Esaminare il tema, assai complesso, della responsabilità del provider oggi impone di distinguere due profili: il primo, tecnico-giuridico; il secondo, di politica legislativa.
1) Profilo tecnico-giuridico: applicazione delle norme vigenti
L’aspetto tecnico-giuridico è in estrema sintesi il seguente: è corretto argomentare, come fanno molte recenti sentenze italiane, nel senso dell’esclusione dell’esonero da responsabilità per il provider previsto dall’art. 17 del d. lgs. 70/2003? E quindi affermare che il provider è responsabile?
L’art. 17 dispone che il provider non è tenuto ad un obbligo di sorveglianza.
L’art. 16 dispone che il provider di hosting non è responsabile delle informazioni memorizzate se non è a conoscenza del fatto che l’informazione è illecita.
Il provider è invece responsabile se non rimuove o disabilita l’accesso, ma avendo ricevuto una richiesta dell’autorità.
La questione cruciale è: chi qualifica l’illiceità dell’informazione?
Certo non il soggetto che è interessato a rimuovere l’informazione, né il provider che cautelativamente potrebbe scegliere (anche a legislazione vigente) di rimuovere sempre le informazioni. Dovrebbe provvedere un terzo, rispetto alle parti, cioè il giudice.
Questa è la questione più delicata: la prova della conoscenza da parte del provider e la qualificazione dell’illiceità delle informazioni.
2) Profilo di politica legislativa: modifiche normative
Se si ritiene che chi trae anche indirettamente profitto dalla pubblicazione delle informazioni ne debba rispondere, allora va modificata la normativa vigente e va adottato un regime giuridico più vicino al DMCA statunitense, ove si declinano l’effettiva conoscenza e il sistema di notice and take down. E a questo ordinamento sembra ispirarsi il giudice della sentenza Yahoo!.
La giurisprudenza italiana sembra stia cercando di costruire una responsabilità del provider come fornitore di contenuti, nonostante una previsione normativa in senso diverso. Ma occorre un intervento legislativo.
La recente decisione del Tribunale di Milano, pubblicata sul Post offre lo spunto per alcune riflessioni.
In sintesi, il Tribunale ha respinto il ricorso e ordinato a Google di interrompere l’associazione fra il nome e il cognome di un imprenditore e termini quali “truffa” e “truffatore” che apparivano automaticamente quando si digitava sul motore di ricerca il nome e il cognome dell’imprenditore e la lettera “t”. La tesi difensiva di Google era che l’associazione fosse automatica in quanto compiuta attraverso il software che completa la stringa di ricerca sulla base delle ricerche già effettuate dagli utenti. Google ha peraltro ottemperato alla sentenza.
Il punto più interessante della decisione, per il giurista, è che il Tribunale qualifica il motore di ricerca come una banca dati. Non si applica, dunque, il d. lgs. 70/2003 sulla responsabilità del provider, e i previsti esoneri di responsabilità.
Non viene, dunque, in rilievo la questione della “conoscenza dell’illiceità” da parte del provider.
Questa è invece al cuore di altre decisioni giurisprudenziali italiane. Da ultima, la dotta ordinanza del Tribunale di Roma del 23 marzo sul caso Yahoo.
È stato pubblicato nella G.U. del 25.3.2011 il d.p.c.m. 2 marzo 2011, nel quale si definiscono i limiti di applicazione del Codice dell’amministrazione digitale all’Agenzia delle entrate.
In particolare, si precisa che all’Agenzia non si applicano le disposizioni del CAD concernenti le modalità di conservazione ed esibizione dei documenti per via informatica, relative alla conservazione per fini fiscali. La conservazione digitale per fini tributari resta disciplinata dal decreto del Ministero dell’economia e delle finanze del 23 gennaio 2004.
Si precisa, inoltre, che anche le modalità di comunicazione con l’Agenzia delle entrate non sono necessariamente disciplinate dal CAD, ove siano previsti specifici sistemi di trasmissione telematica per il settore tributario.
La deroga si fonda sulla previsione dell’art. 2, comma 6 del CAD.
Recentemente ha suscitato un certo interesse la decisione Cass. pen., sez. V, 14 marzo 2011, n. 10200. L’interesse è soprattutto riconducibile alla novità della materia e al fatto che si tratta di una delle prime decisioni relative ad un falso perpetrato per ottenere il rilascio della firma digitale.
Pare, ma non è dato conoscere compiutamente i fatti, che –fra l’altro- sia stata presentata una falsa richiesta di certificato elettronico qualificato per la firma digitale, a nome di un ignaro imprenditore, alla Camera di commercio. Come si sa, senza certificato qualificato non si ha firma digitale e il certificato di cui si tratta è un certificato molto particolare, strettamente connesso alla natura della firma digitale.
Il nucleo della sentenza è l’affermazione che “la condotta relativa alla richiesta del privato per ottenere il rilascio della firma digitale resta disciplinata dal d. lgs. 7 marzo 2005, n. 82, e appare riconducibile allo schema normativo dell’art. 483 c.p. dato che trattasi di attività diretta alla Pubblica Amministrazione – nella specie alla Camera di Commercio – per ottenere il rilascio della firma digitale, come tale assimilabile alla richiesta di un certificato o autorizzazione amministrativa”. L’art. 483 c.p. disciplina, come è noto, la falsità ideologica commessa dal privato in atto pubblico e dispone: “chiunque attesta falsamente al pubblico ufficiale, in un atto pubblico fatti dei quali l’atto è destinato a provare la verità, è punito con la reclusione fino a due anni”.
La norma applicabile oggi sarebbe invece l’art. 495-bis c.p. “falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri”, il quale dispone che chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l’identità o lo stato o altre qualità della propria o dell’altrui persona è punito con la reclusione fino ad un anno. Questa norma è stata inserita nel codice penale italiano dall’art. 3 della l. 18 marzo 2008, n. 48, “Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica”, cosiddetta “Convenzione di Budapest” sul cybercrime.
Non si possono non ricordare, infine, anche i rilevanti obblighi del certificatore che, ai sensi dell’art. 32 del CAD, deve provvedere con certezza alla identificazione di chi fa richiesta della certificazione.
L’art. 5-bis del nuovo Codice dall’amministrazione digitale sembra finalmente digitalizzare la comunicazione fra imprese e amministrazioni pubbliche. Dispone che la comunicazione debba avvenire esclusivamente con mezzi telematici, precisamente affermando che: la presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione.
Sono ormai molti anni che si parla di digitalizzazione della pubblica amministrazione e questa norma costituisce un ulteriore passo in quella direzione.
Tuttavia, si tratta di una norma che va declinata con riferimento alle specifiche comunicazioni e agli specifici obblighi per la comunicazione, posti dalle singole disposizioni del Codice: ad esempio, posta elettronica certificata, firma digitale, ecc. I mezzi telematici da utilizzare per la comunicazione variano di volta in volta. Ad esempio, l’art. 65 del Cad, per la trasmissione di istanze o dichiarazioni alla pubblica amministrazione, richiede alternativamente l’uso della firma digitale o della carta d’identità elettronica o della carta nazionale dei servizi o di strumenti di identificazione predisposti dalle pubbliche amministrazioni o della posta elettronica certificata.
Il file privo di ogni tipo di firma è probabilmente il documento informatico più diffuso. Esso ha una specifica efficacia probatoria, già riconosciuta dalla legge e anche dalla giurisprudenza, addirittura di Cassazione (Cass. 11445/2001; Cass. 9884/2005).
Sull’efficacia probatoria di questa tipologia di documento informatico non c’è mai stato grande dibattito, ma anzi c’è sempre stato un sostanziale accordo fra dottrina, legislatore e giurisprudenza.
L’efficacia del documento informatico, che si affermava ai sensi dell’art. 2712 del codice civile, richiamato dall’art. 23 del previgente CAD, è quella delle riproduzioni meccaniche, le quali formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti e alle cose medesime.
Apparentemente il nuovo art. 23-quater del Codice dell’amministrazione digitale, sembra confermare la norma previgente, disponendo: “all’art. 2712 del codice civile dopo le parole: ‘riproduzioni fotografiche’ è inserita la seguente: ‘, informatiche’,” esattamente come già disponeva l’art. 23 del CAD previgente.
Invece, nel nuovo art. 20, comma 1-bis, si legge: “L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo restando quanto disposto dall’art. 21”.
Quindi ci sono due norme nel nuovo CAD che disciplinano la stessa fattispecie: l’efficacia probatoria del documento informatico senza firma.
Quale applicare?
Non potendo due norme diverse (nuovo art. 20, comma 1-bis e nuovo art. 23-quater) disciplinare in modo diverso l’efficacia probatoria della medesima fattispecie (il documento informatico senza firma), non resta che sperare in un intervento correttivo del legislatore.
Cambia il concetto, e non solo la definizione, di autenticazione.
L’art. 1, comma 1, lett. b), definisce “l’autenticazione del documento informatico” come la validazione del documento informatico attraverso l’associazione di dati informatici relativi all’autore o alle circostanze, anche temporali, della redazione.
Si tratta della qualificazione di un documento informatico attraverso l’associazione ad esso di alcune informazioni.
Nella precedente versione del Codice si faceva riferimento all’autenticazione come sistema di accesso qualificato ad un sistema informatico, cioè un sistema di riconoscimento di requisiti che autorizzavano un determinato soggetto ad accedere al sistema.
La definizione di “identificazione informatica” sostituisce la definizione di “autenticazione informatica” precedentemente presente nel Codice. Secondo l’art. 1, comma 1, lett. u-ter, l’identificazione informatica è la validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso.
Oggi il Senato spagnolo approva una modifica alla legge sulla protezione dei dati personali che consente una riduzione delle sanzioni nel caso di adozione di misure corrispondenti all’applicazione del principio dell’accountability.
La firma digitale è definita all’art. 1, comma 1, lett. s), del Codice dell’amministrazione digitale modificato, come “un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.
La nuova definizione di “firma digitale”, basata su quella di firma elettronica avanzata, invece che, come nel Codice previgente, su quella di firma elettronica qualificata, è ora incompleta, dal momento che è priva del riferimento al dispositivo sicuro.
Indubbiamente si tratta di un errore che si spera il legislatore correggerà al più presto.
Sarebbe stato invece corretto mantenere la definizione di firma digitale come “firma elettronica qualificata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.
Peraltro, si noti, questo errore del legislatore conduce a conseguenze irragionevoli. La nuova firma digitale potrebbe risultare meno sicura della firma elettronica qualificata, non essendo la prima necessariamente basata su un dispositivo sicuro. Eppure, sia l’art. 24 che l’art. 25 del Codice continuano a richiedere, a certi effetti, ad esempio per l’autentica della firma da parte del notaio, l’uso della firma digitale e non quello della firma elettronica qualificata.
Oggi entrano in vigore le modifiche al Codice dell’amministrazione digitale (CAD) introdotte dal d. lgs. 235/2010. Molte sono le novità, molte le opportunità e non mancano gli errori. Il Cad modificato consta di oltre 100 articoli: non possiamo commentarlo in un solo post. Cominciamo quindi oggi la pubblicazione dei commenti, a puntate.
La firma elettronica avanzata
Su questo abbiamo già scritto molto.
Riprendiamo i concetti principali.
Il nuovo Codice dell’amministrazione digitale prevede un nuovo, quarto, tipo di firma che può essere apposta con mezzi informatici: la firma elettronica avanzata.
La “firma elettronica avanzata” è una firma elettronica con alcune caratteristiche di sicurezza.
La definizione precisa è “un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”.
Ma nella definizione non si fa riferimento al certificato né al dispositivo sicuro.
I documenti informatici con firma elettronica avanzata, firma elettronica qualificata, firma digitale, hanno la medesima efficacia probatoria, quella prevista dall’art. 2702 del codice civile per la scrittura privata. Come nel Codice previgente, l’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.
Gli atti con firma elettronica avanzata possono integrare la forma scritta, salvo che che nei casi previsti dall’art. 1350 c.c., 1 comma, nn. 1-12.
I problemi? Non si conosce a priori la sicurezza della firma elettronica avanzata.
Le opportunità? Nuove possibilità di firme. Per esempio, la One Time Password utilizzata da alcune banche o la firma autografa apposta su tablet, verificate le caratteristiche e verificato il contesto anche procedurale in cui la firma è inserita e le caratteristiche del documento.
Oggi entrano in vigore le modifiche al Codice dell’amministrazione digitale (CAD) introdotte dal d. lgs. 235/2010.
Molte sono le novità, molte le opportunità e non mancano gli errori.
Il Cad modificato consta di quasi 100 articoli: non possiamo commentarlo in un solo post. Cominciamo quindi oggi la pubblicazione dei commenti, a puntate.
La firma elettronica avanzata
Su questo abbiamo già scritto molto (link).
Riprendiamo i concetti principali.
Il nuovo Codice dell’amministrazione digitale prevede un nuovo, quarto, tipo di firma che può essere apposta con mezzi informatici: la firma elettronica avanzata.
La “firma elettronica avanzata” è una firma elettronica con alcune caratteristiche di sicurezza.
La definizione precisa è “un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”.
Ma nella definizione non si fa riferimento al certificato ne’ al dispositivo sicuro.
I documenti informatici con firma elettronica avanzata, firma elettronica qualificata, firma digitale, hanno la medesima efficacia probatoria, quella prevista dall’art. 2702 del codice civile per la scrittura privata. Come nel Codice previgente, l’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.
Gli atti con firma elettronica avanzata possono integrare la forma scritta, anche nei casi previsti dall’art. 1350 c.c., 1 comma, nn. 1-12.
I problemi? Non si conosce a priori la sicurezza della firma elettronica avanzata.
Le opportunità? Nuove possibilità di firme. Per esempio, la One Time Password utilizzata da alcune banche o la firma autografa apposta su tablet, verificate le caratterische.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
