Sotto gli occhi di provider e utenti, e di ogni anello della value chain di realizzazione che li vede al centro, sta prendendo forma il regolamento sulla cyber resilienza di tutti i prodotti con componenti digitali. Si tratta del Cyber Resilience Act (CRA), che in tutta l’Unione Europea definirà requisiti obbligatori per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di hardware e software, colmando le attuali lacune e regalando una maggiore coerenza alla normativa ora in vigore.
Tutti sanno da tempo che è in arrivo e la osservano passare di mano in mano tra i vari organi di competenza, commentandone la metamorfosi tra timori e speranze, ben sapendo che dopo le recenti modifiche apportate dal Consiglio lo scorso luglio, è il momento dei negoziati con il Parlamento europeo (“triloghi”) sulla versione definitiva della normativa proposta. Tra i soggetti più attenti al testo UE in ogni sua riga e parola, c’è la community open source e ha tutte le ragioni per esserlo. Come fa notare l’avvocato Marco Ciurcina, “qualunque sarà la formulazione definitiva, sicuramente impatterà sull’ecosistema del software libero e innescherà nuove dinamiche”.
Rischi e speranze racchiuse in un “considerando”
Pur mantenendo l’impostazione generale della proposta della Commissione, il Consiglio Europeo ha apportato alcune modifiche al CRA. La sua versione, pubblicata a luglio 2023, come spiegato anche sul sito ufficiale, contiene novità sull’ambito di applicazione, sugli obblighi di segnalazione di incidenti o vulnerabilità attivamente sfruttate e sulla valutazione della durata prevista del prodotto da parte dei fabbricanti, per esempio. Quelle che sono balzate all’occhio della community open source siedono tra le righe del “considerando 10” che precisa chi è soggetto agli obblighi indicati.
“La definizione di ‘attività commerciale’ è chiave in tal senso: è tale quella di chi si fa pagare un prezzo, anche solo erogando servizi di supporto tecnico. Servirebbe chiarire meglio” spiega Ciurcina. “Valuteremo la versione finale, intanto, quella del Consiglio sembra migliore della precedente, anche se si potrebbe fare di più. Per esempio, condivido l’idea di prevedere un’eccezione per i progetti con governance distribuita. Il problema da affrontare è disciplinare in modo chiaro i casi in cui le regole del CRA non si applicano ai progetti di software libero/open source”.
Nessuna condanna quindi, verso un testo in fieri, ma la speranza che i legislatori sfruttino gli spazi di miglioramento e i prossimi mesi per regalare all’Unione Europea una normativa chiara, semplice da applicare e priva di contraddizioni. In tal senso, potrebbe essere d’aiuto un maggiore coinvolgimento delle community di sviluppo, “sia di quelle partecipate da operatori commerciali che delle altre, per ascoltare tutte le voci tramite consultazioni”. Secondo Ciurcina è utile distinguere tra progetti che rispondono a interessi commerciali e progetti sinceramente comunitari, guidati dallo scopo di attuare il bene comune, che l’UE sta cercando di mettere a fuoco.
“La normativa si applica ai componenti software che siano messi sul mercato separatamente. Se non si immette sul mercato un componente software separatamente è altamente probabile che non si debba ottemperare al CRA” precisa Ciurcina. “Dopo quelle del Consiglio, spero arrivino ulteriori modifiche che rendano il testo sempre più chiaro. Gli spazi d’incertezza sull’interpretazione delle norme per chi mette sul mercato software libero/open source, introducono rischi, che impatteranno sull’intero ecosistema. Oggi non siamo però in grado di dire come”.
Il CRA come filtro tra business e bene comune
Sospendendo il giudizio sulla qualità delle stesure normative, il voler separare la dimensione commerciale dallo sviluppo del software libero senza finalità commerciali “non è detto che sia cattiva idea” secondo Ciurcina. È un tentativo che va guardato con rispetto e interesse, perché può ridare spazio alle motivazioni etiche all’origine del software libero/open source.
Nato nei primi anni ‘80 dalla scelta di persone che si dedicavano allo sviluppo “perché ci credevano”, il paradigma del software libero/open source ha assunto una dimensione anche commerciale solo successivamente, quando, nel nuovo millennio, le aziende hanno capito come utilizzarlo a proprio vantaggio. “Se il nuovo quadro normativo impone alle imprese delle responsabilità e degli obblighi in più, crea una distinzione tra i due obiettivi: bene comune da una parte, e interessi commerciali dall’altra”. Potrebbe essere un cambiamento molto sano, spiega Ciurcina. “Le community aperte e tra pari seguono il metodo scientifico e non sempre perseguono interessi commerciali: quando è così, sono tendenzialmente più affidabili ed è più probabile che perseguano interessi collettivi. Il filtro creato dal CRA potrebbe aiutarci in futuro a distinguere tra i progetti genuini, guidati dallo scopo di perseguire il bene comune, e quelli guidati anche da interessi commerciali”.
Un “effetto CRA” nascosto nel considerando 10 che potrebbe essere uno di quei noti “battiti di farfalla” capaci di scatenare cambiamenti enormi e non prevedibili.
Il ritorno del software libero / open source “degli appassionati”
Molto probabilmente non ci ha ancora pensato chi teme che gli obblighi del CRA possano “raffreddare” gli spiriti liberi del mondo del software libero / open source, scoraggiandone l’appartenenza e le attività.
Una paura lecita, alimentata da una mancanza di approfondimento del reale percorso e della formulazione ancora provvisoria di un testo però necessario per l’UE. È e resta infatti un obiettivo urgente quello di aumentare la sicurezza dei prodotti, software inclusi. “Deve essere contemperato con quello di lasciare spazio alla costruzione di community di software libero che perseguono il bene comune. Chi realizza profitto commercializzando prodotti sul mercato, è giusto che debba garantire che siano sicuri” spiega Ciurcina.
Quanto all’”effetto raffreddamento”, a testo definitivo Ciurcina è più propenso a scommettere su un “effetto rafforzamento” in favore delle community di software libero / open source che perseguono il bene comune. “Oggi sono molte, ma frammentate. Permettendo una chiara distinzione tra chi lavora per realizzare il bene comune (appassionati, pubbliche amministrazioni, enti no profit, ecc.) e chi per interessi commerciali, il CRA potrebbe avere un effetto rivitalizzante. Restituirebbe valore alla scelta di appartenere a una community libera e indipendente, potendo anche usufruire di vantaggi esclusivi che chi pensa al business non è giusto che abbia”.
