Nelle operazioni di commercio elettronico appare evidente, in virtù della peculiarità e complessità del mezzo usato, la necessità di proteggere il consumatore - considerato contraente debole - da eventuali abusi del venditore.

Un primo aspetto riguarda la così detta tutela della presa di coscienza, in quanto l'utente utilizza mezzi tecnologici di cui non ha il pieno controllo, come invece accade con il supporto cartaceo o - per certi versi - con il telefono.
In questo filone s'inserisce la normativa sulla protezione del consumatore nei contratti a distanza, emanata dalla UE con direttiva 97/7CE e recepita in Italia con decreto legislativo 185/99 Questo provvedimento prevede una serie di cautele per il consumatore nella fase antecedente la conclusione del contratto, obbligando il venditore a fornire informazioni dettagliate, in sintesi relative a:

• identità del fornitore (la proposta di direttiva COM 1999/427  precisa che non basta registrare un dominio, ma si devono fornire i dati relativi alla sede fisica e geografica del soggetto);

• caratteristiche essenziali del bene o servizio;

• prezzo;

• spese di consegna;

• modalità di pagamento.

Tali informazioni devono essere fornite in modo chiaro e comprensibile, osservando i principi di buona fede e lealtà in materia di transazioni commerciali. E' disposta, inoltre, l'estensione alla contrattazione telematica della disciplina dei contratti conclusi fuori dai locali commerciali, con il riconoscimento del diritto di recesso (meglio noto come jus poenitendi o diritto di protezione) a favore dell'acquirente (decreto legislativo 50/92).
Si viene così a creare una sovrapposizione con il DLgs 50/92, ma vi sono delle differenze, anche se non tutte a vantaggio del consumatore.
In primo luogo il termine per esercitare il diritto di recesso è esteso a dieci giorni, rispetto ai sette previsti dal DLgs 50/92. Il quadro normativo, inoltre, è più completo e dettagliato grazie all'introduzione di alcune puntuali disposizioni. Il fornitore, ad esempio, deve eseguire l'ordine entro un termine massimo di trenta giorni, ed in caso di mancata esecuzione ha l'onere di dare pronto avviso al cliente.
E' poi disposto che in alcuni casi il diritto di recesso non operi, ad esempio in occasione di vendite all'asta, contratti di fornitura di servizi relativi all'alloggio e trasporti, servizi finanziari.

L'articolo 15 detta infine una norma di chiusura, secondo la quale in tutti i casi di conflitto fra i DLgs 50/1992, 114/1998 e 185/1999 si applicano le disposizioni più favorevoli per il consumatore.
Appare invece estraneo all'ambito dei contratti business to consumer il problema della tutela dell'affidamento, in quanto è diffusa in Rete la pratica degli acquisti isolati, autorizzando a ritenere che il rapporto venditore- acquirente sia -per definizione - "one shot", occasionale, per cui manca in toto il valore da proteggere.
Non solleva particolari questioni l'applicazione al commercio elettronico degli articoli 1469-bis c.c. e 1469-sexies c.c., introdotti dall'articolo 25 della legge 52/1996 in attuazione della direttiva 1993/13/CE concernente le clausole abusive nei contratti stipulati con i consumatori e, più in generale, dell'intera disciplina delle clausole vessatorie.

L'articolo 1469-bis elenca i casi nei quali le clausole si considerano vessatorie, e comunque dispone che nei contratti conclusi tra consumatore e professionista si considerano vessatorie le clausole che comportano uno squilibrio a carico del consumatore, aggravando gli obblighi o diminuendo i diritti derivanti allo stesso dal contratto.
La conseguenza della vessatorietà è l'inefficacia, salvo che la clausola sia stata oggetto di una specifica trattativa con il consumatore, ed escluse le ipotesi insanabili e tassative previste nell'articolo 1469-quinquies. Accanto all'inefficacia è poi concessa azione inibitoria alle associazioni dei consumatori e dei professionisti, per impedire la continuazione dell'utilizzo contrattuale di clausole vessatorie.

Con riguardo alla disciplina dettata dall'articolo 1341 c.c. il problema principale è la necessità di una specifica approvazione che renda efficace la clausola verso l'aderente. Tecnicamente ciò sarebbe possibile con un "clic" specifico per la clausola vessatoria, ma sarebbe assolutamente difficoltoso fornire la prova di un'approvazione attuata con questi mezzi. Emergono qui in modo limpido i problemi che caratterizzano ogni documento informatico: prova, imputazione, integrità e sicurezza. Alla luce dell'attuale normativa è auspicabile l'adozione di una soluzione più sensata, come sarebbe quella di ritenere sufficiente a rispettare il dettato normativo l'invio in due copie identiche del documento elettronico firmato digitalmente.

Tutela della privacy

L'utilizzo della Rete solleva delicate questioni di ordine giuridico sotto il profilo della tutela della privacy dell'utente. Volendo sintetizzare al massimo si possono individuare due aspetti centrali della questione, entrambi riconducibili al rapporto provider - utente:

• Trattamento dei dati personali

• Tenuta dei "LOG"

La legge 675/96 impone al provider di informare l'utente sull'esistenza di un registro contenente i propri dati personali, sulla natura dei dati registrati, sulle modalità, durata e finalità del trattamento. Il provider, inoltre, deve acquisire l'esplicito consenso scritto dell'utente per lo specifico trattamento dei dati personali.
Queste misure, tuttavia, oltre a quelle previste nel DPR 318/99 non appaiono del tutto idonee ad assicurare una piena tutela al consumatore.

Il consenso al trattamento dei dati personali è oggi divenuto un bene economicamente rilevante, vero e proprio oggetto di scambio. Per gli operatori commerciali conoscere le abitudini degli utenti è di fondamentale importanza, grazie alla cosiddetta "profilazione" è possibile, infatti, rivolgersi ad un target mirato di potenziali acquirenti.
Si spiega così il dilagare delle offerte di accesso gratuito ad Internet, in realtà finalizzate ad ottenere informazioni personali dagli utenti in cambio degli abbonamenti.
Sia Tiscali, sia Infostrada con "Libero" - i primi a presentare offerte di connessione gratuita su tutto il territorio nazionale - hanno inizialmente proposto all'utente un contratto-capestro, accompagnato da un'informativa reticente, in modo da ottenere il diritto ad utilizzare i dati a proprio piacimento anche senza consenso espresso dell'abbonato.
Della questione si è interessato recentemente il Garante per la protezione dei dati personali, il quale in un comunicato stampa ha chiarito che:

• Gli interessati devono essere messi in grado di esprimere le proprie scelte in maniera consapevole e libera, da qui la necessità di un'informativa completa;

• Il monitoraggio delle connessioni volto a raccogliere informazioni sull'abbonato viola la disciplina sulla privacy.

E' stata così smascherata l'ipocrisia e l'immoralità di un commercio strutturato come un ricatto, tanto che efficacemente in proposito è stato evocato il mito di Faust, che vende l'anima al diavolo in cambio dell'attimo fuggente da sempre bramato.
La tenuta dei collegamenti compiuti da ciascun abbonato è una prassi adottata da molti fornitori, ed ai fini della sicurezza è da ritenersi persino auspicabile. Anche quest'attività deve, però, svolgersi nel rispetto delle regole, ed in particolare dell'articolo 4 del decreto legislativo 171/98, che consente la tenuta dei LOG solo a fini di fatturazione o commercializzazione dei servizi.

L'Unione Europea e l'Italia, quindi si sono dotate di norme severe che vietano i trattamenti all'insaputa dell'interessato, ma tutto ciò non può bastare a garantire riservatezza, se si considera che qualsiasi norma incontra in Internet un limite invalicabile, che è quello della territorialità. In alcuni Paesi extraeuropei, inoltre, e negli Stati Uniti in particolare, c'è la tendenza a favorire gli interessi economici delle grandi aziende, a tutto svantaggio anche della riservatezza degli utenti.
L'unico rimedio, allora, è quello di istruire gli utenti, in modo tale che essi forniscano solo le informazioni strettamente necessarie, negando ogni forma di consenso generalizzato al trattamento dei dati personali. In altre parole - in assenza di una normativa che garantisca una tutela completa dagli abusi dei fornitori - devono essere gli stessi privati a creare filtri e tecniche per difendere la propria riservatezza.

Il computer negli ultimi anni è stato oggetto sempre più frequentemente di attività illecite, in quanto dirette a danneggiare altri ovvero a procurare a se stessi un ingiustificato profitto. Tra i casi più ricorrenti si segnalano il danneggiamento ad impianti elettronici, il compimento di accessi non autorizzati alle memorie e l'induzione in errore di sistemi di trasferimenti elettronici di fondi in modo da ottenere ingiustificati accrediti di somme di denaro.
Queste e ad altre fattispecie che la fantasia e l'ingegno dei criminali informatici continuamente creano, sono spesso di una rilevanza economica tale da far ritenere necessaria una sanzione penale. In passato però dottrina e giurisprudenza hanno incontrato notevoli difficoltà nell'individuazione della norma da applicare al caso concreto, sia per la controversa natura dei beni informatici in genere sia per il principio di stretta legalità della norma penale (principio già espresso dal diritto romano con il celebre brocardo "nullum crimen nulla poena sine lege", e codificato all'articolo 1 del vigente codice penale italiano) che impedisce il ricorso all'analogia.

L'unico denominatore comune di queste condotte è il modus operandi, che presuppone l'impiego di tecniche informatiche e la presenza di un qualche grado di dannosità sociale.
L'intervento del legislatore con la legge 547/93 ha introdotto un elemento di notevole chiarezza, qualificando espressamente come reato alcune forme di abusi informatici. Tra i reati tipizzati si segnalano: frode informatica; falso informatico; furto informatico; danneggiamento a impianti di pubblica utilità; uso e accesso abusivo di elaboratore; detenzione abusiva di codici di accesso. L'apertura del Vaso di Pandora delle problematiche penali connesse al commercio elettronico, tuttavia, lascia ancora sul tavolo rilevanti questioni da risolvere.

Il primo argomento da affrontare è quello della responsabilità penale del provider e dell'intermediario, sancita dall'articolo 36 della legge 675/96, per l'omessa adozione di misure necessarie alla sicurezza dei dati. A suscitare forti perplessità negli specialisti è stata l'equiparazione dell'ipotesi dolosa e di quella colposa, per cui si è auspicato un intervento correttivo del legislatore.
Una nuova condotta a rilevanza penale è quella dello "spamming", che consiste nell'invio di messaggi e-mail senza preventiva richiesta e autorizzazione da parte del destinatario.
Gli inconvenienti provocati da un simile comportamento sono:

• costo sopportato per ricevere la missiva indesiderata;

• intasamento e sovraccarico della casella postale dell'interessato;

• perdita di tempo per la lettura o anche la diretta eliminazione del messaggio;

• intrusione nella sfera giuridica altrui;

• possibili danni al sistema informatico del destinatario causati dall'apertura di file allegati alla missiva indesiderata (anche non necessariamente consistenti in veri e propri virus).

In considerazione della notevole antigiuridicità del comportamento si spiega la grave sanzione prevista dal DLgs171/98  (pene detentive fino a due anni), addirittura superiore a quella comminata per la molestia telefonica, considerata semplice contravvenzione dall'articolo 660 c.p.
In tema di trattamento dei dati personali occorre ancora una volta segnalare la differenza di fondo tra il sistema italiano, improntato all'opt-in (consenso espresso, principio su cui si basa la legge 675/96 sul trattamento dei dati personali, e confermato nel DLgs 171/98, sulla tutela della vita privata nel settore delle telecomunicazioni), e quello di altri Stati, detto dell'opt-out, ossia basato sulla libertà di comunicazioni fino a dichiarazione contraria dell'interessato, che è poi raccolta in un apposito registro.

Un'altra forma di utilizzo della Rete è quella delle aste on-line, che mal si concilia con il DLgs 114/98. Questo decreto, infatti, all'articolo 18 vieta operazioni di vendita all'asta realizzate per mezzo della televisione o di altri sistemi di comunicazione. Sono previste anche sanzioni gravi per eventuali violazioni. La ratio di questa norma è di evitare il proliferare di aste televisive, a tutela del consumatore. Seppur condividendo l'intento del legislatore, la norma è difficilmente applicabile al di fuori del campo delineato dal decreto in cui è contenuta. Ne restano fuori, senza ombra di dubbio, le aste organizzate con prodotti offerti da privati via Internet. Né sfugge ad un osservatore attento la possibilità di eludere il divieto ponendo il sito che promuove l'asta all'estero, in uno Stato dove non è proibito questo comportamento.
Doveroso, quindi, in una prospettiva de jure condendo, prevedere norme che eliminino abusi a danno dei consumatori ma, nello stesso tempo, consentano agli stessi di beneficiare di una forma di commercio che può garantire sensibili vantaggi agli stessi (in primis forti riduzioni dei prezzi).

Da ultimo va purtroppo dato atto di una realtà esistente da decenni ma sempre sottaciuta dalle autorità pubbliche: si tratta dei famigerati sistemi di intercettazione planetari, primo tra tutti il noto Echelon. Si dice che ogni comunicazione diffusa tramite apparecchi tecnologici (dal telefono al telegrafo) sia controllata. Il sistema sarebbe basato su una banca dati piuttosto vasta di vocaboli considerati "pericolosi": ogni volta che in una comunicazione ricorre uno o più di questi termini per un numero superiore alle ripetizioni considerate innocue, il fatto sarebbe segnalato e sarebbero fornite le coordinate esatte per individuare la provenienza della dichiarazione. In questo scenario da "Grande Fratello" già prefigurato da Orwell anni addietro, ogni considerazione giuridica soccombe, per lasciare il campo ad analisi di tipo politico e sociologico.