L’attività di memorizzazione duratura (“hosting”).

Il diritto dell’Unione e la responsabilità del provider

7. L’attività di memorizzazione duratura (“hosting”).

Infine, l’ultima attività svolta dal provider, a cui fa riferimento la Direttiva e-commerce, è quella di memorizzazione duratura (o di hosting), regolata dall’art. 14.

Questa attività si differenzia dalle due attività precedenti perché presuppone che:

a. l’intermediario svolga un’attività di memorizzazione delle informazioni, per conto di un utente e per sua espressa richiesta;

Questa attività di memorizzazione – automatica, intermedia e temporanea – legittima l’esonero da responsabilità per il prestatore del servizio soltanto se ricorrono tre condizioni: 1) se è parte integrante di un processo tecnico che si attiva automaticamente, cioè senza che ci sia l’intervento manuale dell’intermediario; 2) se l’informazione proviene da soggetti diversi dall’intermediario, il quale non esercitando nessuna attività di direzione e controllo, si configura come anello di una catena di trasmissioni successive; 3) e, infine, se la temporaneità della memorizzazione è giustificata dai meccanismi dell’attività di caching, che prevede un aggiornamento e una sovrastruttura continua delle copie create. Cfr. sul punto M.L.MONTAGNANI, op. cit., pp. 92 ss.

Il Considerando n. 48 prevede che la Direttiva non esclude la possibilità per le autorità degli Stati membri di chiedere agli intermediari “che detengono informazioni fornite dai destinatari del loro servizio, di adempiere al dovere di diligenza che è ragionevole attendersi da loro ed è previsto dal diritto nazionale, al fine di individuare e prevenire taluni tipi di attività illecite”.

b. la memorizzazione non sia transitoria, come invece quella di mere conduit;

c. la memorizzazione non sia neppure temporanea, come invece quella di caching; occorre invece che si presenti come “duratura”.

Il primo paragrafo dell’art. 14 della Direttiva e-commerce, prevede – anche qui – che l’intermediario vada esente da responsabilità in due casi:

i) quando non abbia una conoscenza effettiva del fatto o dell’informazione illecita o, se si tratta di azioni risarcitorie, quando non abbia conoscenza di fatti o di circostanze che rendano manifesta l’attività o l’informazione illecita;

ii) quando, venuto a conoscenza di questi fatti illeciti, abbia agito prontamente per rimuoverli.

Preliminarmente, occorre far notare che il legislatore europeo ha scelto di graduare la diligenza esigibile dal prestatore del servizio a seconda del tipo di illecito che si consuma in rete: se un illecito di rilievo penale, o se invece un illecito che esaurisce la propria rilevanza nell’ambito della responsabilità civile61

. Nel primo caso la soglia di diligenza è attenuata: data la specificità della sanzione penale (che, come noto, è idonea a limitare la libertà personale), il legislatore ha ritenuto opportuno agganciare la responsabilità di secondo grado del prestatore del servizio ad una conoscenza effettiva dell’illecito: non basta pertanto una conoscenza potenziale né è rilevante il fatto che l’intermediario dovesse conoscerlo; solo una conoscenza effettiva può

Sul punto G. MARZANO, Profili di Responsabilità civile dell’Internet Service Provider, 2017, in www.diritto.it, è possibile individuare due diversi tipi di responsabilità (civile e penale) anche se questa opinione non è condivisa all’unanimità in giurisprudenza; infatti per altri vengono definiti – invece – due diversi criteri di imputazione della responsabilità civile (ossia dolo e colpa) e sul punto il Trib. di Catania, 29 giugno 2004, precisa che “la responsabilità del provider si configura alla stregua di una responsabilità soggettiva: colposa, allorchè il fornitore del servizio, consapevole della presenza sul sito di materiale sospetto, si astenga dall’accertarne l’illiceità e, al tempo stesso, dal rimuoverlo; dolosa, quando egli sia consapevole anche della antigiuridicità della condotta dell’utente e, ancora una volta, ometta di intervenire”.

trascinare l’intermediario nella vicenda risarcitoria collegata al processo penale. Viceversa, in considerazione della minore gravità della sanzione civile, la Direttiva e-commerce attribuisce rilievo sia alla conoscenza effettiva dell’illecito sia ad una conoscenza indiretta e presunta dell’illecito stesso: conoscenza, cioè, che deriva dal fatto di conoscere “circostanze che rendano manifesta l’attività o l’informazione illecita”. In altre parole, qui, l’intermediario può essere chiamato a rispondere o perché è a conoscenza dell’illecito civile che si consuma in rete o perché è a conoscenza di fatti secondari (potremmo dire elementi di contorno) che rendono intuibile l’esistenza – alla base – di un illecito civile62

Più in generale, nella prospettiva di un confronto con il mere conduit e il caching, non c’è dubbio che il livello di diligenza richiesto all’intermediario sia più alto rispetto alle altre due attività, per due ragioni complementari: i) la prima è che sussiste un rischio più elevato derivante dalla permanenza nel tempo di elementi illeciti sulla rete (si intende dire che qui la memorizzazione ha carattere duraturo, quindi è idonea a cristallizzare gli effetti di una condotta illecita conferendole – agli occhi degli utenti – una “visibilità” protratta nel tempo); ii) la seconda ragione è che il provider svolge un ruolo significativo nella catena di trasmissione delle informazioni che conduce, infine, alla commissione dell’illecito (ruolo, questo, che in definitiva si ricollega alla tipologia di servizio che il provider offre: appunto, una memorizzazione duratura)63.

Sull’attività di hosting è necessario fare un’ultima precisazione. Il testo della Direttiva, ai fini dell’esenzione da responsabilità, si limita a fissare i due requisiti suddetti: il fatto di non conoscere e il

Cfr. sul punto E. TOSI, La tutela degli audiovisivi e dei contenuti digitali nelle reti di comunicazione elettronica tra diritto di autore online e responsabilità civile degli Internet service provider, in FINOCCHIARO-DELFINI, Diritto

dell’informatica, Torino, 2014, p. 997. 63

L’osservazione è di L.BUGIOLACCHI, Evoluzione dei servizi di hosting provider, conseguenze sul regime di responsabilità e limiti dell’attuale approccio case by case, in Resp. civ. prev., 2013, pp. 1997 ss.

fatto di reagire prontamente per rimuovere il contenuto illecito una volta che sopraggiunga la conoscenza. Nulla di più.

In altre parole, il testo dell’art. 14 non menziona il requisito della neutralità dell’intermediario rispetto all’illecito che si consuma in rete; e neppure il Considerando n. 42 della Direttiva fa alcun riferimento in tal senso, ma anzi si limita a menzionare le attività di mere conduit e caching laddove prevede che il contributo del provider deve essere “di ordine meramente tecnico, automatico e passivo”. Di qui, il dubbio se tale requisito debba essere esteso in via interpretativa alla stessa attività di hosting. D’altra parte, se l’attività svolta dall’hosting provider andasse oltre la predisposizione di un supporto tecnico funzionale a creare uno spazio virtuale (esempio una piattaforma per la condivisioni di file audiovisivi) che raccolga in modo automatico e passivo i contenuti degli utenti, allora diventerebbe difficile giustificare una disposizione come l’art. 14 che, al pari degli artt. 12 e 13, fornisce al provider lo scudo della irresponsabilità.

Ecco perché sia la dottrina sia la giurisprudenza degli ultimi anni hanno ritenuto di estendere quel requisito anche al servizio di hosting: anche nel caso di memorizzazione duratura, cioè, l’attività del provider deve avere carattere puramente tecnico, automatico e passivo, senza alcun coinvolgimento dell’intermediario idoneo a instaurare una relazione di controllo da parte di quest’ultimo sui contenuti pubblicati64. Non a caso, il Considerando n. 42 prevede che le attività di mere conduit e caching, ai fini dell’esenzione da responsabilità, debbano essere “di ordine meramente tecnico, automatico e passivo, “il che implica che il prestatore di servizi della società dell’informazione non conosce né controlla le informazioni trasmesse o memorizzate”. Questo inciso mette a fuoco quello che è l’elemento centrale del giudizio sulla responsabilità dell’intermediario: l’esistenza o meno di una situazione di conoscenza

o di un potere di controllo sui contenuti pubblicati. E allora è evidente, che tale requisito debba essere riferito anche all’attività di hosting nonostante il silenzio dell’art. 14 sul punto: come si vedrà, è questa la base concettuale su cui la giurisprudenza europea ha costruito la distinzione tra hosting provider attivo e hosting provider passivo.

***

Complessivamente, le tre disposizioni analizzate sopra – e cioè gli artt. 12, 13 e 14 della Direttiva e-commerce – si prestano ad essere lette insieme al successivo art. 15, che costituisce l’ennesima presa di posizione del legislatore europeo a tutela della libertà di impresa del fornitore di servizi informatici. La norma, infatti, è rubricata “Assenza di un obbligo generale di sorveglianza”.

Qui viene dettata una regola di carattere trasversale: in relazione allo svolgimento di tutte e tre queste attività, gli Stati membri non possono imporre agli intermediari: i) un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano; ii) né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite65.

In altre parole, sarebbe in contrasto con il diritto europeo e pertanto suscettibile di disapplicazione o di annullamento una legge nazionale che per ipotesi volesse trasformare l’hosting provider in una sorta di “Grande Fratello” o di detective: il che implicherebbe costi insostenibili dal punto di vista organizzativo e tecnico, scoraggiando inevitabilmente le imprese dall’esercizio di “servizi della società dell’informazione66_”.

Sul punto, G. MARZANO, op. cit, ha fatto notare che la ragione per cui si è deciso di sollevare il provider da un obbligo generale di sorveglianza è perché ciò potrebbe pregiudicare non soltanto la sua attività, ma anche lo sviluppo della rete.

Sull’alternativa tra disapplicazione e annullamento v., tra le ultime sentenze che se ne sono occupate, la sentenza di Corte Cost., n. 269/2017, che, in caso di incompatibilità tra diritto interno e diritto europeo, distingue due casi: il caso in cui la norma europea ha, per sua conformazione (es. è un regolamento), efficacia

Ciò che invece non contrasta con le norme europee – e lo si evince dal secondo paragrafo dell’art. 15 in esame – è il fatto di prevedere, a livello di diritto interno, che gli intermediari siano tenuti ad informare senza indugio l’autorità competente di presunte attività illecite o della presenza in rete di informazioni illecite. Come pure – e soprattutto – il fatto di prevedere un limitato potere coercitivo delle autorità competenti nei confronti degli intermediari: nel senso, cioè, che le autorità competenti (siano esse amministrative o giurisdizionali) hanno il potere di obbligare l’intermediario a fornire tutte le informazioni utili alla repressione di illeciti informatici, tra cui in particolare le informazioni sull’identità dei destinatari dei servizi che hanno stipulato con gli intermediari accordi di memorizzazione dei dati67.

8. Responsabilità degli intermediari e conoscenza dell’illecito: il

Nel documento Comportamenti illeciti in rete e responsabilità del provider (pagine 58-63)