Google e simili: qual è la responsabilità civile degli ISP?
Non appare infondata la considerazione che la nostra vita, oggi, si svolge in un modo o nell’altro, in larga misura, sul web. Internet, infatti, è diventato il luogo dove si dipana la quotidiana esistenza: dal social all’e-commerce, passando per la web- rivoluzione fino alla più radicale cerchia di tuttologi della rete.
Ma con l’aumento delle occasioni di connessione e condivisione, si è registrata una graduale (se non spropositata) crescita degli illeciti commessi dagli internauti: domain grabbing, furti di identità, cyberbullismo, diffamazione a mezzo internet, accesso abusivo a reti informatiche, sono solo alcuni degli esempi che sempre più di frequentemente alimentano la cronaca quotidiana. Pensiamo a quanto accaduto negli ultimi anni con la comparsa dei Crypto-Locker ovvero il malware in grado di criptare e rendere inaccessibili i dati presenti su Pc e server provocando, in taluni casi, ingenti danni economici.
E allora la domanda sorge spontanea: come controllare il mare magnum del world wide web? I Providers si sono trovati, quindi, al centro del dibattito che questa domanda ha generato. Cerchiamo di comprenderne le ragioni.
La responsabilità dei Providers
Preliminarmente occorre chiarire che anche i Providers, senza ombra di dubbio, a buon diritto e a norma dei millenari principi di imputazione della responsabilità civile e penale, rispondono degli illeciti posti in essere in prima persona.
La questione si fa più spinosa, però, quando dei soggetti terzi, sfruttando servizi quali l’hosting, commettono degli illeciti: si pensi a siti contenenti immagini pedo-pornografiche o materiale che viola il diritto d’autore.
Ripercorrendo, quindi, le svariate vicende processuali che in questi ultimi anni hanno aggredito le corti nostrane (e non solo), possiamo notare che spesso hanno visto soccombere i Providers, di fatto equiparati a direttori di giornali e quindi, condannati a pagare ingenti risarcimenti a causa dei contenuti illeciti pubblicati da terzi. Si sosteneva in pratica che ognuno di questi, fosse tenuto a conoscere l’esatto contenuto di tutto quanto venisse messo on line, con il supporto delle infrastrutture dallo stesso messe a disposizione degli utenti. A loro difesa i prestatori di servizi, deducevano (spesso senza successo) la straordinaria complessità tecnica nonché l’onerosità di una verifica puntuale di ogni immagine, ogni parola e ogni funzione condivisa tra gli utenti.
L’intervento del legislatore
Oggi, la norma di riferimento, sebbene lacunosa e non al passo coi tempi, è la Direttiva del 8 giugno del 2000 (“Direttiva sul commercio elettronico”, 2000/31/CE; recepita dal D. Lgs. n. 70 del 2003), che, mutando completamente l’orientamento degli anni precedenti, ha sancito l’assenza di un obbligo generale di sorveglianza per gli ISP (art. 15, 2000/31/CE). Più nel dettaglio possiamo dire che i Provider, in linea di massima, non sono responsabili quando svolgono servizi di mere conduit (art. 12), caching (art. 13) e hosting (art. 14).
Nella prestazione dei servizi di cui ai menzionati articoli, quindi, gli Stati membri non impongono ai prestatori un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano, né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.
Ma gli stati membri, possono in ogni caso, stabilire che i prestatori di servizi della società dell’informazione, siano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite dei destinatari dei loro servizi o comunicare alle autorità competenti, a loro richiesta, informazioni che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati.
La Direttiva europea, pertanto, non impone al Provider né l’obbligo generale di sorveglianza, come un tempo si sosteneva con forza, né tanto meno l’obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. Ma ciò non di meno, la stessa normativa non inquadra gli ISP quali meri fornitori di un servizio di accesso alla rete. Gli stessi sono infatti tenuti ad informare prontamente degli illeciti rilevati le autorità competenti e a condividere con le stesse ogni informazione che possa aiutare a identificare l’autore della violazione. È il caso di evidenziare che la mancata collaborazione con le autorità fa sì che gli stessi Providers vengano ritenuti civilmente responsabili dei danni provocati.
Il lavoro giurisprudenziale
Per quanto riguarda il profilo più propriamente tecnico, si è cercato di costruire un’equivalenza tra la responsabilità degli ISP per i fatti degli utenti e quella del datore di lavoro per i fatti dei dipendenti. Altri studiosi hanno invece tentato di equiparare i servizi resi dai Providers alle attività pericolose di cui all’art. 2050 c.c., idea non peregrina se si pensa ad esempio che il Codice in materia di protezione dei dati personali, qualifica il trattamento dei dati proprio come attività pericolosa. In tal caso si assisterebbe a un’inversione dell’onere della prova ai danni degli ISP che sarebbero quindi tenuti a dimostrare di aver adottato tutte le misure idonee a evitare il danno.
A dire il vero contro tali ipotesi si sono schierati in molti, tra gli altri, anche Google dichiarando ufficialmente che “Tutto ciò attacca i principi fondamentali di libertà su cui Internet è stato costruito se ogni social network o blog fosse responsabile per il trasferimento di ogni singolo dato caricato dagli utenti, il Web, così come lo conosciamo, cesserebbe di esistere”.
In effetti, il problema da risolvere è quello di individuare un soggetto che possa risarcire i danni prodotti in conseguenza di condotte illecite. L’attività investigativa, infatti, può durare anche molto a lungo e la relativa attività investigativa, non sempre consente di individuare il responsabile materiale del fatto che spesso tenta di agire nell’anonimato.
Nell’attesa, quindi, di un analitico intervento del legislatore in materia, le incertezze e i limiti normativi nel rapporto Provider / utente, è ormai consuetudine per i prestatori di servizi, propensi da sempre ad adottare un apposito schema contrattuale che tenga nella dovuta considerazione le specifiche particolarità che ogni caso presenta, facendo in modo che alle lacune legali suppliscano le regole private.
Il caso Google
Il caso C-236/08 ha visto comparire Google, innanzi alla Corte di Giustizia Europea. Il caso di specie, aveva come oggetto l’affidabilità e la correttezza del funzionamento di uno dei tanti servizi offerti da Google: AdWords, ovvero lo strumento che, in estrema sintesi, consente di adeguare i messaggi pubblicitari alle ricerche svolte dall’utente on line.
In fatto accadeva che prestigiose aziende del settore della moda, contestavano al più famoso motore di ricerca esistente, la circostanza che tra i risultati delle indagini svolte, adoperando come parole chiave i loro marchi, comparissero siti di e-commerce di beni contraffatti. Ciò avveniva in conseguenza del fatto che soggetti terzi si servivano abusivamente di tali marchi allo scopo di trarne un profitto.
Dopo una condanna in primo e secondo grado inflitta alla società di Mountain View, la Corte di ultimo grado francese rinviava il caso alla Corte di Giustizia.
Il Giudice europeo coglieva, dunque, l’occasione per fornire ai giudici nazionali le indicazioni sulle condotte rilevanti ai fini della responsabilità dei Provider, tenendo come punto di riferimento le attività in concreto svolte nel corso della fornitura del servizio e successivamente alla conoscenza del fatto illecito, non rilevando profili di responsabilità imputabili a Google, giudicando che lo stesso svolgesse una funzione “meramente tecnica, automatica e passiva” che escludeva la possibilità di conoscere e controllare i dati oggetto di trasmissione.
Ma il precedente giurisprudenziale formulato dalla Corte di Giustizia, non ha veicolato l’orientamento del tribunale francese, poiché in un altro procedimento incardinato successivamente, il ruolo del famoso motore di ricerca, è stato considerato tutt’altro che “passivo” e per l’effetto, la società americana veniva condannata al pagamento di un cospicuo risarcimento.
Mariano Fergola
