Entra in vigore tra nove giorni il decreto legislativo 70/03, che recepisce nel nostro ordinamento la direttiva 2000/31/CE, "relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico". Riprendiamo il discorso aperto sul n. 252 (Troppe norme, occorre un testo unico) anche per rispondere a diverse richieste di chiarimenti sulla delicata questione della responsabilità dei provider.

Il testo è criptico, confuso, ridondante, con diversi passaggi che fanno rabbrividire i giuristi più attenti. Non certo chi ritiene che il provvedimento "una volta convertito", renderà più chiare le responsabilità dei provider  anche perché un decreto legislativo ha piena validità dal termine stabilito per la sua entrata in vigore, diversamente dal decreto-legge, che decade dopo sessanta giorni se non è convertito in legge dal Parlamento. Errore da bocciatura secca all'esame di diritto costituzionale.

Ma torniamo ai nostri provider. I termini del problema  possono essere più chiari con il richiamo ad alcuni principi fondamentali del nostro ordinamento, efficaci da anni (se non da secoli). Ci sono due tipi di responsabilità, quella civile e quella penale. La prima sorge quando un soggetto, attraverso un comportamento illecito, provoca a un altro soggetto un danno ingiusto. Se sono provati il danno, l'illiceità del comportamento e il rapporto di causa-effetto tra il comportamento e il danno, la sentenza del giudice dispone il risarcimento.

Del tutto diversa la è la responsabilità penale. Essa esiste solo se una norma di legge prevede un certo comportamento come reato. In linea di principio costituisce reato un atto che determina un diffuso allarme sociale e che l'ordinamento punisce per tutelare la collettività. Ma se un comportamento non è espressamente previsto come reato, semplicemente non è un reato. L'applicazione di una pena per analogia con altri reati non è ammessa.

Inoltre la responsabilità penale è personale. Nessuno può essere punito per un fatto commesso da altri. Un esempio molto semplice di questo principio è nell'art. 57 del codice penale, che prevede un delitto specifico a carico del direttore responsabile, quando attraverso un periodico venga commesso un reato. Per capirci: un giornalista scrive un articolo diffamatorio; se il reato è provato, lui, e solo lui, è punito per diffamazione. Al direttore tocca invece una pena per "omesso controllo", che è il reato specifico previsto dalla legge per chi ha la responsabilità di sorvegliare che attraverso una pubblicazione non vengano commessi reati. Insomma, il direttore non commette il reato di diffamazione se l'articolo non l'ha scritto lui.

Ora, posto che fino a oggi nel nostro ordinamento non esiste il reato di omesso controllo (o un'altra previsione analoga) a carico di un fornitore di servizi di comunicazione, ovvero non esiste un qualsivoglia obbligo di sorveglianza la cui violazione sia prevista come reato, la disposizione dell'art. 17 del decreto legislativo 70/03, secondo la quale il prestatore non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite è priva di significato.

Per gli stessi motivi non hanno ragione di essere le eccezioni allo stesso obbligo generale di sorveglianza o all'assenza di responsabilità: la responsabilità è sempre soggettiva: se il fornitore di servizi non ha alcun ruolo attivo nella produzione o nella diffusione dei contenuti (altra cosa sono le operazioni tecniche necessarie), non può avere alcuna responsabilità per i contenuti stessi. Ma che cosa accade, per il nostro ordinamento, prima del prossimo 14 maggio, data di entrata il vigore del decreto, se il provider collabora attivamente in qualche modo alla commissione di atti illeciti da parte di terzi? C'è il concorso nel reato (artt. 110 e seguenti del codice penale, come ci ricorda Minotti in questo stesso numero, vedi Responsabilità penale: il provider è tenuto ad "attivarsi"?).

E se si verifica l'ipotesi prevista dall'art. 17, c. 2, b) e uno sprovveduto provider si rifiuta di fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite? Abbiamo un banale reato di favoreggiamento personale, previsto e punito dall'art. 378 c.p.

Andiamo avanti. Negli artt. 16 e 17 del nuovo decreto si prevede: L'autorità giudiziaria o quella amministrativa aventi funzioni di vigilanza può esigere, anche in via d'urgenza, che il prestatore, nell'esercizio delle attività di cui al comma 1, impedisca o ponga fine alle violazioni commesse. Dov'è la novità? Forse nel verbo "esigere", perché nel nostro ordinamento l'autorità "dispone" oppure "ordina". Una pessima versione dall'inglese, che fa carta straccia del rigore del nostro linguaggio giuridico (a questo proposito vedi anche "Testata editoriale telematica": le sviste del legislatore di Scorza).

Non basta. Ecco il terzo comma dell'art. 17: Il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha provveduto ad informarne l'autorità competente. Tralasciamo il ridicolo "richiesto" (vedi sopra); il fatto è che chi rifiuta di adempiere a un ordine di un'autorità non solo commette un reato, ma è responsabile sul piano civile delle conseguenze del rifiuto, in forza del principio generale di responsabilità per fatto illecito sancito dall'art. 2043 del codice civile.

Dunque gli articoli in questione sono inutili? In parte sì, perché i comportamenti che in essi sono puntigliosamente enumerati sono già pacificamente regolati nel nostro ordinamento. Ma...

Nella formulazione di queste norme sono nascoste alcune trappole infernali. Da una parte ci sono previsioni criptiche, incomprensibili anche nel testo originale in inglese, che il nostro legislatore ha ottusamente tradotto senza curarsi del loro significato, e che quindi possono significare tutto e nulla stesso tempo. Che significano le disposizioni dell'art. 15, che escludono la responsabilità  per mero trasporto a condizione che il fornitore non modifichi le informazioni - si conformi alle condizioni di accesso alle informazioni - si conformi alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore - non interferisca con l'uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull'impiego delle informazioni?
Come si può dimostrare che il fornitore si è (o non si è) "conformato alle norme di aggiornamento delle informazioni", oppure che ha (o non ha) interferito "con l'uso lecito di una tecnologia..."?

Vaghezze normative di questa dimensione possono avere conseguenze molto gravi, perché lasciano campo aperto alle interpretazioni "poliziesche" che ben conosciamo. Ma c'è un altro aspetto delicato, che deriva dal combinato disposto dell'art. 16 e dell'art. 17. Una parte non trascurabile degli attuali contratti di hosting prevede la facoltà del provider di verificare i dati immessi dall'utente e rimuovere quelli che appaiono illeciti o comunque non aderenti alla netiquette o alla policy dell'azienda. Clausole di questo tipo sono spesso usate proprio per mettere il fornitore al sicuro da eventuali responsabilità civili o penali. Orbene, dal momento in cui il provider dichiara di sorvegliare i contenuti immessi dai clienti si può presumere che egli possa essere effettivamente a conoscenza dell'eventuale illiceità di tali contenuti. E quindi si addossa le relative responsabilità!

Dunque è necessario riformulare i contratti di hosting (e non solo di hosting) in modo di evitare questa trappola, e in qualche caso potrebbe non essere facile destreggiarsi tra le esigenze tecnico-organizzative e la necessità di tradurre il non-obbligo di sorveglianza previsto dalla legge nell'esclusione contrattuale di qualsiasi forma di sorveglianza o di "attivazione" del provider sui contenuti.

Altri aspetti critici emergono dalla lettura attenta degli articoli 14, 15, 16 e 17 del decreto legislativo (si veda ancora l'articolo di Minotti) in particolare per quanto riguarda l'obbligo di rimozione o disattivazione dell'accesso ai contenuti se il provider viene a conoscenza del loro carattere illecito. Ne parleremo nel prossimo numero, che darà dedicato all'esame del decreto legislativo 68/03 sul diritto d'autore. 

Per concludere questa parte non resta che segnalare una possibile, parziale ancora di salvezza nei codici di condotta e negli organismi di risoluzione delle controversie previsti dagli articoli 18 e 19 del decreto legislativo.
Codici e organismi dei quali si parla inutilmente da otto anni...