Responsabilità degli intermediari e conoscenza dell’illecito: il problema della conoscenza presunta nell’ottica del bilanciamento

Il diritto dell’Unione e la responsabilità del provider

8. Responsabilità degli intermediari e conoscenza dell’illecito: il problema della conoscenza presunta nell’ottica del bilanciamento

tra le esigenze di tutela del danneggiato e la libertà d’impresa del

provider.

Dall’analisi fatta sopra emerge un primo punto fondamentale nella ricostruzione del quadro delle responsabilità del provider: per ritenere che un intermediario sia esonerato da responsabilità vanno presi in considerazione due elementi, entrambi di carattere soggettivo, tali cioè da far emergere una “colpa” dell’intermediario. Il primo elemento è la diretta verso i singoli Stati membri, il giudice nazionale è tenuto a disapplicare la norma interna senza per questo dover sollevare questione di legittimità costituzionale (la norma va semplicemente scartata, non applicata alla controversia in corso); se invece la norma europea non è dotata di efficacia diretta, l’iter si aggrava, nel senso che il giudice nazionale ha l’onere di sollevare la questione davanti alla Corte Costituzionale, la quale valuterà se annullare la norma di diritto nazionale.

Entrambi questi aspetti trovano fondamento al Considerando n. 47 della Direttiva, in cui è previsto che i legislatori degli Stati membri non possano imporre ai prestatori un obbligo di sorveglianza di carattere generale, ma restano esclusi: a) i casi in cui sono previsti specifici obblighi di sorveglianza; b) e i casi in cui è prevista la possibilità per le autorità degli Stati membri di emettere le ordinanze da parte delle autorità nazionali secondo le rispettive legislazioni.

conoscenza del fatto lesivo. L’altro elemento consiste nel comportamento assunto dall’intermediario una volta che sia giunto a conoscenza di attività illecite in rete.

Occorre rimarcare il fatto che entrambi gli elementi delineano un modello ben preciso di responsabilità del prestatore del servizio, frutto di scelte politiche “mirate”: l’idea è quella di prendere le distanze da regole fondate sulla responsabilità oggettiva, in favore di una disciplina che faccia ruotare tutto intorno alla diligenza. Se dunque l’intermediario non conosce, non gli può essere imputata alcuna responsabilità da omesso controllo (e infatti, come si è visto in chiusura del paragrafo precedente, l’art. 15 esclude in maniera netta l’esistenza di un dovere di sorveglianza di carattere generale); analogamente, nessuna responsabilità può essergli imputata se l’intermediario, venuto a conoscenza di un illecito che si consuma in rete, adopera tutta la diligenza per risolvere il problema che gli viene rappresentato e per rimuovere i contenuti illeciti dallo spazio virtuale che gestisce.

In riferimento all’elemento della conoscenza, emerge subito come l’interpretazione di questo elemento abbia generato diversi problemi, soprattutto per l’estrema varietà di funzioni e operazioni che gli intermediari sono chiamati a svolgere.

In particolare, un primo punto difficile da interpretare è quello relativo alla conoscenza presunta, rilevante – come si è visto – quando si tratta di illeciti (soltanto) civili68: le tante incertezze che si sono profilate al riguardo si basano sul fatto che – come già detto – in questi casi l’ordinamento “fa scattare l’allarme” sia quando l’intermediario viene a conoscenza dell’illecito sia quando viene a conoscenza di indizi o fatti secondari che facciano ipotizzare l’esistenza di un illecito. Quest’ultima forma di conoscenza è appunto la conoscenza presunta, definita dalla dottrina come la “conoscenza circostanziata ed

Invece, più semplice è quando viene commesso un illecito penale, perché l’ordinamento richiede una conoscenza effettiva dell’illecito in capo al provider.

indiziaria di fatti o di circostanze che rendano manifesta una valutazione di illeceità del contenuto o dell’attività69_{” (dove il doppio}

aggettivo “circostanziata e indiziaria” sembra ricordare la formula civilistica delle presunzioni gravi, precise e concordanti70). Si tratta di un espediente normativo con cui si vuole alleggerire il carico probatorio del danneggiato: d’altra parte, come ha stabilito la giurisprudenza europea (in particolare, nella sentenza pronunciata sul caso L’Orèal vs eBay, che verrà trattato più avanti), l’onere di provare che il prestatore del servizio fosse a conoscenza dell’illecito sta in capo al soggetto danneggiato71. Una prova simile non è affatto agevole da rendere in giudizio, ragion per cui il diritto europeo – fintantoché si tratti di illeciti non sanzionati a livello penale – ha deciso di attribuire rilevanza a semplici indizi, spie, circostanze sintomatiche di uno stato di conoscenza in capo al prestatore del servizio.

Naturalmente, nell’interpretazione di questo requisito, bisogna tener conto anche della posizione dell’intermediario, il quale non può vedersi gravato di oneri di valutazione e di accertamento eccessivamente complessi e sofisticati. Altrimenti, ne verrebbe pregiudicata la libertà di impresa, che invece – come si è visto sin dall’inizio – è il cuore della disciplina europea in materia di responsabilità dell’ISP. Ecco che allora la manifesta illeceità, che dà luogo a consapevolezza o conoscenza indiretta, sussiste quando il disvalore dell’attività o dell’informazione sia così evidente da non necessitare l’intervento di un giudice; altrimenti, sarà necessaria una

Cfr. sul punto M.L.MONTAGNANI, op. cit., p. 98.

In proposito, è noto che un indizio è grave quando è: in primo luogo, dotato di persuasività elevata, nel senso che riesce a resistere a eventuali obiezioni; in secondo luogo, è preciso quando non è suscettibile di interpretazioni contrastanti; ed infine, concordante quando è confermato da altri indizi, nel senso che esistono più circostanze indiziarie che convergono tutte nella medesima direzione anziché smentirsi a vicenda.

Poi, questa prova potrà essere: a) più semplice, nel caso in cui si tratti di fatti o di circostanze che rendano manifesta l’illeceità dell’attività o dell’informazione; b) oppure più onerosa, se si tiene conto della potenziale conoscenza dell’illecito.

valutazione ad hoc che tenga conto dei fatti e delle circostanze del caso concreto.

Detto diversamente: se l’intermediario ha già tutti gli elementi per intuire che si sta compiendo un illecito, senza doverseli procurare con indagini dispendiose e controlli invasivi sulla rete, allora il requisito della conoscenza presunta è certamente integrato; se invece l’intermediario riceve segnalazioni generiche e non circostanziate, non può essergli imputata una conoscenza, neanche nella forma più tenue della conoscenza presunta. In tal caso, solo un accertamento dell’autorità giudiziaria potrà portare alla luce la commissione di un illecito: al che, notificato l’illecito al provider, scatta – a quel punto sì – un dovere di intervento immediato ed efficace.

In conclusione, ai fini della responsabilità del provider, non è sufficiente fare riferimento ad una generica conoscenza dell’illecito: il beneficio dell’esonero viene meno solo quando sussiste una conoscenza o una consapevolezza specifica degli illeciti, la sola che possa giustificare un dovere di controllo dell’intermediario sui contenuti che vengono pubblicati in rete72.

9. (Segue): il dovere di rimuovere gli effetti dell’illecito.

Tutte le incertezze che si sono evidenziate in riferimento al requisito della conoscenza presunta si riversano inevitabilmente sul dovere dell’intermediario di intervenire per rimuovere gli effetti dell’illecito. Ma c’è un altro punto delicato che complica ulteriormente il quadro. In particolare, è controverso se un vero e proprio dovere di intervento del provider possa configurarsi anche nelle ipotesi di conoscenza

A tal proposito, diventa fondamentale il riferimento dell’art. 15 all’assenza di un dovere di controllo generale. In altre parole: finché la conoscenza è generica, il dovere di controllo non scatta; quando la conoscenza è specifica e circostanziata, scatta il dovere dell’intermediario di effettuare tutti i più opportuni controlli su ciò che gli viene segnalato, e di conseguenza il dovere di intervenire se il controllo effettuato conduce all’accertamento dell’illecito.

presunta73. O se invece, a fronte di una conoscenza (non effettiva ma soltanto) presunta, una responsabilità del provider scatti soltanto in due casi: i) se c’è stata una richiesta da parte dell’autorità giudiziaria o amministrativa e il provider non abbia agito prontamente (nei modi che vedremo tra poco); ii) se il provider non provvede ad informare l’autorità competente – così da consentirle tutti i necessari accertamenti – nel momento in cui viene a conoscenza di indizi seri e circostanziati che facciano sospettare una condotta illecita74.

In altre parole, la questione è la seguente: da un lato è fuori dubbio che il provider debba immediatamente intervenire per rimuovere l’illecito se ha una conoscenza effettiva di tale illecito (senza aspettare che un intervento ad hoc gli venga intimato dalla competente autorità amministrativa o giurisdizionale); dall’altro lato, però, resta il dubbio sul comportamento esigibile dall’intermediario che dell’illecito abbia una conoscenza soltanto presunta e non effettiva75. In tal caso, alcuni

Il punto è cruciale: infatti, come si ricorderà, se gli intermediari non si attivano prontamente per rimuovere le informazioni illecite o per disabilitare l’accesso, non rientreranno più nel “safe harbour” offerto dall’ordinamento. Il punto rilevante diventa allora stabilire quale tipo di conoscenza faccia scattare quel dovere di rimozione delle informazioni o di disabilitazione degli accessi.

Sul punto si v. il Trib. di Firenze, 25 maggio 2012. Questa ordinanza pone ulteriori importanti osservazioni. Il giudice fiorentino sosteneva che “la conoscenza effettiva della pretesa illiceità dei contenuti del sito de quo non possa essere desunta neppure dal contenuto delle diffide di parte, trattandosi di prospettazioni unilaterali”. Quindi, anche una notifica da parte della persona lesa non può ritenersi sufficiente per far desumere l’illiceità di un contenuto e per far sorgere l’obbligo in capo al provider di rimuovere il contenuto medesimo. Pertanto, si stabilisce la necessità di una notifica c.d. qualificata e cioè una notifica che proviene da un organo competente affinché ciò possa comportare una conoscenza effettiva dell’illiceità del fatto, perché una mera segnalazione di un terzo oppure del soggetto presunto leso non è sufficiente. Questa problematica era già stata sollevata in altri Stati membri e l’Unione europea ha di fatto delegato questo aspetto alla autoregolamentazione di ogni Stato membro, ad esempio in Francia i giudici hanno dichiarato l’incostituzionalità della loro norma simile al nostro art. 16 d. lgs. 70/2003, nella parte in cui affermava che il provider sarebbe stato ritenuto responsabile (anche penalmente) nel caso di omessa rimozione del contenuto ospitato online, in seguito alle esortazioni alla rimozione pervenute dai presunti offesi.

Su questo aspetto v. R. IMPERADORI, La responsabilità dell’Internet

Service Provider per violazione del diritto d’autore: un’analisi comparata, Trento, 2014, pp. 28 ss., la quale prende in esame i concetti – in uso nella giurisprudenza americana – di red flag knowledge e di willful blindness: il primo indica una conoscenza attuale e specifica dalla violazione, mentre il secondo fa riferimento alla

ritengono che il comportamento da assumere sia lo stesso che l’intermediario deve tenere nelle ipotesi di conoscenza effettiva (quindi, il dovere di intervento sarebbe anche qui immediato e automatico76); secondo altri, anche solo per dare un senso alla distinzione tra le due forme di conoscenza, un dovere di intervento presuppone un preliminare accertamento dell’illecito da parte dell’autorità competente77

Forse la soluzione più ragionevole passa attraverso l’interpretazione rigorosa del requisito della conoscenza presunta. Se infatti, conoscenza presunta significa – come si è detto nel paragrafo precedente – una conoscenza imputabile all’intermediario al ricorrere di indizi seri, circostanziati e (soprattutto) tali da non implicare oneri di controllo, di accertamento e di valutazione eccessivamente gravosi, non è difficile concepire un dovere di intervento del provider che scatti immediatamente senza dover attendere un’ingiunzione del giudice o un provvedimento dell’autorità amministrativa. Le perplessità mostrate da alcuni autori verso quest’ultima soluzione si giustificano soltanto se per conoscenza presunta si intende qualsiasi generico sintomo o spia di un possibile illecito in rete. Ma questa interpretazione deve essere scartata perché, come si è detto nel paragrafo precedente, comporterebbe intralci all’attività di impresa del provider, inaccettabili alla luce dei principi del diritto europeo e del bilanciamento operato dalla Direttiva e-commerce tra la libertà di

situazione in cui il provider è a conoscenza dell’elevata probabilità della violazione ma omette deliberatamente di adoperarsi per venire a conoscenza della specifica condotta contraffattoria.

Per questa interpretazione, secondo cui l’inciso «la conoscenza di tali fatti» si riferirebbe indistintamente ai casi di conoscenza effettiva e ai casi di conoscenza presunta, v. G. FACCI, La responsabilità del provider, in ROSSELLO

FINOCCHIARO TOSI (a cura di), Commercio elettronico – documento informatico –

firma digitale. La nuova disciplina, Torino, 2003, pp. 145 ss.

Così M. IASELLI, Caso Yahoo! video: la corte di appello di Milano non vede responsabilità nell’operato dell’Internet provider, in Riv. dir. ind., 2016, pp. 190 ss.

azione del provider e gli interessi che con essa possono entrare in contrasto78.

***

C’è un ultimo profilo che merita di essere segnalato in materia di responsabilità dell’hosting provider.

Il terzo paragrafo dell’art. 14 della Direttiva e-commerce lascia liberi gli Stati membri di prevedere che un organo giurisdizionale o un’autorità amministrativa competente possano esigere che l’intermediario ponga fine ad una violazione o la impedisca. Non solo: li lascia liberi anche di definire le procedure di rimozione delle informazioni (allo scopo di porre fine alle violazioni già commesse) e di disabilitazione dell’accesso alle informazioni illecite (al diverso scopo di impedire la commissione di nuovi illeciti).

Sul punto, il legislatore europeo è stato vago. Di conseguenza, è stata difficile la ricostruzione della disciplina all’interno delle legislazioni degli Stati membri79.

Da una parte infatti, le esigenze di certezza verrebbero salvaguardate se si ritenesse necessaria una formale comunicazione dell’autorità per l’attivazione di un obbligo di rimozione a carico del provider; dall’altra parte, però, una soluzione simile contraddirebbe la parallela esigenza di tenere in dovuta considerazione i vari interessi coinvolti e la natura stessa del cyber space, “nel quale le dinamiche temporali vivono di una incalzante velocità e diffusività incompatibile con le tradizionali, e più lente, procedure formali delle istituzioni” (così B.PANATTONI, Il sistema di controllo successivo: obbligo di rimozione degli ISP e meccanismi di notice and take down, in DPC, 5/2018, p. 256). Sotto questo profilo, non pochi autori sottolineano la necessità di un intervento legislativo chiarificatore e, parallelamente, l’opportunità di introdurre nell’ordinamento italiano la soluzione del sistema giuridico statunitense basata su procedure di notice and take down che permettono ai soggetti, il cui diritto di proprietà intellettuale sia stato leso, di notificare al provider l’avvenuta lesione, con conseguente obbligo di rimozione del contenuto segnalato. Va da sé che, se l’ordinamento italiano si collocasse nello stesso solco della legge Federale Statunitense del 1998 (che sarà citata più avanti nel testo sotto il nome di Digital Millennium Copyright Act), il problema si sposterebbe su un altro piano, e cioè quello della individuazione dei requisiti che la segnalazione fatta dal privato deve avere affinché il provider sia obbligato a prenderla in considerazione: in questo senso C.NOVELLI, Il social giudizioso. La giurisprudenza italiana sulla responsabilità civile degli Internet Service Providers, in Rivista italiana di informatica e diritto, 2019, pp. 103 ss.

Per esempio, l’art. 16 del D.lgs. 70/2003 – che ha recepito la Direttiva e- commerce – prevede, che la conoscenza effettiva si acquisisce in seguito alla “comunicazione delle autorità competenti”, permettendo di escludere che la

La Direttiva e-commerce si distingue dall’ordinamento statunitense che – invece – prevede nel dettaglio una procedura che i provider devono seguire, sebbene – là – soltanto in caso di violazione del copyright. La Direttiva europea non prevede niente in tal senso80, con il risultato che la disciplina statunitense è ad oggi l’unica che se ne occupa. Infatti, la Sezione 512 del “Digital Millennium Copyright Act” del 1998 introduce un procedimento noto come “notice and take down” (N&TD, o “notifica e rimozione”)81.

La previsione di una disciplina uniforme e dettagliata anche a livello europeo, risolverebbe numerosi problemi, anche in ordine al profilo della conoscenza effettiva (la quale, se è vero che da un punto di vista teorico pone meno problemi interpretativi rispetto alla conoscenza

semplice comunicazione sia idonea a prevedere in capo al provider una conoscenza effettiva.

Come appunto prevede il Considerando n. 46, il legislatore europeo ha deciso – come già detto – di non occuparsene e di lasciare la definizione delle modalità delle procedure alla discrezionalità degli Stati membri e, quindi, che le modalità di rimozione o di disabilitazione siano affrontate a livello nazionale. In più, il Considerando n. 16 e 40, le istituzioni europee mirano ad incoraggiare gli Stati membri ad una propria autoregolamentazione.

La procedura è stata già sinteticamente descritta nella precedente nota n. 77 e prevede, come detto, che ciascun intermediario nomini un agente presso il Copyright Office abilitato a ricevere le notices, che devono contenere sia la prova della titolarità del copyright in capo all’autore della segnalazione sia l’esatta individuazione del contenuto illecito di cui si chiede la rimozione: accertati i presupposti, l’intermediario è tenuto alla rimozione completa, ma nello stesso tempo è tenuto altresì ad avvertire il presunto autore dell’illecito, di fatto instaurando una sorta di contraddittorio che consenta a quest’ultimo di replicare con una counter- notice. Diverso è invece il sistema canadese, noto come notice and notice: qui il titolare del copyright può segnalare la violazione all’intermediario, il quale provvederà a trasmettere la comunicazione all’utente (e allo stesso tempo conserverà per sei mesi le informazioni contenute nella notice del soggetto leso: termine che si estende ad un anno se quest’ultimo decide di esercitare un’azione giudiziale). Ulteriormente diverso è poi il sistema francese, noto come notice and disconnect, basato sul ruolo-chiave di un’Autorità amministrativa di nome HADOPI (Haute autorité pour la diffusion des oeuvres et la protection des droits sur Internet): qui, in particolare, il titolare del diritto d’autore comunica alla HADOPI la prova della violazione del copyright e l’indirizzo IP dal quale è stata operata la violazione medesima; a quel punto, il fornitore di connettività deve procedere ad identificare il nominativo corrispondente a tale indirizzo IP; infine, HADOPI, sul presupposto di tre warning consecutivi, segnala l’utente all’autorità giudiziaria, la quale deciderà dell’eventuale distacco della connessione internet e dell’irrogazione di sanzioni pecuniarie. Per questi ed ulteriori approfondimenti comparatistici, v. A.BERTONI- M.L. MONTAGNANI, Il ruolo degli intermediari Internet tra tutela del diritto d’autore e valorizzazione della creatività in rete, in Giur. comm., 2013, I, pp. 559 ss.

presunta, tuttavia da un punto di vista pratico non manca di sollevare incertezze):

i) in primo luogo – ed è questo un aspetto molto importante – verrebbero indicati i requisiti necessari della “effettiva conoscenza” in capo al provider;

ii) in secondo luogo, risolverebbe il problema sul contenuto della notifica (cioè sul grado di specificità e di concretezza che deve assumere la comunicazione affinché scatti il dovere di intervento del provider);

iii) infine, semplificherebbe anche l’onere della prova che – come si è visto – grava sul soggetto danneggiato, il quale deve dimostrare in sede processuale che il provider fosse effettivamente a conoscenza dell’illecito: se fosse prevista una procedura standardizzata e dalle “scansioni” predeterminate, la conoscenza sarebbe automatica e incontestabile al momento del perfezionamento della notifica.

10. Il coordinamento con la nuova Direttiva copyright: il caso della

Nel documento Comportamenti illeciti in rete e responsabilità del provider (pagine 63-71)