Oggi è tuttavia necessario il dolo e potrebbe non essere sempre agevole provare che un server era consapevole di ciò che è transitato dalla sua porta di accesso. Dunque manca una legge organica che preveda regole di comportamento e obblighi di controllo su ciò che viene messo a disposizione del pubblico nei diversi siti. Così parlò Carlo Federico Grosso, presidente della Commissione per la riforma del codice penale, nell'intervista a Repubblica del 1. ottobre 2000.

Uno dei principi fondamentali che regolano la responsabilità penale è contenuto nell'art. 27, c. II della Costituzione, che ne sancisce la "personalità". In altri termini, si risponde penalmente soltanto per avere commesso consapevolmente (per dolo, salvi i casi eccezionali della colpa) un atto tipico (cioè previsto dalla legge) e antigiuridico. Corollari di questa impostazione sono: l'impossibilità di rispondere per fatto altrui e quella di attribuire responsabilità penali alle persone giuridiche (societas delinquere non potest, amano dire i penalisti).

Nel multiforme universo del diritto, dove è vero tutto e il contrario di tutto, almeno su questi capisaldi si è sempre registrato un consenso pressoché unanime. Ma sulla spinta di precisi interessi economici, dell'isteria forcaiola di una "piazza ignorante", e last but not least di una scarsa conoscenza dell'ABC delle tecnologie dell'informazione, anche un essenziale principio di civiltà giuridica viene messo a rischio di estinzione dall'azione (inconsapevolmente?) congiunta di Unione europea e Stati membri.

De iure condito, la direttiva 2000/31/CE, che dovrebbe occuparsi di commercio elettronico, contiene delle parti chiaramente fuori contesto che "toccano" il delicato tema della responsabilità penale degli internet provider. L'affermazione di principio sembrerebbe neutra, anzi, condivisibile: il mero trasporto dei dati non genera responsabilità, come anche la diffusione di contenuti illeciti. A condizione, però - e qui casca l'asino - che il fornitore non sia messo "in mora". Quindi, se qualcuno segnala la presenza di un contenuto illegale ad un ISP e questi non lo rimuove, diventa automaticamente responsabile.

Provider fra l'incudine e il martello, quindi, visto che da un lato saranno "minacciati" da chi lamenta la presenza di contenuti fuori legge, e clienti che ne sostengono la conformità a norme e contratto. Nei fatti, chi mai si prenderà la briga di assumersi la responsabilità per un fatto imputabile al cliente? Tecnicamente - si potrebbe dire - questo non è un caso di responsabilità oggettiva perché non c'è una diretta applicabilità della norma penale nei confronti dell'ISP, ma nei fatti viene innescato un pericolosissimo automatismo sanzionatorio.

De iure condendo, la bozza di convenzione internazionale sui reati informatici rincara la dose, nel momento in cui afferma che si dovrà stabilire, in qualche modo, la responsabilità penale delle persone giuridiche. Un principio "comodo" per strutture di investigazione privata come la Business Software Alliance, che trarrebbero grande vantaggio dalla possibilità di incriminare direttamente il legale rappresentante di un'azienda (mediamente molto più "solvibile" di ragazzini e studenti). Fortunatamente una recente sentenza del Tribunale di Torino (20/4/2000) ha ribadito che questa impostazione non è (ancora) ammissibile nel nostro ordinamento nemmeno in materia di tutela del software, ma il fatto che un giudice abbia dovuto sottolineare il problema è chiaro indice di una tendenza oramai diffusa a puntare il mirino dell'azione giudiziaria non necessariamente nei confronti dell'effettivo e materiale autore di un reato.

Ancora più sconfortante è il segnale che arriva dalla commissione che sta riformando il codice penale, del cui presidente abbiamo riportato alcune significative affermazioni nell'apertura di questo articolo. Carlo Federico Grosso, commentando le fattispecie penali in materia di tutela dei minori, rispolvera tesi antiche (vedi gli atti del Forum multimediale del 1995) secondo le quali nei fatti il "server"... meglio, il provider, è da ritenersi concorrente nel reato. Ma siccome le norme in questione richiedono il dolo, cioè la coscienza e volontà di commettere il reato, Grosso ammette che "potrebbe non essere sempre agevole provare che un server era consapevole di ciò che è transitato dalla sua porta di accesso". Il che può essere parafrasato in questo modo: i provider sono responsabili per i contenuti veicolati dai server o pubblicati dagli utenti, ma la legge richiede che sia dimostrato un loro coinvolgimento diretto e volontario per poterli punire. Se non li si può vincolare con la responsabilità oggettiva, almeno che siano responsabili per omesso controllo (vedi appunto la direttiva comunitaria).