighi della legge europea” e sarebbero “una presa in giro” ai danni degli sviluppatori e dell’Unione Europea.
Spotify, Epic e gli altri sostengono inoltre che l’imposizione di una scelta definitiva tra l’App Store e store alternativi, senza possibilità di rivedere la decisione in futuro, pone un onere eccessivo sugli sviluppatori. Starà ora all’EU decidere se il modo in cui Apple si è adeguata al DMA risponde alle indicazioni di legge oppure no. Nello specifico, imporre agli sviluppatori una scelta definitiva e irreversibile fra l’App Store e gli store alternativi non sembra violare specificamente alcuna indicazione dell’EU, in quanto in entrambi i casi è garantito un accesso di base alla piattaforma.
Tornano le Web App per iOS
Nel frattempo Apple ha però fatto marcia indietro su una delle conseguenze indirette del DMA, cioè la disattivazione delle Web App di Safari. Le web app, introdotte con iOS 16, permettono di salvare un sito e usarlo come fosse un’app nativa direttamente dalla schermata Home. Le app web hanno accesso, tramite il motore del browser Safari, WebKit, ad alcune funzioni di base di sistema (principalmente le notifiche).
Secondo l’interpretazione del DMA data da Apple, la necessità di aprire a motori diversi da WebKit avrebbe abilitato web app basate su altri sistemi, potenzialmente pericolose data l’impossibilità di limitare l’accesso ad altre funzioni chiave del sistema, come il microfono o la fotocamera. Per questo Apple aveva scelto di rinunciare a una funzione di iOS, piuttosto che aprire a una totale liberalizzazione delle applicazioni web.
Alla vigilia della pubblicazione di iOS 17.4 ecco però il ripensamento: le Web App rimarranno attive. Non è ancora ben chiaro il motivo di questa marcia indietro, ma l’ipotesi più probabile è che la lettura del DMA da parte del dipartimento legale Apple fosse un po’ troppo stringente. Apple potrebbe aver ricevuto una garanzia, forse proprio dalla Commissione Europea, circa la possibilità di imporre di WebKit come unico motore disponibile per le Web App su iOS.
Cos’è il Digital Markets Act
Il Digital Markets Act è il nuovo regolamento sui mercati digitali, approvato dal Parlamento Europeo il 5 luglio 2022 insieme al Digital Services Act (DSA), che disciplina i servizi digitali. Le due norme insieme costituiscono il Digital Services Package, in vigore dal 2 maggio 2023, ma pienamente operativo solo dalla primavera del 2024.
Il DMA nasce per contrastare l’abuso di posizione dominante dei cosiddetti gatekeeper (guardiani), quelle società che hanno il controllo dell’accesso ai mercati digitali per la loro maggiore disponibilità economica e finanziaria, per l’elevato numero di utenti o per la capacità di porsi come intermediari. È il caso di Google, Amazon, Apple, Meta e Microsoft (ma non solo), che ricoprono un ruolo infrastrutturale, stabilendo standard e regole cui devono adeguarsi tutti. L’obiettivo del regolamento è quello di prevenire comportamenti scorretti da parte dei Big Tech e favorire innovazione e concorrenza nei mercati digitali.
Nel dettaglio, il Digital Markets Act si applica alle aziende che forniscono browser, servizi di messaggistica o social media ad almeno 45 milioni di utenti finali mensili nell’UE. Allo stesso tempo, devono avere 10.000 utenti commerciali annuali, una capitalizzazione di mercato di almeno 75 miliardi di euro o un fatturato annuo di 7,5 miliardi di euro. Per dimensioni, fatturato e grado di penetrazione nel mercato, l’azienda di Cupertino è senza dubbio considerabile come gatekeeper da diversi punti di vista.