La corte di legittimità torna sulla vexata quaestio della responsabilità penale del gestore di un sito internet

31 Gennaio 2017

La recente sentenza della Corte della nomofilachia si sofferma sulla responsabilità concorsuale - di tipo omissivo - del gestore di un sito internet a causa di un commento pubblicato da un suo utente. La pronuncia presenta dei caratteri di spiccato interesse per l'interprete penalistico, essendo la prima in sede di legittimità ad affermare la responsabilità penale del provider per il dato diffamatorio postato da terzi specificamente individuati.
Il reato di diffamazione a mezzo internet

La rete internet è uno strumento che permette a chiunque abbia una sufficiente alfabetizzazione informatica la piena libertà sia di accedere ad un numero elevatissimo di informazioni, sia di manifestare agli altri utenti il proprio pensiero senza restrizioni di sorta. Insieme alle grandi potenzialità insite nel web non possono però essere trascurati i rischi che tale strumento può comportare: troppo spesso la rete viene intesa come una “zona franca” dove gli individui possono porre in essere comportamenti lesivi dell'altrui sfera giuridica senza essere chiamati a risponderne in nessun modo. Anche nel web devono essere rispettati i diritti della persona quali il diritto al nome, all'immagine, all'onore, alla reputazione e i “nuovi diritti” alla riservatezza, all'identità personale e, last but not least, all'oblio.

Un ruolo centrale all'interno dei reati che possono essere commessi attraverso lo strumento di internet è ricoperto senza dubbio dalla fattispecie della diffamazione. Come noto, ai sensi dell'art. 595 c.p., commette il reato in questione chiunque, comunicando con più persone, offende l'altrui reputazione. Ai fini della configurabilità di tale illecito penale è necessario che la persona offesa non sia presente o, almeno, che non sia stato in grado di percepire l'offesa; in caso contrario sono integrabili, rispettivamente, il reato di ingiuria (ora però abrogato, a seguito dell'entrata in vigore del d. lgs. 7/2016) e il tentativo di ingiuria aggravata. Si tratta di un reato comune posto a tutela dell'onore in senso oggettivo, quale stima che il soggetto passivo riscuote presso i membri della comunità di riferimento.

La diffusione a partire dagli anni '90 della rete internet ha comportato la possibilità che il reato di diffamazione potesse essere posto in essere anche attraverso l'uso di tale strumento (si ponga mente, ad esempio, alla diffusione dei social networks). Si tratta, come evidenziato in dottrina, di un cd. crimine tradizionale portato a termine in chiave tecnologica, per il quale l'uso degli strumenti informatici telematici è semplicemente funzionale al raggiungimento dello scopo prefissato.

La diffamazione tramite internet costituisce, ad avviso di una consolidata giurisprudenza, un'ipotesi di diffamazione aggravata ai sensi dell'art. 595, comma 3, c.p., in quanto commessa con altro (rispetto alla stampa) mezzo di pubblicità. I giudici di legittimità hanno insegnato in numerosi arresti che, essendo il web un potente mezzo di diffusione di notizie, immagini ed idee (almeno quanto la stampa, la radio e la televisione), anche attraverso tale strumento si estrinseca il diritto di esprimere le proprie opinioni - tutelato dall'art. 21 Cost. - che, per essere legittimo, deve essere esercitato rispettando le condizioni e i limiti dei diritti di cronaca e critica (ex multis, Cass. pen., 1 luglio 2008, n. 31392, in www.penale.it).

Essendo la diffamazione un reato di evento, la consumazione avviene nel momento e nel luogo in cui i terzi percepiscono l'espressione ingiuriosa e, dunque, nel caso in cui frasi o immagini lesive siano state immesse in rete, nel momento in cui il collegamento viene attivato, atteso che l'accesso ad essi è solitamente libero e, in genere, frequente, di talché l'immissione di notizie o immagini “in rete” integra l'ipotesi di offerta delle stesse in incertam personam (e, dunque, implica la fruibilità da parte di un numero solitamente elevato, ma difficilmente accertabile, di utenti) (in tal senso, Cass. pen., 21 giugno 2006, n. 25875, in www.penale.it).

La responsabilità penale del gestore di un sito internet

Mentre non si pongono particolari questioni in merito alla diretta responsabilità dell'autore del reato di diffamazione (colui che materialmente rilascia commenti o dichiarazioni offensive sul web), maggiori problematiche interpretative solleva l'eventuale responsabilità penale dell'amministratore e/o gestore del sito (inteso come blog, forum, sito di informazione e qualsiasi piattaforma virtuale aperta al commento dei visitatori, registrati o non registrati) sul quale sono state pubblicate le espressioni diffamatorie.

Sul punto va ricordato che la giurisprudenza più risalente (espressa tra i primi da Trib. Napoli, 8 agosto 1996, in Dir. inf e inf., 1997, 970) affermava la responsabilità del provider sul presupposto dell'equiparazione della posizione dello stesso a quella del direttore del giornale cartaceo ovvero dell'editore, sulla base della legge sulla stampa.

Tale affermazione di responsabilità, che comunque andrebbe esclusa in ambito penalistico (per l'applicazione analogica vietata che essa postula) ed al più dovrebbe essere confinata nell'ambito della responsabilità civile ex art. 11 l. n. 47/1948, è stata comunque presto esclusa – in modo del tutto condivisibile – dalla giurisprudenza successiva per l'assenza di poteri/doveri censori in capo al provider: con sentenza del 4 luglio 1998, il Tribunale di Roma, in causa Banca del Salento c. Pantheon s.r.l. ha negato l'assimilabilità del sito internet alla testata giornalistica e ha rigettato un ricorso che chiedeva un provvedimento urgente per la rimozione di un presunto messaggio diffamatorio di un newsgroup, in quanto non moderato e dunque privo di poteri di controllo del provider.

L'esclusione della responsabilità del gestore del sito per fatto altrui ha peraltro incontrato nella giurisprudenza di merito una limitazione rilevante (in tal senso, Trib. Bologna, 26 novembre 2001) nel caso in cui il provider, pur limitandosi a fornire l'accesso al sito gestito (anche in piena autonomia) da altri, non consentisse d'identificare il soggetto in questione, atteggiandosi in tal modo lo stesso provider come fornitore di contenuti veicolati ed immessi da persone il cui anonimato il gestore del sito medesimo copriva.

L'impostazione del problema è poi mutata con il recepimento della direttiva sul commercio elettronico (Dir. 2000/31/CE), ed in particolare degli articoli da 12 a 15, recepiti nel nostro ordinamento dal d.lgs. n. 70/2003: in particolare, con riferimento all'host–provider, ossia di colui che presta un servizio consistente nella memorizzazione di informazioni fornite da un altro soggetto (hosting), la disciplina esclude un obbligo di sorveglianza, stabilendo che nella prestazione dei servizi di hosting, il prestatore non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite; il prestatore è comunque tenuto ad informare senza indugio l'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell'informazione, ed a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.

Quanto al regime di responsabilità, si prevede all'art. 16 che il provider “non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore: non sia effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l'illiceità dell'attività o dell'informazione; non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso”.

Con riferimento a qualunque tipo di provider, poi, è stabilito nel successivo art. 17 che il prestatore è civilmente responsabile del contenuto dei servizi nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza, non abbia agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non abbia provveduto ad informarne l'autorità competente.

In capo all'host-provider sussiste perciòun mero obbligo di notice and take down (ossia di informare l'autorità competente del carattere illecito del contenuto del servizio ospitato e di rimuovere il dato su richiesta dell'autorità competente). La ratio della disciplina appare chiara: poiché l'illecito che avviene su internet è un illecito permanente, essendovi una permanente ritrasmissione del dato, senza la possibilità del danneggiato d'impedirla, la legge richiede al provider un intervento diretto per impedire la continuativa consumazione del reato; nel momento in cui il gestore del sito viene avvisato che attraverso il suo server si sta realizzando un comportamento lesivo, egli deve verificare il contenuto del messaggio ed eventualmente interrompere la visibilità del messaggio incriminato. Ciò dipende dal fatto che il provider è l'unico soggetto in condizione d'intervenire tempestivamente, provvedendo alla cancellazione di quanto registrato sul proprio server.

Il vero punctum dolens per l'interprete consiste però nell'individuazione del momento di nascita della Garantenstellung (posizione di garanzia). Dalla lettura della norma sembra infatti che la responsabilità del provider che si limiti ad attività di hosting possa fondarsi in relazione alla consapevolezza dell'illiceità dell'informazione ed alla richiesta di rimozione dell'autorità competente.

La sentenza della Cassazione che si annota è la prima - a quanto consta - ad affermare la responsabilità penale del provider per il dato diffamatorio postato da terzi specificamente individuati. In sede di legittimità, non vi sono precedenti specifici con riferimento al reato di diffamazione.

Alcuni utili insegnamenti ermeneutici – di soluzione però opposta rispetto a quella del dictum in commento – possono essere riscontrati nella nota sentenza della Corte di legittimità che ha messo la parola fine al caso Vividown c. Google. Il Supremo Collegio nell'arresto in questione ha affermato che non è configurabile il reato di trattamento illecito di dati personali a carico degli amministratori e dei responsabili di una società fornitrice di servizi di internet hosting provider che memorizza e rende accessibile a terzi un video contenente dati sensibili (nella specie, un disabile ingiuriato e schernito dai compagni in relazione alle sue condizioni), omettendo di informare l'utente che immette il file sul sito dell'obbligo di rispettare la legislazione sul trattamento dei dati personali, qualora il contenuto multimediale sia rimosso immediatamente dopo le segnalazioni di altrui utenti e la richiesta della polizia.

In motivazione, la Corte ha evidenziato che l'attività svolta dal provider, anche secondo quanto dispone il d.lgs. 9 aprile 2003, n. 70, consiste nell'offrire una piattaforma sulla quale i destinatari del servizio possono liberamente caricare i loro video senza che il gestore abbia alcun potere decisionale sui dati sensibili in essi inclusi, e, quindi, possa essere considerato titolare del trattamento degli stessi, finché non abbia l'effettiva conoscenza della loro illiceità, non incombendo a suo carico un obbligo generale di sorveglianza, di ricerca dei contenuti illeciti o di avvertimento della necessità di rispettare la disciplina sulla privacy.

La recente pronuncia della Corte di Cassazione del 27 dicembre 2016, n. 54946/2016

La vicenda esaminata recentemente dalla Cassazione riguarda il caso di un gestore di un sito Internet che aveva ospitato un commento sulla community dello steso, ossia su apposito spazio lasciato ai commenti del pubblico. Il commento definiva l'allora presidente della Federazione calcistica giovanile come “emerito farabutto” e “pregiudicato doc”, allegando al messaggio il certificato penale del soggetto in questione. L'amministratore del sito era stato quindi tratto a giudizio per concorso nel reato previsto dall'art. 595 c.p. Il Tribunale di Bergamo (Trib. Bergamo, 10 novembre 2014) aveva assolto l'imputato.

Con pronuncia del 24 giugno 2015, la Corte d'appello di Brescia aveva però riformato la decisione di primo grado, affermando la penale responsabilità dell'imputato.

Con il dictum che si annota il Giudice della legittimità ha rigettato il ricorso dell'imputato. La Suprema Corte ha rilevato che la pronuncia di merito aveva ritenuto il gestore responsabile non per l'inserimento del file diffamatorio - cioè per il suo upload - effettuato nel caso autonomamente dall'autore, ma per il suo mantenimento on line dalla data in cui aveva avuto consapevolezza del file (per aver ricevuto sulla casella di posta elettronica dall'autore del messaggio il certificato penale del diffamato) fino alla data del sequestro preventivo del sito. La Corte, quindi, ha escluso da un lato l'allegata contraddittorietà della sentenza impugnata e, per altro verso, la possibilità in sede di legittimità di un riesame della vicenda nel merito, tanto più che nessuna deduzione specifica risultava fatta dal ricorrente (che pur pacificamente si trovava all'estero essendo in periodo feriale) in ordine alle ragioni ostative della lettura della casella postale e quindi della sua consapevolezza del messaggio diffamatorio.

Il recente arresto suscita però qualche dubbio nell'interprete penalista. In particolare, la sentenza sembra dare per scontato che il gestore del sito internet che ospiti commenti del pubblico sia responsabile per il solo fatto della conoscenza del messaggio ospitato (che nel caso che ci occupa è peraltro piuttosto potenziale), a prescindere dall'esistenza di una richiesta di rimozione del dato da parte del presunto diffamato e dell'autorità giudiziaria.

Come è stato evidenziato in precedenza, la disciplina comunitaria e quella italiana di recepimento sembra infatti escludere la responsabilità del provider sino al momento in cui non sia intervenuta “l'autorità competente” a comunicare il dato illecito, richiedendone così la rimozione. Come è stato evidenziato da attenta dottrina, il richiamo alla necessità di uno specifico intervento dell'autorità giudiziaria o amministrativa appare di notevole importanza, posto che non possono certo essere rimesse al privato - che si assume esser stato danneggiato - o al provider medesimo le modalità attraverso le quali il processo di rimozione del dato dovrà essere eseguito, dovendosi per converso ridursi al minimo la discrezionalità del gestore del sito che applica il blocco o la rimozione dei dati, ed occorrendo che l'intero processo comunque sia trasparente e, soprattutto, proporzionato e limitato dal fine perseguito (escludendosi in tal modo l'intervento su dati diversi leciti).

In conclusione

- La Suprema Corte nella sentenza in commento ha affermato la responsabilità del provider per aver mantenuto sulla community del proprio sito un commento che definiva l'allora presidente della Federazione calcistica giovanile come «emerito farabutto» e «pregiudicato doc», allegando al messaggio il certificato penale di tale soggetto.

- Il caso in questione pone il problema della responsabilità del gestore di un sito internet per messaggi diffamatori altrui.

- La pronuncia ha ritenuto il gestore del sito responsabile per aver mantenuto on line il commento diffamatorio dalla data in cui aveva avuto consapevolezza del file – provata dal fatto di aver ricevuto una mail dall'autore del messaggio contenente il certificato penale del diffamato - fino alla data del sequestro preventivo del sito.

(Fonte: www.ilpenalista.it)

Guida all'approfondimento

BUFFA, Responsabilità del gestore del sito internet, in www.questionegiustizia.it.

CASSANO - CIMINO, La responsabilità del provider non può essere una zona “franca” dal diritto, in Guida al diritto, 2013.

LUPÁRIA, Internet provider e giustizia penale. Modelli di responsabilità e forme di collaborazione processuale, Giuffrè, Milano, 2012.

PARODI - CALICE, Responsabilità penali e internet, in Il Sole 24 ore, Milano, 2001.

PERON, La diffamazione tramite mass-media, Padova, 2006.

PICOTTI, Il diritto penale dell'informatica nell'epoca di internet”, Cedam, Padova, 2004.

SALVADORI, I presupposti della responsabilità penale del blogger per gli scritti offensivi e pubblicati su un blog da lui gestito, in Giurisprudenza di merito, 4-2007, 1069 ss.

Sommario