LA RESPONSABILITA` DEL PROVIDER E DEL FORNITORE DI

LA RESPONSABILITA’ DEL PROVIDER E DEL FORNITORE DI
SERVIZI TELEMATICI DOPO IL D. Lgs. 70/2003
SOMMARIO: 1. Introduzione; 2. La responsabilità del provider in Italia prima del decreto; 3.
Il D. Lgs. 70/2003 e le 3 ipotesi; 4. La giurisprudenza successiva.
1. Introduzione:
Scopo del presente scritto è quello di illustrare brevemente in quale responsabilità
possa incorrere l’ISP (Internet Service Provider) alla luce della normativa attuale e
più precisamente del D. Lgs. N. 70/2003 il quale ha regolato, seppure con qualche
ombra, l’intera materia.
Ci riferiamo in particolare alla responsabilità civile extra contrattuale ed a quella
penale, derivante dall’immissione in reta di contenuti illeciti da parte degli utenti e
dei relativi eventuali obblighi di controllo dell’ISP.
Per ISP intendiamo l’azienda che eroga servizi di collegamento ad internet, oltre ad
altri accessori (es. servizi telematici). In base al contenuto del servizio offerto si
distinguono: “network provider”, che offre solo il servizio di connessione; “content
provider”, che si occupa anche di pagine web e del loro aggiornamento;
“application provider”, che offre applicazioni utilizzabili dagli utenti della rete;
“service provider”, che offre oltre a quanto suindicato altri servizi quali posta
elettronica, newsgroups, chat ecc1.
2. La responsabilità del provider in Italia prima del decreto 70/2003
L’utilizzo della rete internet da parte di un sempre maggior numero di utenti ha
comportato e comporta la possibilità molto concreta di commettere numerosi
illeciti, di rilevanza civile o penale. Tra questi possiamo citare semplificativamente:
la violazione della normativa sul diritto d’autore; la diffamazione; la violazione
delle norme sul buon costume; la violazione del diritto alla riservatezza; la
concorrenza sleale ecc.
Il primo problema è quello dell’identificazione dell’autore dell’illecito, non essendo
sufficienti a tal fine i log files2.
Altro problema è quello dell’individuazione del giudice nazionale competente
(competenza giurisdizionale) in una realtà, quella di internet, che sostanzialmente
non conosce confini.
1
Una definizione di valore giurisprudenziale de diversi tipi di providers è rintracciabile nella sentenza 331 del
14.06.2001 del Trib. di Bologna (Altalex….)i
2
Si tratta del file che contiene il nome di accesso – login – ed il tempo di accesso. E’ infatti possibile che tale
nome venga utilizzato fraudolentemente da terzi o che in una stessa struttura lo stesso login venga utilizzato
da più soggetti. Peraltro un tale utilizzo multipli comporterebbe una violazione del D. Lgs. 196/2003 in
materia di privacy.
1
In tale situazione si discuteva sull’eventuale responsabilità dell’ISP che poteva
spaziare dai contenuti immessi dallo stesso ISP sui propri server, a quelli inviati
dagli utenti della rete, ai dati provenienti da attività di mirroring, fino all’ipotesi in
cui l’ISP poteva essere ritenuto responsabile solo perché permetteva agli utenti di
accedere a siti contenenti materiale illecito3.
In assenza di una apposita normativa gli illeciti commessi tramite internet erano
sanzionati dalla normativa generale applicabile all’illecito tipico: così ad es. l’art.
595 c.p. per messaggi diffamatori, l’art. 528 c.p. per pubblicazioni oscene, l’art. 171
L. 633/1941 in caso di pubblicazione o comunicazione non autorizzata su rete
telematica di opere protette e così via.
Rimaneva il problema di identificare le norme in base alle quali poteva essere
ritenuto responsabile o corresponsabile il provider e la soluzione dottrinale più
condivisa comportava l’equiparazione del gestore di sito internet
ad un
responsabile editoriale, applicando la normativa sulla responsabilità dell’editore di
una testata giornalistica e successivamente quella di cui alla L. 223/1990 relativa
agli obblighi del gestore di una radio o un televisione. In tal modo il provider
sarebbe stato obbligato a controllare la legittimità del materiale pubblicato sul
proprio server (teoria della culpa in vigilando)4.
In tal senso si pronunciavano tra gli altri il Trib. Napoli ed il Tribunale di Bari
verso la fine degli anni ’905, così come Trib. Macerata, 2 dicembre 1998 - che
equipara anch’esso il provider ad un editore, fino alla Cour d’Appel de Paris, 10
febbraio 1999.
Contro questo orientamento assolutamente maggioritario interveniva una
importante pronuncia del Tribunale di Roma del 04.07.1998. In tale decisione la
Corte romana affermava per la prima volta che il gestore di un sito internet non
poteva avere alcun obbligo di vigilanza e controllo sui messaggi immessi in rete.
Nulla, peraltro, diceva tale pronuncia su eventuali obblighi successivi di
cancellazione da parte del gestore, una volta venuto a conoscenza della sussistenza
di un messaggio illecito.
3
E’ il caso Compuserve, nel quale la magistrature tedesca aveva obbligato tale azienda ad impedire ai propri
abbonati l’accesso a siti pornografici e filonazisti.
4
Altri autori teorizzavano o l’applicazione dell’art. 2050 , che regola la responsabilità per esercizio di attività
pericolose, oppure dell’art. 2051, riguardante la responsabilità per danno cagionato da cose in custodia
(Galgano, Bianca).
5
Ci si riferisce all’Ordinanza trib. Napoli 08.08.1996, nella quale il giudice affermò la responsabilità del
provider per avere “autorizzato, consentito o comunque agevolato” la commissione di un illecito da parte di
un utenete, il quale aveva diffuso in rete messaggi tali da configurare un’ipotesi di concorrenza sleale. Il
Tribunale di bari con decisione dell’11.06.1998 equiparava esplicitamente il sito web ad una testata di
giornale.
2
Successive pronunce Trib. Roma, 22 marzo 1999; Trib. Cuneo, 23 giugno 19976,
Trib. di Napoli 14.06.20027 hanno proseguito in questa direzione e tra queste vale
la pena di segnalare l’ordinanza del 14.05.2001 del Tribunale di Monza, sez. Desio
che si è lungamente soffermata sul problema. In particolare il Tribunale lombardo
ha sottolineato come non sia possibile applicare l’analogia con la posizione
dell’editore, trattandosi innanzitutto di una norma penale applicata oggettivamente
fuori dal suo contesto ed inoltre essendo pressoché impossibile per il provider
controllare l’illiceità di quanto pubblicato sul suo sito. L’unica eccezione anche in
questo caso era vista nell’ipotesi di un illecito evidente nel qual caso sarebbe stato
onere del provider intervenire8.
Tale nuovo orientamento veniva seguito anche in ambito internazionale. In tal
senso la giurisprudenza statunitense, citandosi esemplificativamente i casi
Religious Technology Center v. Netcom On-Line Communication Services del
1995, No. C-95-20091 RMW (N.D. Cal. Nov. 21, 1995), che riguardava la
puibbliocazione in rete all’0insaputa del providere di materiale della setta di
6
Il tribunale piemontese anche con successiva sentenza 19 ottobre 1999 (in AIDA, 2000, 809) ha escluso la
responsabilità della violazione del diritto d’autore compiuta dal fornitore d’informazioni per il provider che si
era limitato ad offrire l’accesso alla rete nonché lo spazio sul proprio server per la pubblicazione dei servizi
informativi
7
La corte napoletana, in una fattispecie che riguardava l’indebita immissione in rete di un’opera di
psichiatrria in sito dedicato a tale materia, applicava un principio di responsabilità per colpa del providere
distinguendo tra il fornitore di contenuti del sito (content provider) ed il soggetto che semplicemente metteva
a disposizione lo spazio sulla rete (host provider). Solo il primo poteva essere ritenuto corresponsabile di un
eventuale illecito realtivo al contenuto del materiale presente sul sito.
8
“La tesi della responsabilità incondizionata del provider per ogni illecito commesso sulla Rete non appare
tuttavia convincente. In primo luogo è stata sottolineata in dottrina la improprietà di qualsiasi richiamo
diretto o indiretto ai principi enunciati dalla normativa in materia di stampa, dal momento che detta
normativa opera nel campo della responsabilità penale introducendo una forma di responsabilità che
continua ad essere oggetto di perplessità per la sua natura “paraoggettiva”, resa accettabile solo tramite
una interpretazione costituzionalmente orientata al principio di colpevolezza.
In secondo luogo non si può evitare - pena una valutazione astratta e del tutto disgiunta dal dato economico di considerare quella che è la situazione del provider. Quest’ultimo infatti si limita a consentire l’accesso alla
Rete, è il tramite di cui gli utenti (professionali o meno) di internet si avvalgono per “navigare” ed operare
nella stessa. Se si considera la crescita letteralmente esponenziale che la Rete ha avuto non solo in Italia ma
in tutto il mondo, pretendere dal provider un controllo sulle informazioni che per suo tramite vengono
smistate agli utenti di internet, significa semplicemente entrare in palese conflitto con il principio ad
impossibilia nemo tenetur. Anche volendo mascherare la responsabilità del provider sotto l’etichetta della
culpa in vigilando, detta responsabilità sarebbe di fatto una responsabilità oggettiva legislativamente non
tipizzata, non potendosi in alcun modo immaginare mezzi concreti attraverso i quali il provider potrebbe
effettuare la propria vigilanza, considerato anche che il monitoraggio dovrebbe essere costante, visto che
ogni sito è modificabile in qualsiasi momento. Si pensi al solo caso della violazione di marchi: per ogni
domain name il provider dovrebbe verificare l’assenza non solo in Italia ma anche all’estero di marchi o
domain names simili appartenenti a soggetti esercenti attività imprenditoriale in settori affini a quello in cui
opera il titolare del sito”. Trib. Monza, sez. Desio, Ord. 14.05.2001. In tal senso anche Trib. Napoli
26.02.2002, in sentenza relativa all’indebito utilizzo di un marchio conosciuto.
3
Scientology9; Cubby v. CompuServe (n. 90 Civ. 6571 United States District for the
Southern District of New York 29 ottobre 1991), in cui la Corte ha assimilato il
provider al rivenditore di riviste e non all’editore, escludendo conseguentemente la
responsabilità per la pubblicazione di materiale diffamatorio in newsgroups o
forum; Stratton Oakmont v. Prodigy (n. 31063/94 Supreme Court of New York ,10
maggio 1995), in cui la responsabilità del provider è stata affermata unicamente
perché avendo lo stesso spontaneamente attivato un sistema automatico di
filtraggio, aveva assunto volontariamente il ruolo e le responsabilità di un direttore
di testata giornalistica.
Anche la giurisprudenza europea si era ormai avviata nel senso di escludere la
responsabilità “oggettiva” del provider, ammettendo una sua responsabilità solo
quando avesse avuto diretta conoscenza dell’illecito o comunque ne sarebbe potuto
venire a conoscenza con ordinaria diligenza (Corte Distrettuale dell’Aja con la
sentenza 12 marzo 1996, 96/160)10.
3. Il D. Lgsl. N. 70 del 09.04.2003
Proprio in ragione della complessità della materia e del rischio di soluzioni
discordanti all’interno della Comunità europea il legislatore comunitario era
intervenuto con specifiche norme all’interno della Dir. CE 31/2000, che veniva poi
recepita con il D. Lgs. N. 70 del 09.04.2003, pubblicato sulla G.U. 14.04.2003 n. 61
ed entrato in vigore dal 14.05.2003
In tale norma, riportata per esteso in calce al presente lavoro, gli artt. 14-17
regolano la responsabilità del provider, seppure con parecchie ombre.
Il legislatore innanzitutto tipizza l’attività del provider (seppure a nostro parere in
modo non esaustivo) individuando tre ipotesi di attività: quella di mero trasporto
(mere conduit) delle informazioni o di semplice fornitura dell’accesso alla rete (art.
14); quella di memorizzazione temporanea di informazioni (caching) allo scopo di
rendere più efficace il successivo inoltro ad altri destinatari su loro richiesta (art.
15); quella di memorizzazione duratura di informazioni (hosting) fornite dai
destinatari del servizio (art. 16).
Introduce, inoltre, all’art. 17 un principio generale già sostenuto dall’ultima
giurisprudenza (v. punto 2) assolutamente contrario ad ogni ipotesi di
responsabilità oggettiva del provider: viene, infatti, sancita l’assenza di qualsiasi
obbligo di sorveglianza da parte del provider sulle informazioni che riceve o
9
Un’ottimo riassunto della situazione giurisprudenziale statunitense con brevi commenti ad alcune sentenze
in “Considerazioni sulla responsabilità dell’internet provider” di Carlo Gattei, 23.11.1998 consultabile su
Interlex.com. In tale scritto viene anche presentata la situazione di Gran Bretagna, Germania e Francia.
gewrmanii accennbi
10
Tutte tali sentenze sono citate nell’Ordinanza del Trib. Di Monza.
4
memorizza, così come l’assenza di qualsiasi obbligo di ricerca attiva di fatti o
circostanze che indichino la presenza di attività illecite11”.
Peraltro, in presenza di specifici presupposti elencati all’art. 17 secondo comma
(conoscenza di presunte attività o informazioni illecite; richiesta delle autorità
competenti) sussisterà un obbligo del provider di fornire le necessarie informazioni
alle stesse autorità.
Passiamo ora ad analizzare le singole ipotesi.
3.1. Responsabilità nell'attività di semplice trasporto - Mere conduit.
(Art. 14)
1. Nella prestazione di un servizio della società dell'informazione consistente nel
trasmettere, su una rete di comunicazione, informazioni fornite da un
destinatario del servizio, o nel fornire un accesso alla rete di comunicazione, il
prestatore non è responsabile delle informazioni trasmesse a condizione che:
a) non dia origine alla trasmissione;
b) non selezioni il destinatario della trasmissione;
c) non selezioni né modifichi le informazioni trasmesse;
2. Le attività di trasmissione e di fornitura di accesso di cui al comma 1, includono
la memorizzazione automatica, intermedia e transitoria delle informazioni
trasmesse, a condizione che questa serva solo alla trasmissione sulla rete di
comunicazione e che la sua durata non ecceda il tempo ragionevolmente
necessario a tale scopo.
3. L'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza può
esigere anche in via d'urgenza, che il prestatore, nell'esercizio delle attività di cui
al comma 2, impedisca o ponga fine alle violazioni commesse.
E’ la prima attività tipizzata, quella, cioè, in cui il provider si limiti mettere a
disposizione lo spazio fisico per la circolazione delle informazioni. All’interno di
tale categoria rientra anche la memorizzazione “automatica, intermedia e
transitoria delle informazioni trasmesse, a condizione che questa serva solo alla
trasmissione sulla rete di comunicazione e che la sua durata non ecceda il tempo
ragionevolmente necessario a tale scopo”.
In tal caso sarà sufficiente che lo stesso gestore della rete non abbia originato il
contenuto, né abbia selezionato o modificato le informazioni perché lo stesso
provider sia esente da ogni responsabilità.
Qualche problema potrebbe sorgere dal dato letterale della norma, in quanto è
improbabile che una seppur minima attività di selezione o modifica non venga
effettuata dal provider per mere ragioni tecniche al fine di immettere i dati in rete.
Anche in tal caso la norma dovrà essere interpretata nel senso di escludere la
11
“
Nella prestazione dei servizi di cui agli articoli 14, 15 e 16, il prestatore non è assoggettato ad un obbligo
generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare
attivamente fatti o circostanze che indichino la presenza di attività illecite”. Art. 17 D. Lgs. 70/2003.
5
responsabilità del provider quando il suo intervento sui dati sia esclusivamente
tecnico.
Altro problema è quello dell’eventuale clausola contrattuale con la quale il provider
si concede la facoltà di verificare i dati immessi dall’utente e di rimuovere quelli che
possano sembragli illeciti, in quanto tale attività di sorveglianza potrebbe
comportare un’assunzione di responsabilità ai fini della norma in oggetto.
3.2. Responsabilità nell'attività di memorizzazione temporanea –
Caching (Art. 15)
1. Nella prestazione di un servizio della società dell'informazione consistente nel
trasmettere, su una rete di comunicazione, informazioni fornite da un
destinatario del servizio, il prestatore non è responsabile della memorizzazione
automatica, intermedia e temporanea di tali informazioni effettuata al solo scopo
di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta, a
condizione che:
a. non modifichi le informazioni;
b. si conformi alle condizioni di accesso alle informazioni;
c. si conformi alle norme di aggiornamento delle informazioni, indicate in un
modo ampiamente riconosciuto e utilizzato dalle imprese del settore;
d. non interferisca con l'uso lecito di tecnologia ampiamente riconosciuta e
utilizzata nel settore per ottenere dati sull'impiego delle informazioni;
e. agisca prontamente per rimuovere le informazioni che ha memorizzato, o
per disabilitare l'accesso, non appena venga effettivamente a conoscenza
del fatto che le informazioni sono state rimosse dal luogo dove si trovavano
inizialmente sulla rete o che l'accesso alle informazioni è stato disabilitato
oppure che un organo giurisdizionale o un'autorità amministrativa ne ha
disposto la rimozione o la disabilitazione.
2. L'autorità giudiziaria o quella amministrativa aventi funzioni di vigilanza può
esigere, anche in via d'urgenza, che il prestatore, nell'esercizio delle attività di cui
al comma 1, impedisca o ponga fine alle violazioni commesse.
3.3. Responsabilità nell'attività di memorizzazione di informazioni –
Hosting (Art. 16)
1. Nella prestazione di un servizio della società dell'informazione consistente nella
memorizzazione di informazioni fornite da un destinatario del servizio, il
prestatore non è responsabile delle informazioni memorizzate a richiesta di un
destinatario del servizio, a condizione che detto prestatore:
a. non sia effettivamente a conoscenza del fatto che l'attività o l'informazione
è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di
6
fatti o di circostanze che rendono manifesta l'illiceità dell'attività o
dell'informazione;
b. non appena a conoscenza di tali fatti, su comunicazione delle autorità
competenti, agisca immediatamente per rimuovere le informazioni o per
disabilitarne l'accesso.
2. Le disposizioni di cui al comma 1 non si applicano se il destinatario del servizio
agisce sotto l'autorità o il controllo del prestatore.
3. L'autorità giudiziaria o quella amministrativa competente può esigere, anche
in via d'urgenza, che il prestatore, nell'esercizio delle attività di cui al comma 1,
impedisca o ponga fine alle violazioni commesse.
4. La giurisprudenza successiva.
Sebbene l’entrata in vigore del decreto de quo sia ancora troppo recente per poter
cogliere decisivi orientamenti giurisprudenziali, tesi a risolvere alcuni dei problemi
interpretativi che le nuove norme hanno sollevato, vale la pena di soffermarsi su
alcune significative pronunce, che tratteremo in un successivo articolo.
Ci riferiamo in particolare a due pronunce: la prima è la sentenza n. 2286 del
29.06.2004 del Tribunale di Catania, mentre la seconda è la sentenza n. 1993 del
18.03.2004 del Tribunale penale di Milano12.
In ordine a tali pronunce e agli orientamenti attuali discuteremo in un successivo
articolo.
Milano, Giugno 2009.
Avv. Roberto Spreafico
12
Entrambe le sentenze sono leggibili per esteso sul sito Altalex. Com.
7