Penale

Decreto Omnibus, nuovi obblighi e responsabilità per gli Internet service provider

Responsabilità penale e obblighi di sorveglianza continua e generalizzata preoccupano gli operatori del settore, considerata anche la discrasia evidente con quanto disposto dal Regolamento DSA e dal Codice Privacy

Close up view businessman hand using computer mouse on reflective black surface and networking concept on dark background

di Vincenzo Gallotto*

Dopo il Senato, anche la Camera ha approvato i due emendamenti cd “anti pezzottodiretti a rafforzare quella che da anni può essere definita come la lotta contro la pirateria digitale di contenuti sportivi.

Quello che ne risulta è un quadro che sembra rappresentare una maggiore complicazione di una normativa già ampiamente criticata, così come sempre più alta è la preoccupazione tra gli operatori del settore tecnologico e delle telecomunicazioni per le imposte responsabilità eccessive nel monitorare le attività illecite sui fornitori dei servizi di accesso.

Le novità sono introdotte all’interno degli articoli 6-bis e 6-ter del nuovo decreto Omnibus e, tra quelle più discusse vi è sicuramente l’aggiunta dell’articolo 174 sexies che interviene sul testo di legge n. 633/1941.

Il nuovo articolo stabilisce che i prestatori di servizi di accesso alla rete, i soggetti gestori di motori di ricerca e i fornitori di servizi della società dell’informazione, ivi inclusi i fornitori e gli intermediari di Virtual Private Network (VPN) o comunque di soluzioni tecniche che ostacolano l’identificazione dell’indirizzo IP di origine, gli operatori di content delivery network, i fornitori di servizi di sicurezza internet e di DNS distribuiti, che si pongono tra i visitatori di un sito e gli hosting provider che agiscono come reverse proxy server per siti web, quando vengono a conoscenza che siano in corso o che siano state compiute o tentate condotte penalmente rilevanti ai sensi della presente legge, dell’articolo 615-ter o dell’articolo 640-ter del codice penale, devono segnalare immediatamente all’autorità giudiziaria o alla polizia giudiziaria tali circostanze, fornendo tutte le informazioni disponibili…le omissioni della segnalazione sono punite con la reclusione fino ad un anno.

La nuova norma impone in sostanza ai provider di segnalare alle autorità competenti gli illeciti, ma anche i casi in cui vi sia il dubbio di ritrasmissione illecita di contenuti, disponendo la pena della reclusione fino a un anno in caso di omessa segnalazione.

Tale nuova ipotesi di reato pone dubbi sulla sua legittimità costituzionale considerata l’eventuale responsabilità penale di soggetti che in realtà sarebbero totalmente estranei all’oggetto del reato e potrebbero essere ritenuti responsabili solo per non essersi attivati sulla base di un sospetto.

Si imporrebbe inoltre agli operatori di accesso alla rete una sorveglianza continua e generalizzata. L’operatore dovrebbe procedere con una segnalazione anche qualora avesse un minimo sospetto che si stiano compiendo tentate condotte penalmente rilevanti. La norma non specifica in alcun modo quali siano i comportamenti tali per cui è lecito sospettare e, senza la presenza di criteri oggettivi, il rischio di un eccesso di segnalazioni è dietro l’angolo.

La conseguenza indiretta di questo provvedimento è anche quella di una discrasia evidente che si viene a creare con la Normativa europea e nazionale, nel primo caso con il regolamento DSA (REGOLAMENTO (UE) 2022/2065) e nel secondo rispetto alle previsioni della normativa nazionale in materia di privacy. Lo sgravio da un obbligo generale di sorveglianza che il legislatore pare avesse voluto indicare, risulterebbe ora fortemente intaccato da una previsione di responsabilità quasi oggettiva dell’operatore.

Il DSA, infatti, individua un’esclusione di responsabilità per i prestatori di servizi intermediari consistenti (tra gli altri) in servizi noti come semplice trasporto (cosiddetto “mere conduit”), a meno che il prestatore di servizi intermediari svolga un ruolo attivo atto a conferirgli la conoscenza o il controllo di tali informazioni. Per gli operatori di accesso si ribadisce l’esenzione di responsabilità per coloro i quali abbiano un comportamento passivo e neutro e il tutto, dunque, in antitesi con le nuove previsioni.

Ancora, non si comprende come tale articolo possa coniugarsi con le disposizioni di cui al Codice in materia di protezione dei dati personali, nella parte in cui all’art. 132 prevede la conservazione dei dati di traffico ad esclusione dei contenuti delle comunicazioni. Il provider in ottemperanza all’obbligo sancito dalla nuova disposizione in commento dovrebbe in caso di sospette illegalità, monitorare e quindi conservare i contenuti di navigazione web, in violazione dell’art. 132.

L’art.6 bis interviene invece sulla formulazione letterale dell’articolo 2 della legge n. 93/2023 che contiene le disposizioni sulla prevenzione e repressione della diffusione illecita di contenuti tutelati dal diritto d’autore tramite le reti di comunicazione elettronica.

Sulla base delle modifiche intervenute le disposizioni interessate dall’intervento contenute nell’articolo 2 assumono il seguente tenore: “L’Autorità per le Garanzie nelle Comunicazioni, con proprio provvedimento, (ordina) ai prestatori di servizi, compresi i prestatori di accesso alla rete, di disabilitare l’accesso a contenuti diffusi abusivamente mediante il blocco della risoluzione DNS dei nomi di dominio e il blocco dell’instradamento del traffico di rete verso gli indirizzi IP prevalentemente destinati ad attività illecite”.

Una riflessione è bene indirizzarla alla sostituzione del termine “unicamente” in “prevalentemente”. Ad ogni indirizzo IP ci possono essere più server virtuali collegati, rendendo impossibile stabilire quale debba dirsi prevalente e soprattutto impossibile è definire in base a quale criterio ritenere la prevalenza. 

Questa nuova previsione, con raggio di azione così ampio, appare ancora più inutile e non fermerà di certo il grosso della pirateria se si considera che, notoriamente, quest’ultima ormai procede fornendo le chiavi crittografiche di accesso diretto ai server dei titolari dei diritti e non attraverso siti che prendono video e li ripubblicano online. In ogni caso, infatti, non è certo bloccando occasionalmente un indirizzo IP che può contrastarsi il fenomeno della pirateria. Per altro, potrà accadere che vengano bloccati anche indirizzi leciti, potenzialmente impiegati solo in via accidentale per la trasmissione dei contenuti pirata.

Agcom, si troverà a dover gestire innumerevoli ricorsi, nonché segnalazioni che il più delle volte corrisponderanno a falsi positivi.

In conclusione, le novità introdotte, foriere di gravi incertezze applicative sembrano essere state proposte non considerando in alcun modo gli aspetti operativi e senza il coinvolgimento di chi opera nel mercatodei servizi della società dell’informazione, vanificando ogni sforzo fin qui espresso dai prestatori di servizi intermediari nel ribadire che le legittime aspettative dei titolari dei diritti sui contenuti non possono essere soddisfatte e garantite da un’azione di “polizia di natura privatistica” imposte a soggetti che non devono e non possono effettuare alcun controllo sui contenuti immessi in rete da soggetti terzi.

______

*A cura dell’Avv. Vincenzo Gallotto, Studio Legale Gallotto

Per saperne di piùRiproduzione riservata ©