La Commissione Europea, di fronte all’aumento esponenziale dei rischi causati dalla proliferazione di software suscettibili di attacchi informatici, ha proposto un nuovo regolamento, il Cyber Resilience Act (CRA), che obbliga tutti gli editori di software e i fornitori di hardware a implementare una serie di azioni.
In alcuni casi molto onerose – come la completa documentazione delle procedure di sicurezza – e in altri casi addirittura impossibili – come il richiamo di tutti gli esemplari del software in caso di vulnerabilità – per il software open source.
Cyber Resilience Act, intervenire subito per salvare l’open source: ecco come
Perché il Cyber resilience act esclude la maggior parte dei software open
Per i trasgressori sono previste multe molto salate, che possono arrivare ad alcuni milioni di euro.
In realtà, il regolamento prevede delle eccezioni per il software open source, perché nessuno pubblicherebbe software libero se questo significasse correre il rischio di una multa senza avere un adeguato corrispettivo economico. Ma la formulazione scelta dalla Commissione Europea esclude la grande maggioranza degli editori di software libero, che sono nella maggior parte dei casi aziende, spesso legate a progetti di software open source.
La stessa Strategia sul Software Open Source 2020-2023 dell’UE riconosce il suo ruolo fondamentale per l’economia digitale, in quanto il software libero è ormai la base di qualsiasi applicazione enterprise, da quelle che supportano l’infrastruttura cloud a quelle che gestiscono i sistemi di trasporto pubblico, oltre a gran parte delle applicazioni mobili e a moltissimi programmi desktop.
L’importanza del software open
Secondo una ricerca recente, conclusa nell’autunno del 2022, il software open source contribuisce al prodotto interno lordo europeo per 95 miliardi di euro, che equivalgono a più di 1.000 aziende con oltre 10.000 posti di lavoro. Una realtà che potrebbe scomparire nel giro di pochi anni, lasciando il campo libero alle big tech statunitensi.
Nonostante il software open source rappresenti più del 70% del software presente nei prodotti digitali in Europa, la sua comunità di riferimento non ha lo stesso tipo di rapporto consolidato con i legislatori come quello delle aziende del software proprietario, che per raggiungere questo obiettivo nel 2022 hanno speso milioni di euro in attività di lobby (più di quanto non abbiano speso industrie come quella chimica e quella farmaceutica).
Il software open source contribuisce in modo significativo non solo al prodotto interno lordo, ma anche allo sviluppo di applicazioni per la sovranità digitale del continente europeo, quella sovranità che le big tech statunitensi vorrebbero eliminare per poter “colonizzare” i cittadini europei in modo ancora più profondo di come stia già succedendo con la profilazione effettuata attraverso i motori di ricerca, l’eemail, le applicazioni desktop e cloud, e i documenti.
Parliamo di aziende come Nextcloud, una soluzione cloud non solo compatibile con il GDPR ma superiore per funzionalità, robustezza e sicurezza a quelle molto più conosciute e molto più diffuse di Microsoft e Google, o di fondazioni come The Document Foundation, che sviluppa LibreOffice con la collaborazione chiave di aziende come Collabora e Allotropia.
Se il CRA venisse approvato nell’attuale versione, tutte queste aziende avrebbero problemi significativi e rischierebbero multe per milioni di euro.
Il punto più controverso del Cyber Resilience Act, infatti, è la nozione di attività “non commerciale”, la condizione per l’applicazione dell’eccezione per il software open source. Le aziende che ho nominato sviluppano software open source, che viene rilasciato con una licenza compatibile con la Open Source Definition, ma lo supportano con servizi di consulenza “commerciali” indispensabili per l’uso del software stesso in ambiente enterprise.
Gli impatti negativi
Ovviamente, ci sono delle soluzioni al problema creato dal Cyber Resilience Act, ma nessuna di esse va a vantaggio dei cittadini europei.
- La prima opzione è quella di smettere di pubblicare software open source e di “proprietarizzare” le soluzioni, che è quello che la Commissione Europea sembra volere tra le righe. Questo eliminerebbe quasi tutto il patrimonio di software open source di livello enterprise a disposizione delle aziende europee.
- La seconda opzione è quella di lasciare che siano solo le fondazioni not for profit a rilasciare software open source per beneficiare dell’eccezione per le attività “non commerciali”. Anche questa opzione eliminerebbe il patrimonio di software open source di livello enterprise a disposizione delle aziende europee.
- La terza opzione è quella di trasferire le attività di pubblicazione del software libero in un Paese che non faccia distinzioni sul rilascio di codice sorgente open source da parte delle aziende. Com’è facile comprendere, questo potrebbe avere conseguenze negative non solo sul livello di occupazione in Europa ma anche sulla presenza di competenze specifiche nel continente.
La conseguenza peggiore, in tutti e tre i casi, sarebbe quella di lasciare tutto il mercato delle applicazioni di livello enterprise nelle mani delle big tech, che – e non è certo un caso – hanno accolto in modo estremamente positivo il Cyber Resilience Act, aumentando in modo significativo la sudditanza tecnologica verso gli Stati Uniti, con tutto quello che ne consegue in termini di sviluppo, governo e futuro delle tecnologie digitali in Europa.
Le vere soluzioni
Per sensibilizzare l’opinione pubblica europea rispetto alla discussione sul testo del Cyber Resilience Act, le principali fondazioni e associazioni del software open source – Associaçāo de Empresas de Software Open Source Portuguesas; Eclipse Foundation; European Open Source Software Business Associations; Finnish Centre for Open Systems and Solutions; French Open Source Business Association; Linux Foundation Europe; OpenForum Europe; Open Source Business Alliance; Open Source Initiative; Open Systems and Solutions; OW2; Software Heritage Foundation e The Document Foundation – hanno inviato una lettera aperta alla Commissione Europea, invitandola a coinvolgere la comunità open source e a tenere conto delle loro preoccupazioni nel momento in cui il Cyber Resilience Act verrà attuato.
In particolare, la lettera aperta chiede di:
- Riconoscere le caratteristiche uniche del software open source e garantire che il Cyber Resilience Act non danneggi involontariamente l’ecosistema open source;
- Consultare la comunità open source durante il processo colegislativo;
- Garantire che qualsiasi sviluppo nell’ambito del CRA tenga conto della diversità delle pratiche di sviluppo del software open source aperto e trasparente;
- Stabilire un meccanismo di dialogo e collaborazione costante tra le istituzioni europee e la comunità open source, per garantire che le future decisioni legislative e politiche siano informate.
Le fondazioni e le associazioni del software open source, a loro volta, cercheranno di mantenere un flusso di comunicazione costante verso i media e la Commissione Europea, per evitare che in futuro si ripetano situazioni come quella attuale.