Teutas - Diritto & Tecnologia

                                                                                Considerazioni introduttive

A distanza di oltre tre anni dall'ingresso, nel panorama normativo italiano, della disciplina prevista dal d. lgs. 9 aprile 2003 n. 70, recante "Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione nel mercato interno, con particolare riferimento al commercio elettronico", in tema di responsabilità degli ISP (Internet Service Provider) permangono ancora diverse zone d'ombra che hanno contribuito ad accendere il dibattito sia in dottrina che in giurisprudenza.

La nuova disciplina – che recepisce le istanze innovative della direttiva comunitaria sul commercio elettronico dell' 8 giugno 2000 (direttiva 2000/31/CE) – ha avuto il merito di chiarire, sia pure in modo non definitivo, i termini della questione in esame.

In particolare, il passo in avanti compiuto dal legislatore italiano è stato quello di configurare la responsabilità del provider, cioè del soggetto che fornisce l'accesso alla rete telematica a terzi, non più solo nella sua dimensione di responsabilità concorrente con quella dell'autore dell'illecito commesso in Rete, ma anche e soprattutto come responsabilità autonoma rispetto a quella illecita dell'utente, con tutte le ripercussioni che da tale soluzione possono derivare.

Preliminarmente, prima di accennare agli interventi normativi sopra citati, occorre prendere in esame il nodo problematico centrale che investe la figura del provider, ossia il caso in cui questi sia chiamato a rispondere del fatto illecito posto in essere da soggetti terzi mediante le infrastrutture di comunicazione presenti nella Rete.

Come dimostrano le recenti vicende legate al caso YouTube, il problema di individuare nell'internet provider un centro di imputazione di responsabilità – sia penali che civili – risponde all'evidente e concreta necessità di riconoscere un soggetto responsabile delle violazioni commesse sul server, laddove non sia possibile identificare l'autore dell'illecito.

Tuttavia, tale esigenza, ancorché legittima sul piano strettamente giuridico – posto che ciò che viene compiuto sul Web richiede comunque una sua attenta e opportuna regolamentazione – deve comunque coniugarsi con l'ulteriore necessità, ossia quella per cui il provider non venga considerato il soggetto responsabile per fatti illeciti altrui.

Invero, il rischio della possibile riviviscenza di forme di responsabilità per fatto altrui – da tempo relegate ai margini dalla nostra tradizione giuridica - è reso ancor più attuale dalle specifiche difficoltà proprie della Rete di identificare l'autore di un illecito. Le tecnologie utilizzate per la gestione di una rete telematica, infatti, non sempre consentono di identificare l'utente che compie la violazione e ciò può verificarsi per una pluralità di motivi che, di fatto, impediscono l'identificazione del soggetto.

In primo luogo, può verificarsi l'ipotesi in cui l'utente abbia reso false dichiarazioni al provider in merito alla propria identità. Né, poi, è improbabile il caso in cui l'autore dell'illecito abbia utilizzato fraudolentemente password d'accesso alla Rete di un altro utente, così come non è infrequente che un medesimo elaboratore collegato alla Rete venga utilizzato contemporaneamente da più soggetti.

Tali considerazioni, unitamente alle esigenze di certezza del diritto, hanno, pertanto, aperto la strada al riconoscimento di forme di responsabilità in capo al provider, soggetto, che, a differenze degli utenti della Rete, è, per sua natura sempre identificabile.

La ratio sottostante il processo legislativo che ha condotto all'affermazione della responsabilità dell'internet provider ha trovato il suo necessario punto di riferimento nella disciplina introdotta nel 2003.

                                    Le attività dei prestatori di servizi della società dell'informazione ex d. lgs. 70/2003

 Preliminarmente, al fine di comprendere gli elementi di specificità del d. lgs. 70/2003 nonché i suoi profili problematici di immediata percezione, occorre prendere le mosse dalla fondamentale tripartizione – mutuata dalla direttiva comunitaria n. 31/2000 – operata dal legislatore italiano, il quale ha tipizzato diverse figure di internet service provider, riconducibili alle attività di mere conduit, di caching e di hosting.

L'art. 14 del d. lgs. in commento – rubricato Responsabilità nell'attività di semplice trasporto - Mere conduit – prevede che "Nella prestazione di un servizio della società dell'informazione consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, o nel fornire un accesso alla rete di comunicazione, il prestatore non è responsabile delle informazioni trasmesse a condizione che: non dia origine alla trasmissione; non selezioni il destinatario della trasmissione; non selezioni né modifichi le informazioni trasmesse". Il successivo comma 2 precisa poi che "Le attività di trasmissione e di fornitura di accesso di cui al comma 1 includono la memorizzazione automatica, intermedia e transitoria delle informazioni trasmesse, a condizione che questa serva solo alla trasmissione sulla rete di comunicazione e che la sua durata non ecceda il tempo ragionevolmente necessario a tale scopo".

L'art. 15 del citato decreto legislativo, nel disciplinare l'attività di memorizzazione temporanea c.d. caching, consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, dispone che "il prestatore non è responsabile della memorizzazione automatica, intermedia e temporanea di tali informazioni effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta, a condizione che: non modifichi le informazioni; si conformi alle condizioni di accesso alle informazioni ; si conformi alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del d) non interferisca con l'uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull'impiego delle informazioni; agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l'accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l' accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un 'autorità amministrativa ne ha disposto la rimozione o la disabilitazione".

Da ultimo, l'art. 16 disciplina il servizio di hosting fornito dall'internet provider, consistente nella memorizzazione di informazioni fornite da un destinatario del servizio: a riguardo, si legge che "il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore: non sia effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l'illiceità dell'attività o dell' informazione; non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso".

Sul piano strettamente giuridico, per ciò che interessa in questa sede, sul tema della responsabilità delle figure degli ISP, la soluzione accolta dal legislatore italiano – peraltro in linea con quanto sancito negli altri ordinamenti europei nonché negli Stati Uniti – è concentrata nell'affermazione del principio generale, codificato all'art. 17 del d. lgs. 70/2003 – vera e propria norma di chiusura del sistema della responsabilità dei provider –secondo cui non sussiste, in capo ai prestatori di servizi – sia esso mere conduit, host o cach provider – un obbligo generale di controllo e vigilanza sui contenuti diffusi attraverso i suoi servizi.

L'affermazione di tale principio, connesso  al mancato riconoscimento di un obbligo giuridico di garanzia – idoneo a considerare tali soggetti quali centri principali di imputazione di responsabilità – è il precipitato logico di quanto appare evidente nella moderna realtà di internet: trattandosi di una struttura aperta e fortemente decentralizzata, come tale non riconducibile entro confini certi e predeterminati, appare tecnicamente impossibile prevedere su scala mondiale un meccanismo di controllo, sia esso preventivo o successivo, in ordine ai contenuti messi in Rete da soggetti terzi.

In merito alla possibilità effettiva di un controllo preventivo del provider sul contenuto dei messaggi, la giurisprudenza di merito, nel motivare l'impossibilità di formulare un giudizio di responsabilità del provider per omesso controllo dei dati transitati nella Rete, ha osservato che "non è ravvisabile la possibilità concreta di esercitare un efficace controllo sui messaggi ospitati sul proprio sito visto l'enorme afflusso dei dati che transitano sui servers e la possibilità costante di immissioni di nuove comunicazioni… proprio per la struttura aperta di Internet che non rappresenta alcun unitario sistema centralizzato, ma una possibilità di molteplici connessioni tra reti e computers diversi. Per tali motivi non appare possibile fondarsi un giudizio di responsabilità del service e host-access provider sotto il mero profilo omissivo." (Tribunale di Milano, 18 marzo 2004).

Sulla stessa linea interpretativa si colloca, sotto tale profilo, la pronuncia del Tribunale di Catania del 29 giugno 2004, a mente della quale, attraverso la disciplina ex art. 17 d. lgs. 70/2003 "il legislatore ha consacrato il riconoscimento dell'impossibilità tecnica per il provider di operare un controllo preventivo o successivo sulle informazioni memorizzate o trasmesse, escludendo così che possa operare un criterio di imputazione della responsabilità di carattere meramente oggettivo". Nel testo della sentenza si legge, infatti, che "affermare una responsabilità per omesso controllo del provider, in un campo dove è materialmente impossibile operare una verifica dei dati trasmessi da tutto il mondo, equivarrebbe a introdurre una nuova e inaccettabile ipotesi di responsabilità oggettiva – che prescinde dalla colpa – in aperta eccezione alla regola generale del nostro ordinamento di cui all'art. 2043 c.c., che fonda la responsabilità civile sulla colpa del danneggiante".

Orbene, stante l'impossibilità di configurare in capo al provider un obbligo generale di vigilanza, il legislatore italiano ha optato per la formulazione dell'art. 17, commi 2 e 3, nei termini di seguito esposti: "Fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore è comunque tenuto: a) ad informare senza indugio l'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell'informazione; b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite. Il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha provveduto ad informarne l'autorità competente" [1].

Pur nell'ambiguità di talune di queste affermazioni, i principi codificati all'art. 17 sembrano ispirati alla necessità di coniugare e bilanciare la tutela di interessi contrapposti: da un lato, l'esigenza di salvaguardare l'indipendenza della rete Internet; dall'altro, l'esigenza di non rinunciare a forme di controllo sui contenuti e sui soggetti che potrebbero essere danneggiati dagli illeciti commessi on line.  

In tal modo, il suddetto provvedimento ripudia modelli di responsabilità oggettiva ed afferma un modello di responsabilità extracontrattuale del provider per il fatto illecito commesso on line dagli utenti, laddove risultino comunque insussistenti le condizioni espressamente richieste dagli artt. 14, 15 e 16 del d. lgs. 70/2003.

Come si evince dalla stessa formulazione testuale delle disposizioni in commento, la responsabilità del provider è costruita in negativo, come una "immunità condizionata" [2], per cui, se sussistono le condizioni prescritte dal d. lgs. 70/2003, il prestatore di servizi non potrà essere chiamato a rispondere per il fatto illecito altrui; in caso contrario, sul provider graverà l'obbligo di risarcire il danno prodotto.

 

                                                                           Nasce la figura del provider-poliziotto?

Come già anticipato in precedenza, il d. lgs. 70/2003, nel recepire la direttiva 2000/31/CE, ha delineato i criteri fondamentali sulla base dei quali ritenere giuridicamente responsabile l'internet provider per i contenuti veicolati attraverso i servizi da esso offerti.

In particolare, a parere di chi scrive, destano perplessità le previsione normative dell'art. 17 del d. lgs. citato, il quale, ferma restando la – legittima – assenza dell'obbligo generale di sorveglianza, e fatte salve le prescrizioni relative alle attività di mere conduit, caching e hosting, sancisce in capo ai prestatori di servizi particolari obblighi, i quali da subito hanno destato allarme tra gli stessi fornitori di servizi Internet.

Del resto, il quadro di responsabilità così delineato non ha mancato di sollevare osservazioni critiche tra gli stessi commentatori e operatori del diritto.

In primo luogo, dal tenore letterale delle disposizioni ex art. 17, commi 2 e 3 cit., si evince come il prestatore sia tenuto, onde evitare suoi possibili coinvolgimenti sul piano della responsabilità sanzionatoria – anche di natura civilistica – a riferire all'Autorità (giudiziaria o amministrativa) le notizie relative a presunte attività o informazioni illecite di un suo destinatario del servizio di cui esso sia venuto a conoscenza (comma 2, lett. a) nonché le informazioni da quest'ultimo acquisite circa il carattere illecito o pregiudizievole del contenuto di un servizio (art. 17, comma 3).

Non vi è dubbio che il legislatore, attraverso l'implementazioni di tali regole, abbia inteso evitare che la semplice diffusione in Rete di materiale illecito potesse tradursi nella creazione di forme di responsabilità di natura oggettiva dell'ISP, per il solo fatto di essere quest'ultimo un intermediario della comunicazione chiamato a rispondere dei contenuti diffusi attraverso le infrastrutture telematiche.

Tuttavia, l'ambiguità della formulazione adottata solleva un dato critico: sulla base di quale potere il provider è in grado di decidere se un proprio utente sta commettendo un atto illecito o diffondendo informazioni illecite?

Tale osservazione è di rilievo non secondario, se si considerano le possibili conseguenze di una decisione del provider di precludere l'accesso di un utente oppure di oscurare il contenuto di un suo servizio, perché da esso giudicato illecito. Si pensi, in tal senso, alle pesanti conseguenze – anche economiche – cui rischierebbe di esporsi il provider, laddove, all'esito di un giudizio promosso dall'utente reputatosi ingiustamente danneggiato dall'avvenuto oscuramento o rimozione dei propri contenuti da parte del provider,  venisse accertata l'illegittimità di una simile condotta.

La possibile conseguenza di tale meccanismo è che il provider, avvertendo il peso di una disciplina più che mai stringente e restrittiva – sia pure limitatamente ad alcuni determinati profili – rispetto al passato, possa trasformarsi in un "mostro bicipite, mezzo inquirente e mezzo giudicante" [3], dotato di pericolosi poteri censori con i quali comprimere e limitare libertà costituzionalmente garantite, su tutte quella ex art. 21 Cost.

Nonostante l'affermazione del principio generale circa l'esonero di un obbligo di controllo per il semplice trasporto (mere conduit), per la memorizzazione temporanea (caching) nonché per la memorizzazione di dati forniti dal destinatario del servizio (hosting), non pochi dubbi emergono dalla lettura del dettato normativo.

Infatti, l'art. 17 cit. non chiarisce quando un contenuto debba ritenersi illecito e, conseguentemente, quando il provider debba ritenersi obbligato ad attivarsi per evitare di incorrere nelle responsabilità previste dalla legge.

A riguardo, la giurisprudenza di merito ha sancito che "il provider sarà responsabile dell'illecito posto in essere dall'utilizzatore allorché egli abbia piena consapevolezza del carattere antigiuridico dell'attività svolta da quest'ultimo" (Tribunale di Catania, 29 giugno 2004) [4].

Tuttavia, come hanno avuto modo di osservare i primi commentatori [5], la sentenza catanese non chiarisce perché e quando un ISP dovrebbe diventare responsabile di ciò che passa tramite i suoi server. In particolare, a parere di chi scrive, l'incertezze suscitate da tale pronuncia provengono dalla mancata definizione di un parametro sulla base del quale l'internet provider debba sentirsi "pienamente consapevole" dell'antigiuridicità dell'azione posta in essere dall'utente.

In un contesto del genere – di totale "caccia alle streghe" – il rischio è quello di ingenerare nei prestatori di servizi convincimenti finalizzati all'adozione di comportamenti preventivi altrettanto riprovevoli e potenzialmente produttivi di un danno ingiusto: come già correttamente osservato in dottrina [6], il provider, preoccupato di sottrarsi ad un'eventuale responsabilità per non aver impedito l'azione illegale, potrebbe essere spinto, ad esempio, a cancellare o comunque a oscurare certi contenuti ritenuti illeciti anche sulla base di una semplice segnalazione proveniente da un qualsiasi soggetto.

Anche sul piano della fonte da cui il provider apprende la notizia del fatto illecito non vi è chiarezza: in tal senso, può dirsi sufficiente anche una semplice mail anonima, una telefonata o è necessario un atto formale?

Il rischio di una tale operazione è quello di investire un soggetto privato, qual è il provider, di un potere censorio assolutamente incompatibile con la libertà di manifestazione del pensiero che verrebbe ad essere così rimessa al libero arbitrio del provider e, prim'ancora, di colui che, sentendosi ingiustamente danneggiato da certe affermazioni, ritenga di farsi giustizia da sé, rivolgendosi al provider e ottenendo da quest'ultimo la rimozione dei contenuti pregiudizievoli.

In tal modo, si finirebbe per fare del provider non più – o non solo – un intermediario di comunicazioni, quanto piuttosto un soggetto in grado di decidere autonomamente ciò che è lecito e ciò che non lo è.

[1] Sul punto, si segnala che l'art. 15 della direttiva 2000/31/CE si limitava a prevedere la facoltà per gli Stati membri di attribuire o meno obblighi informativi in capo ai provider del tipo di quelli di cui all'art. 17, comma 2, lett. a) e b) del d. lgs. in parola.

[2] F. Di Ciommo, Responsabilità civili in Internet: i soggetti, i comportamenti illeciti, le tutele, in Altalex, www.altalex.com, www.altalex.com/index.php?idnot=6878.

[3] L'espressione è di ALCEI, Provider e responsabilità nella legge comunitaria del 2001, in www.interlex.it. Per l'Associazione, "Il provider viene, di fatto, trasformato in un giudice-poliziotto che, per evitare di essere chiamato a rispondere in prima persona del comportamento illecito degli utenti, sarà costretto a esercitare censure, filtraggi e controlli più o meno palesi su quanto accade nei propri server".

[4] Proseguendo, si legge nella sentenza che "la responsabilità del provider si configura alla stregua di una responsabilità soggettiva: colposa, allorché il fornitore del servizio, consapevole della presenza sul sito di materiale sospetto, si astenga dall'accertarne l'illiceità e, al tempo stesso, dal rimuoverlo; dolosa, quando egli sia consapevole anche dell'antigiuridicità della condotta dell'utente e, ancora una volta, ometta di intervenire".

[5] A. Monti, Il Tribunale di Catania raddoppia le responsabilità del provider, in www.ictlex.net; G. Briganti, Responsabilità del provider per violazione del diritto d'autore. Nota a Tribunale di Catania, Sezione Quarta Civile, sentenza 29 giugno 2004, n. 2286/2004 in www.iusreporter.it.

[6] G. Scorza, Anonimato in Rete e responsabilità del provider, in www.interlex.it.