Perché il Cyber Resilience Act preoccupa chi sviluppa software open source? 

2' di lettura

Più di una dozzina tra fondazioni, associazioni e organizzazioni che sviluppano software open source hanno pubblicato una lettera aperta chiedendo alla Commissione europea di riconsiderare alcuni aspetti del Cyber Resilience Act . Secondo attori come Eclipse Foundation, Linux Foundation Europe e Osi se il testo non verrà modificato avrà un “effetto dissuasivo” su tutta la comunità open source.

Il Cyber Resilience Act è una proposta legislativa volta a introdurre requisiti di sicurezza per i dispositivi interconnessi via Internet. Le multe massime previste dalla legge possono raggiungere i 15 milioni di euro o il 2,5% del fatturato annuo, a seconda di quale sia il valore più alto. La norma è progettata per rendere più sicuri prodotti come elettrodomestici e giocattoli connessi e per farlo chiede ai produttori di software e hardware di essere responsabili degli aggiornamenti di sicurezza.

Le licenze open source prevedono che il codice sorgente di un progetto possa essere impiegato liberamente anche all’interno di piattaforme commerciali. Si stima che i componenti open source costituiscano tra il 70 e il 90% dei prodotti software. Molti progetti open source sono sviluppati da piccoli team senza scopo di lucro. Come spiega la Python Software Foundation (PSF) per come è attualmente scritta la norma potrebbe compromettere lo sviluppo e la distribuzione di software open source in Europa, perché renderebbe le organizzazioni open source e i singoli individui responsabili per la distribuzione di codice che si rivelasse non sicuro. Detto altrimenti, se il Cra dovesse insomma estendere il sistema di autocertificazione della marcatura CE chiunque potrebbe essere ritenuto responsabile di una vulnerabilità presente in un software libero e delle sue conseguenze.

La questione va inquadrata all’interno del contesto economico di questi soggetti perché chiaramente c’è una grossa differenza tra Android di Google e le piccole organizzazioni, sia in termini finanziari che operativi. Inoltre, per come è scritto il Cra sarebbero a rischio anche le versioni alfa e beta dei software. Oggi gran parte del software libero si presta a subire revisioni continue. Secondo le associazioni la possibilità di analizzare il codice sorgente rende questi software più sicuri perché sono maggiormente controllati dalla comunità. Inoltre, c’è anche un problema sul fronte dell’Ai. Come scrive The Verge, citando il CEO di GitHub, Thomas Dohmke, «gli sviluppatori di software open source dovrebbero essere esentati dall’ambito di applicazione di tale legislazione quando entrerà in vigore, in quanto potrebbe creare gravose responsabilità legali per i sistemi di intelligenza artificiale generica (GPAI) e dare maggiore potere a grandi aziende ben finanziate».

Secondo il nuovo testo, il Cyber Resilience Act si applicherebbe però solo ai prodotti lanciati sul mercato Ue per generare guadagni oltre i costi di manutenzione, limitando così l'ambito di applicazione dei software open source. Tuttavia, il linguaggio si potrebbe prestare ad interpretazione e per questo la comunità open source chiede di essere tenuta in considerazione per riscrivere in modo più chiaro la norma. Il tempo c’è. Le consultazioni pubbliche finiranno il 25 maggio, poi il testo passerà dal Parlamento Europeo che potrà iniziare ad emendare la proposta della Commissione.