L’Open Source Software (OSS), negli ultimi anni, ha rappresentato un’alternativa convincente al software proprietario ed è alla base dell’intero ecosistema digitale, oltre ad aver contribuito ampiamente allo sviluppo di Internet. Per questo motivo, in una lettera all’UE, tredici organizzazioni OSS ritengono che il Cyber Resilience Act (CRA) – se implementato in sua forma attuale – avrà un “effetto dissuasivo” sullo sviluppo dell’open source in futuro.
Pericolo mortale per l’open source in Europa, come risolvere
Cyber Resilience Act e Open Source Software: che cosa si rischia
Negli ultimi anni i legislatori e le società tecnologiche stanno lavorando sempre più di concerto per formulare nuove leggi e atti che rafforzino la sicurezza online e aumentino la resilienza della sicurezza informatica dei sistemi IT.
È in questa direzione che è stato redatto il CRA e che mira a guidare la sicurezza e l’integrità del software di ogni tipo, estendendo il marchio di autocertificazione “CE” da parte dei fornitori di software per attestare la conformità ai requisiti di sicurezza, di privacy e di assenza di eventi di vulnerabilità critica.
Si ricorda che le sanzioni previste per il mancato rispetto del CRA possono includere multe fino a 15 milioni di euro o il 2,5% del fatturato globale.
Si ritiene che la necessità di certificazione e la minaccia di multe possono soffocare lo sviluppo dell’open source e quindi lo sviluppo di Internet, che dipende fortemente da software e sistemi open source.
La lettera agli eurodeputati e ai rappresentanti del Consiglio dell’UE
Nelle scorse settimane, tredici organizzazioni- tra cui Eclipse Foundation, Linux Foundation Europe e Open Source Initiative (OSI) – hanno inviato una lettera agli eurodeputati e ai rappresentanti del Consiglio dell’UE in cui sollevano diverse preoccupazioni. Vediamo di che si tratta.
- Se il CRA viene implementato nella sua formulazione attuale, avrà un effetto profondamente dissuasivo sullo sviluppo e l’uso del OSS in Europa, compromettendo gli obiettivi dell’UE in termini di innovazione, di sovranità digitale e di prosperità futura.
- Il CRA non tiene conto delle esigenze e delle prospettive uniche del’OSS, soprattutto come metodologia moderna utilizzata per creare software.
- La comunità dell’open source non è stata sufficientemente consultata durante l’elaborazione del CRA, nonostante l’OSS rappresenti più del 70% del software integrato nei prodotti digitali in Europa.
- È essenziale che in futuro – qualsiasi legislazione che abbia un impatto sull’industria europea del software – tenga conto delle esigenze e delle prospettive uniche del OSS, che svolge un ruolo fondamentale nell’economia digitale e rappresenta circa 100 miliardi di euro di impatto economico in Europa.
Quali modifiche sarebbero opportune per la salvaguardia del settore OSS
Le organizzazioni OSS lamentano che – nonostante la Commissione europea abbia definito un’eccezione nel considerando 10 nel tentativo di garantire che queste disposizioni non abbiano un impatto sul OSS – il testo attuale è destinato a causare grossi problemi all’open source dovuti all’ambiguità nella formulazione e ad un inquadramento che non corrisponde al modo in cui le comunità OSS funzionano effettivamente. Pertanto, si dovrebbero contemplare le modifiche di seguito evidenziate:
- Il “dovrebbe” deve essere cambiato in “deve” affinché coloro che distribuiscono software – come funzione di comunità – possano essere sicuri di essere esclusi dall’applicazione della norma. Inoltre, gli sviluppatori di OSS dovrebbero essere esentati dall’ambito di applicazione di tale legislazione anche per il fatto che potrebbe creare gravose responsabilità legali per i sistemi di intelligenza artificiale generica (General Purpose AI Systems – GPAI) e dare maggiore potere alle grandi aziende.
- La UE, al fine di evitare di danneggiare l’OSS – dato che sta lavorando duramente per sostenere questo obiettivo – dovrebbe sostituire la formulazione introduttiva sull’ovviare ai danni alla “ricerca e innovazione” per evitare di restringere eccessivamente l’eccezione.
- Sebbene il testo sembri esentare l’OSS “non commerciale” dal suo campo di applicazione, cercare di definire cosa si intende non è un’impresa semplice. Inoltre, è doveroso ricordare che gli sviluppatori creano e mantengono l’open source in una varietà di contesti (a pagamento e non) tra cui aziende, governo, organizzazioni non profit, accademiche, comunità e singoli. Ancora, le organizzazioni senza scopo di lucro offrono servizi di consulenza a pagamento come supporto tecnico per il loro OSS e, sempre più spesso, gli sviluppatori ricevono sponsorizzazioni, sovvenzioni e altre forme di sostegno finanziario per i loro sforzi. Ne consegue che, se l’OSS non viene offerto come prodotto a pagamento o monetizzato, dovrebbe essere esente.
Conclusioni
Il CRA è destinato a cambiare sia il panorama della sicurezza sia Internet in virtù del suo impatto sullo sviluppo del OSS. Ovvero, senza una più chiara esclusione del OSS negli articoli del regolamento, si verificheranno interruzioni non intenzionali che avranno un impatto negativo sullo sviluppo e sull’uso del OSS nel mercato interno europeo e danneggeranno la capacità di connettersi, istruire e sviluppare digitalmente società attraverso Internet.
Pertanto, ci si auspica che i membri della comunità tecnica globale – che si preoccupano dello sviluppo di OSS – seguano da vicino gli sviluppi di questo regolamento, poiché il suo impatto sarà globale, proprio come è stato per il GDPR ed augurarsi che alcune revisioni dell’atto contribuiscano a proteggere il codice open source in modo che possa continuare a guidare l’innovazione.
