DK10x22 - Colpa del computer? Non più.

Ascolta l'episodio su Spreaker.com

Conosco due rimedi per i picchi di cristomadonio. Il primo è una bella tisana di Fuckofius officinalis; il secondo è scoprire una buona notizia.

Io mi annoio facilmente, quindi la mia testa è sempre in cerca di qualcosa che valga la mia attenzione. Il che a volte porta a belle scoperte.

Quindi oggi per cambiare ci addentriamo in una cosa che credo avrà un impatto enorme sull'industria del software, e su Big Tech in particolare. Positivo per la prima, devastante per la seconda.

Parlo della nuova direttiva europea sulla responsabilità di prodotto.

E dedico la puntata ai fumati che blaterano di IA nella PA e dell'Italia come un futuro "stato agentico", ricordandogli che il down sarà durissimo.

Sigla.

Partiamo dai fatti. La direttiva europea sulla responsabilità di prodotto esiste dal 1985, quindi rinnovarla era nell'aria. La cosa interessante è che la vecchia direttiva non includeva il software, quella nuova, sì.

Mi avrete sentito lamentare decine di volte di come il software sia il solo prodotto che è consentito vendere "cosi come è"; sentite come recita la manleva che compare in tutti i software che avete comprato con soldi veri, non con quelli del Monopoli.

"Il Software viene fornito "così come è" e senza garanzie di alcun tipo; espressamente si nega qualsiasi garanzia, espressa o implicita, comprese, ma non limitate a, le garanzie implicite di commerciabilità e idoneità per uno scopo specifico."

Fermiamoci un attimo a capire.

Garanzia di commerciabilità significa che il prodotto sarà in grado di fornire le prestazioni che sono normalmente fornite da un prodotto di quel tipo. Significa che il prodotto funziona.

La garanzia di idoneità a un uso specifico nasce quando ci sono due condizioni:

1. il venditore sa che il compratore necessita del prodotto per un uso specifico e
2. il compratore fa affidamento sui consigli tecnici del venditore.

Significa che il prodotto serve a fare quello per cui mi viene venduto. Io devo appendere un quadro. Il ferramenta mi vende martello e chiodi, c'e una garanzia implicita che con martello e chiodi io posso attaccare il quadro al muro.

Quando invece compriamo un software, queste garanzie vengono escluse. Nel nostro esempio, il ferramenta può vendermi un martello di gommapiuma e dei chiodi di cera, e io non ho diritto di lamentarmi.

Questo è quello che è successo negli ultimi 40 anni comprando software. Poteva funzionare o non funzionare, il venditore non aveva alcuna responsabilità.

Ora, dal 2021 i cosiddetti "prodotti con elementi digitali", cioè smart watch, elettrodomestici, e tutti i prodotti fisici pensati per essere utilizzati tramite specifici software, e i servizi digitali sono protetti dalla garanzia di conformità per due anni dall'acquisto, allo stesso modo dei beni esclusivamente fisici.

Ma c'è un dettaglio. I servizi digitali sono soggetti a questa garanzia soltanto se i dati degli utenti sono utilizzati per finalità diverse dall'esecuzione del contratto.

Quindi al momento la garanzia copre soltanto due casi:

1. il difetto di un prodotto controllabile via software, entro i due anni dall'acquisto;
2. un servizio digitale a pagamento che usa i nostri dati per finalità diverse dalla esecuzione del contratto.

Cosa resta fuori da questa copertura? Quasi tutto.

Se l'app di Netflix si pianta, la garanzia non ci serve a nulla, visto che l'app di Netflix usa i nostri dati per farci vedere Netflix. E come Netflix, sono fuori copertura anche tutti i servizi di Amazon e di Google, e ovviamente tutti i servizi di Office365 e qualunque altro servizio online che usa i nostri dati per contratto. Se non funzionano possiamo solo aspettare che, nella loro infinita bontà, i fornitori rimedino alla interruzione del funzionamento magari vendendoci un upgrade.

Soprattutto è fuori dalla garanzia qualunque software che non sia associato a un servizio online o al funzionamento di un prodotto fisico.

Se volete capire come ha potuto Big Tech fare il bello e il cattivo tempo per quarant'anni, non vi serve guardare oltre la manleva con cui il software, da sempre, è stato venduto: senza alcuna responsabilità per il venditore.

Per quarant'anni abbiamo permesso ai Gates, i Jobs e tutti quelli che sono seguiti di venderci a peso d'oro prodotti software senza alcuna garanzia, incluse che funzionasse davvero e che servisse a quello per cui li vendevano. Ma naturalmente se ti permettevi di fare una copia del loro prodotto, che per loro stessa ammissione poteva anche non funzionare, allora eri un pirata e un ladro e dovevi pagare fantastiliardi di danni.

Risentitevi gli ultimi minuti. Se non vi viene da ululare e strapparvi i capelli non avete capito bene.

pausa

E ora arriviamo alla nuova direttiva europea sulla responsabilità di prodotto. Si chiama 2024/2853, è entrata in vigore il 9 dicembre 2024. Gli Stati membri la devono recepire nelle loro legislazioni nazionali e attuare le modifiche entro il 9 dicembre 2026. Ogni nuovo software rilasciato dopo quella data ricadrà nell'ambito della Direttiva.

Qui comincia il divertimento.

Prima cosa, nella Direttiva il software viene considerato esplicitamente come prodotto, cosa che fino ad oggi non era.

Seconda cosa, non si distingue se il software è associato o meno a un prodotto fisico, se viene venduto come prodotto a sé stante o attraverso un servizio in cloud.

Terza cosa, il software open source fornito a titolo gratuito non è soggetto alla direttiva.

E fin qui le basi. Vediamo qualche dettaglio:

• se è difettoso un software incluso in un prodotto, sono responsabili lo sviluppatore del software e il produttore del prodotto che lo incorpora; a me vengono subito in mente le Tesla, ma anche Apple Auto, Android Auto e compagnia cantante;
• se il difetto emerge dopo che il prodotto è stato immesso sul mercato, sono responsabili sia il produttore che gli altri coinvolti nello sviluppo. Aspetto importante, non importa che il prodotto abbia passato i test interni di qualità, a meno che il produttore non riesca a dimostrare che allo stato dell'arte sarebbe stato impossibile scoprire il difetto; a me vengono in mente tutti i software commerciali, che ormai da anni vengono venduti considerando i clienti come beta tester; ma anche i produttori di CPU, qualcuno ricorda Heartbleed?
• è responsabile il produttore che non fornisce, o fornisce in ritardo, upgrade hardware e software che manterrebbero la sicurezza del prodotto; e qui mi viene in mente per prima Microsoft, e a seguire tutti i produttori software, che spesso aspettano addirittura anni prima di rilasciare patch per vulnerabilità conosciute e documentate.

E tutte queste belle cose si applicano a qualsiasi tipo di software, inclusi i SaaS, ma escluso il software libero non-profit.

Per capire la portata di questa direttiva, occorre ragionare un attimo su come quarant'anni di assenza completa di responsabilità hanno ridotto l'industria del software.

Il primo effetto è stato di premiare la velocità dei rilasci di nuove versioni a discapito della qualità del software rilasciato. Da Microsoft in poi, ogni produttore software si è felicemente adeguato all'idea di usare gli utenti come beta tester. Cosa vuoi che importi dover rilasciare una patch un mese dopo, se possiamo lanciare una nuova versione del prodotto due o tre volte l'anno?

Questo meccanismo si è talmente consolidato che ormai viene considerato il modo normale di fare le cose. Nessuno si aspetta più che la nuova versione 26.1 funzioni correttamente. Il pubblico sa benissimo che serve ad attirare l'attenzione e a guadagnarsi spazio sui media. Poi, senza troppo baccano, un mese dopo uscirà una sottoversione 26.1.1 che correggerà la montagna di difetti emersa appena qualcuno ha veramente cominciato a usare il software.

Parallelamente a questa deriva, l'assenza completa di responsabilità del produttore ha anche portato a una elefantiasi del software. Liberi dal vincolo che il prodotto funzioni, i software hanno smesso di venire progettati e hanno cominciato a evolvere per accrezione: programmatori, venditori e marketing tutti impegnati a chi si inventava più funzionalità nuove da appiccicare assieme senza alcuna idea soggiacente di progetto. L'importante è che si potesse dire che c'era roba nuova.

Lo stesso è accaduto per le interfacce, che non si sono evolute negli ultimi quarantt'anni ma sono diventate un monumento al rococò: colori, ombre, trasparenze, bordi arrotondati, animazioni, effetti visivi, per non parlare delle icone, che hanno perso qualsiasi funzione e sono ormai pura estetica. Nove volte su dieci, se non leggi il testo che appare passandoci il mouse sopra, non hai idea della funzione associata a un'icona. Perfino l'interfaccia di MacOS, che un tempo era il paradigma del design razionale ed efficace, è diventato quel vomito visuale chiamato Liquid Glass.

Ma tutto questo non ha mai avuto peso per i produttori perché, in fin dei conti, usare gratis il tempo degli utenti costava meno che pagare il tempo dei tester interni. Fino ad oggi. Non vedo l'ora che la PLD2 sia operativa.

pausa

Il secondo impatto, e qui sarà da ridere, sarà sulle cosiddette "intelligenze artificiali", che fino ad oggi sono state vendute con la promessa di servire a qualunque cosa, senza l'impegno si servire ad alcunché.

Non che questo abbia impedito ai venditori di fumo di cercare di piazzarle dovunque, a ogni piè sospinto e senza la minima preoccupazione per eventuali danni collaterali. È di oggi il pezzo sul Guardian intitolato Google mette a rischio gli utenti tralasciando includere avvertenze di sicurezza nelle "AI overviews" a tema medico

Si dà il caso che la PLD2 pensi anche a loro. In particolare, la Direttiva considera che un sistema che "apprende continuamente" è sempre un "nuovo prodotto". Il che significa che dopo il 9 Dicembre 2026 ogni nuova versione di un modello linguistico ricadrà automaticamente sotto la Direttiva.

Ma non basta.

Perché essendo ora considerato un prodotto, un software deve servire a qualcosa. Cosa, lo decide il produttore, ma qualcosa deve essere.

Pensate agli LLM. Prima li hanno presentati come alternativa ai motori di ricerca. Poi hanno detto che erano degli oracoli in grado di rispondere a qualsiasi domanda. Poi hanno detto che servivano a sostituire psicologi e medici. Poi hanno detto che servono a scrivere codice invece dei programmatori. Ogni volta era una bufala, e ogni volta a fondo pagina in piccolo c'era scritto "l'intelligenza artificiale può commettere errori. Controlla sempre le risposte."

Ecco, con la Direttiva in arrivo, questo giochetto è finito. Perché se può commettere errori i casi sono due:

• o è un difetto, e allora il produttore è responsabile;
• oppure è una caratteristica intrinseca.

Ma se è una caratteristica intrinseca, allora non me lo puoi vendere come qualcosa che "risponde alle domande", o "fornisce consigli", o "scrive codice"; me lo puoi vendere come qualcosa che prova a farlo, e non sempre ci riesce; e scommetterei che sei anche tenuto a dirmi quale tasso di errore devo aspettarmi, e se il tasso di errore che incontro è superiore, allora il prodotto è difettoso e sei responsabile, caro Altman, caro Nadella, caro Pichai, caro Amodei.

Non dico che saranno costretti a ribaltare il loro avvertimento da "può commettere errori" a "risponde a casaccio e a volte ci può azzeccare"; ma ci rendiamo conto che per la prima volta da sempre questo branco di incompetenti sanguisughe è vincolata legalmente a quello che promette?

Da quando esiste il software commerciale, la scusa più comune per qualsiasi malfunzionamento è sempre stata "è colpa del computer". Come se il computer fosse svincolato da qualsiasi obbligo, come se usarlo non comportasse nessuna responsabilità. Perché finora era così.

Ma con la direttiva PLD2 cambia tutto. La responsabilità è arrivata. Per chi il software lo produce, per chi lo include in un prodotto, per chi ci appoggia sopra un servizio. Dal 9 Dicembre la colpa avrà nomi e cognomi. E cominceranno a pagare.

pausa

Il terzo grosso impatto che prevedo sarà sugli sviluppatori. Quelli che oggi si chiamano pomposamente "software engineer" sono nella maggior parte dei casi pigiatasti a cottimo. E non fatemi nemmeno iniziare a parlare delle credenziali accademiche necessarie (o inutili) per accedere a quella che una volta era una disciplina, una professione perfino.

Il programmatore contemporaneo è sostanzialmente un lavoratore a cottimo, meglio se di un Paese in via di sviluppo. Come sempre in questi casi, la qualità del prodotto è l'ultima delle preoccupazioni. E infatti non c'è manager che non spinga per adottare perfino i generatori di codice, pomposamente chiamati "intelligenze artificiali" pur di aumentare la quantità del prodotto, in un processo che per i risultati che ottiene è del tutto affine all'incremento di fibre nella dieta.

Trovare oggi un programmatore che abbia più di un superficiale interesse nella qualità del prodotto finito è più che una rarità, è un caso eccezionale. La caducità del software è ormai assimilata culturalmente in quello che si chiama "sviluppo agile", nel quale si abbandona perfino la finzione che esista un prodotto finito: ogni rilascio è solo un passo in un percorso che non finisce mai, ogni versione risolve qualche difetto delle precedenti, e il fatto che ne introduca di nuovi viene visto come una legge universale, una ineluttabilità.

Inizialmente nato per superare le rigidità dello sviluppo "a cascata" e per favorire un utopico maggior coinvolgimento dei committenti nel prodotto finito, lo sviluppo Agile è diventato una scusa: da un lato per istituzionalizzare il fatto che i requisiti dell'utente (o più spesso, del marketing) sono suggerimenti informali, non vincolanti, e soggetti a revisioni settimanali, e dall'altro per sostituire l'assunzione di responsabilità degli sviluppatori con la liturgia di stand-up meeting quotidiani e retrospettive mensili con cui ogni gruppo di lavoro celebra la propria completa incapacità di dirigere il processo di sviluppo.

Voglio proprio vedere cosa rimarrà di tutta questa agilità, di tutta questa intelligenza artificiale, di tutto questo software dopo che qualcuno avrà finalmente portato un produttore in tribunale per danni.