Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 22 maggio 2017 ha pubblicato un’analisi di Giusella Finocchiaro sulle implicazioni giuridiche correlate al fenomeno Blue Whale.
Le recenti notizie di suicidi di adolescenti indotti via Internet con il gioco Blue Whale sollevano ancora una volta il problema della responsabilità giuridica.
Chi è il responsabile? In questo caso, anche penalmente? Certamente chi è l’autore del reato, ma questi è spesso anonimo e difficilmente individuabile. Oltre a questo, anche il social network che ha diffuso la comunicazione? A differenza dell’autore del reato, infatti, i social network, così come i gestori del sito e di blog, sono più facilmente individuabili. Il tema della responsabilità del provider fu affrontato già alla fine degli anni ‘90, quando l’Unione Europea ha elaborato la direttiva sul commercio elettronico, poi approvata nel 2000. In quella direttiva fu affermato il principio in base al quale il provider non ha obbligo di controllo e sorveglianza preventivi. Allora come oggi gli elementi a favore della responsabilità del provider (ovviamente ulteriore, rispetto a quella dell’autore dell’illecito) erano: individuabilità e solvibilità del soggetto, possibilità per questi di effettuare un controllo. Dall’altro lato, gli argomenti contro erano: la difficoltà tecnica di effettuare un controllo preventivo , il condizionamento esercitato dal controllo preventivo (ad esempio sull’espressione di un’opinione libera) , il costo dell’attività di controllo.
Mentre è evidente che il provider o il social network siano nella migliore posizione per effettuare un controllo preventivo, meno evidenti sono i costi del controllo, sia sotto un profilo economico che sotto un profilo sociale. Il controllo, infatti, richiede risorse economiche e tecnologiche, mentre se esercitato da un soggetto economico quale il provider potrebbe portare ad una forma di censura privata. Si giunse quindi all’affermazione dell’assenza dell’obbligo di sorveglianza e controllo preventivi. In giurisprudenza si è affermata, talvolta, la responsabilità del gestore del sito o del provider per mancata collaborazione con l’autorità giudiziaria o per mancata rimozione del contenuto lesivo, quando richiesto. In tali casi il gestore o il provider potrebbero, secondo le circostanze, essere ritenuti concorrenti nell’illecito.
In altri casi i giudici hanno cercato di costruire una responsabilità per altra via: per esempio, attraverso la legge sulla protezione dei dati personali o attraverso la legge sul diritto d’autore. Così per esempio el caso di Google- Vividown. Secondo la recente legge sul cyberbullismo i gestori di piattaforme virtuali come i social network e, in generale, tutti i fornitori di contenuti du Internet possono essere destinatari di richieste di oscuramento o rimozione di contenuti lesivi.Oggi dunque il social network non è responsabile, salvo letture molto recenti della giurisprudenza come nel caso Cantone, che hanno portato il Tribunale di Napoli (3 novembre 2016) a stabilire la responsabilità del provider che ha l’obbligo di rimuovere i contenuti (nello specifico link a siti di terze parti pubblicati da utenti del social network) semplicemente su richiesta di un utente e senza attendere l’ordine di un’autorità giudiziaria.
Questo modello è attualmente in discussione e alcuni richiedono di configurare la responsabilità del provider e di eliminare l’anonimato.
Il problema è, come sempre, chi debba dettare le regole, e anche il legislatore europeo ha un campo di azione limitato. Come per il fenomeno delle fake news, i grandi operatori propongono un sistema di autoregolamentazione. Ma ovviamente, mai come in questo caso, trattandosi di un fenomeno in corso di stabilizzazione, dettare le regole significa esercitare il potere.
Accogliendo le richieste di Assoprovider, Confcommercio e Assintel, la Terza Sezione del Tar Lazio ha annullato il regolamento dell’Agenzia per l’Italia Digitale sui requisiti di accreditamento dei Gestori di identità digitale basati sui requisiti di capitale e sull’entità delle polizze assicurative.
Con sentenza n. 10214/2016 il Tar Lazio si è pronunciato sulla richiesta di annullamento del regolamento Agid che definiscele caratteristiche del sistema SPID (sistema pubblico di identità digitale). Il Tar ha accolto parzialmente il ricorso rispetto al tetto di capitale sociale minimo e alla stipula di polizza assicurativa richiesta per l’accreditamento dei gestori di identità digitale.
Per quanto riguarda il capitale sociale minimo l’annullamento del TAR non avrà un impatto specifico in quanto il regolamento non fa alcun riferimento preciso al capitale sociale ma si limita a richiamare i principi contenuti nell’art.10comma 3 DPCM del 24/10/2014 già annullato il 24 marzo 2016 da una sentenza del Consiglio di Stato.
La Presidenza del Consiglio dei Ministri aveva fatto ricorso al Consiglio di Stato dopo la bocciatura del Tar del Lazio, sul tema dell’elevato capitale sociale necessario per poter diventare “Identity Provider Spid”. Il Consiglio di Stato ha invece confermato la decisione del Tar del Lazio che aveva accolto i ricorsi delle Associazioni Assintel e Assoprovider, secondo cui l’applicazione del Decreto avrebbe impedito a molte imprese del settore ICT di concorrere per diventare fornitore del sistema di identificazione. Secondo i ricorrenti, il limite sarebbe stato in contrasto con la normativa antitrust e con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
L’Agid ha sottolineato che comunque per i soggetti che intendono avviare l’attività di gestore dell’identità digitale il nuovo Codice dell’Amministrazione Digitale (CAD) prevede un tetto massimo di capitale sociale di cinque milioni di euro e una graduazione specifica in proporzione al livello di servizio offerto. Sarà compito dell’Agenzia fissare le nuove regole tecniche per l’accreditamento in base alle indicazioni fornite dal nuovo CAD.
Il Tar ha annullato anche il requisito delle “polizze assicurative di importo molto elevato, rapportato al numero di identità digitali gestite, quantomeno laddove non emergono in modo congruo e adeguato le ragioni che giustificano detti importi, in relazione ai rischi che in concreto si corrono con l’attività in esame e ai possibili danni a terzi già prevede l’adozione di rigorose norme di cautela”.
Anche a questo riguardo, tuttavia, l’Agid ha ricordato che per quanto riguarda la stipula di polizze previste per la copertura dei rischi che derivano dall’’attività di identity provider, il nuovo CAD prevede la definizione di una graduazione che possa assicurarne l’adeguatezza in proporzione al livello di servizio offerto dal gestore.
La sentenza del TAR non incide direttamente sugli accreditamenti fatti finora da AGID. I gestori accreditati continuano a svolgere le proprie attività di erogazione delle identità e i Pin rilasciati finora rimangono validi. Resta inoltre immutata la disposizione della regolamentazione che prevede che i costi dell’accreditamento siano a carico sostanzialmente degli enti accreditati. Rimane concreta la possibilità di ricorso per le imprese che non hanno potuto partecipare alle procedure di accreditamento in virtù dei requisiti dichiarati poi illegittimi.
I provider sono obbligati a rimuovere un contenuto dai loro servizi solo se tale contenuto è stato dichiarato illecito dalle autorità competenti.
Questa, in estrema sintesi, la motivazione con cui Tribunale di Firenze ha respinto un ricorso che chiedeva di ordinare a Google la rimozione di un link ad un sito sul quale, secondo il ricorrente, sarebbero stati diffusi alcuni contenuti in violazione dei suoi diritti di proprietà intellettuale e della sua reputazione.
Il giudice Anna Primavera, dopo aver rilevato che le supposte violazioni non erano state accertate dalle autorità ma si basavano solo sulle diffide della parte ricorrente, ha escluso la responsabilità del fornitore di servizi.
Alla luce dell’interpretazione dell’art.14 della Direttiva sul Commercio Elettronico fornita dalla Corte di Giustizia della CE, infatti, un prestatore di servizi non può essere ritenuto responsabile per i dati che ha memorizzato su richiesta di un inserzionista salvo che, dopo essere venuto a conoscenza della natura illecita di tali dati, abbia mancato di rimuoverli prontamente. Per valutare se un prestatore di servizi abbia effettiva conoscenza dell’illiceità di dati veicolati attraverso il suo servizio è tuttavia necessario che “un organo competente abbia dichiarato che i dati sono illeciti, oppure abbia ordinato la rimozione o la disabilitazione dell’accesso agli stessi, ovvero che sia stata dichiarata l’esistenza di un danno”.
La decisione del Tribunale di Firenze sancisce così che un fornitore di servizi non può essere obbligato a rimuovere un contenuto solo su segnalazione di un’azienda o di un privato cittadino dal momento che non basta una diffida di parte per sancire una violazione.
Questo assunto, alla base del principio di non responsabilità del provider, rischia di essere delegittimato dall’eventuale approvazione della già citata proposta di emendamento dell’On.Fava. Il parlamentare propone infatti una normativa che delinea un profilo di responsabilità per il gestore di servizi di hosting qualora esso sia al corrente di fatti o di circostanze “in base ai quali un operatore economico diligente avrebbe dovuto constatare l’illiceità dell’attività o dell’informazione, avvalendosi a tal fine di tutte le informazioni di cui disponga, comprese quelle che gli siano state trasmesse dal titolare del diritto violato”.
Il 14 luglio 2011 è stato presentato alla camera il disegno di legge n.4511, “Modifica degli articoli 16 e 17 del d.lgs. 9 aprile 2003, n. 70, in materia di responsabilità e di obblighi dei prestatori di servizi della società dell’informazione”.
Le modifiche al decreto legislativo, incentrato sulla lotta alla contraffazione e sulla vendita legalizzata di farmaci, sono volte ad attribuire responsabilità, in materia di tutela del diritto di proprietà industriale e intellettuale, per gli intermediari e per i fornitori di servizi.
Analogamente a quanto prescritto dal nuovo regolamento dell’Agcom, secondo le modifiche contenute nel disegno di legge le informazioni relative a prodotti o servizi che violano la proprietà industriale o intellettuale dovrebbero essere rimosse immediatamente dai provider a seguito a segnalazioni da parte dell’Autorità o di soggetti privati.
Il disegno di legge tuttavia si spinge oltre stabilendo che “in ogni caso”, e quindi si suppone anche nel caso di una pronta rimozione, le esenzioni e le deroghe in materia di responsabilità dei provider non si applicano qualora il provider “non abbia adempiuto al dovere di diligenza che è ragionevole aspettarsi da esso”, e, in particolare, qualora non abbia provveduto all’adozione di “filtri tecnicamente adeguati che non abilitino l’accesso ad informazioni dirette a promuovere o ad agevolare la messa in commercio di prodotti o di servizi”.
I filtri dovrebbero essere operare su determinate parole chiave che indicano chiaramente che i prodotti o i servizi non sono originali, sia che vengano digitate isolatamente o “in abbinamento a un marchio o a un segno distintivo di cui il destinatario del servizio non abbia dimostrato di essere il titolare o il licenziatario”; In aggiunta il provider dovrebbe istituire ulteriori filtri sull’accesso ad informazioni dirette a promuovere prodotti o di servizi contraffattori, preventivamente comunicate al provider dai legittimi titolari dei diritti di proprietà industriale.
Dovrebbe inoltre essere inibito l’accesso ad informazioni su prodotti la cui commercializzazione è riservata a canali di vendita particolari o che richieda prescrizione medica.
Esaminare il tema, assai complesso, della responsabilità del provider oggi impone di distinguere due profili: il primo, tecnico-giuridico; il secondo, di politica legislativa.
1) Profilo tecnico-giuridico: applicazione delle norme vigenti
L’aspetto tecnico-giuridico è in estrema sintesi il seguente: è corretto argomentare, come fanno molte recenti sentenze italiane, nel senso dell’esclusione dell’esonero da responsabilità per il provider previsto dall’art. 17 del d. lgs. 70/2003? E quindi affermare che il provider è responsabile?
L’art. 17 dispone che il provider non è tenuto ad un obbligo di sorveglianza.
L’art. 16 dispone che il provider di hosting non è responsabile delle informazioni memorizzate se non è a conoscenza del fatto che l’informazione è illecita.
Il provider è invece responsabile se non rimuove o disabilita l’accesso, ma avendo ricevuto una richiesta dell’autorità.
La questione cruciale è: chi qualifica l’illiceità dell’informazione?
Certo non il soggetto che è interessato a rimuovere l’informazione, né il provider che cautelativamente potrebbe scegliere (anche a legislazione vigente) di rimuovere sempre le informazioni. Dovrebbe provvedere un terzo, rispetto alle parti, cioè il giudice.
Questa è la questione più delicata: la prova della conoscenza da parte del provider e la qualificazione dell’illiceità delle informazioni.
2) Profilo di politica legislativa: modifiche normative
Se si ritiene che chi trae anche indirettamente profitto dalla pubblicazione delle informazioni ne debba rispondere, allora va modificata la normativa vigente e va adottato un regime giuridico più vicino al DMCA statunitense, ove si declinano l’effettiva conoscenza e il sistema di notice and take down. E a questo ordinamento sembra ispirarsi il giudice della sentenza Yahoo!.
La giurisprudenza italiana sembra stia cercando di costruire una responsabilità del provider come fornitore di contenuti, nonostante una previsione normativa in senso diverso. Ma occorre un intervento legislativo.
“È sempre più efficace agire sulla fonte stessa del contenuto, facendolo ritirare dagli Host provider, piuttosto che farlo bloccare dagli ISP. Un contenuto bloccato rimane comunque online ed è soltanto temporaneamente inaccessibile, dal momento che il filtro è facilmente aggirabile“, così si è espressa Carole Gay responsabile degli affari giudiziari e normativi dell’AFA, l’ associazione francese dei fornitori di accesso e di servizi internet, protestando contro la legge LOPPSI 2, recentemente approvata dai deputati francesi.
Il provvedimento mira a rendere i siti pedopornografici irraggiungibili dai cittadini e attribuisce ai fornitori di connettività la responsabilità del loro oscuramento, tramite un sistema di filtraggio che impedisce agli utenti di raggiungere un determinato indirizzo IP. Si tratta della stessa tecnica recentemente imposta agli ISP italiani dalla Cassazione nel caso di The Pirate Bay, qui precedentemente descritta.
L’analogia con il caso di The Pirate Bay si ritrova anche nella reazione dei provider. L’associazione dei fornitori di accesso alla rete francese ha espresso infatti lo stesso parere della nostrana AIIP (associazione italiana internet provider) riguardo ad una legislatura che finisce per penalizzare gli intermediari piuttosto che i produttori di contenuti illeciti. Per di più inutilmente, visto che un utente determinato ad infrangere la legge non sarà certo ostacolato da sistema di filtraggio basilare, per aggirare il quale sono reperibili molte guide in rete, naturalmente senza contare il ricorso ai programmi di file sharing.
Il discusso schema di decreto legislativo presentato dal viceministro Paolo Romani ha ottenuto un parere positivo da parte dalle commssioni parlamentari Cultura e Trasporti. Romani era intervenuto mercoledì davanti alle Commissioni dichiarando la disponibilità del Governo ad apporre alcune modifiche al testo. Il documento approvato oggi presenta così 31 richieste di modifica.
Il relatore del testo che riporta il parere della commissioni, Alessio Butti (PdL), ha dichiarato che le principali modifiche per ciò che riguarda internet vertono su una più rigorosa definizione di servizio di media audiovisivo. “Si stabilisce senza equivoco che i blog di video amatoriali, i giornali online, i motori di ricerca, le versioni elettroniche delle riviste non sono disciplinati dalla nuova normativa, sono liberi” ha dichiarato Butti e ha aggiunto: “ho ulteriormente precisato che la responsabilità editoriale incombe su terzi e non sui provider che “ospitano” e trasmettono contenuti realizzati da altri“.
La seconda modifica che concerne la rete è nella richiesta che riguarda la dichiarazione di inizio attività di un sito web per la diffusione di contenuti on demand. La Commissione chiede che sia trasmessa all’Authority anziché al Ministero specificando che la verifica dell’Agcom debba avvienire solo dopo che il sito abbia avviato la sua attività.
Il testo definitivo del decreto dovrebbe arrivare al Consiglio dei Ministri per l’approvazione entro la fine della prossima settimana.
-
Dal 2001 specializzato in diritto di Internet e dell'Informatica
-
Tutti i contenuti di questo blog sono sottoposti ad una licenza Creative Commons
