L’open source è un termine usato per descrivere un software distribuito sotto i termini di una licenza open source, che ne concede lo studio, l’utilizzo, la modifica e la redistribuzione. La caratteristica principale delle licenze open source è la pubblicazione del codice sorgente (da cui il nome)
Una licenza open source è una licenza concessa dal detentore di un diritto d’autore, utilizzata prevalentemente sul software informatico, che può tuttavia riguardare qualsiasi altro ambito nel quale si applica la normativa sul diritto d’autore. La particolarità delle licenze open source è che gli autori invece di vietare, permettono non solo di usare e copiare, ma anche di modificare, ampliare, elaborare, vendere e quant’altro, tutto questo senza imporre obblighi a ricompensare economicamente gli autori.
La proposta di legge Cyber Resilience Act (CRA), è una proposta della Commissione Europea del 15 settembre 2022 che mira a stabilire standard comuni di sicurezza informatica per i dispositivi e i servizi connessi.
Le sanzioni previste dal CRA sono pesanti. La non-compliance con i requisiti essenziali di cyber security di un prodotto comporta una multa che può arrivare fino a 15 milioni di euro o al 2,5% del fatturato dell’anno fiscale precedente (vale la cifra più elevata)
La Python Software Foundation (PSF) ha messo in luce un particolare della proposta di legge europea Cyber Resilience Act (CRA) che, per come è attualmente scritta, potrebbe compromettere lo sviluppo e la distribuzione di software open source in Europa, perché renderebbe le organizzazioni open source e i singoli individui responsabili per la distribuzione di codice che si rivelasse non sicuro.
Più di una dozzina tra fondazioni, associazioni e organizzazioni che sviluppano software open source hanno pubblicato una lettera aperta chiedendo alla Commissione europea di riconsiderare alcuni aspetti del Cyber Resilience Act (CRA). Secondo attori come Eclipse Foundation, Linux Foundation Europe e Osi se il testo non verrà modificato avrà un “effetto dissuasivo” su tutta la comunità open source.
Perché la comunità open source è in allarme?
Le licenze open source prevedono che il codice sorgente di un progetto possa essere impiegato liberamente anche all’interno di piattaforme commerciali. Si stima che i componenti open source costituiscano tra il 70 e il 90% dei prodotti software. Molti progetti open source sono sviluppati da piccoli team senza scopo di lucro. Come spiega la Python Software Foundation (PSF) per come è attualmente scritta la norma potrebbe compromettere lo sviluppo e la distribuzione di software open source in Europa, perché renderebbe le organizzazioni open source e i singoli individui responsabili per la distribuzione di codice che si rivelasse non sicuro. Detto altrimenti, se il Cra dovesse insomma estendere il sistema di autocertificazione della marcatura CE chiunque potrebbe essere ritenuto responsabile di una vulnerabilità presente in un software libero e delle sue conseguenze.
Questione di dimensioni finanziaria
La questione va inquadrata all’interno del contesto economico di questi soggetti perché chiaramente c’è una grossa differenza tra Android di Google e le piccole organizzazioni, sia in termini finanziari che operativi. Inoltre, per come è scritto il Cra sarebbero a rischio anche le versioni alfa e beta dei software. Oggi gran parte del software libero si presta a subire revisioni continue. Secondo le associazioni la possibilità di analizzare il codice sorgente rende questi software più sicuri perché sono maggiormente controllati dalla comunità. Inoltre, c’è anche un problema sul fronte dell’Ai. Come scrive The Verge, citando il CEO di GitHub, Thomas Dohmke, «gli sviluppatori di software open source dovrebbero essere esentati dall’ambito di applicazione di tale legislazione quando entrerà in vigore, in quanto potrebbe creare gravose responsabilità legali per i sistemi di intelligenza artificiale generica (GPAI) e dare maggiore potere a grandi aziende ben finanziate»
Il nuovo testo del Cyber Resilience Act
Secondo il nuovo testo, il Cyber Resilience Act si applicherebbe però solo ai prodotti lanciati sul mercato Ue per generare guadagni oltre i costi di manutenzione, limitando così l’ambito di applicazione dei software open source. Tuttavia, il linguaggio si potrebbe prestare ad interpretazione e per questo la comunità open source chiede di essere tenuta in considerazione per riscrivere in modo più chiaro la norma. Il tempo c’è. Le consultazioni pubbliche finiranno il 25 maggio, poi il testo passerà dal Parlamento Europeo che potrà iniziare ad emendare la proposta della Commissione.