di Roberto Cosa e Luca Viola
La giurisprudenza e la dottrina si interrogano e si confrontano da tempo sulla possibilità di imputare responsabilità penale e/o civile in capo agli ISP per le condotte illecite dei fruitori dei loro servizi. Esaminiamo alcuni aspetti di giurisdizione applicabile in caso di server all’estero e non.
[/vc_column][vc_column width=”1/5″]
[/vc_column] [/vc_row]
La materia è sempre attuale in forza dell’aumento dei servizi forniti da Provider di accesso e di contenuti (a mero titolo esemplificativo si citano Google, Google Video, You Tube e Trip Advisor). Iniziamo con la disamina dei principali istituti.
L’Internet Service Provider (ISP o Provider) può essere definito come quel soggetto che esercita un’attività imprenditoriale che offre agli utenti la fornitura di servizi inerenti Internet, i principali dei quali sono l’accesso a Internet, la posta elettronica e i contenuti.
I Provider si distinguono in varie sottocategorie a seconda del servizio offerto: una definizione giurisprudenziale delle varie tipologie è contenuta nella sentenza n. 331/2001 del Tribunale di Bologna, secondo cui “il termine Access Provider (o taluni casi anche “Mere Conduit” n.d.r.) individua il soggetto che consente all’utente l’allacciamento alla rete telematica. Il compito dell’Access Provider è per lo più quello di accertare l’identità dell’utente che richiede il servizio, di acquisirne i dati anagrafici, e, quindi, di trasmettere la richiesta all’Autorithy Italiana affinché provveda all’apertura del relativo sito web. L’Access Provider può anche limitarsi a concedere al cliente uno spazio, da gestire autonomamente sul disco fisso del proprio elaboratore. […] Il Content Provider è l’operatore che mette a disposizione del pubblico informazioni ed opere (riviste, fotografie, libri, banche dati, versioni telematiche di quotidiani e periodici) caricandole sulle memorie dei computers server e collegando tali computers alla rete. Content provider è anche chi si obbliga a gestire e ad organizzare una pagina web immessa in rete dal proprio cliente.”
A questa definizione si ritiene utile fornire una piccola integrazione esaminando altre due figure di particolare interesse ovvero il Caching Provider, il quale mette a disposizione uno spazio web attraverso la memorizzazione “temporanea” di informazioni, e l’Hosting Provider che mette a disposizione uno spazio web attraverso la memorizzazione “duratura” delle informazioni e consentono ai Content Provider di pubblicare su internet il proprio sito mediante l’utilizzo di spazio web offerto con il loro server.
Sia la giurisprudenza, sia la dottrina, si interrogano e confrontano da tempo sulla possibilità di imputare responsabilità penale e/o civile in capo agli ISP per le condotte illecite dei fruitori dei loro servizi, e nel caso di risposta affermativa, quale tipo di responsabilità possa essere ritenuta sussistente. In Italia, regolano il regime di responsabilità applicabile ai Provider gli artt. 14, 15, 16, e 17 del D.lgs 70/2003, in attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione.
Sia la disciplina comunitaria, sia quella nazionale graduano la responsabilità del Provider a seconda dell’attività concretamente posta in essere, pur essendo prevista dall’art. 17 del decreto una clausola generale di esclusione dall’obbligo di controllo generalizzato: infatti tale norma stabilisce che non sussiste per il prestatore del servizio un obbligo di sorveglianza sulle informazioni che trasmette e/o che memorizza tramite e sulla rete, né vi è un obbligo per lo stesso di ricercare attivamente fatti o circostanze che evidenziano attività illecite. Si impone, però, agli ISP di informare immediatamente l’autorità giudiziaria o amministrativa, qualora vengano a conoscenza di comportamenti illeciti di un destinatario del servizio, e di fornire, se richiesti dalle autorità competenti, le informazioni in possesso che consentano di identificare, inibire e prevenire le condotte contrarie alle norme di legge.
In particolare l’art. 14 si occupa di delineare le responsabilità dell’Access Provider. Tale responsabilità è attenuata a determinate condizioni ovvero che il Provider mantenga posizione terza, ovvero a) non dia origine alla trasmissione; b) non selezioni il destinatario della trasmissione; c) non selezioni né modifichi le informazioni trasmesse.
L’art. 15 disciplina la responsabilità del Caching Provider, cioè dell’intermediario che svolge attività di memorizzazione automatica, intermedia e temporanea delle informazioni messe a disposizione di terzi: anche per tali soggetti viene delineata una esenzione di responsabilità a condizione che non modifichino le informazioni, si conformino alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore, non interferiscano con l’uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati e agiscano prontamente per rimuovere le informazioni che hanno memorizzato, o per disabilitare l’accesso, non appena vengano effettivamente a conoscenza della rimozione delle informazioni dal luogo dove si trovavano inizialmente o che l’accesso alle informazioni è stato disabilitato.
L’art. 16 disciplina la posizione dell’Hosting Provider: quest’ultimo non sarà responsabile delle informazioni memorizzate, a carattere tendenzialmente duraturo, solo se nella fornitura del servizio non sia effettivamente a conoscenza del carattere illecito dell’attività o dell’informazione e che, non appena a conoscenza di tali fatti su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.
Da ultimo, per quanto riguarda il Content Provider, ossia il Provider che fornisce contenuti mettendo a disposizione del pubblico informazioni ed opere di qualsiasi genere, questo, a talune condizioni sempre maggiormente tipizzate dalla giurisprudenza, può rispondere degli eventuali illeciti perpetrati con la loro diffusione.
I regimi di responsabilità
Innanzitutto, bisogna sottolineare che i giudizi, le opinioni e qualsiasi altro tipo di upload possono avere un contenuto tale da determinare l’insorgere di una responsabilità sia penale sia civile per il Provider.
- Giurisdizione applicabile in caso di server all’estero (Principio c.d. no server but law)
È pacifico nella giurisprudenza penale il principio della giurisdizione del giudice italiano anche qualora il server sia ubicato all’estero: la Corte di App. di Milano, Sez. I, sent. n. 8611/13 (sentenza “Google”), ha affermato che “il Giudice italiano è competente a conoscere della diffamazione compiuta mediante l’inserimento nella rete telematica di frasi offensive e/o immagini denigratorie, anche nel caso in cui il sito web sia stato registrato all’estero e purché l’offesa sia stata percepita da più fruitori che si trovavano in Italia”.
In tema di giurisdizione applicabile in sede civile comunitaria si deve fare riferimento all’art. 5, n. 3 del Regolamento CE 44/2001, concernente “la competenza giurisdizionale, il riconoscimento e l’esecuzione delle decisioni in materia civile e commerciale”.
In merito la Corte di Cassazione, a Sezioni Unite, sent. n. 20700/13 (conformemente alla pronuncia della Corte di Giustizia dell’Unione Europea, Grande Sezione, con la sentenza n. 509/11) ha stabilito che “la regola di competenza speciale prevista in deroga al principio della competenza dei giudici del domicilio del convenuto dall’art. 5, punto 3, del regolamento n. 44/2001 trova il suo fondamento nell’esistenza di un collegamento particolarmente stretto tra una data controversia e i giudici del luogo in cui l’evento dannoso è avvenuto o rischia di avvenire.”
- Responsabilità penale e civile
La Corte ha rilevato che ai fini dell’imputabilità del Provider, a titolo di concorso omissivo, dei reati commessi in rete dagli utenti sia necessario individuare a suo carico sia un obbligo giuridico di impedire l’evento (posizione di garanzia), sia la concreta possibilità di effettuare un controllo preventivo della rete. In relazione alla posizione di garanzia, la Corte afferma che allo stato non sussiste una norma che la individui in capo ai Provider: non è possibile applicare in modo analogico a tali figure gli artt. 57 e 57 bis c.p., rispettivamente relativi al direttore/vicedirettore di stampa periodica e all’editore/stampatore di stampa non periodica, per il divieto di analogia in malam partem. La Corte rileva inoltre che la posizione di garanzia non potrebbe neanche trovare fondamento nella posizione di titolare del trattamento dei dati personali ex D.lgs 196/2003. Non può neanche essere accolta la tesi della posizione di garanzia per il carattere pericoloso dell’attività compiuta dal Provider, in quanto il controllo preventivo della rete sarebbe del tutto inesigibile e “di conseguenza non perseguibile penalmente ai sensi dell’art. 40, comma 2, c.p.”. L’impossibilità di controllo è fatta derivare non solo dalla quantità del materiale oggetto di upload da parte di terzi, ma anche dal sistema di “filtraggio” (incapace di una verifica “contenutistica e semantica” dei dati divulgati: “la valutazione dei fini di un immagine all’interno di un video in grado di qualificare un dato come sensibile o meno, implica un giudizio semantico e variabile che certamente non può essere delegato ad un procedimento informatico”).
Infine, secondo la Corte mancherebbe in capo all’imputato anche il “dolo”.
Prima dell’entrata in vigore del D.lgs 70/2003 si sono susseguite molte tesi sul regime di responsabilità civile da riconoscere in capo ai Provider nel caso di diffusione di dati da parte degli utenti attraverso i servizi Internet, e di conseguente lesione del diritto alla riservatezza, diritto d’autore, onore, decoro, segni distintivi e concorrenza. Inizialmente, veniva riconosciuta in capo agli ISP una responsabilità per fatto proprio per violazione dell’art. 2043 c.c., sulla responsabilità extracontrattuale, per non aver rispettato i canoni di prudenza, diligenza e perizia. Successivamente, invece, si ritenne che al Provider, che fosse stato conscio dell’illecito commesso tramite la propria piattaforma, e che avesse dato consapevolmente accesso ai dati illeciti immessi, avrebbe dovuto essere ricollegata una responsabilità di tipo concorsuale ex art. 2055 c.c. o ex art. 2049 c.c. evidenziando la responsabilità dei padroni/committenti per gli illeciti dei loro domestici e commessi.
La teoria accolta dalla prima giurisprudenza però fu un’altra: essa si basava sull’equiparazione della figura del Provider con quella del direttore di un giornale. In tal modo si estendevano al Provider i doveri di controllo e vigilanza sul materiale pubblicato previsti per i direttori dei giornali.
Il Tribunale di Roma con sentenza del 1998 escludeva la responsabilità del Provider, in un presunto caso di diffamazione a mezzo internet, in quanto nel caso di specie il soggetto si era limitato a fornire spazio in rete per gli utenti. L’ordinanza di rigetto così stabilì: “il news-server si limita a mettere a disposizione degli utenti lo spazio “virtuale” dell’area di discussione e nel caso di specie, trattandosi di un newsgroup non moderato, non ha alcun potere di controllo e vigilanza sugli interventi che vi vengono inseriti”. Il giudice, inoltre, non ravvisò la diffamazione, ritenendo che il diritto di critica, tutelata dall’art. 21 della Cost., doveva essere garantito anche al singolo cittadino, alla condizione che tale critica si configurasse come “dissenso motivato, cioè nell’affermazione di fatti non apodittica, ma supportata da appigli concreti. Pertanto, chi voglia esprimere un giudizio sfavorevole sull’operato di un altro soggetto, dovrà spiegarne le motivazioni e fornire dati obiettivi”.
A conferma si inserisce la sentenza del Tribunale di Monza del 2001, che riconosceva la mancata responsabilità del Host Provider per i dati inseriti da terzi, a causa dell’impossibilità concreta di un controllo preventivo.
Sul punto è recentemente intervenuta la sentenza del Tribunale di Rimini del 07/05/2013 che rafforza i criteri di valutazione della responsabilità del Provider in stretta connessione con il carattere illecito delle informazioni espresse dall’utente.
I punti su cui si fonda la decisione consistono nella previa verifica sul carattere diffamatorio dei commenti espressi da un utente di un sito internet per la prenotazione di servizi alberghieri sulla struttura utilizzata. Il Tribunale ha ritenuto che le valutazioni espresse da un utente non professionale debbano essere considerate come posizioni personali e quindi ontologicamente opinabili; per l’effetto i canoni di verità/falsità delle opinioni sono coperte dal diritto di critica ex art.21 Cost. salvo la prova del dolo.
La materia è in continua evoluzione e interessa ormai in maniera esponenziale un sempre maggior numero di operatori ivi comprese tutte quelle realtà che forniscano un contenuto e uno spazio su Internet che preveda un giudizio o la partecipazione di utenti che esprimano opinioni o giudizi su terzi o sui contenuti.©
Altri articoli di H3G SPA
Diritto all’oblio: il caso Google Spain di Roberto Cosa e Luca Viola (n.II_MMXV)
Tramite un motore di ricerca di Internet qualsiasi utente può ottenere una visione complessiva strutturata delle proprie informazioni su Internet. Qualora si constati che l’inclusione dei link nell’elenco dei risultati è incompatibile con la Direttiva 95/46/CE, le informazioni in tale elenco devono essere cancellate.
L’identità del parlante di Roberto Cosa (n.IV_MMXIV)
In base all’art.76 del D.P.R. 445 del 28/12/2000 il rilascio di dichiarazioni mendaci, la formazione o l’uso di atti falsi sono puniti ai sensi del c.p. e dalle leggi speciali in materia. Gli operatori telefonici effettuano verifiche sulla titolarità delle utenze mobili, prevedendo la possibilità di compilare un modulo per segnalare l’eventuale disconoscimento della titolarità di un’utenza che non è mai stata richiesta o per la quale non si è mai sottoscritto alcun abbonamento.
