Introduzione
Sono innumerevoli gli ISP, ovvero i fornitori di servizi informatici, adoperati con maggiore o minore consapevolezza dagli utenti in tutto il mondo. Eppure di rado si coglie l'effettivo impatto che gli stessi hanno, oltre che sul nostro stile di vita, anche sul nostro sistema giuridico.
Internet è il luogo che forse più di altri rappresenta la nostra epoca con le sue luci ed ombre, di conseguenza, con l'aumento delle occasioni di connessione e condivisione, si è via via registrato una graduale crescita degli illeciti commessi dagli internauti: domain grabbing, furti di identità, cyberbullismo, diffamazione a mezzo internet, accesso abusivo a reti informatiche sono solo alcuni degli esempi che sempre più frequentemente alimentano la cronaca quotidiana. Pensiamo a quanto accaduto negli ultimi anni con la comparsa dei Cryptolocker, ovvero quei malware in grado di criptare e rendere inaccessibili i dati presenti su Pc e server provocando, in taluni casi, ingenti danni economici.
Con la dicitura Internet Service provider (ISP) si indicano quelle società che forniscono al cliente finale, privato o azienda, la connessione a Internet fissa o mobile. Sono ISP in Italia società come TIM, Fastweb, Vodafone, Wind, H3G e così via.
Garantire sicurezza agli utenti e individuare i responsabili di condotte illecite è divenuta una priorità, eppure spesso si registra una scarsa reattività del legislatore. La ragione non va solo individuata nella cronica inefficienza del sistema, ma anche nella obiettiva difficoltà che chiunque incontrerebbe nel tentativo di definire i punti fermi di un'immagine in continua evoluzione.
E allora la domanda sorge spontanea: come controllare il mare magnum del world wide web? Gli ISP si sono trovati al centro del dibattito che questa domanda ha generato. Vediamo di capire perché.
La responsabilità degli ISP
Occorre chiarire che anche i provider, senza ombra di dubbio, a buon diritto e a norma dei millenari principi di imputazione della responsabilità civile e penale, rispondono degli illeciti posti in essere in prima persona, pensiamo ai content provider.
La questione si fa più spinosa quando terzi, sfruttando servizi quali l'hosting, commettono degli illeciti: si pensi a siti contenenti immagini pedo-pornografiche o materiale che viola il diritto d'autore.
Negli anni, diversi processi incardinati innanzi a giudici nazionali, sebbene non unanimemente, hanno visto soccombere provider che nelle aule dei tribunali venivano di fatto equiparati a direttori di giornali e quindi costretti ad ingenti risarcimenti a causa dei contenuti illeciti pubblicati da terzi. Si sosteneva in pratica che ogni provider fosse tenuto a conoscere l'esatto contenuto di tutto quanto venisse messo on line con il supporto delle infrastrutture dallo stesso messe a disposizione degli utenti. La principale argomentazione che i convenuti articolavano nei loro scritti difensivi, a volte senza successo, si basava sull'evidenziare la straordinaria complessità tecnica nonché onerosità di una verifica puntuale di ogni immagine, ogni parola e ogni funzione condivisa tra gli internauti. La logica che traspariva tra le righe mutuava in parte i suoi schemi dalla disciplina assicurativa. Ciò a cui si tendeva era appunto la volontà di assicurare ai danneggiati il ristoro di un più sicuro risarcimento.
Oggi la norma di riferimento è la Direttiva del 8 giugno del 2000 ("Direttiva sul commercio elettronico", 2000/31/CE; recepita dal D. Lgs. n. 70 del 2003), che ha sancito l'assenza di un obbligo generale di sorveglianza per gli ISP (art. 15, 2000/31/CE). Più nel dettaglio possiamo dire che i provider, in linea di massima, non sono responsabili quando svolgono servizi di mere conduit (art. 12), caching (art. 13) e hosting (art. 14).
La Direttiva europea non impone dunque al provider né l'obbligo generale di sorveglianza, come un tempo si sosteneva con forza, né tanto meno l'obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. Ma ciò non di meno la stessa normativa non inquadra gli ISP quali meri fornitori di un servizio di accesso alla rete. Gli stessi sono infatti tenuti ad informare prontamente degli illeciti rilevati le autorità competenti e a condividere con le stesse ogni informazione che possa aiutare a identificare l'autore della violazione. È il caso di evidenziare che la mancata collaborazione con le autorità fa sì che gli stessi provider vengano ritenuti civilmente responsabili dei danni provocati.
Contro detto regime di responsabilità si è scagliato chi teme che le vittime di eventuali illeciti non riescano ad ottenere alcun risarcimento. A tal proposito si è cercato di costruire un'equivalenza tra la responsabilità degli ISP per i fatti degli utenti e quella del datore di lavoro per i fatti dei dipendenti. Altri studiosi hanno invece tentato di equiparare i servizi resi dai provider alle attività pericolose di cui all'art. 2050 c.c., idea non peregrina se si pensa ad esempio che il Codice in materia di protezione dei dati personali qualifica il trattamento dei dati proprio come attività pericolosa. In tal caso si assisterebbe a un'inversione dell'onere della prova ai danni degli ISP che sarebbero quindi tenuti a dimostrare di aver adottato tutte le misure idonee a evitare il danno.
Contro tali ipotesi si sono schierati in molti, tra gli altri, anche Google, un cui portavoce ha dichiarato che "tutto ciò attacca i principi fondamentali di libertà su cui Internet è stato costruito [...] se ogni social network o blog fosse responsabile per il trasferimento di ogni singolo dato caricato dagli utenti [...] il Web, così come lo conosciamo, cesserebbe di esistere".
Chi si cura delle vittime?
Il nodo che sta alla base di tutto è la necessità e difficoltà di individuare un soggetto che possa risarcire i danni prodotti in conseguenza di condotte illecite. L'attività investigativa può durare anche molto a lungo e inoltre intercettazioni, analisi di log e botnet, tracciamento degli IP e cosi via non sempre consentono di individuare il responsabile materiale del fatto che spesso tenta di agire nell'anonimato.
Ad oggi non è previsto dalle normative alcun obbligo generale di controllo a carico del provider e ciò per via del fatto che tale obbligo comporterebbe un eccessivo dispendio di risorse oltre che una forte limitazione alla libertà degli utenti. Si aggiunga che, sul piano tecnico, si discute se esista una tecnologia in grado di effettuare precisamente (in un contesto globale e in continuo aggiornamento!) la verifica di tutti i dati e/o attività svolte nel web.
La norma relativa agli obblighi previsti per i soli servizi di mere conduit, caching e hosting non offre, a giudizio di molti, i precisi e inequivocabili presupposti che imporrebbero agli ISP un intervento, il rischio è che valutazioni assolutamente arbitrarie e discrezionali possano ledere i diritti degli utenti addirittura esponendo il provider a richieste di risarcimento.
In un intervento del legislatore, le incertezze e i limiti normativi nel rapporto tra provider e utente possono essere in parte superate adottando un apposito contratto che tenga nella dovuta considerazione le specifiche particolarità che ogni caso presenta facendo in moda che alle lacune legali suppliscano le regole private.
Nella seconda parte di questo articolo analizzeremo una serie di casi concreti e l'orientamento mostrato dai giudici nazionali e comunitari.