privacy Featured

Quando la tirannia governativa inciampa sulla realta: il software libero ti rende ingovernabile

Luigi

3 min read
Share
Quando la tirannia governativa inciampa sulla realta: il software libero ti rende ingovernabile

Non è tutti i giorni che si assiste al momento in cui la tirannia governativa sbatte la faccia contro
l'ecosistema Linux, e poi si ritira quando si rende conto di cosa ha di fronte. Ed è esattamente quello
che è appena successo con le leggi sulla verifica dell'età sui sistemi operativi.

Il contesto: leggi per la sicurezza online

I legislatori hanno guardato a Windows, macOS, iOS e Android, rendendosi conto che si tratta di sistemi
operativi corporate "standard". Le aziende da trilioni di dollari che li gestiscono possono essere
costrette a conformarsi. Anzi, per quanto riguarda i sistemi mobile, chiedono già la data di nascita
quando si crea un account. Sono già a metà strada della compliance.

Poi hanno guardato a Linux e hanno realizzato che il pinguino non è un'azienda, non è un app store, non
è un sistema di account, e soprattutto non è una persona che puoi trascinare in un'audience e minacciare
con multe.

L'obiettivo e il problema reale

California e Colorado stavano spingendo leggi che avrebbero obbligato i sistemi operativi a raccogliere
l'età dell'utente ed esporre quel dato tramite API a app, app store, browser e siti web. L'obiettivo
dichiarato era la sicurezza dei minori online. Ma l'implementazione ha iniziato a trasformarsi in
qualcosa di molto più grande: il sistema operativo stesso che diventa uno strumento di raccolta dati
governativa.

Una volta che il SO diventa la "fonte della verità" per "utente sotto i 13 anni", "utente 13-15 anni",
"utente adulto", non stai più regolamentando solo TikTok. Stai cambiando il modello di fiducia
dell'intero dispositivo che possiedi fisicamente, aprendo la porta a trasformare ogni dispositivo in un
enorme strumento di data collection.

Perché i big ecosystems non sono un problema

Per Apple, Google, Microsoft e i grandi ecosistemi, questo modello è già presente:

  • Account cloud centralizzati (che raccolgono già la data di nascita)
  • App store con dipartimenti di compliance
  • Avvocati, controlli parentali, telemetria integrata
  • Workflow di recupero account

Gli utenti di questi sistemi non vedono l'aggiunta di un segnale di età regolamentato come un problema
esistenziale.

Il caos Linux

Con Linux e altri sistemi open source, la situazione è completamente diversa:

  • Nessuna azienda Linux centrale
  • Nessun database account Linux universale
  • Nessun app store Linux unico
  • Nessun package manager vero

Se una distribuzione Linux dovesse raccogliere dati anagrafici durante l'installazione, dove finirebbero
questi dati? In etc/shadow? In systemd-homed? E se l'utente non usa systemd? Ogni app dovrebbe
interrogare il SO prima di partire? E se l'utente rimuove quel codice e compila la propria versione?

E se rimuovi quel codice da ogni programma open source nel SO, compili la tua distro e la distribuisci
via BitTorrent con un seed box in Bielorussia pagata con Monero? Nel mondo proprietario è facile da
contrastare. Nel mondo Linux, non puoi regolare un cazzo, a seconda di quanto le persone sono disposte
ad andare per defy la regolamentazione.

La svolta: le emendamenti che hanno salvato il libero software

È proprio questo il motivo che ha scatenato i nuovi emendamenti.

California AB1856 aggiorna il linguaggio del Digital Age Assurance Act definendo un "provider di sistemi
operativi" in modo da escludere chi distribuisce software sotto licenze che permettono di copiare,
ridistribuire e modificare il software. In parole povere: se distribuisci codice sotto licenze libere,
non sei trattato come un provider allo stesso livello di Apple o Microsoft.

Colorado va ancora oltre. Il testo finale esclude i distributori che permettono agli utenti di
installare versioni modificate senza restrizioni tecniche o contrattuali imposte dalla piattaforma.
Questa frase è cruciale: non basta che il codice sorgente sia visibile. Conta se puoi davvero installare
versioni modificate senza che la piattaforma ti blocchi.

La legge del Colorado esclude anche le infrastrutture che gli sviluppatori open source temevano:
repository di codice pubblico (GitHub, GitLab), repository di package distro e registri containerizzati
(Docker) non sono più considerati "app store" soggetti alla compliance.

Le zone grigie restano

Non tutti i sistemi basati su Linux sono trattati come distro community libere:

  • Android è basato su Linux ma è avvolto in Google Services, OEM account, store proprietari e un
    ecosistema corporate chiuso
  • Steam OS è Linux-based ma è legato allo store commerciale di Valve

Questi sistemi probabilmente avranno comunque esposizioni alla compliance.

La lezione: il software libero ti rende "ungovernabile"

C'erano discussioni su come implementare la compliance nel mondo Linux: un'API locale via D-Bus, un
campo opzionale nel formato JSON di systemd-homed (aggiunto a marzo, non a caso). Ma un metadata
opzionale in systemd non è lo stesso di un obbligo legale di raccogliere date di nascita da ogni utente.

Gli sviluppatori di Arch Linux erano disposti a resistere alla tirannia. Altri distribuivano le ISO di
Arch attraverso metodi ungovernabili come Tor. Questo è il punto principale che chiunque può apprezzare:
il software libero ti rende davvero digitalmente ungovernabile.

Il software libero è controllato dagli utenti, non da un'azienda o dalla mano pesante del governo. E
questo sta accadendo in tempo reale.