Una legge europea rischia di distruggere l’open source

Il CRA è stato concepito come un grande passo avanti per i prodotti sicuri. Ma le conseguenze per l’open source potrebbero essere drammatiche, avverte il giurista informatico Prof. Dennis-Kenji Kipker.

Se c’è una legge che può portare uno sconvolgimento significativo nel panorama della sicurezza informatica europea, questa è la Cyber Resiliance Act (CRA). La prima bozza, presentata nel settembre 2022, ha già fatto scalpore e messo in moto gli ingranaggi della politica giuridica, non solo in Germania e nell’UE, ma soprattutto all’estero.

Obiettivi della Cyber Resiliance Act

Il CRA, se verrà presentato in questa o in una versione simile – cosa che si può fortemente ipotizzare – non sarà solo la prima legge europea sulla cybersecurity a prevedere l’obbligo di “cybersecurity by design”. Si rivolge anche ai produttori, agli importatori e ai distributori e prescrive l’attuazione di misure di sicurezza informatica durante l’intero ciclo di vita di un prodotto. In un primo momento si tratta di un aspetto positivo, perché la legge, che in origine doveva riguardare solo l’Internet degli oggetti, ora si concentra su tutti i “prodotti con elementi digitali” e quindi, in ultima analisi, su tutta l’informatica in rete con il suo campo di applicazione esteso.

Alcuni potrebbero chiedersi se sia davvero necessaria un’altra legge dell’UE sulla cybersecurity quando esistono già la NIS-2, la legge sulla cybersecurity, la direttiva sulle apparecchiature radio e molte altre leggi settoriali sullo stesso argomento. Resta il fatto che finora le aziende e i produttori hanno inteso la cybersecurity soprattutto come un processo di conformità interna e hanno prestato troppa poca attenzione alla regolamentazione dei prodotti stessi, che sono stati importati nel mercato unico europeo o sono stati fabbricati lì e circolano qui in massa e in alcuni casi da molti anni.

Carenze nella pianificazione

Tuttavia, non è tutto oro quel che luccica nel progetto di legge sulla resilienza informatica. Per quanto ambizioso possa essere il progetto, sono già visibili diversi punti deboli che devono essere corretti prima dell’approvazione della legge. Uno di questi è la fissazione della durata massima di vita del prodotto a cinque anni. In questo caso ci si è subito resi conto che una normativa del genere difficilmente può avere senso nella pratica, data la diversità dei prodotti interessati. Un’altra vulnerabilità significativa – purtroppo finora ampiamente ignorata nel dibattito pubblico – riguarda la gestione dei componenti open source, oggi utilizzati in massa in ogni dispositivo e software commerciale immaginabile; da un lato per ragioni di costo, ma dall’altro soprattutto per migliorare la funzionalità e la sicurezza dei prodotti informatici.

Leggi anche:

• L’UE sta cambiando per sempre la storia di Apple

Pochi giorni fa, anche la Python Software Foundation (PSF), un’organizzazione no-profit per la promozione, la protezione e l’ulteriore sviluppo del linguaggio di programmazione Python, è venuta a conoscenza di questo problema e ha pubblicato una dichiarazione dettagliata sul CRA, insieme alla richiesta a tutti i lettori di portare le preoccupazioni espresse all’attenzione dei politici europei. La PSF mette a disposizione di tutti gli utenti non solo il linguaggio di programmazione di base gratuitamente, ma anche il Python Packaging Index (PyPI), una libreria di pacchetti software scritti da migliaia di aziende e individui diversi.

Preoccupazione giustificata per il software open source

Le preoccupazioni del FPF sono chiaramente giustificate a questo punto: si teme l’insorgere di notevoli problemi di responsabilità a causa dell’ampio campo di applicazione del CRA, che non prevede esenzioni per i repository open source pubblici e senza scopo di lucro. Questo potrebbe portare la FPF a essere legalmente responsabile per qualsiasi prodotto che contenga codice Python, senza nemmeno averne ricavato un reddito, tanto meno un profitto. Potrebbe quindi non rendere più disponibili Python e PyPI alle aziende e ai programmatori europei, con conseguenze fatali per la posizione tecnologica europea, ma in ultima analisi anche per la sicurezza informatica in particolare, che finora ha beneficiato notevolmente del contributo della comunità software globale e dell’indipendenza del PSF. E questo problema non riguarda solo Python, ovviamente, ma tutti i repository open source pubblicamente accessibili.

Il legislatore europeo è quindi invitato ad apportare tempestivamente dei miglioramenti per evitare che la comunità europea dell’open source venga danneggiata in modo irrevocabile dal CRA, escludendo i repository open source senza scopo di lucro dal campo di applicazione della futura legge. Le aziende commerciali, d’altra parte, che utilizzano software open source nei loro prodotti sono già potenziali destinatarie di responsabilità per danni causati da software difettoso, a prescindere da questo attuale dibattito di politica legale.

Fonte

Ti potrebbe interessare:

• I membri della Commissione europea non potranno utilizzare TikTok

Segui guruhitech su:

• Google News: bit.ly/gurugooglenews
• Instagram: instagram.com/guruhitech_official
• Telegram: t.me/guruhitech
• Facebook: facebook.com/guruhitechweb
• Twitter: twitter.com/guruhitech1
• Threads: threads.net/@guruhitech_official
• Bluesky: bsky.app/profile/guruhitech.bsky.social
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.d4cf3836b772da8a
• WhatsApp: bit.ly/whatsappguruhitech

Esprimi il tuo parere!

Che ne pensi di questa assurda proposta di legge? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].