Ricevo regolarmente, come molti dei lettori di questa rivista, la newsletter del Ministero dell'innovazione, in questi giorni di nuovo all'attenzione di codesta rivista per la pubblicazione del rapporto della Commissione sull'open source nella PA. Ma il mondo è fatto di combinazioni, e combinazione vuole che nella stessa newsletter in cui si annuncia quello che già in parte sappiamo (per essere stata Interlex ancora una volta assai tempestiva), vi sono altre notizie che dovrebbero ricevere uguale attenzione. Citiamo:

Agenzia di sicurezza della rete europea: il parere della BSA. Il cyberspazio europeo non potrà essere sicuro senza una fattiva partecipazione delle aziende del settore nella prevista Agenzia di Sicurezza della Rete Europea. Questa l'opinione della BSA {http://www.bsa.org}, Business Software Alliance, organizzazione mondiale per la promozione di un ambiente online sicuro. Un tema importante quello della sicurezza delle transazioni online, alla luce anche delle stime sull'evoluzione del commercio elettronico in Europa (271 miliardi di euro nel 2002, 828 miliardi di euro previsti per il 2004). L'organizzazione auspica per il futuro un sempre maggiore coordinamento delle politiche sulla sicurezza informatica tra Unione europea e Stati Uniti. Approfondimento {http://www.bsa.org/usa/press/newsreleases/2003-06-11.1649.phtml}

Andiamo diligentemente a leggere. Un passo ci fa quasi precipitare nell'ilarità. Citiamo nuovamente (la traduzione è zoppicante sia per le nostre limitate capacità, sia perché l'inglese non è dei più curati):

"Holleyman (presidente e CEO di BSA, n.d.r.) ha citato un rapporto pubblicato da Symantec (il principale produttore di software antivirus, Norton Antivirus, per intenderci, e associata di BSA, n.d.r.) il quale conclude che una società media ha subito in media venti attacchi informatici alla settimana durante gli ultimi sei mesi del 2002 [...] anche i virus o i worm individuali possono avere un impatto devastante. Il virus "Code Red" ha avuto un impatto economico di 2.5 miliardi di euro. Il "Love Bug"  è costato non meno di 8 miliardi di euro. La causa a favore della presa di misure preventive per prevenire tali attacchi è significativamente fondata. Holleyman ha sottolineato che la BSA supporta fortemente il concetto di formazione di un Agenzia [europea per la sicurezza in rete]".

Tutto bene, se non sapessimo chi c'è dietro BSA. Per chi non lo sapesse, diamo un aiutino: il produttore del sistema di software di posta elettronica più "bucato" del mondo, quello le cui falle nella sicurezza sono state sfruttate per autoriprodurre i virus citati sopra a velocità astronomica (per tacer del suo SQL Server che fece andare in tilt anche le poste italiane).

Se tanto mi da tanto, i 10,5 miliardi di euro di danni causati dai due virus non ci sarebbero stati se il programma di posta elettronica in questione fosse stato sostituito da altri meno proclivi verso la diffusione di virus. Avremmo (avrebbero) risparmiato dei bei soldini (poi ci vengono a parlare di TCO...). Invece, sentite cosa ci dicono, in soldoni: "Poiché le nostre associate (una in particolare) non sanno - o meglio non vogliono - produrre software decentemente sicuro, vi è un grave rischio di insicurezza nella rete. Dunque noi continuiamo a fare il software come ci pare e piace (tanto voi lo comprate comunque), però sappiate che il problema da noi causato è grave. Come dite? Se potete modificare voi il nostro software per renderlo meno insicuro? No, non azzardatevi perché vi facciamo causa. Comunque, visto che abbiamo le idee chiare, vi suggeriamo di creare un'agenzia che si occupi della sicurezza, alla quale noi consiglieremo come realizzare un Internet veramente sicuro".

Mi sembra che ci sia qualcosa che non va. Se le idee sulla sicurezza sono così chiare, perché non rendete sicuri i vostri prodotti? Ma il mondo è pieno di queste domande irrisolte, del tipo "perché quelli che predicono i numeri al lotto non se li giocano loro?" ⁽Per una migliore indagine dello stesso concetto, interessante un articolo a firma di Richard Fomo (in inglese) apparso su The Register , che si occupa soprattutto di "Palladium".

Non va soprattutto se consideriamo quale sia la soluzione prospettata dalla BSA: "Palladium". Nome di sonorità classicistiche (siamo o non siamo in tempo di esami di maturità?) che sottende la fine di Internet come la conosciamo, la fine della libertà di installarsi i programmi che vogliamo sul nostro computer e di tenerceli per quanto vogliamo, se del caso cambiandoli con alternative che riteniamo più sicure e comunque migliori. La fine soprattutto della possibilità di usare software open source, per l'impossibilità di "certificare" in tempi decenti le varie patch o nuove versioni la cui tempestività è cruciale per la stessa sicurezza.

In uno dei passaggi del rapporto sull'open source si richiama l'esigenza verso l'indipendenza tecnologica dal fornitore. Se diamo retta a BSA, fra un po' potremo fare a meno di Consip, di sistemi di e-procurement del software, commissioni Meo, perché tanto gli acquisti verranno fatti direttamente da qualcuno che sta a Redmond, Stato di Washington, il quale deciderà che programmi potremo installare, con chi potremo connetterci, che contenuti saranno leciti oppure no, quando dovremo cambiare i programmi (o meglio, rinnovare le licenze) e a che prezzo. Poi per il pagamento non c'è problema, il software farà tutto da solo, inviando l'ordine di bonifico alla banca direttamente dal nostro programma di gestione dell'home banking, senza nemmeno incomodarci ad inserire una smart card in un lettore.

Come diceva Tacito?( "Vita di Agricola", 98 d.C): Ubi solitudinem faciunt, pacem appellant (dove fanno un deserto, lo chiamano "palladium"). O quasi.