Dallo scorso settembre l'Unione Europea sta valutando due proposte di legge mirate a promuovere la sicurezza dei prodotti digitali e a tutelare i consumatori in caso di danni causati da prodotti resi insicuri da aggiornamenti software, il Cyber Resilience Act (CRA, Atto legislativo sulla ciberresilienza) e il Product Liability Act.

In entrambi i casi si tratta di proposte che si trovano ancora nella fase di consultazione, ma alcuni elementi presenti in esse hanno già suscitato preoccupazione in diverse realtà importanti del panorama informatico.

A dare voce alle proprie perplessità è innanzitutto la Python Software Foundation (PSF), la quale ha rilevato come il Cyber Resilience Act in particolare rischi di rendere le organizzazioni e gli individui che distribuiscono software open source ingiustamente responsabili per eventuali errori nel codice.

La fondazione Python, che supervisiona e promuove il linguaggio di programmazione Python a livello globale, sostiene che le leggi sono troppo vaghe e non fanno netta distinzione tra gli autori indipendenti di componenti open source (che lavorano "per la gloria", senza compenso) e le grandi aziende tecnologiche che vendono prodotti open source agli utenti finali, rendendo i primi tanto responsabili quanto le seconde di eventuali problemi in cui possano incorrere gli utenti a causa di bug nel codice capaci di compromettere la sicurezza.

Proposte di lettura:

Una libreria open source per aggiungere la IA ai siti web

L'antivirus open source ClamAV raggiunge la versione 1.0

LibreOffice diventa a pagamento

2022, fuga dall'open source

La proposta di normativa europea prevede multe fino a 15 milioni di euro o fino al 2,5% del fatturato annuo per chi venisse riconosciuto responsabile di un problema di sicurezza software, e la mancanza di chiarezza citata comporta che gli sviluppatori volontari di software open source, ma anche le realtà come la stessa PSF che coordinano lo sviluppo di progetti a sorgente aperto, possano venire considerati responsabili, anche se non hanno mai tratto un guadagno dai prodotti.

«In base alla formulazione attuale, la PSF potrebbe essere finanziariamente responsabile per qualsiasi prodotto che includa codice Python, pur non avendo mai ricevuto alcun guadagno monetario da tali prodotti» scrive la Fondazione le cui attività sarebbero a rischio, per lo meno in Europa, se il CRA venisse approvato così com'è: la PSF non potrebbe più continuare a fornire Python e PyPI (il Python Package Index) nel Vecchio Continente.

Leggi anche:

Dall'UE l'alternativa autarchica a Microsoft Office

Il sistema operativo open source che ridà vita ai vecchi smartphone

CentOS, c'è un successore

Il sogno del software libero, open source ed eterno

La fondazione Python chiede pertanto ai legislatori europei di chiarire il linguaggio delle proposte di legge, in modo da escludere le organizzazioni e gli sviluppatori open source dalla responsabilità per i difetti nei prodotti commerciali che incorporano il loro codice, sottolineando come imporre agli sviluppatori open source la responsabilità per i loro contributi al codice scoraggi la partecipazione ai progetti open source e danneggi l'innovazione e la collaborazione nel settore informatico.

A rischio - si capisce - non c'è soltanto l'ecosistema Python: le preoccupazioni della PSF coinvolgono tutte le realtà open source. Non a caso, in termini simili si sono già espresse la Eclipse Foundation, la Open Source Initiative, e diversi altri: a rischio ci sono l'uso e lo sviluppo di software open source in Europa.

Articoli raccomandati:

Windows XP, il codice sorgente finisce in Rete

Il Game Boy a energia solare che può funzionare per sempre

Anche Windows ha il suo gestore di pacchetti in stile Linux

Huawei sotto accusa per la patch che rende Linux meno sicuro