LinuxParty

Según el boletín de ciberseguridad de Lawfare, "la UE y los EE. UU. están adoptando enfoques muy diferentes en lo que respecta a la introducción de la responsabilidad por los productos de software. Mientras que los EE. UU. postergan el problema, la UE está lanzando una granada de mano para ver qué pasa".En la situación actual, la industria del software está ampliamente protegida de la responsabilidad por defectos o problemas, y esto da como resultado una subinversión sistémica en la seguridad de los productos. Las autoridades creen que al hacer que las empresas de software sean responsables de los daños cuando venden software basura, esas empresas se verán motivadas a mejorar la seguridad de los productos... [L]a UE ha optado por establecer estándares muy estrictos para la responsabilidad de los productos, aplicarlos a las personas en lugar de a las empresas y dejar que los abogados lo resuelvan todo.

A principios de este mes, el Consejo de la UE emitió una directiva que actualiza la ley de responsabilidad de los productos de la UE para tratar el software de la misma manera que cualquier otro producto. Según esta ley, los consumidores pueden reclamar una compensación por los daños causados ​​por productos defectuosos sin tener que demostrar que el vendedor fue negligente o irresponsable. Además de los daños personales o a la propiedad, en el caso de los productos de software, se pueden conceder daños por la pérdida o destrucción de datos. En lugar de definir un estándar mínimo de desarrollo de software, la directiva establece lo que consideramos el listón más alto posible. Los fabricantes de software pueden evitar la responsabilidad si prueban que un defecto no era detectable dado el "estado objetivo del conocimiento científico y técnico" en el momento en que el producto se puso en el mercado.

Aunque la directiva es severa con los fabricantes de software, su alcance es limitado. Se aplica sólo a personas (no a empresas) y los daños por uso profesional están explícitamente excluidos. Sin embargo, sigue habiendo margen para demandas colectivas como las acciones de clase. La directiva no es una ley en sí misma, pero establece la dirección legislativa para los estados miembros de la UE, y tienen dos años para implementar sus disposiciones. La directiva compromete a la Comisión Europea a recopilar públicamente las sentencias judiciales basadas en la directiva, por lo que será fácil ver cómo avanzan los casos.

Los principales proveedores de software utilizados por las empresas y los gobiernos más importantes del mundo están publicando código cómicamente vulnerable sin temor a ninguna reacción. Así que sí, el status quo necesita un cambio. Si es necesario o no que le lancen una granada de mano es una pregunta abierta. Tendremos nuestra respuesta pronto.