Normativa Ue

Cyber Resilience Act, intervenire subito per salvare l’open source: ecco come

Eclipse Foundation, Linux Foundation Europe e Osi temono che la proposta legislativa europea, volta ad introdurre maggiori requisiti di cyber security, possa avere ripercussioni negative sugli sviluppatori di software libero. Ecco perché e come risolvere i problemi

Pubblicato il 19 Apr 2023

Mirella Castigli

Giornalista

Cyber Resilience Act: i timori del mondo open source

Il Cyber Resilience Act (Cra) suscita preoccupazioni da parte degli sviluppatori di software open source. A lanciare l’allarme sono Eclipse Foundation, Linux Foundation Europe e Osi, che temono che la proposta legislativa europea, volta ad introdurre maggiori requisiti di cyber security, possa avere ripercussioni negative sulla galassia open source.

“Il Cyber Resilience Act”, commenta Claudio Telmon, Senior Partner – Information & Cyber Security at P4I – Partners4Innovation, “è una normativa trasversale che mira ad assicurare un livello minimo di sicurezza per tutti i dispositivi con componenti digitali connessi che non siano già coperti da normative più verticali”.

Ecco perché crea attrito col mondo del software libero e come risolvere i problemi.

La proposta legislativa: obiettivi e problemi aperti

La proposta legislativa riguarda i requisiti di sicurezza da introdurre per i dispositivi connessi, in un’era di cyber attacchi in forte aumento. Il Cyber Resilience Act prevede sanzioni massime fino ai 15 milioni di euro o pari al 2,5% del fatturato annuo.

La norma punta a mettere in sicurezza dispositivi IoT, come frigoriferi e giocattoli connessi, rendendo i produttori di software e hardware responsabili degli update di sicurezza.

“Si parla ad esempio dei baby monitor, delle webcam di sorveglianza domestica, fino ai frigoriferi connessi”, spiega Claudio Telmon: “Tutti oggetti che, nel tempo hanno mostrato di avere spesso vulnerabilità dovute al fatto che sono prodotti con una forte spinta al risparmio, sacrificando la sicurezza”.

“Il Cyber Resilience Act ha come uno dei temi principali la garanzia che i prodotti non siano immessi sul mercato con vulnerabilità note”, sottolinea Telmon, “e che, nel caso di rilevamento di nuove vulnerabilità, per queste vengano forniti gli aggiornamenti necessari. L’onere viene messo in capo ai produttori, o, particolarmente per i prodotti che sono realizzati all’estero, agli importatori e distributori“.

I problemi rilevati dal mondo del software libero

“L’utilizzo di componenti open source, come prodotti a sé stanti ma molto più come componenti di altri prodotti, è molto più comune di quanto sembri”, evidenzia Telmon, “ma lo è anche in quegli stessi prodotti (webcam, baby monitor, router domestici…) che spesso sono risultati vulnerabili. Questo perché i costi di utilizzo di software open source per il produttore sono in generale più bassi“.

Le criticità sollevate dalla galassia open source sono diverse. Innanzitutto non è possibile paragonare Google Android con piccole organizzazioni, sia sotto il profilo finanziario che operativo.

Il testo della proposta legislativa potrebbe mettere a repentaglio anche le versioni alfa e beta, le fasi preliminari dei software, prima del debutto definitivo. Fasi molto importante per raccogliere i feedback della community e correggere i problemi. Infatti la peculiarità del software open source è che va incontro a continue revisioni.

La possibilità di mettere al microscopio il codice sorgente del software libero lo rende più sicuro perché riceve un monitoraggio costante da parte della comunità.

Infatti, “sarebbe un peccato che queste iniziative venissero in qualche modo bloccate”, conferma Telmon, “perché il beneficio che la società ne sta traendo, particolarmente nell’Unione Europea, è davvero importante. L’attuale proposta del Cyber Resilience Act riconosce la particolarità del software open source, e cerca di tutelarne lo sviluppo e l’utilizzo, ma in contesti abbastanza limitati”.

Ma un nuovo problema si apre su un altro fronte già caldo, quello dell’intelligenza artificiale (AI).

Cyber Resilience Act: i timori dell’open source

Sono circa una dozzina tra associazioni, organizzazioni e fondazioni che riuniscono gli sviluppatori open source, i firmatari di una lettera aperta che chiede alla Commissione europea di prendere in esame alcuni aspetti del Cyber Resilience Act.

Secondo Eclipse Foundation, Linux Foundation Europe e Osi, infatti, il testo della proposta legislativa europea richiede modifiche, per non avere un “effetto dissuasivo” su tutta la community degli sviluppatori open source.

Tuttavia “l’attenzione del legislatore è prima di tutto sul garantire che i prodotti sul mercato siano, alla fine, più sicuri”, spiega Telmon: “È chiaro che non è pensabile che un prodotto possa essere “legittimamente” meno sicuro per il solo fatto di utilizzare componenti open source. Nello stesso tempo, il modello di sviluppo e distribuzione di questo software rende più difficile anche solo individuare chi ne sia responsabile in quanto “produttore”, essendo spesso il frutto di uno sforzo volontario di comunità che rendono disponibile il software spesso senza nessun compenso”.

Il timore dei developer riguarda le licenze open source che prevedono l’uso libero del codice sorgente di un’iniziativa anche nelle piattaforme commerciali. Lo sviluppo della componentistica open source, che rappresenta tra il 70 e il 90 percento dei prodotti software, è spesso seguita da team che non hanno scopo di lucro.

La deadline delle consultazioni pubbliche è prevista il 25 maggio. Dopo questa data, la proposta passerà al vaglio del Parlamento Europeo che potrà emendare la proposta della Commissione Ue. Gli emendamenti sono in tempo per raccogliendo le critiche del mondo open source. In fondo basterebbe riscrivere le norme in modo chiaro, eliminando le ambiguità che possono mettere a rischio il software libero.

Il testo incriminato

Secondo la Python Software Foundation (PSF), il testo della norma potrebbe avere un impatto dirompente, arrivando a mettere i bastoni fra le ruote allo sviluppo e alla distribuzione di programmi open source in Europa.

Il Cyber Resilience Act potrebbe infatti rendere le organizzazioni open source e i singoli sviluppatori responsabili per distribuire codice che potrebbe rivelarsi insicuro.

Dunque, se la proposta legislativa dovesse ampliare il raggio del sistema di autocertificazione della marcatura CE, potrebbe compromettere la comunità open source. Ogni developer potrebbe infatti essere additato come responsabile di una falla scoperta in un software open source.

Le conseguenze dello sfruttamento di una vulnerabilità potrebbe essere addebitata anche un piccolo team o a un singolo sviluppatore open source senza scopo di lucro.

Le soluzioni

Gli spazi per contribuire a migliorare la proposta normativa ci sono. Secondo il Ceo di GitHub, Thomas Dohmke, “questa legislazione dovrebbe esentare gli sviluppatori di software open source dall’ambito applicativo quando entrerà in vigore”, riporta The Verge, “poiché potrebbe creare responsabilità legali onerose per i sistemi di intelligenza artificiale generica (GPAI), offrendo maggiore potere alle grandi imprese ben finanziate”.

“È sicuramente utile intervenire sulla proposta”, conferma Telmon, “per assicurare da una parte che le responsabilità di garantire la sicurezza dei prodotti siano chiare, mettendole il più possibile in capo a chi trae economicamente vantaggio dal software, senza però ridurre le tutele che la norma vuole dare ai cittadini ed alla comunità nel suo complesso”.

“Gli spazi per intervenire ci sono, per quanto vedo”, aggiunge Telmon, “ma certamente sarebbe stato utile se le organizzazioni firmatarie della lettera fossero intervenute prima, dato che i momenti e gli spazi per il confronto, nel processo normativo europeo, sono molti“.

“È probabile che alcuni modelli di sviluppo e distribuzione del software possano doversi adattare. Probabilmente, l’idea che si possa trarre un vantaggio economico dalla distribuzione di un prodotto o componente software, senza assumersi nessuna responsabilità, sarebbe tempo che venisse almeno messa in discussione. Questo vale per molte licenze, non solo per quelle open source”, conclude Telmon.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 2