Il Cyber Resilience Act (CRA) è nato con il nobile intento di migliorare la sicurezza informatica dei prodotti digitali in Europa, ma il processo è stato gestito in modo approssimativo da organizzazioni che hanno scarsa dimestichezza con il software open source, al punto da creare delle regole che mettono a repentaglio l’esistenza di numerosi progetti, almeno in Europa.
Se passerà il testo proposto dalla Commissione ITRE (commissione per l’industria, la ricerca e l’energia) dell’Unione Europea, gran parte del software open source sviluppato in Europa è destinato a scomparire o a modificare in modo significativo il proprio modello di business, il che significa – in quasi tutti i casi – compromettere la sostenibilità del progetto, e quindi scomparire anche se un po’ più lentamente.
Infatti, si tratta di un testo “buggato” che è stato oggetto di un voto il 19 luglio in seno alla commissione ITRE del Parlamento europeo e potrebbe essere adottato in corso d’opera, senza un voto in sessione plenaria, dal Parlamento stesso. Se nulla cambierà da qui all’adozione finale, avrà conseguenze particolarmente gravi per le piccole e medie imprese (PMI) che operano nel campo del software libero e, più in generale, per il settore del software libero, una componente essenziale dell’economia digitale europea.
I principali problemi posti dal testo della Commissione ITRE
Quali sono i principali problemi posti dal testo della Commissione ITRE per l’industria europea del software libero?
Il CRA imporrà dei requisiti amministrativi e tecnici molto costosi alle organizzazioni che sviluppano o distribuiscono prodotti o servizi software, che dovranno sviluppare, documentare e implementare politiche e procedure per ogni progetto, preparare la documentazione tecnica per ogni versione del prodotto e seguire un complesso processo di marcatura CE.
Lo studio d’impatto della Commissione stima un aumento del 30% dei costi di sviluppo per le PMI, ben al di sopra del margine medio tipico del settore. In caso di mancato rispetto di questi obblighi, le PMI sono passibili di un’ammenda di 15 milioni di euro.
Il software libero è, per definizione, un software distribuito con una licenza compatibile con la Open Source Definition. Tutte le licenze di software libero in uso includono una clausola di esclusione della responsabilità: è infatti logico che un individuo, un’azienda, grande o piccola, una fondazione, un istituto di ricerca, ecc. non voglia essere ritenuto responsabile quando offre gratuitamente il frutto del proprio lavoro come bene comune al resto dell’umanità.
Alcuni editori di software open-source, inoltre, offrono ai loro clienti contratti in base ai quali si impegnano a mantenere il loro software open-source in cambio di una remunerazione, che copre non solo i costi di manutenzione, ma anche i costi di R&S necessari per creare e sviluppare il software stesso.
Nel testo originale della Commissione, il CRA prevede un’esenzione per le “attività non commerciali”, una definizione piuttosto vaga i cui rischi sono stati evidenziati dai rappresentanti dell’ecosistema open source fin dalla pubblicazione della prima bozza del testo.
Secondo la bozza della commissione ITRE, qualsiasi progetto di software open source i cui collaboratori siano dipendenti di un’azienda è considerato un’attività commerciale. Questa definizione comprende quasi tutti i principali progetti di software open source, con conseguenze potenzialmente devastanti sul settore e la sua sostenibilità.
Infatti, non solo incoraggerebbe i progetti, alcuni dei quali hanno difficoltà a garantire la propria sostenibilità finanziaria, a rifiutare i contributi delle aziende che utilizzano il loro software, ma potrebbe anche indurre le aziende a vietare ai propri dipendenti di partecipare ai progetti di software libero. Questo a sua volta incoraggerebbe le aziende del settore del software libero a non pubblicare più il proprio codice con una licenza open source, a rendere meno trasparenti le loro pratiche di sviluppo e a rinunciare a contribuire ai progetti di software libero che non rientrano tra le eccezioni molto restrittive previste dal testo.
La sfida della sostenibilità finanziaria dei progetti open source
Inoltre, il testo della commissione ITRE stabilisce che qualsiasi progetto di software libero che accetti donazioni ricorrenti da parte di entità commerciali è considerato un’attività commerciale. Questo rappresenta un grosso rischio per la sostenibilità dei progetti di software libero che servono come elementi costitutivi per i prodotti che le PMI del software libero immettono sul mercato.
In effetti, la sostenibilità finanziaria dei progetti open source è una sfida che è stata discussa più volte ed è ampiamente riconosciuta, e le donazioni regolari da parte di entità commerciali sono spesso una fonte di finanziamento essenziale che consente ai progetti di continuare il loro lavoro.
Tuttavia, se il CRA verrà adottato nella forma attuale, questi progetti saranno spinti – loro malgrado – a rifiutare le donazioni e quindi vedranno le loro risorse limitate al solo lavoro volontario, il che è in contrasto con l’obiettivo dichiarato di migliorare la loro sostenibilità. L’impatto si propagherà a valle di tutti questi progetti, con la conseguenza sistemica di indebolire la sicurezza complessiva dei prodotti commercializzati in Europa, oltre a interrompere la catena di fornitura del software degli editori europei.
È opportuno ricordare che il settore del software open source, al di là delle PMI che lo compongono, è un settore economico importante per l’Europa. Secondo lo studio 2021 della Commissione, esso contribuisce all’economia dell’UE per un valore compreso tra i 65 e i 95 miliardi di euro all’anno ed è al centro della ricerca e dello sviluppo in molti settori tecnologici avanzati. L’impatto del CRA su questo settore è quindi destinato ad avere conseguenze che vanno ben oltre le aziende direttamente interessate.
Le principali organizzazioni europee che sviluppano e distribuiscono software open source, con il coordinamento di Open Forum Europe, hanno cercato in ogni modo di sensibilizzare i politici europei rispetto all’inadeguatezza verso l’obiettivo della cibersecurity da un lato e alla pericolosità per la sopravvivenza del settore dall’altro, ma non sono state ascoltate tanto quanto le organizzazioni del software proprietario, che ovviamente plaudono all’iniziativa (proprio perché indebolirà il software open source).
Conclusioni
Una cosa è certa, in futuro il settore del software open source dovrà comunicare con le istituzioni europee sulla base delle regole – non scritte – create dal mondo del software proprietario, e quindi dovrà rinunciare – almeno in parte – alla sua abituale trasparenza, che presuppone la presenza di interlocutori competenti capaci di discernere tra i messaggi di marketing e quelli di tipo tecnologico. Quindi, la ritrosia ad affrontare il tema della sicurezza, a causa della consapevolezza che non esiste un software sicuro al 100%, non è stata interpretata nel modo corretto come la volontà di non creare aspettative sbagliate negli utenti, ma come un’ammissione di colpa sul fatto che il software open source non è sicuro (quando invece è vero esattamente il contrario).
Solo in questo modo, infatti, il software open source potrà essere considerato come interlocutore attendibile dalle istituzioni europee, e potrà essere consultato quando verranno discusse delle proposte di legge che lo coinvolgono in modo più o meno diretto.
Sarebbe comunque opportuno che la Commissione Europea creasse al proprio interno un OSPO (Open Source Programme Office), che dovrebbe contribuire con le sue competenze alle future iniziative legislative che riguardano il software open source.
Infine, sarà necessario promuovere una migliore comprensione delle sfide e delle complesse dinamiche tecnologiche ed economiche che caratterizzano l’ecosistema del software libero, e questo richiederà la formazione dei decisori politici su questi temi, e anche una maggiore considerazione delle competenze tecnologiche interne ed esterne nel processo decisionale.
