Il Cyber Resilience Act (CRA), proposto dalla Commissione Europea, mira a migliorare la sicurezza dei prodotti e servizi digitali. Sebbene l'iniziativa prometta di innalzare gli standard di sicurezza informatica, introducendo un marchio CE per il software, le sue implicazioni potrebbero risultare devastanti per l'ecosistema open source. L'assenza di una chiara distinzione tra sviluppatori indipendenti e grandi aziende tecnologiche rischia di imporre oneri legali e finanziari insostenibili per i piccoli contributori di software libero.
Uno dei punti critici del CRA riguarda la responsabilità legale per le vulnerabilità del software open source, che potrebbe ricadere sugli sviluppatori indipendenti, anche quando il loro codice viene utilizzato da colossi commerciali senza il loro consenso. Inoltre, la proposta di limitare l'accesso a software incompleto, come le versioni beta, pone un freno significativo al modello di sviluppo collaborativo che è la spina dorsale dell'open source. Questa restrizione minaccia di soffocare l'innovazione e la cooperazione, pilastri fondamentali per il progresso tecnologico.
L'ambiguità nella definizione di attività commerciale all'interno del CRA rappresenta un ulteriore ostacolo per le organizzazioni open source, che potrebbero essere escluse dalle esenzioni previste. La Python Software Foundation, ad esempio, rischia di essere classificata come entità commerciale, nonostante il suo contributo gratuito al panorama software globale. Se il CRA venisse attuato nella sua forma attuale, potrebbe isolare l'industria del software europea, compromettendo la sua competitività a livello globale e rallentando l'innovazione.
In questa Puntata
Il Cyber Resilience Act minaccia l'open source: un disastro annunciato per l'Europa?