Come rileva Forbes commentando l’errore di progettazione del nuovo chip M1 di Apple “All chips have bugs, like the one described above, called “errata” but you typically don’t hear about them. Occasionally, some make it into the news like Intel’s notorious Pentium FDIV bug. But generally they remain either uninteresting (i.e., not pernicious) or are handled by chipmakers without disclosing them to the public” di Andrea Monti – inizialmente pubblicato su Strategikon – un blog di Italian Tech
È vero, tutti i processori hanno dei difetti. È vero, salvo qualche eccezione non fanno notizia. È vero, questi difetti non hanno provocato – per quanto pubblicamente noto – danni o apocalissi (contrariamente, ma questo è un altro tema, alle sciagure millenaristiche invariabilmente preconizzate dall’interessato profeta di sventura di turno). Con buona probabilità anche il bug del processore Apple non innescherà la fine del mondo – e nemmeno rimborsi per gli utenti che hanno acquistato i suoi computer o la riduzione del prezzo del hardware non ancora venduto.
Tuttavia, il commento di Forbes è l’archetipo dell’attitudine del pubblico e soprattutto dell’ipocrisia dei legislatori verso la responsabilità di chi produce software o prodotti basati su codice.
Di fronte all’ennesimo bug, il mantra oramai profondamente interiorizzato dagli utenti è “attendete la prossima versione” (del processore, del sistema operativo, del software). Poco importa che il “fix” arrivi dopo qualche ora, qualche mese o ancora più in là. Siamo di fronte a una resa culturale, ancora prima che giuridica, a un modello industriale che da decenni gode di una sostanziale impunità.
Qualsiasi produttore deve rispettare norme sulla sicurezza di quello che costruisce ed è responsabile degli errori che compie. Qualsiasi produttore, tranne quelli di software “generalisti” e, forse, non solo. Dunque, blame the user —prendetevela con gli utenti se il sistema operativo va in Guru Meditation o visualizza il Blue Screen of Death, se l’applicazione non ha salvato o ha corrotto i dati o se qualche firmware non funziona come dovrebbe. Alla fin fine, ricorrendo alla madre di tutte le scuse, ci si può sempre giustificare dicendo che “non è un difetto, ma una funzionalità!”.
Pragmaticamente, bisogna prendere atto che gli utenti sono oramai assuefatti a pagare per nuovi dei prodotti difettosi, immaturi o ingolfati di funzionalità inutili (Alan Cooper parlava, oltre vent’anni fa, di dancing bearware) che ne aumentano l’inefficienza e dunque la probabilità di mal operare.
Al contrario, non ci si dovrebbe arrendere di fronte all’inerzia dei legislatori comunitario e nazionale rispetto al tema della responsabilità dei produttori di software.
La narrativa mainstream sulla “cybersecurity” è caratterizzata dall’importanza di fare “whatever it takes” per proteggere le infrastrutture tecnologiche di istituzioni e imprese. L’Agenzia per la cybersicurezza nazionale nasce per controllare che hardware e software siano “sicuri”. Normative come il regolamento sulla protezione dei dati personali sanzionano pesantemente la “mancata adozione di misure di sicurezza”. Ma, invariabilmente, gli oneri e le responsabilità sono tutte sulle spalle degli utenti finali e non di chi vende loro prodotti difettosi.
La diffusione e la numerosità dei bug bounty programme sono un indice empirico ma indicativo della dimensione di un problema che può solo peggiorare per via della dell’informatizzazione forzata di sistemi di controllo e trasporto e, più in generale, dell’IoT. Possiamo consentire che il mondo (occidentale) segua gioisamente i Pifferai di Hamelin verso l’inevitabile epilogo?
Al di là dei toni melodrammatici la consapevolmente incosciente costruzione di un Colosso di Rodi tecnologico imporrebbe di assumere una decisione chiara sulla possibilità di estendere il principio di precauzione anche a Big Tech anticipando la sanzione al momento della scoperta del bug e a prescindere dalle sue conseguenze.
Ma, si potrebbe dire, un difetto è tale se provoca danni quantificabili e risarcibili. Dunque, la mera probabilità di un evento negativo non è di per sé, automaticamente causa di obblighi né per chi ha creato un prodotto difettoso né per chi lo utilizza. Nel più puro stile social, dove la verità è essenzialmente l’opinione che ci interessa seguire, entrambe le considerazioni sono corrette. In altri termini, la scelta dell’una o dell’altra strada è politica: lasciare che le cose procedano business as usual oppure affrontare direttamente la sfida, oggettivamente non semplice, del regolare la responsabilità di Big Tech.
Non servono (necessariamente) nuove leggi per raggiungere questo risultato. E anche se ci fosse questa necessità, le autorità, quelle indipendenti e in particolare il Garante per la protezione dei dati personali, avrebbero già i poteri sufficienti per valutare la natura di bug e vulnerabilità. Ricorrendone gli estremi, le autorità potrebbero dunque adottare i provvedimenti necessari anche nei confronti di chi le ha originate, anche se nella maggior parte dei casi si trova oltreoceano oppure oltrecortina.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte