Magistratura democratica
Giurisprudenza e documenti

Responsabilità del gestore di sito Internet

di Francesco Buffa
Consigliere della Cassazione attualmente in distacco alla CEDU
Nota a margine della sentenza di Cassazione n. 54946

Il caso di specie

La vicenda esaminata dalla Cassazione riguarda il gestore di un sito Internet (www.agenziacalcio.it) che aveva ospitato un commento sulla community del sito, ossia su apposito spazio lasciato ai commenti del pubblico. Il commento definiva il presidente dell’epoca della Federazione calcistica giovanile Tavecchio come «emerito farabutto» e «pregiudicato doc», allegando al messaggio il certificato penale del Tavecchio.

Il gestore del sito era stato quindi tratto a giudizio per concorso nel reato di diffamazione.

Il tribunale di Bergamo, con sentenza del 10.11.2014, aveva assolto l’imputato.

Con sentenza del 24.6.2015, la Corte d’appello di Brescia aveva però riformato la decisione di primo grado, affermando la penale responsabilità dell’imputato.

La sentenza in commento

Con la sentenza in commento la Cassazione ha rigettato il ricorso dell’imputato.

La Corte ha rilevato che la sentenza di merito aveva ritenuto il gestore responsabile non per l’inserimento del file diffamatorio, cioè per il suo upload, effettuato nel caso autonomamente dall’autore, ma per il suo mantenimento on line dalla data in cui aveva avuto consapevolezza del file (per aver ricevuto sulla casella postale mail dell’autore del messaggio contenente il certificato penale del diffamato) fino alla data del sequestro preventivo del sito. La Corte quindi esclude da un lato l’allegata contraddittorietà della sentenza impugnata e, per altro verso, la possibilità in sede di legittimità di un riesame della vicenda nel merito, tanto più che nessuna deduzione specifica risultava fatta dal ricorrente (che pur pacificamente si trovava all’estero essendo in periodo feriale) in ordine alle ragioni ostative della lettura della casella postale e quindi della sua consapevolezza del messaggio diffamatorio.

Considerazioni critiche

La sentenza suscita diverse perplessità.

In questa sede, però, non si vuole esaminare in alcun modo il problema dell’onere del titolare di una casella elettronica di consultare la stessa (che pur in termini penalistici si traduce nell’onere dell’allegazione e prova della conoscenza del messaggio diffamatorio quale elemento necessario per configurare il dolo di concorso, onere che non può che gravare sull’accusa e non sull’imputato, neppure – mi pare – per il limitato profilo dell’allegazione della mancata conoscenza).

Né si vuole esaminare il problema del carattere diffamatorio (o meno) di un giudizio critico (molto mordace, benché in parte supportato documentalmente) nei confronti di personaggi pubblici (in quanto tali esposti a critiche più dei comuni cittadini, benché non alla diffamazione: in tema, Cass. Sez. 1, Sentenza n. 36045 del 13/06/2014, nonché Sez. 5, Sentenza n. 31392 del 01/07/2008, in fattispecie relative a diffamazione via internet).

Il vero problema è altro, ed è costituito dal fatto che la sentenza dia per scontato che il gestore di un sito internet che ospiti commenti del pubblico sia responsabile per il solo fatto della conoscenza del messaggio ospitato (nel caso, peraltro, come detto piuttosto potenziale), a prescindere dall’esistenza di una richiesta di rimozione del dato da parte del presunto diffamato e dell’autorità giudiziaria.

Il caso, in altri termini, pone il problema della responsabilità del gestore di un sito internet per messaggi diffamatori altrui (Sulla responsabilità del provider, tra i tanti interventi, L. Picotti, Il diritto penale dell’informatica nell’epoca di internet, Cedam, 2004; A. Manna, Considerazioni sulla responsabilità penale dell’internet provider in tema di pedofilia, in Dir. inf., 2001, pp. 145 e ss; ID., I soggetti in posizione di garanzia, in Dir. inf., 2010, pp. 779 e ss.; L. Cuomo, La Cassazione affonda la Baia dei Pirati, in Cass. Pen., 2011, p. 1093; L. Lupária, Internet provider e giustizia penale. Modelli di responsabilità e forme di collaborazione processuale, Giuffrè, 2012).  

È bene fermarsi un attimo su tale profilo: non si tratta del caso della responsabilità di chi direttamente fornisce un contenuto diffamatorio telematicamente veicolato (il c.d. content provider è chiaramente responsabile per fatto proprio: v. Cass. Sez.  3, Sentenza n.  18174 del 25/08/14), ma della possibilità di chiamare a rispondere il soggetto che gestisce un sito che ospita commenti postati direttamente da terzi.

Qui, peraltro, va evidenziato che non si tratta della responsabilità per fatto altrui, quanto della configurabilità di una responsabilità per fatto proprio (di natura commissiva o, secondo altri, omissiva) in concorso con il fatto (commissivo) del terzo: infatti, l’illecito che avviene su internet è – secondo la miglior interpretazione (per le diverse posizioni in tema, A. Ingrassia, Il ruolo dell’ISP nel cyberspazio: cittadino, controllore o tutore dell’ordine?, www.penalecontemporaneo.it;  F.Buffa, Internet e criminalità. Finanza telematica offshore, Giuffré 2002; M. Pelissero, Il concorso doloso mediante omissione: tracce di responsabilità di posizione, in Giur. It., 2009, pp. 978 e ss.) – un illecito permanente, essendovi una permanente ritrasmissione del dato, senza la possibilità del danneggiato d’impedirla, sicché la legge richiede al provider un intervento diretto per impedire la continuativa consumazione del reato; nel momento in cui il provider è edotto che attraverso il suo server si sta realizzando un comportamento lesivo permanente, egli concorre nel fatto altrui se non interrompe la visibilità del messaggio illecito, rimuovendo il dato informatico in questione o bloccando l’accesso allo stesso.

La responsabilità del provider nella prima giurisprudenza

Ciò premesso, va ricordato in tema che la giurisprudenza più risalente (espressa tra i primi da Tribunale di Napoli 8 agosto 1996, in Dir. inf e inf., 1997, 970, e in Riv .dir. ind., 1999, II, 38) affermava la responsabilità del provider sul presupposto dell’equiparazione della posizione dello stesso a quella del direttore del giornale cartaceo ovvero dell’editore, sulla base della legge sulla stampa.

Tale affermazione di responsabilità, che comunque andrebbe esclusa in ambito penalistico (per l’applicazione analogica vietata che essa postula) ed al più dovrebbe essere confinata nell’ambito della responsabilità civile ex art. 11 l. n. 47/48, è stata comunque presto esclusa – condivisibilmente –  dalla giurisprudenza successiva per l’assenza di poteri/doveri censori in capo al provider: con decisione 4 luglio 1998, il Tribunale di Roma, in causa Banca del Salento c. Pantheon s.r.l., edita in www.interlex.com, ha negato l’assimilabilità del sito internet alla testata giornalistica e ha rigettato un ricorso che chiedeva un provvedimento urgente per la rimozione di un presunto messaggio diffamatorio di un newsgroup, in quanto non moderato e dunque privo di poteri di controllo del provider.

La responsabilità del provider per commenti anonimi

L’esclusione della responsabilità del provider per fatto altrui ha peraltro incontrato nella giurisprudenza di merito una limitazione importante (sottolineata da Trib. Bologna 26 novembre 2001, in www.ipsoa.it/ngonline) nel caso (e nel solo caso) in cui il provider, pur limitandosi a fornire l’accesso al sito gestito (anche in piena autonomia) da altri, non consentisse d’identificare il soggetto in questione, atteggiandosi in tal modo il provider medesimo come fornitore di contenuti veicolati ed immessi da persone il cui anonimato il provider medesimo copriva (in tema, G. Scorza, Anonimato in rete e responsabilità del provider, in www.interlex.it; F. Di Ciommo, Internet (responsabilità civile), in Enc. giur. Treccani, 2002; G. M. Riccio, Anonimato e responsabilità in internet, in Dir. inf. e inf., 2000).

Nello stesso senso, più di recente, Trib. Belluno 25 settembre  2014, che ha condannato l’amministratore del portale nuovocadore.it, dedicato alle notizie locali sull'omonimo territorio, per diffamazione nei confronti dell'ex parlamentare di Forza Italia Paniz, in ragione di un commento sottoscritto da un utente anonimo nascosto dietro pseudonimo in una sezione del sito dedicato alle discussioni dei lettori (ed è da sottolineare che il tribunale di Belluno ha giudicato l’imputato responsabile nonostante questi avesse sempre offerto la completa disponibilità a collaborare per scoprire l’autore del messaggio diffamatorio, senza tuttavia che la Procura fosse riuscita ad individuarlo).

La responsabilità dell’host–provider nella disciplina del commercio elettronico

L’impostazione del problema è poi mutata con il recepimento della direttiva sul commercio elettronico, ed in particolare degli articoli da 12 a 15 della direttiva comunitaria 2000/31/CE, recepiti nel nostro ordinamento dal decreto legislativo n. 70/2003: in particolare, con riferimento all’host–provider, ossia di colui che presta un servizio consistente nella memorizzazione di informazioni fornite da un altro soggetto (hosting), la disciplina esclude un obbligo di sorveglianza del provider, stabilendo che nella prestazione dei servizi di hosting, il prestatore non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite; il prestatore è comunque tenuto ad informare senza indugio l'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell'informazione, ed a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.

Quanto al regime di responsabilità si prevede che il provider (art. 16 del decreto, intitolato Responsabilità nell'attività di memorizzazione di informazioni – Hosting) “non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore: non sia effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l'illiceità dell'attività o dell'informazione; non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso”.

Con riferimento a qualunque tipo di provider, poi, è stabilito dall’art. 17 che il prestatore è civilmente responsabile del contenuto dei servizi nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha provveduto ad informarne l'autorità competente.

Obbligo dell’host–provider di Notice and take down e suo fondamento

Vi è dunque, quanto all’host–provider, un mero obbligo di notice and take down ed una correlativa sfera di irresponsabilità del provider che adempia a tale obbligo; vi è l’obbligo di notice, ossia di informazione dell’autorità competente del carattere illecito del contenuto del servizio ospitato, e l’obbligo di take down, ossia di rimozione del dato su richiesta dell’autorità competente.

La ratio della previsione è evidente: poiché l’illecito che avviene su internet è un illecito permanente, essendovi una permanente ritrasmissione del dato, senza la possibilità del danneggiato d’impedirla, la legge richiede al provider un intervento diretto per impedire la continuativa consumazione del reato: nel momento in cui il provider viene avvisato che attraverso il suo server si sta realizzando un comportamento lesivo, egli deve verificare il contenuto del messaggio ed eventualmente interrompere la visibilità del messaggio incriminato. Ciò dipende dal fatto che il provider è l’unico soggetto in condizione d’intervenire tempestivamente, provvedendo alla cancellazione di quanto registrato sul proprio server.

Non deve destare meraviglia dunque la generale esclusione di responsabilità del provider per tutti i messaggi qualificabili come posta elettronica, ossia come messaggi telematici recanti comunicazione individuale (se del caso verso una pluralità anche ampia di individui), in quanto la tutela della corrispondenza che protegge anche le e–mail esclude del tutto un potere di intervento censorio del provider e dunque ogni sua responsabilità per l’illecito commesso via email (Cass. Sez. 5, Sentenza n. 6046 del 11/02/2009 ha in proposito affermato che non sussiste la responsabilità del gestore di un punto internet, cosiddetto “internet point”, a titolo di diffamazione per non avere impedito l'evento – art. 40, comma secondo, e 595 cod. pen. – qualora l'utente invii una e–mail avente contenuto diffamatorio, in quanto il gestore non solo non ha alcun potere di controllo e, quindi, alcuna conoscenza sul contenuto della posta elettronica inviata, ma gli è addirittura impedito di prenderne contezza – ex art. 617 quater cod. pen. che vieta l'intercettazione fraudolenta di sistemi informatici e telematici – mentre ha l'obbligo di identificare gli utenti che facciano uso del terminale ai soli fini della prova dell'utilizzazione e non per impedire l'eventuale reato).

Le norme in materia (direttiva comunitaria e relativo decreto di recepimento, così come pure il codice di autoregolamentazione dei providers) pongono dunque una regola di comportamento ed un modello di diligenza (obbligo di comunicare le generalità dell’utente ospitato che ha compiuto l’illecito, obbligo di attivarsi per rimuovere l’illecito ricorrendo dati presupposti) che fonda una posizione di garanzia del provider per tutto quanto accade successivamente alla scoperta del dato illecito ed a condizione che il provider possa incidere giuridicamente sullo stesso.

Quando nasce la posizione di garanzia del provider: la consapevolezza dell’illecito

Il vero problema giuridico è vedere quando nasce tale posizione di garanzia.

Dalla lettura della norma sembra infatti che la responsabilità del provider che si limiti ad attività di hosting possa fondarsi in relazione alla consapevolezza dell’illiceità (manifesta?) dell’informazione ed alla richiesta (espressa?) di rimozione dell’autorità competente.

I due presupposti della responsabilità (che non possono che essere cumulativi) non sono peraltro del tutto univoci.

Quanto al primo aspetto, quello relativo al carattere illecito del dato, può ben richiamarsi quella giurisprudenza di merito (Trib. Roma 11febbraio 2010, in causa Google, Youtube v. RTI, e Trib. Milano 9 settembre 2011, in causa RTI v Yahoo! Italia s.r.l. nonché Yahoo! INC) che ha ritenuto responsabile l’host–provider che non si sia attivato per rimuovere immediatamente contenuti illeciti, nonostante le diffide dell’interessato e pur in assenza di ordine dell’autorità giudiziaria: qui, però, si trattava del caricamento su Youtube di opere televisive chiaramente in violazione del diritto d’autore.

Se il dato non è illecito in modo evidente, invece, il problema della responsabilità del provider si pone nella sua gravità: si pensi ad esempio alle opposte valutazione del tribunale di Milano del 24 febbraio del 2010 e della Corte d’appello di Milano del 21 dicembre del 2012 sul caso (Google c. Vividown) della responsabilità di dirigenti di Google per la reperibilità di un video caricato in rete nel quale si vedeva un ragazzo minorenne e disabile deriso e oggetto di violenze da parte dei suoi compagni di scuola, con saluti fascisti e scritte inneggianti alle SS.

In particolare, nella sentenza d’appello si esclude la configurabilità di un concorso omissivo nel reato contestato (nel caso di illecito trattamento di dati sensibili personali) e si esclude, altresì, la sussistenza del dolo specifico richiesto dalla disposizione incriminatrice, sul rilievo che gli imputati non erano a conoscenza del contenuto del filmato e dell'immissione del dato personale illecitamente trattato e sull'ulteriore rilievo della incompatibilità giuridica di detto dolo specifico col dolo eventuale individuato dal tribunale in capo agli imputati.

La valutazione è stata poi confermata dalla Cassazione con la sentenza Sez. 3, sentenza n. 5107 del 2014, di cui si dirà infra.

Va evidenziato peraltro che, nei casi in cui è dubbia l’illiceità del dato veicolato, è configurabile astrattamente sia la responsabilità dell’host–provider per la violazione dell’obbligo di rimozione del dato illecito, sia all’opposto la responsabilità (civilistica) del provider per rimozione del dato e quindi violazione del contratto con il terzo che prevede la pubblicazione del dato.

A fronte di tale ultima responsabilità spesso i providers, nelle condizioni contrattuali dei servizi resi, legittimano preventivamente un loro intervento censorio anche nei casi dubbi ed a loro discrezione, al fine di evitare questioni contrattuali nei confronti del soggetto abilitato ad inserire i dati.

Precedenti nella giurisprudenza penale di merito

Sul tema della responsabilità penale del provider per il dato postato da terzi specificamente individuati, nella giurisprudenza di merito, si richiama la sentenza del Tribunale di Roma che nel 2011 aveva condannato a 9 mesi di reclusione – per istigazione a delinquere – un blogger per la pubblicazione sul sito cartellopoli.it di foto spedite da un lettore che era intervenuto segnalando come abusivi alcuni cartelloni pubblicitari a Roma, unitamente a frasi istigatorie dirette a compiere atti di danneggiamento e di furto nei confronti degli impianti pubblicitari di proprietà della stessa società pubblicitaria, e di altre concessionarie.

La Corte d’appello di Roma con sentenza del 21 novembre 2016 ha invece escluso ogni responsabilità del gestore del sito, mandando assolto l’imputato, escludendone il concorso nel reato, perché il fatto non sussiste.

Precedenti di legittimità

La sentenza della Cassazione in commento è la prima a quanto consta ad affermare la responsabilità penale del provider per il dato diffamatorio postato da terzi specificamente individuati. In sede di legittimità, non vi sono precedenti specifici con riferimento al reato di diffamazione.

Utili indicazioni di una soluzione opposta in tema di responsabilità penale del provider vengono però da Cass., Sez. 3, Sentenza n. 5107 del 03/02/2014, la quale – intervenendo nella vicenda Google c. Vividown sopra ricordata – ha affermato che non è configurabile il reato di trattamento illecito di dati personali a carico degli amministratori e dei responsabili di una società fornitrice di servizi di “Internet hosting provider” che memorizza e rende accessibile a terzi un video contenente dati sensibili (nella specie, un disabile ingiuriato e schernito dai compagni in relazione alle sue condizioni), omettendo di informare l'utente che immette il “file” sul sito dell'obbligo di rispettare la legislazione sul trattamento dei dati personali, qualora il contenuto multimediale sia rimosso immediatamente dopo le segnalazioni di altrui utenti e la richiesta della polizia.

In motivazione, la Corte ha evidenziato che l'attività svolta dal “provider”, anche secondo quanto dispone il D.Lgs. 9 aprile 2003, n. 70, consiste nell'offrire una piattaforma sulla quale i destinatari del servizio possono liberamente caricare i loro video senza che il gestore abbia alcun potere decisionale sui dati sensibili in essi inclusi, e, quindi, possa essere considerato titolare del trattamento degli stessi, finché non abbia l'effettiva conoscenza della loro illiceità, non incombendo a suo carico un obbligo generale di sorveglianza, di ricerca dei contenuti illeciti o di avvertimento della necessità di rispettare la disciplina sulla “privacy”.

La sentenza ha sottolineato infatti che “il gestore del servizio di hosting non ha alcun controllo sui dati memorizzati, né contribuisce in alcun modo alla loro scelta, alla loro ricerca o alla formazione del file che li contiene, essendo tali dati interamente ascrivibili all'utente destinatario del servizio che li carica sulla piattaforma messa a sua disposizione”: dunque, “finché il dato illecito è sconosciuto al service provider, questo non può essere considerato quale titolare del trattamento, perché privo di qualsivoglia potere decisionale sul dato stesso; quando, invece, il provider sia a conoscenza del dato illecito e non si attivi per la sua immediata rimozione o per renderlo comunque inaccessibile esso assume a pieno titolo la qualifica di titolare del trattamento ed è, dunque, destinatario dei precetti e delle sanzioni penali del Codice Privacy”.

In ambito di responsabilità civile, infine, va richiamata Cass., Sez. 1, n. 13161/16 del 4 giugno 2015, che ha confermato la sentenza del tribunale di Chieti che aveva ritenuto responsabile sul piano civile il direttore di un giornale on–line per aver mantenuto in rete un articolo di cronaca oltre il momento in cui il protagonista della vicenda ne aveva chiesto la rimozione dalla rete, per essere decorso un lasso rilevante di tempo dai fatti (circa tre anni) sicché il diritto alla riservatezza prevaleva sul diritto di cronaca ed il trattamento dei dati personali risultava da un dato momento in poi ingiustificato.

Precedenti della Corte di Lussemburgo

I principi su richiamati della direttiva 31/2000 sono stati applicati dalla Corte di giustizia dell’Unione europea, con riferimento però al caso – senza dubbio presentante problematiche di tipo diverso – dei  collegamenti dei motori di ricerca a siti che vendono prodotti contraffatti (caso Google France v. Louis Vuitton, 2010;  con riferimento ai siti d'aste, v. il caso l'Oreal v. Ebay, 2011):  in entrambi i casi la Corte di giustizia ha affermato che i fornitori non possono essere responsabili per i fatti di terze persone se non hanno alcuna conoscenza della illeciti, in quanto non hanno l'obbligo di monitoraggio.

Precedenti della Corte di Strasburgo

Sullo specifico tema della responsabilità del provider per il dato diffamatorio postato da terzi specificamente individuati, un caso per molti versi simile a quello oggetto della sentenza in commento, è stato portato avanti alla Corte europea dei diritti dell’Uomo: si tratta del caso Delfi contro Estonia.

Nella specie, ricorrente era una società per azioni registrata in Estonia, proprietaria di un portale di notizie on-line, che pubblicava articoli e consentiva al pubblico di caricare direttamente commenti sui vari argomenti; il portale aveva in atto un sistema di notice and take down, consentendo ad ogni lettore di segnalare i messaggi da rimuovere, con conseguente effettiva rimozione da parte del gestore. Nel caso, un messaggio con contenuto diffamatorio era stato postato sul sito e poi rimosso nello stesso giorno dell’intervenuta segnalazione del suo carattere; il diffamato aveva quindi chiesto il risarcimento dei danni alla società Delfi, per i danni avuti per tutto il tempo dall’upload del messaggio alla sua effettiva rimozione (sei settimane).

Dopo alterne vicende avanti ai giudici nazionali, alla fine la società era stata condannata a pagare un risarcimento, peraltro di entità modesta: i giudici nazionali avevano qualificato l’attività del portale come content provider, ritenendo che l’invito a postare commenti verso il pubblico implicasse una responsabilizzazione del provider per i contenuti immessi, tanto più che la società aveva un diretto interesse economico in relazione al numero di visite al sito, per effetto degli accordi commerciali con società terze pubblicizzate sul sito.

La società aveva quindi presentato ricorso innanzi alla CEDU, per asserita violazione del suo diritto di impartire informazione, protetto dall’art. 10 della Convenzione.

La Corte, prima con Camera singola (ottobre 2013), poi in composizione di Grande Chambre (luglio 2015), ha rigettato il ricorso in quanto infondato, escludendo che la sanzione pecuniaria modesta inflitta alla società potesse integrare una violazione dell'articolo 10 della Convenzione.

La Corte ha in particolare attribuito rilievo al fatto che la società ricorrente fosse un editore professionista, in grado di valutare i rischi connessi alle sue attività e che poteva essere in grado di prevedere, in misura ragionevole, le conseguenze lesive derivanti da messaggi del pubblico non preventivamente filtrati, dovendo conseguentemente esercitare un maggiore controllo sui messaggi.

Secondo la Corte, lo stesso meccanismo di notice and take–down utilizzato dalla società, basato sulle segnalazioni del pubblico, era insufficiente a proteggere i soggetti diffamati, potendo intercorrere anche diverse settimane (come nel caso) prima della rimozione del dato diffamatorio.

Non è stato peraltro neppure irrilevante nella valutazione della corte la considerazione della scelta del gestore del portale di consentire i commenti da parte di utenti non registrati, assumendo inevitabilmente per tali commenti una responsabilità (in tema si richiama anche la sentenza CEDU Krone Verlag GmbH & Co. KG c. Austria, n. 72331/01, § 32, 9 novembre 2006, dove la Corte ha riscontrato che lo spostamento del rischio della persona diffamata per ottenere un risarcimento per il procedimento per diffamazione alla società dei media, di solito in una migliore posizione finanziaria rispetto al diffamatore, non era qualificabile quale interferenza sproporzionata nel diritto della società alla libertà di espressione).

Per tutti i detti motivi, e considerando la quantità modesta dei danni che la ricorrente era stata condannata a pagare, la restrizione alla sua libertà di espressione è stata considerata dalla Corte EDU giustificata e proporzionata.

Da ultimo, sul caso, si segnala che la decisione della Grande Camera non è stata unanime e che due giudici hanno espresso la loro opinione dissenziente, sottolineando che l'ammissione di responsabilità degli intermediari avrebbero portato alla ulteriore autocensura da parte degli operatori, proprio per paura di quella potenziale responsabilità.

Quando nasce la posizione di garanzia del provider: la richiesta dell’autorità competente di rimozione del dato

In tutte le sentenze sopra richiamate, peraltro, mentre si richiede la conoscenza del provider del carattere illecito del dato veicolato, non si chiarisce il momento ed il presupposto dell’obbligo del provider di intervenire per rimuovere il dato illecito.

Si tratta come anticipato del secondo elemento essenziale previsto dalla legge per il sorgere della posizione di garanzia del provider. Un problema del tutto inesplorato anche dalla sentenza in commento.

Sia che si configuri la condotta del provider come commissiva (consistente nella perdurante veicolazione del dato), sia come omissiva (consistente nell’omessa rimozione del dato inserito da terzi in un sistema automatizzato), in ogni caso va detto che la responsabilizzazione del provider postula la conoscenza dell’illiceità del dato e la richiesta dell’autorità competente di rimozione del dato.

La disciplina comunitaria e quella italiana di recepimento espressamente richiedono congiuntamente i detti due elementi, sicché sembrano escludere che la conoscenza dell’illecito possa essere una conoscenza semplice, resa magari dal soggetto danneggiato che richieda – anche solo personalmente e via e–mail – la rimozione del dato illecito, così come potrebbe essere insufficiente anche una vera e propria denuncia o querela dello stesso, richiedendosi nelle dette fonti normative una conoscenza acquisita da fonte qualificata, proveniente da una pubblica amministrazione, dal pubblico ministero ovvero da un giudice (per un’ampia disamina delle relative problematiche, sia consentito il rinvio a F. Buffa, Freedom of expression in the Internet society, Collana “Il diritto in Europa oggi”, Key editore, 2016).

La disciplina su richiamata sembra infatti escludere la responsabilità del provider fino al momento in cui non sia intervenuta l’autorità competente a comunicare il dato illecito, richiedendone così la rimozione.

Ma gli interrogativi sono ancora molti: anche a ritenere che una denuncia non sia sufficiente ed occorra che la stessa (pur sempre necessaria) sia supportata da una decisione dell’autorità (che comunichi al provider la presenza del dato illecito, richiedendone – almeno implicitamente, come deve ritenersi – la rimozione), a quale autorità, di carattere amministrativo o giudiziario, occorre far riferimento? Il richiamo alla “competenza”, che portata ha per l’autorità amministrativa? È un richiamo alla materia affidata alla cura dell’amministrazione? E per quella giudiziaria? È un richiamo alla competenza in senso tecnico processuale, nei suoi diversi profili (incluso quello solo territoriale)? È poi sufficiente un atto di un pubblico ministero o occorre una decisione di un giudice? In quest'ultimo caso, basta una ordinanza o occorre una sentenza? Bisogna, infine, aspettare una decisione definitiva che ha visto formarsi il “giudicato”?

A parte questi problemi, certo è che l’intervento dell’autorità è un presupposto essenziale per la configurazione della responsabilità del provider. Del resto, il richiamo alla necessità di uno specifico intervento dell’autorità giudiziaria o amministrativa è utile anche per altro profilo, posto che non può certo essere rimesso al privato che si assume esser stato danneggiato o al provider medesimo le modalità attraverso le quali il processo di rimozione del dato dovrà essere eseguito, dovendosi per converso ridursi al minimo la discrezionalità del provider che applica il blocco o la rimozione dei dati ed occorrendo che l’intero processo comunque sia trasparente e, soprattutto, proporzionato e limitato dal fine perseguito [escludendosi in tal modo l’intervento su dati diversi leciti (cfr. CEDU, Ildyrim c. Turchia, 2013)].

In tema, la Raccomandazione CM/Rec (2014) 6 del Comitato dei Ministri agli Stati Membri del Consiglio d’Europa, su una Guida per i diritti umani per gli utenti di Internet, ricorda che ogni utente di Internet, nell'esercizio del suo diritto a un equo processo, dovrebbe essere in grado di richiedere un riesame della misura presa dal provider da parte di un'autorità amministrativa o giudiziaria competente.

La comunità internazionale è del resto consapevole dei rischi della partita in gioco, atteso che il potere del provider di rimozione dei dati è un potere di censura tra privati.

Lasciare le decisioni di rimozione dei dati alla discrezione dei soggetti privati che non hanno la capacità di pesare i diritti e di interpretare la legge in conformità con la libertà di parola e di altri standard dei diritti umani è situazione in grado di mettere in serio pericolo il diritto alla libertà di espressione garantita dalla Convenzione europea dei diritti dell’uomo: infatti, se il provider è libero nel decidere come i contenuti devono essere filtrati o rimossi, è verosimile che la tendenza sarà quella espansiva della censura al fine di evitare ogni responsabilità (in altri termini, in assenza di criteri coerenti, il provider probabilmente sceglierà di bloccare e rimuovere il contenuto ogni volta che lo stesso sia controverso), il che può ben aprire la strada a pratiche abusive che limitano il diritto alla libertà di espressione e di accesso alle informazioni.

La Risoluzione sui diritti degli utenti di Internet da parte del Consiglio d'Europa muove da queste preoccupazioni e sottolinea che qualsiasi restrizione sui contenuti generati dagli utenti deve essere specifica, giustificata per lo scopo per cui è prevista, e comunicata all’utente di Internet in questione, in modo da consentirgli adeguati rimedi oppositivi innanzi all’autorità amministrativa o giudiziaria.

Resta in ogni caso necessario, sottolinea la detta Risoluzione, che le decisioni che coinvolgono l'illegalità rimangano di competenza dei tribunali al fine di garantire il principio di giusto processo, piuttosto che essere demandate ai fornitori di servizi che operano al di fuori di un quadro giuridico.

La Declaration of 2003 on the freedom of communication on the Internet stabilisce che «the Member States have to be very careful with the liability for third parties communications by providers who didn’t remove message after a notification» e richiede agli Stati membri di introdurre una definizione più precisa circa il livello di conoscenza richiesto ai fornitori di servizi per essere considerati responsabili per le comunicazioni di terzi, al fine di evitare il rischio di rimozione rapida dei messaggi, per la semplice paura di denuncia da parte di terzi.

Infine, la Dichiarazione intende escludere l'imposizione di obblighi vaghi o sproporzionati sui providers, e prevede che la rimozione del dato – il cui mancato rispetto implichi la responsabilità del provider – sia ancorata a previsioni chiare della legge ed a previo ordine di un tribunale o di simili autorità che operino con sufficienti garanzie per l'indipendenza, l'autonomia e l'imparzialità, e che abbia la capacità di valutare i diritti in gioco e di offrire le necessarie garanzie per l'utente, in vista della tutela della sua libertà di manifestazione del pensiero.

09/01/2017
Altri articoli di Francesco Buffa
Se ti piace questo articolo e trovi interessante la nostra rivista, iscriviti alla newsletter per ricevere gli aggiornamenti sulle nuove pubblicazioni.
Sentenze di giugno-luglio 2023

Le più interessanti sentenze emesse dalle Sezioni Unite civili della Corte di Cassazione nei mesi di giugno-luglio 2023

09/11/2023
L’analisi di genere passa la soglia sovranazionale e approda in Cassazione

Nota a Cassazione, Sesta sezione penale, sentenze n. 12066 del 22.3.2023 (ud. 24.11.2022) e n. 14247 del 4.4.2023 (ud. 26.1.2023)

04/10/2023
Sentenze di maggio 2023
a cura di Redazione

Le più interessanti sentenze emesse dalle Sezioni Unite penali della Corte di Cassazione nel mese di maggio 2023

28/07/2023
L'attuazione della legge di riforma per il giudizio di cassazione

Con riguardo al giudizio in cassazione, il legislatore delegato si è limitato a formulare alcune norme di dettaglio che meglio precisano e mettono a fuoco lo schema processuale introdotto dalla legge delega. Nel contributo vengono elencati gli interventi legislativi più significativi, mettendone in luce i tratti salienti e le eventuali criticità applicative, anche sulla scorta della prima sperimentazione.

16/05/2023
Le novità in tema di giudizio di legittimità. Cenni sulla revisione europea

1. Ambito della riflessione / 2. Le modalità di trattazione del ricorso per cassazione / 3. Il rapporto tra improcedibilità e confisca / 4. Cenni sulla revisione europea

13/03/2023
Forme e formalismo tra Cassazione e Cedu

Relazione al ciclo di seminari Il ricorso per cassazione civile, organizzato da AGI Nazionale, Associazione giuslavoristi italiani (Roma, 25 novembre 2022)

12/12/2022
Ancora sul disegno di legge delega per la riforma dell’ordinamento giudiziario: le modifiche sui criteri di accesso alle funzioni di consigliere di Cassazione e di sostituto procuratore generale presso la Corte di cassazione

La legge delega 17 giugno 2022, n. 71 introduce, fra le altre cose, la modifica ai criteri di accesso alle funzioni di legittimità. Le disposizioni introdotte sembrano disegnare una nuova visione della Corte di cassazione e della Procura generale, volta a valorizzare un percorso professionale fondato principalmente sulla permanenza negli uffici di merito, ma contengono anche indicazioni dalle quali trapela una sostanziale sfiducia nell’operato dell’organo di autogoverno, che consentono di formulare dei dubbi di compatibilità costituzionale.

21/09/2022