News

UE vaghe: il mondo open source rischia come una big tech

La Python Software Foundation protesta contro le norme UE in arrivo in ambito cybersicurezza. Sono poco chiare e attribuirebbero impropriamente responsabilità alla community open source, equiparando singoli volontari a big tech. Ci sono però altre voci che, dal mondo open source, temono un trabocchetto

Aggiornato il 28 Apr 2023

open source

Non pagati ma puniti, a causa di una formulazione non chiara delle leggi europee. È questo che rischierebbero i volontari contribuenti all’open source secondo la Python Software Foundation. Mentre l’iter normativo avanza verso l’approvazione, si alzano alcune proteste che stentano a essere prese in considerazione dai legislatori, anche perché non sono unanimi.

L’allarme lanciato dalla Python Software Foundation

Il timore che sta impadronendosi di parte del settore open source riguarda alcuni passaggi di proposte di legge dell’Unione Europea sulla cybersecurity. Per come sono scritti, suonerebbero ambigui e potrebbero arrivare a incolpare le organizzazioni open source e gli individui, come ingiustamente responsabili per la distribuzione di codice non corretto.

A fare la voce grossa, emergendo tra le timide perplessità dei singoli, è stata questa nota fondazione, cercando di far immaginare cosa potrebbe accadere se la legge venisse applicata nella sua forma attuale. Gli autori di elementi open source potrebbero avere la responsabilità legale e finanziaria per il modo in cui gli stessi vengono applicati in un prodotto commerciale, anche se per mano di altri. Questo rischio è legato alla vaghezza che si riscontra nella stesura delle normative europee. Le scelte di linguaggio, infatti, sembrano non prendere in considerazione la differenza tra autori indipendenti (mai pagati) e i colossi tecnologici (che traggono ampi profitti). Una distinzione sostanziale che non compare nel testo delle leggi proposte per affrontare il tema della sicurezza e della responsabilità del software.

E se fosse un trabocchetto? I sospetti della FOSS

La normativa per ora “incriminata” è il Cyber Resilience Act che, in nome della sicurezza dei prodotti digitali, vuole impone ai produttori di rivedere la protezione dei prodotti e di implementare migliori procedure di mitigazione delle vulnerabilità, oltre a divulgare informazioni di cybersecurity ai clienti. Prevederebbe multe fino a 15 milioni di euro o il 2,5% del fatturato annuo ed è in pieno periodo di consultazione pubblica, ci resterà fino al 25 maggio.

Quello che la PSF e altre simili organizzazioni “di settore” domandano è una maggiore precisione nel linguaggio. Sarebbe di aiuto nel chiarire ufficialmente che le organizzazioni e gli sviluppatori open source non devono essere ritenuti responsabili dei difetti dei prodotti commerciali che incorporano il loro codice. Leggendo l’attuale testo, questo concetto non emerge, per lo meno non in modo esplicito. Ciò significa che una persona, contribuendo alla crescita del mondo open source, senza nemmeno guadagnarci, rischierebbe di essere punita per irregolarità altrui senza potersi difendere o impedire che ciò avvenga.

Una situazione sgradevole che potrebbe scoraggiare molti: meglio non rischiare, meglio non partecipare. E la community open source ne uscirebbe alquanto indebolita. Così perlomeno sostiene la PSF che chiede a gran voce “chiare esenzioni per i depositi pubblici di software che servono al bene pubblico e per le organizzazioni e gli sviluppatori che ospitano pacchetti su depositi pubblici”.

Non tutti la pensano così, però. Tra gli esperti e sostenitori del paradigma del software libero c’è chi sospetta un trabocchetto. Dietro a queste richieste potrebbe nascondersi infatti una furberia. La FOSS (Free and Open Software Community) teme che si tratti di un tentativo da parte di alcune aziende di farsi aiutare a eludere la loro normale e dovuta responsabilità per i prodotti. Al di là del cambio di linguaggio richiesto da PSF, quindi, sarebbe importante che le aziende a scopo di lucro che utilizzano il FOSS continuino ad avere gli stessi obblighi di sicurezza verso i loro utenti che hanno le aziende di software proprietario.

Articolo originariamente pubblicato il 28 Apr 2023

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3