Con una lettera alla Commissione, il mondo dell'Open Source alza il livello del confronto (mai iniziato) con la Commissione, che tira diritta così come per l'AI act.
In linea di principio il CRA, Cyber Resilience Act, esprime principi corretti. I criteri di attuazione vanificano i successi di un mondo libero che si è autoregolamentato con successo per quaranta anni almeno, pur subendo attacchi da ogni parte.
Nel concreto: con il CRA è responsabile sempre chi produce, non chi distribuisce il software.
Un principio che letto così potrebbe sembrare ovvio. Conosciamo tutti la responsabilità del produttore per prodotto difettoso.
Ma il software non è un prodotto. E' un bene immateriale protetto da diritto d'autore.
Chiunque distribuisce servizi e usa software open source lo deve scegliere. Per valutare il contesto, i presupposti, lo sviluppo, le debolezze, la vitalità, e altro ancora. Di tutte queste attività non c'è traccia: si scarica tutto sul produttore, non su chi commercializza.
E' come regolare il mondo dell'agricoltura con regole adatte alle banche. Principi magari anche corretti, ma inconferenti (atto legale che non ha alcuna correlazione con il caso concreto).
E' il solito errore di contesto: applico norme pensate per un contesto anche a contesti diversi, ottenendo conseguenze paradossali.
Ad esempio: interrogo un software per conversare di tutto per chiedergli un parere legale, e per questo lo sanziono. Come se entrassi in gelateria e chiedessi al dipendente se posso pagare con una cambiale. Lo chiedo al titolare, non al dipendente che dichiara di non essere istruito sul punto, e mi chiede comunque se voglio un gelato.
Il mondo legale ha scritto norme adatte ad una economia industriale e di servizi. Ignorano i meccanismi dell'Open Source che hanno reso internet aperta nonostante i GAFAM. Ora la Commissione criminalizza l'open source a favore delle GAFAM.
Il mondo dell'Open Source si è unito contro questo attacco e scrive senza mezzi termini.
"However, in their current form, the proposed regulations run the risk of reducing software security, as well as undermining the EU’s core aims and values, as we explain below".
Come dire: noi sappiamo cos'è la sicurezza da 40 anni, voi state scrivendo una legge per la sicurezza e la state minando dalle fondamenta.
Voglio essere ancora più chiaro: In un contesto di produzione diffusa e gratuita imporre alla produzione meccanismi di controllo tipici delle multinazionali è un attacco alla libera impresa e alla concorrenza.
Un attacco così diretto e così sottile che fa pensare che ci siano persone che non fanno altro che minare lo sviluppo dell'Europa per i prossimi 50 anni.
Ho già visto qualcosa di simile, su scala nazionale. Si chiamò Spaghetti hacker, se non erro era il 1994. In nome della tutela del software indagarono quasi tutta la rete Fidonet, il cui compito era trasmettere messaggio e software open source, perchè due utenti (non due sysop della rete), scambiavano software illegale.
Le conseguenze ? L'Italia perse 10 anni di innovazione nel momento in cui in Francia, come da noi, si decollava e stavamo facendo alfabetizzazione informatica. Di piu': eravamo andati al CNR di Genova a proporre una rete aperta, libera e distribuita per connettere le scuole italiane.
Questa è storia da ricordare. E queste sono le mie valutazioni personali.
Seguono i link ai comunicati ufficiali.
Non distraetevi ad agosto. Noi, il web diffuso, non ci distriamo e mostriamo il calumet della pace a chi ci vuole distruggere.
Le conseguenze per gli utenti ? Solo servizi americani con software proprietario e chiuso.
Ricordate: il software chiuso (come WhatsApp) significa che possono cambiarlo come vogliono.
Ah, ma non lo fanno ... Su Whatsapp possono disattivare la crittografia per ogni esigenza, senza preavviso. Pensiero dedicato agli idioti che usano WA pensando di poter evadere il fisco. Lasciano anche altre tracce.
Oppure installate un programma per tracciare installazioni di app su Android da parte di Google Play (non open source) Scoprirete che nella notte Google installa una app e poi la cancella. Fortunatamente non lo fanno più da tempo, ma ora ci sono i logger che monitorano le attività e le riferiscono al titolare.
Quindi siete liberi di pensare: "tanto non ho nulla da nascondere".
A me interessa: "chi vuole sapere cosa faccio, come userà quello che trova su di me?". Terrà quello che gli serve ? Modificherà le prove ? Estrae dal contesto un messaggio per farlo apparire tutt'altro ?
L'Open Source va difeso come risorsa dell'Umanità.
L'ho scritto nel 1994 e lo ripeto ancora oggi, con la stessa consapevolezza di allora.
Libera impresa e responsabilità legata al contesto. Chi regala software non risponde come chi ha una centrale nucleare, presuntivamente e per qualsiasi danno.
Non bruciate il futuro dell'Europa, così come già fatto regalando il trasferimento dei dati negli USA più favorevole alle aziende USA che le nostre. Il DPF rientra in una strategia unitaria di creazione di leggi a favore dei monopoli.
Come altri hanno scritto: non c'è bisogno di una legge per fermare le GAFAM: basterebbe applicare il diritto dell'antitrust.
La nostra autorità antitrust è eroica per quello che fa. Non ne parla nessuno, ma è questa la realtà. Pur senza la collaborazione di altre autorità, bilancia la tutela dei diritti tutti e con minime risorse.
In Europa ? Incredibilmente è proprio l'ufficio a tutela dei consumatori europei il più attivo e solidale con l'open source libero.
Ma l'antitrust europeo ? Quello americano ? Abbiamo una Corte Costituzionale Europea ? Quanti danni verranno causati fino alla pronuncia di non conformità al Trattato ?
Caro legislatore: poter scrivere una norma con buoni contenuti non significa che con una virgola non puoi distruggere il tuo mondo. Torniamo ad applicare il diritto invece di pensare al diritto come un grande padre che con sapienza del buon padre di famiglia governa il mondo di sudditi.
Le leggi devono mettere criteri certi e favorire le relazioni libere dei cittadini.
Il resto è il già troppe volte citato: "Il diritto della paura", un testo che spiega come il diritto stiamo cambiando da regolatore di rapporti a fonte di tranelli tra i cittadini e imprese.
Qualcosa di già ben troppo spiegato nel "Trattato della tolleranza". E' breve, si legge facile, e cambia la prospettiva.
Nel pdf allegato, questi i temi contestati:
- 2.a. Definitions of “commercial activity” unclear and problematic
- 2.b. Flaws in the notion of "unfinished software"
- 2.c. The CRA draft ignores the collaborative and modular nature of the global digital economy, the development of the software that powers it, and the EU’s inextricable ties to both
- 2.d. Disadvantages for EU SMEs
- 2.e. Legal responsibility for FOSS products not accounted for