Provider e sua responsabilità

03 Marzo 2017

Nell'ordinamento giuridico italiano, il principale riferimento normativo, nel momento in cui si discute di responsabilità del provider con riferimento ai contenuti che transitano sulle piattaforme digitali, è il d.lg. n. 70 del 9 aprile 2003, che ha attuato la Direttiva 31/2000 dell'Unione Europea.

Inquadramento

Nell'ordinamento giuridico italiano, il principale riferimento normativo, nel momento in cui si discute di responsabilità del provider (più formalmente: ISP, ossia Internet Service provider) con riferimento ai contenuti che transitano sulle piattaforme digitali, è il d.lg. n. 70 del 9 aprile 2003 (“Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno”), che ha attuato, appunto, la Direttiva 31/2000 dell'Unione Europea.

Il d.lg. n. 70/2003, si vedrà a breve, è considerato uno “spartiacque” sia dalla dottrina sia dalla giurisprudenza italiana, avendo prospettato un modo completamente nuovo d'intendere i profili di responsabilità dei soggetti che operano nella società dell'informazione.

La Direttiva, conosciuta anche come “Direttiva sul commercio elettronico”, è, in realtà, un provvedimento molto più complesso e dedicato alla regolamentazione delle comunicazioni online in senso ampio e, per quel che interessa in questa sede, a taluni aspetti dei servizi della società dell'informazione.

I servizi della società dell'informazione, nell'interpretazione della Direttiva, sono quei servizi prestati normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi.

Una definizione così ampia include, inevitabilmente, gran parte delle attività economiche che si possono svolgere online: si pensi alla vendita di merci, alla prestazione di servizi, alle attività editoriali, e simili. Sono inclusi, poi, nel campo di applicazione anche i servizi non remunerati da parte del destinatario, nella misura in cui costituiscano un'attività economica: s'immagini, in questo caso, la trasmissione di informazioni mediante una rete di comunicazione.

Non sono invece comprese le attività che non avvengono online, seppur a tali attività collegate (ad esempio la consegna delle merci), né le attività che avvengono tramite posta elettronica, anche qualora comportino la conclusione di contratti.

Per un primo inquadramento, si anticipa che, ai sensi della Direttiva, si è dovuto adottare anche in Italia un regime di responsabilità che prevede l'assenza di un obbligo di sorveglianza sui contenuti e che scatta, però, in presenza di determinate condizioni.

In questo contributo tracceremo il quadro generale della disciplina sempre all'interno di questo principio di assenza di un obbligo di sorveglianza sui contenuti, analizzando prima l'humus normativo europeo, la sua attuazione in Italia e le più importanti decisioni sul tema (per una panoramica generale con riferimento anche al delicato rapporto con la libertà d'espressione vedi S.MARTINELLI, Informazione online, sequestro e responsabilità, in «Ciberspazio e Diritto», vol. 16, n. 52, 2015, pp. 51-84).

L'evoluzione del tema e la limitazione ex lege della responsabilità dei provider

Il tema della responsabilità del provider, per i contenuti che transitano sulle piattaforme da lui gestite, è assai dibattuto e complesso per una serie di motivi che sollevano nodi di non facile soluzione, e che andrò a esporre sinteticamente per ben inquadrare i problemi successivi.

Il primo motivo di dibattito è che la normativa di riferimento sembra essere, per i “tempi tecnologici moderni”, ormai datata (quella italiana risale al 2003 e applica i principi di una Direttiva europea del 2000) e sembra essere troppo legata a un settore specifico, e con esigenze assai particolari, quale quello del commercio elettronico, tanto da causare una difficile applicazione (e contrasti) se si tenta di estenderla ad altri ambiti.

Per “datata” intendo, soprattutto, il fatto che il Legislatore avesse in mente un quadro degli Internet Service provider, allora, molto diverso da quello attuale. Gli studi del tempo insistevano quasi esclusivamente sulla differenza tra “service”, “content” e “access provider. In sintesi: ci poteva essere un fornitore che garantisse “solo” un servizio, uno che garantisse solo l'accesso alla tecnologia e alla connessione o uno che permettesse lo scambio di contenuti, e così via.

Tutti però si rendono conto, ictu oculi, come il quadro attuale sia molto diverso e come i grandi operatori (si pensi a Facebook o a Google) forniscano oggi tanti servizi, ben mescolati tra loro – dalle caselle e-mail a spazi pubblici, da informazioni a contenuti – e spesso intervengano direttamente nella gestione, distribuzione e visibilità o meno dei contenuti. Aspetto, quest'ultimo, che, si vedrà, può generare importanti conseguenze giuridiche.

Si potrebbe allora dire, come nota d'esordio, che la normativa degli anni duemila era pensata, e aveva in mente, un quadro dei grandi operatori in rete molto diverso da quello attuale.

Il secondo punto di discussione è che la normativa che si andrà a esaminare pone, sì, un principio generale – quello della neutralità del provider, ossia dell'assenza di una responsabilità automatica e oggettiva per i contenuti che transitano sulle piattaforme – ma è una normativa che è pensata per l'ambito del commercio elettronico.

Il Legislatore si trovava di fronte a una scelta, da dover fare, non semplice: la priorità doveva essere la crescita e l'impulso del commercio elettronico che, allora, si stava diffondendo e che rischiava di faticare, nel suo esordio, in alcuni Paesi (come è poi successo in Italia, ad esempio, rispetto ad altri mercati).

Potrebbe sembrare un aspetto marginale, ma si ricordi che, attorno agli anni duemila, il commercio elettronico e l'espansione delle attività di business in Europa erano viste come la strategia principale da perseguire per il benessere generale, per rilanciare l'economia europea in sofferenza. Si voleva, in sintesi, incentivare il commercio elettronico “senza se e senza ma”, limitando al minimo le responsabilità degli operatori affinché non avessero timore a entrare nel nuovo mercato e a trasformare l'economia in digitale.

La scelta fu allora, in un certo senso, obbligata: il caricare il meno possibile gli operatori di responsabilità, altrimenti in pochi avrebbero preso la scelta di entrare nel mercato.

A nostro modesto avviso, il principio di non responsabilità, con le dovute eccezioni, è comunque sacrosanto, ed è adatto a un mercato che deve crescere per portare benefici alla società.

Al contrario, obbligare le piattaforme a vincoli troppo stringenti rischia di portare alla chiusura o all'insostenibilità commerciale di certi servizi. È, però, anche naturale che, nella pratica, un quadro così aperto possa far sorgere conflitti in contesti al di fuori dell'ambito del commercio elettronico.

Vedremo, ad esempio, che il primo conflitto enorme, seppure in un ambito penalistico, è sorto con riferimento alla normativa sulla protezione dei dati personali (il caso Google/Vividown).

Sempre più spesso ci si domanda, allora, come risolvere “relazioni pericolose” tra questo principio così garantista e la violazione, ad esempio, dei diritti della personalità (si pensi al delicatissimo ambito della reputazione).

In definitiva, quando ci si dedica a questo tema ripercorrendone le origini e analizzando la prima giurisprudenza, si ha un po' l'impressione di trovarsi a operare in un ambito che è regolamentato da norme obsolete, pensate per un quadro che oggi è cambiato – la distinzione tra chi fornisce servizi di connessione, di trasmissione, di memorizzazione di dati, di pubblicazione di informazioni e contenuti editoriali, di spazi sul cloud, è diventata assai labile –, e molto settoriali, poiché adatte al quadro del commercio in rete ma difficilmente applicabili ad altri ambiti.

I principi europei

La normativa italiana ha dovuto inevitabilmente recepire il principio europeo di base, quello dell'assenza di un obbligo generico di sorveglianza, contenuto all'art. 15 della Direttiva n. 31/2000/CE, denominato appunto "Assenza dell'obbligo generale di sorveglianza".

Tale principio aveva come obiettivo la regolamentazione di tre differenti tipologie di provider:

  • attività di semplice trasporto, o mere conduit;
  • attività di memorizzazione temporanea, o caching;
  • attività di memorizzazione d'informazioni, o hosting.

L'attività di mere conduit consiste, secondo il dettato normativo, nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio o nel fornire un accesso alla rete di comunicazione.Il provider che svolga tale attività non è ritenuto responsabile per le informazioni trasmesse purché non dia origine alla trasmissione, non selezioni il destinatario e non modifichi le informazioni trasmesse.

L'attività di caching consiste, dal canto suo, nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio e nel realizzare una memorizzazione automatica, intermedia e temporanea di tali informazioni, effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta. In tale caso, il provider non è responsabile purché non modifichi le informazioni, svolga l'attività conformemente a quanto previsto in materia di accesso alle informazioni e aggiornamento delle stesse, non interferisca sull'uso lecito di tecnologie per ottenere dati sull'impiego delle informazioni e purché agisca prontamente su tali informazioni qualora venga a conoscenza del fatto che sono state rimosse dal luogo in cui in precedenza si trovavano sulla rete, o che l'accesso alle medesime sia stato disabilitato per intervento, spontaneo o su ordine delle autorità, del destinatario del servizio.

L'attività di hosting consiste, infine, nella memorizzazione d'informazioni fornite da un destinatario del servizio.

Vedremo successivamente come questa impalcatura europea sia stata assorbita dalla normativa italiana, pur con qualche differenza.

I principi della normativa italiana

Le categorie e le regole stabilite dalla Direttiva sono state ovviamente recepite con gran cura dal d.lg. n. 70 del 2003 (definito in Italia come «Decreto sul commercio elettronico»).

Gli studiosi hanno immediatamente concentrato l'attenzione su quattro articoli centrali che affrontano, appunto, le già dette questioni di responsabilità:

  • art. 14 : Responsabilità nell'attività di semplice trasporto - Mere conduit;
  • art. 15: Responsabilità nell'attività di memorizzazione temporanea – Caching;
  • art. 16: Responsabilità nell'attività di memorizzazione di informazioni – Hosting;
  • art. 17: Assenza dell'obbligo generale di sorveglianza.

Gli interpreti hanno ricavato dal testo dell'art. 17 d.lg. n. 70/2003 cinque elementi ritenuti essenziali per disegnare il comportamento del provider in questo quadro assai articolato, così sintetizzabili:

1) il provider non sarebbe assoggettato a un obbligo generale di sorveglianza;

2) il provider non avrebbe un obbligo di ricercare attivamente attività illecite sul suo sistema;

3) il provider avrebbe un obbligo di informare l'autorità nel caso venisse a conoscenza di attività illecite;

4) il provider sarebbe obbligato a fornire senza indugio informazioni all'autorità, se richieste, circa attività illecite;

5) il provider dovrebbe essere ritenuto responsabile nel caso non agisca prontamente se sollecitato in tal senso dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza (e su questo punto si aprì, subito, un dibattito su quali fossero le modalità migliori per individuare quest'ultimo tipo di autorità con poteri di sollecito, o impulso che dir si voglia).

L'art. 16 ha previsto invece l'ipotesi probabilmente più interessante, ossia quella che riguarda l'hosting provider, chiarendo che con riguardo all'attività di memorizzazione d'informazioni (hosting), il provider non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio solo se:

a) il provider non sia effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o circostanze che rendono manifesta l'illiceità dell'attività o dell'informazione;

b) il provider, non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o disabilitarne l'accesso.

Alcuni studiosi hanno notato come, su questo punto, il legislatore italiano abbia ridotto gli obblighi posti in capo all'hosting provider rispetto a quanto previsto dalla Direttiva.

Nella normativa europea, infatti, si affermava che l'ISP non era responsabile a condizione che non fosse effettivamente al corrente del fatto che l'attività o l'informazione era illecita e, per quanto attiene ad azioni risarcitorie, non fosse al corrente di fatti o di circostanze che rendevano manifesta l'illegalità dell'attività o dell'informazione, oppure, non appena al corrente di tali fatti, avesse agito immediatamente per rimuovere le informazioni o per disabilitarne l'accesso.

Nella formulazione del d.lg. 70/2003, sullo stesso punto, la lettera b) dispone invece che «non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o disabilitarne l'accesso».

Alcune prime conclusioni interpretative

Nonostante si tratti di disposizioni che hanno generato molti dubbi interpretativi e per le quali è, dunque, difficile rinvenire interpretazioni unanimemente accettate, parte della dottrina ritiene che derivi solamente un obbligo di informare le autorità competenti, alle quali spetterà decidere gli ulteriori provvedimenti necessari.

Non vi sarebbe dunque un obbligo di rimozione delle informazioni, se non in seguito ad una comunicazione proveniente dalla competente autorità.

Tale ricostruzione è giustificata sulla base della lettura del comma 3 dell'art. 17, il quale prevede che «Il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha provveduto ad informarne l'autorità competente».

In sintesi, finché il contenuto illecito è sconosciuto al service provider, egli non può essere ritenuto responsabile in quanto non ha obblighi di sorveglianza, né può essere considerato titolare del trattamento, non avendo alcun potere di controllo. I titolari del trattamento sono gli utenti che usufruiscono del servizio di hosting, che decidono con tale azione di trattare dati personali, propri o di terzi.

Si noti che, tra le righe delle norme poco sopra citate, si possono individuare due tipi ben distinti di provider, intendendo il provider come un fornitore di servizi connessi alla società dell'informazione che ricomprende soggetti che svolgono attività molto diverse tra loro: il fornitore di servizi di connettività, il gestore di motori di ricerca, il gestore della piattaforma e-commerce, ma anche blog, social network e siti di informazione.

Il primo tipo è di solito definito provider attivo, il secondo provider passivo.

In evidenza

Per provider attivo s'intende un soggetto che esercita sui contenuti un'attività ulteriore rispetto alla mera memorizzazione e trasmissione, quale ad esempio un'attività di selezione.

Per provider passivo si intende un soggetto che si limita a svolgere attività di ordine meramente automatico e tecnico.

Nella definizione di provider passivo rientrano le attività, precedentemente, elencate di mere conduit, caching e hosting. Il provider attivo, com'è comprensibile, è tenuto sotto maggior controllo dal diritto perché interviene con decisioni importanti nel processo di gestione dei contenuti.

In conclusione sembrano ben rilevabili nel nostro ordinamento, i primi, seguenti principi:

1) chiara assenza di un obbligo generale di sorveglianza per il provider passivo;

2) non applicabilità di tale principio al provider attivo;

3) assenza di un obbligo generale di sorveglianza applicabile al provider passivo purché non sia venuto effettivamente a conoscenza del fatto illecito e purché, venuto a conoscenza del fatto, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o disabilitarne l'accesso;

4) fino a quando il contenuto illecito è sconosciuto al provider, egli non può essere ritenuto responsabile, in quanto non ha obblighi di sorveglianza, né un effettivo potere di controllo.

La disciplina in pratica e le prime decisioni

Da un punto di vista delle decisioni della giurisprudenza, sia civile sia penale, il tema della responsabilità dei provider si è risolto, come prevedibile, in due modi opposti: alcune decisioni hanno considerato responsabili gli intermediari online di contenuti e servizi, mentre altre si sono attenute in maniera stringente al principio di non responsabilità.

In questi quasi vent'anni di esistenza del principio di non responsabilità dei provider (a certe condizioni) per i contenuti, la giurisprudenza è stata più dubbiosa nell'applicazione asettica di tale principio, mettendolo più volte in discussione soprattutto quando si scontrava con principi connessi al trattamento dei dati o ai diritti della personalità.

Nel caso più clamoroso avvenuto in Italia, Google/Vividown, oggetto di approfondimento nel seguente paragrafo, la Corte di Cassazione (dopo due precedenti gradi di giudizio un po' travagliati) ha ribadito il principio.

La Corte di Giustizia dell'Unione Europea invece, in un caso su temi molto differenti ma, per certi versi, simile (il celebre caso “Google Spain”), ha optato per la responsabilità del fornitore di servizi, contestando il mancato adempimento di un obbligo di rimozione dei dati riferiti a una persona e elaborando, addirittura, una nuova categoria/obbligo: quella del diritto all'oblio.

Accanto a queste due sentenze storiche, vi sono state molte altre pronunce in Italia sul tema, capaci di delineare un quadro abbastanza fluido seppur con punti di discussione interessanti.

Alcune sentenze, in particolare, hanno individuato una responsabilità dell'ISP, mettendo in crisi il principio di assenza di un obbligo generale di sorveglianza delle informazioni da parte del provider. Hanno dato infatti ragione a quelle prime interpretazioni in dottrina che sostengono la non conformità del quadro disegnato dalla Direttiva, con riferimento alle funzioni dell'ISP, a quello attuale. L'idea “romantica” dell'ISP, come soggetto neutrale dal punto operativo, si scontrerebbe oggi con il ruolo attivo che molti operatori hanno nei confronti dei contenuti che transitano sulle loro piattaforme.

Una delle prime decisioni in Italia è contenuta in un'ordinanza del Tribunale di Roma (Trib. Roma, sez. IX civ., ord., 15-16 dicembre 2009, Rti Reti Televisive Italiane contro YouTube LLc), che ha previsto l'obbligo dell'hosting provider di attivarsi per rimuovere i contenuti su segnalazione di parte.

Diversamente è stato in seguito disposto nella sentenza del Tribunale di Milano (Trib. Milano, sent., 9 settembre 2011, n. 10893): il fornitore hosting ha il dovere di rimuovere il contenuto solo dietro ordine dell'autorità.

In seguito si procederà all'analisi della giurisprudenza di merito più recente. Ora è opportuno analizzare i due casi probabilmente più importanti degli ultimi anni sul punto: il caso “Google/Vividown” in Italia, e il caso “Google Spain” davanti alla Corte di Giustizia dell'Unione Europea.

Il caso "Google/Vividown"

Il caso Google/Vividown è rimasto nella giurisprudenza italiana un importante riferimento sia per l'interesse mediatico che ha sollevato in tutto il mondo, sia perché la Corte di Cassazione ha, in un certo senso, posto dei punti fermi in una vicenda così travagliata, con l'intento di ribadire, seppur in un quadro tecnologico più moderno e affrontando anche il difficile rapporto con la normativa sulla privacy, il principio di neutralità dell'ISP e i precisi limiti (o meglio eccezioni) nei suoi obblighi di intervento.

Secondo la Corte di Cassazione (Cass. pen., sez. III, 17 dicembre 2013, dep. 3 febbraio 2014, n. 5107), Google (che allora si presentava come Google Video), nella sua qualità di host provider ed estraneo ai contenuti pubblicati, non poteva incorrere nelle violazioni contestate perché, secondo la normativa sul commercio elettronico, godeva delle già accennate limitazioni di responsabilità.

In particolare, entravano in gioco quella prevista dall'art. 17 del d.lg. n. 70/2003, che esclude obblighi generalizzati di sorveglianza sui contenuti salvo l'obbligo di fornire informazioni a richiesta delle autorità competenti, e quelli connessi alle eccezioni previste dall'art. 16 del medesimo decreto.

Nel caso di specie, la Cassazione individua un comportamento illecito in chi ha caricato il video sulla piattaforma (il video, si ricorda, riguardava spregevoli atti di violenza e di bullismo nei confronti di un adolescente da parte di coetaneo), ma non in capo all'host provider dal momento che, una volta venuto a conoscenza della presenza del video, egli avrebbe immediatamente avvisato le autorità competenti.

La Cassazione risolve poi incidentalmente anche il problema d'incompatibilità tra normativa sulla privacy e regolamentazione del commercio elettronico, non ravvisando particolari contrasti tra le due discipline, regolate da due corpi normativi, entrambi applicabili, separati.

La Suprema Corte s'interroga infine sul ruolo “attivo” o “passivo” di Google come host provider, un aspetto cruciale perché strettamente connesso ai profili di responsabilità, tale da condizionare l'applicazione delle limitazioni alla stessa. Secondo i giudici, Google avrebbe allora semplicemente fornito agli utenti una piattaforma per il caricamento dei contenuti senza alcun altro contributo. Essendosi presentato non come un fornitore di contenuti ma, semplicemente, come un host provider, non doveva rispondere di eventuali illeciti correlati ai contenuti stessi.

Da questa prima decisione in Italia è dunque possibile estrarre tre principi basilari, che saranno poi oggetto di ulteriore approfondimento:

1) non ci sono norme che esplicitamente stabiliscano un obbligo giuridico in capo a un host provider di impedire gli illeciti commessi dagli utenti, per cui il principio di neutralità e di non responsabilità del provider è entrato a far parte del nostro ordinamento giuridico;

2) anche se l'host provider compie alcune attività sui contenuti e sui materiali che sono caricati dagli utenti, senza però intervenire direttamente sugli stessi o senza prendere conoscenza dei contenuti, rimangono le garanzie di limitazione di responsabilità previste dagli artt. 16 e 17 della normativa sul commercio elettronico;

3) una responsabilità del provider correlata, però, alla normativa sulla privacy, ossia al reato di trattamento illecito dei dati, può configurarsi solo dal momento in cui il provider stesso è a conoscenza, che sia però documentata, dell'illecito in corso.

Il caso “Google Spain”

Il secondo clamoroso caso, che ha fatto storia, seppur non direttamente collegabile al tema della responsabilità come prevista nella normativa sul commercio elettronico (questo il motivo per cui ne faremo solo un rapido cenno), è il celebre caso “Google Spain” deciso dalla Corte di Giustizia dell'Unione Europea. Si tratta del caso grazie al quale, nel maggio del 2014, è stata introdotta la categoria del diritto all'oblio e sono stati analizzati approfonditamente anche alcuni aspetti di responsabilità degli ISP (Corte di giustizia dell'Unione europea (CGCE), Causa C-131/12 – Google Spain SL, Google Inc./ Agencia Española de Protección de Datos, Mario Costeja Gonzáles).

In estrema sintesi, nel procedimento nato dalla richiesta di un cittadino spagnolo di rimuovere dal motore di ricerca informazioni relative a sue passate vicende giudiziarie esaurite e non più attuali, la Corte ha accolto il ricorso sostenendo che l'attività effettuata da Google nel caso di specie, ossia quella di indicizzazione e memorizzazione temporanea delle informazioni personali, potesse considerarsi come un trattamento di dati personali e che il gestore del motore di ricerca potesse qualificarsi come responsabile del trattamento.

Già questa prima considerazione dei giudici rende evidente come si voglia insistere sul ruolo attivo del provider nella gestione dei dati, e non più sull'idea di un ruolo meramente passivo.

Il secondo punto riguardava poi l'estensione di profili di responsabilità al gestore del motore di ricerca, e in questa decisione, con un approccio opposto rispetto al caso visto in precedenza, i giudici europei hanno ritenuto presente una responsabilità in capo a Google per contenuti immessi da soggetti terzi, evidenziando un obbligo alla deindicizzazione anche su indicazione dell'autorità.

Pare chiaro che, nel momento in cui si qualifica un provider come titolare del trattamento, obbligato dunque ai sensi della normativa vigente non solo a rispondere ed esaudire le richieste dei soggetti che fanno valere i loro diritti con riferimento ai dati da loro riferiti, ma anche ad avere un ruolo per così dire attivo nella gestione dell'impresa, il principio di neutralità tende a vacillare e a essere pesantemente incrinato.

Le responsabilità per la gestione di una rete Wi-Fi

Una decisione recente della Corte di Giustizia dell'Unione Europea (C.G.UE, 15 settembre 2016, causa C 484/14) ha affrontato un aspetto particolare della responsabilità del provider, ossia l'uso di una rete Wi-Fi libera, non protetta, da parte di utenti di un provider, finalizzato a violare la disciplina del diritto d'autore.

In questo caso, l'aspetto interessante è che il gestore è stato esentato da responsabilità.

Da un lato, infatti, la Corte ha stabilito che il gestore di un servizio di Wi-Fi libero, sul quale un suo utente condivide opere in violazione del diritto d'autore, va considerato, comunque, come un semplice fornitore di accesso a una rete di comunicazione, e non è responsabile per i contenuti che vi circolano ai sensi della direttiva 2000/31/CE.

È, insomma, equiparato a un fornitore di servizi di hosting, e non ha l'onere né la materiale possibilità di conoscere o controllare le informazioni trasmesse tramite la rete Wi-Fi.

Al contempo, però, l'autorità può esigere che l'ISP prenda provvedimenti per porre fine, o prevenire, determinati comportamenti illeciti, sempre a patto che le misure tecniche a ciò finalizzate non restringano eccessivamente la libertà di impresa del provider.

La CEDU e la responsabilità dei provider

Per concludere il panorama internazionale sul tema della responsabilità del provider, meritano un cenno due importanti decisioni della Corte Europea dei Diritti dell'Uomo (CEDU): Delfi v. Estonia (CEDU, 10 ottobre 2013 n. 64569/09) e Magyar v. Ungheria (CEDU, 2 febbraio 2016 n. 22947/13).

La prima decisione ha riguardato alcuni profili di responsabilità oggettiva dell'editore di un magazine online derivanti da commenti offensivi degli utenti del sito web. La seconda ha avuto a oggetto possibili profili di responsabilità oggettiva di alcuni gestori di portali web.

Nel primo caso, Delfi AS v. Estonia, sono stati vagliati dei fatti risalenti al 2006. I giudici hanno valutato se fosse possibile ritenere responsabile un portale sul web per alcuni commenti diffamatori creati e pubblicati da diversi lettori/utenti.

Nel caso di specie, i messaggi diffamatori erano volti a criticare la politica commerciale di una compagnia di navigazione che aveva improvvisamente modificato alcune rotte, e questo fatto aveva generato commenti d'odio nei confronti della compagnia navale stessa. La società Delfi, ossia il provider che aveva ospitato dette discussioni, era stata ritenuta colpevole in Estonia dopo tre gradi di giudizio (sulla base che non fosse un semplice intermediario e che, quindi, non godesse di limitazioni di responsabilità, ma svolgesse attività concrete di intervento sui contenuti) e decise quindi di adire la CEDU. Per la CEDU il ricorso è parso infondato ed è sembrato ragionevole, e non in conflitto con i principi della Dichiarazione, ritenere responsabile il portale web proprio per il suo ruolo attivo nella gestione dei commenti e delle informazioni transitanti sulle sue piattaforme.

Nel caso Magyar v. Ungheria, invece, l'approccio della Corte è l'opposto: si afferma che non può essere imputata al portale web una responsabilità oggettiva per i commenti lasciati da alcuni visitatori sul sito.

La questione era nata a seguito della pubblicazione di articoli diffamatori su alcuni servizi commerciali ospitati dalla piattaforma. Dopo la condanna, nel Paese di origine di due portali a causa dei suddetti commenti, la CEDU ha stabilito che non possono essere contestate ipotesi di responsabilità oggettiva e che, pertanto, il ricorso era fondato.

La giurisprudenza italiana

L'analisi della giurisprudenza italiana più importante sul tema della responsabilità civile dei provider richiama gran parte delle considerazioni, e dei problemi, che già abbiamo accennato poco sopra.

Ciò è comprensibile: il quadro nel quale si muove il giudice nazionale è lo stesso di quello previsto dalle griglie della Direttiva Europea.

Probabilmente l'argomento più attuale, al centro delle decisioni che andremo a citare, è la distinzione (sempre meno chiara) tra provider attivi e provider passivi.

I primi, quelli attivi, contribuirebbero in concreto a creare, modificare sensibilmente, organizzare e correlare i contenuti e tutto il materiale che si può rinvenire sui loro siti web. Una simile “attività” delineerebbe maggiori margini di responsabilità o, più correttamente, esonererebbe tali provider dai limiti di responsabilità previsti dalla Direttiva Europea come sono stati illustrati poco sopra.

I secondi provider, quelli passivi (oggi sempre più rari, e più connessi a servizi di offerta di connessione che ad allestimento di piattaforme per i contenuti), sarebbero aziende che forniscono uno spazio o un servizio ma che in nessun modo contribuiscono materialmente alla formazione dei contenuti.

L'analisi della differenza tra i due provider può essere il momento cruciale per l'individuazione di profili di responsabilità ma, al contempo, può non essere semplice. In alcuni casi il giudice ha domandato una consulenza tecnica proprio su questo punto: per comprendere la reale capacità del provider di intervenire sui contenuti o di reagire a segnalazioni di contenuti illeciti.

Le tre grandi categorie di provider “ereditate” dalla normativa europea, ossia mere conduit(la società non inizia la trasmissione, né seleziona chi riceve i dati, né seleziona o modifica i dati trasmessi), caching provider (categoria che era pensata avendo in mente i motori di ricerca e tutti quei siti che memorizzano in maniera temporanea i contenuti) e hosting provider (società che memorizzano anche i contenuti degli utenti) appaiono sempre più distanti alla realtà, fatta di piattaforme che mescolano spesso tutti questi elementi in un unico contesto.

Nell'analisi della giurisprudenza italiana sul tema sono individuabili tre momenti cardine che hanno delineato diverse prospettive sul tema:

  • la fine degli anni novanta, con l'improvviso interesse del nostro legislatore sui temi del diritto delle nuove tecnologie e il maldestro tentativo di mutuare le responsabilità previste per la stampa (vedi sul tema V. DURANTE, Stampa on-line e sequestro dei siti internet, «Nuova Giur. Civ.», 2010, 4, pp. 409 e ss.);
  • una decisione del Tribunale di Roma che separa web e stampa e colloca i provider giustamente in una posizione unica;
  • le decisioni emanate nel nuovo quadro prima europeo e poi italiano (dopo il 2003) di neutralità del provider.

La metà degli anni Novanta del secolo scorso è un periodo molto importante per il diritto dell'informatica italiano. Le prime due norme specifiche (il d.lg. n. 518 del 1992 sulla “duplicazione abusiva” del software e la l. n. 547 del 1993 sulla criminalità informatica) hanno posto all'attenzione generale i problemi specifici che l'informatica è idonea a generare in un determinato ordinamento giuridico. Le prime sentenze della fine di quel decennio si trovano a dover affrontare temi nuovi, spesso cercando istituti “tradizionali” come punto di riferimento, in un'ottica di rassicurazione e di maggior certezza per l'interprete. Il cercare, però, di inquadrare forzatamente il fenomeno informatico in griglie che non sono pensate per simili concetti, può generare pericolose distorsioni.

Due ordinanze, una del Tribunale di Napoli (Trib. Napoli, ord., 8 agosto 1997) e l'altra del Tribunale di Teramo (Trib. Teramo, ord., 11 dicembre 1997) hanno ravvisato, ad esempio, responsabilità in capo agli ISP semplicemente attribuendo loro lo stesso regime di responsabilità che è in capo agli organi di stampa e che è, come noto, molto specifico e oneroso (obbligo di controllo e vigilanza sui contenuti creati anche da terzi).

Simili decisioni, equiparando il gestore di un sito Internet a un organo di stampa, ne fanno derivare degli obblighi di vigilanza (l'ordinanza di Napoli parla di “diligente verifica” e di “controllo preventivo”) che aumentano il raggio di responsabilità.

Questo approccio viene accantonato da un'interpretazione più moderna (vedi, per un'introduzione, M. TESCARO: Schemi legali e opposte tendenze giurisprudenziali in tema di responsabilità civile dell'Internet provider, «Giur. Merito», fasc. 12, 2013, p. 2584) e che, si diceva, inaugura un nuovo orientamento più garantista, contenuta in un'ordinanza del Tribunale di Roma (Trib. Roma, ord., 4 luglio 1998).

Nel caso di specie viene rigettata una richiesta di rimozione di un contenuto diffamatorio che era contenuto in un'area di discussione di un sito web. Il giudice romano analizza con cura la figura del webmaster e in che modo metta a disposizione lo “spazio virtuale” per i suoi clienti, sino ad arrivare ad affermare che «il news-server si limita a mettere a disposizione degli utenti lo spazio “virtuale” dell'area di discussione e nel caso di specie, trattandosi di un newsgroup non moderato, non ha alcun potere di controllo e vigilanza sugli interventi che vi vengono inseriti».

S'inizia a distinguere, per la prima volta, la reale possibilità di controllo, da parte di un soggetto, con riferimento ai contenuti che circolano in uno spazio da lui gestito.

Tre pronunce successive (Trib. Roma, 22 marzo 1999; Trib. Bologna. 26 novembre 2001; Trib. Firenze, 21 maggio 2001) continuarono a definire con maggior attenzione questa posizione che i provider hanno con particolare riferimento al loro potere di controllo sui contenuti.

Nonostante siano sentenze risalenti e connesse a un quadro informatico non più attuale, sono molto importanti per comprendere un passaggio interpretativo corretto che è stato quello di valutare sempre in concreto le reali possibilità di azione e di intervento del provider con riferimento ai contenuti.

La terza fase interpretativa, quella che ha disegnato il quadro attuale, inizia a prendere forma dopo il d.lg. n. 70 del 2003 e in un approccio dove si pone al centro dell'attenzione il principio della neutralità del provider.

Ciò porta, al contempo, a individuare “nuove” ipotesi di responsabilità quando il giudice ritiene che la posizione del provider, nel sistema informatico globalmente considerato, non sia “neutrale” (sul punto delle responsabilità vedi M.CUNIBERTI: Internet: controlli e responsabilità, in M.CUNIBERTI, E.LAMARQUE: Percorsi di diritto dell'informazione, Torino, 2011).

Si veda, ad esempio, la sentenza del Tribunale di Milano del 24 marzo 2011. È la celebre sentenza che ha riguardato i “suggerimenti” di Google, ossia quelle parole o frasi che appaiono nel riquadro del motore di ricerca quando s'immettono dei termini connessi a una pagina che si vuole ricercare. Un imprenditore aveva ritenuto lesivi alcuni “accostamenti” che apparivano automaticamente al suo nome su Google, e aveva chiesto una sorta di “rettifica” al motore di ricerca. Il giudice, dopo il rifiuto del motore di ricerca di agire, ordinò la rimozione del collegamento tra nome del soggetto e parole offensive, nonostante il provider ribadisse la sua natura “terza” rispetto a simili processi e la sua posizione di provider passivo. Il giudice, muovendo dalle categorie della Direttiva europea, dichiara Google come hosting provider, e non come “semplice” ISP, con un derivante obbligo di attivarsi nel momento in cui viene a conoscenza dell'attività illecita o, comunque, dannosa. Da un lato, quindi, viene ribadita la non responsabilità per i contenuti immessi da terzi (in questo caso i suggerimenti diffamatori apparivano infatti perché collegati a contenuti immessi non da Google ma da soggetti terzi che volevano offendere l'imprenditore); dall'altro, però, viene “consacrato” l'obbligo di agire per la rimozione di contenuti illeciti non appena occorre una segnalazione.

Un'ordinanza del Tribunale di Firenze del 25 maggio 2012 ha affrontato il caso di un imprenditore che, tramite il motore di ricerca Google, aveva notato siti contenenti informazioni diffamatorie che lo riguardavano. Dopo essersi rivolto a Google e non aver avuto risposta, decide di adire il Tribunale, ma anche il tribunale rigetta il ricorso. Si ribadisce, in particolare, che gli obblighi, le funzioni e le responsabilità in capo ai provider vanno sempre analizzate con grande attenzione e che i motori di ricerca non devono essere intesi come hosting provider bensì come caching provider. Il motore, in particolare, indicizza i siti e ne forma una copia cache sui suoi server, operando una memorizzazione temporanea delle informazioni. Il giudice di Firenze ribadisce, poi, la necessità dell'effettiva conoscenza del fatto illecito da parte del provider, e non di una semplice segnalazione/richiesta di parte.

Un caso interessante di fornitori di servizi sui generis, TripAdvisor, è stato oggetto di una pronuncia del Tribunale di Venezia del 24 febbraio 2015. In questo caso il giudice nota come il servizio offerto sia un servizio complesso, nel quale la società interviene sensibilmente anche sui contenuti. Il caso era sorto da alcuni commenti diffamatori che avevano colpito la gestione di un ristorante. Il diffamato aveva domandato la rimozione, che però non era stata concessa. Il giudice, allora, inquadra questo tipo di fornitore di servizi non come esonerato da responsabilità ma come responsabile in quanto si era auto-attribuito esplicitamente funzioni di controllo sulla veridicità e qualità delle recensioni e sull'autenticità delle informazioni condivise pubblicamente. Il giudice, in sostanza, analizza con cura le caratteristiche del servizio oggetto del contendere e stabilisce che tale servizio non rientra in una delle categorie previste dal d.lg. n. 70 del 2003. Non vi è quindi, esonero da responsabilità ma una responsabilità ex art. 2043 c.c. Questa decisione è molto chiara nel delineare la differenza tra provider attivo e provider passivo, anche se TripAdvisor, a onor del vero, è un vero e proprio sito web di servizi.

Diverse decisioni, infine, hanno riguardato la presenza di contenuti audiovisivi su piattaforme senza che fossero rispettati i relativi diritti di trasmissione o distribuzione. In questo caso, le società di produzione hanno domandato ai provider di provvedere alla rimozione di quei contenuti. Una decisione di Trib. Roma, 5 maggio 2016, ad esempio, ha visto il giudice domandare una consulenza tecnica per verificare se il convenuto fosse semplicemente un hosting provider (come sosteneva) e quale fosse il suo rapporto (soprattutto in un'ottica di intervento) con i contenuti immessi dagli utenti. La consulenza ha evidenziato un insieme di servizi aggiuntivi, e non solo la messa a disposizione dello spazio agli utenti. Non vi sarebbe, quindi, quella passività o neutralità che limiterebbe le responsabilità, così come le diverse diffide avevano testimoniato l'effettiva conoscenza da parte del provider della situazione d'illiceità. La responsabilità è così correlata, in questo caso, a un obbligo di attivarsi che nel caso concreto non è stata rispettata.

Orientamenti a confronto

Orientamenti a confronto: responsabilità del provider

Differenza tra hosting attivo e hosting passivo

«Si tratta di una complessa e sofisticata organizzazione di sfruttamento pubblicitario dei contenuti immessi in rete che vengono selezionati, indirizzati, correlati, associati ad altri arrivando a fornire all'utente un prodotto audiovisivo di alta qualità e complessità dotato di una sua precisa e specifica autonomia». Trib. Roma, Sez. Imprese, sent., 27 aprile 2016

Assenza di “passività” nell'operato del provider

Trib. Roma, 15 maggio 2016, n. 24707

Responsabilità per servizio complesso e presenza chiara di provider attivo

Trib. Venezia, ord., 24 febbraio 2015

Motore di ricerca come “semplice” caching provider

Trib. Firenze, ord., 25 maggio 2012.

Nessun obbligo preventivo di controllo

Trib. Roma, ord., 4 luglio 1998

Profili di responsabilità e rapporto con la stampa

Trib. Napoli, ord., 8 agosto 1997; Trib. Teramo, ord., 11 dicembre 1997

Nessun obbligo preventivo di impedire gli illeciti degli utenti, fermi i doveri di segnalazione all'autorità

Cass. pen., sez. III, 17 dicembre 2013 (dep. 3 febbraio 2014), n. 5107

Casistica

Casistica

La responsabilità di TripAdvisor

Non trova applicazione l'art. 17 d.lg. n. 70 del 2003, non operando TripAdvisor come mero intermediario di dati e informazioni bensì esso agendo quale erogatore di un servizio integrato e avendo piena contezza dei contenuti.

Trib. Venezia, sez. III, ord., 24 febbraio 2015

La natura dei servizi di YouTube

L'attività di YouTube deve essere inquadrata e sussunta nelle previsioni di cui al d.lg n. 70 del 2003.

Non sussiste in capo a YouTube alcun obbligo di vaglio preventivo dell'effettiva titolarità dei diritti d'autore posseduti dai singoli soggetti che caricano i video sullo spazio di memoria a loro messa a disposizione da YouTube medesima. L'unica ipotesi di responsabilità ipotizzabile concerne i casi in cui sia informata, anche ab origine, dell'illiceità dei contenuti dei video caricati.

«Come emerge dagli atti di causa, Youtube LLC eroga infatti attraverso i siti youtube.it e youtube.com un servizio di videosharing mediante il quale i singoli utenti possono caricare, sugli host messi a disposizione dal gestore, contenuti video da porre in condivisione con gli altri utenti internet, i quali, dunque, senza alcuna preventiva registrazione, posso accedere e visionare gratuitamente i predetti video, potendo altresì procedere a un commento degli stessi attraverso l'inserzione di un contenuto linguistico a mezzo di appositi post.

Detta attività – allo stato – deve essere inquadrata e sussunta nelle previsioni di cui al d. lg. 70/2003, a sua volta attuativo della Direttiva 2000/31/CE».

«Da tale quadro normativo, applicabile al caso di specie, debbono allora inferirsi, anche alla luce della giurisprudenza comunitaria intervenuta sul punto (cfr., ad esempio, C.G.UE 24 novembre 2011 nel caso Scarlet contro Sabem che ha escluso la ricorrenza di un obbligo di adozione di un sistema di filtraggio preventivo in capo all'Internet Service provider), i seguenti assunti:

a) non sussiste in capo a Youtube LLC alcun obbligo di preventivo vaglio dell'effettiva titolarità dei diritti d'autore posseduti da parte dei singoli soggetti che caricano i video sullo spazio di memoria a loro messo a disposizione da Youtube medesima;

b) l'unica ipotesi di responsabilità ipotizzabile in capo a Youtube LLC concerne i casi in cui detta società sia informata, anche ab origine, dell'illiceità del contenuto dei video caricati: sussiste infatti, in questa evenienza, responsabilità, per violazione dei diritti di proprietà intellettuale, allorquando il provider, pur specificamente informato, non abbia rimosso i files segnalati dal legittimo titolare del diritto d'autore violato, ovverosia allorquando non venga adempiuto un obbligo specifico di vigilanza a posteriori, sorto a seguito di apposita segnalazione o diffida.

Lo stato della legislazione attualmente vigente esclude infatti che via sia un obbligo generale di vigilanza preventiva del soggetto che eroga il servizio di videosharing, atteso che lo stesso si pone in una posizione di neutralità rispetto ai contenuti caricati».

«D'altra parte, l'opzione normativa scelta e avallata dal legislatore nazionale ed europeo è conforme e conseguente alla natura del mezzo di comunicazione di cui trattasi: ove infatti si volesse imporre un sistema di controllo e filtraggio preventivo nei servizi di hosting provider ne verrebbe pregiudicata la diffusività e la capillarità della relativa comunicazione la quale si basa sull'adozione di sistemi automatici di caricamento, i quali, evidentemente, non potrebbero operare nelle modalità attuali nel caso in cui si dovesse dare attuazione a un sistema preventivo di controllo».

«Il punto di equilibrio è stato allora rinvenuto in un sistema di controllo successivo e ad attivazione precipua da parte del soggetto titolare dei diritti d'autore ritenuti violati».

Trib. Torino, sez. I, ord., 6 maggio 2014

La responsabilità del motore di ricerca per i suggerimenti in fase di ricerca e per contenuti diffamatori conseguenti: associazione automatica di contenuti offensivi a un nominativo.

«Obbligo di rimozione di contenuti diffamatori in caso di segnalazione e, comunque, nel momento in cui si giunge alla conoscenza effettiva della presenza del materiale illecito».

«Google è un hoster provider, vale a dire un soggetto che si limita ad offrire ospitalità ad un sito internet – gestito da altri in piena autonomia – sui propri servers. Il riferimento normativo per una qualificazione giuridica della posizione dei vari providers è dato dagli artt. da 12 a 15 della direttiva comunitaria 2000/31/CE (recepita dal d.lg. n. 70/2003) relativa ad aspetti giuridici del commercio elettronico e più in generale dei servizi della società dell'informazione nel mercato interno. Con riferimento all'host provider la disciplina normativa citata prevede che colui che presta un servizio consistente nella memorizzazione d'informazioni fornite da altro soggetto (hosting) non ne è responsabile, a condizione che non sia a conoscenza che l'attività sia illecita o non sia al corrente di fatti o circostanze in base ai quali l'illegalità è apparente o, non appena al corrente di tali fatti, non agisca immediatamente per ritirare le informazioni o per rendere impossibile l'accesso (art. 14). L'art. 15 esclude poi un obbligo di sorveglianza generale a carico dei providers o un obbligo di ricerca di fatti illeciti, ma prevede l'obbligo di informare l'autorità web dove le stesse figurano presenti) sono il risultato delle ricerche più frequenti e quindi più “popolari” effettuate in precedenza dagli utenti».

«Se – come è pacifico – l'associazione tra il nome del ricorrente e le parole “truffa” e “truffatore” è opera del software messo a punto appositamente e adottato da Google per ottimizzare l'accesso alla sua banca dati operando con le modalità ora descritte e volutamente individuate e prescelte per consentirne l'operatività allo scopo voluto (quello appunto di agevolare l'utilizzo del motore di ricerca Google), non può che conseguirne la diretta addebitabilità alla società, a titolo di responsabilità extracontrattuale, degli eventuali effetti negativi che l'applicazione di tale sistema può determinare.»

Trib. Milano, ord., 24 marzo 2011

Sommario