L’Unione Europea Esercita Pressioni sui Creatori di Software

Affidabilità
In breve:

  • La nuova Direttiva UE tratta il software come un prodotto, rendendo gli sviluppatori responsabili per eventuali difetti.
  • Gli sviluppatori rispondono per i danni causati da difetti, comprese vulnerabilità di sicurezza e violazioni dei dati.
  • Anche chi usa librerie open source è responsabile delle loro vulnerabilità.
  • Le nuove normative potrebbero cambiare il settore software: maggiore focus sulla sicurezza?
  • Questa legislazione è utile o un eccesso di regolamentazione? Gli esperti si esprimono.

Il mese scorso, il Parlamento europeo ha pubblicato in modo relativamente discreto una decisione legale che ha un impatto diretto sulle società di software e tecnologia che operano nella regione. L’UE ha stabilito che gli sviluppatori di software e le aziende tecnologiche devono assumersi la responsabilità diretta per i danni causati dai loro prodotti.

In altre parole, le aziende tecnologiche possono essere citate direttamente per danni se uno dei loro prodotti causa qualsiasi tipo di danno agli utenti.

Quali saranno le conseguenze per i consumatori e per le aziende tecnologiche? Scopriamolo insieme attraverso il parere degli esperti.

L’UE si rifà alla Direttiva del 1985 per ritenere responsabili le aziende tecnologiche.

Grazie alla Direttiva sulla responsabilità per danno da prodotti difettosi (85/374/CEE), l’UE ha emesso un decreto per proteggere i cittadini da prodotti difettosi e pratiche commerciali sleali. Di conseguenza, chi infrange questa legge sarà ritenuto responsabile dei danni causati.

Questo nuovo decreto dell’UE estende la normativa includendo l’intelligenza artificiale (come Apple Intelligence o Gemini), software, applicazioni e file digitali nell’elenco dei prodotti coperti dalla Direttiva.

Gli sviluppatori di prodotti open source, tuttavia, non sono inclusi nella responsabilità.

Nel settore dello sviluppo software ci si interroga su come questa novità cambierà il mercato. Jeff Williams, co-fondatore e CTO di Contrast Security, una società specializzata in sicurezza API, commenta:

“La Direttiva sulla Responsabilità del Prodotto è chiara: il software è considerato un prodotto e verrà trattato come tale per quanto riguarda la responsabilità dei difetti. Chiunque venda software nell’UE sarà responsabile di eventuali difetti, comprese le violazioni della sicurezza”.

Anche se gli sviluppatori di software open source o non commerciali non sono soggetti a questa normativa, Williams spiega che chi utilizza librerie open source nei propri prodotti a pagamento sarà comunque responsabile per eventuali vulnerabilità di sicurezza legate a tali librerie.

Williams sottolinea la necessità di un intervento governativo per correggere i fallimenti del mercato, che spesso scoraggiano lo sviluppo di software sicuro.

“Un regime di trasparenza meno invasivo sarebbe stato possibile,” conclude, “ma la responsabilità oggettiva impone alle aziende di migliorare in modo significativo le loro misure di sicurezza”.

Leggi anche: Quali sono gli asset più esposti al rischio di cyberattacchi in Italia?

Definizione di “danno” nei prodotti tecnologici

Secondo il testo dell’UE, i produttori – inclusi gli sviluppatori di software e di sistemi di intelligenza artificiale – sono ritenuti strettamente responsabili (responsabilità oggettiva) per eventuali danni causati da un prodotto difettoso. Questo tipo di danno può includere:

  • Morte o lesioni personali (inclusi danni psicologici riconosciuti clinicamente);
  • Danni o distruzione di proprietà;
  • Distruzione o danneggiamento dei dati (come la cancellazione di file).

Kevin Surace, presidente e CTO di Appvance, azienda specializzata nella qualità del software per intelligenza artificiale generativa, ha sottolineato che il vero problema risiede nella portata dei danni contemplati, come quelli relativi alla salute mentale.

“È difficile per uno sviluppatore prevedere tutti gli utilizzi di un insieme di codici o applicazioni”, osserva Surace. “Un utente che soffre di esaurimento nervoso dovrebbe poter ritenere responsabile lo sviluppatore? Mi sembra una regolamentazione eccessiva.”

Surace aggiunge che esistono già leggi che consentono di perseguire penalmente un produttore o sviluppatore per diversi tipi di danno, come pubblicità ingannevole o danni alla proprietà.

La domanda rimane aperta: è davvero necessario regolamentare in modo così stringente?

L’UE sta legiferando o regolamentando eccessivamente la tecnologia?

L’UE, un pioniere nella legislazione tecnologica con normative ammirate a livello globale come il GDPR e l’AI Act, rischia di passare a un’eccessiva regolamentazione che potrebbe frenare l’innovazione e gli investimenti nella regione?

Williams di Contrast Security ha affermato: “Al momento non sappiamo come reagiranno i fornitori di software a livello mondiale. Potrebbero decidere di non vendere software nell’UE o abbandonare pratiche di trasparenza, come gli elenchi dei componenti software (SBOM), rendendo più difficile l’identificazione delle vulnerabilità. Tuttavia, è probabile che le aziende finiranno per migliorare sensibilmente la sicurezza del software.”

I leader tecnologici chiedono maggiore guida e chiarezza in linea con la visione dell’UE

Nuove normative e emendamenti spesso finiscono in tribunale, e grandi aziende tecnologiche come Meta, Apple, Google e Microsoft contestano frequentemente l’interpretazione delle leggi UE. Poiché queste aziende cercano di allineare le definizioni legali ai loro interessi e modelli operativi, la chiarezza normativa è diventata essenziale.

Alistair Hinchliffe, avvocato specializzato in protezione dei dati e privacy presso GetTerms, società che offre soluzioni di conformità, ha discusso l’argomento con Techopedia. Secondo Hinchliffe, il nuovo testo normativo lascia molte domande aperte su cosa possa qualificarsi come “difetto” nel software.

“Un bug minore che influisce sulle prestazioni, ma non causa danni, è considerato un difetto? E i problemi di incompatibilità? Possono giustificare la responsabilità?”

– si chiede Hinchliffe.

Senza definizioni più precise, sarà difficile per gli sviluppatori stabilire il confine tra difetti accettabili e difetti legali.

“Gli sviluppatori necessitano di maggiori linee guida o precedenti giudiziari per comprendere appieno i propri obblighi e le responsabilità potenziali, soprattutto quando un malfunzionamento del software o una perdita di dati rientra nei normali margini di bug tipici di un ciclo di sviluppo,”

ha concluso Hinchliffe.

Conclusione: La tecnologia, un settore unico nel suo genere

Il settore tecnologico ha spesso beneficiato di un trattamento speciale, pensato per stimolare l’innovazione, ma può anche comportare dei rischi. I legislatori puntano ora a un maggiore controllo sui prodotti software per garantire la sicurezza dei consumatori. Mentre alcuni credono che queste normative miglioreranno sicurezza e prestazioni, altri temono che diventino un peso che frena il progresso.

Le grandi aziende tecnologiche continueranno probabilmente nella loro strategia abituale, avviando lunghe battaglie legali per contestare le sentenze dei tribunali europei. Altri, invece, sostengono che il settore tecnologico non dovrebbe essere trattato diversamente dagli altri.

Domande Frequenti

La Direttiva UE sulla responsabilità del prodotto influisce sugli sviluppatori di software?

Gli sviluppatori sono responsabili delle librerie open source utilizzate nei loro software secondo la nuova legge UE?

Quali tipi di danni sono coperti da questa direttiva per software difettoso?

Che impatto potrebbe avere questa direttiva sulle pratiche di sicurezza del software?

Antonio Pirolo
Esperto Crypto & Blockchain

Antonio è un editor affermato nel campo delle criptovalute e del settore del gioco online, con un ampio portfolio di oltre 2.000 articoli, guide e approfondimenti di mercato. Con la sua esperienza in argomenti specializzati come la valutazione e l'analisi dei più importanti asset crypto e dei migliori siti di gioco online, Antonio si è costruito una reputazione per aver fornito delucidazioni chiare su argomenti complessi. Autore di grande esperienza, si confronta continuamente con nuove aree tematiche, anche spinto dall'obiettivo di non rimanere mai troppo a lungo nella sua confort zone professionale. Che si tratti di ambiti complessi o delle ultime tendenze in…