4 I limiti al diritto di decompilazione e di reverse-engineering del software 2

Il trattato WIPO sul diritto d’autore del 1996 (a cui, lo ricordiamo, l’EUCD mira ad adeguarsi) richiede una tutela legale per le “misure tecnologiche” che impediscono usi non autorizzati del materiale digitale coperto da diritti:

Article 11
Obligations concerning Technological Measures

Contracting Parties shall provide adequate legal protection and effective legal remedies against the circumvention of effective technological measures that are used by authors in connection with the exercise of their rights under this Treaty or the Berne Convention and that restrict acts, in respect of their works, which are not authorized by the authors concerned or permitted by law. 3

Tale richiesta viene soddisfatta in maniera estremamente rigida nell’articolo 6 dell’EUCD: vengono previste delle sanzioni per l’aggiramento delle suddette “misure tecnologiche” indipendentemente dallo scopo dell’elusione stessa (che potrebbe essere effettuata per agevolare un uso legittimo delle opere da parte dell’utente), e viene resa illegale la creazione e la distribuzione di qualunque strumento (hardware o software) in grado di agevolare l’operazione:

Articolo 6
Obblighi relativi alle misure tecnologiche

1
Gli Stati membri prevedono un’adeguata protezione giuridica contro l’elusione di efficaci misure tecnologiche, svolta da persone consapevoli, o che si possano ragionevolmente presumere consapevoli, di perseguire tale obiettivo.
2
Gli Stati membri prevedono un’adeguata protezione giuridica contro la fabbricazione, l’importazione, la distribuzione, la vendita, il noleggio, la pubblicità per la vendita o il noleggio o la detenzione a scopi commerciali di attrezzature, prodotti o componenti o la prestazione di servizi, che:
a)
siano oggetto di una promozione, di una pubblicità o di una commercializzazione, con la finalità di eludere, o
b)
non abbiano, se non in misura limitata, altra finalità o uso commercialmente rilevante, oltre quello di eludere, o
c)
siano principalmente progettate, prodotte, adattate o realizzate con la finalità di rendere possibile o di facilitare l’elusione di efficaci misure tecnologiche.

Occorre notare che questi passaggi da soli renderebbero l’EUCD apertamente in contraddizione con la direttiva 91/250/CEE sulla tutela giuridica dei programmi per elaboratore, che garantisce agli utenti il diritto di poter studiare il funzionamento interno e di poter decompilare e modificare il software utilizzato, allo scopo di garantire l’interoperabilità con altre applicazioni. Le “efficaci misure tecnologiche,” infatti, sono in genere delle semplici porzioni di programma per computer che si occupano di regolare l’utilizzo del materiale coperto da diritti — e come tali dovrebbero essere legalmente decompilabili.

Il testo dell’EUCD contiene alcuni passaggi che cercano di aggirare questa contraddizione. Tali passaggi sono esaminati nelle prossime righe. Chi non fosse interessato può passare direttamente alle conseguenze dell’applicazione dell’articolo 6, illustrate nella sezione 4.1.

I conflitti con la direttiva 91/250/CEE sui programmi per elaboratore

Come accennato, la direttiva 91/250/CEE sulla tutela giuridica dei programmi per elaboratore sancisce il diritto per gli utenti di poter studiare, decompilare e modificare il software utilizzato, in modo da garantire l’interoperabilità con altre applicazioni (incluse quelle sviluppate dagli utenti stessi). Nonostante vi siano alcune parziali (e talora discutibili) limitazioni a questo diritto (qui non trattate per brevità), la direttiva è chiara:

Articolo 4
Attività riservate

Fatte salve le disposizioni degli articoli 5 e 6, i diritti esclusivi del titolare, ai sensi dell’articolo 2, comprendono il diritto di effettuare o autorizzare:

. . .
b)
la traduzione, l’adattamento, l’adeguamento e ogni altra modifica di un programma per elaboratore e la riproduzione del programma che ne risulti, fatti salvi i diritti della persona che modifica il programma;
. . .

Articolo 5
Deroghe relative alle attività riservate

. . .
3
La persona che ha il diritto di utilizzare una copia di un programma può, senza chiederne l’autorizzazione al titolare del diritto, osservare, studiare o sperimentare il funzionamento del programma, allo scopo di determinare le idee e i principi su cui è basato ogni elemento del programma, quando essa effettua le operazioni di caricamento, visualizzazione, esecuzione, trasmissione o memorizzazione del programma che ha il diritto di effettuare.

Articolo 6
Decompilazione

1
Per gli atti di riproduzione del codice e di traduzione della sua forma ai sensi dell’articolo 4, lettere a) e b), non è necessaria l’autorizzazione del titolare dei diritti qualora l’esecuzione di tali atti al fine di modificare la forma del codice sia indispensabile per ottenere le informazioni necessarie per conseguire l’interoperabilità con altri programmi di un programma per elaboratore creato autonomamente . . .
. . .

Articolo 7
Misure speciali di tutela

1
Fatte salve le disposizioni degli articoli 4, 5 e 6, gli Stati membri stabiliscono, conformemente alle legislazioni nazionali, appropriate misure nei confronti della persona che compie uno degli atti elencati alle seguenti lettere a), b) e c):
. . .
c)
ogni atto di messa in circolazione, o la detenzione a scopo commerciale, di qualsiasi mezzo unicamente inteso a facilitare la rimozione non autorizzata o l’elusione di dispositivi tecnici eventualmente applicati a protezione di un programma.

Come si può notare, le sanzioni dell’articolo 7 sono definite solamente dopo aver stabilito dei diritti per gli autori e degli analoghi diritti per gli utenti che devono essere garantiti da tutti gli Stati membri dell’Unione europea. Questa politica non è certamente condivisa dall’EUCD, che si limita ad introdurre nuove sanzioni per l’utente senza stabilire o chiarificare alcun diritto.

Il punto fondamentale è comunque semplice: poiché le “misure tecnologiche” citate dall’EUCD in genere non sono altro che porzioni di programmi per elaboratore, esse dovrebbero essere legalmente analizzabili e decompilabili dagli utenti in base alla regole stabilite dalla direttiva 91/250/CEE — cosa che l’EUCD dichiara illegale.

La contraddizione viene aggirata in pochi righe. La netta affermazione del diritto al reverse-engineering della direttiva sui programmi per elaboratore viene citata anche nell’apertura dell’EUCD:

(50)
Una protezione giuridica armonizzata [come è considerata l’EUCD, n.d.r.] lascia impregiudicate le disposizioni specifiche di protezione previste dalla direttiva 91/250/CEE. In particolare essa non si dovrebbe applicare alla tutela delle misure tecnologiche usate in relazione ai programmi per elaboratore, disciplinata esclusivamente da detta direttiva. Non dovrebbe inoltre ostacolare né impedire lo sviluppo o l’utilizzo di qualsiasi mezzo atto a eludere una misura tecnologica se necessario per l’esecuzione degli atti da compiere ai sensi dell’articolo 5, paragrafo 3, e dell’articolo 6 della direttiva 91/250/CEE. Gli articoli 5 e 6 di tale direttiva si limitano a stabilire le eccezioni ai diritti esclusivi applicabili ai programmi per elaboratore.

Nonostante questo passaggio possa suggerire che l’EUCD non alteri quanto sancito da tale direttiva, in realtà esso fornisce un primo indizio su quanto verrà stabilito nel resto del documento: in queste righe si può infatti leggere che la direttiva 91/250/CEE è valida solamente per quanto riguarda le “misure tecnologiche” a protezione del diritto d’autore applicate al software (per esempio, nel caso di una “misura tecnologica” che impedisca la copia di un programma per computer). L’EUCD semplicemente ribadisce che questo tipo di “misura tecnologica” può essere legittimamente elusa, ma solo se tale operazione è necessaria per poter usufruire del diritto alla decompilazione di un programma per elaboratore (nei termini della direttiva 91/250/CEE).

Ma allora ci si deve domandare che cosa accada quando le porzioni di programma che implementano le “misure tecnologiche” siano poste a protezione di altro materiale diverso dai programmi per computer, e quindi non tutelato dalla direttiva 91/250/CEE — per esempio, nel caso dei sistemi che impediscono la copia o l’accesso ad un libro in formato digitale (e-book).

La risposta si trova nella definizione di “misura tecnologica” dell’articolo 6 dell’EUCD:

Articolo 6
Obblighi relativi alle misure tecnologiche

. . .
3
Ai fini della presente direttiva, per “misure tecnologiche” si intendono tutte le tecnologie, i dispositivi o componenti che, nel normale corso del loro funzionamento, sono destinati a impedire o limitare atti, su opere o altri materiali protetti, non autorizzati dal titolare del diritto d’autore o del diritto connesso al diritto d’autore, così come previsto dalla legge o dal diritto sui generis previsto al capitolo III della direttiva 96/9/CE. Le misure tecnologiche sono considerate “efficaci” nel caso in cui l’uso dell’opera o di altro materiale protetto sia controllato dai titolari tramite l’applicazione di un controllo di accesso o di un procedimento di protezione, quale la cifratura, la distorsione o qualsiasi altra trasformazione dell’opera o di altro materiale protetto, o di un meccanismo di controllo delle copie, che realizza l’obiettivo di protezione.

Qui il concetto di “(efficace) misura tecnologica” viene allontanato dal concetto di “software” e da quanto sancito dalla direttiva 91/250/CEE, per essere ridefinito in un modo molto più generale e vago (che comprenda anche i dispositivi hardware) ed in funzione di un’altra direttiva (la 96/9/CE sulle basi di dati) che non si occupa di software. Il capitolo III di tale direttiva, a cui l’EUCD fa riferimento, recita:

CAPITOLO III - DIRITTO «SUI GENERIS»
Articolo 7
Oggetto della tutela

1
Gli Stati membri attribuiscono al costitutore di una banca di dati il diritto di vietare operazioni di estrazione e/o reimpiego della totalità o di una parte sostanziale del contenuto della stessa, valutata in termini qualitativi o quantitativi, qualora il conseguimento, la verifica e la presentazione di tale contenuto attestino un investimento rilevante sotto il profilo qualitativo o quantitativo.

Attraverso questi passaggi diventa possibile instaurare una insuperabile limitazione legale che rende intoccabili le cosiddette “efficaci misure tecnologiche”, in qualunque modo esse siano implementate, e nonostante le evidenti limitazioni ai diritti per gli utenti sanciti dalla direttiva 91/250/CEE.

4.1 Le conseguenze

In sintesi, l’EUCD stabilisce che qualunque dispositivo o programma per elaboratore che si occupi di “vietare le operazioni di estrazione e/o reimpiego” di una “parte sostanziale” di una banca di dati non rientra nel diritto dell’utente allo studio ed al reverse-engineering, e che la sua decompilazione, modifica o aggiramento è illegale in qualunque caso. Anche gli strumenti in grado di agevolare tali operazioni sono considerati illegali.

Più in generale, l’EUCD rende illegale lo studio e la reimplementazione di qualsiasi programma che gestisca un qualsiasi formato dati o protocollo, se tale formato o protocollo comprende delle misure di protezione di qualunque tipo. Infatti, la creazione di un nuovo programma che gestisca lo stesso formato dati implica necessariamente l’aggiraramento delle misure di protezione presenti nel programma “originario”: con lo sviluppo del nuovo applicativo diventerebbe possibile accedere ai dati senza eseguire le porzioni del software “originali” che regolavano l’utilizzo del formato stesso.

Per esempio, diventerebbe illecito studiare e reimplementare il funzionamento di un programma per la lettura degli e-book (i quali rappresentano delle basi di dati, seppur ridotte a pochi elementi), se il programma “originale” si occupa di regolare la copia o l’accesso ai contenuti, e se il formato di e-book gestito dall’applicazione è protetto da una qualsiasi cifratura o distorsione, anche molto semplice. Lo studio e la reimplementazione diventerebbero punibili, indipendentemente dalla presenza di una reale violazione del diritto d’autore (quale potrebbe essere, per esempio, la distribuzione illecita di materiale ottenuto attraverso l’aggiramento delle “misure tecnologiche” contenute nel programma).

Questo genere di divieto si risolve nella creazione di un regime legale in grado di favorire la creazione di monopoli sui formati dei dati (cosa che peraltro la direttiva 91/250/CEE cercava di evitare, garantendo il diritto alla decompilazione per favorire l’interoperabilità).

Si supponga, per esempio, che una software house crei un formato proprietario per la memorizzazione o la trasmissione dei dati, comprendente una qualsiasi (seppur blanda) “efficace misura tecnologica” che limiti in qualche modo la lettura o la copia dei dati stessi: per esempio, il formato potrebbe prevedere una protezione mediante password o un controllo su chi accede ai contenuti, assieme una distorsione dei dati anche molto semplice, come lo scambio delle lettere del testo 4.

In un caso come questo, l’EUCD renderebbe illecita la decompilazione del programma “originale”, lo studio del formato tramite reverse-engineering, e la crezione e pubblicazione di applicativi che, indipendentemente dalla software house originaria, siano in grado di gestire il formato stesso. Il risultato sarebbe una completa dipendenza di tutti gli utenti da un solo produttore di software: esso sarebbe l’unico legalmente autorizzato a produrre programmi in grado di accedere ai dati memorizzati o trasferiti usando il formato dati da esso sviluppato.

Già adesso si verifica continuamente la difficoltà ad accedere ai propri dati memorizzati, quando si utilizzano programmi differenti rispetto a quelli utilizzati originariamente; l’EUCD complica ulteriormente la situazione imponendo uno sbarramento legale alla possibilità di studio e reimplementazione — e questo rappresenta, come già detto, un vero e proprio monopolio legale sui formati e sui protocolli di trasmissione dei dati, in grado di impedire qualunque interoperabilità tra i programmi di diversi produttori.

4.1.1 Il caso dei DVD

Questa ipotesi di monopolio legale, tutt’altro che remota, troverebbe immediata applicazione nel caso dei film in DVD: essi sono criptati con un algoritmo (CSS, Content Scrambling System) che può essere decifrato solamente mediante l’uso di opportune chiavi numeriche di decodifica. Tali chiavi sono possedute dai promotori del sistema CSS, e sono fornite solamente alle aziende produttrici di player DVD che si impegnano a rispettare, per esempio, il “DVD zoning” (un semplice codice numerico inciso sul DVD, che varia in base alle zone geografiche del pianeta): gli applicativi prodotti devono impedire agli utenti di guardare in Europa la copia di un film acquistata in Giappone o negli USA [18].

In base all’articolo 6 dell’EUCD, un utente che cercasse di aggirare questa limitazione per poter guardare liberamente un film contenuto in un DVD regolarmente acquistato in un altro Paese diventerebbe legalmente perseguibile; egli sarebbe costretto ad affidarsi solamente ai programmi “autorizzati” a visualizzare i film in DVD, ed a sottostare alle condizioni da essi imposte. Parallelamente, qualunque programmatore cercasse di creare un player DVD “non autorizzato” rischierebbe il carcere. Cosa ancora più paradossale, queste attività diventerebbero punibili anche in assenza di reali violazioni del diritto d’autore ad esse associate: il responsabile dell’elusione verrebbe punito in ogni caso, anche se egli non avesse mai distribuito del materiale ottenuto attraverso l’elusione stessa. Tale scenario è già oggi realtà in alcuni Paesi (specie negli USA in cui è in vigore il DMCA, vedi sezione 9), e si estenderebbe a tutta l’Europa con l’entrata in vigore dell’EUCD.

4.1.2 Le conseguenze sul software libero

L’articolo 6 dell’EUCD finirebbe inoltre per porre forti restrizioni alla creazione di software libero che sia in grado di interoperare con sistemi non liberi. Lo sviluppo di programmi liberi interoperanti, infatti, ha da sempre usufruito della possibilità di reverse-engineering per poter garantire una compatibilità con i formati ed i sistemi operativi proprietari più diffusi — e d’altronde il diritto di reverse-engineering previsto dalla direttiva 91/250/CE mirava proprio a garantire questa possibilità a qualunque sviluppatore. A questo proposito si possono fare gli esempi del progetto Samba, che permette di integrare nelle reti Microsoft™  dei sistemi operativi differenti da Microsoft Windows™, o del progetto Jabber™, che offre un protocollo libero di messaggistica istantanea in grado di essere interfacciato ai più noti sistemi di instant-messaging proprietari (per esempio ICQ™, MSN Messenger™, Yahoo! Messenger™).

Le limitazioni imposte dall’articolo 6 dell’EUCD potrebbero rendere impossibile lo sviluppo di questo genere di applicazioni: l’azienda creatrice di un certo formato potrebbe accusare gli sviluppatori da essa indipendenti di avere violato delle “misure tecnologiche” proprie del formato stesso — e come già visto la definizione di “misura tecnologica” contenuta nell’EUCD è estremamente ampia e vaga. Questi non possono che essere degli ostacoli insormontabili alla libertà di produrre software interoperante, in particolare se libero — cosa che si traduce nell’annullamento della possibilità per gli utenti di poter scegliere quale software utilizzare per la gestione dei propri dati.