Un gruppo di 56 esperti provenienti da aziende di alto profilo, tra cui Google, Panasonic, Citizen Lab e Trend Micro, ha emesso una lettera aperta rivolta alla Commissione europea, al Parlamento europeo e al Ministero dell'Economia e della Trasformazione Digitale della Spagna. L'appello riguarda la necessità di riconsiderare i meccanismi di segnalazione obbligatoria delle vulnerabilità previsti nell'Articolo 11 della proposta di Cyber-Resilience Act (CRA) dell'Unione Europea.
Questa segnalazione ha suscitato molta preoccupazione in materia di sicurezza informatica. L'obbligo di rendere noti i dettagli sulle vulnerabilità non ancora risolte a un pubblico più ampio aumenterebbe il rischio che queste vengano sfruttate da malintenzionati.
Le preoccupazioni degli esperti non sono pure fantasie teoriche; in passato, hacker sono riusciti a violare le infrastrutture delle agenzie di intelligence per accedere a vulnerabilità archiviate.
La lettera aperta si sofferma proprio su questo e suggerisce due possibili soluzioni: la rimozione completa dell'obbligo di segnalazione o quantomeno una modifica che consentirebbe una finestra di 72 ore dopo la creazione e la distribuzione delle correzioni. Inoltre, si chiede ai responsabili delle politiche europee di vietare l'uso delle vulnerabilità segnalate per scopi di intelligence e sorveglianza. Questi cambiamenti mirerebbero a garantire che le vulnerabilità di sicurezza scoperte dai produttori di software non cadano nelle mani sbagliate.
Chiaramente l'obiettivo del CRA è proteggere il pubblico dalle aziende che trascurano le vulnerabilità nei loro prodotti, ma è fondamentale trovare un equilibrio tra la sicurezza informatica e la privacy dei cittadini, oltre che il lavoro degli sviluppatori di software. La lettera aperta dei 56 esperti invita proprio a questo e onestamente speriamo che tutte le parti in causa riescano a trovare una soluzione a questo problema.