La responsabilità dei provider di servizi online

La responsabilità dei provider di servizi online

ISP, provider ed intermediari della comunicazione

Gli ISP, cioè gli Internet Service Provider, sono quelle aziende che, operando nella società dell'informazione, forniscono liberamente servizi internet, in particolare servizi di connessione, trasmissione e memorizzazione dati, anche attraverso la messa a disposizione delle proprie apparecchiature per ospitare siti. Il provider (prestatore), è essenzialmente un intermediario (infatti sono detti anche intermediari della comunicazione) che stabilisce un collegamento tra chi intende comunicare un'informazione e i destinatari della stessa. 

Il principale servizio fornito in rete è quello di accesso (access provider), ma ve ne sono altri, come la fornitura di mail, di spazio web per un sito (hosting), e così via. Si distinguono, infatti, content provider (fornitore di contenuti, autore quindi anche dei contenuti pubblicati sui propri server), network provider (fornitore di accesso alla rete attraverso la dorsale internet), access provider (offre alla clientela l'accesso ad internet attraverso modem o connessioni dedicate), host provider (fornisce ospitalità a siti internet), service provider (fornisce servizi per internet, come accessi o telefonia mobile), e cache provider (immagazzina dati provenienti dall'esterno in un'area di allocazione temporanea, la cache, al fine di accelerare la navigazione in rete).
Qualsiasi attività venga posta in essere sulla rete, passa sempre attraverso l'intermediazione di un provider, e i dati transitano attraverso i suoi server, cioè i computer che il prestatore mette a disposizione per erogare i suoi servizi.


Responsabilità penale e civile

In caso di violazione delle norme di legge commesse attraverso la pubblicazione di contenuti immessi in rete a mezzo dei servizi dei provider, si pone il problema della eventuale responsabilità dei provider. Esistono due tipi di responsabilità:
- civile, che si ha nel momento in cui si realizza un danno ingiusto ad una persona;
- penale, che si ha quando viene commesso un reato. 
Nel secondo caso esiste una responsabilità solo se l'azione costituente reato è stata commessa personalmente, quindi si risponde penalmente soltanto per avere commesso consapevolmente (per dolo, salvi i casi eccezionali della colpa) un atto tipico (cioè previsto dalla legge) e antigiuridico. Corollari di questa impostazione sono:
- l'impossibilità di rispondere per fatto altrui; 
- l'impossibilità di attribuire responsabilità penali alle persone giuridiche. 

E' più complicato, rispetto alla vita reale, attribuire un reato o comunque una responsabilità ad una persona nel web, date le ovvie difficoltà di identificare gli individui che commettono degli illeciti, anche se bisogna sempre ricordare che in internet non esiste un vero e proprio anonimato. Infatti in genere è sempre possibile risalire all'autore di un illecito attraverso i file di log del provider, cioè attraverso dei documenti online nei quali vengono memorizzati il nome di accesso dell'utente, la password e le azioni compiute dall'utente in rete, compreso l'orario di connessione. In realtà colui che può essere rintracciato non è proprio l'autore dell'illecito, quanto piuttosto il titolare del contratto di connessione alla rete, spesso abbinato a quello di telefonia.
Per la difficoltà nel rintracciare l'autore di un illecito si è valutato che il soggetto più facile da reperire è proprio il provider, cioè l'azienda che mette a disposizione lo spazio web o genericamente il servizio attraverso il quale viene commesso l'atto illecito. Si rende, quindi, necessario bilanciare l'esigenza di individuare figure cui imputare un eventuale reato, onde non lasciare inascoltate le pretese risarcitorie di chi ha subito ingiustamente un danno, e quella di non gravare eccessivamente sui soggetti privati come i provider, al fine di non impedire lo sviluppo e l'innovazione della rete.

Tralasciamo l'ipotesi in cui è il provider medesimo a porre in essere un illecito, caso in cui la responsabilità dell'intermediario è pacifica. Anche il codice di autoregolamentazione dell'AIIP (Associazione Italiana Internet Provider), afferma che "il fornitore di contenuti è responsabile delle informazioni che mette a disposizione del pubblico".
I problemi si pongono, invece, nell'ipotesi in cui l'illecito sia posto in essere non dal provider ma da un utente dei suoi servizi. Prima di tutto occorre verificare l'esistenza di una reale possibilità tecnica per il provider di conoscere tutti i contenuti e servizi ospitati o gestiti sui suoi server e della modalità con la quale tale possibilità può concretizzarsi (si pensi a YouTube, sul quale vengono immesse circa 20 ore di video ogni minuto nella sola Italia, è impossibile pensare che i gestori possano visionarli tutti per appurare se contengono materiale illecito).
Altro aspetto riguarda l'ipotesi in cui il provider venga a conoscenza del contenuto illecito, o direttamente o indirettamente tramite terzi. Il provider non ha l'autorità di eliminare qualcosa che, dal punto di vista del diritto di proprietà, non gli appartiene, visto che il contratto di hosting (o di altro tipo di servizio) tutela la proprietà intellettuale dell'utente finale, per cui si esporrebbe ad una azione di risarcimento del danno per violazione contrattuale. Inoltre una eventuale rimozione deve essere operata tutelando i diritti dell'utente e le sue libertà, in particolare la libertà di manifestazione del pensiero protetta dall'art. 21 della Costituzione.
Infine, si pone anche il problema di chi dovrebbe stabilire che un certo contenuto è illecito. Nel nostro ordinamento la valutazione degli illeciti è demandata all'autorità giudiziaria, quindi consentire tale facoltà al provider significherebbe concedere ad un privato un potere enorme di censura.



Direttiva europea sul commercio elettronico

L'Unione europea ha approntato una dettagliata normativa al fine di regolamentare l'attività degli intermediari della comunicazione in maniera unitaria negli Stati dell'Unione. Tale normativa è la direttiva Europea 31/2000/CE sul commercio elettronico, poi recepita quasi pedissequamente dai paesi membri, compreso l'Italia con il  Decreto Legislativo del 9 aprile 2003, n. 70.
Il decreto 70 del 2003 si occupa della tutela dell'affidabilità delle transazioni e disciplina l'attività dei prestatori di servizi in rete, e in tale ottica esenta alcuni prestatori dalla responsabilità per gli illeciti commessi dagli utenti tramite i loro servizi, in presenza di specifici requisiti. Il decreto differenzia tre figure di prestatore per i quali si applica la suddetta esenzione: 
- prestatori di semplice trasporto (mere conduit);
- prestatori di servizi di memorizzazione temporanea (caching);
- prestatori di servizi di memorizzazione di informazione (hosting).

In linea generale il decreto sancisce che i provider non sono responsabili delle informazioni trattate e delle operazioni compiute da chi fruisce del servizio, a patto che non intervengano in alcun modo sul contenuto o sullo svolgimento delle stesse operazioni, circostanza tra l'altro già ricavabile dal nostro ordinamento. Però i prestatori sono obbligati ad alcune incombenze informative ed operative che introducono loro stesse delle responsabilità per gli intermediari, pur non comportando l'obbligo di esaminare preventivamente le informazioni trasmesse sulle proprie macchine al fine di valutarne la possibile lesività per i terzi. Un obbligo di monitoraggio preventivo e generalizzato sarebbe, infatti, in contrasto con le norme europee.
La formulazione delle norme è, purtroppo, tale da generare alcune perplessità in relazione alla natura degli interventi dei fornitori di servizi, questo perché le attività di instradamento delle informazioni, comunque immesse dagli utenti, comportano sempre qualche forma di intervento dell'intermediario che potrebbe rientrare tra le cause di non esenzione della responsabilità. In tali casi il giudice sarà chiamato a valutare se l'operazione sulle informazioni è una mera operazione tecnica, oppure se vi è l'intenzione di influire sulle informazioni medesime. Solo in quest'ultimo caso scatta la responsabilità del provider.

La responsabilità dell'intermediario, quindi, viene definita in negativo: se sussistono le condizioni di cui al decreto allora l'intermediario non è responsabile degli illeciti commessi dagli utenti utilizzando i suoi servizi, se invece il provider non si adegua alle norme ne diviene responsabile ai sensi dell'art. 2055 c.c., solidalmente con l'autore dell'illecito. Si tratta, quindi, di una responsabilità per colpa specifica, cioè per violazione di legge. 



Attività di semplice trasporto: mere conduit

L'art. 14 del decreto dispone che, nella prestazione di servizi di semplice trasmissione di informazioni o nel fornire un accesso alla rete di comunicazione (mere conduit o semplice trasporto), il prestatore non è responsabile delle informazioni trasmesse a condizione che: 
- non dia origine alla trasmissione;
- non selezioni il destinatario della trasmissione
- e che non selezioni né modifichi la trasmissione medesima, cioè le informazioni veicolate. 
Quindi, si fissa il principio della divisione fra meri servizi d'accesso e servizi di fornitura e/o produzione di contenuti e la relativa differenziazione di responsabilità, per cui il decreto tende a non attribuire una responsabilità al prestatore di servizi che si comporti da mero fornitore d'accesso, senza una produzione propria di contenuti, non faccia selezione di destinatari e non ponga in atto operazioni di filtraggio dei contenuti.

Questo, ovviamente, è il caso specifico del fornitore di posta elettronica, oppure dell'access provider che si limita a fornire il semplice accesso alla rete per gli utenti, ed è equiparato al gestore di una rete telefonica (carrier), il quale non è ritenuto responsabile per gli illeciti commessi dagli utenti della rete stessa, in quanto si limita a porre a disposizione una piattaforma tecnologica che l'utente usa come più gli aggrada.
È chiaro che l'esenzione di responsabilità sussiste fin quando il prestatore si trovi in una posizione di assoluta neutralità rispetto all'informazione veicolata

Un problema si è posto nei casi di gerarchizzazione dei contenuti, cioè quando l'intermediario adotta politiche di gestione attiva nell'instradamento degli stessi. È il caso in cui si concede banda maggiore ad alcuni servizi (ad esempio i video) rispetto ad altri (come il voip). In questo caso il provider, a differenza di quanto avviene nei servizi telefonici, assume un ruolo attivo nella gestione delle comunicazioni in transito. Come chiarito nei Considerando della direttiva europea, la neutralità, e quindi l'irresponsabilità, del provider deve ritenersi sussistente tutte le volte in cui pone in essere una attività di natura meramente tecnica, automatica e passiva (mere technical, automatic and passive nature), non deve in alcun modo essere coinvolto con le informazioni trasmesse e non può volontariamente collaborare con l'utente che pone in essere l'illecito.

Al comma 2 dell'articolo 14 è definita l'equiparazione delle attività di memorizzazione automatica, intermedia e transitoria (caching) all'attività di semplice trasporto delle informazioni, qualora il caching sia funzionale alla sola trasmissione delle informazioni e la durata sia proporzionata al tempo necessario per l'instradamento delle informazioni. In casi diversi si applica l'articolo 15.

Ovviamente il prestatore può essere oggetto di provvedimenti inibitori dell'autorità giudiziaria o amministrativa, anche in assenza di una sua responsabilità, al fine di impedire o porre fine ad un illecito.



Attività di memorizzazione automatica, intermedia e transitoria: caching

L’art. 15 si occupa delle attività di caching, sancendo la non responsabilità del prestatore di servizi di memorizzazione automatica, intermedia e temporanea effettuata al solo scopo di rendere più efficace il successivo inoltro delle informazioni ad altri destinatari, purché il provider: 
- non modifichi le informazioni trasmesse;
- si conformi alle condizioni di accesso alle informazioni e alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore;
- non interferisca con l'uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull'impiego delle informazioni. 

Il sistema di caching ha lo scopo di aumentare l'efficienza della rete, conservando presso il server del prestatore, per un periodo limitato di tempo, le informazioni a cui hanno accesso gli utenti del servizio, in modo da favorire l'accesso alle medesime informazioni da parte di altri destinatari. Il riferimento ad altri destinatari distingue l'attività di caching dal caching equiparato al trasporto.
Ovviamente anche in questo caso il riferimento all'obbligo di non modificare le informazioni, per andare esente da responsabilità, deve essere inteso in senso sostanziale, non tecnico.

Quindi, l'intermediario per andare esente da responsabilità deve conformarsi alle condizioni di contratto e a quanto previsto dal fornitore delle informazioni, il quale resta nella piena disponibilità delle proprie comunicazioni, in riferimento all'accesso alle informazioni, nonché al loro aggiornamento.
Le direttive dell'Unione europea prevedono che la rimozione delle informazioni, o la disabilitazione dell'accesso alle medesime, deve avvenire nel rispetto del principio della libertà di espressione e delle procedure previste a livello nazionale.

Si prevede inoltre l'obbligo di rimuovere prontamente le informazioni memorizzate, o di disabilitare l'accesso a tali informazioni, non appena il provider venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano originariamente sulla rete o che l'accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un'autorità amministrativa ne abbia disposto la rimozione o la disabilitazione. A tale scopo rileva il momento dell'effettiva conoscenza da parte del prestatore, ovvero della comunicazione del soggetto che ha preteso la rimozione dei contenuti. Per non incorrere in responsabilità il provider deve provvedere a cancellare le informazioni presenti nelle copie cache nel caso in cui siano state rimosse dal sito d'origine sia dai titolari del sito stesso che, eventualmente, da un organo giurisdizionale o un'autorità amministrativa.

Anche in questo caso permane la possibilità che il prestatore sia oggetto di provvedimenti inibitori da parte delle autorità, per impedire o porre fine ad un illecito.



Attività di memorizzazione di informazioni: hosting

L'articolo 16 si occupa della prestazione di servizi di hosting, cioè la memorizzazione di informazioni fornite da un utente, fornendo uno spazio nel proprio server con i relativi servizi. È il caso dell'host provider, ossia il prestatore che si limita ad offrire ospitalità sui propri server ad un sito internet gestito da altri in piena autonomia.

Nell'ipotesi dei servizi di hosting c'è una differenziazione:
- per configurare responsabilità penale è richiesta l'effettiva conoscenza delle attività o delle informazioni illecite da intendersi in senso rigoroso in conformità ai principi dell'imputabilità penale (cioè se è effettivamente a conoscenza del contenuto illecito e non lo rimuove); 
- per configurare responsabilità civile si impone la valutazione di colpa per negligenza del prestatore a fronte dell'allegazione della conoscenza di fatti o circostanze che rendano manifesta l'illiceità dell'attività o dell'informazione, senza che ciò possa implicare l'esecuzione di un controllo sui contenuti veicolati, in assenza di specifiche segnalazioni da parte di soggetti terzi (se avrebbe dovuto essere a conoscenza del contenuto illecito). 

Il concetto di "conoscenza effettiva" appare mutuato dalla normativa americana che prevede una "actual knowledge" nel DMCA. Secondo tale normativa l'actual knowledge si ha nel momento in cui il provider riceve una notification, laddove la diffida può essere inviata anche dal soggetto che presume di essere leso. La normativa americana, però, a controbilanciare tale "potere" del soggetto presunto leso, prevede il sorgere della responsabilità di quest'ultimo nel momento in cui la sua diffida si riveli falsa o infondata, così sollevando comunque il provider da eventuali responsabilità contrattuali. Tale previsione è, invece, assente nella direttiva europea eCommerce, la quale auspicava semplicemente l'introduzione di norme a disciplina di una procedura di notice and action (come viene definita in Europa, mentre in Usa si chiama notice and takedown), senza obbligare gli Stati. Tale disciplina, però, non è stata introdotta dagli Stati, i quali si sono limitati ad una pedissequa riproposizione delle norme della direttiva. 
Allo stato solo la Finlandia ha una regolamentazione di questo aspetto (anche se limitatamente al diritto d'autore).

In tale prospettiva il Conseil constitutionnel francese è intervenuto abrogando una norma della legge 719/2000, corrispondente all'art. 16 del D. Lgs 70/2003, nella parte in cui affermava che l'intermediario sarebbe incorso in responsabilità (anche penale) nel caso di omessa rimozione del contenuto immesso sui suoi server da un terzo, a seguito di semplici esortazioni alla rimozione pervenutegli dai presunti offesi. Così sancendo una responsabilità solo a seguito di notification qualificata dell'autorità giudiziaria. Nello stesso senso si è espresso il tribunale di Firenze con una recente ordinanza, Tale principio è stato, però, attenuato nel tempo, per cui oggi si ritiene che anche la prospettazione unilaterale da parte della presunta parte lesa, purché la diffida sia sufficientemente circostanziata, è comunque sufficiente per far scattare l'obbligo da parte dell'ISP di attivarsi e quindi configurare l'"effettiva conoscenza". 

A tal proposito può essere utile ricordare che la Corte di giustizia europea (sentenza 22 giugno 2021, YouTube e Cyando, C‑682/18 e C‑683/18, EU:C:2021:503, punto 102) ha sancito che l’articolo 3, paragrafo 1, della direttiva 2001/29 deve essere interpretato nel senso che il provider di hosting non effettua una "comunicazione al pubblico" dei contenuti immessi dagli utenti, salvo che contribuisca, al di là della semplice messa a disposizione della piattaforma, a dare al pubblico accesso a siffatti contenuti in violazione del diritto d’autore. Ciò si verifica, in particolare, qualora tale gestore sia:
concretamente al corrente della messa a disposizione illecita di un contenuto protetto sulla sua piattaforma e si astenga dal rimuoverlo o dal disabilitare immediatamente l’accesso ad esso;
- o nel caso in cui detto gestore, anche se sa o dovrebbe sapere che, in generale, contenuti protetti sono illecitamente messi a disposizione del pubblico tramite la sua piattaforma da utenti di quest’ultima, si astenga dal mettere in atto le opportune misure tecniche che ci si può attendere da un operatore normalmente diligente nella sua posizione per contrastare in modo credibile ed efficace violazioni del diritto d’autore su tale piattaforma;
- o ancora nel caso in cui esso partecipi alla selezione di contenuti protetti comunicati illecitamente al pubblico, fornisca sulla propria piattaforma strumenti specificamente destinati alla condivisione illecita di siffatti contenuti o promuova scientemente condivisioni del genere (il che può essere attestato dalla circostanza che il gestore abbia adottato un modello economico che incoraggi gli utenti della sua piattaforma a procedere illecitamente alla comunicazione al pubblico di contenuti protetti sulla medesima).  

A fronte di una generale esenzione di responsabilità, l'hosting provider risponde degli illeciti dei suoi utenti qualora, non appena sia a conoscenza di fatti illeciti su espressa comunicazione, non si attivi per rimuovere le informazioni illecite o per disabilitarne l'accesso, oppure, ai fini della responsabilità civile, se il provider è informato di fatti o circostanze che rendono manifesto il carattere illecito o pregiudizievole per qualcuno dell'attività o dell'informazione e non si attivi per informare l'autorità competente.
L'esenzione di responsabilità cade, inoltre, qualora il destinatario del servizio agisca sotto l'autorità o il controllo del prestatore, come nel caso dei content provider, venendo meno la neutralità di quest'ultimo rispetto al contenuto.


Anche nei casi di hosting permane la possibilità per l’autorità giudiziaria di imporre l’impedimento dell’illecito o di porne fine.

La giurisprudenza ha affermato che l’host provider non è responsabile del contenuto illecito di un sito ospitato sui propri server ma gestito da un terzo, a meno di non provare un diretto coinvolgimento. Non sussiste, infatti, in capo a tale soggetto alcun obbligo giuridico di controllo del materiale contenuto negli altri siti, controllo che sarebbe peraltro estremamente difficoltoso se non impossibile (data l’enorme mole di dati), oltre che di scarsa utilità, vista la possibilità che i dati siano modificati in qualsiasi momento.
La responsabilità dell’host provider è stata invece affermata nel caso dell’uso, da parte di terzi, di siti recanti nomi a dominio lesivi di un marchio noto, ma solo nel caso in cui l’attività di registrazione del domain name sia stata curata dal provider medesimo, considerando questo come il caso di una tipica responsabilità per fatto proprio e quindi personale. 

 

Inesistenza dell'obbligo di sorveglianza

L'art. 17 prevede come clausola generale l'inesistenza di un obbligo generale di sorveglianza a carico del prestatore di servizi sulle informazioni che trasmette o memorizza, o di un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite, imponendo così al fornitore di svolgere un ruolo meramente passivo. Ciò comporta l'impossibilità di applicare l'art. 40 del codice penale ai provider, che fonda la punibilità del concorso nel reato altrui per omissione.
Il comma 3 aggiunge: "il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha provveduto ad informarne l'autorità competente". L'ovvero indica che è sufficiente una delle due ipotesi per far scattare la responsabilità.

Il prestatore è, quindi, tenuto a un'adeguata collaborazione con le autorità, rimuovendo i contenuti segnalati, informandole senza indugio qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell'informazione e a fornire, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.
Ovviamente l'obbligo di comunicare le informazioni "in suo possesso" non implica alcun obbligo di controllo sulla veridicità dei dati forniti dall'utente al momento della sottoscrizione del servizio, in assenza di norme comunitarie che pongano a carico del prestatore l'identificazione certa degli utenti. 

Con questo articolo l’Unione Europea ha inteso sollevare i provider da una serie d’obblighi di controllo che, in effetti, oltre che difficilmente realizzabili tecnicamente, sarebbero fortemente pregiudicanti l’attività stessa degli ISP, bloccando di fatto lo sviluppo della rete, pur inserendo un obbligo di informare l’autorità giudiziaria in caso di conoscenza di illeciti.



La responsabilità del content provider

La direttiva non prende direttamente in considerazione i content provider, per cui sorgono problemi nell’applicazione della normativa a tale ipotesi. La giurisprudenza ritiene generalmente che un content provider, che fornisce contenuti, risponde direttamente per gli eventuali illeciti perpetrati con la diffusione dei propri contenuti. Se però si tratta di contenuti immessi da terzi, gli utenti, sorge il problema di una eventuale responsabilità per fatto altrui, in quanto l’attività dell’utente è del tutto autonoma rispetto a quella del provider, pur essendo l’attività del provider condizione necessaria per la verificazione dell’illecito che si verifica, appunto, tramite la diffusione del contenuto a mezzo dei servizi del provider.

La dottrina ritiene sussistente una responsabilità del provider nel momento in cui quest’ultimo non consenta di identificare il soggetto resosi autore di un reato, né fornisca prova del contenuto degli accordi di utilizzazione dello spazio web con il soggetto identificato. In tali casi il provider diventa un effettivo fornitore di contenuti con possibilità di applicare la normativa sulla stampa, che prevede la responsabilità civilistica del proprietario della pubblicazione e dell’editore in concorso con l’autore dello scritto. La responsabilità del provider si ricollega, quindi, soprattutto alla protezione (oggettiva) dell’anonimato del gestore del sito, più che all’attività di hosting in sé considerata.

Banner dell’host provider sul sito di terzi
La giurisprudenza di merito ha affrontato il problema della rilevanza giuridica del banner pubblicitario dell’host provider sul sito da lui ospitato ma gestito da terzi. Il banner pubblicitario è idoneo a produrre responsabilità ove sia esso stesso direttamente illecito, in quanto il banner è creato dal provider, mentre resta irrilevante laddove l’illecito riguarda il sito su cui il banner sia ospitato. Questo perché il provider non ha alcun obbligo di sorveglianza sui contenuti ospitati sui suoi server.

 

In conclusione la responsabilità del provider si configura alla stregua di una responsabilità soggettiva:
- colposa, quando il fornitore del servizio, consapevole della presenza sul sito di materiale sospetto, si astenga dall’accertarne l’illiceità e, al tempo stesso, dal rimuoverlo;
- dolosa, quando egli sia consapevole anche della antigiuridicità della condotta dell’utente e ometta di intervenire. 

------------------------

 Si legga anche -> La nuova responsabilità degli intermediari in Europa