Indice dell'articolo

I rappresentanti delle aziende e associazioni a cui fanno capo i quattro principali CMS open source – WordPress, Drupal, Joomla e Typo3 – hanno scritto ai legislatori dell’Unione Europea una lettera aperta in cui manifestano preoccupazioni e perplessità nella formulazione del Cyber Resilience Act.

Secondo i firmatari, alcune definizioni poco chiare nella legge – attualmente in discussione – potrebbero portare non solo a una limitazione dello sviluppo e dell’adozione del software open source nell’Unione, ma anche a una riduzione della sicurezza stessa dei software, vanificando gli intenti della legge.

Il Cyber Resilience Act è una legge che imporrà ai vendor di prodotti hardware e software alcuni requisiti minimi di sicurezza sui propri prodotti e li obbligherà a garantire aggiornamenti che correggano vulnerabilità scoperte dopo la vendita.

La legge europea mira in particolare a proteggere gli acquirenti di dispositivi come router, webcam, stampanti, sensori e interruttori smart e ogni tipo di dispositivo IoT. A differenza dei principali sistemi operativi, infatti, spesso questi prodotti non ricevono aggiornamenti di sicurezza successivamente alla vendita, nemmeno quando vengono rese note vulnerabilità che affliggono le componenti software utilizzate dai vendor, siano esse proprietarie oppure open source.

Il gruppo ha anche realizzato un webinar in cui presenta alla comunità i contenuti della lettera aperta.

Cyber Resilience Act: i dubbi della comunità open source

Il Cyber Resilience Act in teoria distingue prodotti commerciali e software gratuiti e liberi, esentando i curatori di questi ultimi da una serie di obblighi, ma i firmatari della lettera raccolti nell’Inter-CMS Working Group puntano il dito su alcune definizioni ritenute troppo generiche, rischiando di vanificare questa distinzione per gran parte dei progetti FOOS (Free and Open Source Software). Ecco le principali contestazioni contenute nella lettera.

La definizione di “attività commerciale”

L’esenzione dalla legge per le attività non commerciali non considera l’intricata rete di relazioni che sostiene il software open source e il suo ruolo nell’economia digitale, e che include relazioni tra vendor e consumatori, editori e distributori, consumatori e contributor, aziende, istituzioni e altri soggetti ancora.

Per esempio, aziende e fondazioni ricevono finanziamenti per sviluppare software open source; aziende e individui distribuiscono software open source gratuitamente ma offrendo servizi di supporto a pagamento; alcune aziende utilizzano il tempo dei propri dipendenti o ingaggiano software house per apportare modifiche al software open source, integrando poi i nuovi sviluppi nella codebase del progetto.

L’esenzione per le attività non commerciali non considera l’intricata rete di relazioni che sostiene il software open source e il suo ruolo nell’economia digitale

Tutte le organizzazioni che ricadano in queste categorie potrebbero essere gravate da fardelli burocratici, o decidere di rinunciare a questo tipo di attività, lasciando il campo aperto alle grandi software house americane che sviluppano software proprietario.

Il confuso concetto di “software non definitivo”

Il divieto di rilasciare software in versione non definitiva è in contrasto con la realtà dei fatti per quanto riguarda lo sviluppo software moderno, tanto quello commerciale quanto quello open source, che da decenni prevede il rilascio di versioni preliminari alfa e beta, diffuse proprio allo scopo di permettere a migliaia di tester di individuare bug e vulnerabilità.

Secondo l’Inter-CMS Working Group, i concetti di versioni pre-release sono ben conosciuti nell’ambiente e necessari per la sicurezza e la competitività stessa delle aziende europee, piccole e grandi.

La natura modulare e globale del software open source

Per sua natura, il software open source è spesso costituito aggregando codice da diversi altri progetti FOOS, e questo su scala globale. Pensare di poter creare un sottoinsieme di software conformi alle norme EU, slegato dal resto del mondo open source, è irrealistico. Se anche fosse possibile, taglierebbe fuori aziende, organizzazioni governative e individui europei da gran parte dell’innovazione, danneggiando soprattutto le PMI.

Invito alla collaborazione

Dopo aver ribadito l’importanza che i CMS open source hanno nell’economia digitale globale ed europea, i firmatari hanno fatto alcune raccomandazioni sugli interventi da fare nella legge, in particolare definendo in modo più rigoroso il software open source, ed esentando le comunità e organizzazioni attive nel suo sviluppo dalle responsabilità legali.

Il gruppo ha poi invitato i rappresentanti dell’unione europea coinvolti nello sviluppo della legge a partecipare a un seminario da tenersi a Bruxelles, e a stabilire una collaborazione per arrivare a una stesura della legge che possa garantire sia la sicurezza dei cittadini e delle organizzazioni europee senza limitare o impedire l’adozione del software open source.