Personalmente, e avendoci lavorato per un po' (ma diversi anni fa) ritengo che a fronte di tecnologie oggettivamente complesse (ma non necessariamente più complesse di un'automobile moderna) vi siano svariate soluzioni possibili, dell'assunzione di responsabilità di un "principal" (e.g. azienda che produce distribuzioni GNU/Linux), agli strumenti assicurativi (che anni fa non erano possibili perché le compagnie assicurative, pur essendo interessate al potenziale mercato, non avevano a disposizione i dati attuariali necessari, poiché le aziende ICT si rifiutavano di fornire il benché minimo numero in materia di bug / falle eccetera), all'esenzione di responsabilità per chi produce software senza scopo di lucro.
Ma ci vogliono la visione e la volontà, che all'epoca mancavano, almeno da parte dell'industria. Poi mi hanno messo a fare altro, quindi non so bene cosa sia successo di recente. :)
Sul rischio sistemico, la recente Direttiva NIS (Network and Information Security) introduce già obblighi di e.g. breach notification per le aziende (incluse quelle IT) il malfunzionamento dei cui prodotti o servizi possa avere un impatto significativo a livello nazionale o europeo.
Naturalmente, durante le negoziazioni di quella Direttiva (e altre) si è assistito al fenomeno del "Lobbista di Schrödinger", ovvero il lobbista che sostiene al tempo stesso che l'azienda X è troppo importante per l'economia nazionale / europea perché gli stupidi legislatori possano pensare di regolamentarla in qualsivoglia modo, ma è anche così poco importante che le sue azioni non possono in alcun caso avere un impatto negativo sulle suddette economie. Ho sentito dire che Giacobbo ci sta preparando uno speciale di Voyager.
Ciao,
Andrea
On 30/11/2016 16:00, Fabio Pietrosanti (naif) - lists wrote:
>
> On 11/29/16 12:26 PM, Andrea Glorioso wrote:
>> "Perché non si può uccidere l'innovazione."
>>
>> (Cose sentite da una decina d'anni a questa parte, quando appunto su a
>> Bruxelles si cercava di ragionare su come assicurarsi che l'industria
>> delle TIC fosse sostenibile. All'epoca, alcuni avevano già previsto ciò
>> che oggi Bruce Schneier e altri vanno a dire al Congresso degli Stati
>> Uniti, ovvero che Internet non è più solo foto di gattini, e per inciso
>> non lo era nemmeno dieci anni fa quando Schneier & co dicevano cose un
>> po' diverse di oggi.)
>>
>> Comunque io ero e resto convinto che (1) le responsabilità civili e
>> penali, specialmente per dolo o colpa grave e/o per attività in cui è
>> richiesta più della cura del "pater familias" (se è ancora questa la
>> terminologia usata) non sono automaticamente obliterate da EULA
>> fantasiose, e che (2) chi richiede software (che sia embedded o meno)
>> per attività tipo gestire le turbine di una centrale nucleare, ha i
>> soldi e le leve politiche per richiedere eccome al "vendor" l'assunzione
>> di responsabilità precise in caso di malfunzionamento. Bisogna vedere se
>> ne ha l'intelligenza e la volontà.
> Ci vorrei aggiungere una riflessione che parte da questo tuo spunto.
>
> C'è software e software, ovvero ci sono software a rischio sistemico
> (es: Internet Explorer, Chrome, Acrobat Reader, Mac OS X, etc) e
> software che no (Impara a Cucinare 3.2, DisegnareGiardini 2.0) .
>
> Per il mondo delle banche la regolamentazione è stata differenziata fra
> quelle a rischio sistemico (es: Unicredit) e quelle che no (es: Cassa
> rurale di Cantù).
>
> Secondo questa riflessione, penso che debbano esserci delle
> responsabilità ben definite, aldilà delle EULA, per i software vendor
> che producono e distribuiscono software a rischio sistemico.
>
> Per rischio sistemico intendo una definizione, che può essere più o meno
> articolata, di software diffusi su più dell'x% dei dispositivi in mano a
> cittadini ed aziende (es: =>5% dei dispositivi?) .
>
> Per un software che è così ampiamente diffuso, avrebbe senso introdurre
> dei criteri di responsabilità civile laddove vi siano delle falle di
> sicurezza e come sia possibile risolvere queste falle (vedi:
> impossibilità di aggiornare iPhone4 per il risolvere problemi di
> sicurezza ad esempio).
>
> Ma questo lo dovrebbe fare "il legislatore"(c).
>
> Che ne dis?
>
se il kernel GNU/Linux fosse a rischio sistemico, sarebbe giusto
rinegoziare tutto?(ed anche praticabile?)
abbiamo bisogno di freak controllare la responsabilita di gnu.org per il
middle layer GNU?
Se un appliance FreeNAS ci distrugge i dati per i soliti motivi
entropici con chi ce la prendiamo con iXsystems o con la FreeBSD
foundation o con Oracle (per lo ZFS)?
Forse uno spartiacque del tipo: mission critical vs tutto il resto
dove il distributore è chiamato in causa a garante della catena e
risponde in solido
buone pensate
salut
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa