Il Cyber Resilience Act (CRA) è una proposta legislativa della Commissione Europea che punta a migliorare la resilienza e la sicurezza informatica dei prodotti e servizi digitali nel mercato unico europeo. L'obiettivo è garantire che i prodotti digitali siano progettati e distribuiti con alti standard di sicurezza, proteggendo gli utenti finali, le infrastrutture critiche e i dati sensibili. La legge introduce requisiti di sicurezza per produttori e operatori, promuovendo l'uso di strumenti di valutazione della sicurezza informatica e una sorta di marchio CE per la sicurezza dei software.
Tuttavia, il CRA solleva preoccupazioni significative per l'open source. La proposta non distingue tra sviluppatori indipendenti e giganti tecnologici, applicando le stesse responsabilità legali a entrambi. Ciò potrebbe portare a situazioni in cui piccoli sviluppatori open source, spesso volontari, sono tenuti a rispondere delle vulnerabilità presenti nei loro software, anche se utilizzati in prodotti commerciali senza il loro consenso. Questo approccio contrasta con l'essenza dell'open source, che si basa sulla condivisione e sulla modifica libera del software senza gravosi oneri di responsabilità.
Inoltre, il CRA potrebbe limitare l'accesso a software incompleto, come le versioni beta, ostacolando il processo di sviluppo che fa affidamento sul feedback degli utenti nelle fasi iniziali. Anche l'esenzione prevista per i progetti open source non commerciali è problematica, poiché molte organizzazioni open source, pur offrendo servizi a pagamento, potrebbero essere considerate commerciali e quindi escluse dai benefici dell'esenzione.
Queste problematiche rischiano di isolare l'industria del software europea, riducendo la competitività rispetto ai paesi extraeuropei e rallentando lo sviluppo tecnologico. La proposta, se attuata nella forma attuale, potrebbe avere ripercussioni negative sull'intero ecosistema digitale europeo, minando la libertà e l'innovazione che l'open source ha storicamente sostenuto.
In questa Puntata
Il Cyber Resilience Act proposto dalla Commissione Europea mira a migliorare la sicurezza informatica dei prodotti digitali, ma solleva preoccupazioni per l'impatto sul software open source. La mancata distinzione tra sviluppatori indipendenti e grandi aziende tecnologiche potrebbe imporre responsabilità legali e finanziarie eccessive agli autori di open source, minacciando l'innovazione e la competitività del settore in Europa.