La responsabilità del fornitore di servizi nella società dell’informazione

Si tratta delle due differenti attività di hosting e di caching.

Su tale argomento vorrei segnalare due importanti sentenze, la n  n. 7708 del 19. 3.2019 e la n. 7709 del 19. 3.2019 di quest’anno della Corte di Cassazione. Ma vorrei tracciare e riepilogare prima i riferimenti normativi, con la trascrizione delle norme di riferimento comunitarie e nazionali, in materia di responsabilità del provider, in modo che tale mio articolo possa servire da utile guida per la valutazione dei casi concreti. 

La principale norma di riferimento resta la Direttiva del 8 giugno del 2000 (“Direttiva sul commercio elettronico” 2000/31/CE, recepita dal D. Lgs. n. 70 del 2003) che ha sancito l’assenza di un obbligo generale di sorveglianza per gli ISP (art. 15, 2000/31/CE). In sostanza possiamo dire che i provider non sono responsabili, in linea di principio, quando svolgono servizi di c.d. mere conduit (art. 12), caching (art. 13) e hosting (art. 14).

Più precisamente l’art. 12, dedicato al c.d. mere conduit, prevede che:

1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’informazione consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, o nel fornire un accesso alla rete di comunicazione, il prestatore non sia responsabile delle informazioni trasmesse a condizione che egli:

a) non dia origine alla trasmissione;

b) non selezioni il destinatario della trasmissione;

c) non selezioni né modifichi le informazioni trasmesse.

2. Le attività di trasmissione e di fornitura di accesso di cui al paragrafo 1 includono la memorizzazione automatica, intermedia e transitoria delle informazioni trasmesse, a condizione che questa serva solo alla trasmissione sulla rete di comunicazione e che la sua durata non ecceda il tempo ragionevolmente necessario a tale scopo.

3. Il presente articolo lascia impregiudicata la possibilità, secondo gli ordinamenti degli Stati membri, che un organo giurisdizionale o un’autorità amministrativa esiga che il prestatore impedisca o ponga fine ad una violazione.

Per quanto riguarda l’attività di memorizzazione automatica, temporanea e transitoria di informazioni (c.d. caching) è utile riportare l’art. 13 della Direttiva:

Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’informazione consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, il prestatore non sia responsabile della memorizzazione automatica, intermedia e temporanea di tali informazioni effettuata al solo scopo di rendere più efficace il successivo inoltre ad altri destinatari a loro richiesta, a condizione che egli:

a) non modifichi le informazioni;

b) si conformi alle condizioni di accesso alle informazioni;

c) si conformi alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore;

d) non interferisca con l’uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull’impiego delle informazioni;

e) agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l’accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l’accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un’autorità amministrativa ne ha disposto la rimozione o la disabilitazione dell’accesso.

2. Il presente articolo lascia impregiudicata la possibilità, secondo gli ordinamenti degli Stati membri, che un organo giurisdizionale o un’autorità amministrativa esiga che il prestatore impedisca o ponga fine ad una violazione.

Per quanto riguarda la disciplina dell’hosting occorre riportare l’art. 14: 

1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non sia responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore:

a) non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione;

b) non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.

2. Il paragrafo 1 non si applica se il destinatario del servizio agisce sotto l’autorità o il controllo del prestatore.

3. Il presente articolo lascia impregiudicata la possibilità, per un organo giurisdizionale o un’autorità amministrativa, in conformità agli ordinamenti giuridici degli Stati membri, di esigere che il prestatore ponga fine ad una violazione o la impedisca nonché la possibilità, per gli Stati membri, di definire procedure per la rimozione delle informazioni o la disabilitazione dell’accesso alle medesime.

Ed eccoci arrivati alla nota norma che ribadisce in termini generali un’assenza di responsabilità dei suddetti fornitori di servizi informatici (art. 15 della Direttiva):

1 Nella prestazione dei servizi di cui agli articoli 12, 13 e 14, gli Stati membri non impongono ai prestatori un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.

2. Gli stati membri possono stabilire che i prestatori di servizi della società dell’informazione siano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite dei destinatari dei loro servizi o comunicare alle autorità competenti, a loro richiesta, informazioni che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati.

Giova considerare in proposito il considerando n. 42 della Direttiva, il quale puntualizza che: “le deroghe alla responsabilità stabilita nella presente direttiva riguardano esclusivamente il caso in cui l’attività di prestatore di servizi della società dell’informazione si limiti al processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione. Siffatta attività è di ordine meramente tecnico, automatico e passivo, il che implica che il prestatore di servizi della società dell’informazione non conosce né controlla le informazioni trasmesse o memorizzate”.

La Direttiva europea non impone dunque al provider né l’obbligo generale di sorveglianza né, tanto meno, l’obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. Ciò non di meno la stessa direttiva non inquadra gli ISP Internet Service Provider quali meri fornitori di un servizio di accesso alla rete: essi sono infatti tenuti ad informare prontamente degli illeciti rilevati le autorità competenti e a condividere con le stesse ogni informazione che possa aiutare a identificare l’autore della violazione. In caso di mancata collaborazione con le autorità fa sì che gli stessi providers vengano ritenuti civilmente responsabili dei danni provocati.

Ora esaminiamo le due sentenze citate e la normativa nazionale di riferimento in esse richiamata.

Con sentenza n. 19. 3.2019 n.7708 la prima sezione civile della Corte di Cassazione, cassando la sentenza di merito, stabilisce che l'hosting provider attivo è sottratto al regime generale di esenzione di cui all'art. 16 D. Lgs. n. 70 del 2003, trovando nelle regole comuni la propria responsabilità civile: tale figura di provider svolge un'attività che supera il servizio meramente tecnico, automatico e passivo, di mere conduit, ponendo in essere una condotta attiva, e concorrendo quindi con altri nella commissione dell'illecito.

Già sappiamo che, nell'ambito dei servizi della società dell'informazione, la responsabilità dell'hosting provider, prevista dall'art. 16 cit., sussiste in capo al prestatore dei servizi che non abbia provveduto alla immediata rimozione dei contenuti illeciti ma abbia continuato a pubblicarli, quando ricorrano in cumulo le seguenti condizioni:

a) sia a conoscenza legale dell'illecito compiuto dal destinatario del servizio per averne avuto notizia (non importa se dal titolare del diritto leso o da latri);

b) l'illiceità dell'altrui condotta sia ragionevolmente constatabile, in modo che egli sarebbe in colpa grave per non averla riscontrata, alla stregua del grado di diligenza che è ragionevole attendersi da un operatore professionale della rete nell’attuale società dell’informazione;

c) abbia la possibilità di attivarsi utilmente per essere (stato) a conoscenza dei contenuti illecitamente immessi e da rimuovere.

L'illiceità deriva dalla violazione dell'altrui sfera giuridica, mediante un illecito civile o penale, comportante la lesione di diritti personali, quali ad esempio il diritto all'onore, alla reputazione, all'identità personale, all'immagine o alla riservatezza; o ancora, come nella fattispecie decisa, del diritto di autore. Il requisito sub b) configura una responsabilità per fatto proprio colpevole, perché di fronte ad una situazione di illiceità "manifesta" dell'altrui condotta non ne impedisce la continuazione tramite la rimozione delle informazioni.

Sotto il profilo oggettivo, al di là dei casi in cui vi sia un vero e proprio concorso doloso nell’illecito, basta quindi che vi sia una condotta commissiva mediante omissione, per avere – anche per sola imprudenza - concorso nel comportamento lesivo altrui, non avendo provveduto alla rimozione del dato informatico o al blocco all'accesso. 

Ovviamente sarà il giudice di merito tenuto ad accertare se, sotto il profilo tecnico-informatico, l'identificazione di contenuti come video, diffusi in violazione dell'altrui diritto, sia possibile mediante l'indicazione del solo nome o titolo della trasmissione da cui sono tratti o se invece sia necessaria la comunicazione dell'indirizzo "url”. 

Gova a questo proposito richiamare la Comunicazione della Commissione COM (2017) 555 del 28 settembre 2017 che offre importanti indicazioni. Si legge in tale Comuinicazione che le piattaforme online «dispongono solitamente dei mezzi tecnici per identificare e rimuovere» i contenuti illeciti e che, alla luce del «progresso tecnologico nell'elaborazione di informazioni e nell'intelligenza artificiale, l'uso di tecnologie di individuazione e filtraggio automatico sta diventando uno strumento ancora più importante nella lotta contro i contenuti illegali online. Attualmente molte grandi piattaforme utilizzano qualche forma di algoritmo di abbinamento basata su una serie di tecnologie, dal semplice filtraggio dei metadati fino all'indirizzamento calcolato e alla marcatura (fingerprinting) dei contenuti», e precisando che «nel settore del diritto d'autore, per esempio, il riconoscimento automatico dei contenuti si dimostra uno strumento efficace da diversi anni».

Il succo del discorso, concludendo e volendo tracciare l’abstract di tale sentenza, che in gergo legale si dice “massima”, cioè la principale statuizione che orienterà i successivi giudici, è questo:

L'hosting provider attivo è il prestatore dei servizi della società dell'informazione il quale svolge un'attività che esula da un servizio di ordine meramente tecnico, automatico e passivo, e pone, invece, in essere una condotta attiva, concorrendo con altri nella commissione dell'illecito, onde resta sottratto al regime generale di esenzione di cui all'art. 16 D. Lgs. n. 70 del 2003, dovendo la sua responsabilità civile atteggiarsi secondo le regole comuni.

Con la seconda e contigua sentenza 19. 3.2019 n. 7709 di cui volevo parlarvi, sempre la  prima sez. civile della Suprema Corte precisa che nell'ambito dei servizi della società dell'informazione, la responsabilità del cd. caching, prevista dall'art. 15 del D.Lgs. n. 70 del 2003 (norma corrispondente all’art. 13 della Direttiva 2000/31/CE), sussiste in capo al prestatore dei servizi solo nel caso in cui non abbia provveduto all’immediata rimozione dei contenuti illeciti in ottemperanza ad un ordine in tal senso impartito da un'autorità amministrativa o giurisdizionale.

Nel caso di specie il tribunale aveva affermato, giustamente, che il provider non risponde, in quanto aveva assolto all'obbligo ex art. 17, comma 2 D. Lgs. n. 70 del 2003 di trasmettere la diffida del titolare del diritto d'autore alla Procura della Repubblica presso il tribunale competente per le ipotesi di reato connesse all'abusiva riproduzione e diffusione di materiali oggetto di diritto d'autore.

In effetti, al prestatore del servizio che fornisca una mera attività neutrale di caching la legge non richiede che, solo perché reso edotto di specifici contenuti illeciti con una diffida extragiudiziale o perché proponga una domanda giudiziale al riguardo, li debba anche rimuovere.

Questa seconda sentenza è importante perché traccia una netta distinzione tra la responsabilità, in capo al provider, o fornitore di servizi, di hosting e la responsabilità di cashing, distinzione che sta alla base di tutta la disciplina comunitaria e quindi anche di quella nazionale.

Troviamo inoltre una classificazione, per la prima volta, delle tipologie di caching. Nella fattispecie decisa si era in presenza di un caching legittimo, quale archiviazione temporanea di informazioni in rete, reso dal motore di ricerca mediante il linking (mera offerta di collegamenti ipertestuali), ma anche di ulteriori attività di embedding (che permette di visionare un brano audiovisivo restando fisicamente connesso al portale del motore di ricerca), di preview (che consente di vedere in anteprima piccole porzioni dei contenuti ricercati), di suggest search (suggerimenti di ricerca) con cui il motore di ricerca compie un intervento selettivo dei contenuti, in questo caso non transitorio e necessario alla sua normale operatività. Solo in questo caso, la perdita di neutralità per il controllo dei dati, renderebbe il fornitore di servizio responsabile, a meno che dimostri la mancanza di conoscenza delle (e l’impossibilità di controllo sulle) informazioni veicolate.

Volendo anche qui concludere con una massima la statuizione principale della sentenza:

Nell'ambito dei servizi della società dell'informazione, la responsabilità di caching, prevista dall'art. 15 del D. Lgs. n. 70 del 2003, sussiste in capo al prestatore dei servizi che non abbia provveduto alla immediata rimozione dei contenuti illeciti, pur essendogli ciò stato intimato dall'ordine proveniente da un'autorità amministrativa o giurisdizionale.

°°°

Indicazioni operative.

Vogliamo infine trarre dalle due sentenze le indicazioni operative per il fornitore di servizi della società dell’informazione consistente nel caching, che è il servizio nomale e più diffuso dalle piattaforme Internet, come la nostra Cam.TV, per l’attività di social network.

Si tratta di quegli svariati casi in cui l’attività di prestatore di servizi della società dell’informazione si limiti al processo tecnico necessario ad attivare e fornire accesso ad una rete di comunicazione sulla quale vengono trasmesse, e temporaneamente memorizzate, le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione.

Tale attività di caching esonera il provider da responsabilità per i contenuti immessi da altri alle seguenti condizioni (che riassumiamo usando le espressioni della sentenza):

a) "non modifichi le informazioni", divenendo allora concorrente attivo; 

b) "si conformi alle condizioni di accesso alle informazioni", non ometta ad esempio di rendere disponibili al pubblico informazioni sull’accesso al sito di provenienza; 

c) "si conformi alle norme di aggiornamento delle informazioni" secondo le regole del settore; 

d) "non interferisca con l'uso lecito di tecnologia riconosciuta ed utilizzata nel settore per ottenere dati sull'impiego delle informazioni"; 

e) "agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l'accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l'accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un'autorità amministrativa ne ha disposto la rimozione o la disabilitazione", provvedendo, dunque, a cancellare i documenti dal medesimo archiviati in memoria, qualora essi siano stati rimossi dal sito di provenienza, l'accesso sia stato disabilitato ad opera del titolare, o sia intervenuto un provvedimento giurisdizionale o amministrativo ad ordinare tale disabilitazione o rimozione.

Avv. Giovanni Bonomo – Diritto 24

Fonte: https://www.diritto24.ilsole24ore.com/art/dirittoCivile/responsabilita/2019-10-18/la-responsabilita-hosting-provider-la-violazione-diritti-d-autore-162318.php