Il testo della proposta di Regolamento Europeo sulla cybersecurity, noto come Cyber Resilience Act, subisce alcune modifiche e si avvicina alla versione definitiva. Lo scorso 30 Novembre le istituzioni comunitarie hanno raggiunto un accordo politico sul testo finale del regolamento, ponendo fine alla fase di negoziazioni nota come "trilogo".
Per quanto la versione aggiornata del testo del Cyber Resilience Act non sia stata ancora divulgata, in questo articolo analizziamo le recenti modifiche di cui si ha notizia. Ci soffermiamo in particolare sulle criticità inerenti al settore del software open source: vediamo se, e in che misura, le critiche avanzate dalla comunità open source nei mesi scorsi sono state recepite con le modifiche apportate al testo.
Con il nostro articolo sul Cyber Resilience Act abbiamo illustrato il contenuto della normativa europea proposta in materia di cybersecurity. Abbiamo anche reso conto delle reazioni che la normativa in argomento ha generato tra la comunità open source: sviluppatori, aziende, think thank, semplici utenti e sostenitori. Per un esame delle disposizioni del regolamento rinviamo dunque al nostro precedente articolo.
Compliance eccessiva
Qui possiamo brevemente ricordare che la critica principale mossa al Cyber Resilience Act dal movimento open source è stata quella del carico proibitivo di responsabilità e sanzioni imposto a chiunque contribuisca allo sviluppo di software. Un problema evidente per i progetti open source, dove il lavoro viene condiviso tra tanti sviluppatori che, secondo il testo precedente alle ultime modifiche, avrebbero finito per essere in molti casi soggetti agli adempimenti e responsabilità previste dal regolamento.
È stato dunque osservato che il Cyber Resilience Act rappresenterebbe un potente disincentivo alla partecipazione a progetti open source, soprattutto a titolo gratuito come spesso accade. Chi donerebbe il proprio codice rischiando di essere poi chiamato in causa per eventuali bug o il mancato rispetto di una normativa complessa e severa?
Nei mesi scorsi le ragioni dell'open source sono state portate avanti con attività di informazione e lobbying volte a spiegare i limiti di una regolamentazione così concepita e i rischi che essa pone per la competitività dell'Europa nel settore dello sviluppo del software.
La deroga per l'open source
Da quanto ci è dato sapere, le negoziazioni intercorse tra le istituzioni comunitarie hanno prodotto un testo che prova a chiarire i termini della esenzione dal Cyber Resilience Act
per chi sviluppa software open source. Difatti, la versione precedente del testo provava (maldestramente) ad esentare il software open source dalla applicazione del regolamento, ponendo una condizione: il software doveva essere fornito al di fuori di una attività commerciale
.
Tuttavia, tale esenzione veniva neutralizzata dalla previsione secondo cui, pur fornendo gratis il software, il soggetto che avesse offerto anche altri servizi a pagamento (cosa frequente tra le aziende attive nel settore dell'open source), sarebbe comunque stato considerato come esercente una attività commerciale e in quanto tale vincolato al rispetto del regolamento.
Le ultime modifiche apportate al testo superano questa limitazione e chiariscono che il software open source, se non viene monetizzato dal produttore, non è considerato frutto di una attività commerciale, venendo così sottratto alla applicazione del regolamento. L'esenzione opera indipendentemente da come l'attività sia finanziata, coprendo anche i casi in cui, insieme al software fornito gratis, vengono offerti anche altri servizi a pagamento (ad esempio assistenza tecnica).
Tutto qui?
Tuttavia, anche con una tale precisazione ed estensione della deroga, senz'altro utile e benvenuta, rimane il fatto che far dipendere l'applicazione del regolamento dall'esercizio di una attività commerciale finirebbe per colpire quelle realtà imprenditoriali che, non essendo grandi aziende, troverebbero insostenibili i maggiori costi di compliance a loro carico.
Oltretutto, questo vorrebbe dire in molti casi rendere la vita impossibile proprio a coloro che, secondo lo schema tipico dell'open source, lavorano in maniera condivisa allo sviluppo di software destinato proprio alla cybersecurity. Il fatto che lo facciano attraverso una attività commerciale non rende il loro contributo meno importante o meritevole di supporto.
Per quanto ogni ulteriore commento è rimandato a quando il testo definitivo sarà disponibile, il rischio è quello di dover confermare le riserve formulate in precedenza sul Cyber Resilience Act, così riassumibili:
- ostacolo per i piccoli produttori di software
- vantaggio per i giganti del settore, più equipaggiati a far fronte ad una compliance ipertrofica;
- perdita di competitività dell'Europa nel settore dello sviluppo del software;
- meno cybersecurity.
Il che, finirebbe per avere effetti paradossali rispetto agli intenti dichiarati, o per meglio dire sbandierati, dalla normativa.
Prossimi step: approvazione ed entrata in vigore del Cyber Resilience Act
Il testo del Cyber Resilience Act dovrà ora essere formalmente approvato da Parlamento Europeo e Consiglio; è possibile che vengano apportate ulteriori modifiche, per quanto normalmente in tale fase il testo è soggetto ad una revisione più che altro di natura giuridico-linguistica.
A seguito della approvazione, il testo verrà pubblicato sulla Gazzetta Ufficiale dell'Unione Europea ed entrerà in vigore 20 giorni dopo la pubblicazione.
L'applicazione del regolamento è differita di 36 mesi rispetto alla entrata in vigore: questo per consentire ai soggetti tenuti al rispetto della normativa di prepararsi al rispetto dei nuovi requisiti. Tale periodo di transizione è più breve, 21 mesi, per le norme relative all'obbligo di denunciare incidenti o vulnerabilità.
Vincenzo Lalli
Di formazione legale, appassionato da sempre di tecnologia ed informatica; esperienza professionale acquisita a cavallo tra i due mondi, finora piuttosto lontani tra loro. Mi dedico ad esplorare le crescenti interazioni tra il Diritto e la tecnologia, e a dare il mio contributo alla causa dell'innovazione nel settore legale; a tal fine, ho dato vita ad Avvocloud.net.