2' di lettura

Piu di una dozzina tra fondazioni, associazioni e organizzazioni che sviluppano software open source hanno pubblicato u na lettera aperta chiedendo alla Commissione europea di riconsiderare alcuni aspetti del Cyber Resilience Act . Secondo attori come Eclipse Foundation, Linux Foundation Europe e Osi se il testo non verra modificato avra un “effetto dissuasivo” su tutta la comunita open source.

Il Cyber Resilience Act e una proposta legislativa volta a introdurre requisiti di sicurezza per i dispositivi interconnessi via Internet. Le multe massime previste dalla legge possono raggiungere i 15 milioni di euro o il 2,5% del fatturato annuo, a seconda di quale sia il valore piu alto. La norma e progettata per rendere piu sicuri prodotti come elettrodomestici e giocattoli connessi e per farlo chiede ai produttori di software e hardware di essere responsabili degli aggiornamenti di sicurezza.

Le licenze open source prevedono che il codice sorgente di un progetto possa essere impiegato liberamente anche all’interno di piattaforme commerciali. Si stima che i componenti open source costituiscano tra il 70 e il 90% dei prodotti software. Molti progetti open source sono sviluppati da piccoli team senza scopo di lucro. Come spiega la Python Software Foundation (PSF) per come e attualmente scritta la norma potrebbe compromettere lo sviluppo e la distribuzione di software open source in Europa, perche renderebbe le organizzazioni open source e i singoli individui responsabili per la distribuzione di codice che si rivelasse non sicuro. Detto altrimenti, se il Cra dovesse insomma estendere il sistema di autocertificazione della marcatura CE chiunque potrebbe essere ritenuto responsabile di una vulnerabilita presente in un software libero e delle sue conseguenze.

La questione va inquadrata all’interno del contesto economico di questi soggetti perche chiaramente c’e una grossa differenza tra Android di Google e le piccole organizzazioni, sia in termini finanziari che operativi. Inoltre, per come e scritto il Cra sarebbero a rischio anche le versioni alfa e beta dei software. Oggi gran parte del software libero si presta a subire revisioni continue. Secondo le associazioni la possibilita di analizzare il codice sorgente rende questi software piu sicuri perche sono maggiormente controllati dalla comunita. Inoltre, c’e anche un problema sul fronte dell’Ai. Come scrive The Verge, citando il CEO di GitHub, Thomas Dohmke, ≪gli sviluppatori di software open source dovrebbero essere esentati dall’ambito di applicazione di tale legislazione quando entrera in vigore, in quanto potrebbe creare gravose responsabilita legali per i sistemi di intelligenza artificiale generica (GPAI) e dare maggiore potere a grandi aziende ben finanziate≫.

Secondo il nuovo testo , il Cyber Resilience Act si applicherebbe pero solo ai prodotti lanciati sul mercato Ue per generare guadagni oltre i costi di manutenzione, limitando cosi l'ambito di applicazione dei software open source. Tuttavia, il linguaggio si potrebbe prestare ad interpretazione e per questo la comunita open source chiede di essere tenuta in considerazione per riscrivere in modo piu chiaro la norma. Il tempo c’e. Le consultazioni pubbliche finiranno il 25 maggio, poi il testo passera dal Parlamento Europeo che potra iniziare ad emendare la proposta della Commissione.