Ciao a tutti,
nelle ultime settimane si fa un gran parlare di app di Contact Tracing, seguendo un percorso di valutazione di una Fast Call del Ministero Innovazione.
Con l’ordinanza 10/2020 Il Commissario Straordinario Arcuri, ha indicato di procedere con la Società Bending Spoons SpA a stipula del contratto di concessione gratuita:
- della licenza d’uso sul software di contact tracing
- di appalto di servizio gratuito
Operando per conto della Presidenza del Consiglio dei Ministri come Stazione Appaltante, questa è quindi una acquisizione di software e sottostà alle norme del Codice Dell’Amministrazione Digitale Art 69.
Numerosi attori del mondo della società civile ( qui e qui ) e dell’accademia si sono espressi in merito alla necessità e utilità di un rilascio opensource.
Ciò è già obbligo in Italia, è quindi certamente utile provare ad elaborare più nel dettaglio come dovrebbe avvenire la “messa in riuso” a “norma di legge”.
Innanzitutto, come ragionamento di sostanza, quali sono le componenti da porre in riuso?
Ciò è ben argomentato nella sezione “Individuazione dei materiali da rilasciare” dell’ Allegato A: Guida alla pubblicazione di software come open source e ad occhio e croce le componenti principali potrebbero essere:
a) Le applicazioni Mobili
b) Le applicazioni Server (backend)
c) Gli strumenti a supporto delle procedure di sviluppo (build system, quality assurance, automated testing, etc)
d) La documentazione e le specifiche di interfaccia
A questo punto, qualificato il cosa, dovremmo domandarci con quali diritti di sfruttamento, cioè entrare nel merito dei seguenti aspetti:
- Di chi è il software (La “Titolarità”)
- Su quale licenza software questo venga posto in riuso
In merito al punto “1” ci viene incontro la sezione 3.7. Sviluppo di software ex novo che indica in modo chiaro ed inequivocabile che la Titolarità debba essere della pubblica amministrazione.
Titolarità significa in altri termini “diritto di sfruttamento esclusivo ed illimitato” assegnato dalla ditta privata (in questo caso Bending Spoons SpA) alla stazione appaltante (in questo caso la Presidenza del Consiglio dei Ministri).
Così facendo l’unico soggetto che possa decidere e definire in quale modo e con quale licenza l’applicazione software oggetto di acquisizione sia posta in riuso, e possa vedere un eventuale modifica dalla medesima in futuro, è la Stazione Appaltante.
In altri termini, Titolarità significa che il soggetto appaltante si spossessa della possibilità di concedere in licenza a terzi l’applicazione, perché pur mantenendone l’authorship, ha attribuito tutti i diritti alla Stazione Appaltante che ne diventa “proprietaria” .
Da ciò deduciamo che l’ordinanza 10/2020 del Commissario Straordinario nel punto descritto come “stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing” stia indicando di acquisirne la Titolarità.
A questo punto, soddisfatto il requisito di acquisizione della Titolarità del software in oggetto, la Stazione Appaltante (e non la ditta fornitrice) dovrà provvedere alle messa in riuso del software e dovrà farlo attribuendo una licenza di software libero.
Come farlo?
Ci viene incontro l’ Allegato C: Guida alle licenze Open Source che ci fornisce una disamina delle varie soluzioni.
Qui la Presidenza del Consiglio dei Ministri, titolare del software, può fare delle scelte di tipo politico e di trasparenza nell’applicare una licenza software libera:
- Obblighi chiunque riusi il software per fare altre app a rendere tutte le modifiche e le app stesse software libero (GPL, AGPL, etc)
- Consenta a chiunque riusi il software per fare altre app di tenere le modifiche e il software risultante privati (es: MPL-2, BSD, Apache, etc)
Quindi qui la scelta della PDCM è se vuole che il criterio di trasparenza che essa stessa adotterà diventi “regola” per chiunque altro volesse adottare in riuso il software.
Come opinione professionale personale, trattandosi di una applicazione “Client-Server”, in cui un utente (tramite app mobile) interagisce con un server (backend), volendo mantenere l’intera catena di interazione tramite internet “libera e pubblica”, la licenza copy-left che meglio si adatta è la AGPL 3.0.
La AGPL 3.0 è l’unica fra le licenze OSI specificamente pensata per software che interagiscono con una comunicazione client-server, quindi quella che a mio avviso meglio si adatta a questo tipo di progetto.
L’ordinanza 10/2020 ordina di stipulare anche contratto per “appalto di servizi”, che molto probabilmente includerà la manutenzione evolutiva e correttiva del software oggetto di riuso, dovendosi quindi porre il tema di “come fare manutenzione” .
Anche qui, la normativa ci viene incontro con l’ Allegato B: Guida alla manutenzione di software open source, fornendoci tutti i requisiti comportamentali e operativi a cui la ditta appaltante dovrà attenersi.
Credo di avere riassunto tutti gli aspetti salienti relativi agli adempimenti normativi necessari a cui la Presidenza del Consiglio dei Ministri e l’aggiudicataria Bending Spoon SpA dovranno attenersi nell’esecuzione operativa dell’ordinanza 10/2020 per l’acquisizione della App di Contact Tracing.
Chiedo quindi a tecnologhi e giuristi se mi sono perso qualcosa o se mi sono sbagliato in qualche punto, con l’obiettivo di potere seguire tramite questo post sul forum il corretto adempimento normativo ma mano che ci saranno novità in merito.
Fabio Pietrosanti (naif)