ICT

Published on giugno 18th, 2016 | by dirittodellinformatica.it

0

La responsabilità dell’Internet Service Provider (ISP)

Chiunque in questo momento stia leggendo questo articolo è senz’altro collegato alla rete internet e ciò gli viene permesso grazie ad un fornitore di servizi informatici, il cd Internet Service Provider.

Ebbene, nonostante tale affermazione appaia scontata per tutti gli utenti che ogni giorno navigano on line, altrettanto scontato non è invece l’effettivo impatto che tali fornitori di servizi internet hanno, oltre che sul nostro stile di vita, anche sul nostro sistema giuridico.

Internet è il luogo che forse più di altri rappresenta la nostra epoca con le sue luci ed ombre, di conseguenza, con l’aumento delle occasioni di connessione e condivisione, si è via via registrato una graduale crescita degli illeciti commessi dagli internauti: domain grabbing, furti di identità, cyberbullismo, diffamazione a mezzo internet, accesso abusivo a reti informatiche sono solo alcuni degli esempi che sempre più di frequentemente alimentano la cronaca quotidiana. Pensiamo a quanto accaduto negli ultimi anni con la comparsa dei Crypto-Locker ovvero il malware in grado di criptare e rendere inaccessibili i dati presenti su Pc e server provocando, in taluni casi, ingenti danni economici.

Garantire sicurezza agli utenti e individuare i responsabili di condotte illecite è divenuta una priorità, eppure spesso si registra una scarsa reattività del legislatore. La ragione non va solo individuata nella cronica inefficienza del sistema, ma anche nella obiettiva difficoltà che chiunque incontrerebbe nel tentativo di definire i punti fermi di un’immagine in continua evoluzione.

E allora la domanda sorge spontanea: come controllare il mare magnum del world wide web? I Providers si sono trovati al centro del dibattito che questa domanda ha generato. Vediamo di capire perché.

La responsabilità degli ISP

Preliminarmente occorre chiarire che  anche i Providers, senza ombra di dubbio, a buon diritto e a norma dei millenari principi di imputazione della responsabilità civile e penale, rispondono degli illeciti posti in essere in prima persona, pensiamo ai c.d. content Providers.

La questione si fa più spinosa quando dei soggetti terzi, sfruttando servizi quali l’hosting, commettono degli illeciti: si pensi a siti contenenti immagini pedo-pornografiche o materiale che viola il diritto d’autore.

Negli anni, diversi processi incardinati innanzi a giudici nazionali, sebbene non unanimemente, hanno visto soccombere Providers che nelle aule dei tribunali venivano di fatto equiparati a direttori di giornali e quindi costretti ad ingenti risarcimenti a causa dei contenuti illeciti pubblicati da terzi. Si sosteneva in pratica che ogni Provider fosse tenuto a conoscere l’esatto contenuto di tutto quanto venisse messo on line con il supporto delle infrastrutture dallo stesso messe a disposizione degli utenti. La principale argomentazione che i convenuti articolavano nei loro scritti difensivi, a volte senza successo, si basava sull’evidenziare la straordinaria complessità tecnica nonché l’onerosità di una verifica puntuale di ogni immagine, ogni parola e ogni funzione condivisa tra gli utenti. La logica che traspariva tra le righe mutuava in parte i suoi schemi dalla disciplina assicurativa. Ciò a cui si tendeva era appunto la volontà di assicurare ai danneggiati il ristoro di un più sicuro risarcimento.

Oggi la norma di riferimento è la Direttiva del 8 giugno del 2000 (“Direttiva sul commercio elettronico”, 2000/31/CE; recepita dal  D. Lgs. n. 70 del 2003), che ha sancito l’assenza di un obbligo generale di sorveglianza per gli ISP (art. 15, 2000/31/CE). Più nel dettaglio possiamo dire che i Provider, in linea di massima, non sono responsabili quando svolgono servizi di c.d. mere conduit (art. 12), caching (art. 13) e hosting (art. 14).

In particolare l’art. 12, dedicato  al c.d. mere conduit, prevede che:

1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’informazione consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, o nel fornire un accesso alla rete di comunicazione, il prestatore non sia responsabile delle informazioni trasmesse a condizione che egli:

a) non dia origine alla trasmissione;

b) non selezioni il destinatario della trasmissione;

c) non selezioni né modifichi le informazioni trasmesse.

2. Le attività di trasmissione e di fornitura di accesso di cui al paragrafo 1 includono la memorizzazione automatica, intermedia e transitoria delle informazioni trasmesse, a condizione che questa serva solo alla trasmissione sulla rete di comunicazione e che la sua durata non ecceda il tempo ragionevolmente necessario a tale scopo.

3. Il presente articolo lascia impregiudicata la possibilità, secondo gli ordinamenti degli Stati membri, che un organo giurisdizionale o un’autorità amministrativa esiga che il prestatore impedisca o ponga fine ad una violazione.

Per quanto riguarda l’attività di memorizzazione automatica, intermedia e temporanea di informazioni (c.d. caching), occorre soffermarsi sul successivo art. 13 della Direttiva, il quale sul punto afferma:

  1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’informazione consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, il prestatore non sia responsabile della memorizzazione automatica, intermedia e temporanea di tali informazioni effettuata al solo scopo di rendere più efficace il successivo inoltre ad altri destinatari a loro richiesta, a condizione che egli:

a) non modifichi le informazioni;

b) si conformi alle condizioni di accesso alle informazioni;

c) si conformi alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore;

d) non interferisca con l’uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull’impiego delle informazioni;

e) agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l’accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l’accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un’autorità amministrativa ne ha disposto la rimozione o la disabilitazione dell’accesso.

2. Il presente articolo lascia impregiudicata la possibilità, secondo gli ordinamenti degli Stati membri, che un organo giurisdizionale o un’autorità amministrativa esiga che il prestatore impedisca o ponga fine ad una violazione.

Per quanto riguarda la disciplina dell’hosting,occorre riportare l’art. 14, che al riguardo prevede:

  1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non sia responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore:

a) non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione;

b) non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.

2. Il paragrafo 1 non si applica se il destinatario del servizio agisce sotto l’autorità o il controllo del prestatore.

3. Il presente articolo lascia impregiudicata la possibilità, per un organo giurisdizionale o un’autorità amministrativa, in conformità agli ordinamenti giuridici degli Stati membri, di esigere che il prestatore ponga fine ad una violazione o la impedisca nonché la possibilità, per gli Stati membri, di definire procedure per la rimozione delle informazioni o la disabilitazione dell’accesso alle medesime.

La sezione si conclude con una norma che ribadisce in termini generali un’assenza di responsabilità dei suddetti fornitori di servizi informatici (art. 15 della Direttiva).  Questo il testo:

  1. Nella prestazione dei servizi di cui agli articoli 12, 13 e 14, gli Stati membri non impongono ai prestatori un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.
  2. Gli stati membri possono stabilire che i prestatori di servizi della società dell’informazione siano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite dei destinatari dei loro servizi o comunicare alle autorità competenti, a loro richiesta, informazioni che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati.

Merita altresì attenzione il considerando n. 42 della Direttiva, il quale puntualizza che:” le deroghe alla responsabilità stabilita nella presente direttiva riguardano esclusivamente il caso in cui l’attività di prestatore di servizi della società dell’informazione si limiti al processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione. Siffatta attività è di ordine meramente tecnico, automatico e passivo, il che implica che il prestatore di servizi della società dell’informazione non conosce né controlla le informazioni trasmesse o memorizzate”.

La Direttiva europea non impone dunque al Provider né l’obbligo generale di sorveglianza, come un tempo si sosteneva con forza, né tanto meno l’obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. Ma ciò non di meno, la stessa normativa non inquadra gli ISP quali meri fornitori di un servizio di accesso alla rete. Gli stessi sono infatti tenuti ad informare prontamente degli illeciti rilevati le autorità competenti e a condividere con le stesse ogni informazione che possa aiutare a identificare l’autore della violazione. È il caso di evidenziare che la mancata collaborazione con le autorità fa sì che gli stessi Providers vengano ritenuti civilmente responsabili dei danni provocati.

Contro detto regime di responsabilità si è scagliato chi teme che le vittime di eventuali illeciti non riescano ad ottenere alcun risarcimento.  A tal proposito si è cercato di costruire un’equivalenza tra la responsabilità degli ISP per i fatti degli utenti e quella del datore di lavoro per i fatti dei dipendenti.  Altri studiosi hanno invece tentato di equiparare i servizi resi dai Providers alle attività pericolose di cui all’art. 2050 c.c., idea non peregrina se si pensa ad esempio che il Codice in materia di protezione dei dati personali qualifica il trattamento dei dati proprio come attività pericolosa. In tal caso si assisterebbe a un’inversione dell’onere della prova ai danni degli ISP che sarebbero quindi tenuti a dimostrare di aver adottato tutte le misure idonee a evitare il danno.

A dire il vero contro tali ipotesi si sono schierati in molti, tra gli altri, anche Google dichiarando ufficialmente che “Tutto ciò attacca i principi fondamentali di libertà su cui Internet è stato costruito […] se ogni social network o blog fosse responsabile per il trasferimento di ogni singolo dato caricato dagli utenti […] il Web, così come lo conosciamo, cesserebbe di esistere”.

 Chi si cura delle vittime?

Il nodo che sta alla base di tutta la vicenda esaminata è la necessità e difficoltà di individuare un soggetto che possa risarcire i danni prodotti in conseguenza di condotte illecite. L’attività investigativa può durare anche molto a lungo e inoltre intercettazioni, analisi di log e botnet, tracciamento degli IP e cosi via non sempre consentono di individuare il responsabile materiale del fatto che spesso tenta di agire nell’anonimato.

Ad oggi non è prevista dalle normative alcun obbligo generale di controllo a carico del Provider e  ciò per via del fatto che tale obbligo comporterebbe un eccessivo dispendio di risorse oltre che  una forte limitazione della libertà degli utenti. Si aggiunga che, sul piano tecnico, si discute se esiste una tecnologia in grado di effettuare precisamente (in un contesto globale e in continuo aggiornamento!) la verifica di tutti i dati e/o attività svolte nel web.

La norma relativa agli obblighi previsti per i soli servizi di mere conduit, caching e hosting non offrono, a giudizio di molti, i precisi e inequivocabili presupposti che imporrebbero agli ISP un intervento, il rischio è che valutazioni assolutamente arbitrarie e discrezionali possano ledere i diritti degli utenti addirittura esponendo il Provider a richieste di risarcimento.

Nelle more di un compiuto intervento del legislatore, le incertezze e i limiti normativi nel rapporto Provider / utente possono essere in parte superate adottando un apposito contratto che tenga nella dovuta considerazione le specifiche particolarità che ogni caso presenta facendo in moda che alle lacune legali suppliscano le regole private.

Nel prossimo articolo analizzeremo una serie di casi concreti e l’orientamento mostrato dai giudici nazionali e comunitari.

Dott. Andrea Spataro

Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Print this pageEmail this to someone

Tags: , , , , ,


About the Author



Back to Top ↑