*** 1. Introduzione: i termini della questione – 2. Le risposte della giurisprudenza – 3. Il pensiero della dottrina – 4. Il D. Lgs. 70/03 – 4.1 Indicazioni generali – 4.2 L’art.14: l’attività di “mere conduit” – 4.3. L’art.15: l’attività di “caching” – 4.4. L’art.16: l’attività di “hosting” – 4.5: L’art.17: l’assenza dell’obbligo di sorveglianza
1. Introduzione: i termini della questione
Al di là delle singole fattispecie criminose previste dalla normativa penale, l’utilizzo della Rete può portare alla commissione di atti illeciti.
Le cronache giudiziarie, del resto, ce lo ricordano quotidianamente. Basti pensare, a mero titolo esemplificativo, alla violazione delle norme poste a tutela del diritto d’autore o della proprietà intellettuale, nonché al trattamento dei dati non conforme alle prescrizioni della legge sulla privacy, al compimento di atti di concorrenza sleale, alla lesione dei diritti della personalità, e così via: gli esempi potrebbero senza fatica moltiplicarsi.
Gli illeciti perpetrati in Rete vanno puniti, in modo congruo e realistico. E’infatti vero che Internet è una rete aperta, senza padroni (No one owns Internet), che dà luogo a manifestazioni anarchiche; ma ciò non significa che anche che sia una sorta di entità astratta, sottratta ad ogni norma che non sia strettamente tecnica.
E tuttavia l’ovvia esigenza di reprimere gli illeciti commessi on line comporta la necessità di risolvere questioni talora assai delicate, che coinvolgono direttamente la possibilità di sviluppo del mondo Internet.
Un tema molto dibattuto – e, per certi versi, ancora lontano dal trovare risposte appaganti – riguarda la responsabilità del provider.
La querelle si è soprattutto accesa in relazione alla figura dell’”host provider”, che, come noto, è quel provider che provvede ad “ospitare” sui propri servers un sito web, gestito da terzi in piena autonomia. Il punto, in particolare, consiste nello stabilire se il prestatore di servizi possa essere chiamato a rispondere delle condotte illecite poste in essere da coloro che per suo tramite accedono alla Rete.
L’interrogativo è semplice, quasi banale; molto meno lo è la relativa risposta, che anzi – almeno stando alle indicazioni che provengono dalle Aule di giustizia italiane – non appare affatto scontata.
2. Le risposte della giurisprudenza
La questione, in effetti, si è già posta alcune volte nella giurisprudenza italiana, con esiti talora diversi, se non diametralmente opposti.
Non mancano precedenti che hanno affermato la responsabilità del provider per illeciti posti in essere da soggetti (del tutto estranei rispetto al primo) che tramite di esso hanno avuto accesso alla Rete.
Così il Tribunale di Napoli, 8 agosto 1996, equiparando il fornitore di connettività al direttore di un giornale, ha ritenuto responsabile un provider che aveva consentito la diffusione di messaggi pubblicitari integranti illecito concorrenziale.
Di analogo tenore: Tribunale di Napoli, 8 agosto 1998 - che ha assimilato il gestore di Rete ad un organo di stampa, con conseguente obbligo di controllo sui contenuti del sito web - Tribunale di Macerata, 2 dicembre 1998, Tribunale di Teramo, 11 dicembre 1997.
Più recente, ma non dissimile nelle conclusioni cui perviene, la pronuncia del Tribunale di Bologna del 26 novembre 2001, che giunge ad affermare la responsabilità del provider in virtù dell’applicabilità in via analogica dell’art. 11 L.47/48, secondo il quale “per i reati commessi col mezzo della stampa sono civilmente responsabili, in solido con gli autori del reato e fra di loro, il proprietario della pubblicazione e l’editore”.
La tesi della responsabilità incondizionata del provider per ogni illecito commesso sulla Rete non appare tuttavia convincente.
Due, in particolare, le critiche che possono muoversi a questa ricostruzione.
In primo luogo, è stata sottolineata in dottrina l’improprietà di qualsiasi richiamo ai principi enunciati dalla normativa a tutela della stampa; e ciò per l’evidente “distanza concettuale” dei settori (mondo editoriale e mondo Internet) posti a confronto.
In secondo luogo, poi, è stato ricordato l’insegnamento dell’antico brocardo “ad impossibilia nemo tenetur”. L’esame della realtà all’interno della quale il provider opera, infatti, induce a non ritenere realisticamente ipotizzabile (né – aggiungo – tecnicamente possibile) un controllo, preventivo o successivo, sui contenuti immessi on line da terzi.
Come efficacemente osservato dal Tribunale di Monza, Sez. Distaccata di Desio (caso “doctor glass”, ord. 14 maggio 2001), anche volendo mascherare la responsabilità del provider sotto l’etichetta della culpa in vigilando, detta responsabilità sarebbe di fatto una responsabilità oggettiva legislativamente non tipizzata, non potendosi in alcun modo immaginare mezzi concreti attraverso i quali il provider potrebbe effettuare la propria vigilanza, considerato anche che il monitoraggio dovrebbe essere costante: è noto, infatti, che ogni sito è modificabile in qualsiasi momento, con una semplice operazione effettuabile anche “in remoto”, 24 ore al giorno, 7 giorni su 7.
Alla luce delle considerazioni che precedono, pertanto, appare condivisibile quel diverso – e più recente – orientamento giurisprudenziale che ha escluso la responsabilità del provider per illeciti commessi on line da terzi, salva l’ipotesi in cui l’illecito sia palese e rilevabile con l’impiego dell’ordinaria diligenza.
Si vedano, in particolare, i seguenti provvedimenti: Tribunale di Cuneo, 23 giugno 1997, che sancisce l’esenzione di responsabilità per l’ISP che si sia limitato a concedere l’accesso alla Rete; Tribunale di Roma, 4 luglio 1998, che afferma a chiare lettere l’assenza di un potere (tecnico, prima che giuridico) di controllo da parte del provider sui contenuti immessi in Rete, e suo tramite veicolati on line; Tribunale di Monza, Sez. Dist. Desio, 14 maggio 2001; Tribunale di Napoli, 14 giugno 2002.
Del resto anche la giurisprudenza d’Oltre Oceano, che per evidenti motivi ha dovuto occuparsi ben presto di questo tema, ha saldamente esentato da responsabilità il provider per gli illeciti commessi in Rete.
Non è certo questa la sede per affrontare la questione. Sotto questo profilo, basti dar conto del caso Cubby vs. CompuServe (n. 90 Civ. 6571 United State District for the Southern District of NY, 1991.10.29) – vero e proprio “leading case” in materia – nel quale la Corte ha assimilato il provider al venditore di riviste e non all’editore, escludendo conseguentemente la responsabilità per la pubblicazione di materiale diffamatorio in newsgroups o forum.
3. Il pensiero della dottrina
Nemmeno la dottrina è riuscita a comporre in termini appaganti la questione, ed i vari Autori hanno fondamentalmente abbracciato l’uno o l’altro dei due filoni tracciati dalla giurisprudenza.
Giova a questo punto dar conto di una diversa opzione ricostruttiva – rimasta, per la verità, opinione abbastanza isolata – che fa leva sulla lettera dell’art. 2050 c.c., e conseguentemente sulla possibilità di configurare una responsabilità oggettiva a carico del provider. Il gestore del sito, pertanto, dovrà rispondere del fatto illecito dell’utente del web, a meno che egli non provi “di aver adottato tutte le misure idonee ad evitare il danno”.
Ad avviso di chi scrive, tuttavia, questa impostazione, pur se suggestiva, è da ripudiare, in quanto il richiamo all’art. 2050 c.c. sembra in questo contesto fuori luogo.
Va notato, anzitutto, che l’attività svolta dall’ISP, a tutto voler concedere, non appare in sè oggettivamente fonte di pericolo (a questa conclusione, d’altronde, era già pervenuto il Tribunale di Bologna con pronuncia del 26 novembre 2001).
Ma vi è un’altra considerazione, ancor più pregnante. Le varie ipotesi di responsabilità oggettiva introdotte dal legislatore nazionale, in sede di recepimento di direttive comunitarie, tramite al ricorso all’art. 2050 c.c. (delle quali – ciò non si ignora – nel recente passato abbiamo assistito ad una vera e propria “proliferazione”: cfr. art. 1 del d.p.R. 224/88 in materia di responsabilità da prodotto difettoso; art. 18 L.675/96, in materia di trattamento dei dati personali, art. 28 del d.p.R. 445/00, T.U. sulla documentazione amministrativa e firma digitale, ecc.) sono tutte accomunate da un dato, ossia dal fatto che esse presuppongono un effettivo potere di controllo sull’attività oggetto della tutela ed impongono, conseguentemente, l’adozione di misure di sicurezza adeguate. Dette operazioni – come visto – non sono “tecnicamente” possibili nel caso di specie, che dunque si rivela anche per questa via insuscettibile di essere disciplinato ex art. 2050 c.c.
4. Il D.Lgs. 70/03
4.1 Indicazioni generali
Il riferimento normativo per una qualificazione giuridica del regime di responsabilità dei vari providers è oggi dato dal D. Lgs. 9 aprile 2003 n. 70.
Detto decreto è stato emanato in attuazione della direttiva 2000/31/CE, “relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico” (direttiva altrimenti – e più brevemente - nota come “direttiva sull’e-commerce), e affronta la spinosa questione sulla responsabilità degli ISP negli articoli da 14 a 17.
Prima di esaminare nello specifico i singoli profili di responsabilità dei prestatori/providers, ci sia consentito introdurre l’argomento spendendo qualche considerazione – necessariamente generica – sull’intero testo di legge. Un testo da più parti atteso con impazienza, con la convinzione (con l’illusione, sarebbe troppo facile dire ora) che il recepimento della direttiva – importante tassello per “mettere l’Europa in Rete” – avrebbe fatto fare al nostro Paese un significativo salto di qualità, nella direzione di una maggior certezza del diritto in questo settore tanto delicato.
Le aspettative sono però state disattese. E duramente: l’intero decreto appare essere il frutto di un recepimento acritico e pigro delle indicazioni sovranazionali e rivela l’impiego di una tecnica normativa mediocre, caratterizzata da un vero e proprio “copia & incolla” del testo comunitario.
Naturalmente gli artt. 14-17 non fanno eccezione: basti sul punto riportare l’amaro commento di M.Cammarata in “Le trappole nei contratti di hosting” su www.interlex.it : “Nella formulazione di queste norme sono nascoste alcune trappole infernali. (…) Ci sono previsioni criptiche, incomprensibili anche nel testo originale in inglese, che il nostro legislatore ha ottusamente tradotto senza curarsi del loro significato, e che quindi possono significare tutto e nulla nello stesso tempo”.
Andiamo quindi ora, adeguatamente preparati al peggio, ad esaminare più da vicino le singole norme citate in precedenza.
Va detto anzitutto che il legislatore effettua una “tipizzazione”delle attività caratteristiche del prestatore di servizi (rispettivamente: attività di “mere conduit”, di “caching”, di “hosting”), prevedendo per esse responsabilità differenziate.
4.2 L’art.14: l’attività di “mere conduit”
L’art.14 del D.Lgs. 70/03 disciplina l’attività di “mere conduit”, consistente nel trasmettere, su una rete di comunicazione, informazioni non proprie (cioè date dal destinatario del servizio) o nel fornire l’accesso alla Rete.
Per queste ipotesi l’articolo in commento stabilisce l’esonero da responsabilità per i prestatori, i quali – a ben vedere – si trovano in una posizione di neutralità rispetto ai contenuti veicolati on line. In pratica si stabilisce che il carrier (cioè l’operatore telefonico) o l’access provider (ossia il fornitore di connettività) non sono responsabili di ciò che passa on line.
Essi, però, saranno ritenuti responsabili qualora: diano origine alla trasmissione (lett.a), selezionino il destinatario della trasmissione (lett.b), selezionino o modifichino le informazioni trasmesse.
Va notata, a questo punto, la non felice formulazione della norma, dato che essa potrebbe affermare la responsabilità del provider per attività che egli deve “necessariamente compiere” per immettere in Rete le informazioni fornitegli (si veda, al proposito, il comma primo, lett.a) e c) dell’art.14).
Come è stato ben osservato da attenta dottrina (cfr. A. Putignani, “Sul provider responsabilità differenziate” in Guida al Diritto n.20/03, pag.48), infatti, nella prestazione di servizi Internet il prestatore/provider assume un ruolo “tecnicamente” attivo (ma non potrebbe essere altrimenti) nella gestione e nell’instradamento delle informazioni in transito. Ed ancora: la struttura delle comunicazioni Internet implica che sia sempre rintracciabile un prestatore che si trova “all’origine” della trasmissione.
4.3 L’art.15: l’attività di “caching”
Il successivo art. 15 è dedicato all’attività di memorizzazione temporanea, più nota col termine anglosassone di “caching”(sono disciplinate da detto articolo, ad esempio, le attività di organizzazione delle mailing-list o di newsgroup).
Come è noto, il caching ha lo scopo di aumentare la “capacità di portata” della Rete, conservando presso il server del prestatore, per un certo periodo, i dati cui hanno avuto accesso i fruitori del servizio, in modo da favorirne la consultazione in un secondo momento da parte di altri utenti.
La norma poc’anzi citata prevede, al proposito, l’esenzione da responsabilità per il provider che, nella prestazione di un servizio della società dell’informazione, abbia effettuato “la memorizzazione automatica, intermedia e temporanea di tali informazioni, effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta”.
L’esenzione da responsabilità, però, non opera qualora il provider modifichi le informazioni (lett.a), non si conformi alle condizioni di accesso alle informazioni (lett.b), non si conformi alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore (lett.c), interferisca con l’uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull’impiego delle informazioni (lett.d), non agisca prontamente per rimuovere le informazioni non appena venga a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l’accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un’autorità amministrativa ne ha disposto la rimozione o la disabilitazione (lett.e).
4.4 L’art. 16: l’attività di “hosting”
A disciplinare l’attività di “hosting” (ossia la “tipica”attività del provider, che può andare dalla mera gestione del sito sul server, con memorizzazione delle pagine web, alla tenuta degli archivi informatici del cliente, con conservazione dei files di log) provvede l’art. 16, rubricato “Responsabilità nell’attività di memorizazione di informazioni – hosting)”.
Ai sensi della norma testè citata, il prestatore (c.d.”host provider”) non è responsabile delle informazioni memorizzate a condizione che: a) non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o circostanze che rendano manifesta l’illiceità dell’attività o dell’informazione; b) non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.
Opportunamente, il secondo comma esclude l’esenzione di responsabilità del provider – con conseguente sua piena responsabilità - se il destinatario del servizio agisce sotto l’autorità o il controllo del prestatore (è il caso, ad esempio, del content provider): in questa ipotesi, infatti, il provider non risulta estraneo alle informazioni veicolate, e quindi risponde – per fatto proprio – per gli eventuali contenuti illeciti immessi in Rete.
Va considerato, ancora, che un disposto – riprodotto in maniera sostanzialmente identica tanto per i casi di “mere conduit”, che di “caching”, che di “hosting” – prevede la possibilità che il prestatore di servizi, anche ove non responsabile, sia tenuto – dietro provvedimento dell’autorità giudiziaria o amministrativa competente – ad impedire o a porre fine ad un illecito.
4.5 L’art.17: l’assenza dell’obbligo di sorveglianza
Particolarmente significativo è, infine, l’art. 17 del D.Lgs. 70/03 – vera e propria “norma di chiusura” del “sistema della responsabilità” dei providers – che sancisce l’assenza dell’obbligo generale di sorveglianza.
E’infatti affermato, al primo comma, che il prestatore dei servizi non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza né ad un obbligo di ricercare circostanze che indichino il compimento di atti illeciti.
Non è chi non veda l’importanza di tale disposizione, che deriva dal riconoscimento della impossibilità (“tecnica” anzitutto, data la “mole” e la “volatilità”dei contenuti presenti on line) per il provider di operare un controllo – preventivo o successivo – sulle informazioni memorizzate o trasmesse, escludendo così (in linea con la migliore e più recente giurisprudenza) che operi un criterio di imputazione della responsabilità di carattere meramente oggettivo.
Il principio-guida teorizzato dalla disposizione in esame spiega i suoi effetti anche da un punto di vista “penalistico”: come è stato efficacemente notato da attenta dottrina (Minotti, Stracuzzi, Putignani), infatti, dal momento che manca un generale obbligo di sorveglianza in capo al prestatore/provider sui dati immessi da terzi in Rete, non potrà trovare applicazione la clausola di equivalenza prevista dal secondo comma dell’art. 40 c.p., secondo la quale “Non impedire un evento, che si ha l’obbligo giuridico di impedire, equivale a cagionarlo”.
Completano la norma i commi secondo e terzo.
Il primo di essi impone al prestatore di informare prontamente l’autorità giudiziaria o quella amministrativa, qualora sia a conoscenza di presunte attività illecite riguardanti un proprio cliente (lett.a), ovvero di fornire, a richiesta delle autorità competenti, informazioni in suo possesso, al fine di permettere l’identificazione di un destinatario del servizio implicato in attività illecite (lett.b).
Il secondo, invece, sancisce la responsabilità del provider che, a fronte di richiesta dell’autorità giudiziaria o amministrativa, abbia ritardato la rimozione del materiale lesivo ovvero che, a conoscenza del carattere illecito del contenuto di un servizio da esso fornito, non abbia provveduto ad informarne l’autorità competente.
In conclusione - anche alla luce delle indicazioni del recente D.Lgs. 70/03 - sulla base dell’assenza di un obbligo (e, ancor prima, di un potere) di controllo da parte del prestatore sul materiale immesso on line da terzi, deve escludersi la responsabilità del medesimo per eventuali illeciti commessi sul web da utenti cui egli fornisce i propri servizi. Il provider, in altre parole, deve in linea generale considerarsi un soggetto “neutrale” rispetto ai contenuti veicolati in Rete, dato che con essi egli non intrattiene alcuna relazione sostanziale.
Luca Giacopuzzi – Avvocato in Verona |
|
|