Negli ultimi dieci anni l’Open Source è passato dall’essere una scelta tecnica a diventare un pilastro strategico per le aziende.

Oggi oltre l’80% del software utilizzato in ambito enterprise include componenti Open Source: librerie, framework, sistemi operativi, piattaforme cloud-native, database, modelli di intelligenza artificiale.

Questa diffusione massiccia, apparentemente “spontanea”, ha un effetto collaterale importante: le aziende usano una quantità enorme di codice che non hanno scritto e spesso non sanno di utilizzare né governare.

È proprio per questo che nel tempo si è andata delineando la nuova figura manageriale dell’OSPO Manager.

Che cos’è un OSPO Manager?

L’acronimo OSPO significa Open Source Program Office ed è la funzione aziendale dedicata alla governance dell’Open Source.

L’OSPO Manager è la figura che:

  • definisce le policy interne sull’uso del software Open Source
  • gestisce la compliance delle licenze (MIT, GPL, AGPL, MPL…)
  • introduce strumenti e processi come SBOM, audit e scanning delle dipendenze
  • coordina CTO, CISO, Legal e Procurement
  • valuta il rischio tecnologico e legale
  • guida la strategia Open Source dell’azienda
  • favorisce la relazione con le community e con i progetti open principali
  • garantisce sicurezza, tracciabilità e sostenibilità nel lungo periodo

È una figura ibrida, a metà tra tecnologia, sicurezza informatica e diritto del software.

Perché un CTO non basta più

Tradizionalmente, la responsabilità delle scelte software ricade sul CTO.

Ma il CTO ha un ruolo diverso: deve occuparsi di strategia tecnologica, architetture, performance, evoluzione dei prodotti.

L’Open Source introduce invece esigenze specifiche:

  • valutare la compatibilità delle licenze
  • gestire rischi legali e di compliance
  • garantire la tracciabilità della supply chain software
  • monitorare vulnerabilità delle dipendenze
  • evitare lock-in e “technical legal debt”
  • rispettare normative come NIS2, DORA, AI Act

Sono attività che il CTO non può svolgere da solo e che richiedono competenze molto specifiche.

L’OSPO Manager colma esattamente questo vuoto.

Cosa fa davvero un OSPO Manager nella pratica

Un OSPO Manager è operativo su quattro fronti:

1) Governance delle licenze

  • verifica quali componenti sono utilizzate
  • controlla la compatibilità delle licenze
  • mantiene un inventario aggiornato (SBOM)
  • evita rischi di violazione involontaria

2) Sicurezza della supply chain

  • introduce strumenti di security scanning
  • valuta vulnerabilità note (CVE) nelle dipendenze
  • definisce processi per patching e aggiornamenti

3) Processi e policy

  • scrive linee guida interne
  • crea procedure di approvazione per nuove librerie
  • definisce modelli di contributo verso progetti open
  • supporta i reparti Legal e Compliance

4) Visione strategica

  • consiglia il management sulle scelte open source
  • orienta selezione di infrastrutture, piattaforme e tool
  • valuta costi, lock-in e sostenibilità nel tempo
  • guida transizioni verso modelli più aperti e sovrani

In altre parole: governa, protegge, abilita.

OSPO in Europa: un modello in crescita

L’Europa è la regione del mondo in cui gli OSPO stanno crescendo più velocemente, per tre motivi:

  1. Normative sempre più stringenti (NIS2, Data Act, AI Act)
  2. Interesse crescente per la sovranità digitale
  3. Adozione massiccia di infrastrutture open (Linux, Kubernetes, PostgreSQL)

Molti governi stanno creando OSPO pubblici:

  • Germania (Bund) – Open Source Program Office federale
  • Francia – DINUM promuove open source nella PA
  • Commissione Europea – OSPO interno e linee guida EOSC
  • Olanda – Open Source as default
  • Regione Catalogna – modello OSPO europeo più avanzato

Per la PA europea, l’OSPO è diventato un requisito funzionale, non un’opzione.

E l’Italia?
L’Italia è in una fase di transizione:

  • la normativa è molto avanzata (CAD, AgID, formati aperti)
  • molte PA usano già software libero
  • alcune regioni (Emilia-Romagna, Piemonte, Puglia) hanno esperienza consolidata
  • le aziende però sono ancora indietro sulla governance open
  • l’OSPO è poco conosciuto fuori dalle grandi imprese tech

Oggi solo alcuni grandi gruppi (energia, telco, fintech) hanno strutturato un OSPO, mentre la maggior parte delle PMI usa Open Source senza alcuna governance.

Paradossalmente:

le aziende italiane usano tantissimo Open Source, ma senza avere figure che lo governino.

Il futuro: perché l’OSPO diventerà sempre più indispensabile

Tre grandi forze convergeranno nei prossimi anni:

1) Normative europee

NIS2, AI Act, Data Act impongono tracciabilità e sicurezza della supply chain software.

Un OSPO è la funzione naturalmente più adatta a garantire conformità.

2) Esplosione dell’AI Open Source

Modelli come Llama 3, Mistral e Gemma introducono nuovi livelli di complessità: pesi, dataset, licenze ibride, auditabilità del modello.

Serve governance.

3) Cloud sovrano e indipendenza digitale

Le aziende vogliono (e devono) ridurre dipendenze da vendor extra-UE.

L’Open Source è la strada, ma richiede regole e processi.

L’OSPO Manager è la figura che permette alle aziende di usare l’Open Source in modo:

  • consapevole
  • sicuro
  • conforme
  • sostenibile
  • strategico

È un ruolo che integra tecnologia, diritto, sicurezza e cultura digitale.

E nei prossimi anni, complice l’evoluzione dell’AI e delle normative europee, diventerà per molte organizzazioni indispensabile quanto il CTO e il CISO.

Condividi questo post