CRA e new PLD: le nuove direttive UE sul software

Nell’assordante silenzio dei media, Parlamento e Commissione stanno promulgando il Cyber Resilience Act e un aggiornamento della Product Liability Directive. Fin qua tutto bene: la prima legge richiede ai fornitori di apparati digitali devono garantire la sicurezza dei prodotti che vendono per mezzo di test di vulnerabilità resi disponibili, mentre la seconda direttiva prevede che chi produce software sia responsabile per i danni causati dal prodotto. Il guaio è che come al solito le buone intenzioni sono messe nero su bianco senza pensare alle conseguenze.

Un’azienda che scrive software proprietario probabilmente avrà un innalzamento dei costi, ma si limiterà a fare delle polizze per premunirsi su questi possibili errori. Ma chi scriverà più software libero, con questa spada di Damocle? I primi a parlare di questo sono stati quelli della Python Software Foundation; ma per esempio anche i wikipediani europei hanno espresso le loro preocupazioni. Ma i problemi sono proprio alla fonte, come nota Andrea Monti. Monti nota come il software, sin dalla preistorica direttiva 250/1991, è qualificato giuridicamente come “opera letteraria”, perché quello che viene considerato è il codice sorgente. Passare a una tutela sul prodotto, cioè sul codice compilato, cambia completamente le carte in tavola, anche perché sorgente ed eseguibile sono due cose ben distinte.
Che succederà ora? Non è ancora chiaro. Il termine ultimo per le osservazioni è vicinissimo, il 26 aprile: la speranza è che almeno questa volta i legislatori riescano a trovare una quadra, sperando che non ci siano le solite lobby che remano contro.

4 pensieri su “CRA e new PLD: le nuove direttive UE sul software

  1. Mauro ( un altro )

    > si limiterà a fare delle polizze per premunirsi su questi possibili errori

    e cercherà rivalsa su chi ha scritto le varie librerie open su cui si basa il sw proprietario :-(
    ( a pensar male … )

  2. mestessoit

    Anche io ho segnalato nella FSFE il problema, cmq c’è qualcosa che non mi torna nell’articolo di Monti:

    “La conseguenza di questa scelta è che nella UE il software non può essere brevettato”.

    Vero solo formalmente, falso praticamente. l’EPO (l’ufficio brevetti europeo) accetta da diversi anni (15?) brevetti sul SW con la definizione “invenzioni realizzate con un computer”. In UE sono validi n-mila brevetti sul SW.

    ” e la sua commercializzazione non è soggetta alla responsabilità del produttore”

    Anche qui la cosa è molto ambigua. Nella realtà dei fatti esistono cause per danni relative a difetti nel SW, semplicemente si sposta l’attenzione legale sul contratto di servizio che l’utente/cliente sottoscrive implicitamente od esplicitamente, e si ritorna sul diritto contrattuale standard.
    Infatti c’è che dice che che la PLD sia del tutto inutile per questo motivo: io non mi spingo fino a lì, per il semplice motivo che una legge UE rende omogeneo ovunque il trattamento legale, anche se esistono larghe sovrapposizioni con la legislazione esistente il valore aggiunto dell’uniformità di trattamento in europa è comunque assolutamente non disprezzabile.

    Io mi sono letto il malloppone, e posso dire che nella formulazione attuale non c’è una definizione esplicita del perimetro di applicazione, e questo rende le cose rischiose per alune entità (come la Python Foundation) che fanno da “garanti” del sistema. Ma non c’è una volontà punitiva esplicita: sono anche convinto che sia nell’interesse dei FAGA evitare una situazione del genere, mentre i medio-piccoli cerchino di limitare al massimo la loro esposizione.

      1. Bubbo Bubboni

        A me le intenzioni sembra terrificanti.
        Se ogni tanto le tali istituzioni adottassero il principio di lasciare in pace i cittadini o se considerassero i consumatori come esseri senzienti con IQ ordinario!

I commenti sono chiusi.