Il Cyber Resilience Act (Cra) suscita preoccupazioni da parte degli sviluppatori di software open source. A lanciare l’allarme sono Eclipse Foundation, Linux Foundation Europe e Osi, che temono che la proposta legislativa europea, volta ad introdurre maggiori requisiti di cyber security, possa avere ripercussioni negative sulla galassia open source.
“Il Cyber Resilience Act”, commenta Claudio Telmon, Senior Partner – Information & Cyber Security at P4I – Partners4Innovation, “è una normativa trasversale che mira ad assicurare un livello minimo di sicurezza per tutti i dispositivi con componenti digitali connessi che non siano già coperti da normative più verticali”.
Ecco perché crea attrito col mondo del software libero e come risolvere i problemi.
Indice degli argomenti
La proposta legislativa: obiettivi e problemi aperti
La proposta legislativa riguarda i requisiti di sicurezza da introdurre per i dispositivi connessi, in un’era di cyber attacchi in forte aumento. Il Cyber Resilience Act prevede sanzioni massime fino ai 15 milioni di euro o pari al 2,5% del fatturato annuo.
La norma punta a mettere in sicurezza dispositivi IoT, come frigoriferi e giocattoli connessi, rendendo i produttori di software e hardware responsabili degli update di sicurezza.
“Si parla ad esempio dei baby monitor, delle webcam di sorveglianza domestica, fino ai frigoriferi connessi”, spiega Claudio Telmon: “Tutti oggetti che, nel tempo hanno mostrato di avere spesso vulnerabilità dovute al fatto che sono prodotti con una forte spinta al risparmio, sacrificando la sicurezza”.
“Il Cyber Resilience Act ha come uno dei temi principali la garanzia che i prodotti non siano immessi sul mercato con vulnerabilità note”, sottolinea Telmon, “e che, nel caso di rilevamento di nuove vulnerabilità, per queste vengano forniti gli aggiornamenti necessari. L’onere viene messo in capo ai produttori, o, particolarmente per i prodotti che sono realizzati all’estero, agli importatori e distributori“.
I problemi rilevati dal mondo del software libero
“L’utilizzo di componenti open source, come prodotti a sé stanti ma molto più come componenti di altri prodotti, è molto più comune di quanto sembri”, evidenzia Telmon, “ma lo è anche in quegli stessi prodotti (webcam, baby monitor, router domestici…) che spesso sono risultati vulnerabili. Questo perché i costi di utilizzo di software open source per il produttore sono in generale più bassi“.
Le criticità sollevate dalla galassia open source sono diverse. Innanzitutto non è possibile paragonare Google Android con piccole organizzazioni, sia sotto il profilo finanziario che operativo.
Il testo della proposta legislativa potrebbe mettere a repentaglio anche le versioni alfa e beta, le fasi preliminari dei software, prima del debutto definitivo. Fasi molto importante per raccogliere i feedback della community e correggere i problemi. Infatti la peculiarità del software open source è che va incontro a continue revisioni.
La possibilità di mettere al microscopio il codice sorgente del software libero lo rende più sicuro perché riceve un monitoraggio costante da parte della comunità.
Infatti, “sarebbe un peccato che queste iniziative venissero in qualche modo bloccate”, conferma Telmon, “perché il beneficio che la società ne sta traendo, particolarmente nell’Unione Europea, è davvero importante. L’attuale proposta del Cyber Resilience Act riconosce la particolarità del software open source, e cerca di tutelarne lo sviluppo e l’utilizzo, ma in contesti abbastanza limitati”.
Ma un nuovo problema si apre su un altro fronte già caldo, quello dell’intelligenza artificiale (AI).
Cyber Resilience Act: i timori dell’open source
Sono circa una dozzina tra associazioni, organizzazioni e fondazioni che riuniscono gli sviluppatori open source, i firmatari di una lettera aperta che chiede alla Commissione europea di prendere in esame alcuni aspetti del Cyber Resilience Act.
Secondo Eclipse Foundation, Linux Foundation Europe e Osi, infatti, il testo della proposta legislativa europea richiede modifiche, per non avere un “effetto dissuasivo” su tutta la community degli sviluppatori open source.
Tuttavia “l’attenzione del legislatore è prima di tutto sul garantire che i prodotti sul mercato siano, alla fine, più sicuri”, spiega Telmon: “È chiaro che non è pensabile che un prodotto possa essere “legittimamente” meno sicuro per il solo fatto di utilizzare componenti open source. Nello stesso tempo, il modello di sviluppo e distribuzione di questo software rende più difficile anche solo individuare chi ne sia responsabile in quanto “produttore”, essendo spesso il frutto di uno sforzo volontario di comunità che rendono disponibile il software spesso senza nessun compenso”.
Il timore dei developer riguarda le licenze open source che prevedono l’uso libero del codice sorgente di un’iniziativa anche nelle piattaforme commerciali. Lo sviluppo della componentistica open source, che rappresenta tra il 70 e il 90 percento dei prodotti software, è spesso seguita da team che non hanno scopo di lucro.
La deadline delle consultazioni pubbliche è prevista il 25 maggio. Dopo questa data, la proposta passerà al vaglio del Parlamento Europeo che potrà emendare la proposta della Commissione Ue. Gli emendamenti sono in tempo per raccogliendo le critiche del mondo open source. In fondo basterebbe riscrivere le norme in modo chiaro, eliminando le ambiguità che possono mettere a rischio il software libero.
Il testo incriminato
Secondo la Python Software Foundation (PSF), il testo della norma potrebbe avere un impatto dirompente, arrivando a mettere i bastoni fra le ruote allo sviluppo e alla distribuzione di programmi open source in Europa.
Il Cyber Resilience Act potrebbe infatti rendere le organizzazioni open source e i singoli sviluppatori responsabili per distribuire codice che potrebbe rivelarsi insicuro.
Dunque, se la proposta legislativa dovesse ampliare il raggio del sistema di autocertificazione della marcatura CE, potrebbe compromettere la comunità open source. Ogni developer potrebbe infatti essere additato come responsabile di una falla scoperta in un software open source.
Le conseguenze dello sfruttamento di una vulnerabilità potrebbe essere addebitata anche un piccolo team o a un singolo sviluppatore open source senza scopo di lucro.
Le soluzioni
Gli spazi per contribuire a migliorare la proposta normativa ci sono. Secondo il Ceo di GitHub, Thomas Dohmke, “questa legislazione dovrebbe esentare gli sviluppatori di software open source dall’ambito applicativo quando entrerà in vigore”, riporta The Verge, “poiché potrebbe creare responsabilità legali onerose per i sistemi di intelligenza artificiale generica (GPAI), offrendo maggiore potere alle grandi imprese ben finanziate”.
“È sicuramente utile intervenire sulla proposta”, conferma Telmon, “per assicurare da una parte che le responsabilità di garantire la sicurezza dei prodotti siano chiare, mettendole il più possibile in capo a chi trae economicamente vantaggio dal software, senza però ridurre le tutele che la norma vuole dare ai cittadini ed alla comunità nel suo complesso”.
“Gli spazi per intervenire ci sono, per quanto vedo”, aggiunge Telmon, “ma certamente sarebbe stato utile se le organizzazioni firmatarie della lettera fossero intervenute prima, dato che i momenti e gli spazi per il confronto, nel processo normativo europeo, sono molti“.
“È probabile che alcuni modelli di sviluppo e distribuzione del software possano doversi adattare. Probabilmente, l’idea che si possa trarre un vantaggio economico dalla distribuzione di un prodotto o componente software, senza assumersi nessuna responsabilità, sarebbe tempo che venisse almeno messa in discussione. Questo vale per molte licenze, non solo per quelle open source”, conclude Telmon.
