Quando, nell'ottobre 2000, fu pubblicata la 2000/31/CE, "relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico", in molti, dopo una prima lettura, salutammo l'avvenimento con un plauso in considerazione del fatto che, finalmente, si prendeva atto di una realtà oramai consolidata per tutelare i consumatori e il commercio in genere. Basti pensare alle indicazioni in tema di comunicazioni commerciali (sollecitate o meno) e di trasparenza delle attività commerciali telematiche.

Qualche mese più tardi, mi fu proposto di scrivere un articolo sugli aspetti penali dell'e-commerce e quella fu, inevitabilmente, l'occasione per fare alcune prime e più meditate riflessioni sul testo della direttiva, dunque sui prevedili sbocchi legislativi che la disciplina comunitaria avrebbe potuto avere sul nostro ordinamento. Personalmente, avendo motivo di prevedere possibili interventi nel penale, mi aspettavo una disciplina organica e doverosamente tassativa.

Oggi, con la pubblicazione del decreto legislativo 9 aprile 2003, n. 70 (il cui schema era, peraltro, già noto da qualche tempo) mi devo dire deluso e, soprattutto, preoccupato soprattutto per un motivo: con una tecnica di redazione legislativa di bassissimo livello, il nostro legislatore si è limitato ad un vero e proprio "copia & incolla" del (necessariamente generico) testo italiano della direttiva, senza il benché minimo intervento di adattamento ai nostri principi giuridici.

Sulle pagine di InterLex si è già ampiamente parlato di molti aspetti critici del recepimento.(vedi Sotto torchio gli operatori della Rete). Il mio intento è soltanto - e molto più modestamente - quello di approfondire l'analisi sotto il profilo delle possibili responsabilità penali dei prestatori di servizi della società dell'informazione i cui riferimenti, come è ormai noto, sono gli artt. 14-17 del decreto.
Siccome, però, tali disposizioni non fissano specifiche ipotesi di responsabilità penali in capo a detti soggetti (sono previste sanzioni amministrative, ma soltanto per altre violazioni), è, indispensabile guardare alle regole generali del sistema penale, in particolare agli artt. 40, comma 2, e 110 c.p.

Partendo dalla seconda disposizione, riguardante il concorso di persone nel reato, va osservato, in un primo sguardo d'insieme, che il decreto, agli artt. 14, 15 e 16, solleva i prestatori da ogni responsabilità (diverse da quelle amministrative fissate nel decreto) a condizione che essi non intervengano sulle informazioni (i.e. i dati) da loro memorizzate o veicolate. Previsione di mero valore riproduttivo, atteso che, anche senza il decreto, l'intervento ("causale") sulle informazioni (consapevolmente illecite) poteva già condurre, per i principi generali di diritti penale, ad ipotesi di concorso commissivo.

Esistono, però, previsioni particolari riguardanti le diverse attività (in particolare di caching e hosting) che meritano la nostra attenzione. Vediamole più da vicino.
Per le attività di caching, si pretende che il fornitore "agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l'accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l'accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un'autorità amministrativa ne ha disposto la rimozione o la disabilitazione".

Per l'hosting, i limiti alla responsabilità sono ancora più complessi. Per andare esente da ogni responsabilità è necessario che il fornitore: a) "non sia effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l'illiceità dell'attività o dell'informazione"; b) "non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso" Vedi anche Le trappole nei contratti di hosting di Cammarata).

Conclude l'éscalation di responsabilizzazioni l'art. 17 che, pur fissando l'assenza di un obbligo generale di sorveglianza, stabilisce che il prestatore è tenuto: a) ad informare senza indugio l'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell'informazione; b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.

Il problema, per venire alle ipotesi di applicabilità dell'art. 40, comma 2, c.p., è quello di verificare se, a fronte di tali regole, possa dirsi sussistente, in capo al prestatore, un "obbligo giuridico di impedire l'evento" (evento coincidente con il reato commesso da terzi), vale a dire quell'obbligo "di garanzia" presupposto per l'applicazione della norma citata ("Non impedire un evento, che si ha l'obbligo giuridico di impedire, equivale e cagionarlo"), che, in combinazione con il disposto dell'art. 110 c.p., fonda la punibilità del concorso per omissione nel reato commissivo posto in essere da altri. Ciò perché, come ricordato, il decreto in commento non prevede ipotesi di reato specifiche (abbozza un precetto, ma tace su eventuali sanzioni di carattere penale), mentre nel nostro ordinamento non è previsto un generico obbligo, in capo al semplice cittadino, di denunciare o, addirittura, impedire la commissione dei reati. In buona sostanza, non è punibile la mera connivenza.

Nessun dubbio sulla rilevanza della fonte dell'obbligo di garanzia: per dottrina e giurisprudenza costante essa può consistere anche in una legge extrapenale (tale è il decreto di cui trattiamo). Ma esiste veramente, sulla scorta delle nuove disposizioni, un obbligo giuridico in capo al prestatore?
Al di là delle imprevedibili applicazioni giurisprudenziali (sappiamo tutti che l'avvento delle nuove tecnologie ha sempre prodotto sentenze e provvedimenti assai "creativi"), non c'era certo bisogno del decreto per ritenere il prestatore tenuto ad obbedire agli ordini impartiti dall'autorità amministrativa o giudiziaria. Sulla possibilità di contestare, a determinate condizioni, delitti, ad esempio, contro l'autorità delle decisioni giudiziarie nessuno penso possa ragionevolmente dubitare.

Ma, d'altro canto e scendendo nel dettaglio, è pur vero che, come riportato sopra, il prestatore di servizi è tenuto, in taluni casi, ad attivarsi in qualche modo.
Si tratta, però, di obblighi di garanzia sufficientemente precisi atti a fondare ipotesi di responsabilità penale? La mia risposta è, in linea di massima, negativa soprattutto se si condivide il più recente orientamento dogmatico che, proprio a fronte dei possibili profili di indeterminatezza dell'istituto, tendono a limitarne fortemente la portata che, in controtendenza, col decreto ha trovato nuova (e forse imprevista) fortuna.
Si badi, inoltre, che le condotte richieste al prestatore devono essere idonee ad impedire la commissione di reati e, comunque, possibili.

Con riferimento a quest'ultimo requisito, il problema, in ultima istanza, è soltanto uno. Il decreto di attuazione, frutto, come visto, di un recepimento acritico e pigro delle indicazioni sovranazionali, determina il forte rischio che i prestatori siano ritenuti "presuntivamente" a conoscenza dell'illiceità delle informazioni veicolate o memorizzate, che possano intervenire e che, pertanto, siano posti di fronte a responsabilità penali pur svolgendo un'attività che, per mole e "volatilità" delle informazioni, notoriamente non consente certo di esercitare un controllo capillare.
Ad impossibilia nemo tenetur. Speriamo che qualcuno si ricordi di tale classico brocardo.