In base al Cyber Resilience Act anche i singoli programmatori volontari sarebbero responsabili per il codice non sicuro.
[ZEUS News - www.zeusnews.it - 17-04-2023]
Dallo scorso settembre l'Unione Europea sta valutando due proposte di legge mirate a promuovere la sicurezza dei prodotti digitali e a tutelare i consumatori in caso di danni causati da prodotti resi insicuri da aggiornamenti software, il Cyber Resilience Act (CRA, Atto legislativo sulla ciberresilienza) e il Product Liability Act.
In entrambi i casi si tratta di proposte che si trovano ancora nella fase di consultazione, ma alcuni elementi presenti in esse hanno già suscitato preoccupazione in diverse realtà importanti del panorama informatico.
A dare voce alle proprie perplessità è innanzitutto la Python Software Foundation (PSF), la quale ha rilevato come il Cyber Resilience Act in particolare rischi di rendere le organizzazioni e gli individui che distribuiscono software open source ingiustamente responsabili per eventuali errori nel codice.
La fondazione Python, che supervisiona e promuove il linguaggio di programmazione Python a livello globale, sostiene che le leggi sono troppo vaghe e non fanno netta distinzione tra gli autori indipendenti di componenti open source (che lavorano "per la gloria", senza compenso) e le grandi aziende tecnologiche che vendono prodotti open source agli utenti finali, rendendo i primi tanto responsabili quanto le seconde di eventuali problemi in cui possano incorrere gli utenti a causa di bug nel codice capaci di compromettere la sicurezza.
La proposta di normativa europea prevede multe fino a 15 milioni di euro o fino al 2,5% del fatturato annuo per chi venisse riconosciuto responsabile di un problema di sicurezza software, e la mancanza di chiarezza citata comporta che gli sviluppatori volontari di software open source, ma anche le realtà come la stessa PSF che coordinano lo sviluppo di progetti a sorgente aperto, possano venire considerati responsabili, anche se non hanno mai tratto un guadagno dai prodotti.
«In base alla formulazione attuale, la PSF potrebbe essere finanziariamente responsabile per qualsiasi prodotto che includa codice Python, pur non avendo mai ricevuto alcun guadagno monetario da tali prodotti» scrive la Fondazione le cui attività sarebbero a rischio, per lo meno in Europa, se il CRA venisse approvato così com'è: la PSF non potrebbe più continuare a fornire Python e PyPI (il Python Package Index) nel Vecchio Continente.
La fondazione Python chiede pertanto ai legislatori europei di chiarire il linguaggio delle proposte di legge, in modo da escludere le organizzazioni e gli sviluppatori open source dalla responsabilità per i difetti nei prodotti commerciali che incorporano il loro codice, sottolineando come imporre agli sviluppatori open source la responsabilità per i loro contributi al codice scoraggi la partecipazione ai progetti open source e danneggi l'innovazione e la collaborazione nel settore informatico.
A rischio - si capisce - non c'è soltanto l'ecosistema Python: le preoccupazioni della PSF coinvolgono tutte le realtà open source. Non a caso, in termini simili si sono già espresse la Eclipse Foundation, la Open Source Initiative, e diversi altri: a rischio ci sono l'uso e lo sviluppo di software open source in Europa.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
Gladiator