[nexa] Diritti, Democrazia e Software Libero

Fabio Pietrosanti (naif) lists at infosecurity.ch
Wed Apr 22 10:32:50 CEST 2020


Ciao a tutti,

attorno al tema della app di contact tracing non ho visto ragionamenti 
approfonditi sull'impatto sui diritti dei cittadini della scelta della 
licenza copyleft del software.

Credo che siamo di fronte a un primo caso in cui la scelta di una 
licenza di software libero, possa avere un sensibile impatto sulla 
trasparenza della intera operazione di compressione dei diritti 
fondamentali introdotta dal contact tracing digitale.


Vorrei che considerassimo tutti un dettaglio fondamentale sotto il piano 
dei diritti del cittadino:

L'adozione di una licenza opensource come MPL2 non consente al cittadino 
di conoscere quale codice software gira all'interno della App di CT sul 
suo telefonino.


Questo perché la MPL2 è una licenza copyleft di tipo "weak" e che 
interviene solo sui file rilasciati MPL2 e non sul software risultante, 
che può essere proprietario, essendo come definito dalla licenza un 
"Larger Work".

Cioè io posso rilasciare a T0 una app MPL2, ma a T1 aggiungere "2 file 
di codice sorgente" con licenza proprietaria che contengono funzionalità 
nascoste o non documentate, rilasciare un aggiornamento della app 
compilata che mi verrà consegnato sul telefonino tramite appstore 
update, e non avere alcun diritto di sapere che ci sono questi due file 
in più.


Ma allora come sarebbe possibile attribuire dei diritti di trasparenza 
al cittadino, che ha installato la app di CT sul suo cellulare, affinché 
possa sempre e comunque  accedere ai codici sorgenti (client e server) 
della esatta edizione di app che sta girando sul suo telefonino?

Scegliendo come licenza libera la GNU AGPL-3, per la messa in riuso e 
pubblicazione del codice sorgnte della applicazione.


Già, perché se client e server (app mobile e backend) fossero rilasciate 
con licenza libera AGPL3, ogni utente (cittadino) avrebbe il diritto di 
accedere ai codici sorgenti della esatta version di applicazione che 
gira sul suo telefonino, oltre alla esatta versione di server di 
raccolta dati con cui questa sta interloquendo.

Ovvero, la scelta della AGPL3 toglie ogni dubbio, sarebbe una scelta di 
trasparenza, che fornisce *a ogni cittadino* il diritto di ricorrere in 
tribunale per avere l'esatta versione dei codici sorgenti della 
applicazione di contact tracing che ha in uso.


Riassumendo l'impatto della licenza copyleft sui diritti dei cittadini:

- MPL2: Il cittadino non ha diritto di conoscere quale sia il codice 
sorgente della applicazione software sul suo telefonino, né del server 
che riceve i dati.

- AGPL3: Il cittadino ha diritto di conoscere quale sia il codice 
sorgente della applicazione software sul suo telefonino oltreché del 
server che riceve i dati.


Non ho mai visto un caso così calzante e rilevante come questo in cui la 
scelta di una licenza di "weak copyleft" impatti così tanto diritti 
fondamentali dei cittadini.

Mi sono sbagliato?

Fabio


More information about the nexa mailing list