Il 26 agosto 2023 è entrato in vigore il D. Lgs 107/2023 in materia di contrasto alla diffusione di contenuti terroristici online.
Il decreto in questione è la norma di adeguamento della normativa nazionale al Regolamento europeo 2021/784. SI tratta di una normativa che va ad impattare sui servizi online in particolare quelli di hosting e prevede l'obbligo di ottemperare agli ordini di rimozione entro un termine stringente, un'ora, per cui è preferibile prepararsi prima.
L'autorità competente emette ordini di rimozione (ODR) imponendo ai prestatori di servizi di rimuovere contenuti terroristici o di disabilitarne l'accesso in tutti gli Stati membri. Per dar modo ai prestatori di servizi di hosting di attivarsi in tempo è previsto che l'autorità invii informazioni al prestatore almeno 12 ore prima se è il primo ordine rivoltogli. L'autorità competente per l'emissione degli ODR è il PM individuato in base al codice di procedura penale (art. 3). L'ordine di rimozione è adottato con decreto motivato. Nell'ordine è indicato l'indirizzo URL del contenuto e se necessario le informazioni per identificare il contenuto. Nell'ordine può essere previsto l'obbligo di non divulgazione.
I prestatori devono istituire un punto di contatto per la ricezione degli ordini di rimozione per via elettronica e per il rapido trattamento degli ordini, inoltre devono provvedere affinché le informazioni relative al punto di contatto siano disponibili al pubblico.
L'ordine ovviamente riguarda contenuti terroristici così come individuati in base al regolamento europeo (articolo 2, punto 7), e cioè materiali che:
a) istigano alla commissione di uno dei reati di cui all’articolo 3, paragrafo 1, lettere da a) a i), della direttiva (UE) 2017/541 (attentati, sequestri, distruzioni di vasta portata, fabbricazione, detenzione o uso di esplisivi, rilascio di sostanze pericolose, manomissioni di fornitura di acqua, energia o risorse fondamentali, interferenza illecita ai sistemi), se tali materiali, direttamente o indirettamente, ad esempio mediante l’apologia di atti terroristici, incitano a compiere reati di terrorismo, generando in tal modo il pericolo che uno o più di tali reati siano commessi;
b) sollecita una persona o un gruppo di persone a commettere o a contribuire a commettere uno dei reati di cui all’articolo 3, paragrafo 1, lettere da a) a i), della direttiva (UE) 2017/541;
c) sollecita una persona o un gruppo di persone a partecipare alle attività di un gruppo terroristico, ai sensi dell’articolo 4, lettera b), della direttiva (UE) 2017/541;
d) impartisca istruzioni per la fabbricazione o l’uso di esplosivi, armi da fuoco o altre armi o sostanze nocive o pericolose, ovvero altri metodi o tecniche specifici allo scopo di commettere o contribuire alla commissione di uno dei reati di terrorismo di cui all’articolo 3, paragrafo 1, lettere da a) a i), della direttiva (UE) 2017/541;
e) costituisca una minaccia di commissione di uno dei reati di cui all’articolo 3, paragrafo 1, lettere da a) a i), della direttiva (UE) 2017/541.
I prestatori di servizi di hosting rimuovono o disabilitano l'accesso ai contenuti il prima possibile e in ogni caso entro un'ora dal ricevimento dell'ordine. In caso di contenuti generati dagli utenti e ospitati su piattaforme riconducibili a terzi, è disposta la rimozione dei soli specifici contenuti illeciti. Il prestatore ha l'obbligo di informare l'autorità competente della data e dell'ora della rimozione o disabilitazione. Deve informare l'autorità anche se per cause di forza maggiore o di impossibilità a lui non imputabile non può dare esecuzione all'ordine. Inoltre i contenuti e i relativi dati devono comunque essere conservati dal prestatore in quanto potrebbero essere necessari per indagini o per procedimenti giurispdizionali (come il giudizio di opposizione all'ordine).
Il prestatore deve predisporre una apposita procedura per comunicare ai fornitori di contenuti la rimozione e la possibilità di impugnare l'ordine, e su richiesta del fornitore può fornire copia dell'ordine. Questo a meno che l'autorità compentete non abbia imposto di non divulgare l'ordine di rimozione per finalità di indagine o sicurezza, comunque per un tempo non superiore alle sei settimane, prorogabili per altre sei. Il prestatore deve predisporre una procedure per consentire al fornitore di presentare reclamo allo stesso prestatore, da concludersi in due settimane. S eil prestatore accoglie il reclamo il contenuto viene rispristinato. Se il prestatore rigetta il reclamo fornisce le motivazioni al reclamante.
Il prestatore che ha ricevuto l'ordine di rimozione e i fornitori di contenuti rimossi entro 10 giorni dalla conoscenza del provvedimento possono presentare opposizione all'ordine al giudice per le indagini preliminari che procede in camera di consiglio. In caso di accoglimento del reclamo il contenuto deve essere ripristinato, per cui il prestatore deve adottare le misure adeguate per tale ripristino.
L'art. 5 del decreto prevede una procedura specifica per i prestatori esposti a contenuti terroristici online. Sono tali quelli che hanno ricevuto la notifica della decisione dall'autorità competente (in questo caso l'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione), decisione basata su fattori oggettivi, come il ricevimento di due o più ordini di rimozione definitivi nei 12 mesi precedenti. In questo caso l'autorità competente può imporre al prestatore di adottare misure di sicurezza ulteriori. La decisione può essere impugnata dinanzi al tribunale amministrativo regionale nei 60 giorni dalla notifica. In particolare il prestatore esposto a contenuti terroristici online deve includere nei suoi termini di servizio disposizioni volte a contrastare l’uso improprio dei suoi servizi per la diffusione al pubblico di contenuti terroristici. La normativa comunque prevede che il prestatore deve agire "in modo diligente, proporzionato e non discriminatorio, presta debito rispetto, in tutte le circostanze, ai diritti fondamentali degli utilizzatori e tenendo conto, in particolare, della fondamentale importanza che riveste la libertà di espressione e di informazione in una società aperta e democratica, al fine di evitare la rimozione di contenuti che non siano di natura terroristica". Entro 3 mesi dalla comunicazione della decisione il prestatore deve comunicare all'autorità le misure adottate o che intende adottare per mitigare il rischio di pubblicare contenuti terroristici e tale comunicazione va ripetuta a cadenze annuali.
Sanzioni
La normativa prevede un complesso sistema di sanzioni, che sono irrogate dagli Ispettorati territoriali della competente Direzione Generale del Ministero delle imprese e del made in Italy, a seguito delle comunicazioni da parte dell'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione.
Ovviamente le sanzioni si applicano nel solo caso in cui il comportamento del prestatore non costituisca un reato specifico. Vi sono diversi scaglioni di sanzioni.
Nello scaglione che prevede una pena amministrativa pecuniaria da 25mila e 100mila euro si prevedono comportamenti del prestatore di hosting come non informare l'autorità competente dell'avvenuta esecuzione dell'ordine, non adottare le misure per il rispristino del contenuto in caso di accoglimento dell'opposizione, non ripristinare il contenuto a seguito dell'ordine dell'autorità, non osservanza delle disposizioni in tema di conservazione dei contenuti rimossi, omissione di informare l'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione e la competente Direzione Generale del Ministero delle imprese e del Made in Italy della designazione del rappresentante legale, comunicando la relativa accettazione, o di rendere pubbliche le informazioni relative al rappresentante legale designato.
Un successivo scaglione da 50mila a 200mila euro prevede sanzioni per il prestatore di servizi di hosting esposto a contenuti terroristici che non include nelle sue condizioni contrattuali o non applica disposizioni volte a contrastare l'uso improprio dei suoi servizi per la diffusione al pubblico di contenuti terroristici, omette di comunicare nei tre mesi dalla ricezione della decisione o ad una cadenza annuale le misure specifiche che ha adottato o intende adottare per contrastare i contenuti terroristici.
Nello scaglione che va da 75mila a 300mila euro è prevista per il prestatore di servizi di hosting esposto a contenuti terroristici l'omissione di adozione di misure specifiche per proteggere i propri servizi dalla diffusione al pubblico di contenuti terroristici.
Sono previste anche sanzioni penali, in particolare l'arresto fino a sei mesi o l'ammenda da 100mila a 400mila euro per la mancata rimozione dei contenuti entro un'ora dall'ordine, per la mancata istituzione del punto di contatto o per la mancata designazione del rappresentante legale nell'Unione per i prestatori che non hanno stabilimento principale nell'Unione europea, per la divulgazione di informazioni relative all'ordine di rimozione nel caso in cui l'autorità abbia imposto la riservatezza per fini di indagine, E' previsto l'arresto fino ad un anno o l'ammenda fino a un mioline nel caso in cui la mancata rimozione dei contenuti è sistematica o persistente.
