Le responsabilità dei provider internet: chi sbaglia paga un conto salato

Gli Internet Service Provider, sono quelle aziende che forniscono servizi internet, in particolare servizi di connessione, trasmissione, e memorizzazione dati anche attraverso la messa a disposizione delle proprie apparecchiature per ospitare siti. Il provider internet è essenzialmente un intermediario.

Il principale servizio fornito in rete è quello di accesso (access provider), ma ve ne sono altri, come la fornitura di mail, di spazio web per un sito (hosting), e così via. Qualsiasi attività venga posta in essere sulla rete, passa sempre attraverso l’intermediazione di un provider, e i dati transitano attraverso i suoi server.

Responsabilità penale e civile

In caso di violazione delle norme di legge, commesse attraverso la pubblicazione di contenuti immessi in rete a mezzo dei servizi dei provider, si pone il problema della eventuale responsabilità. Esistono due tipi di responsabilità:

–       quella civile, che si ha nel momento in cui si realizza un danno ingiusto ad una persona;

–       quella penale, che si ha quando viene commesso un reato.

Nel secondo caso esiste una responsabilità solo se l’azione costituente reato è stata commessa personalmente.

E’ più complicato, rispetto alla vita reale, attribuire un reato o comunque una responsabilità ad una persona nel web, date le ovvie difficoltà di identificare gli individui che commettono degli illeciti.

Per la difficoltà nel rintracciare l’autore di un illecito si è valutato che il soggetto più facile da reperire è proprio il provider, cioè l’azienda che mette a disposizione lo spazio web o genericamente il servizio attraverso il quale viene commesso l’atto illecito.

Il codice di autoregolamentazione dell’AIIP (Associazione Italiana Internet Provider), afferma che:

• “il fornitore di contenuti è responsabile delle informazioni che mette a disposizione del pubblico“.

Nell’ipotesi in cui l’illecito sia posto in essere non dal provider ma da un utente dei suoi servizi, occorre innanzitutto verificare l’esistenza di una reale possibilità tecnica per il provider di conoscere tutti i contenuti. Nel momento in cui il provider venga a conoscenza del contenuto illecito, non ha l’autorità di eliminare qualcosa che, dal punto di vista del diritto di proprietà, non gli appartiene, si esporrebbe ad una azione di risarcimento del danno per violazione contrattuale. Deve inoltre agire tutelando i diritti dell’utente e le sue libertà, in particolare la libertà di manifestazione del pensiero protetta dall’art. 21 della Costituzione. Infine, nel nostro ordinamento la valutazione degli illeciti è demandata esclusivamente all’autorità giudiziaria, quindi consentire tale facoltà al provider significherebbe concedergli un potere enorme di censura.

L’Unione europea ha approntato una dettagliata normativa al fine di regolamentare l’attività degli intermediari della comunicazione in maniera unitaria negli Stati dell’Unione. Tale normativa è la direttiva Europea 31/2000/CE sul commercio elettronico, poi recepita quasi pedissequamente dai paesi membri, compreso l’Italia con il Decreto Legislativo del 9 aprile 2003, n. 70.

Il decreto 70 del 2003 disciplina l’attività dei prestatori di servizi in rete, e in tale ottica esenta alcuni prestatori dalla responsabilità per gli illeciti commessi dagli utenti tramite i loro servizi, in presenza di specifici requisiti. In linea generale il decreto sancisce che i provider non sono responsabili delle informazioni trattate e delle operazioni compiute da chi fruisce del servizio, a patto che non intervengano in alcun modo sul contenuto o sullo svolgimento delle stesse operazioni, circostanza tra l’altro già ricavabile dal nostro ordinamento.

La responsabilità dell’intermediario, quindi, viene definita in negativo, cioè, se sussistono le condizioni di cui al decreto, allora l’intermediario non è responsabile degli illeciti commessi dagli utenti utilizzando i suoi servizi, se invece il provider non si adegua alle norme, ne diviene responsabile ai sensi dell’art. 2055 c.c., solidalmente con l’autore dell’illecito. Si tratta, quindi, di una responsabilità per colpa specifica, cioè per violazione di legge.

L’art. 14 del decreto dispone che, nella prestazione di servizi di semplice trasmissione di informazioni o nel fornire un accesso alla rete di comunicazione (mere conduit o semplice trasporto), il prestatore non è responsabile delle informazioni trasmesse a condizione che non dia origine alla trasmissione, che non selezioni il destinatario della trasmissione e che non selezioni né modifichi la trasmissione medesima, cioè le informazioni veicolate.

È chiaro che l’esenzione di responsabilità sussiste fin quando il prestatore si trovi in una posizione di assoluta neutralità rispetto all’informazione veicolata.

L’art. 15 si occupa delle attività di caching, sancendo la non responsabilità del prestatore di servizi di memorizzazione automatica, intermedia e temporanea effettuata al solo scopo di rendere più efficace il successivo inoltro delle informazioni ad altri destinatari, purché il provider non modifichi le informazioni trasmesse, si conformi alle condizioni di accesso alle informazioni e alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore, non interferisca con l’uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull’impiego delle informazioni.

Quindi, l’intermediario, per essere esente da responsabilità, deve conformarsi alle condizioni di contratto e a quanto previsto dal fornitore delle informazioni, il quale resta nella piena disponibilità delle proprie comunicazioni, in riferimento all’accesso alle informazioni, nonché al loro aggiornamento.

L’articolo 16 si occupa della prestazione di servizi di hosting, cioè la memorizzazione di informazioni fornite da un utente, fornendo uno spazio nel proprio server con i relativi servizi. È il caso dell’host provider, ossia il prestatore che si limita ad offrire ospitalità sui propri server ad un sito internet gestito da altri in piena autonomia.

Nell’ipotesi dei servizi di hosting si differenzia la responsabilità penale, per la quale è richiesta l’effettiva conoscenza delle attività o delle informazioni illecite, da intendersi in senso rigoroso in conformità ai principi dell’imputabilità penale, e quella civile, rispetto alla quale si impone la valutazione di colpa per negligenza del prestatore, a fronte dell’allegazione della conoscenza sostanziale, di fatti o circostanze, che rendano manifesta l’illiceità dell’attività o dell’informazione, senza che ciò possa implicare l’esecuzione di un controllo sui contenuti veicolati, in assenza di specifiche segnalazioni da parte di soggetti terzi.

Allo stato solo la Finlandia ha una regolamentazione di questo aspetto (anche se limitatamente al diritto d’autore).

Il tribunale di Firenze con una recente ordinanza, con la quale si è stabilito che, per aversi l’effettiva conoscenza dell’illiceità dei dati veicolati dall’hosting provider, tramite i suoi servizi, è necessario che un organo competente abbia valutato che i dati sono illeciti, oppure abbia ordinato la rimozione dei dati o la disabilitazione dell’accesso ai medesimi.

Quindi, la conoscenza effettiva della pretesa illiceità dei contenuti del sito, non può “essere desunta neppure dal contenuto delle diffide di parte, trattandosi di prospettazioni unilaterali“, ed occorre una notification qualificata.

A fronte di una generale esenzione di responsabilità, l’hosting provider risponde degli illeciti dei suoi utenti qualora, non appena sia a conoscenza di fatti,non si attivi per rimuovere le informazioni illecite o per disabilitarne l’accesso, ai fini della responsabilità civile, se il provider è informato di fatti o circostanze non si attivi per informare l’autorità competente.

La responsabilità dell’host provider è stata affermata nel caso dell’uso, da parte di terzi, di siti recanti nomi a dominio lesivi di un marchio noto, ma solo nel caso in cui l’attività di registrazione del domain name sia stata curata dal provider medesimo.

L’art. 17 prevede come clausola generale, l’inesistenza di un obbligo generale di sorveglianza a carico del prestatore di servizi, sulle informazioni che trasmette o memorizza, o di un obbligo generale di ricercare attivamente, fatti o circostanze che indichino la presenza di attività illecite, imponendo così al fornitore di svolgere un ruolo meramente passivo. Ciò comporta l’impossibilità di applicare l’art. 40 del codice penale ai provider, che fonda la punibilità del concorso nel reato altrui per omissione.

Il comma 3 aggiunge: “il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall’autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per impedire l’accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l’accesso, non ha provveduto ad informarne l’autorità competente“. L’ovvero indica che è sufficiente una delle due ipotesi per far scattare la responsabilità.

Ovviamente, l’obbligo di comunicare le informazioni “in suo possesso” , non implica alcun obbligo di controllo sulla veridicità dei dati forniti dall’utente al momento della sottoscrizione del servizio, in assenza di norme comunitarie che pongano a carico del prestatore l’identificazione certa degli utenti.

La responsabilità del content provider, cioè delle società che forniscono informazioni e dati a siti web o a pubblicazioni elettroniche non è considerata nella normativa suddetta.

La giurisprudenza ritiene, che chi fornisce contenuti, risponde direttamente per gli eventuali illeciti perpetrati con la diffusione dei propri contenuti. Se però si tratta di contenuti immessi da terzi, dove l’attività dell’utente è del tutto autonoma, rispetto a quella del provider, sorge il problema di quale sia la responsabilità in capo al content controparte

Si ritiene sussista una responsabilità del provider, nel momento in cui quest’ultimo non consenta di identificare il soggetto resosi autore di un reato. La responsabilità del provider si ricollega, quindi, soprattutto alla protezione (oggettiva) dell’anonimato del gestore del sito, più che all’attività di hosting in sé considerata.

Con sentenza pubblicata lo scorso 10 gennaio, il Tribunale di Roma ha accertato la responsabilità di un provider, una piattaforma di condivisione di contenuti online, per la violazione dei diritti connessi ex artt. 78ter e 79LdA spettanti , sui propri programmi, in relazione alla mancata rimozione di numerosi video dei programmi, illecitamente caricati sulla piattaforma dagli utenti. Il Tribunale ha così condannato alla rimozione dei contenuti, ad impedire l’eventuale futuro caricamento degli stessi con fissazione di penale di € 1.000 per ogni ulteriore violazione, al risarcimento dei danni per 8,5 milioni di euro, al rimborso delle spese legali e alla pubblicazione della sentenza.

Nel pronunciarsi nel merito, il Tribunale ha innanzitutto ricordato che, in base al quarantaduesimo considerando della Direttiva, e come confermato dalla giurisprudenza concorde sia della Corte di Giustizia UE (CGUE) che dei Tribunali nazionali, gli ISP non sono responsabili delle operazioni compiute dai propri utenti, ai sensi e nei limiti delle norme summenzionate, solo quando svolgono attività di hosting passivo, cioè un’attività di carattere puramente “tecnico, automatico e passivo” tale che l’ISP “non conosce né controlla le informazioni trasmesse o memorizzate” al contrario, ne sono responsabili quando svolgono attività di hosting attivo, consistente in una qualsiasi forma di gestione/intervento/selezione delle informazioni. D’altro canto, precisa il Tribunale in accordo con la giurisprudenza della CGUE, in conformità con l’art. 15 della Direttiva e dell’art. 17 del Decreto, nemmeno all’hosting provider attivo può imporsi un obbligo generalizzato di sorveglianza e controllo preventivo del materiale messo in rete dagli utenti, poiché ciò si risolverebbe in una violazione della libertà di impresa del provider e in una inammissibile compressione dei diritti di informazione e libertà di espressione degli utenti; non è quindi pensabile, ad esempio, imporre al provider l’adizione di sistemi di filtraggio di tutti i contenuti che transitano sui suoi servizi. Sorge però la responsabilità del provider quando questi abbia avuto conoscenza dell’illiceità dei contenuti, per esserne stato debitamente informato dall’autorità ovvero dal titolare dei diritti.

In questo caso, il Tribunale di Roma ha accertato che il provider non si limitava a mettere dei contenuti a disposizione degli utenti, ma li riorganizzava secondo criteri complessi selezionandoli, indicizzandoli, associandoli tra loro e correlandoli alle preferenze dell’utente, offrendo inserzioni pubblicitarie e la possibilità di cercare i file direttamente sulla piattaforma. Su queste premesse, il Tribunale ha accertato la sua natura di content provider che svolge attività di hosting attivo concludendo che, come tale, è posto nella condizione di conoscere le operazioni illecite compiute dai propri utenti. In aggiunta, esso era stato adeguatamente informato dell’esistenza di contenuti illeciti sul proprio portale.

Da quanto precede è derivato l’accertamento della responsabilità del provider , per concorso colposo nell’illecito, con la conseguente condanna al risarcimento del danno subito dalla controparte.

A tale proposito, il Tribunale ha ritenuto che il criterio di liquidazione del danno più adatto fosse quello del “prezzo del consenso” ovvero della royalty ragionevole, e ha usato come parametro per il calcolo una media tra i corrispettivi di licenza applicati dalla controparte in casi analoghi. La cifra così ottenuta, superiore ai 10 milioni di euro, è stata poi ridotta in via equitativa, per tenere conto del fatto che il provider aveva prontamente rimosso i contenuti non appena informato delle relative URL, che i suoi guadagni dalla pubblicità effettuata sui contenuti contestati erano stati estremamente ridotti e che anche il numero di visualizzazioni e download degli stessi era stato abbastanza contenuto.

La Corte di cassazione sez I, con la sentenza del 19 marzo 2019, n. 7708 (responsabilità dell’hosting provider), aveva nell’ambito dei servizi della società dell’informazione, aveva definito che la responsabilità dell’hosting provider, prevista dall’art. 16 d.lgs. n. 70 del 2003, sussiste in capo al prestatore di servizi che non abbia provveduto alla immediata rimozione dei contenuti illeciti, nonchè se abbia continuato a pubblicarli, pur quando ricorrano congiuntamente le seguenti condizioni:

–       1) sia a conoscenza legale dell’illecito perpetrato dal destinatario del servizio, per averne avuto notizia dal titolare del diritto leso oppure aliunde;

–       2) l’illiceità dell’altrui condotta sia ragionevolmente constatabile, onde egli sia in colpa grave per non averla positivamente riscontrata, alla stregua del grado di diligenza che è ragionevole attendersi da un operatore professionale della rete in un determinato momento storico;

–       3) abbia la possibilità di attivarsi utilmente, in quanto reso edotto in modo sufficientemente specifico dei contenuti illecitamente immessi da rimuovere. Resta affidato al giudice del merito l’accertamento in fatto se, sotto il profilo tecnico-informatico, l’identificazione di video, diffusi in violazione dell’altrui diritto, sia possibile mediante l’indicazione del solo nome o titolo della trasmissione da cui sono tratti, o, invece, sia indispensabile, a tal fine, la comunicazione dell’indirizzo “url”, alla stregua delle condizioni esistenti all’epoca dei fatti.

L’hosting provider attivo è il prestatore dei servizi della società di informazione il quale svolge un’attività che esula da un servizio di ordine meramente tecnico, automatico e passivo, e pone, invece, in essere una condotta attiva, concorrendo con altri nella commissione dell’illecito, onde resta sottratto al regime generale di esenzione di cui all’articolo 16 d.lgs. n. 70 del 2003, dovendo la sua responsabilità civile atteggiarsi secondo le regole comuni.

Possiamo dire quindi che la responsabilità del provider si configura alla stregua di una responsabilità soggettiva:

–       colposa, quando il fornitore del servizio, consapevole della presenza sul sito di materiale sospetto, si astenga dall’accertarne l’illiceità e, al tempo stesso, dal rimuoverlo;

–       dolosa, quando egli sia consapevole anche della antigiuridicità della condotta dell’utente e ometta di intervenire.

Sentenza Cassazione Responsabilità provider internet

Tribunale Roma Responsabilità provider internet