On 30/11/2016 16:00, Fabio Pietrosanti (naif) - lists wrote:
On 11/29/16 12:26 PM, Andrea Glorioso wrote:
"Perché non si può uccidere l'innovazione."
(Cose sentite da una decina d'anni a questa parte, quando appunto su a Bruxelles si cercava di ragionare su come assicurarsi che l'industria delle TIC fosse sostenibile. All'epoca, alcuni avevano già previsto ciò che oggi Bruce Schneier e altri vanno a dire al Congresso degli Stati Uniti, ovvero che Internet non è più solo foto di gattini, e per inciso non lo era nemmeno dieci anni fa quando Schneier & co dicevano cose un po' diverse di oggi.)
Comunque io ero e resto convinto che (1) le responsabilità civili e penali, specialmente per dolo o colpa grave e/o per attività in cui è richiesta più della cura del "pater familias" (se è ancora questa la terminologia usata) non sono automaticamente obliterate da EULA fantasiose, e che (2) chi richiede software (che sia embedded o meno) per attività tipo gestire le turbine di una centrale nucleare, ha i soldi e le leve politiche per richiedere eccome al "vendor" l'assunzione di responsabilità precise in caso di malfunzionamento. Bisogna vedere se ne ha l'intelligenza e la volontà. Ci vorrei aggiungere una riflessione che parte da questo tuo spunto.
C'è software e software, ovvero ci sono software a rischio sistemico (es: Internet Explorer, Chrome, Acrobat Reader, Mac OS X, etc) e software che no (Impara a Cucinare 3.2, DisegnareGiardini 2.0) .
Per il mondo delle banche la regolamentazione è stata differenziata fra quelle a rischio sistemico (es: Unicredit) e quelle che no (es: Cassa rurale di Cantù).
Secondo questa riflessione, penso che debbano esserci delle responsabilità ben definite, aldilà delle EULA, per i software vendor che producono e distribuiscono software a rischio sistemico.
Per rischio sistemico intendo una definizione, che può essere più o meno articolata, di software diffusi su più dell'x% dei dispositivi in mano a cittadini ed aziende (es: =>5% dei dispositivi?) .
Per un software che è così ampiamente diffuso, avrebbe senso introdurre dei criteri di responsabilità civile laddove vi siano delle falle di sicurezza e come sia possibile risolvere queste falle (vedi: impossibilità di aggiornare iPhone4 per il risolvere problemi di sicurezza ad esempio).
Ma questo lo dovrebbe fare "il legislatore"(c).
Che ne dis?
se il kernel GNU/Linux fosse a rischio sistemico, sarebbe giusto rinegoziare tutto?(ed anche praticabile?) abbiamo bisogno di freak controllare la responsabilita di gnu.org per il middle layer GNU? Se un appliance FreeNAS ci distrugge i dati per i soliti motivi entropici con chi ce la prendiamo con iXsystems o con la FreeBSD foundation o con Oracle (per lo ZFS)? Forse uno spartiacque del tipo: mission critical vs tutto il resto dove il distributore è chiamato in causa a garante della catena e risponde in solido buone pensate salut