Il recepimento della Direttiva e-commerce con il d.lgs n 70/2003 La questione degli obblighi di segnalazione alle autorità

competenti nel quadro dei doveri di garanzia del prestatore del servizio.

Già si è detto che nel 1999 il legislatore sovranazionale ha preso in considerazione l’idea di estendere all’Europa una disciplina della rete e della responsabilità degli intermediari già presente oltre oceano e in special modo negli Stati Uniti. Da quest’idea ha avuto origine la cosiddetta Direttiva e-commerce (2000/31/CE dell’8 giugno 2000)83. L’attuazione a livello italiano della Direttiva è avvenuta con il decreto legislativo n. 70 del 9 aprile 2003.

Il decreto, dopo aver riprodotto la scansione mere conduit-caching- hosting già presente nella Direttiva (con disposizioni testualmente coincidenti con quelle europee), attua la prescrizione dell’art. 15 della Direttiva, riguardante l’assenza di un dovere generale di vigilanza. Come si è visto, l’art. 15 prevede, per gli Stati membri, un limite invalicabile (al primo comma) e una facoltà (al secondo comma):

i) il limite è rappresentato dal fatto che lo Stato membro non può prevedere a carico del provider un dovere generale di

83

Più specificamente, l’obiettivo di “portare l’Europa in rete” se lo era prefissato la eEuropa, cioè una piattaforma europea che offre (a governi, imprese e a chiunque abbia interesse) la possibilità di conoscere – in maniera più approfondita – le politiche dell’Unione. Infatti, questa piattaforma offre: un BigData su tutte le politiche e su tutti i documenti dell’Unione europea; un dossier e approfondimenti su aspetti europei; aiuta a tradurre le politiche dell’Unione in azioni di successo (dall’attività di lobbying alla messa a disposizione di un “comprovato” know-how); offre mappe neutrali interattive (e in continuo aggiornamento) sulle politiche dell’Unione (per scoprire e capire meglio quest’ultime); un calendario per poter partecipare (o organizzare) eventi e la conoscenza di notizie che riguardano l’Unione attraverso blog, social e approfondimenti vari. Per approfondimenti si consulti il sito www.eeuropa.org.

73

sorveglianza sugli utenti e sui possibili comportamenti illeciti in rete;

ii) il secondo comma prevede invece la facoltà per gli Stati membri di “stabilire che i prestatori di servizi della società dell’informazione siano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite dei destinatari dei loro servizi o a comunicare alle autorità competenti, a loro richiesta, informazioni che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati”.

Questa facoltà viene esercitata dall’ordinamento italiano per via dell’art. 17, comma 2 e comma 3, d.lgs. n. 70/2003.

La norma è costruita su tre piani:

 in primo luogo, si prevede che il prestatore è tenuto ad informare senza indugio l’autorità giudiziaria o amministrativa (con funzioni di vigilanza) della conoscenza che egli abbia di “presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell’informazione”: il presupposto che fa scattare l’obbligo di segnalazione è dunque individuato nelle “presunte attività o informazioni illecite”, trattandosi dunque di un presupposto vago, indefinito, che merita però di essere circoscritto a ipotesi in cui la presunzione di illiceità sia particolarmente seria e fondata. Conclusione, questa, che pare imposta dall’inciso iniziale del secondo comma dell’art. 17, il quale fa salvo il contenuto delle disposizioni precedenti sulla irresponsabilità nella prestazione dei servizi di mere conduit, caching e hosting;

74

 si precisa poi – sempre facendosi salve le disposizioni degli artt. 14, 15 e 16 sulla irresponsabilità del provider nella prestazione dei tre servizi suddetti – che l’intermediario è tenuto “a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l’identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite”. In questo caso, i presupposti dell’obbligo sono assai meglio delineati, nel senso che mancano clausole generali, elastiche, suscettibili di interpretazioni divergenti: l’obbligo dell’intermediario, che qui concerne la somministrazione di informazioni (non di sua spontanea iniziativa ma su impulso esterno), sorge: a) in presenza di una richiesta qualificata (che provenga da un’autorità competente: evidentemente si tratterà delle stesse autorità alle quali fa riferimento la prima parte del secondo comma); b) in presenza di un accordo di memorizzazione dei dati con l’utente “indagato” (o “osservato”) dalle autorità competenti che formulano la richiesta di informazioni; c) in riferimento alle sole informazioni in possesso dell’intermediario (che dunque viene esonerato, implicitamente, dall’obbligo di ricercare informazioni che attualmente non possieda); d) in riferimento alle sole informazioni utili a identificare il destinatario; e) in presenza di una richiesta che appaia giustificata dalla finalità di individuare e prevenire attività illecite;

 su un terzo piano si colloca poi la previsione secondo cui “il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall’autorità giudiziaria o amministrativa avente funzioni di vigilanza,

75

non ha agito prontamente per impedire l’accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l’accesso, non ha provveduto ad informarne l’autorità competente” (art. 17, comma 3, d. lgs. n. 70/2003)84. Il punto non è nuovo, e – come si vedrà – ha un diffuso riscontro a livello giurisprudenziale85. L’unico elemento che rischia di creare qualche incertezza nell’applicazione della regola è il riferimento al carattere “pregiudizievole per un terzo” del contenuto di un servizio informatico. Se infatti appare ragionevole onerare l’intermediario di una condotta attiva (nella specie, la segnalazione di anomalie all’autorità competente) in riferimento a contenuti illeciti, all’opposto risulta sfuggente (ed eccessivamente gravoso, se inteso alla lettera) un ipotetico dovere di segnalazione di contenuti (non illeciti ma semplicemente) pregiudizievoli per un terzo. Se manca l’illiceità, infatti, l’eventuale pregiudizio arrecato al terzo dal comportamento di un utente potrebbe risultare irrilevante nella prospettiva dell’obbligo di segnalazione alle autorità competenti: non tutti i pregiudizi infatti – come ci insegna la clausola generale dell’art. 2043 c.c., relativa al danno ingiusto – sono necessariamente pregiudizi contra ius o pregiudizi non iure dati. Risulta quindi poco chiaro il riferimento della norma a contenuti pregiudizievoli per un terzo ma – al contempo – non illeciti: se un contenuto pregiudica un terzo ma non offende

84

Sul punto, il Trib. di Roma, 11 febbraio 2020 e il Trib. di Milano, 9 settembre 2011 (caso RTI contro Yahoo!, che vedremo tra poco) hanno ritenuto responsabile il provider che non si è attivato per rimuovere immediatamente contenuti illeciti, e ciò anche nel caso in cui la diffida provenga solo da parte dell’interessato e non anche da parte dell’autorità competente.

85

76

un interesse protetto dall’ordinamento (nel senso che il pregiudizio è un pregiudizio di mero fatto, irrilevante sotto il profilo giuridico) o – ancora – se un contenuto pregiudica un terzo ma al ricorrere di una causa di giustificazione (legittima difesa, stato di necessità), non si comprende per quale ragione l’intermediario dovrebbe segnalare alle autorità competenti il contenuto in questione.

2. La responsabilità degli ISP nel quadro del diritto civile