I Provider e natura della loro responsabilità giuridica.

LA RESPONSABILITA’ PENALE DEL PROVIDER.

3. La responsabilità penale dell’Internet Service Provider (ISP)

3.1. I Provider e natura della loro responsabilità giuridica.

Con l’espressione Internet Service Provider (ISP), in italiano “fornitore di servizi internet”, si allude al «soggetto che esercita un’attività imprenditoriale di prestatore di servizi della società dell’informazione offrendo servizi di connessione, trasmissione e immagazzinamento dei dati, ovvero ospitando un sito sulle proprie apparecchiature»53_{. Attraverso, quindi, un contratto di fornitura, il} provider fornisce ad un altro soggetto, il cliente, l’accesso alla rete di

52_{Questa soluzione era ulteriormente avvalorata nel caso concreto dalla circostanza} che il soggetto imputato rivestisse, oltre alla posizione di direttore del giornale telematico, anche il ruolo di amministratore del sito web.

53_{Relazione Illustrativa che ha accompagnato la notifica dello schema di d. lgs. alla} Commissione Europea effettuata ai sensi della direttiva 98/34/CE con nota n. 2003 DAR 2009/I del 24 gennaio 2003. Per una definizione e classificazione più approfondita si rimanda a M. L. MONTAGNANI, Internet, Contenuti illeciti e responsabilità degli

Internet ed ulteriori servizi aggiuntivi gratuiti o a pagamento quali, ad esempio, la posta elettronica54_{. Nello specifico, i provider possono} consentire ai propri utenti internet di ospitare le informazioni permanentemente sulle proprie piattaforme informatiche oppure di condividerle più facilmente attraverso servizi di memorizzazione temporanea. Nel secondo caso si parla di “caching provider” (si pensi ai servizi di browser forniti da Google) e nel primo di ”hosting provider” (si pensi alla piattaforma Youtube fornita sempre da Google per la condivisione permanente e la visualizzazione di file video). Inoltre, accanto anche ad altri servizi, come la messa a disposizione di account email o la gestione di chatline, mailing lists, i provider possono occuparsi della vera e propria redazione gli contenuti da immettere poi sulla rete (si parla in questo caso di “content provider”).

Se, dunque, da un lato internet non solo incentiva la comunicazione sociale e, in generale, lo sviluppo economico, ma diventa anche strumento di attuazione di valori costituzionalmente rilevanti come la libertà di manifestazione del pensiero, tuttavia è anche vero, dall’altro, che la rete ha le potenzialità per diventare – come anche la prassi dimostra – un moltiplicatore di illeciti55_{: si pensi,} a titolo meramente esemplificativo, alla violazione del diritto alla privacy o del diritto d’autore sul versante civilistico e alla diffamazione via web, su quello penalistico.

In questo contesto ben si comprende, allora, come sia inevitabile che i provider, in quanto soggetti intermediari ma non solo, acquisiscano un ruolo fondamentale nel quadro di attribuzione delle

54_{Cfr. N.}_L_ASORSA_B_ORGOMANERI_{, La Responsabilità dell’ISP per la violazione del diritto di}

autore: dal caso RTI/Youtube alla delibera AGCOM, in Diritto dell’Internet, Manuale Operativo, a cura di G.CASSANO,G.SCORZA,G.VACIAGO, Milano, 2013.

55_{Cfr. G. P.}_A_CCINNI_{, Profili di responsabilità penale dell’hosting provider “attivo”, in Arch.}

responsabilità civili e penali per gli illeciti commessi online. Questa circostanza è ancor più vera se si osserva come lo strumento telematico, per le proprie fisiologiche e intrinseche caratteristiche56_{, generi} inevitabilmente la difficoltà, se non in alcuni casi l’impossibilità, di identificare e punire l’autore materiale della violazione57_.

Quando si tratta della responsabilità del provider occorre tenere presente che i soggetti coinvolti nel rapporto giuridico sono tre: da un lato, appunto, il provider quale soggetto che mette a disposizione il servizio Internet o lo spazio sul web, dall’altro gli utenti che, in qualsiasi forma utilizzano il servizio fornito (la rete in genere o la piattaforma online), infine, i soggetti i cui diritti sono lesi attraverso l’utilizzo della rete internet58_.

Nello specifico, il provider può essere chiamato a rispondere in virtù di due macrocategorie di attribuzione di responsabilità: esso può, infatti, essere responsabile per fatto proprio – come avviene nel caso in cui il content provider pubblichi direttamente esso stesso contenuti illeciti online – o per fatto altrui. Quest’ultima ipotesi si verifica quando, in base allo schema soggettivo poc’anzi illustrato, gli utenti sfruttino il servizio fornito dal provider per la commissione di illeciti. Se nel primo caso la configurabilità della responsabilità penale dell’ISP è priva di qualsivoglia ostacolo interpretativo, meno certa è la possibilità di un suo coinvolgimento per l’illecito realizzato dall’utilizzatore del servizio: l’aspetto problematico di tale prospettazione è direttamente collegato al rischio di uno sconfinamento, rispetto al provider, in una

56_{Cfr. ibidem.}

57_{Cfr. V.}_S_PAGNOLETTI_{, La responsabilità del provider per i contenuti illeciti di internet, in}

Giur. mer., 2004, p. 1922; G.CORRIAS LUCENTE, Ma i network providers, i service providers e gli access providers rispondono degli illeciti penali commessi da un altro soggetto mediante l’uso degli spazi che lo gestisco-no?, in Giur. mer., 2004, p. 2524.

responsabilità oggettiva o da posizione, in chiaro contrasto con il principio di personalità della responsabilità penale59_.

Prima, tuttavia, di procedere all’analisi compiuta della responsabilità penale “da intermediario” dell’internet service provider, occorre effettuare un’ulteriore precisazione. L’ISP, come abbiamo appena accennato, può rispondere per fatto proprio o – e questo è l’oggetto della presente ricerca – per fatto materialmente commesso dagli utenti che usufruiscono dei servizi del provider. È bene ricordare come i provider, di fatto, siano degli enti, di solito in forma societaria, che, mediante un contratto di fornitura stipulato con i singoli clienti, mettono a disposizione l’accesso alla rete e altri servizi accessori. In quanto enti collettivi, dunque, anche i provider sono soggetti alla disciplina di cui al d. lgs. 3/2001 e alla ivi contenuta responsabilità “amministrativa da reato”. Nell’esperienza recente, infatti, le imprese e, in genere, gli enti complessi si configurano sempre più come soggetti capaci di generare o, comunque, favorire la commissione di reati: gli illeciti all’interno dell’ente, quindi, non sono più esclusivamente riconducibili alla responsabilità della persona fisica, facendo, così, emergere «l’inadeguatezza dei vecchi schemi di reato e le conseguenti modalità di repressione dell’illecito»60_.

Gli elementi costitutivi di questa peculiare fattispecie di responsabilità in capo all’ente sono, da un lato, la commissione di un reato da parte di uno dei soggetti riconducibili all’ente nell’interesse o a vantaggio dello stesso, dall’altro la mancata adozione da parte dell’ente di “modelli di organizzazioni e di gestione” idonei a prevenire la commissione di detti reati. Si tenga presente, tuttavia, che

59_{Cfr. V.}_S_PAGNOLETTI_{, La responsabilità, cit., p. 1923; G. P.}_A_CCINNI_{, Profili, cit., p. 2.} 60_P._D_I_G_ERONIMO_{, I modelli di organizzazione e gestione per gli enti di piccole dimensioni, in}

affinché l’ente possa essere chiamato a rispondere per fatti materialmente commessi da un soggetto apicale o da un suo sottoposto, è necessario che l’illecito commesso rientri nell’elenco dei cd. reati presupposto. In sostanza, l’ente non può essere responsabile di qualsiasi fatto criminoso posto in essere dai propri dipendenti, ma solo di una selezione tassativa degli stessi indicati dallo stesso d. lgs. 231/2001.

Nel caso specifico dei provider, acquisiscono rilievo gli artt. 24- bis (per il quale rientrano nell’elenco dei reati presupposto i delitti informatici,), 25-quater (delitti di terrorismo o di eversione del sistema democratico), il 25-quinquies (i reati di pedopornografia), il 25- octies (reati di ricettazione e riciclaggio) 25-nonies (i reati di violazione di proprietà intellettuale), ecc...

La responsabilità, dunque, che si viene a configurare in capo all’ente – provider in virtù del d. lgs. 231/2001 concerne un’ipotesi specifica: e cioè il caso in cui soggetti apicali o soggetti sottoposti alla loro vigilanza commettano uno dei reati prima indicati a vantaggio o nell’interesse del provider stesso e che l’ente-provider non abbia predisposto modelli organizzativi e gestionali tali da impedire la commissione di siffatti reati. A ben vedere, allora, la fattispecie poc’anzi delineata integra un’ipotesi abbastanza circoscritta di responsabilità – penale o amministrativa per reato altrui – del provider. L’ipotesi, infatti, più frequente, e anche più problematica sul piano dogmatico, di responsabilità del provider rispetto a reati commessi da persone fisiche, riguarda il caso in cui siano gli utenti della rete, ovverosia i clienti del provider, a realizzare fatti costituenti reato attraverso la rete e non i suoi “dipendenti” con la finalità e/o l’effetto di procurare un vantaggio economico all’ente-provider presso il quale svolgono attività lavorativa. Come si esporrà nei paragrafi successivi,

la fonte normativa di riferimento per questa tipologia di responsabilità del provider è rappresentata dal d. lgs. 70/2003, attuativo della direttiva europea sul commercio elettronico.

3.2. Il d. lgs. 70/2003.

Il cardine della responsabilità dei provider è costituito dal d. lgs. 70/2003, attuativo della direttiva europea sul commercio elettronico. Preliminarmente occorre evidenziare come la direttiva 2000/31 ha portata generale nel senso che essa ha ad oggetto qualsiasi fatto illecito commesso attraverso la rete e qualsivoglia tipo di responsabilità del provider, e dunque, penale, civile e amministrativa61_{. L’idea ispiratrice} di fondo della disciplina fu quella di creare un regime di sostanziale irresponsabilità del provider al fine di incoraggiare lo sviluppo della rete ed evitare che la previsione di ipotesi di responsabilità per l’ISP costituisse un ostacolo per la crescita del mercato e degli scambi online: il modello normativo di riferimento, in particolare, fu quello statunitense. Tuttavia, l’esperienza pratica acquisita durante il tempo intercorso tra l’approvazione della direttiva e il recepimento sul piano nazionale della stessa ha fatto sì che l’originario e generale regime di irresponsabilità dei provider venisse progressivamente circoscritto attraverso il potenziamento dello strumento risarcitorio da un lato e quello inibitorio dall’altro62_.

61 Cfr. R.PETRUSO, Responsabilità delle piattaforme online, oscuramento di siti web e libertà

di espressione nella giurisprudenza della Corte europea dei diritti dell'Uomo, in Diritto dell'Informazione e dell'Informatica (Il), 3, pp. 511 ss.

Il decreto legislativo del 9 aprile 2003, n. 70, con cui si recepisce la direttiva in questione, delinea, agli artt. 14, 15 e 16 tre diverse attività – in ordine, mere conduit, caching e hosting – riconducibili al provider e alle quali sono associati specifici profili di responsabilità.

In particolare, l’art. 14 stabilisce che nella prestazione di un servizio della società dell'informazione consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, o nel fornire un accesso alla rete di comunicazione, il prestatore non è responsabile delle informazioni trasmesse al sussistere, contestuale, di tre condizioni. In primo luogo, che questi non dia origine alla trasmissione; in secondo luogo che non selezioni il destinatario della trasmissione; infine, che non selezioni né modifichi le informazioni trasmesse. Al secondo comma, l’articolo specifica che le attività di trasmissione e di fornitura di accesso di cui al comma 1 includono la memorizzazione automatica, intermedia e transitoria delle informazioni trasmesse, a condizione che questa serva solo alla trasmissione sulla rete di comunicazione e che la sua durata non ecceda il tempo ragionevolmente necessario a tale scopo. Al terzo comma, infine, si stabilisce il potere dell’autorità giudiziaria o quella amministrativa, di esigere, anche in via d'urgenza, che il prestatore, nell'esercizio delle attività di cui al comma 2, impedisca o ponga fine alle violazioni commesse.

L’art. 15, regolante l’attività di caching, prevede, con una formula simile a quella utilizzata nell’articolo che lo precede che nella prestazione di un servizio della società dell'informazione, consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, il prestatore non è responsabile della memorizzazione automatica, intermedia e temporanea di tali informazioni effettuata al solo scopo di rendere più efficace il

successivo inoltro ad altri destinatari a loro richiesta. L’esenzione da responsabilità del provider, anche in questo caso, è collegata al sussistere contestuale delle seguenti condizioni: che il provider non modifichi le informazioni; che si conformi alle condizioni di accesso alle informazioni; che si conformi alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore; che non interferisca con l'uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull'impiego delle informazioni; che agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l'accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l'accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un’autorità amministrativa ne ha disposto la rimozione o la disabilitazione. Anche in questo caso, viene espressamente previsto in capo all’autorità giudiziaria o quella amministrativa il potere di esigere, anche in via d'urgenza, che il prestatore, nell'esercizio delle attività di cui al comma 1, impedisca o ponga fine alle violazioni commesse.

Infine, l’art. 16, in merito all’attività di hosting (ovverosia l’attività di memorizzazione di informazioni fornite da un destinatario del servizio), stabilisce che nella prestazione di un servizio della società dell'informazione, il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, al ricorrere contestuale di due condizioni. La prima consiste nella necessità che il provider non sia effettivamente a conoscenza del fatto che l’attività o l'informazione sia illecita e non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell'informazione; la seconda, invece, che il provider non appena venga a conoscenza di tali

fatti illeciti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso. Al secondo comma, l’art. 16 prevede che le disposizioni di cui al comma 1 non si applichino se il destinatario del servizio agisce sotto l’autorità o il controllo del prestatore. Infine, anche per l’attività di hosting, viene stabilito lo stesso potere previsto dai due articoli precedenti in capo all’autorità giudiziaria o amministrativa competente.

La questione che occorre evidenziare e chiarire sin d’ora è che, sebbene la direttiva sul commercio elettronico si riferisca a qualsiasi tipologia di responsabilità, gli articoli ora riportati, pur ponendo degli obblighi di rimozione in capo al provider, non vi ricollegano espressamente una responsabilità di natura penale né, dunque, stabiliscono le relative sanzioni. Il punto nodale della presente ricerca diventa, allora, posti i principi di legalità, prevedibilità e determinatezza che ineriscono l’incriminazione penale, la configurabilità di una responsabilità penale del provider ove questa non sia espressamente prevista dalla fonte normativa di riferimento: le due strade rispetto alle quali, tradizionalmente, ci si è interrogati sulla configurabilità della responsabilità penale del provider sono da un lato, la possibile estensione in capo all’operatore professionale di internet della fattispecie incriminatrice dettata dall’art. 57 c.p. per il direttore della stampa periodica; dall’altro, l’ipotizzabilità in capo all’internet service provider di un reato omissivo improprio ex art. 40 c.p63_.

3.3. La (non configurabilità della) responsabilità penale del

Nel documento La responsabilità penale dell'internet service provider: spunti critici alla luce della più recente giurisprudenza di legittimità (pagine 37-46)