Ogni attività della rete passa necessariamente attraverso un Internet Service Provider (ISP): il ruolo di questi intermediari è pertanto fondamentale nel panorama dei servizi web.
Pare dunque opportuno soffermarsi sulle possibili responsabilità imputabili in capo a tali soggetti, potendosi configurare ipotesi non solo di mera responsabilità contrattuale (ad esempio per violazione dei cosiddetti SLA – Service Level Agreement), ma anche di responsabilità di natura extracontrattuale, per tutti i danni, diretti e indiretti, patrimoniali e non patrimoniali, derivanti da possibili eventi dannosi cagionati a terzi dalla pubblicazione di contenuti illeciti.
ISP, chi sono, cosa fanno
Con il termine ISP si fa riferimento a quella categoria di soggetti che operano come intermediari dei servizi in rete, mettendo in contatto mittenti e destinatari di un’informazione web. Gli ISP si collocano sul mercato offrendo una svariata gamma di servizi, come la trasmissione, la memorizzazione e connessione dei dati.
In questa categoria così eterogenea, si possono individuare tre distinti gruppi di fornitori di servizi:
- i fornitori di servizi cosiddetti di mere conduit o semplice trasporto: forniscono l’accesso ad una rete di comunicazione o a trasmettono su tale rete le informazioni fornite da parte di un terzo (utente del servizio)
- i fornitori di servizi di caching o memorizzazione temporanea: forniscono servizi di memorizzazione e immagazzinamento temporaneo di informazioni fornite da un terzo (utente del servizio) al fine di consentire un accesso più rapido ed efficace alle stesse
- i fornitori di servizi di hosting: forniscono servizi di memorizzazione permanente delle informazioni fornite da terzi (utenti del servizio).
Le responsabilità degli ISP
E’, quindi, evidente la centralità del ruolo degli ISP nel panorama dei servizi della rete, nonché la necessarietà del transito di tutte le informazioni della rete stessa all’interno delle loro infrastrutture ed è perciò necessario conoscere quali sono le loro responsabilità.
In primis è doveroso fare una precisazione con riferimento alla qualità del soggetto danneggiante. Infatti, qualora l’illecito o il comportamento dannoso sia commesso direttamente dal Provider, la responsabilità non potrà che essere riconosciuta interamente in capo allo stesso. In tal caso, pertanto, non si riscontrano problemi applicativi né di natura sostanziale né processuale nell’applicare all’ISP la normativa di riferimento. A tal riguardo, è lo stesso Codice di regolamentazione dell’AIIP – Associazione Italiana Internet Provider – a statuire che “il fornitore di contenuti è responsabile delle informazioni che mette a disposizione del pubblico”.
Diverso e più complesso è il caso in cui i contenuti illeciti o le condotte contra legem siano poste in essere dagli utenti dei servizi forniti dal Provider. L’art. 2043 c.c. obbliga, colui che, con dolo o colpa, abbia commesso un fatto dannoso per un terzo, a risarcire tutti i danni derivati al terzo dalla commissione di tale fatto.
È, pertanto, necessario comprendere se, nella pubblicazione di contenuti illeciti ad opera di un utente, sia configurabile una condotta, dolosa o colposa, che configuri una responsabilità in capo al Provider.
La disciplina comunitaria e nazionale
La normativa di riferimento è la Direttiva sul commercio elettronico 2000/31/CE, recepita in Italia con il decreto legislativo n. 70/2003, che prevede, al ricorrere di specifici requisiti, delle esenzioni di responsabilità a favore dei Provider per gli illeciti compiuti dai propri utenti. La normativa comunitaria preferisce, quindi, disciplinare la materia non mediante l’attribuzione di specifiche responsabilità, bensì prevedendo un sistema di esenzioni e deroghe alla regola generale della responsabilità. Allo stesso modo, il decreto legislativo di recepimento della normativa comunitaria, agli artt. 14, 15 e 16, definisce i requisiti per un accertamento in negativo della responsabilità del Provider.
Con riferimento ai fornitori di servizi di mere conduit, l’art. 14 d.lgs. n. 70/2003, esclude la responsabilità del Provider ogniqualvolta:
- non abbia dato origine alle informazioni trasmesse;
- non abbia selezionato il destinatario della trasmissione;
- non abbia selezionato né modificato le informazioni trasmesse.
È, quindi, necessario che il Provider abbia svolto un’attività meramente neutrale e passiva, mediante lo svolgimento di attività di natura tecnica e automatica.
Con riferimento ai fornitori di servizi di caching, l’art. 15 d.lgs. n. 70/2003, esclude la responsabilità del Provider ogniqualvolta:
- non abbia modificato le informazioni;
- si sia conformato alle condizioni di accesso alle informazioni;
- si sia conformato alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore;
- non interferisca con l’uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull’impiego delle informazioni;
- agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l’accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l’accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un’autorità amministrativa ne ha disposto la rimozione o la disabilitazione.
L’esenzione da responsabilità, in pratica, opera solo laddove il Provider non compia alcuna azione sulle informazioni che trasmette, si conformi alle informazioni e alle norme di aggiornamento che vengono indicate secondo i modi riconosciuti a utilizzati dalle imprese di settore e non interferisca con l’uso lecito di tecnologia. Inoltre, non appena venga a conoscenza del fatto che le informazioni memorizzate siano state rimosse dal luogo in cui si trovavano in origine, anche dietro ordine dell’autorità amministrativa, il Provider è obbligato a rimuoverle tempestivamente e a disabilitare l’accesso ad esse al fine di evitare il configurarsi di una propria responsabilità.
Infine, con riferimento ai fornitori di servizi di c.d. hosting, l’art. 16 d.lgs. n. 70/2003, esclude la responsabilità del Provider ogniqualvolta:
- non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione;
- non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.
Da tali previsioni normative derivano, in positivo, i confini entro i quali il Provider ha un vero e proprio dovere di azione al fine di evitare o porre fine alle attività illegali svolte da parte degli utenti.
Provider attivi e passivi
Sul tema sono intervenute numerose sentenze sia delle corti nazionali che sovranazionali, recentemente ripercorse ed esaminate dalla Cassazione italiana con particolare riferimento all’ipotesi di responsabilità del fornitore di servizi di hosting per i contenuti pubblicati dai propri utenti.
La giurisprudenza nell’affrontare il problema ha operato una distinzione tra Provider cosiddetti “attivi” e “passivi”, affermando che l’ISP rivestirebbe un ruolo “attivo” tutte le volte in cui interviene anche solo nell’organizzazione, selezione o promozione dei materiali caricati, ottimizzandone i contenuti ovvero sfruttandoli da un punto di vista pubblicitario ed economico. Si ha un Provider “attivo”, dunque, tutte le volte in cui esso svolga un’attività che esula da un servizio di ordine meramente tecnico, automatico e passivo, ponendo, invece, in essere una condotta attiva, concorrendo in tal modo con altri nella commissione dell’illecito. Rivestirebbe, invece, un ruolo “passivo” tutte le volte in cui si limiti a garantire una fornitura “neutra del servizio” mediante un trattamento meramente tecnico e automatico dei dati forniti dai propri utenti.
Dalla lettera degli articoli in commento e dalle conclusioni raggiunte dalla giurisprudenza, derivano due regole generali:
- da una parte, la responsabilità degli ISP, per le informazioni pubblicate dagli utenti si configura qualora i fornitori intervengano sul contenuto o sullo svolgimento delle operazioni, assumendo così un ruolo “attivo”;
- dall’altra, qualora gli ISP rivestano esclusivamente un ruolo “passivo”, vale a dire puramente tecnico e/o automatico, l’esenzione di responsabilità non opera ogniqualvolta il Provider, venuto a conoscenza dell’attività o dell’informazione illecita, non faccia nulla per rimuoverla.
Sulla responsabilità del Provider “attivo”, pertanto, nulla quaestio, il fornitore del servizio avendo posto in essere una condotta colposa commissiva è tenuto a risarcire i danni che dalla stessa sono derivati ai terzi, in base a quanto sancito dall’art. 2043 c.c..
L’inquadramento della responsabilità del provider passivo
Più complicato, invece, risulta essere l’inquadramento della natura della responsabilità in capo al fornitore di servizi che mantenga un ruolo meramente “passivo”. Infatti, la sola qualificazione di Provider cosiddetto “passivo” non è di per sé sufficiente a esimere l’ISP da qualsiasi responsabilità in via generale e astratta, posto che, da un lato, qualsiasi attività che consenta al Provider di esercitare un controllo e/o una supervisione sui contenuti è sufficiente a escludere l’esenzione di cui all’art. 16 lett. a) d.lgs. n. 70/2003; dall’altro, qualora, il Provider, venuto a conoscenza dell’attività o dell’informazione illecita, non faccia nulla per rimuoverla, verrebbe meno anche l’esenzione di cui all’art. 16 lett. b) d.lgs. n. 70/2003.
Un diffuso orientamento ha equiparato la responsabilità del Provider cosiddetto “passivo” a quella del direttore di giornale, ravvisando l’esistenza di una culpa in vigilando sui contenuti pubblicati. Tuttavia, tale tesi non può essere avallata, in quanto l’assenza di una posizione di garanzia riconoscibile in capo al Provider è testimoniata dall’assenza di un obbligo generale di sorveglianza normativamente previsto. L’art. 15 della Direttiva 2000/31/CE e l’art. 17 del d.lgs. n. 70/2003 escludono l’esistenza di un obbligo generale di monitoraggio preventivo in capo al Provider, nonché di “un obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite”.
La responsabilità del Provider trova il proprio fondamento nel collegamento dell’obbligazione risarcitoria al fatto della “conoscenza”, da parte del fornitore del servizio dell’illiceità dell’informazione. Si tratta, quindi, non di una responsabilità oggettiva per fatto altrui, bensì di una responsabilità per fatto proprio colpevole dovuto a condotta commissiva mediante omissione.
L’onere probatorio è in capo al danneggiato, il quale deve provare in sede di giudizio sia la manifesta illiceità delle informazioni o delle attività, sia la conoscenza del Provider in ordine all’illecito compiuto dall’utente del servizio. Assolto tale onere, l’inerzia del fornitore di servizi integra in re ipsa la responsabilità, a fronte della contravvenzione dell’obbligo di attivazione previsto dall’art. 16 del d.lgs. n. 70/2003. Resta a carico del Provider la dimostrazione dell’esistenza di fatti e/o circostanze che, al di fuori della sua sfera di controllo, hanno impedito e reso di fatto impossibile l’attivazione per la rimozione dei contenuti lesivi.