UE: le regole di responsabilità proposte danneggerebbero il Software Libero
L'UE sta discutendo l'introduzione di regole di responsabilità per il software, compreso il Software Libero. Le proposte di rilievo sono la legge IA, la direttiva sulla responsabilità del prodotto e la legge sulla resilienza della cybersicurezza. Tutte le proposte danneggerebbero l'ecosistema del Software Libero e quindi la società e l'economia.
Il dibattito principale riguarda la legge sulla resilienza della sicurezza informatica (CRA, Cyber Resilience Act). Verranno quindi discussi i rischi e le soluzioni, utilizzando questa legge come esempio.
Mentre accogliamo favorevolmente la discussione su una maggiore sicurezza informatica, abbiamo forti dubbi che l'introduzione della sola responsabilità possa portare più sicurezza informatica. Soprattutto nel Software Libero, le misure di sicurezza di vasta portata sono già in atto. Tali misure differiscono da quelle del software proprietario.
La proposta di escludere il Software Libero “al di fuori dello svolgimento di un'attività commerciale” fallirebbe nel raggiungere una gran parte di software che non sarà coperto ma che è distribuito. Allo stesso tempo, i progetti più piccoli e senza scopo di lucro verrebbero danneggiati in quanto dovrebbero sopportare costi ingenti.
Proponiamo quindi una soluzione che porterà ad una maggiore sicurezza salvaguardando l'ecosistema del Software Libero:
- La responsabilità dovrebbe essere spostata su coloro che distribuiscono il Software Libero invece di quelli che lo sviluppano e
- coloro che beneficiano in modo significativo dal punto di vista economico di questa distribuzione devono assicurarsi che il software sia conforme CE.
Il Software Libero con le sue quattro libertà di usare, studiare, condividere e migliorare il codice rende facile per chiunque sviluppare e migliorare il codice rendendolo disponibile a tutti. In caso di incidenti di sicurezza, gli sviluppatori – che potrebbero avere solo micro o piccoli pagamenti, sviluppare senza scopo di lucro, o anche non guadagnare nemmeno un Euro per il loro lavoro – potrebbero essere ritenuti responsabili. Addossargli la responsabilità porterebbe a grandi oneri che i progetti non possono gestire da soli. Oggigiorno il Software Libero è dappertutto, e coloro che distribuiscono il Software Libero, specialmente il Software Libero di piccoli progetti, devono assumersi più responsabilità, anche semplicemente per il proprio interesse.
Addossare l'onere della responsabilità su soggetti piccoli o no-profit danneggerebbe l'ecosistema del Software Libero e quindi anche la società e le aziende, perché a causa della mancanza di fondi e di risorse per attuare queste procedure, alcuni di questi progetti potrebbero essere costretti a chiudere, ma anche per il fatto che questa proposta non porterà necessariamente ad una maggiore sicurezza. Inoltre, molti piccoli progetti di Software Libero fanno già valutazioni di sicurezza che funzionano bene. L'introduzione di nuovi flussi di lavoro o la consultazione di terzi avrebbe un peso economico che sarebbe quasi impossibile da sostenere. Alcuni dei modi per affrontare il problema del finanziamento potrebbero includere un fondo dedicato per sostenere questi progetti, o l'introduzione di un sistema di punteggio che mostra quanto un'azienda investe nella sicurezza dei progetti di Software Libero che utilizza. Tuttavia, nessuna di queste proposte può essere attuata rapidamente, per cui il problema continuerà a persistere. Pertanto la soluzione migliore sembrerebbe essere il trasferimento della responsabilità su coloro che distribuiscono il software e che traggono profitto in modo significativo da esso.
Per rispondere a questa esigenza, la formulazione attuale della legge deve essere migliorata. Il concetto di “attività commerciale” deve essere sostituito con un approccio che si concentra sulla distribuzione piuttosto che sullo sviluppo. E la responsabilità di soddisfare questi requisiti dovrebbe essere su un soggetto che trae beneficio nel mercato. Allo stesso modo, dovrebbero essere introdotte esenzioni per enti non-profit e microimprese. In altre parole, la responsabilità dovrebbe essere spostata verso coloro che distribuiscono queste soluzioni e che sono società sostanzialmente orientate al profitto.
Tutto ciò assicurerà che tutte le soluzioni di Software Libero che vengono utilizzate in modo significativo siano valutate secondo le regole di responsabilità del CRA, del PLD e della legge IA, ma l'onere finanziario sarà spostato su coloro che cercano di trarre profitto da queste soluzioni. Saranno quindi questi soggetti che dovranno assicurarsi che qualcuno segua le procedure necessarie per ottenere l'etichetta CE per il loro software. I vari distributori potrebbero collaborare tra di loro e garantire il finanziamento per i progetti che utilizzano o seguire loro stessi le procedure di certificazione. Dovranno poi assicurarsi che le modifiche vengano reinserite nei progetti.
Abbiamo presentato questa posizione anche in un'audizione pubblica al Parlamento Europeo.
Si tratta di un dibattito complesso con implicazioni di vasta portata e posizioni che cambiano ogni giorno. Continueremo a lavorare su questo problema nel prossimo mese. Se ti interessa contribuire o partecipare alle nostre attività, contattaci via e-mail.