Cyber Resilience Act
La Commissione Europea è al lavoro su una direttiva denominata Cyber Resilience Act, o semplicemente CRA, che prevede regole potenzialmente dannose per lo sviluppo e la diffusione del software libero e open source in Europa.
Nelle scorse settimane e mesi molti dei più rilevanti soggetti operanti per la promozione e la tutela del software open source hanno espresso preoccupazione nei confronti delle implicazioni di questa proposta di legge, ed hanno sollecitato correzioni ed emendamenti che possano in qualche modo far convivere le buone intenzioni della norma (dedicata all'incremento della sicurezza del software e degli apparati elettronici quotidianamente utilizzati da milioni di cittadini europei) con le dinamiche (spesso informali, e proprio per questo difficilmente regolamentabili) proprie del modello di sviluppo open.
Diversi sono i punti contesi, accomunati da un unico principio: gli autori di un progetto open source (e chi vi contribuisce, e chi lo distribuisce) non possono essere considerati diretti responsabili per danni arrecati a terzi, laddove tale progetto è per definizione liberamente utilizzabile da chiunque e per qualsiasi scopo.
Il patto storico del modello open è sempre stato molto semplice: "questo è il software, è gratuito, non c'è nessuna garanzia". E proprio questo patto - sancito anche dal punto di vista legale in pressoché ogni licenza approvata da Open Source Initiative - garantisce non solo la libertà di utilizzo, analisi e modifica del codice, ma è anche alla base di qualsiasi modello di business incentrato nel dare all'utilizzatore finale quelle stesse garanzie non fornite alla fonte (a fronte di un lecito e doveroso compenso economico). Minare tale patto con una forzatura normativa calata dall'alto implica infrangere le più essenziali dinamiche che distinguono un fenomeno - culturale oltre che tecnico - che da almeno vent'anni è vettore di progresso tecnologico e crescita economica, in Europa e nel mondo.
Per tutti questi motivi, appurato che sono comunque già in corso consultazioni e pressioni affinché la bozza della direttiva venga corretta prima del voto presso il Parlamento Europeo, Italian Linux Society vi invita ad inviare una mail di sensibilizzazione agli europarlamentari italiani. In particolare ai membri delle commissioni "International Trade" e "Industry, Research and Energy", che in prima persona sono responsabili della revisione degli emendamenti proposti.
Qui di seguito un modello di lettera (elaborato a partire da quello proposto da Moreno Razzoli, in arte MorroLinux, che grazie a questo video ha portato il tema all'attenzione del pubblico italiano) e, sotto, i riferimenti (email ma anche social, per chi volesse estendere il raggio di azione della propria attività di informazione) delle persone interessate.
Onorevole [Cognome del MEP],
Nei prossimi mesi il Parlamento Europeo sarà chiamato per l'approvazione della direttiva denominata "Cyber Resilience Act" (CRA).
Questo provvedimento rischia di danneggiare gravemente la comunità open source e, conseguentemente, le migliaia di piccole, medie e grandi realtà professionali e industriali che grazie al patrimonio di componenti open source (liberamente e spesso gratuitamente accessibili) realizzano e distribuiscono soluzioni innovative in Europa.
L'intento della direttiva è certamente condivisibile, ma nella sua attuale formulazione risulta problematico in più punti:
- le premesse della direttiva introducono delle generiche eccezioni per il software open source, identificandone e riconoscendone fin da subito il valore e l'impatto nei confronti del sistema produttivo (europeo e non), ma sono essenzialmente invalidate dalla scarsa definizione di "fini commerciali"; il termine "commerciale", storicamente ritenuto ambiguo nel contesto legislativo, non aiuta a delimitare un reale perimetro di competenza e responsabilità
- l'articolo 4, comma 3, delinea restrizioni per la distribuzione di "software incompleto" basate su una concezione anacronistica dello sviluppo del software e antitetiche al moderno modello di sviluppo tecnologico, fondato proprio sulla continua iterazione ed evoluzione dei singoli elementi che ne fanno parte
- l'articolo 14 enumera una serie di responsabilità in carico alla figura del "distributore" del software, ma fallisce nell'identificare questo ruolo. Altre norme europee esistenti (in particolare: il Digital Services Act e la Copyright Directive) hanno espressamente introdotto delle eccezioni nei confronti delle piattaforme di hosting software, comunemente usate per attingere ad una enorme quantità di risorse software condivise che accelerano la creazione e la manutenzione di prodotti e soluzioni tecnologiche; senza tali eccezioni, il mercato europeo rischia di essere isolato da tali importanti risorse e privato di un importante vantaggio competitivo rispetto al resto del mondo
- l'articolo 16 sancisce che "chi applica modifiche sostanziali" ad un progetto è considerato al pari dell'autore in termini di responsabilità: questo appare essere un forte disincentivo alla collaborazione intrinseca innescata dal modello di sviluppo open source, che permette ad ogni operatore commerciale - piccolo o grande che sia - di giovare dei perfezionamenti introdotti da tutti gli altri e di mantenere un costante livello di aggiornamento tecnologico e di competitività
Tra gli innumerevoli enti che hanno espresso perplessità e hanno sollecitato interventi per correggere il testo della direttiva, cito qui:
- Open Forum Europe, think tank della Commissione Europea
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13410-Cyber-resilience-act-new-cybersecurity-rules-for-digital-products-and-ancillary-services/F3376663_en- Asstel, associazione italiana della filiera delle telecomunicazioni
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13410-Cyber-resilience-act-new-cybersecurity-rules-for-digital-products-and-ancillary-services/F3376525_enCon questo mio messaggio la invito a mia volta a non approvare la proposta nella sua attuale forma, e a supportare e sostenere emendamenti correttivi ai sopra menzionati articoli.
Grazie per l'attenzione.
Cordiali saluti.
| Commissione | Nome | Cognome | ||||
| ITRE | Massimiliano | Salini | massimiliano.salini@europarl.europa.eu | MaxSalini | massimilianosalini.it | massimilianosalini |
| ITRE | Elena | Lizzi | elena.lizzi@europarl.europa.eu | elenalizzi | scrivolizzi | elena_lizzi_ |
| ITRE | Matteo | Gazzini | matteo.gazzini@europarl.europa.eu | |||
| ITRE | Gianna | Gancia | gianna.gancia@europarl.europa.eu | giannagancia | giannagancia | |
| ITRE | Pietro | Fiocchi | pietro.fiocchi@europarl.europa.eu | FiocchiPietro | On.PietroFiocchi | pietro_fiocchi |
| ITRE | Francesca | Donato | francesca.donato@europarl.europa.eu | ladyonorato | ladyonorato | |
| ITRE | Salvatore | De Meo | salvatore.demeo@europarl.europa.eu | salv_de_meo | DeMeoSalvatore | salvatore_de_meo_ |
| ITRE | Lara | Comi | lara.comi@europarl.europa.eu | |||
| ITRE | Angelo | Ciocca | angelo.ciocca@europarl.europa.eu | |||
| ITRE/INTA | Tiziana | Beghin | tiziana.beghin@europarl.europa.eu | beghin_t | tizianabeghineuropa | |
| ITRE | Isabella | Tovaglieri | isabella.tovaglieri@europarl.europa.eu | IsabellaTovaglieriLega | ||
| ITRE | Aldo | Patriciello | aldo.patriciello@europarl.europa.eu | PatricielloAldo | AldoPatriciello | aldopatriciello57 |
| ITRE | Nicola | Danti | nicola.danti@europarl.europa.eu | DantiNicola | nicola.danti | nicoladantieu |
| ITRE | Beatrice | Covassi | beatrice.covassi@europarl.europa.eu | |||
| ITRE | Ignazio | Corrao | ignazio.corrao@europarl.europa.eu | ignaziocorrao | Corraofb | ignaziocorrao |
| ITRE | Paolo | Borchia | paolo.borchia@europarl.europa.eu | paoloborchia | PaoloBorchiaofficial | paoloborchia |
| ITRE | Matteo | Adinolfi | matteo.adinolfi@europarl.europa.eu | MatteoAdinolfiLega | ||
| ITRE | Patrizia | Toia | patrizia.toia@europarl.europa.eu | toiapatrizia | ToiaPatrizia | patriziatoia |
| INTA | Massimiliano | Smeriglio | massimiliano.smeriglio@europarl.europa.eu | maxsmeriglio | massimiliano.smeriglio | massimilianosmeriglio |
| INTA | Dino | Giarrusso | dino.giarrusso@europarl.europa.eu | dinogiarrusso | ienadinogiarrusso | |
| INTA | Marco | Campomenosi | marco.campomenosi@europarl.europa.eu | mcampomenosi | marco.campomenosi | |
| INTA | Sergio | Berlato | sergio.berlato@europarl.europa.eu | SERGIOBERLATO | SergioBerlato.paginaufficiale | berlatosergioantonio_ |
| INTA | Alessandra | Mussolini | alessandra.mussolini@europarl.europa.eu | Ale_Mussolini_ | ||
| INTA | Danilo Oscar | Lancini | danilooscar.lancini@europarl.europa.eu | doscarlancini | DOscarLancini | danilooscarlancini |
| INTA | Paolo | De Castro | paolo.decastro@europarl.europa.eu | paolodecastro | paolo.decastro |
Commenti