In questa pagina vengono condivise in forma riassuntiva ed in lingua italiana le obbligazioni civilistiche e amministrative a cui devono attenersi tutti i soggetti pubblici che operano modifiche al software GlobaLeaks.<\/p>\n\n\n\n
Spesso accade che delle pubbliche amministrazioni, direttamente tramite societ\u00e0 IT in-house o mediante contratti esterni, decidano di personalizzare il software GlobaLeaks, apportando delle modifiche al codice sorgente, impiegando e redistribuendo quindi l\u2019edizione software modificata in molteplici modalit\u00e0 quali ad esempio:<\/p>\n\n\n\n
Per IT SaaS (Software as a Service) si intende la messa in opera, raggiungibile e fruibile attraverso un browser web, del software GlobaLeaks.<\/p>\n\n\n\n
Esistono molteplici regole a cui i soggetti che effettuano quanto su descritto devono attenersi, e sono cos\u00ec suddivisibili:<\/p>\n\n\n\n
Qualora non vi sia la piena comprensione e conseguente rispetto delle obbligazioni di cui sopra, il pi\u00f9 delle volte non per dolo ma per dinamiche di ridotte tempistiche di rilascio e\/o budget di sviluppo software sottodimensionati, le pubbliche amministrazioni e\/o i soggetti terzi coinvolti per l\u2019esecuzione potrebbero trovarsi in condizioni di irregolarit\u00e0 procedurale e\/o amministrativa e\/o legale dovendo in seguito aumentare i costi progettuali per l\u2019adeguamento alla compliance.<\/p>\n\n\n\n
Questo documento fornisce una linea guida per facilitare la compliance all\u2019interno dei progetto di riuso. Per qualunque delucidazione o chiarimento \u00e8 possibile condividere dubbi e\/o richieste di chiarimento e\/o suggerimenti su come migliorare le condizioni di licenza sul Forum GlobaLeaks<\/a>.<\/p>\n\n\n\n Il Software opensource GlobaLeaks \u00e8 rilasciato con una licenza libera, cio\u00e8 la AGPL 3.0<\/a>\u00a0della Free Software Foundation<\/a> (approvata OSI<\/a>) specificamente disegnata per le applicazioni web, che tutela il mantenimento della libert\u00e0 nel tempo del software, ne regola le modalit\u00e0 di apporto dei contributi comunitari, di redistribuzione nonch\u00e9 di rispetto dell\u2019attribuzione dei diritti d\u2019autore agli sviluppatori software.<\/p>\n\n\n\n Ai fini delle regole di riuso \u00e8 importante sapere che la licenza AGPL 3.0 comporta i seguenti principali obblighi:<\/p>\n\n\n\n Il primo punto \u00e8 rivolto a scoraggiare lo sfruttamento, tipicamente per finalit\u00e0 commerciali (ma non esclusivamente), del software libero apportando modifiche allo stesso che non saranno redistribuite come bene comune. <\/p>\n\n\n\n Il secondo punto \u00e8 rivolto a scoraggiare la redistribuzione del software, tipicamente con minori modifiche, senza che vi sia una evidenza pubblica della edizione originale su cui questo \u00e8 stato basato.<\/p>\n\n\n\n Il terzo punto \u00e8 rivolto a mantenere l\u2019integrit\u00e0 dell\u2019insieme di diritti e libert\u00e0 garantite dal software, consentendo tuttavia il licensing con altra licenza compatibile delle sole modifiche apportate, espressamente indicando i singoli artefatti oggetto di modifica.<\/p>\n\n\n\n A tal proposito la licenza d\u2019uso del software GlobaLeaks prevede l\u2019applicazione di due ulteriori estensioni consentite dalla AGPL 3.0 per tutte le modifiche software, schematizzate in seguito:<\/p>\n\n\n\n Appropriate Legal Notice alla\u00a0clausola 7. comma b<\/a>.:<\/p>\n\n\n\n Modified Material Notice alla clausola\u00a0\u00a07. comma c.<\/a>:<\/p>\n\n\n\n Le obbligazioni di cui sopra si applicano tanto alle edizioni di software modificate redistribuite sotto forma di codici sorgenti quanto sotto forma di servizio gestito (SaaS: Software as a Service).<\/p>\n\n\n\n Software con licenza AGPL 3.0 non pu\u00f2 essere oggetto di re-licensing, se non per espressa azione da parte del 100% dei detentori dei diritti d\u2019autore.<\/p>\n\n\n\n In caso di violazioni sar\u00e0 cura dei detentori dei diritti d\u2019autore notificare gli enti e\/o le societ\u00e0 in violazione, al fine di preservare la libert\u00e0 del software nei principi della licenza AGPL 3.0 che fornisce 60 giorni di tempo per l\u2019adeguamento (salvo diversi accordi).<\/p>\n\n\n\n Il Foro Competente definito dai detentori dei diritti d\u2019autore \u00e8 Milano. I detentori dei diritti d\u2019autore proporranno ricorso alla Camera Arbitrale di Milano, seguendo un percorso volto ad evitare inutili azioni civili, disponibili ad eleggere in propria rappresentanza avvocati affiliati alla Free Software Foundation Europe e\/o altri giuristi che che da tempo operano (anche pro-bono), a difesa della tutela del software libero.<\/p>\n\n\n\n I detentori dei diritti d\u2019autore del software si rendono disponibili a fornire autorizzazioni esplicite rivolte alla applicazione di varianti di applicazione delle obbligazioni di cui sopra, laddove ci si trovi nella condivisione degli obiettivi sociali per i quali \u00e8 stato realizzato GlobaLeaks nonch\u00e9 in presenza del pieno rispetto delle logiche di contribuzione aperta e collaborativa proprie dei progetti opensource (come da best practice indicate nella Guida alla Modifica di software opensource preso a riuso o di terzi<\/a> di Agid).<\/p>\n\n\n\n Come ulteriore nota informativa, in considerazione della diffusione d\u2019uso della licenza EUPL 1.2 nella pubblica amministrazione, condividiamo come la lista di compatibilit\u00e0 distribuita dalla commissione europea<\/a>, specifica la non fattibilit\u00e0 di effettuare \u201cre-licensing\u201d sotto EUPL 1.2 di un software libero basato su AGPL 3.0, mentre consente il contrario (cio\u00e8 un software EUPL 1.2 pu\u00f2 essere \u201cre-licensed\u201d sotto AGPL 3.0).<\/p>\n\n\n\n Le pubbliche amministrazioni devono, secondo quanto stabilito dall\u2019art. 69 Comma 2 del CAD (Codice delle Amministrazione Digitali) rilasciare i software sviluppati in riuso, rendendoli disponibili agli altri enti e a tutto il pubblico in generale.<\/p>\n\n\n\n Fare riuso non significa semplicisticamente \u201cpubblicazione del codice sorgente\u201d ma richiede il rispetto di precise linee guida operative, definite nelle\u00a0Linee Guida sul Riuso del Software<\/a>\u00a0dell\u2019Agid.<\/p>\n\n\n\n In particolare quando si modifica un software opensource di terze parti, con l\u2019obiettivo di adattarlo alle proprie esigenze, sono previste particolari procedure rivolte a massimizzare il contributo dell\u2019ente al progetto opensource principale nel Allegato D: Guida alla presa in riuso di software open source<\/a> .<\/p>\n\n\n\n Le Regole di Riuso servono per una sensibile riduzione dei costi di manutenzione evolutiva e correttiva per tutta la PA, evitando rischi di lock-in eventualmente praticati in modo ostile da parte di fornitori tramite operativit\u00e0 tecnica che normalmente sfugge alla comprensione di chi si occupa di appalti dal punto di vista prettamente legale e\/o amministrativo (es: creare duplicazioni di basi di codice, non allinearle all\u2019ultima versione, adoperare stili di programmazioni disomogenei rispetto al progetto originario, modificare il cuore del software in modo non modulare tale da rendere difficile la reintegrazione delle modifiche, non documentare le modifiche in modo orientato a favorire ulteriori contributi di terzi, integrare librerie con licenze software non libere, etc).\u00a0<\/p>\n\n\n\n E\u2019 necessario contribuire in modo produttivo e coordinato con il progetto opensource sulla base del quale si effettuano modifiche, arricchendone le funzionalit\u00e0 secondo i paradigmi di programmazione del progetto originario, interagendo con i maintainer per condividere le modalit\u00e0 di contribuzione, impiegare i sistemi di sviluppo collaborativo da questi messi a disposizione, evitare di creare duplicazioni di rilasci software che seguano percorsi di evoluzione diversi fra loro.<\/p>\n\n\n\n Qualora non vengano seguite le linee guida riuso, si va a determinare un danno erariale per la PA, \u00e8 dovuto un intervento della Corte dei Conti, come definito dal protocollo di collaborazione Team Trasformazione Digitale e Corte Dei Conti<\/a>. Il ragionamento \u00e8 semplice, non seguire le linee guida di acquisizione e riuso di software non determina una riduzione, ma un aumento dei costi derivanti da ci\u00f2 che riguardano le modalit\u00e0 tecniche-operative di progettazione, deployment, manutenzione correttiva, evolutiva nonch\u00e9 di contributo distribuito e collaborativo a tali processi di produzione di conoscenza bene comune.<\/p>\n\n\n\n Fare riuso secondo le linee guida Agid, riduce in modo drastico il TCO (Total Cost of Ownership), con un impatto significativo di riduzione dei costi di manutenzione evolutiva e correttiva, oltrech\u00e9 dei costi di adozione per le PA che volessero adoperare tale software come utenti finali.<\/p>\n\n\n\n Si suggerisce di interagire in modo aperto sin dalla definizione preliminare delle analisi di progetto con il sistema di sviluppo collaborativo GlobaLeaks<\/a>, di postare sul forum<\/a> la propria idea\/esigenza di miglioramento\/modifica cos\u00ec da consentire alla comunit\u00e0 una collaborazione efficiente, aggregando gli sforzi di sviluppo in una direzione comune impiegando assieme il sistema di sviluppo Github<\/a>, nel rispetto delle prassi di r&d opensource, ribadite dalle linee guida Agid.<\/p>\n\n\n\n Le PA sono tenute al rispetto delle Misure Minime di Sicurezza ICT<\/a>, come da Circolare 18 Aprile 2017 n 2\/2017<\/a> implementando numerose misure organizzative nonch\u00e9 tecniche-operative volte alla tutela del patrimonio informativo aziendale.<\/p>\n\n\n\n In relazione ai progetti di riuso di software, \u00e8 doveroso sottolineare l\u2019esigenza di compatibilit\u00e0 con le Misure Minime di Sicurezza ICT che prescrivono al controllo 4.5.1 del \u201cModulo di Implementazione<\/a>\u201d l\u2019installazione degli aggiornamenti software delle applicazioni.<\/p>\n\n\n\n Laddove il software messo in riuso sulla base di GlobaLeaks fosse una edizione non pi\u00f9 aggiornata\/allineata alla edizione principale del software, tutti coloro che lo adottassero potrebbero trovarsi nella impossibilit\u00e0 di installare patch ed aggiornamenti, oltre a non beneficiare dei continui miglioramenti di sicurezza necessari ad affrontare le minacce di cybersecurity in continua evoluzione.<\/p>\n\n\n\n GlobaLeaks, dalla major version 3.0, dispone di un sistema automatico di notifica degli aggiornamenti disponibili, al fine di coadiuvare il rispetto delle Misure Minime di Sicurezza ICT.<\/p>\n\n\n\n Il responsabile della struttura per l\u2019organizzazione, l\u2019innovazione e le tecnologie, come indicato nel CAD (art. 17 ) o, in sua assenza, del dirigente designato, deve verificare la compliance dei software adottati dall\u2019ente rispetto alla disponibilit\u00e0 degli aggiornamenti di sicurezza tanto intesi come manutenzione correttiva quanto come manutenzione evolutiva, privilegiando l\u2019uso di edizioni software ampiamente diffuse, utilizzate e oggetto di test sicurezza informatica<\/p>\n\n\n\n GlobaLeaks implementa un processo di sviluppo del software sicuro, seguendo best practices internazionali, documentando tutte le scelte di design nonch\u00e9 implementative di dettaglio in documentazione oggetto di revisione pubblica.<\/p>\n\n\n\n Le PA che effettuano, o fanno effettuare, sviluppi software devono attenersi alle Linee Guida per lo Sviluppo del Software Sicuro<\/a> e, in tal senso, rispettare il software development lifecycle di GlobaLeaks in tutte le proprie operativit\u00e0 di riuso.<\/p>\n\n\n\nRispetto del diritto d\u2019autore (<\/strong>obbligazioni civilistiche)<\/h2>\n\n\n\n
Redistribuzione del software modificato in Riuso <\/strong>(obbligazioni amministrative)<\/h2>\n\n\n\n
Misure Minime di Sicurezza ICT <\/strong>(obbligazioni tecniche-operative)<\/h2>\n\n\n\n
Linee guida per lo sviluppo del software sicuro<\/h2>\n\n\n\n