Il cyber resiliency act (CRA) è una legge proposta al parlamento europeo il 15 settembre 2022 che vuole regolamentare tutto ciò che gravita intorno all’ informatica lato producer per intenderci il codice sorgente di un programma e l’hardware dei computer.
Partiamo dal livello hardware, qui ci potrebbero essere anche vantaggi per il consumatore dal CRA perché avendo un prodotto marchiato e con componenti tracciati e sicuri ne andrà anche a favore anche della manutenzione e del servizio post-vendita perché i prodotti marchiati si troveranno anche più facilmente, ma costeranno anche un po’ di più in quanto la certificazione costerà.
La Parte più critica per il cittadino, lo sviluppatore libero e indipendente e le PMI è derivata dell’articolo 16 di detta legge che recita:” Una persona fisica o giuridica, diversa dal fabbricante dall’ importatore o distributore, che apporta al software sostanziale modifiche con elementi digitali, questo potrà essere considerato ai sensi della legge come produttore del software”
Quale è il problema insito in questo articolo, prendiamo ad esempio uno sviluppatore che trova un problema, un bug in una libreria sviluppata indipendentemente e sotto licenza open, usata per costruire altri software, questo sarà disincentivato a modificarlo in quanto sarà lui il legalmente responsabile dei problemi creati; quindi, i problemi e le vulnerabilità alla libreria permarranno e la libreria che sarà usata, perché gratis e libera, in altri progetti a livello consumer dalle aziende che svilupperanno software porterà il software ad avere grossi problemi anche di sicurezza per il consumatore finale, cosa che il CRA non vuole e quindi in questo caso l Europa così facendo si morde la coda.
Questo a livello micro ma livello macro prendiamo uno sviluppatore abbastanza bravo che usa python e trova una libreria fallata e la modifica questo porterebbe portare responsabilità giuridica allo sviluppatore e quindi va della stabilità e dell‘integrità della community di sviluppatori e le fondazioni potrebbero rendere inaccessibile il linguaggio di programmazione in Europa, con grandi problemi non solo ad aziende ma anche ad enti di ricerca in quanto phyton viene usato molto a scopo di ricerca.
Un altro problema potrebbe sorgere con il fatto che nella pubblica amministrazione c’è l obbligo di software con codice open source secondo le norme AGID, ciò comporta che se si usasse una libreria con delle vulnerabilità non riscontrate, la si usasse modificandola per i propri scopi allora la colpa ricadrebbe sulla pubblica amministrazione.
Questa norma europea rischia di chiudere il mercato del software libero in Europa e quindi si rischia di avere solo software proprietario dovendo cosi sottostare a licenze ed avere costi mlto più grandi per il cittadino.