La responsabilità penale dell’Internet Service Provider (ISP)
Il 29 novembre 2010, Stefano Rodotà proponeva l’introduzione nella nostra Costituzione dell’art. 21 bis rubricato “Diritto di accesso ad Internet”. Ad oggi la dottrina mondiale si sta interrogando riguardo la possibilità di sancire universalmente tale diritto.
Questa è solo una delle conseguenze legali e politiche che il fenomeno di massa Internet ha provocato nella nostra società. Si discute molto dei pericoli e dei vantaggi della rete e delle molteplici problematiche giuridiche sorte negli ultimi anni, tra cui vi è senza dubbio quella dell’identificazione di una possibile forma di responsabilità in capo all’Internet Service Provider (ISP).
L’ISP, o fornitore di servizi internet, è una struttura commerciale che offre agli utenti l’accesso ad internet in seguito alla stipulazione di un contratto di fornitura. Anche l’identità dell’ISP è cambiata nel tempo, passando da piccoli fornitori a grandi operatori di telecomunicazione.
L’interrogativo in tema di imputazione della responsabilità non va posto in relazione agli illeciti commessi direttamente dal fornitore in veste di autore o coautore, ipotesi senza dubbio pacifiche, ma con riguardo a quelli posti in essere dagli utenti della rete.
L’idea di una responsabilità dell’ISP per illeciti commessi dagli utenti della rete sarebbe “preferibile” per diverse ragioni:
- a differenza degli utenti, spesso protetti dall’anonimato che la rete può garantire, gli ISPs sono facilmente individuabili;
- essendo l’ISP, come accennato prima, un colosso, sarà con ogni probabilità più solvibile dell’autore del reato.
Pertanto i Fornitori, dal punto di vista giuridico, propenderebbero per diverse e stringenti forme di censura, dato che controllare ogni singolo contenuto trasmesso è pressoché impossibile nonché, dal punto di vista economico, oneroso.
La questione va quindi analizzata tenendo conto degli interessi in gioco: da un lato esigenze di controllo e di individuazione dei responsabili degli illeciti commessi online, e dall’altro il libero sviluppo della rete.
La responsabilità penale dell’ISP
Il panorama giurisprudenziale in materia è ricco di casi in cui i Providers, venendo equiparati a direttori di giornali obbligati a conoscere tutto ciò che viene pubblicato nella propria testata, si trovavano soccombenti e condannati ad ingenti risarcimenti.
Ma la lettera della legge è, ad oggi, ben lontana da questa prassi giurisprudenziale: la normativa di riferimento è la “Direttiva sul commercio elettronico” 2000/31/CE, recepita nel nostro ordinamento dal D. Lgs. n. 70 del 2003, che prevedendo diverse immunità per gli Internet Service Providers ha sensibilmente ridotto i casi in cui questi possano essere responsabili in sede civile o penale.
Le prime due immunità previste dalla Direttiva sono per i Fornitori che offrono un servizio di mera trasmissione e di memorizzazione dei dati per rendere questa più efficiente.
L’art. 12 disciplina l’attività di mere conduit che riguarda sia la trasmissione di informazioni fornite da un destinatario del servizio (per esempio, un’email mandata da un utente), sia il fornire l’accesso ad internet. Un ISP di questo tipo sarà immune da qualunque responsabilità civile o penale per le informazioni trasmesse a condizione che:
- non dia origine alla trasmissione
- non selezioni il destinatario della trasmissione
- non selezioni né modifichi le informazioni trasmesse.
In altre parole, finché il Provider non resta coinvolto nel messaggio trasmesso, né nel contenuto né nelle parti, e si limita ad una mera attività di trasmissione, non incorre in alcuna responsabilità. Tuttavia, ciò non esclude la possibilità, secondo gli ordinamenti degli Stati membri, che un organo giurisdizionale o un’autorità amministrativa esiga che il prestatore impedisca o ponga fine ad una violazione, ex art. 12 terzo comma.
L’art. 13, invece, disciplina l’attività di caching che consiste nella memorizzazione automatica, intermedia e temporanea di dati (sotto forma di file ‘cache’) effettuata al fine di rendere più efficace la successiva trasmissione, per la quale l’ISP non sarà responsabile qualora:
- non modifichi le informazioni
- si conformi alle condizioni di accesso alle informazioni
- si conformi alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore
- non interferisca con l’uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull’impiego delle informazioni
- agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l’accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l’accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un’autorità amministrativa ne ha disposto la rimozione o la disabilitazione dell’accesso;
Quindi, un ISP perde tale immunità nel momento in cui interferisce con i dati memorizzati o non procede alla rimozione delle informazioni memorizzate non appena venga effettivamente a conoscenza che queste sono state rimosse dal luogo di origine o che verranno presto da questo rimosse.
I principali destinatari di queste immunità sono tutti i Fornitori di accesso ad internet come Telecom Italia, Fastweb, Wind Telecomunicazioni, Tiscali etc.
La più controversa delle immunità previste dalla Direttiva è riscontrabile nell’art. 14, che disciplina l’attività di hosting (dall’inglese ‘to host’, che significa ‘ospitare’) attraverso cui il Provider fornisce all’utente – ospitandolo – uno spazio telematico da gestire. Questa categoria di ISP è quella che più si avvicina al confine con i cd. Contents Providers (fornitori di contenuti, si pensi ad esempio a Wikipedia) che, avendo una qualche forma di controllo “editoriale”, predisponendo il materiale per la pubblicazione, saranno responsabili per le informazioni diffuse. L’articolo 14 esclude la responsabilità dell’hosting Provider a condizione che:
- non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione
- non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.
Nell’ipotesi prevista da quest’ultima disposizione, il contenuto o l’informazione è fornita da qualcun altro e non dall’host. L’ambiguità della norma sta proprio nell’individuare il confine tra hosting e contents Provider, e viene messa in luce nel comma 2 dell’art 14, in forza del quale l’immunità non è applicabile se il destinatario del servizio agisce sotto l’autorità o il controllo del Provider: si pensi a piattaforme come Wikipedia dove si consente a chiunque di modificare i contenuti che sono creati sotto il controllo del Provider.
In altre parole, il discrimine è costituito dal grado di conoscenza dell’ISP che può profilare quest’ultimo come host, ex art. 14 della Direttiva, o come contents creator (quest’ultimo io lo so cosa vuol dire, ma il grande pubblico no).
L’incertezza verte sulla nozione di effettiva conoscenza che, nel nostro ordinamento, a differenza di quello statunitense, rimarca che non può trattarsi di mera conoscibilità, e pertanto sarà necessario fornire la dimostrazione dell’effettiva conoscenza. Da ciò, nell’ipotesi in cui il Provider sia a conoscenza dell’illecito e non ne impedisca la diffusione, potrebbe configurarsi un’ipotesi di responsabilità omissiva impropria, ex art. 40 c.p. che, in combinato disposto con l’art. 110 c.p., renderebbe il prestatore punibile per concorso omissivo nel reato commissivo posto in essere da altri.
Conclusione
Alla base dell’analisi effettuata v’è la necessità di individuare un soggetto in grado di risarcire i danni prodotti a seguito di condotte illecite. Come dimostrato, però, siamo ancora lontani dal raggiungere quest’obiettivo: l’autore della fattispecie criminosa, nella maggior parte dei casi, non è identificabile; l’ISP è protetto dalle immunità analizzate, compresa l’assenza di un obbligo generale di controllo a suo carico, dal momento che verificare tutti i dati e le attività poste in essere nel web risulta impossibile e, ove al contrario lo fosse, troppo oneroso; e della vittima chi se ne occupa?
Nonostante alcuni propongano l’adozione di un apposito contratto che tenga conto delle particolarità che ogni caso presenta, non possiamo che attendere l’intervento del legislatore volto a chiarire i limiti normativi e le incertezze del rapporto ISP/utente.
fonte immagine: ajnabii.com
Laureto in Giurisprudenza presso l’Università Federico II di Napoli nel luglio 2017 con una tesi in Procedura Civile.
Collaboro con Ius in itinere fin dall’inizio (giugno 2016). Dapprima nell’area di Diritto Penale scrivendo principalmente di cybercrime e diritto penale dell’informatica. Poi, nel settembre 2017, sono diventato responsabile dell’area IP & IT e parte attiva del direttivo.
Sono Vice direttore della Rivista, mantenendo sempre il mio ruolo di responsabile dell’area IP & IT. Gestisco inoltre i social media e tutta la parte tecnica del sito.
Nel settembre 2018 ho ottenuto a pieni voti e con lode il titolo di LL.M. in Law of Internet Technology presso l’Università Bocconi.
Da giugno 2018 a giugno 2019 ho lavorato da Google come Legal Trainee.
Attualmente lavoro come Associate Lawyer nello studio legale Hogan Lovells e come Legal Secondee da Google (dal 2019).
Per info o per collaborare: simone.cedrola@iusinitinere.it