La commissione europea, già dal 15 Settembre scorso, ha pubblicato una bozza di legge finalizzata ad aumentare, a livello europeo, gli standard di sicurezza informatica sia sotto il profilo software che dal punto di vista hardware, denominata “Cyber Resilience Act”.
Alla base di questa riforma, ci sarebbe l’idea di rendere autori e sviluppatori responsabili di eventuali falle di sicurezza che dovessero emergere durante (includendo anche fasi di sviluppo Apha e Beta) e/o successivamente allo sviluppo del progetto.
Se da una parte questa iniziativa può sembrare non solo auspicabile ma addirittura necessaria,
per poter garantire e certificare all’utente finale la sicurezza di un prodotto informatico, questa misura, se interpretata alla lettera, potrebbe produrre effetti che indirettamente colpirebbero tutto il comparto di sviluppatori indipendenti del mercato “Open-Source”, che potrebbero essere ritenuti legalmente responsabili per eventuali falle di sicurezza riscontrate in progetti al quale, questi sviluppatori, hanno contribuito a vario titolo, anche un progetto che non è mai stato pensato per essere destinato alla distribuzione o alla vendita.
All’interno della comunità Open-Source, sono molte le community e le compagnie di questo mercato che hanno già iniziato a manifestare le loro perplessità in merito a questo provvedimento (fonte). Tra le varie società spicca la Python Foundation, che tra le varie mozioni presenti in questo articolo, evidenzia quanto questa manovra, non contemplando la profonda differenza tra “Tech Corporate” e sviluppatori indipendenti, rischi di diventare un disincentivo per tutto il mercato Open-Souce.
Il CRA quindi, nonostante il nobile intento con il quale è stato concepito, ha anche evidenziato tanti aspetti a cui è necessario prestare la dovuta attenzione
per approfondire:
Commenti recenti