Cyber Resilience Act e rischi per l'Open Source

Come diverse altre organizzazioni legate al mondo dell'Open Source, anche la PSF (Python Software Foundation) ha voluto sottolineare le criticità del CRA (Cyber Resilience Act). Quest'ultimo è finalizzato principalmente a garantire la sicurezza del software distribuito in Europa, responsabilizzando sia le software house che i fornitori. Per far questo sono stati introdotti dei requisiti minimi per la conformità ai nuovi standard nonché sanzioni in caso di abusi e negligenze.

CRA sanzioni e limitazioni

Ma perché i componenti della PSF hanno deciso di esprimere la loro contrarietà? Per via del fatto che secondo quanto stabilito dal CRA chiunque potrebbe essere ritenuto responsabile di una vulnerabilità presente in un software libero e delle sue conseguenze. Grandi aziende, piccoli sviluppatori e semplici contributor volontari potrebbero essere chiamati a rispondere delle problematiche di un'applicazione e dei danni subiti dall'utilizzatore. Nessuna differenza tra chi opera a titolo gratuito e chi, invece, trae profitto da un software.

Le licenze Open Source prevedono che il codice sorgente di un progetto possa essere impiegato liberamente anche all'interno di piattaforme commerciali. Ciò consente tra l'altro di modificare il software di base aggiungendo in esso nuove funzionalità. Stando a quanto previsto dal CRA anche chi opera delle modifiche sostanziali potrebbe quindi essere chiamato in causa per eventuali violazioni.

Nello stesso modo il CRA prevede il divieto di distribuire applicazioni incomplete, quindi in pratica qualsiasi versione Alpha o Beta. Considerando però che oggi come oggi nessuna piattaforma Open Source può essere considerata "completa", anche per il solo fatto di subire revisioni continue, le possibili conseguenze negative per il software libero possono essere facilmente immaginabili.

La posizione degli sviluppatori di Python

Le consultazioni riguardanti l'eventuale approvazione del CRA termineranno il 25 maggio 2023. Se approvata tale norma potrebbe dar luogo a sanzioni fino a 15 milioni di euro o il 2.5% del fatturato su base annuale per i contravventori.

Secondo i membri della PSF, che è un'organizzazione senza scopo di lucro, il fatto che nel CRA siano previste delle esenzioni per chi opera per fini non commerciali non basterebbe a tutelare la community Open Source. Infatti la PSF adotta alcune modalità di monetizzazione per il suo mantenimento, come per esempio corsi e consulenze. Teoricamente queste ultime potrebbero essere configurate come attività commerciali.

Nello stesso modo, essendo la sviluppatrice del linguaggio, PSF potrebbe essere accusata di aver violato il CRA per un qualsiasi software sviluppato utilizzando Python.