Una recente sentenza emessa da un giudice federale della Florida ha suscitato parecchia sorpresa nel mondo della cyber security, respingendo un giudizio di violazione del copyright avviato da Apple contro una società di sicurezza chiamata Corellium.

Corellium è una start-up fondata nel 2017 dai coniugi Amanda Gorton e Chris Wade che si occupa di ricerca in ambito di sicurezza informatica, e che ha apportato significativi progressi nel settore sviluppando un sistema in grado di utilizzare gli iPhone in modalità “virtuale” su Linux. Il software di Corellium rende di fatto superfluo l’uso di iPhone fisici che contengono software specializzati per poke e iOS, il sistema operativo mobile di Apple. Il programma Corellium si presenta, dunque, come uno strumento di sviluppo e di beta testing che consente ai sottoscrittori dei piani di abbonamento di sviluppare su iOS emulandolo su piattaforma Linux. Lo scopo dei ricercatori che utilizzano il software di Corellium è fondamentalmente quello di trovare bug e falle di sicurezza sui prodotti Apple.

Ante factum: secondo i documenti prodotti nel procedimento, Apple avrebbe inizialmente tentato di acquisire Corellium nel 2018, tuttavia le trattative pare si fossero arenate.

A parere di Apple, Corellium avrebbe violato la legge sul copyright con il suo software, ponendo in essere una riproduzione non autorizzata di un’opera protetta. Nell’agosto del 2019, Apple ha dunque citato in giudizio la start-up, argomentando, tra l’altro, che se gli strumenti di virtualizzazione di Corellium dovessero cadere “nelle mani sbagliate”, le vulnerabilità scoperte potrebbero essere utilizzate per hackerare gli iPhone.

Di diverso parere dalla multinazionale statunitense è stato il giudice federale della Florida che, con ordinanza emessa il 29 dicembre 2020, ha chiosato: “la Corte ritiene che Corellium abbia soddisfatto l’onere di stabilire un fair use. Pertanto, il suo uso di iOS in relazione al prodotto Corellium è consentito.”

Il principio normativo che ha guidato la decisione è dunque quello del c.d. fair use, di cui al paragrafo 107 dello US Copyright Act. Il tema del fair use è caratterizzante soprattutto nell’ordinamento statunitense, tuttavia manca una sua definizione normativa e la sua applicazione ha talvolta creato ambiguità. Questo in quanto il fair use è un principio che tenta di equilibrare gli interessi dei titolari di diritti esclusivi con i benefici sociali o culturali che deriverebbero dall’utilizzo, dalla diffusione e dalla distribuzione delle opere protette, e differenza di quanto previsto nella normativa europea, non si tratta di un elenco tassativo di eccezioni e limitazioni.

Il paragrafo 107 dello US Copyright Act infatti, oltre ad indicare alcune finalità che escludono i diritti esclusivi di cui ai paragrafi 106 e 106A che precedono, quali ad esempio la critica, il commento, l’informazione, l’insegnamento e la ricerca, impone altresì di effettuare valutazioni sulla base dei seguenti criteri: lo scopo e il carattere dell’uso, in particolare se tale uso è di natura commerciale o ha scopi didattici e non lucrativi; la natura dell’opera protetta; la quantità e la sostanzialità della porzione utilizzata in relazione all’opera protetta nel suo complesso; le conseguenze di tale uso su un potenziale mercato o sul valore dell’opera protetta da copyright.

In virtù del menzionato principio, la Corte ha in concreto ritenuto che la creazione di iPhone virtuali da parte di Corellium non è da considerare quale una violazione della Legge sul copyright, perché l’uso dell’opera protetta è finalizzato alla progettazione di un software che contribuisce a migliorare la sicurezza per tutti gli utenti di iPhone. Corellium, inoltre, non starebbe creando un prodotto concorrente per i consumatori, ma piuttosto uno strumento di ricerca per un numero relativamente piccolo di clienti, i quali sarebbero sottoposti ad un processo di verifica prima che Corellium venda loro i suoi prodotti, come risulterebbe dagli atti del procedimento.

David L. Hecht, fondatore dello studio legale Hecht Partners e co-counsel per Corellium, ha descritto il parere del giudice come una grande vittoria per l’industria della ricerca sulla sicurezza, in quanto “La Corte ha affermato il forte equilibrio che il fair use fornisce contro la portata della protezione del copyright in altri mercati”. Il Giudice federale ha infatti dichiarato che “Ponderando tutti i fattori necessari, la Corte ritiene che Corellium abbia soddisfatto l’onere di stabilire un uso corretto, pertanto, il suo uso di iOS in relazione al Prodotto Corellium è consentito“.

L’ordinamento italiano, recettivo di quanto portato dalle Direttive Europe, in particolare dalla Direttiva 2001/29/CE, non contiene una clausola paragonabile al paragrafo 107 dello US Copyright Act, ma presenta, in materia di eccezioni e limitazioni al diritto d’autore, una serie di articoli sparsi all’interno della più volte modificata Legge del 22 aprile 1941 nr. 633 (LDA).

In tema di software, l’art. 2.8 LDA stabilisce anzitutto che sono ricompresi nella protezione “i programmi per elaboratore, in qualsiasi forma espressi purché originali quale risultato di creazione intellettuale dell’autore. Restano esclusi dalla tutela accordata dalla presente legge le idee e i principi che stanno alla base di qualsiasi elemento di un programma, compresi quelli alla base delle sue interfacce. Il termine programma comprende anche il materiale preparatorio per la progettazione del programma stesso”.

Ai sensi all’art. 64 – bis LDA l’Autore per il solo fatto di aver realizzato un programma originale e creativo ha il diritto esclusivo di effettuare o autorizzare la riproduzione del programma; effettuare o autorizzare la traduzione, l’adattamento, la trasformazione e ogni altra modificazione del programma per elaboratore; effettuare o autorizzare qualsiasi forma di distribuzione al pubblico, compresa la locazione del software originale o di copie dello stesso.

Tra le attività che il Legislatore italiano ed europeo considera libere dall’autorizzazione del titolare, vi sono quelle necessarie per l’uso del programma per la sua destinazione da parte del legittimo acquirente; la realizzazione di una copia di riserva del programma, qualora tale copia sia necessaria per l’uso; ed a chi ha diritto di usare il programma di osservare, la facoltà di studiare o sottoporre a prova il funzionamento del programma, allo scopo di determinare le idee ed i princìpi su cui è basato ogni elemento del programma stesso, qualora egli compia tali atti durante operazioni di caricamento, visualizzazione, esecuzione, trasmissione o memorizzazione del programma che egli ha il diritto di eseguire (art. 64-ter LDA). Quest’ultima parte della norma potrebbe essere, a livello interpretativo, la base su cui poter fondare una tesi quale quella esposta dal giudice federale della Florida.

Matthew Green, professore associato di informatica alla Johns Hopkins University, sul tema dello studio e del funzionamento del software ha asserito che la maggior parte delle ricerche sulla sicurezza, nel caso di specie quelle effettuate da Crellium su iOS, sono in generale fatte da entità ben finanziate e che hanno il tempo e le risorse per aggirare le restrizioni di Apple. Green si è rivelato dunque sollevato che Corellium abbia prevalso contro la rivendicazione di Apple, perché, a suo parere, la legge sul copyright può essere usata dalle grandi aziende per limitare proprio la ricerca nell’ambito della sicurezza informatica.

Indubbiamente, la decisione del giudice statunitense potrebbe portare in un futuro molto prossimo ad una maggiore innovazione nella ricerca sulla sicurezza informatica, rendendo meno “rischiosa” l’attività di testing su componenti distinti di software di terze parti alla ricerca delle vulnerabilità.

Di Avv. Lucia Maggi e Dott. Marco Castelletta

 

Fonte: https://www.theverge.com/2020/12/29/22205130/apple-corellium-dismissed-copyright-dmca-fair-use