L'eterogeneità che caratterizza questo complesso tema è apprezzabile esaminando una serie di pronunce concernenti, sotto diversi profili, la questione della responsabilità degli ISP.
Significativa è la Sentenza del Tribunale di Milano del 25 febbraio 2004 che affrontava il tema della responsabilità “per linking” dell'ISP. Per la prima volta in campo giurisprudenziale nel contesto penale, una pronuncia ha ad oggetto la responsabilità per un contenuto illecito di un sito (gestito da soggetti terzi ma ospitato dall'ISP). Il Service Provider in questione aveva pubblicato un link ad un sito con contenuti pedopornografici. Veniva accusato di essere stato compartecipe nella distribuzione,divulgazione e pubblicizzazione di una serie di filmati ed immagini violando l'art. 600 ter
c.2 c.p.. L'attività svolta dall'ISP era da ascriversi a quella delineata nell'art. 16 del decreto legislativo, ovvero quella di “hosting”, dato che consisteva nel fornire spazio sul proprio server al sito di cui sopra. Nei fatti, il sito compariva nella lista di quelli più votati, una lista pubblicata sul sito dell'ISP contenente i link attraverso il quale chiunque poteva accedere alla home page relativa. In quest'ultima non era possibile per l'imputato sospettare la natura illegale dei contenuti del sito, quindi all'apparenza risultava essere un sito come gli altri. In base a ciò i giudici si sono pronunciati nel senso dell'assoluzione, in quanto non vi era prova di una diretta conoscenza del contenuto del sito ospitato. Questa sentenza ci consente anche di delineare i due grandi piani di responsabilità degli ISP: la responsabilità per fatto proprio e la responsabilità concorsuale omissiva. Leggendo quanto affermato dai giudici, si afferma , con riguardo alle varie tipologie di ISP che : “Se [...] non vi è dubbio sulla loro responsabilità in tutte le ipotesi in
cui vi sia una violazione diretta da parte degli stessi di una norma, diverso è il caso in cui vengano sostanzialmente chiamati a rispondere del fatto illecito altrui”.
L'ipotesi della responsabilità per fatto proprio non pone complesse problematiche, trattandosi di tutti in casi in cui è possibile assistere alla violazione diretta di una norma in relazione all'attività svolta o al suo contenuto (come può essere la diffusione diretta di materiale pedopornografico, la diffamazione o la diffusione di software pirata)160. E' pacifico che l'ISP risponderà della condotta illecita in questione.
Più di difficile soluzione è la situazione nella quale si parli di responsabilità a titolo concorsuale, si pensi al caso in cui l'illecito venga commesso avvalendosi dei servizi forniti dall'ISP. Dato che il decreto legislativo in esame non affronta il problema, è necessario ricorrere alle regole generali in
160 BUFFA-CASSANO, Responsabilità del content provider e dell'host provider, Altalex- quotidiano di informazione giuridica, 2003
tema di concorso ai sensi dell'art. 110 c.p.. Allo stesso tempo, trattandosi ad opinione della maggior parte in dottrina, di una condotta omissiva del provider, dovrà essere applicato anche l'art. 40 2 c. c.p..
Fatte queste premesse, tornando alla sentenza, il collegio giudicante afferma che : “ per sostenere la responsabilità a titolo di omissione del service o
host provider occorre affermare a loro carico un obbligo giuridico di impedimento (in questo caso non già dell'evento ma della stessa condotta illecita del content provider) e quindi da un lato una sua posizione di garanzia e dall'altro lato una possibilità effettiva di controllo preventivo sul contenuto dei messaggi. Sotto il primo profilo, e quindi per quanto riguarda detta posizione di garanzia, si deve osservare che questa non è ravvisabile, a parere dei menzionati autori ed anche secondo questo Tribunale, nel diritto vigente e ciò stante la assenza di una previsione specifica in tal senso e la non applicabilità in via analogica - in malam partem - degli art. 57 e 57 bis c.p. (riguardanti il direttore della stampa periodica ed anche l'editore e stampatore nel caso di anonimità o non imputabilità dell'autore degli scritti illeciti). Né la posizione di garanzia può argomentarsi sostenendo l'esercizio precedente da parte di detto provider di un'attività pericolosa in quanto tale non può considerarsi la sua offerta di uno spazio web e l'apertura di un link con un determinato sito che rappresenta un'azione consentita e del tutto neutra per il diritto penale”.
La sentenza prosegue: “poi, si deve notare che non è ravvisabile la
possibilità concreta di esercitare un efficace controllo sui messaggi ospitati sul proprio sito visto l'enorme afflusso dei dati che transitano sui servers e la possibilità costante di immissione di nuove comunicazioni anche attraverso collegamenti alternativi proprio per la struttura aperta di Internet che non rappresenta alcun unitario sistema centralizzato, ma una possibilità di molteplici connessioni fra reti e computers diversi. Per tali motivi dunque non appare possibile fondarsi un giudizio di responsabilità del service e host-access provider sotto il mero profilo omissivo” .
Infine da sottolineare è anche quanto afferma con riguardo ad un eventuale condotta di vera e propria divulgazione o comunque agevolazione degli atti illeciti relativi dato che la condotta del Provider “ laddove […] sia stata solo quella di offrire uno spazio in rete od offrire un accesso al sito dove è pubblicato il contenuto illecito […] ” porta a concludere che “ la sua responsabilità penale non appare configurabile innanzitutto sotto il profilo oggettivo” in quanto l'ISP si è limitato a tenere una condotta neutra e lecita
(salvo la prova di una conoscenza effettiva dei contenuti illeciti del sito).
Queste conclusioni sono state accolte dalla maggior parte della dottrina ma ulteriori sviluppi vi sono stati in virtù dell'intervento normativo del 2006, da parte della legge n.38 concernente la pedopornografia. Attuando la decisione del Consiglio n. 2000/375/GAI del 29 maggio 2000, l'art. 19 della citata legge non solo include la previsione di un organismo speciale di controllo (il Centro nazionale per il constraso della pedopornografia sulla rete Internet) ma inserisce specifici e distinti obblighi in capo ai service provider e agli access provider. Il testo della legge n.269 del 3 agosto 1998 (recante “norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di minori, quali nuove forme di riduzione in schiavitù”) è stato integrato e, all'art. 14 ter è possibile leggere che “ i fornitori dei servizi resi attraverso reti di comunicazione elettronica
sono obbligati […], a segnalare al Centro, qualora ne vengano a conoscenza, le imprese o i soggetti che, a qualunque titolo,diffondono,distribuiscono o fanno commercio, anche in via telematica, di materiale pedopornografico, nonché a comunicare senza indugio al Centro, che ne faccia richiesta, ogni informazione relativa ai contratti con tali imprese o soggetti”.
Il mancato rispetto di questi obblighi è sanzionato in via amministrativa, a meno che il fatto non costituisca reato.
cui figuri una rilevanza di tipo penalistico in suddette violazioni.
Un primo quesito riguarderebbe l'ipotesi di configurare una responsabilità diretta dell'ISP, esaminando la condotta del provider che violi l'art. 14 ter alla luce delle norme di cui all'art. 600 ter e 600 quater c.p.. In dottrina è stato evidenziato come non sarebbe priva di forzature l'applicazione di queste fattispecie al caso dei providers dato che è evidente che la loro condotta “ancorchè essenziale alla realizzazione dei reati on line, costituisca pur sempre un contributo secondario, rispetto a quello posto in essere da chi effettivamente utilizzi il network per diffondere materiale pedopornografico”161. Torna quindi ad essere centrale l'art. 110 c.p. e se la sua applicazione non presenta grossi ostacoli nei casi in cui siano coinvolti i service provider in generale (per essi intendiamo quei soggetti che, una volta avvenuto l'accesso in rete, consentono “all'utente di compiere determinate
operazioni, quali la posta elettronica, la suddivisione e catalogazione delle informazioni, il loro invio a soggetti determinati, ecc.”162), palesa alcune problematiche quando viene fatto riferimento ai network e access provider (consentono “l'allacciamento alla rete telematica") . Questi ultimi hanno
l'obbligo, ai sensi dell'art. 14 quater della lege 268/1998, di adottare strumenti di filtraggio e soluzioni tecnologiche conformi ai requisiti individuati con decreto dal Ministro delle comunicazioni di concerto col Ministro per l'innovazione e le tecnologie. Qualora questi strumenti di filtraggio non vengano adottati, scattano sanzioni amministrative. Per quello che riguarda l'aspetto penale, si potrebbe pensare ad un area di “rischio consentito” il cui perimetro viene disegnato proprio dall'art. 14 quater. Dopotutto se l'attività dell'access provider si concreta nella veicolazione sulla rete di materiale rivelatosi illecito, potrebbe essere ipotizzabile che in
161 V. TORRE, Sulla responsabilità penale del service provider e la definizione del
comportamento esigibile alla luce delle norme contro la pedopornografia, Nuove
tecnologie e beni giuridici della persona, p.173
questo caso l'ISP sia colui che diffonde,pubblicizza, divulga materiale pedopornografico ai sensi dell'art. 600 ter c.p.. Ancora una volta, però, una lettura attenta consente di sottolineare che il legislatore, nell'elaborare il contenuto della disciplina anti-pedopornografia in esame, non si sia posto la questione di affrontare il tema della responsabilità del provider. L'unica strada percorribile, quindi, finisce per essere pur sempre quella della responsabilità a titolo concorsuale. Un percorso, questo, non lineare per il quale è opportuno fissare alcuni punti-cardine. In primo luogo, come è stato anche affermato in giurisprudenza, l'attività dell'ISP è penalmente “neutra” in quanto trattasi di una condotta lecita. Allo stesso tempo abbiamo visto che esiste un'area di rischio consentito per tale attività, dato che al provider sono richiesti specifici obblighi. Per poter parlare di responsabilità concorsuale omissiva non è sufficiente il legame, causalmente rilevante, tra la fornitura del servizio da parte del provider e le condotte di cui agli artt. 600 ter e 600 quater c.p.. Occorre anche accertare se la violazione della disciplina della “area di rischio consentito” da parte dell'ISP abbia concretamente un impatto causale sulla diffusione del materiale pedopornografico. Ciò che viene in evidenza è che gli strumenti di filtraggio richiesti dal legislatore non riescono ad avere un efficacia impeditiva, basti pensare al solo fatto della rapida evoluzione delle modalità volte ad aggirarli. Se questa efficacia non fosse riscontrabile, la violazione della disciplina di cui all'art. 14 quater non potrebbe avere una rilevanza penale perché anche se fossero stati predisposti i filtri richiesti, la diffusione non si sarebbe potuta evitare163. Non mancano, inoltre, dubbi sulla natura stessa della responsabilità penale a seguito della violazione delle disposizioni ex art. 14 ter e 14 quater.
Come è noto, affinchè si possa parlare di mancato impedimento dell'evento,
163 Sul punto V. TORRE, sottolinea che anche nell'ipotesi in cui vi sia un'efficacia
impeditiva parziale (ad esempio rendendo più difficile poter accedere ai siti illegali) sarebbe complesso l'accertamento di carattere causale. Dopotutto la ratio degli strumenti di filtraggio è rappresentato dall'impedire in maniera totale l'accesso.
è indispensabile non solo la presenza di uno o più obblighi giuridici ma anche la possibilità di intervento da parte del soggetto che ne è titolare. Attualmente il quadro normativo da una parte non prevede nessun obbligo di impedire l'accesso all'utenza dei siti illegali, e dall'altra l'art. 14 ter prevede obblighi di carattere informativo in capo ai ISP, chiamati a segnalare tempestivamente la presenza di siti con contenuti pedopornografici al Centro appositamente istituito.
Il caso Vividown vs Google è stato il caso più celebre in materia di diritto e internet in Italia fino ad oggi. I fatti risalgono al 2006 quando Google veniva querelata dall'associazione Vividown (associazione di volontariato Italiana per la Ricerca Scientifica e la Tutela della Persona con sindrome di Down), in quanto aveva permesso la diffusione di un video nel quale un ragazzo disabile veniva sottoposto ad atti vessatori da parte di suoi coetanei. All'upload aveva provveduto concretamente una studentessa (minorenne), nella sezione “video divertenti” e il video era diventato uno dei più “cliccati” sulla piattaforma video.google.it. In primo grado si pronuncia il Tribunale di Milano164 nel senso di un verdetto di condanna per violazione della privacy. Viene affermato, infatti che “ non esiste, in materia, una zona
franca (da un punto di vista oggettivo) che consenta ad un qualsiasi soggetto (persona fisica o meno che sia) di ritenersi esente dall'obbligo di legge, nel momento in cui venga, in qualsiasi modo, in possesso di dati sensibili: trattamento di dati è qualsiasi comportamento che consenta ad un soggetto di “apprendere” un dato e mantenerne il possesso, fino al momento della sua distruzione”.Inoltre aggiunge “non può escludersi […] che“tratti”un dato chi“raccolga,elabori,selezioni,utilizzi,diffonda,organizzi dati che, per la loro natura, siano qualificabili come “sensibili”. […] il proprietario o gestore di un sito web che compia anche solo una di tali attività si trova nella scomoda posizione di chi “tratti” i dati che gli
vengono consegnati e che lui gestisce, quantomeno, diffonde nell'esteso mondo di internet”. Prosegue affermando che ,in quanto “impossibilia nemo
tenetur”, sarebbe assurdo pretendere che l'ISP possa verificare che tutti i video caricati rispettino gli obblighi conerneti il rispetto della privacy dei soggetti in essi riprodotti. Allo stesso tempo però si richiede, da parte del provider, che “fornisca agli utenti medesimi tutte le necessarie avvertenze in
ordine al rispetto delle norme citate, con particolare attenzione a quelle che concernono la necessità di procurarsi l'obbligatorio consenso in ordine alla diffusione di dati personali sensibili. Esiste […] un obbligo NON di controllo preventivo dei dati immessi nel sistema, ma di corretta e puntuale informazione, da parte di chi accetti e apprenda dati provenienti da terzi, ai terzi che questi dati consegnano. Il giudice ritiene anche che non esista “un obbligo di legge codificato che imponga agli ISP un controllo preventivo delle innumerevoli serie di dati che passano ogni secondo nelle maglie dei gestori o proprietari siti web […]”. In virtù dell'assenza di siffatto obbligo
giuridico non viene ritenuto integrato il reato di diffamazione, a titolo di concorso omissivo.
In base a queste considerazioni viene condannata l'azienda californiana proprio per la genericità delle indicazioni in materia di privacy presenti su google video.
La pronuncia ha un immediato e diffuso eco mediatico, in particolare veniva criticata in quanto contrastante con l'art. 17 d.lgs. 70/2003 (Codice della privacy) escludente un obbligo di sorveglianza.
La vicenda giudiziaria prosegue in appello e nel 2012 la Corte d'Appello del Tribunale di Milano165 ribalta la decisione di primo grado assolvendo con formula piena i manager di Google perché “il fatto non sussiste”. In primo luogo viene confermata l'assoluzione con riguardo al reato di diffamazione, proprio per l'impossibilità di riscontrare una posizione di garanzia ed un
obbligo giuridico a riguardo normativamente previsto né si potrebbe desumere dagli artt. 57 e 57-bis c.p., in materia di stampa, dato che si configurerebbe una analogia in malam partem. Viene anche riaffermata l'impossibilità di pretendere un controllo preventivo dei contenuti immessi proprio perché “l’obbligo del soggetto web di impedire l’evento diffamatorio imporrebbe allo stesso un filtro preventivo su tutti i dati immessi in rete, che finirebbe per alterarne la sua funzionalità”. Il punto cruciale è rappresentato dalla assoluzione dal reato di trattamento illecito di dati personali (art. 167 d.lgs. 70/2003) sia per via del fatto che in suddetta norma non contiene riferimenti all'art. 13 dello stesso testo normativo (che riguarda la necessità di un'informativa nei confronti dell'interessato), sia perché la violazione dell'art. 13 viene sanzionata dall'art. 161 del codice della privacy e non dall'art. 167 (si tratta di sanzioni amministrative pecuniarie). Oltre a ciò viene affermato che titolare del trattamento dei dati personali era l'uploader : “La responsabilità per il trattamento dei dati è
legata al mancato adempimento di specifiche condizioni che rendono lecito l'uso di tali dati, ma tali condizioni non possono che essere messe in capo al titolare, al "controller" dei dati medesimi. In effetti trattare un video, acquisirlo, memorizzarlo, cancellarlo, non può significare di per sé trattamento di dati sensibili”. Inoltre mancherebbero anche i requisiti ai fini
della integrazione del dolo specifico richiesto, dato che non è possibile trovare nessun riscontro di un vantaggio direttamente conseguito dagli imputati e per via della ragionevole certezza che questi non fossero previamente a conoscenza del contenuto del filmato.
La vicenda prosegue infine in Cassazione: la procura di Milano aveva infatti presentato ricorso affermando che Youtube e piattaforme simili avrebbero dovuto essere obbligate ad effettuare controlli preventivi sui video caricati dall'utenza oltre ad ottenere il consenso dai soggetti ripresi. La Suprema Corte , invece, si pronuncia il 18 dicembre 2013 confermando l'assoluzione dei tre manager.
Si chiude in tal modo un caso giudiziario che nel suo iter ha mostrato tutte le problematiche connesse ad inquadrare normativamente il ruolo e gli obblighi degli ISP.