Profili di responsabilità dell´internet service provider tra disciplina vigente e nuove esigenze di tutela

ENG The article analyze a rather controversial issue in the area of criminal law relating to possibility of configuring criminal responsability for the isp for offenses commited by network users.

1. Lineamenti introduttivi

L’evoluzione tecnologica ha favorito il sorgere del mondo digitale parallelo a quello reale, in cui i confini spazio-temporali hanno “cessato di esistere” assumendo nuove forme sovente indefinite ed oscure. Il tempo è immediato, istantaneo, senza differenze orarie, lo spazio invece è cyberspazio infinito, virtualmente illimitato, senza vincoli e confini. La rete – inizialmente nata come centro della libertà di espressione – ha mutato e ridefinito i modelli d’interazione sociale, introducendo modalità di comunicazione sempre più mediate che non avvengono in un contesto di compresenza e trascendono da qualsiasi fisicità. Si pensi ad esempio ai social networks – piattaforme digitali incentivanti gli utenti ad instaurare relazioni causali con persone sconosciute – che hanno portato ad un’alterazione dei criteri regolativi delle relazioni intercorrenti tra le persone nello spazio e nel tempo reale, facendo venir meno l’interazione face to face composta da due elementi fondamentali: un individuo di fronte all’altro.

Questi nuovi modelli d’interazione si distinguono per l’assenza di limiti spazio-temporali, causata dal potere di operare trasversalmente e con continuità sul web, nonché per l’illusione dell’anonimato di chi agisce in rete. Si tratta di elementi apparentemente neutri, ma che se analizzati con la lente del giurista potrebbero rappresentare un incentivo alla commissione di numerose fattispecie criminose, alcune tradizionali, altre del tutto nuove con cui il diritto penale è chiamato a confrontarsi. Invero, le tecnologie impiegate per la gestione di una rete telematica non sempre consentono di identificare realmente l'utente che si è reso responsabile principale di una condotta antigiuridica, con la conseguente necessità di identificare un soggetto comunque responsabile della violazione. In tale ambito si innesta una delle questioni forse più dibattute del diritto penale, relativa alla possibilità di configurare una penale responsabilità in capo all’Internet Service Provider – prestatori di servizi della società dell’informazione – per le fattispecie criminose poste in essere dagli utenti della rete in internet o per mezzo di internet.

Si tratta di un tema alquanto complesso per le difficoltà insite nel rintracciare una copertura giuridica al dominio dell’ISP il quale, di fronte ad un illecito comportamento integrato dall’utente della rete, sarebbe chiamato a rispondere non già per la commissione materiale del fatto, bensì per la mancata attivazione di misure prevenite o per il difetto di quelle repressive. Ebbene, considerate le problematiche tipiche delle forme di manifestazione del reato, rese ancora più complesse dalle peculiari caratteristiche che l’Internet Service Provider presenta in quanto soggetto non fisico che opera in un non luogo, è agevole comprendere come la ricerca di una sua responsabilità metta in frizione i concetti classici del diritto penale come il concetto di azione, di evento, di contributo causale, oltre che le forme di aggressione ai beni giuridici ed i beni stessi.

Ed in questa prospettiva matura l’interesse verso il presente progetto di ricerca, proponendosi l’intento di approfondire le questioni sottese ai profili di responsabilità configurabili in capo all’ISP, nell’ottica di una regolamentazione e responsabilizzazione della rete, scandagliando le ragioni di fondo e ripercorrendo la recente evoluzione normativo-giurisprudenziale sia nazionale che sovranazionale.

2. I contributi presenti nell’attuale panorama ordinamentale

La disamina dei contributi che variamente sono stati proposti in ordine alla natura della responsabilità del provider per fatti illeciti consumati nello spazio digitale, non può disinteressarsi della normativa europea presente sul punto. Infatti, il legislatore europeo è intervenuto su alcuni aspetti dei servizi della società dell'informazione con la Direttiva 2000/31/CE, riservando particolare attenzione al commercio elettronico nel mercato interno, configurando una responsabilità del provider di natura colposa, sussidiaria a quella dell’autore dell’illecito. La direttiva attorno a cui si disquisisce – che nel formante interno ha trovato attuazione con il D.lgs. n. 70 del 09/04/2003 – ha elaborato una classificazione degli ISP sulla base dell’attività svolta, producendo l’effetto di determinare il grado del suo coinvolgimento nell’attività antigiuridica in relazione alla specie di servizio offerto dall’intermediario. In particolare, il quadro normativo europeo effettua un distinguo tra:

• mere conduit e caching provider, i quali effettuano un’attività rispettivamente di trasporto e memorizzazione temporanea delle informazioni;

• hosting provider che svolge un’attività di memorizzazione durevole dei contenuti e delle informazioni fornite da un destinatario del servizio a richiesta dello stesso;

La dottrina italiana attingendo al quadro normativo delineato dal D.lgs. 70/2003 ed in particolare agli artt. 16 e 17, ha modellato tre diverse forme di responsabilità dell’ISP.

Un primo modello di responsabilità è limitato alle ipotesi di autoria e di concorso commissivo doloso nell’altrui condotta criminosa. È un paradigma che attribuisce al provider una natura privatistica, la cui funzione nel cyberspazio, è assimilabile a quella di un comune cittadino, chiamato a rispondere solo dei reati di cui si è reso autore o di quelli in cui ha offerto un contributo concorsuale attivo, senza la previsione di specifici obblighi di controllo o di collaborazione alla cui violazione possa conseguire una sanzione penale.

Tuttavia, non poche difficoltà discendono da una siffatta perimetrazione di responsabilità e per dar conto delle problematiche implicate è opportuno orientare l’attenzione verso quella categoria di reati che rinvengono, nella diretta realizzazione o proiezione del fatto tipico in rete, o quantomeno dalla sua immediata “connessione” con essa, la propria peculiarità: i c.d. “reati cibernetici”. Si tratta, invero, di una dimensione tipologica comprensiva di una duplice forma espressiva dell’illecito digitale in termini di:

- reati cibernetici in senso stretto (o proprio), ovvero illeciti costruiti in termini tali in cui la connessione con la rete diventa ontologica;

- reati cibernetici in senso lato, cioè fattispecie tradizionali che per la descrizione elastica della situazione tipica consentono una realizzazione anche in internet;

Ebbene, con riguardo ai reati cibernetici in senso lato, una loro eventuale integrazione da parte dell’ISP è subordinata alla rappresentazione di un fatto tipico al quale però, le dinamiche tecnologiche, conferiscono profili di ambiguità. Infatti, l’impatto determinato dalle tecnologie telematiche nella configurazione di condotte tipizzate secondo le tradizionali fattispecie legali, aliene dalle potenzialità criminogene del cyberspace, ha sfumato i confini della tipicità oggettiva delle “tradizionali” fattispecie di reato.  Il silente interesse serbato dal legislatore sul punto ha determinato la formazione di un’ampia zona grigia che ha incalzato la giurisprudenza ad asserire cliché rivelatisi censurabili, escludendo o riconoscendo la responsabilità degli Internet Service Provider sulla base di una vacillante esegesi delle fattispecie incriminatrici, aderendo ad una interpretazione estensiva^[1], a volte restrittiva^[2] e perfino analogica in malam partem.

Quanto al riconoscimento di un eventuale addebito di responsabilità in capo all’ ISP in ipotesi di un contributo partecipativo al fatto tipico posto in essere dagli utenti della rete, è possibile scorgere come la normativa vigente obliteri forme di responsabilità concorsuale dell’ISP in difetto dell’elemento soggettivo del dolo diretto. Infatti, il legislatore ha escluso la rilevanza penale dei contributi offerti dall’ISP – access provider, cache provider e host provider – alla realizzazione tipica del fatto, qualora l’apporto causale non sia almeno accompagnato, al momento della trasmissione o della memorizzazione dei dati, da una effettiva conoscenza del contenuto illecito degli stessi^[3].

Altro argomento che ostacola la configurazione di una responsabilità dell’ISP secondo le coordinate di questo primo archetipo, si ricava dal principio di stretta tipizzazione degli illeciti.  Vi sono delitti infatti – come la diffusione di materiale pedopornografico o il reato di diffamazione che si consumano nel momento in cui i contenuti illeciti sono resi accessibili da parte del loro autore – per i quali una partecipazione del provider non può ravvisarsi né nel successivo mantenimento della disponibilità in rete di quei contenuti, né nella loro omessa cancellazione, trattandosi, in entrambi i casi, di condotte successive alla già avvenuta realizzazione del reato.

Secondo questa prospettiva, dunque, una responsabilità del provider a titolo di concorso nella condotta di diffusione di materiali illeciti da parte di terzi, immessi direttamente sul server da lui gestito, risulta attualmente ammissibile solo qualora egli abbia una previa consapevolezza dell'altrui intenzione di delinquere e dolosamente intenda agevolarne la realizzazione.

Considerazione che ineludibilmente esclude dall’alveo delle condotte concorsuali tutte quelle attività che accedono ad una diffusione già avvenuta e in essere, eventualmente amplificandone il novero dei destinatari, ma senza comportare una immissione in rete di un nuovo contenuto illecito.

Un secondo modello di responsabilità attribuisce all’ISP il ruolo sociale di tutore dell’ordine, avente il compito di decidere ciò che può o non può esistere nel cyberspazio. È un’impostazione che riecheggia la previsione di una posizione di garanzia in capo al provider, con la finalità di impedire la realizzazione di reati da parte degli utenti della rete, schiudendo ad una forma di responsabilità da reato omissivo improprio ex art. 40 c.p. per il difetto di un controllo preventivo e generale sulle informazioni ospitate, trasmesse o memorizzate dagli ISP. Pertanto, secondo questa prospettiva, sarebbe sufficiente dimostrare il contegno omissivo appena esposto per imputare il fatto di reato al provider, attingendo per quanto riguarda la componente soggettiva del reato, al dolo ai confini con la colpa cosciente ovverosia al dolo eventuale.

Nondimeno tale ricostruzione, secondo cui la sfera giuridica del provider si informerebbe ad un obbligo di impedimento dei reati commessi dagli utenti della rete, non ha trovato corrispondenza sul formante giurisprudenziale. Le argomentazioni che hanno obliterato tale forma di responsabilità si rinvengono nell’assenza, nel panorama ordinamentale, di una disposizione che preveda un obbligo generale di sorveglianza in capo all’ISP oltre che nella presenza dell’art. 17 del D.lgs. 70/2003 che statuisce esplicitamente il non assoggettamento dell’ISP ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. Nonché, nell’impossibilità di fondare un rimprovero all’ISP sulla base degli artt. 57 e 57 bis c.p. relativi alla responsabilità del direttore e del vice-direttore responsabile (per la stampa periodica) e dell’editore o dello stampatore (per quella non periodica) per i reati commessi col mezzo della stampa e non impediti a causa di un insufficiente controllo.

L’applicazione di tale normativa al provider si risolverebbe in un’estensione analogica in malam partem, stante le diversità insite nei due mezzi di comunicazione della stampa e del mondo digitale e l’impossibilità per i provider, data la vastità dei contenuti diffusi online, di possedere una capacità di controllo sugli stessi, elementi che per converso, rappresentano la ratio della responsabilità dei direttori di stampa periodica. In ambito sovranazionale richiama l’attenzione del giurista – in quanto segna un vero e proprio cambio di rotta rispetto al quadro giurisprudenziale sopra delineato – la pronuncia della Corte di Giustizia dell’Unione Europea^[4].

Con essa viene riscritto il ruolo degli intermediari del web che in quanto amministratori e gestori della piattaforma/server non possono conservare una posizione neutrale rispetto alla condivisione di eventuali contenuti illeciti venendo, dunque, riconosciuta una loro piena responsabilità contraria a quella descritta nella direttiva sul commercio elettronico. Infatti, non fa riferimento alcuno né al tipo di attività svolta dall’intermediario, né alla possibilità che questi sia a conoscenza dell’illiceità dei contenuti caricati dagli utenti.

Il terzo paradigma di responsabilità si colloca a metà strada rispetto a quelli già tratteggiati, realizzando una sintesi tra diritto di manifestazione del pensiero dell’utente e tutela dei terzi. Ciò, attraverso una parziale limitazione della libertà di comunicazione – in termini di riduzione o esclusione dell’anonimato degli utenti – e implementando strategie di repressione dei reati commessi. In questa prospettiva, il ruolo dell’ISP si apprezza in un segmento temporale successivo a quello della commissione dell’illecito da parte degli utenti in cui, all’obbligo di controllo inziale sussistente, per così dire, al momento di accesso in rete del materiale proveniente dall’esterno, subentra un obbligo successivo che si esplica nei termini di attivazione per assicurare la riduzione delle conseguenze discendenti dai reati già commessi e per agevolare la punizione degli autori.

Tale modello di responsabilità riflette quello costruito sull’archetipo del reato omissivo proprio sicché, potrà essere mosso un addebito di responsabilità per l’omissione di condotte che, se integrate, avrebbero garantito la punizione dell’autore limitando le conseguenze del reato.

3. Perimetrazione dell’indagine e domande di ricerca

Configurare una responsabilità penale in capo all’ISP risulta estremamente complicato, sia per le divergenti e spesso incompatibili posizioni dottrinali e giurisprudenziali presenti nell’ordinamento eurounitario, che per l’assenza di una disciplina attuale che tenga conto delle nuove esigenze consegnate dalla realtà digitale.

Infatti, la tradizionale classificazione dell’attività dei provider in mere conduit, hosting e caching, se considerata nel prisma del progresso tecnologico, si prospetta inadatta. Pur compiendo una mera attività di memorizzazione dei dati acquisiti dagli utenti della rete, la sfera giuridica del provider si compone comunque di un potere di intervento in termini di gestione e di dominio, attese le funzioni espletate nell’ambito della gestione e amministrazione di un server. Sicché, risulterebbe difficile non ricondurre giuridicamente al medesimo anche altri tipi di attività che automaticamente svolge in concreto. Ne discende che l’assetto normativo delineato dalla direttiva sul commercio elettronico risulti ormai obsoleto, ponendosi la figura dell’ISP in una dimensione del tutto nuova in cui a tacer d’altro non può conservare una posizione neutrale, rispetto alla diffusione dei contenuti illeciti. Poste tali considerazioni, l’individuazione del corretto paradigma di responsabilità penale configurabile in capo all’ISP, rimette all’operatore del diritto questioni meritevoli di approfondimento. Il ciberspazio presenta delle caratteristiche precipue che hanno una diretta incidenza sui concetti classici del diritto penale. Segnatamente, l’assenza di confini spazio - tempo muta i concetti di azione e di evento sfumando il perimetro dell’offesa e travalicando sovente i confini della tipicità oggettiva del fatto costitutivo del reato.

Questione che ineludibilmente si inserisce all’interno del più ampio quadro relativo al rapporto intercorrente tra diritto penale ed internet ove l’avvertita necessità di adattare il diritto all’evoluzione tecnologica dinnanzi all’inerzia del legislatore, potrebbe determinare il rischio di superare le barriere di garanzia del diritto penale, rappresentate dal principio di legalità e da tutti i corollari che ne discendono come il divieto di estensione analogica in malam partem. Si tratta di un tema che sollecita l’attitudine del giurista al ragionamento giuridico nell’ottica di una necessaria implicazione ed interazione dialettica tra la parte generale e la parte speciale del diritto penale.

Inoltre, internet ha ampliato i confini della nostra libertà d’espressione che non può però trasformarsi in un sinonimo di totale mancanza di controllo, ragion per cui prima di ragionare di responsabilità penale dell’ISP, bisogna operare una scelta di campo volta a ricercare un punto di equilibrio tra libertà di espressione e responsabilizzazione della rete. Sarebbe fuorviante sostenere che il tema della responsabilità dell’ISP pur fondandosi su una disciplina di matrice prettamente civilistica, come compendiato nella direttiva e – commerce sopra richiamata, esaurisca in tale contesto le sue ragioni d’interesse.

Per converso, l’ampiezza del ruolo assunto dal provider involge questioni che attengono anche alla dimensione costituzionale, con conseguenze che si collocano soprattutto sul versante della libertà di espressione su Internet e, per altro verso, coinvolgono   la   delicata   opera   di   bilanciamento   che   occorre   condurre   tra   diversi   diritti fondamentali, di cui i provider divengono arbitro. Invero, quanto più si mantiene libera la circolazione dei contenuti, tanto più sono esposti a rischio i diritti fondamentali e sforniti di tutela i relativi titolari, ed all’opposto, quanto più si grava la posizione del provider rispetto alla tutela dei diritti, tanto più si incide sulla libertà di espressione.

4. Conclusioni

Alla luce di quanto argomentato, il giurista analizzando i dati offerti dal mondo teorico, dogmatico ed empirico, dovrà ambire a fornire un quadro teorico e metodologico attraverso il quale valutare come, nel nostro ordinamento, debba essere affrontata la vexata quaestio della responsabilità penale degli ISP in relazione ai fatti illeciti realizzati dagli utenti. L’esplorazione di questo tema non può esaurirsi in una mera ricognizione del quadro legislativo vigente, ma deve ineludibilmente estendersi ad una disamina del formante giurisprudenziale nazionale e sovranazionale che di certo non ha risparmiato sforzi nel tentativo di adeguare un dato normativo apparso sin da subito inadeguato e rapidamente rivelatosi obsoleto all’impetuosa evoluzione tecnologica.