Considerazioni necessarie prima di utilizzare PDFCreator free in un’infrastruttura informatica aziendale

In questo post prenderò come esempio PDFCreator free per elencare le considerazioni e le valutazioni che un responsabile IT dovrebbe fare prima di utilizzare tale software in particolare e i software free in generale.

Analisi dei limiti imposti dal rispetto della licenza d’uso del software

Come viene riportato nella pagina di PDFCreator free tale software è gratuito e open source, ma il suo utilizzo ha dei vincoli:

“PDFCreator è e rimarrà sempre freeware. Non solo: è open source. Puoi scaricare il codice, modificarlo e
creare la tua applicazione personalizzata, purché tu garantisca agli altri utenti gli stessi diritti che hai ricevuto.”

Per meglio comprendere tali vincoli è possibile fare riferimento a quanto riportato nella pagina della licenza:

You may

• Use PDFCreator on as many computers as you like anywhere (at home, in the office etc) for free
  
• Upload it to a server in your company
• Give free copies of the software to friends and colleagues
• View and modify the source code. If you modify the source code and publish the software or embed it in your application or server, you must declare your changes and the complete source code according to the AGPL as well

You may not

• Sell PDFCreator
• Charge others for using or receiving a copy of PDFCreator
• Use PDFCreator within an application or service that is not licensed under the terms of the AGPL
• Publish a modified version using the name “PDFCreator”
• Modify the license of the source code

Quindi se lo scopo dell’utilizzo di PDFCreator free è quello di consentire ad un altro servizio o applicazione di funzionare grazie alle funzionalità di di PDFCreator free ciò è ammissibile solo se tale servizio o applicazione è rilasciato con licenza AGPL (GNU Affero General Public License).

La violazione di una licenza d’uso è un comportamento che viola la normativa in tema di diritto d’autore che ha conseguenze sia dal punto di vista amministrativo, sia dal punto di vista penale stabilite dalla Legge sul diritto d’autore (L. 633/1941) e successive modifiche (Decreto legislativo 8 novembre 2021, n. 181, D.L. 9 agosto 2022, n. 115 convertito, con modificazioni, dalla L. 21 settembre 2022, n. 142.).

Ne consegue che se si intende utilizzare PDFCreator in una modalità non coperta dalla licenza AGPL è necessario acquistare una delle versioni a pagamento di PDFCreator (Professional, Terminal Server o Server).

In alternativa all’acquisto di una versione a pagamento è possibile valutare se la funzionalità necessaria che sarebbe resa disponibile da PDFCreator può essere ottenuta diversamente. Ad esempio se la necessità è solo quella di convertire un documento Word in PDF in modo automatizzato è possibile utilizzare uno script PowerShell, a riguardo si veda il mio post PowerShell: Conversione di un file Word in PDF – DevAdmin Blog.

Nel caso in cui l’infrastruttura informatica su cui si stanno facendo tali valutazioni appartiene ad una Pubblica Amministrazione l’eventuale acquisto di Software va fatto nel rispetto del Codice dell’Amministrazione Digitale (CAD) ovvero del decreto legislativo 7 marzo 2005, n. 82 e successive modiche che in base all’articolo 68 impone alle Pubbliche Amministrazioni di acquisire programmi informatici o parti di essi nel rispetto dei principi di economicita’ e di efficienza, tutela degli investimenti, riuso e neutralita’ tecnologica. Quindi nel caso di una Pubblica Amministrazione se l’uso di PDF Creator free comporta una violazione della licenza d’uso prima di cercare di sanare quest’ultima acquistando una versione a pagamento di PDFCreator occorre valutare la possibilità di utilizzare soluzioni a costo zero o avviare un’analisi congiunta con il fornitore del servizio o dell’applicazione che necessiterebbero delle funzionalità di PDFCreator, ma che non è rilasciato sotto la licenza AGPL, per trovare una soluzione alternativa ad un costo inferiore a quello dell’acquisizione e della gestione di una versione a pagamento di PDFCreator.

Analisi dell’impatto della gestione dell’installazione e dell’aggiornamento del software

La versione free di PDFCreator non può essere installata o aggiornata in modo automatizzato tramite msi in quanto l’msi è disponibile sono per le versioni a pagamento PDFCreator Professional, PDFCreator Terminal Server and PDFCreator Custom come riportato in MSI Installer — PDFCreator user guide (pdfforge.org). L’msi richiede infatti il parametro  LICENSEKEY tramite cui si specifica la chiave di licenza che nella versione free non è prevista:

PDFCreator-X_X_X-setup_x86.msi LICENSEKEY=<YOUR-LICENSEKEY>

PDFCreator-X_X_X-setup_x64.msi LICENSEKEY=<YOUR-LICENSEKEY>

Inoltre sebbene il setup in formato exe consenta una serie di parametri tramite cui automatizzare l’esecuzione del setup, il parametro /VerySilent che consente l’esecuine del setup senza l’interazione dell’utente non è disponibile nella versione free, ma è disponibile solo nelle versioni a pagamento come riportato in Setup Command Line Parameters — PDFCreator user guide (pdfforge.org):

/VerySilent¶
Instructs the setup to be very silent without any user interaction. If a restart is necessary it will reboot without asking.

In Windows domains, /VERYSILENT is only available in our PDFCreator Business Editions.

Questo significa che non è possibile automatizzare l’installazione e l’aggiornamento di PDFCreator free e quindi tali attività devono essere eseguite manualmente su ogni computer in cui il software è stato installato con conseguenti costi in termini di gestione dell’infrastruttura e possibili ritardi nella risoluzione di problematiche che richiedono aggiornamenti del software come issues e vulnerabilità.

Nel caso in cui l’infrastruttura informatica su cui si stanno facendo tali valutazioni appartiene ad una Pubblica Amministrazione occorre tenere presente che l’utilizzo di PDFCreator free rende oneroso e difficoltoso il rispetto delle seguenti Misure minime di sicurezza ICT per le Pubbliche Amministrazioni:

ABSC 4.5.1: Installare automaticamente le patch e gli aggiornamenti del software sia per il sistema operativo sia per le applicazioni.

Si tenga presente che l’adeguamento alle misure minime è a cura del responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, come indicato nel CAD (art. 17 ) o, in sua assenza, del dirigente designato. Il dirigente responsabile dell’attuazione deve compilare e firmare digitalmente il “Modulo di implementazione” allegato alla Circolare 18 aprile 2017, n. 2/2017. Inoltre secondo la circolare, le misure minime di sicurezza devono essere adottate da parte di tutte le pubbliche Amministrazioni entro il 31 dicembre 2017.

Analisi dell’impatto sulla sicurezza dell’infrastruttura

L’installazione di PDFCreator comporta, come per tutti i software, la necessità di monitorare e gestire eventuali vulnerabilità del software stesso o di componenti software di cui viene fatto uso. PDFCreator ad esempio utilizza Ghostscript che è stato oggetti di diverse vulnerabilità come si può vedere da seguente CVE – Ghostscript Search Results (mitre.org).

Nel caso in cui l’infrastruttura informatica su cui si stanno facendo tali valutazioni appartiene ad una Pubblica Amministrazione occorre tenere presente che l’utilizzo di PDFCreator free renderà inevitabilmente più oneroso e difficoltoso il rispetto delle Misure minime di sicurezza ICT per le Pubbliche Amministrazioni riguardanti l’individuazione e la correzione delle vulnereabilità.

Conclusioni

In base alle precedenti considerazioni l’utilizzo di PDFCreator free è possibilmente da evitare, in particolare se l’infrastruttura informatica appartiene ad una Pubblica Amministrazione.

Per ovviare a possibili problemi di violazione di licenza, difficoltà e onerosità di gestione del software è consigliabile valutare l’acquisto di una versione a pagamento di PDFCreator o, in particolare nel caso di una Pubblica Amministrazione, valutare la possibilità di utilizzare soluzioni a costo zero o avviare un’analisi congiunta con il fornitore del servizio o dell’applicazione che necessiterebbero delle funzionalità di PDFCreator per trovare una soluzione alternativa ad un costo inferiore a quello dell’acquisizione e della gestione di una versione a pagamento di PDFCreator.

Come detto precedentemente se la necessità, come spesso accade, è solo quella di convertire un documento Word in PDF in modo automatizzato è possibile utilizzare uno script PowerShell, a riguardo si veda il mio post PowerShell: Conversione di un file Word in PDF – DevAdmin Blog.