Het DMA-dilemma: evenwicht tussen privacy en frauderisico’s

Nu de Digital Markets Act (DMA) van kracht is gegaan, hebben gebruikers meer controle over hoe grote techbedrijven hun gegevens gebruiken. De Europese wet moet de dominantie van bedrijven als Google, Facebook en Apple verminderen. Maar waar de wetgeving aan de ene kant gebruikers beschermt tegen de stortvloed aan ongewenste advertenties of spamberichten, blokkeert het aan de andere kant ook maatregelen, bijvoorbeeld multifactorauthenticatie (MFA), die nodig zijn om ons te beschermen tegen online fraude.

Tot nu toe konden iPhone- en iPad-gebruikers voor hun apps slechts op één plek terecht: de App Store van Apple zelf. Met zo’n gecentraliseerde app-winkel wist de techgigant jarenlang de controle te behouden over de legitimiteit en veiligheid van beschikbare applicaties. De Digital Markets Act brengt veel nieuwe maatregelen met zich mee, waardoor Apple (maar evengoed Google, dat overigens nooit problemen maakte van alternatieve downloadmogelijkheden voor apps) voortaan verplicht zijn om ook applicaties uit stores van derden toe te staan. Dat creëert echter talloze mogelijkheden voor cybercriminaliteit.

Apple bevestigt dit risico: ‘De nieuwe opties voor het verwerken van betalingen en het downloaden van apps op iOS openen nieuwe wegen voor malware, fraude en oplichting, illegale en schadelijke inhoud en andere privacy- en veiligheidsbedreigingen’.

Makkelijker in de verleiding

Door apparaten open te stellen voor apps van externe partijen, valt een groot deel van de controle op die toepassingen weg. Cybercriminelen maken apps intussen al zo goed na, dat het alleen maar eenvoudiger wordt om gebruikers te verleiden gevoelige persoonlijke informatie te delen. Deze wijziging door de DMA creëert niet alleen meer valkuilen om per ongeluk frauduleuze apps te installeren, maar stelt criminelen ook in staat om de geavanceerde verdediging van een techreus als Apple te omzeilen.

Ik juich het toe dat Apple de eerdere beslissing om pushberichten van webgebaseerde apps in de EU te blokkeren, heeft teruggedraaid. Die wijziging beschermde gebruikers misschien tegen een stortvloed aan ongewenste advertenties, politieke berichten of zelfs berichten van oplichters, maar het verwijderde ook de cruciale multifactorauthenticatie: een essentieel onderdeel om je veilig aan te melden bij apps voor mobiel bankieren of toepassingen van overheidsinstanties, zoals Itsme. In een maatschappij waarin cybercriminaliteit hoog op de agenda staat, kunnen we simpelweg niet meer zonder deze identiteitsbescherming.

Betere balans

In dit digitale tijdperk moeten we de privacy van consumenten waarborgen en de gebruikerservaring eenvoudig houden, dat is waar. Maar dit kan niet ten koste gaan van de veiligheid. De DMA, zoals deze nu is geschreven, en de zopas uitgerolde iOS-versie 17.4 die eraan voldoet, bieden weliswaar meer gebruiksgemak, maar ze leiden ook tot een toename van digitale fraude en financiële criminaliteit. We moeten dan ook op zoek naar een betere balans tussen de online privacy van consumenten en de risico’s rondom cybercriminaliteit.