Vediamo che responsabilità hanno gli intermediari digitali, con particolare riferimento ai gestori delle piattaforme di social networking, per i contenuti illeciti che gli utenti producono (user-generated contents) o che comunque diffondono e condividono attraverso Internet anche senza esserne gli autori.
Mediante i contenuti che circolano attraverso Internet possono essere commessi molti tipi di illeciti: alcuni reati molto gravi, come la propaganda terroristica o la pedopornografia; altri reati più circoscritti alla dimensione individuale, connessi alla violazione dei diritti della personalità, come il trattamento illecito dei dati personali, la diffamazione, il cyberbullismo, il furto identità; altri ancora qualificabili come violazioni di diritti patrimoniali (ad esempio le truffe online o la diffusione abusiva di materiale protetto da copyright); infine, le illecite manifestazioni del pensiero in termini di discorsi d’odio o propagazione di notizie infondate. In tutti questi casi, e in molti altri, l’autore della condotta illecita – ammesso che sia possibile individuarlo con esattezza, considerando che spesso gli utenti di Internet si nascondono dietro l’anonimato o l’uso di uno pseudonimo – ne è il principale responsabile dal punto di vista civile e penale. Ma la responsabilità, almeno quella civile, ricade a qualche titolo anche sul provider, cioè sul soggetto grazie alla cui attività di intermediazione l’illecito è stato compiuto e senza i cui servizi la condotta illecita non avrebbe potuto realizzarsi?
Le norme
Per rispondere a questo interrogativo si può seguire la via tracciata dalla direttiva europea sul commercio elettronico (n. 2000/31/CE) cui in Italia è stata data attuazione d. lgs. n. 70/2003. Si tratta di una disciplina senz’altro datata, ma che finora ha permesso di attribuire in qualche caso ai provider la responsabilità civile di tipo extracontrattuale (ex art. 2043 c. c.) per gli illeciti commessi dai loro utenti. La direttiva europea è stata adottata con l’obiettivo di favorire la libera circolazione e la promozione dei servizi della società dell’informazione, eliminando gli ostacoli allo sviluppo del commercio elettronico. In quest’ottica, occorreva favorire l’attività degli Internet Service Provider (ISP) senza gravarli di oneri eccessivi – quali, ad esempio, la sorveglianza ex ante o ex post sui contenuti diffusi dagli utenti attraverso la rete Internet, al fine di prevenire o reprimere gli illeciti – che avrebbero rallentato lo sviluppo del mercato digitale.
La normativa appena richiamata prevede tre categorie di intermediari digitali che, a seconda del livello del loro coinvolgimento nelle attività dell’utente, godono di diversi regimi di esenzione da responsabilità civile indiretta (cioè derivante dalle condotte degli utenti): i prestatori di servizi di semplice trasporto (attività di mere conduit); i prestatori di servizi di memorizzazione temporanea (attività di caching); i prestatori di servizi che memorizzano – non temporaneamente, ma durevolmente – le informazioni fornite dagli utenti (attività di hosting). Il presupposto – certamente valido all’inizio degli anni Duemila, ma discutibile oggi alla luce dell’evoluzione del ruolo dei provider determinato dal progresso tecnologico – è che tutti e tre i tipi di intermediari digitali mantengano una posizione neutrale e passiva rispetto ai contenuti caricati online dagli utenti (cioè non contribuiscano in alcun modo alla loro selezione, organizzazione, gestione o editing), ma si limitino a permetterne la trasmissione attraverso la Rete e ad ospitarli sulle proprie piattaforme. In virtù di questa posizione di neutralità, per via della quale si presuppone che gli ISP non siano a conoscenza di eventuali profili di illiceità dei contenuti user-generated, essi non sono gravati da responsabilità derivanti da questi ultimi.
A tutti e tre i tipi di provider, però, le competenti autorità giudiziarie o amministrative possono esigere, anche in via d’urgenza, di impedire o porre fine alle violazioni commesse attraverso i contenuti prodotti dagli utenti. Dunque, su richiesta dell’autorità sorge in capo all’ISP un obbligo di attivazione consistente nell’inibizione dell’accesso al contenuto illecito, il cui eventuale inadempimento comporta per l’ISP l’attribuzione di responsabilità civile. Sempre a richiesta delle competenti autorità, gli ISP sono tenuti a fornire senza indugio le informazioni in loro possesso atte ad identificare i destinatari dei servizi, al fine di individuare e prevenire attività illecite.
La normativa esclude che gli ISP possano essere assoggettati ad un obbligo generale di sorveglianza sulle informazioni trasmesse o memorizzate, o ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. Diversamente, i provider sarebbero gravati da oneri eccessivi che recherebbero grave intralcio alle loro attività, ostacolando lo sviluppo del commercio elettronico e, più in generale, di tutti i servizi della società dell’informazione. Tuttavia, il nodo problematico riguarda il comportamento che il provider deve assumere qualora si accorga “spontaneamente” del carattere illecito di talune attività o informazioni riferibili agli utenti dei servizi via Internet, a prescindere da ordini provenienti dalle competenti autorità. In tal caso, la normativa prevede per l’ISP l’obbligo di informativa nei confronti delle autorità giudiziarie o amministrative, il cui inadempimento comporta per l’ISP l’attribuzione di responsabilità civile. La norma non chiarisce, però, in quale modo l’ISP possa acquisire la conoscenza dell’illecito: occorre una conoscenza derivante da una notificazione in qualche modo (e in quale modo?) “qualificata” oppure è sufficiente la mera conoscenza di fatto, che però può essere difficile da dimostrare? La giurisprudenza sembra essere per lo più orientata nel senso di considerare efficace, ai fini dell’acquisizione della conoscenza da parte dell’ISP, la diffida di parte lesa, anche in assenza di un ordine dell’autorità giudiziaria o amministrativa. Ma questa soluzione non tutela l’ISP dall’attribuzione di responsabilità per aver rimosso taluni contenuti sulla base di una diffida rivelatasi successivamente priva di fondamento.
La Corte di Giustizia dell’Unione europea, in varie sentenze emanate fra il 2010 e il 2015, ha messo in evidenza principalmente due aspetti: quello dell’irresponsabilità del provider, a condizione che mantenga una posizione effettivamente neutrale rispetto ai comportamenti degli utenti, e quello dell’illegittimità di obblighi di sorveglianza preventiva in capo agli ISP. Riguardo al primo aspetto, la Corte ha precisato che la neutralità dell’ISP non può essere invocata se il prestatore del servizio non si limita al trattamento meramente automatico dei dati, ma svolge un ruolo attivo atto a conferirgli una conoscenza o un controllo di questi ultimi, per esempio attraverso attività di organizzazione o ottimizzazione dei contenuti. Riguardo al secondo aspetto, la Corte ha statuito che obbligare il provider a predisporre un sistema di filtraggio preventivo dei contenuti caricati dagli utenti, essendo tale sistema complesso, costoso e permanente, causerebbe una grave violazione della libertà di impresa del prestatore di servizi di hosting, oltre a ledere i diritti fondamentali degli utenti, quali il diritto alla tutela dei dati personali e la loro libertà di ricevere o di comunicare informazioni.
La giurisprudenza italiana
Secondo gli orientamenti dominanti nella giurisprudenza italiana di merito, non si può imporre ai provider l’onere di monitorare i contenuti che utenti caricano online, per via della complessità tecnica e del costo di una simile attività, peraltro in contrasto con quanto sancito dalla direttiva europea sul commercio elettronico nonché con il diritto alla libera manifestazione del pensiero (Corte d’Appello di Milano, sentenza n. 29/2015). Quindi, l’obbligo per l’ISP di rendere inaccessibili i contenuti illeciti, oltre che derivare da un ordine delle competenti autorità giudiziarie o amministrative, può insorgere solo nel momento in cui il gestore della piattaforma acquisisce la conoscenza dell’illecito in seguito alla richiesta di rimozione dei contenuti inoltrata dal titolare dei diritti che su presumono violati. A tale proposito, i giudici talvolta si sono trovati ad elaborare l’inedita categoria dell’hosting provider “attivo”, cioè non neutrale rispetto alle condotte degli utenti e quindi presumibilmente non ignaro della loro illiceità (Tribunale di Milano, sentenza n. 7680/2011, RTI c. IOL). Nel recente caso RTI c. Break Media (Tribunale di Roma, sentenza n. 8437/2016; Corte d’appello di Roma, sentenza n. 2883/2017), ad esempio, la piattaforma americana Break Media è stata qualificata come un sofisticato content provider che seleziona i contenuti, dispone di un team editoriale, interviene direttamente su tali contenuti (per esempio, offendo agli utenti la possibilità di scegliere, all’interno di un programma, la parte che più interessa e di collegarla ai “video correlati”), prevede un meccanismo attraverso cui gli utenti possono segnalare i contenuti illegittimi. Ciò considerato, il provider non poteva sostenere di non essere a conoscenza dell’illiceità dei contenuti. In altri casi, però, i giudici hanno ritenuto che, anche nel caso in cui un provider svolga attività di indicizzazione, organizzazione, e gestione dei video caricati da suoi utenti, ciò non significa che esso debba essere automaticamente qualificato come “non neutrale”, poiché tali attività non sono idonee a manipolare, alterare o comunque a incidere sui contenuti ospitati (Tribunale di Torino, sentenza n. 1928/2017, Delta Tv c. YouTube). Da ultimo, nel noto caso di Tiziana Cantone, il giudice ha ribadito l’assenza di obblighi di sorveglianza preventiva o di ricerca attiva di fatti e circostanze illeciti gravanti sui provider, ma ha stabilito che Facebook avrebbe dovuto rimuovere prontamente i contenuti segnalati dalla ricorrente come gravemente lesivi della sua reputazione, prestando dunque fede alla diffida di parte, senza attendere l’ordine dell’autorità giudiziaria; questo perché, trattandosi di una lesione dei diritti della personalità, per l’inerzia del provider questi ultimi sarebbero stati irrimediabilmente pregiudicati e non più suscettibili di reintegrazione (Tribunale di Napoli Nord, ordinanza cautelare 3 novembre 2016).
Come evidenziato dalla suaccennata giurisprudenza, gli intermediari digitali tendenzialmente rivendicano la loro posizione di neutralità rispetto alle condotte degli utenti e quindi la loro irresponsabilità per gli illeciti da essi causati, in base alla normativa sul commercio elettronico. Ma, considerando la costante e rapida evoluzione dei servizi offerti dagli ISP grazie al progresso tecnologico, è davvero così?
Il caso specifico dei social network
Prendiamo ad esempio il caso dei social network. In effetti, le clausole d’uso, che gli utenti dei social network sottoscrivono nel momento in cui accedono per la prima volta al servizio, sottolineano con evidenza la completa estraneità del provider rispetto alle condotte eventualmente illecite degli utenti che immettono contenuti online. Tuttavia, i gestori dei social network sites traggono profitto proprio attraverso la raccolta dei dati personali e sensibili degli utenti (il cosiddetto user data profiting), di cui gli inserzionisti pubblicitari si servono al fine di individuare i profili cui destinare pubblicità mirata in base ai gusti, alle preferenze e alle loro attitudini individuali (behavioural advertising). Inoltre, attraverso l’utilizzo di appositi algoritmi, i gestori delle piattaforme sono in grado di evidenziare alcuni contenuti (trending feeds) rispetto ai quali le interazioni fra utenti sono più frequenti, raccogliendo intorno ad essi pubblicità mirata. Dunque, i social network provider non si limitano a svolgere un’attività di hosting neutrale, ma intervengono direttamente nell’organizzazione, nella gestione e talvolta anche nell’editing dei contenuti, al fine di aumentare i ricavi derivanti dalla raccolta pubblicitaria.
Oltre a ciò, i social network stanno gradualmente sviluppando sinergie con il settore dell’editoria tradizionale, per sfruttare a loro vantaggio l’affidabilità e la credibilità di cui gode la stampa, con l’effetto di occupare progressivamente lo spazio appartenuto finora all’editoria. D’altro canto gli editori tradizionali, per fronteggiare la posizione dominante detenuta dai social media in termini di volume di traffico e di raccolta pubblicitaria, ricercano con essi alleanze per sfruttare in modo proficuo le nuove opportunità offerte dalla digitalizzazione, nel tentativo di raggiungere un pubblico più ampio e meglio profilato, incrementando così gli introiti derivanti dalla raccolta pubblicitaria. Sebbene i gestori dei social media siano piuttosto omertosi su questo punto, alcuni di essi (ad esempio Facebook, Snapchat e Twitter) possiedono una piccola redazione formata da giornalisti e professionisti del settore, che producono contenuti, curano e selezionano le notizie e colmano le lacune del materiale prodotto dagli utenti. D’altro canto, già da tempo gli editori tradizionali, una volta approdati online, hanno iniziato a corredare l’informazione giornalistica di strumenti di interazione social, come ad esempio la possibilità per gli utenti di segnalare gli articoli più graditi e di arricchirli con propri commenti.
Come esempio di commistione fra piattaforme social ed editoria si possono menzionare gli instant articles prodotti da Facebook, che possono essere fruiti con immediatezza attraverso le applicazioni mobili della piattaforma social, dietro pagamento di un abbonamento. Oppure il fatto che Facebook sta anche iniziando a rendere ben visibili i loghi delle testate giornalistiche nelle sezioni Trending e Search della piattaforma, con l’obiettivo di estendere questa novità a tutti i luoghi in cui le persone possono leggere le notizie attraverso la piattaforma social. Oppure, infine, la nuova funzione Article Context, in via di implementazione, che fornisce agli utenti informazioni aggiuntive su un articolo (l’editore, l’autore, l’argomento di cui l’articolo tratta, gli altri articoli correlati o di tendenza e il livello di condivisione su Facebook).
Ora, nel momento in cui i gestori delle piattaforme di social networking, profilando i gusti e le preferenze degli utenti, riescono a mettere in evidenza le news più interessanti per ciascuno di essi, opportunamente corredate da pubblicità mirata dalla quale il provider trae profitto, è difficile non paragonare questa attività a quella tipicamente editoriale. Se poi i trending feeds vengono individuati attraverso algoritmi che valorizzano il numero e la qualità delle interazioni fra gli utenti, non può sfuggire come il gestore della piattaforma social, al pari del direttore di una testata giornalistica, contribuisca a distinguere e a mettere in risalto ciò che davvero “fa notizia” nel mare magnum dell’informazione.
Tutto ciò considerato, non può non sorgere il dubbio che i gestori delle piattaforme di social networking possano essere assimilati, almeno in riferimento a talune loro attività, agli editori della stampa tradizionale e che quindi la loro posizione possa risultare analoga a quella del direttore responsabile di pubblicazioni periodiche o dell’editore/stampatore di pubblicazioni non periodiche (artt. da 57 a 58 bis del codice penale). Questa eventualità è stata categoricamente esclusa dalla Corte di Cassazione in più di una sentenza (n. 35511/2010; n. 31022/2015; n. 12536/2016), in base al principio del divieto di interpretazione analogica della legge penale. Proprio per questo, dunque, occorrerebbe emanare una disciplina apposita per colmare tale lacuna.
Abbandonando il terreno, per la verità piuttosto scivoloso, della “responsabilità editoriale” degli intermediari digitali, e particolarmente dei social network provider, si segnala però che recentemente proprio la Corte di Cassazione, confermando la condanna per concorso nel reato di diffamazione comminata in appello al gestore di un sito Internet per non aver rimosso prontamente un commento diffamatorio postato da un utente, ha confermato la tesi della sussistenza di un obbligo di rimozione, in capo ai gestori dei siti, di ogni contenuto potenzialmente offensivo pubblicato dagli utenti, di cui il gestore sia venuto in qualsiasi modo a conoscenza (sentenza n. n. 54946/2016). Il rischio di proseguire lungo questa strada sta nel fatto di ritenere automaticamente responsabile il gestore di qualsiasi sito dotato di un sistema di moderazione dei commenti del contenuto di questi ultimi, incoraggiando così l’applicazione, da parte dei provider, di forme di censura “privata” preventiva a fini cautelativi, certamente lesive del diritto di libera manifestazione del pensiero.
Il problema del bilanciamento fra il diritto alla libera manifestazione del pensiero e quello alla protezione della sfera privata e della reputazione individuale è stato preso in considerazione dalla Corte europea dei diritti dell’uomo (Corte di Strasburgo) in alcune recenti sentenze (Delfi c. Estonia, 2013 e 2015; MTE e Index c. Ungheria, 2016; Pihl c. Svezia, 2017) che hanno riguardato la legittimità dell’obbligo imposto dai giudici nazionali ai gestori di diversi siti Internet – un grande portale di informazione giornalistica nel caso Delfi; il sito di un organismo di autoregolamentazione di content provider nel caso Mte; il blog di un’associazione non-profit nel caso Pihl – di rimuovere alcuni commenti diffamatori pubblicati dagli utenti e di risarcire il danno subito dai soggetti diffamati. Da tali decisioni emerge che un portale di informazione giornalistica, certamente in grado di esercitare un controllo sui contenuti user-generated, in virtù del principio di precauzione inerente all’attività professionale di chi svolge attività editoriale, è tenuto a rimuovere prontamente i commenti dal contenuto offensivo, soprattutto nel caso in cui questi ultimi, oltre che diffamatori, contengano anche incitamento all’odio e alla violenza. Tuttavia, nel caso di commenti di minore gravità – cioè lesivi della reputazione, ma non tali da incitare all’odio e alla violenza – l’attribuzione di responsabilità per diffamazione al provider che ospita tali commenti nel proprio sito è illegittima, purché il gestore del sito abbia provveduto tempestivamente alla rimozione dei contenuti diffamatori a seguito della segnalazione della persona offesa.
Nel maggio del 2015, la Commissione europea ha adottato una comunicazione intitolata Strategia per il mercato unico digitale in Europa, nella quale si evidenziava la necessità di avviare una consultazione pubblica sul ruolo delle piattaforme online e sull’efficacia delle misure per contrastare la diffusione di contenuti illeciti attraverso Internet. Il fenomeno, infatti, ha raggiunto dimensioni preoccupanti non solo per quanto riguarda la condivisione illecita di contenuti protetti da copyright, ma anche per il massiccio utilizzo dei social media per la propaganda del terrorismo internazionale e per il ruolo giocato dagli intermediari digitali – soprattutto dai social network – di “moltiplicatori” di discorso di odio (hate speech) e di notizie false (fake news). La consultazione pubblica si è effettivamente svolta fra il 24 settembre 2015 e il 6 gennaio 2016. Sulla base dei risultati emersi, la Commissione europea ha pubblicato nel mese di settembre 2017 una comunicazione (n. 555) concernente proprio la lotta alla diffusione online dei contenuti illeciti attraverso una maggiore responsabilizzazione delle piattaforme.
Lotta agli illeciti
Il tipo di approccio che la Commissione europea ritiene più funzionale è quello della cooperazione fra autorità competenti (giudiziarie e amministrative, nazionali ed europee) da un lato, e piattaforme digitali dall’altro: i gestori delle piattaforme, in ottemperanza al principio della due diligence, dovrebbero approntare soluzioni tecniche idonee a raccogliere efficacemente le segnalazioni riguardanti i contenuti illeciti, in modo da poter provvedere alla loro rapida rimozione; le autorità competenti dovrebbero individuare regole chiare, da indirizzare agli operatori del settore, sulla definizione dei contenuti illeciti e sulle corrette procedure da seguire per eliminarli; l’intero processo di governance dei contenuti dovrebbe avvenire in continua cooperazione fra tutti gli attori coinvolti. La comunicazione ha indicato alcuni suggerimenti per contrastare la diffusione di segnalazioni di contenuti illeciti false o non attendibili, precisando che il controllo di tali segnalazioni non debba essere affidato solo a strumenti di filtraggio automatico, ma debba prevedere l’intervento umano. Il problema principale risiede proprio nell’individuare dei criteri idonei a bilanciare la rapidità della risposta del provider in termini rimozione dei contenuti illeciti – in quanto la loro permanenza online, protratta nel tempo, solitamente ne aggrava le conseguenze dannose – con l’accuratezza delle procedure di accertamento. Dovrebbero infine essere approntate solide garanzie per limitare il rischio di rimuovere contenuti leciti, sostenute da una serie di obblighi significativi di trasparenza volti ad aumentare la responsabilità dei processi di rimozione.
Ciò che non emerge chiaramente da questa comunicazione è se, nella visione della Commissione europea, i suggerimenti debbano essere implementati solo attraverso pratiche di volontaria cooperazione e di autoregolamentazione oppure anche un intervento normativo volto a integrare o a modificare la direttiva sul commercio elettronico, ormai molto datata. Dal tenore della comunicazione, sembra che la Commissione propenda per la prima soluzione: infatti, non vi è alcun accenno esplicito alla revisione della direttiva 2000/31/CE e, anzi, è ribadito che la direttiva costituisce «la base adeguata per elaborare sistemi rapidi e affidabili, idonei a rimuovere le informazioni illecite e a disabilitare l’accesso alle medesime»; inoltre, la comunicazione contiene un preciso riferimento alla «necessità che le piattaforme online agiscano in modo più responsabile e intensifichino l’impegno di autoregolamentazione a livello dell’UE per rimuovere i contenuti illegali». L’approccio basato sulla self-regulation, però, pur avendo il pregio di adattarsi con sufficiente flessibilità ai rapidi mutamenti del contesto conseguenti all’evoluzione delle tecnologie, rischia di risultare inefficace dinanzi alla pressione derivante dagli interessi economici degli operatori del settore, tendenzialmente preponderanti sugli interessi degli utenti.
Insomma, solo la periodica valutazione dei risultati eventualmente ottenuti dalle pratiche di autoregolamentazione potrà confermarne la reale efficacia, o piuttosto declassarle ad operazioni essenzialmente “cosmetiche” a ridotto impatto.