Opera ha presentato il suo nuovo prodotto, che di speciale ha l’idea alla sua base.

Il browser diventa non più soltanto uno strumento per accedere al mondo, ma anche uno strumento per condividere con il mondo.

La novità sta nel fatto che l’utente torna ad essere al centro della gestione dei propri dati, sul proprio sistema, invece che appoggiarsi a strutture esterne che offrono mille vantaggi tecnologici ed un solo svantaggio: la totale perdita di riservatezza delle proprie informazioni.

È vero che ciò si può fare da sempre utilizzando software di ottima qualità, ma ciò veniva al prezzo del costo dell’installazione e della manutenzione di tanti pezzi di software diversi.

Tra le mie osservazioni e leggendo qua e la, i principali pro e contro che ho identificato sono:

Pro:

• l’utente torna a controllare i propri dati, invece che consegnarli incondizionatamente a società ed da sistemi delocalizzati;
• l’utente deve manutenere / aggiornare un solo programma (il browser), invece che la pletora di quelli necessari per offrire i medesimi servizi di Opera Unite;

Contro:

• il sistema non funziona per i sistemi NAT’ati;
• l’accesso dall’esterno ai dati è limitato dalla banda disponibile, che in generale è asimmetrica (ADSL), a sfavore del traffico in uscita;
• l’accesso ai dati dall’esterno è possibile soltanto se il sistema è acceso: qualcuno ha fatto un semplice conto, rilevando che il costo per mantenere sempre acceso il proprio PC è superiore al canone per un virtual server ospitato da un ISP;
• si apre un nuovo universo di rischi per la sicurezza, in quanto gli attaccanti ora potranno concentrarsi su un unico elemento che offre molte più funzionalità che in passato e, quel che è peggio, ora agisce anche da server.

Ciò nondimeno, è stata tracciata una nuova rotta, divergente rispetto a quella dei grandi fornitori di servizi (SaaS).

Un altro altro mattone fondamentale è stato quello dei servizi ospitati presso terzi (webmail, siti web, GoogleDocs, etc.), che hanno risolto in una volta i problemi di amministrazione e manutenzione dei sistemi, della conservazione dei dati e del consumo energetico.
La controparte è che il fornitore ‘possiede’ il mio account ed i miei dati, ed in generale si riserva il diritto di farci ciò che vuole (chi avesse dei dubbi può andare a leggersi un po’ di contratti di licenza).

Altra pietra miliare nell’evoluzione è quella del cloud computing che offre come aspetto più importante, a parer mio, la delocalizzazione dell’informazione; in tal modo elimina i costi di backup e fa tendere a zero il rischio di discontinuità nella disponibilità dell’informazione.
Il comportamento è un po’ simile a quello del nostro cervello, in cui l’informazione non viene legata ad un singolo neurone, ma è ’spalmata’ un po’ ovunque, e grazie a ciò può essere recuperata anche a fronte di ‘guasti’ locali.

Il futuro a cui stiamo tendendo è la composizione di quanto sopra: il cloud computing ci garantirà ovunque la disponibilità delle nostre informazioni, ma queste saranno criptate (ovviamente soltanto quelle per cui ciò ha senso) in modo che siano protette come se risiedessero su un singolo server sotto il nostro totale controllo.

Ciò solleverà però un problema legato al modello di business: oggi Google & co. campano grazie al fatto che possono controllare la totalità delle informazioni che noi mettiamo in rete; l’approccio di cui ho parlato sopra escluderà da tale controllo tutte le informazioni che noi vorremo, e queste in generale sono quelle che valgono di più.

Probabilmente si arriverà ad un approccio collaborativo, in cui le proprie aree personali verranno condivise mediante P2P, ma criptate.

Credo che questo sia un segno dei tempi, e di come si stiano rivoluzionando e stravolgendo i modelli di business.

Il software open source (non tutto, ovviamente) ha raggiunto e superato in qualità quello commerciale.

Pur essendo gratuito, Internet Explorer 8 è stato escluso dalla distribuzione europea di Windows 7, a causa delle decisioni della commissione antitrust europea.

IE8 è gratuito, come Firefox e praticamente tutti i browser più diffusi, ma si diversifica da essi in due aspetti: in primo luogo è closed source, e soprattutto è un cavallo di troia fondamentale per la Microsoft per mantenere la propria posizione dominante sul mercato dei sistemi operativi.

È così importante che la Microsoft è arrivata a promettere donazioni in beneficenza per ogni download del suo browser, e addirittura per creare una caccia ad un tesoro di 10.000$, che potranno essere trovati soltanto da un utilizzatore di IE8.

Godiamo oggi i benefici di una guerra iniziata tanti anni fa, tra Netscape ed Internet Explorer, una guerra fatta soprattutto di fuga dagli standard, per ‘fidelizzare’gli utenti (oggi si dice ‘lock-in’).

Viene da pensare allo scontro tra Davide e Golia ma … è davvero così?

In realtà no:non è più il tempo dei sognatori, che dedicavano il proprio tempo per lasciare al mondo una parte di sé, nella forma di programmi.

Ormai si tratta di uno scontro tra titani: da una parte la potenza economica della Microsoft, e dall’altra quella di tutte quelle aziende che hanno speso fortune per inseguire il mercato che la Microsoft anno dopo anno creava (vedi anche FUD).

Troppi denari sono stati spesi per sviluppare software che fosse compatibile sia con gli standard ufficiali, sia con quelli modificati ad arte dalla Microsoft.

Il browser è ormai diventato la finestra sul business; il sistema operativo non è più l’elemento facilitante per lo svolgimento delle proprie attività; è invece ormai la nuova generazione del BIOS, quel pezzo di software che tutti i computer devono avere per poter essere utilizzati.

Il business non è più sul software da installare, ma sui servizi da utilizzare.

Gestire il proprio computer, installare ed aggiornare il software, effettuare il backup dei propri dati sono diventate operazioni non banali, e soprattutto operazioni che portano via tempo ai propri interessi ed al proprio business, oltre che essere un costo che in generale si tende ad evitare (con tutti i rischi del caso).

Ed ecco che il mercato si difende, investendo cifre non indifferenti in tecnologie che consentono di svincolare gli utenti dal monopolio della Microsoft.

Un tempo si sviluppava software per guadagnare … oggi Microsoft è messa alle corde, e si trova costretta a pagare perché gli utenti non si rivolgano alla concorrenza.

Il mondo sta davvero cambiando.

Ho letto molti commenti sul tema.
Mi sono stupito della consultazione del Garante dopo aver fatto la legge, ma … ben venga; il tema è spinoso e prima lo si sviscera e meglio è.

Il problema che permane però, a parer mio, e che nessuno credo abbia ancora affrontato, è quello della correlazione tra l’impatto dell’attuazione del provvedimento sulle aziende rispetto alle capacità ed ai benefici.

I requisiti posti dal Garante non sono ’scalabili’: sono un ‘tutto o niente’, e il niente è male per la legge.

Con ‘niente’ non intendo lo stare a guardare e girare i pollici: intendo invece adottare misure e spendere soldi per ottenere qualcosa che, di fatto, non risolve il problema.

Manca una prospettiva, e manca la definizione degli obiettivi.

Provo ora a sintetizzare un po’ dei problemi che si sono incontrati, per poi passare ad una proposta costruttiva.

I principali problemi che il provvedimento solleva sono:
1. L’amministratore di sistema viene caricato di responsabilità anche penali;
2. L’amministratore di sistema, nella maggior parte dei casi, non ha le competenze per affrontare il problema in modo risolutivo;
3. L’amministratore di sistema, in generale, non viene pagato per le responsabilità che ci si aspetta egli si assuma;
4. L’amministratore di sistema, in generale, non ha potere decisionale né di spesa per quanto riguarda l’implementazione delle soluzioni che ritiene necessarie;
5. Le aziende sono realtà che possono essere Telecom, banche, il Ministero della Giustizia, ma anche imprese a conduzione familiare, che hanno da proteggere soltanto i dati di qualche collaboratore.

Il punto 5. ha due implicazioni fondamentali:
a. l’azienda può gestire dati estremamente sensibili (medici, giudiziari, etc.), indipendentemente da quanti ne tratta;
b. l’azienda può gestire dati non molto sensibili, o anche soltanto riservati, ma in quantità enormi.

Con quanto sopra ho, credo, evidenziato il fatto che il provvedimento del Garante è sproporzionato (verso l’alto o verso il basso) rispetto alla realtà; anzi, proprio non ha correlazioni rispetto ai fattori in gioco.

E vengo ora alla parte propositiva.

A parer mio occorre:
1. creare un collegamento tra responsabilità, competenze e retribuzione degli Amministratori di Sistema;
ovverosia: dato il livello di responsabilità richiesta, deve essere corrispondentemente richiesto un adeguato livello di certificazione della persona (e perché no? anche di irreprensibilità), ed in cambio deve essere stabilito un compenso minimo adeguato ai requisiti di cui sopra;

2. stabilito il tipo di trattamento di dati necessario all’azienda, stabilire quale siano i requisiti minimi in termini di professionalità e numero di persone necessarie;
ovverosia: il tipo di trattamento dei dati deve essere correlato alla loro sensibilità / importanza, ed alla loro quantità; in relazione a ciò devono essere stabilite delle risorse minime necessarie per assicurare la protezione dei dati e la correttezza dell’utilizzo delle infrastrutture (rammento che le aziende hanno serie sanzioni per la responsabilità amministrativa).

Tutto ciò, per legge.
Ovvio che la legge risulta troppo ‘lasca’ nel rapporto responsabilità / retribuzioni, nessuno farà più l’amministratore e le aziende si troveranno inadempienti nei confronti della legge.

L’aspetto delle certificazioni è facilmente risolto: ve ne sono di ogni tipo, sia personali che aziendali.

C’è anche da dire, infine, che il Garante potrebbe assumere un atteggiamento più costruttivo, coinvolgendo il CNIPA nella definizione di strumenti e regole operative minime tali da garantire il rispetto della legge.
Dovrebbe in sostanza venire incontro a tutte quelle mini e micro-aziende che non hanno né budget né competenze, per consentire anche ad esse di mettersi in regola senza doversi ipotecare la casa.

L’aspetto tecnologico di come realizzare un sistema economico che soddisfi i requisiti del Garante, li svilupperò in un altro post.

È da tempo che i principali giornale si interrogano su come ricavare soldi dalla pubblicazione delle informazioni su Internet.

Il vecchio modello della vendita della carta stampata sta morendo.

Togliere le proprie testate da Internet non è neppure immaginabile.

E allora che fare? Fare cartello con tutte le altre testate, in modo che l’informazione sia accessibile solo dietro pagamento.

Eppure in tanti danno per perdente quest’idea; la ragione? Ormai siamo talmente abituati a trovare tutto gratis su Internet, che non siamo più capaci né di immaginare né di chiedere cosa abbia un valore, e se e quando valga la pena di essere pagato.

Se da sempre c’è stato qualcuno che ha pagato delle persone per raccogliere e riportare informazioni, un motivo ci deve essere.

Ed il motivo è che l’informazione giusta al momento giusto porta potere e vantaggi commerciali.

Se una persona si occupa di investimenti, avere prima degli altri certe informazioni può portare vantaggi.

Ma, come spesso accade, non ci si concentra sul significato di ciò di cui si parla.
l’”Informazione” non è semplicemente riportare un accadimento; lo è invece il correlarlo ad altri accadimenti, per evincere connessioni e collegamenti di causa-effetto che ci consentono di prevedere cose per nulla evidenti.

Sono questi collegamenti il valore aggiunto dell’informazione, e sono quelli che dovrebbero giustificare lo stipendio dei giornalisti (di quelli veri, intendo).
Oggi invece ormai il giornalismo è diventato un po’ troppo sensazionalismo, spesso andando a pescare notizie non vere, e pubblicandole senza alcun controllo pur di fare lo scoop.

Ci troveremo, penso, ad avere un’informazione a due velocità: le notizie (gratis), e le vere informazioni (a pagamento, e coperte da copyright); in questo modo nessuno potrà pubblicarle attraverso il Google News di turno senza aver prima stretto accordi e pagato i diritti.

Ma ciò di cui parlo esiste già da tanti anni, soltanto che non ci facciamo più caso: sono i servizi a pagamento di aggiornamento normativo, finanziario, rassegne stampa, etc.

Ciò di cui si sta parlando oggi, in realtà, non è di inventare l’acqua calda: stanno invece soltanto cercando di trovare quali siano i tipi di aggregazione a maggior valore aggiunto delle informazioni.

Riprendo il discorso sul tema del provvedimento del Garante 27/11/2008 sulle Misure e accorgimenti relativamente alle attribuzioni delle funzioni di amministratore di sistema.

Il Garante ha fatto della teoria; si è quindi reso conto di avere creato un mostro che non sa gestire, ed ha fatto ricorso alla consultazione pubblica (che avrebbe dovuto essere stata fatta prima, e non dopo), da cui speriamo si arrivi a qualcosa di concreto e di realistico.

I propositi sono buoni, ma la generalità della cosa ha reso di fatto inutile ai fini pratici la nuova norma.

L’auditing sull’accesso ai dati sensibili (di fatto, è di questo che si parla) si può fare in vari modi, e soprattutto con vari livelli di profondità.

Le esigenze di una Telecom, di un ISP e di un’azienda che fabbrica bulloni sono completamente differenti.

E cosa è che fa la differenza? Il rischio.
Riuscire ad accedere ai database di una Telecom o dellla Sanità, o del Ministero della Giustizia, comporta rischi incredibilmente più elevati che riuscire ad accedere al database dei dipendenti dell’impresa a conduzione familiare che produce bulloni nel garage sottocasa.

In aggiunta, la protezione dei dati ha un costo, in particolare in materia di competenze.

Ciò che avrebbe dovuto fare il Garante è di stabilire una griglia, in cui tenere conto della quantità e della qualità dei dati gestiti.

La qualità è ovviamente un fattore fondamentale: i dati giudiziari o sanitari, piuttosto che quelli finanziari, comportano intrinsecamente più rischi che i puri dati anagrafici.

Altro fattore fondamentale è la quantità: una cosa è gestire un database dei 5 o 10 nominativi dei dipendenti dell’azienda, un’altra è gestire database che contengono milioni di anagrafiche, e magari per ciascuna anche il tracciato telefonico e l’identificazione delle celle che hanno servito le telefonate.

In sintesi, il Garante avrebbe potuto stabilire dei requisiti minimi in termini di:
- certificazioni di sicurezza dell’azienda, e dei suoi eventuali subfornitori;
- professionalità degli amministratori (certificazioni personali, etc.)
- integerrimità del personale responsabile;
- quantità e dettaglio dei log di auditing, in relazione ai dati gestiti;
- elenco minimo delle informazioni da auditare;
- modalità e durata della conservazione dei log (personalmente, li farei criptare con la chiave pubblica di un certificato della Magistratura);

Forse c’è anche altro, ma l’elenco di cui sopra serve già a dare un’idea di cosa intendo significare.

Faccio invece una digressione sulla criptazione dei supporti su cui vengono conservati i log.
Nel caso la cosa non fosse chiara a tutti, la disposizione del Garante, così com’è, mi risulta essere sostanzialmente inutile.
Oltre al fatto che in generale i log possono essere ‘epurati’ prima di essere trasferiti su un supporto non riscrivibile (a meno di soluzioni non banali), essi possono essere modificati anche dopo: è sufficiente scaricare il contenuto del supporto, modificare il contenuto dei log, e ri-masterizzare il tutto su un nuovo supporto, da sostituire all’originale.

In sostanza, i log devono come minimo essere accompagnati da una marca temporale certa, che ne garantisca l’immutabilità.
Visto poi che tali log sono necessari, di fatto, soltanto in caso di indagini della Magistratura, se questi fossero criptati con la chiave pubblica di un certificato della stessa, tali log non potrebbero essere aperti se non in caso di indagine.

In questo modo si preserva la privacy di tutti (anche degli amministratori di sistema), non si fa telecontrollo, ed i log stessi non possono divenire interessanti per compiere un furto (per fare un esempio, ad un malintenzionato i log della Telecom di turno possono raccontare molte cose sull’architettura dei sistemi e dei servizi).

I’ve been describing in a forum an opportunity to design competitive open source information systems for airports and airlines, and someone replied that, being basically a nice idea, it has a ‘but’.

He confirms to me that the old business model supporters have real difficulties in facing the market with this new approach.

It seems strange, because there is a number of flourishing open source companies in the  world, making business, earning money, and offering interesting products and services.

And here is my ‘but’.
I strongly believe that the open source approach is the future for the software (and not only; the same for CC licenses, etc.).
It is just that the business model that is different from the traditional ones.
As an example, just check for ReddHat, MySQL, etc.

In the past all the companies focused their business on the large customers, those with money to spend.
But such customers are not many, and now also they have to face a different market, low cost airlines, the worldwide crisis, etc.

In addition, I always tried to develop innovative projects, for my satisfaction and my pockets,but not only that.
I think we can develop such things doing something good and useful for the markets that don’t have great opportunities.

I believe that money flies, and if you want to create business opportunities somewhere, you need an aircraft flying there.
Not many people likes to spend more than few hours of travel to make business.

The open approach creates opportunities.
Added value software modules and services are the revenue-making opportunity.

I have a long experience in designing innovative airport information systems around the wolrd, and I have a number of ideas that can be useful to the market, but that cannot easily be ‘digested’ by traditional and conservative business.

La notizia non passerà inosservata né, a parer mio, passerà mai una legge così pazzesca.

Ma vediamo meglio cosa si può nascondere nello schema di Decreto del Presidente del Consiglio dei Ministri con il quale verranno disciplinati termini e modalità attraverso i quali i cittadini italiani potranno accedere alla casella di PEC (Posta Elettronica Certificata) che così ‘generosamente’ gli verrà donata.

L’approccio ipotizzato cosa porterà?

• regalerà un nuovo monopolio legalizzato ad un privato: chiunque vinca la gara, terrà in pugno i cittadini e le loro comunicazioni;
• accesso monopolistico a tutti i servizi a valore aggiunto;
• possibilità di fatto di controllare le comunicazioni di tutti i cittadini;
• irrigidimento su una posizione tecnologica unicamente italiana, impedendo l’interoperabilità con il resto del mondo;
• trasferimento del concetto di ‘ricevuta di ritorno’ in ‘ricevuta di consegna’: la PEC non sostituisce la raccomandata A/R in quanto quest’ultima attesta che la missiva è stata recapitata nelle mani del destinatario (attesta che è stata ricevuta); la PEC può soltanto attestare che il messaggio è stato infilato nella buca delle lettere del destinatario; se questi è in ferie o in ospedale, potrebbe non accedere (leggere) la missiva per rlungo tempo, ma lo stato farebbe decorrere i termini legali della consegna da tale momento;
• diritto ad un privato di limitare la capacità di comunicazione dei cittadini (limitazione della quantità di traffico); esisterà una limitazione sulla quantità di traffico? O il fornitore accetterà di gestire ed archiviare una quantità arbitrariamente grande di corrispondenza? Io potrei trovarmi a dover inviare ogni giorno contratti con decine o centinaia di MB di allegati, che dovrebbero rimanere immagazzinati, come minimo, per 30 mesi; e se lo facessero tutti? O ci sarà la fregatura di stato, per cui lo stato ci regala una casella da 1 MB, e tutto il resto lo si paga a parte? O peggio ancora tutto il resto lo pagherà, senza che noi lo sappiamo, lo stato, sempre con i nostri soldi;
• diritto ad un privato di distruggere le comunicazioni personali oltre i termini minimi di conservazione della corrispondenza garantiti per legge (per la PEC, 30 mesi, se ricordo bene, termine tra l’altro insignificante rispetto ai tempi della Giustizia e della prescrizione);
• impossibilità di utilizzare nomi di caselle facilmente associabili al proprietario: quanti Mario Rossi ci sono? Si sarà costretti a ripiegare sul codice fiscale; vi immaginate voi quanto sia semplice dare l’indirizzo della propria PEC a qualcuno?
• penalizzerà la qualità del servizio, in quanto fissato il prezzo offerto, il fornitore cercherà di risparmiare al massimo sulla Qualità per massimizzare il proprio utile;
• impossibilità di fatto di trasferire il servizio ad altri allo scadere della concessione: come sarà possibile trasferire la quantità di informazioni immagazzinate nei server del fornitore? E poi, sarà realmente possibile distruggerne gli originali? E tutti i servizi a valore aggiunto associati alla casella di posta, a chi andranno? Seguiranno la casella, o rimarranno in carico al gestore originario?

Pur essendo in un paese tipicamente atipico, penso che alla lunga la PEC andrà a morire, e che soprattutto una proposta di legge come questa finirà per forza di cose nel cestino.

Sono reduce da un recente viaggio negli Stati Uniti …

Era da tempo che non passavo da quelle parti, e forse per il fatto che lì non è cambiato nulla, mentre in Europa si va consolidando sempre più una cultura del riutilizzo e del riciclo dei rifiuti, mi sono trovato a chiedermi il perché del consumismo.

Il consumismo è, almeno in parte, una conseguenza diretta dell’incredibile disponibilità di beni, e quindi, in fin dei conti, del benessere.

In qualche modo è anche conseguenza del capitalismo, e del modo in cui le aziende tendono a promuovere le proprie vendite rendendo anticompetitivo il riparare i beni piuttosto che eliminarli e sostituirli con altri nuovi.

Qual’è il reale beneficio del consumismo, quell’aspetto che ci fa accettare montagne di rifiuti, e di spendere denaro per ricomprare beni che già possediamo?

Non intendo parlare della semplice comodità di non doversi preoccupare di conservare con cura i nostri beni, o di farli riparare quando necessario: questa è solo la superficie delle cose, un effetto.

In realtà, cosa comperiamo quando facciamo del consumismo? In effetti, comperiamo il nostro tempo.

Ma il nostro tempo vale veramente lo spreco che facciamo?

Riusciamo a dare al tempo che recuperiamo un valore ed un significato superiori a quello dell’oggetto eliminato?

È una risposta difficile da darsi, ma credo che in poche occasioni si possa essere realmente convinti di aver impiegato il nostro tempo in modo così proficuo o utile da giustificare lo spreco.

Paesi come Cuba, ove la disponibilità di risorse e beni è infinitesima rispetto alla nostra, ed ancor più rispetto a quella americana, hanno una scala di valori diversa.

I beni hanno un valore diverso in rapporto al valore del tempo, e così vengono trattati bene, riparati e trattati con cura, perché v’è ben scarsa possibilità di sostituirli, qualora divengano inservibili.

E così noi europei ci troviamo nel mezzo di una scala di valori, in una fase di ritorno verso il valore del tempo e delle cose, dopo che il boom economico che ci aveva insegnato a buttare e ricomprare tutto.

Tutto sommato, siamo nella posizione migliore: abbiamo esperito ambo le opportunità, e stiamo formulando la nostra scelta.

I paesi poveri non hanno ancora avuto modo di conoscere le opportunità del consumismo, mentre gli Stati Uniti non si sono ancora trovati costretti ad affrontare il problema.

A noi, forse, la responsabilità di trasmettere al mondo una cultura di valori più profondi, che porti anche con sé i germogli di un’economia più sana.

Con riferimento al provvedimento del Garante 27/11/2008 – Misure e accorgimenti relativamente alle attribuzioni delle funzioni di amministratore di sistema, mi sono trovato ad affrontare, come tanti, il problema.

Ho letto molti pareri, ma ritengo le che problematiche principali siano relativamente poche.

In sintesi, i problemi di fondo che devono, a parer mio, essere affrontati e sviscerati, sono tre:

1. chiarire quali siano lo scopo e le modalità minime per gestire appropriatamente i log di sistema;
2. chiarire quali siano le responsabilità ed i requisiti minimi per gli amministratori di sistema;
3. proporzionare i requisiti alle caratteristiche de trattamenti effettuati.

Scopo e Modalità
In merito al punto 1. direi che lo scopo è evidentemente quello di impedire a chicchessia di eseguire sui dati qualsiasi tipo di operazione senza che questa possa essergli ricondotta.
In questo senso, non deve essere possibile ad alcuno accedere ai dati con credenziali non proprie, o effettuare operazioni sui profili di altri utenti per poter acquisire, anche temporaneamente, il loro profilo, per poter effettuare operazioni sui dati, senza che queste vengano registrate.
Ovviamente, l’amministratore di sistema non deve in nessun modo poter accedere e modificare i log al fine di far scomparire tracce e prove delle proprie azioni.
I meccanismi esistono, ma la loro descrizione esula dallo scopo di questa mia mail.

Altro aspetto fondamentale che dovrebbe essere sviscerato riguarda come garantire l’autenticità dei log registrati su supporto non riscrivibile.
In effetti, il fatto che un dato sia memorizzato su un supporto non riscrivibile, non ne garantisce l’originalità né l’autenticità.
A titolo di esempio, è possibile prendere un supporto su cui siano registrati i log, trasferirli su un sistema, modificarli, e memorizzarli su un nuovo supporto non riscrivibile, da sostituire al primo.

Occorre evidentemente che il contenuto del supporto sia firmato digitalmente, con data certa.

Responsabilità
L’amministratore di sistema viene caricato di pesanti responsabilità.
Mentre un ADS di grandi società è sicuramente selezionato sulla base della propria professionalità, ed è certamente conscio dell’entità dei problemi che si trova ad affrontare e gestire, la stragrande maggioranza di società non può permettersi simili professionisti: l’amministrazione di sistema è spesso un’attività fai-da-te, o viene girata a giovani inesperti, spesso con contratti temporanei.
Non è assolutamente accettabile che vengano scaricate su figure di questo tipo responsabilità che sono, di fatto, dell’azienda.

Di fatto, occorre che il Garante definisca quali sono i requisiti minimi di professionalità da richiedere all’ADS, e di come il costo di questa professionalità possa essere relazionata alle disponibilità finanziare dell’azienda.

Proporzionalità dei Requisiti
Come si diceva poc’anzi, nella stragrande maggioranza dei casi molto probabilmente l’azienda non è in grado di gestire, pur con tutta la buona volontà, il problema posto dal Garante.
In sostanza, alle aziende medio-piccole non occorrono prescrizioni teoriche, ma indicazioni pratiche.
Quello che potrebbe fare il Garante, con il CNIPA, è di predisporre le necessarie indicazioni (o meglio ancora, gli strumenti software) tali che, se appropriatamente adottati, possano mettere in condizioni le aziende di rispettare la legge senza dover dedicare una non indifferente fetta del proprio bilancio ad avvocati e consulenti esterni.

In questo senso risulta tuttavia fondamentale definire bene quali siano le discriminanti.
Un azienda, anche molto piccola in termini di persone, che tuttavia non utilizzi l’informatica come puro mezzo accessorio alle attività del proprio core business, non potrà limitarsi ad implementare criteri minimi di sicurezza.

Esistono sicuramente altri aspetti rilevanti, ma ritengo che in generale ciò che dovrebbe essere fatto da parte del Garante non sia semplicemente il fornire norme, ma indicazioni pratiche e strumenti facilmente calabili nella realtà delle aziende.
Il CNIPA potrebbe essere e fornire un valido aiuto in questo senso.

Un problema ormai datato, quello delle garanzie offerte per il software. Mentre ai consumatori sono riconosciuti dei diritti sanciti dalla legge per i beni materiali, per quelli immateriali (il software, giustappunto) questi diritti non sono riconosciuti.
Ma esistono realmente delle differenze?

A parte il software di tipo militare, o comunque quello che viene sviluppato su commessa, garanzie sul software di fatto non ne esistono.

Con ‘garanzie’ intendiamo quegli aspetti che responsabilizzano il produttore nei confronti del cliente a fronte di danni sofferti da questi a causa del proprio prodotto.

Qualunque prodotto materiale, dal tostapane alla macchina fotografica, è soggetto ad un periodo minimo di garanzia imposto per legge, entro il quale il prodotto non conforme alle specifiche deve essere sostituito a costo zero per il cliente, e addirittura se questi viene a soffrirne danni, può rivalersi sul produttore.

Andando a leggere i diritti concessi all’utente nei contratti di licenza (EULA) dei produttori software più importanti, si scopre che in caso di non corrispondenza alle specifiche del prodotto, il produttore in generale si riserva il diritto di valutare se gli convenga sviluppare e fornire un aggiornamento al software, o rimborsare il prezzo del prodotto.

In nessun modo vengono contemplati, ad esempio, danni derivanti da un antivirus che non funziona, o da un software di compressione o di backup che perda i dati.

Il reale danno per l’utente non è il costo del software, ma il danno al proprio business, e in nessun modo il rimborso del costo della licenza può essere in grado di risarcire il danno subito, senza contare che toglie all’utente il diritto di utilizzare il software.

Gli utenti spingono per equiparare i prodotti immateriali (il software) a quelli materiali, in modo da godere dei medesimi diritti garantiti dalla legge.

Dall’altra parte i produttori insistono nel ribadire la sostanziale differenza tra i due tipi di beni.

Persino la Commissione Europea ha iniziato a valutare con attenzione come le società produttrici di software dovrebbero essere ritenute responsabili per la sicurezza e l’efficacia del loro codice. La Commissione sembra quindi intenzionata ad estendere anche ai software le leggi di protezione dei consumatori in vigore per i manufatti fisici.

Si cerca quindi di responsabilizzare i produttori di software.

Ma in pratica, cosa sta accadendo? Il mercato sta affrontando una transizione di fase: si passa dal tempo in cui il software era realizzato da un’elite, e quindi chiuso (closed source) ad un’era in cui l’utente si sta rendendo conto che il software è conoscenza, ed in questo senso deve essere di tutti (open source).

La competizione che si è scatenata contrappone quindi prodotti sviluppati cooperativamente a quelli sviluppati in un’ottica di business tradizionale.

Un aspetto interessante della questione riguarda i brevetti sul software: i brevetti sono stati pensati per proteggere gli investimenti, e questo sicuramente vale per i beni materiali; ma se il software, in quanto bene immateriale, può essere trattato alla stessa stregua? Possiamo utilizzare due pesi e due misure?

Forse esiste un modo per interpretare la situazione e trovare una mediazione che incontri sia le esigenze degli utenti che gli interessi dei produttori: l’idea è quella di far pagare la Qualità.

Dal momento che esistono delle metodologie per verificare la qualità, la robustezza e la sicurezza del software, si potrebbe pensare che si potrebbe consentire la richiesta di un fee di licenza soltanto per il software che abbia superato una certificazione di parte terza rispetto alle metodologie stabilite come riferimento.

L’approccio è un po’ quello della ISO9001 (o anche altre norme, ma credo che questa sia la più nota): non è obbligatoria, ma se si vuole partecipare a certe gare, occorre aver preventivamente investito in una certificazione esterna della metodologia utilizzata.

Vuoi risparmiare sul costo di produzione del software? OK, ma se non non fornisci garanzie, non chiedere più di tanto (che so, per Windows, 10 Euro possono andare bene?)
Se invece certifichi il tuo prodotto (pensiamo a Windows server), a questo punto si possono anche chiedere migliaia di Euro di licenza.

Un approccio simile è quello di RedHat, MySQL, etc. che rendono disponibile gratuitamente il proprio prodotto, ma si fanno pagare un fee per la versione Enterprise, sulla quale forniscono garanzie, liste di certificazione, ed un servizio di risoluzione dei problemi.

In sostanza, la Qualità si paga.