@ Diritto Mercato Tecnologia di Alberto M. Gambino - @ Diritto costituzionale telematico di Alfonso Celotto e Giovanna Pistorio - @ Privacy e Garante per la protezione dei dati personali di Bruno Inzitari con Valentina Piccinini - @ AGCom (Autorità per le Garanzie nelle Comunicazioni) di Mario Morcellini - @ AGID (Agenzia per l’Italia Digitale) di Alfonso Contaldo - @ AGCM (Autorità Garante della Concorrenza e del Mercato) di Antonio Catricalà con Carlo Edoardo Cazzato - @ Data protection e data governance di Pierluigi Perri - @ Odio, cyberbullismo, cyberstalking e discriminazioni online di Giovanni Ziccardi - @ Contratti informatici di Lucilla Gatt e Ilaria Caggiano - @ Smart contract e negoziazione algoritmica di Francesco Di Ciommo - @ Consumatori di Giovanna Capilli e Massimiliano Dona - @ Intellectual property e digital rights di Giuseppe Cassano - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto civile) di Mariangela Ferrari - @ Gioco a distanza di Alessandro Orlandi - @ Cybercrime di Lorenzo Picotti con Roberto Flor - @ Reati in Internet di Vittorio Manes e Francesco Mazzacuva - @ Responsabilità penale dell’internet provider di Adelmo Manna - @ Digital evidence nel procedimento penale di Luca Lupària con Marco Pittiruti - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto penale) di Francesco G. Catullo - @ Amministrazione digitale di Fernanda Faini e Marco Mancarella - @ Appalti pubblici e informatica di Elio Guarnaccia - @ Diritto del lavoro e nuove tecnologie di Roberto Pessi e Raffaele Fabozzi - @ Diritto tributario digitale e fiscalità dell’economia digitale di Andrea Carinci - @ Diritto internazionale, europeo e comparato di Giovanni Maria Riccio - @ Legal Compliance Integrata di Nicola Tilli - @ Intelligenza artificiale e robotica di Bruno Tassone e Guido Scorza - @ Automazione di Stefano Pellegatta - @ Applicazione del GDPR di Vincenzo Colarocco - @ Processo Telematico di Maurizio Reale - @ Legal-Tech di Giuseppe Vaciago - @ Prova informatica di Donato Eugenio Caccavella - @ Informatica Giuridica di Michele Iaselli - @ Convegni, Recensioni, Spigolature
Il comitato dei Tecnici Luca Attias, Paolo Cellini, Massimo Chiriatti, Cosimo Comella, Gianni Dominici, Corrado Giustozzi, Giovanni Manca, Michele Melchionda, Luca Tomassini, Andrea Servida, Carlo Mochi Sismondi, Giuseppe Virgone
Il comitato editoriale Eleonora Addante, Denise Amram, Stefano Aterno, Livia Aulino, Fabio Baglivo, Francesca Bailo, Mauro Balestrieri, Elena Bassoli, Ernesto Belisario, Maria Letizia Bixio, Luca Bolognini, Chantal Bomprezzi, Simone Bonavita, Francesco Brugaletta, Leonardo Bugiolacchi, Luigi Buonanno, Donato Eugenio Caccavella, Giandomenico Caiazza, Luca Antonio Caloiaro, Alessia Camilleri, Stefano Capaccioli, Giovanna Capilli, Domenico Capra, Mario Capuano, Diana Maria Castano Vargas, Francesco Giuseppe Catullo, Aurora Cavo, Carlo Edoardo Cazzato, Francesco Celentano, Federico Cerqua, Celeste Chiariello, Antonio Cilento, Donatello Cimadomo, Giuseppe Colangelo, Vincenzo Colarocco, Alfonso Contaldo, Mariarosaria Coppola, Fabrizio Corona, Francesca Corrado, Gerardo Costabile, Stefano Crisci, Luca D’Agostino, Vittoria D’Agostino, Gaspare Dalia, Eugenio Dalmotto, Antonio Davola, Edoardo De Chiara, Maurizio De Giorgi, Paolo De Martinis, Maria Grazia Della Scala, Mattia Di Florio, Francesco Di Giorgi, Giovanni Di Lorenzo, Sandro Di Minco, Massimiliano Dona, Giulia Escurolle, Caterina Esposito, Alessandro Fabbi, Raffaele Fabozzi, Alessandra Fabrocini, Fernanda Faini, Pietro Falletta, Mariangela Ferrari, Roberto Flor, Federico Freni, Maria Cristina Gaeta, Fabrizio Galluzzo, Davide Gianti, Carmelo Giurdanella, Chiara Graziani, Raffaella Grimaldi, Paola Grimaldi, Elio Guarnaccia, Pierluigi Guercia, Ezio Guerinoni, Aldo Iannotti Della Valle, Michele Iaselli, Alessandro Iodice, Daniele Labianca, Luigi Lambo, Katia La Regina, Alessandro La Rosa, Jacopo Liguori, Andrea Lisi, Matteo Lupano, Armando Macrillò, Domenico Maffei, Angelo Maietta, Marco Mancarella, Amina Maneggia, Daniele Marongiu, Carmine Marrazzo, Silvia Martinelli, Marco Martorana, Corrado Marvasi, Dario Mastrelia, Francesco Mazzacuva, Stefano Mele, Ludovica Molinario, Anita Mollo, Andrea Monti, Roberto Moro Visconti, Davide Mula, Simone Mulargia, Antonio Musio, Sandro Nardi, Gilberto Nava, Raffaella Nigro, Romano Oneda, Alessandro Orlandi, Angelo Giuseppe Orofino, Roberto Panetta, Giorgio Pedrazzi, Stefano Pellegatta, Flaviano Peluso, Pierluigi Perri, Alessio Persiani, Edoardo Pesce, Valentina Piccinini, Marco Pierani, Giovanna Pistorio, Marco Pittiruti, Federico Ponte, Francesco Posteraro, Eugenio Prosperetti, Maurizio Reale, Nicola Recchia, Federica Resta, Giovanni Maria Riccio, Alessandro Roiati, Angelo Maria Rovati, Rossella Sabia, Alessandra Salluce, Ivan Salvadori, Alessandro Sammarco, Alessandra Santangelo, Fulvio Sarzana di S.Ippolito, Emma Luce Scali, Roberto Scalia, Marco Schirripa, Marco Scialdone, Andrea Scirpa, Guido Scorza, Francesco Scutiero, Carla Secchieri, Massimo Serra, Serena Serravalle, Raffaele Servanzi, Irene Sigismondi, Giuseppe Silvestro, Matteo Siragusa, Rocchina Staiano, Samanta Stanco, Marcello Stella, Gabriele Suffia, Giancarlo Taddei Elmi, Bruno Tassone, Maurizio Tidona, Enzo Maria Tripodi, Luca Tormen, Giuseppe Trimarchi, Emilio Tucci, Giuseppe Vaciago, Matteo Verzaro, Luigi Viola, Valentina Viti, Giulio Votano, Raimondo Zagami, Alessandro Zagarella, Ignazio Zangara, Maria Zinno, Martino Zulberti, Antonio Dimitri Zumbo
Il comitato di referaggio Ettore Battelli, Maurizio Bellacosa, Alberto M. Benedetti, Giovanni Bruno, Alberto Cadoppi, Ilaria Caggiano, Stefano Canestrari, Giovanna Capilli, Giovanni Capo, Andrea Carinci, Alfonso Celotto, Sergio Chiarloni, Antonio Cilento, Donatello Cimadomo, Renato Clarizia, Giuseppe Colangelo, Giovanni Comandè, Claudio Consolo, Pasquale Costanzo, Gaspare Dalia, Eugenio Dalmotto, Enrico Del Prato, Astolfo Di Amato, Francesco Di Ciommo, Giovanni Di Lorenzo, Fabiana Di Porto, Ugo Draetta, Giovanni Duni, Alessandro Fabbi, Raffaele Fabozzi, Valeria Falce, Mariangela Ferrari, Francesco Fimmanò, Giusella Finocchiaro, Carlo Focarelli, Vincenzo Franceschelli, Massimo Franzoni, Federico Freni, Tommaso E. Frosini, Maria Gagliardi, Cesare Galli, Alberto M. Gambino, Lucilla Gatt, Aurelio Gentili, Stefania Giova, Andrea Guaccero, Antonio Gullo, Bruno Inzitari, Luigi Kalb, Luca Lupária, Amina Maneggia, Vittorio Manes, Adelmo Manna, Arturo Maresca, Ludovico Mazzarolli, Raffaella Messinetti, Pier Giuseppe Monateri, Mario Morcellini, Antonio Musio, Raffaella Nigro, Angelo Giuseppe Orofino, Nicola Palazzolo, Giovanni Pascuzzi, Roberto Pessi, Valentina Piccinini, Lorenzo Picotti, Dianora Poletti, Alessandro Sammarco, Giovanni Sartor, Filippo Satta, Paola Severino, Caterina Sganga, Pietro Sirena, Giorgio Spangher, Giovanni Maria Riccio, Francesco Rossi, Elisa Scaroina, Serena Serravalle, Marcello Stella, Paolo Stella Richter, Giancarlo Taddei Elmi, Bruno Tassone, Giuseppe Trimarchi, Luigi Carlo Ubertazzi, Paolo Urbani, Romano Vaccarella, Daniela Valentino, Giovanni Ziccardi, Andrea Zoppini, Martino Zulberti
Diritto di Internet 4 2020
Gli osservatori on line <www.dirittodiinternet>
Direttore scientifico Giuseppe Cassano Comitato scientifico Michele Ainis Maria A. Astone Alberto M. Benedetti Giovanni Bruno Alberto Cadoppi Michele Caianiello Stefano Canestrari Giovanni Capo Andrea Carinci Antonio Catricalà Sergio Chiarloni Renato Clarizia Alfonso Celotto Giovanni Comandè Claudio Consolo Giuseppe Corasaniti Pasquale Costanzo Enrico Del Prato Astolfo Di Amato Ugo Draetta Francesco Di Ciommo Giovanni Duni Valeria Falce Francesco Fimmanò Giusella Finocchiaro Carlo Focarelli Giorgio Floridia Vincenzo Franceschelli Massimo Franzoni Tommaso E. Frosini Cesare Galli Alberto M. Gambino Lucilla Gatt Aurelio Gentili Andrea Guaccero Bruno Inzitari Luigi Kalb Luca Lupária Vittorio Manes Adelmo Manna Arturo Maresca Ludovico Mazzarolli Raffaella Messinetti Pier Giuseppe Monateri Mario Morcellini Nicola Palazzolo Giovanni Pascuzzi Roberto Pessi Lorenzo Picotti Nicola Pisani Francesco Pizzetti Dianora Poletti Giovanni Sartor Filippo Satta Paola Severino Pietro Sirena Antonello Soro Giorgio Spangher Paolo Stella Richter Luigi Carlo Ubertazzi Romano Vaccarella Daniela Valentino Giovanni Ziccardi Andrea Zoppini
Diritto di INTERNET
Digital Copyright e Data Protection RIVISTA TRIMESTRALE
2020 4
Pacini
DIRITTO DI INTERNET • ANNO II
SOMMARIO ■ SAGGI LE ECCEZIONI E LIMITAZIONI RELATIVE AI DIRITTI D’AUTORE ED AI DIRITTI SUI DATI PERSONALI di Raffaele Servanzi
569
ECONOMIA DIGITALE, SIGNIFICATIVA PRESENZA ECONOMICA E TASSAZIONE di Francesca Stradini
579
■ GIURISPRUDENZA COMPARATA LA RESPONSABILITÀ OGGETTIVA DI AMAZON PER DANNI PROVOCATI DA PRODOTTI DIFETTOSI: ASPETTI PROBLEMATICI DELLA RESPONSABILITÀ DEI MARKETPLACE NEL CASO BOLGER Court of Appeal; Fourth Appelate District, Division One, State of California; sentenza 13 agosto 2020 commento di Raffaella Nigro commento di Giovanna Capilli
587 589 603
CIVILE NATURA “PERDURANTE” E TERMINE DI CONTESTAZIONE DISCREZIONALE PER GLI ILLECITI AMMINISTRATIVI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Corte di Cassazione; sezione II civile; ordinanza 3 settembre 2020, n. 18288 commento di Andrea Monti
613 614
IL RISARCIMENTO DEL DANNO A SEGUITO DELL’ILLECITO TRATTAMENTO DI DATI PERSONALI: UN NUOVO IMPULSO DAL REG. UE 27 APRILE 2016 N. 679? Corte di Cassazione; sezione VI civile; ordinanza 20 agosto 2020, n. 17383 commento di Alberto Avitabile
619 620
DIRITTO ALL’OBLIO E DEINDICIZZAZIONE: FONDAMENTI GIURIDICI E RISARCIBILITÀ DEL DANNO Corte d’appello di Milano; sezione II civile;15 maggio 2020, n. 1106 commento di Carmen Iorio
627 632
LA NULLITÀ DEL CONTRATTO NELLA PARTICOLARE IPOTESI DELLE SCOMMESSE A EVENTO CONCLUSO, C.D. “A PALINSESTO APERTO” Tribunale di Palermo; sezione III; sentenza 5 agosto 2020, n. 2509 commento di Giuseppe Cassano
641 643
I SOCIAL NETWORK E IL DIRITTO ALL’ASCOLTO DEI (GRANDI) MINORI Tribunale di Chieti; rito civile collegiale; sentenza 21 luglio 2020, n. 403 commento di Simona Ghionzoli
651 652
SULL’EFFICACIA PROBATORIA DELLA POSTA ELETTRONICA CERTIFICATA (PEC). UN FALSO MITO? Tribunale di Roma; sezione III lavoro; sentenza 18 giugno 2020 commento di Sara Garsia e Vincenzo Giunta
659 661
LE COLONNE D’ERCOLE DEL DIRITTO ALL’ONORE: RIMOZIONE GLOBALE VS. BLOCCO GEOGRAFICO PANEUROPEO DI POST DIFFAMATORI SU FACEBOOK Tribunale di Milano; sezione prima civile; ordinanza 17 giugno 2020 commento di Marcello Stella
673 677
DIRITTO DI INTERNET N. 4/2020
567
DIRITTO DI INTERNET • ANNO II PENALE LA VIOLENZA SESSUALE VIA WHATS APP Corte di Cassazione; sezione III penale; sentenza 8 settembre 2020, n. 25266 commento di Lorenzo Picotti
683 685
LA NATURA (IR)RIPETIBILE DELL’ATTIVITÀ D’INDAGINE SUL REPERTO DIGITALE Corte di Cassazione; sezione V penale; sentenza 23 luglio 2020, n. 22066 commento di Vincenzo Gramuglia
691 692
PROFILI PENALI DELLA CREAZIONE DI UN FALSO PROFILO FACEBOOK A SCOPO DIFFAMATORIO Corte di Cassazione; sezione V penale; sentenza 23 luglio 2020, n. 22049 commento di Chiara Crescioli
701 703
IL REATO DI FRODE INFORMATICA ED IL RAPPORTO CON L’ART. 55, COMMA 9, DEL D.LGS. N. 231 DEL 2007. DALL’ANAMNESI AGLI ELEMENTI DISCRETIVI, ALLA LUCE DEL RAPPORTO DI SPECIALITÀ Corte di Cassazione; sezione II penale; sentenza 1° luglio 2020, n. 21831 commento di Concetta Guerra e Pasquale D’Anello
709 711
L’UTILIZZAZIONE IN ALTRI PROCEDIMENTI DEI RISULTATI DI INTERCETTAZIONI ESEGUITE MEDIANTE CAPTATORE INFORMATICO TRA SEZIONI UNITE E NOVELLE Corte di Cassazione; sezione VI penale; sentenza 22 maggio 2020, n. 15724 commento di Biagio Monzillo
715 716
AMMINISTRATIVA MALFUNZIONAMENTI DELLE PIATTAFORME TELEMATICHE DI NEGOZIAZIONE: RIMEDI E RESPONSABILITÀ Consiglio di Stato; sezione III; sentenza 29 luglio 2020, n. 4811 commento di Elio Guarnaccia
723 727
DINAMICA PROCEDIMENTALE E STRUMENTI DELLE GARE DI APPALTO TELEMATICHE Consiglio di Stato; sezione III; sentenza 28 luglio 2020, n. 4795 commento di Andrea Sterlicchio De Carli
733 736
■ PRASSI
568
DIFFUSIONE COVID-19: IL TRADE-OFF TRA CONTACT TRACING E TRATTAMENTO DEI DATI PERSONALI DEGLI INDIVIDUI di Alessia del Pizzo e Fabrizio Corona
741
L’ACCERTAMENTO DEI REATI ATTRAVERSO L’ANALISI DI TABULATI TELEFONICI di Donato Eugenio Caccavella e Michele Ferrazzano
751
DIRITTO DI INTERNET N. 4/2020
SAGGI
Le eccezioni e limitazioni relative ai diritti d’autore ed ai diritti sui dati personali di Raffaele Servanzi Sommario: 1. I diritti sui dati personali. - 2. Le eccezioni relative ai dati personali. - 3. L’appartenenza dei diritti sui dati personali alla categoria della proprietà intellettuale. - 4. Sovrapposizioni tra diritti di proprietà intellettuale e diritti sui dati personali. - 5. Un primo confronto tra le eccezioni e limitazioni relative ai diritti d’autore e rispettivamente ai dati personali. Sia i diritti sui dati personali sia i diritti d’autore sulle opere dell’ingegno sono diritti esclusivi soggetti ad alcune eccezioni: pertanto le utilizzazioni dei dati o delle opere dell’ingegno non consentite dall’interessato o dall’autore sono lecite solo se sono scriminate da un’eccezione. L’oggetto del diritto sui dati e del diritto d’autore può talora coincidere, e ciò richiede di applicare entrambe le discipline congiuntamente. Questo studio procede allora ad un primo confronto tra le eccezioni relative ai diritti d’autore e rispettivamente a quelli sui dati personali. Both rights on personal data and copyright on works of authorship are exclusive rights subject to limited exceptions: therefore, uses of a personal data or of a works of authorship, if not allowed by the data subject or by the author, are lawful only if justified by an exception. The object of the data right and copyright may sometimes correspond, and whenever this situation verifies both disciplines have to be applied jointly. The article then makes an initial comparison between the exceptions relating the copyright and data protection rights exceptions.
1. I diritti sui dati personali
I dati personali hanno acquisito nel corso degli anni un rilievo di mercato di primo piano ed in crescita continua: tanto che si usa definirli come “il nuovo petrolio”, con un’espressione coniata inizialmente in ambito giornalistico ed adottata poi anche negli studi universitari (1). Il peso economico ora detto ha spinto il legislatore a regolare le utilizzazioni dei dati con una disciplina via via più articolata: che secondo alcuni li fa oggetto di un diritto esclusivo riconducibile alla categoria della proprietà intellettuale, e che può talvolta sovrapporsi alla tutela garantita dai diritti di proprietà intellettuale tradizionali. I diritti sui dati personali hanno le loro radici storiche nel diritto alla riservatezza della vita privata (in inglese “privacy”), che non era previsto espressamente dalla Costituzione né dalla legge italiane ma nella seconda metà del Novecento è stato in vari modi ricavato dal sistema: ed in particolare alcuni lo hanno derivato dagli artt. 10
(1) Tra gli scritti universitari vedi per esempio Carta, Diritto alla vita privata ed internet nell’esperienza giuridica europea ed internazionale, in Dir. inf. e inform. 2014, 11; e Thiene, I diritti della personalità dei minori nello spazio virtuale, in Annali online della formazione docente, 2017, 34; Banterle, The Interface between Data Protection and IP Law: The Case of Trade Secrets and the Database sui generis Right in Marketing Operations, and the Ownership of Raw Data in Big Data Analysis, in Aa. Vv., Personal Data in Competition, Consumer Protection and Intellectual Property Law, New York, 2018, 411; e Finocchiaro, Riflessioni sul poliedrico Regolamento europeo sulla privacy, in Quaderni cost., 2018, 896.
c.c., 96 s. l.a. e 93 l.a. (2), altri dall’art. 2 Cost. (3), ed altri ancora (oltre che dell’art. 2) anche dagli artt. 3, 13, 14, 15, 27, 29 e 41 Cost. (4). Le voci ora ricordate ricostruiscono un diritto alla riservatezza che ha natura di diritto della personalità, ha contenuto puramente negativo, ed ha la sola funzione di proteggere l’interesse della persona a vedere rispettato il riserbo sulla propria vita privata. Negli anni 70 alcuni autori hanno cominciato a suggerire che il diritto alla privacy avrebbe dovuto comprendere anche un potere positivo di controllo sui propri dati personali, ed avrebbe dovuto consentire alla persona di pretendere la loro rettifica e cancellazione (5): e questa tesi è stata almeno in parte recepita nei fatti dalla giurisprudenza dell’epoca, che riconosceva i diritti alla rettifica ed alla cancellazione delle informazioni, anche se li derivava da diritti diversi da quello alla privacy ed
(2) De Cupis, I diritti della personalità, in Cicu - Messineo, Trattato di diritto civile e commerciale, Milano, 1973, I, 43-45; Id, voce Riservatezza e segreto, in Noviss. Dig. it., XVI, Torino, 1969, 115. (3) Giampiccolo, La tutela giuridica della persona umana e il c.d. diritto alla riservatezza, in Riv. trim. dir. e proc. civ., 1958, 465 s.; ed in giurisprudenza Corte Cost. 12 aprile 1973, n. 38, in DeJure. (4) Così Cass. 27 maggio 1975, n. 2129, in DeJure. (5) Rodotà, La privacy tra individuo e collettività, in Pol. dir. 1974, 545 ss.; Belvedere, Riservatezza e strumenti d’informazione, in Irti, Dizionari di diritto privato, Milano, 1980, I, 727; Alpa, Privacy e statuto dell’informazione, in Riv. dir. civ., 1979, I, 72 ss..
DIRITTO DI INTERNET N. 4/2020
569
SAGGI in particolare fondava il diritto alla rettifica dei dati su quello all’identità personale (6). La teoria del controllo ha in seguito trovato accoglimento espresso nella legge: sul piano costituzionale con la Carta di Nizza, ed in particolare col suo art. 8, secondo cui chiunque ha diritto di accedere ai suoi dati raccolti da altri e di pretenderne la rettifica; e sul piano delle fonti della disciplina ordinaria nel diritto UE con le direttive 46/1995, 58/2002 e 680/2016 e da ultimo con il regolamento UE 679/2016 (regolamento generale sulla protezione dei dati personali, “GDPR”), e nel diritto interno italiano con la l. 675/1996, il d.lgs 196/2003 (“codice privacy”), e da ultimo con il d.lgs 101/2018 che ha modificato il codice privacy. Nella disciplina UE dei dati personali la fonte di maggior rilievo è oggi il GDPR. La scelta del legislatore UE di adottare un regolamento raccoglie le critiche di parte della letteratura e della Corte di giustizia, che avevano ritenuto inadeguato lo strumento delle direttive di armonizzazione impiegato sino ad allora, poiché queste avevano lasciato margini di manovra eccessivi agli Stati membri, ed avevano così consentito una diversificazione eccessiva tra le discipline statali in materia pregiudizievole per il buon funzionamento del mercato comune (7). Peraltro il GDPR rinvia talvolta ai diritti statali; nei fatti l’obiettivo di uniformazione non è dunque raggiunto interamente, nonostante l’impiego dello strumento del regolamento; e si spiega così che il legislatore italiano abbia lasciato sopravvivere accanto al regolamento UE la disciplina nazionale della l. 196/2003, pur notevolmente modificata. Una parte consistente delle disposizioni del GDPR riprendono e riordinano le regole già stabilite dalle direttive precedenti o aggiunte dai diritti nazionali nel dar loro attuazione e recepiscono alcune interpretazioni già suggerite de iure condito dalla dottrina e dalla pratica (8). Ci si è chiesti se ed in quale direzione il GDPR esprima un ripensamento di linea rispetto ai testi normativi precedenti. Secondo un autore a differenza degli atti legislativi che l’hanno preceduto il GDPR vuole regolare la circolazione dei dati più che
tutelare la persona cui si riferiscono (9), mentre altri opina che una delle caratteristiche essenziali del GDPR è proprio quella di rafforzare la tutela della persona (10). Le due tesi sembrano peraltro esprimere due punti di osservazione differenti del medesimo fenomeno e sono contrapposte forse solo apparentemente: il legislatore comunitario vuole infatti facilitare la creazione e la circolazione di giacimenti di dati, e persegue questo obiettivo attribuendo al privato maggiori poteri del privato di controllo sull’uso dei propri dati, incentivandolo così a fornire questi ultimi alle imprese in tranquillità (11). Il GDPR regola anzitutto i diritti del soggetto cui si riferiscono i dati (l’“interessato”). Ed in particolare l’art. 6.1 stabilisce che ogni trattamento dei dati personali deve essere consentito dall’interessato; e l’art. 9 prevede una disciplina di maggior rigore per i dati personali più delicati (comunemente detti “sensibili”), che possono essere trattati in generale solo sulla base di un consenso esplicito e specifico e se riguardano condanne penali o reati solo con l’intervento dell’autorità pubblica, salva la possibilità per gli Stati di prevedere condizioni ulteriormente restrittive. L’interessato ha poi alcuni diritti ulteriori, di cui rimane titolare anche dopo aver autorizzato il trattamento dei propri dati: e questi diritti sono in particolare quelli di revocare l’autorizzazione (art. 7.3); di ricevere informazioni, diverse a seconda delle modalità di raccolta dei dati (artt. 12 e 13); di accedere ad informazioni ulteriori sui dati oggetto di trattamento e sui propri diritti (art. 15); di ottenere la rettifica dei dati errati (art. 16); di ottenere la cancellazione dei dati (art. 17); di limitare il trattamento (art. 18); di ricevere dal titolare del trattamento i dati di cui è in possesso per trasmetterli ad un altro titolare (art. 20); di opporsi ad talune forme di trattamento tra cui alcuni di quelli indipendenti dal consenso (art. 21); di non essere sottoposto a una decisione fondata soltanto sul “trattamento automatizzato”, e cioè su dati generati attraverso elaborazioni computazionali (art. 22.1). Ad eccezione dell’ultimo i diritti ulteriori dell’interessato ora ricordati sono considerati inderogabili (12). Il GDPR prevede poi un numero non piccolo di eccezioni ai diritti dell’interessato, e di questo parlerò infra (13).
(6) Cassano, Il diritto all’oblio esiste: è diritto alla riservatezza. Sulla questione, più ampiamente, Cassano, Identità personale e risarcimento del danno nel quadro dei diritti della personalità, Napoli, 1999. (7) Così Colapietro - Iannuzzi, I principi generali del trattamento dei dati personali e i diritti dell’interessato, in Califano - Colapietro, Innovazione tecnologica e valore della persona, Napoli, 2017, 85; G. Finocchiaro, Introduzione al regolamento europeo sulla protezione dei dati personali, in Nuove leggi civ. comm. 2017, 5 s.; vedi inoltre i considerando 9 e 10 del GDPR. (8) G. Finocchiaro, cit., 7; Califano, Il regolamento UE 2016/679 e la costruzione di un modello uniforme di diritto europeo alla riservatezza ed alla protezione dei dati personali, in Id - Colapietro, cit., 24; Piraino, Il regolamento generale sulla protezione dei dati personali, in Nuove leggi civ. comm. 2017, 373 s..
570
DIRITTO DI INTERNET N. 4/2020
(9) Piraino, cit., 369 s.. (10) Califano, cit., 28 s.. (11) Colapietro - Iannuzzi, cit., 87; Busacca, Le “categorie particolari di dati” ex art. 9 GDPR. Divieti, eccezioni e limiti alle attività di trattamento, in OIDU - Ordine Internazionale e Diritti Umani, 2018, 42. (12) Vedi per tutti Pelino, i diritti dell’interessato, in Bolognini - Pelino Bistolfi, Il regolamento privacy europeo, Milano, 2017, passim. (13) V. sul tema il successivo paragrafo 2.
SAGGI Il GDPR disciplina infine le modalità del trattamento e la responsabilità di vi attende. L’art. 5 dispone che i dati devono essere trattati in modo lecito, corretto e trasparente; raccolti e trattati per fini determinati, espliciti e legittimi; raccolti solo in quanto richiesto dai fini ora ricordati; corretti e aggiornati; conservati in maniera tale da rendere identificabile l’interessato solo per il tempo necessario per i fini del trattamento; ed infine trattati con modalità che diano garanzie di sicurezza. Il GDPR assoggetta chi determina le finalità e i mezzi del trattamento (il “titolare del trattamento”) ad un regime di rendicontazione e responsabilità. In particolare ex art. 24 il titolare del trattamento deve adottare misure adeguate per garantire ed eventualmente dimostrare che il trattamento è avvenuto nel rispetto del GDPR; può anche avvalersi di dipendenti, collaboratori o mandatari; ed in alcuni casi è tenuto a nominare una persona che tratti i dati per suo conto (“responsabile del trattamento”) agendo nel rispetto delle sue istruzioni. La disciplina UE ora ricordata ha subito interessato la dottrina, che le ha dedicato una produzione scientifica che in considerazione della giovane età del regolamento appare assai corposa. Tra i molti temi materia di studi ricorderò qui solamente quelli battuti più di frequente, e cioè: i) i requisiti del consenso (14); ii) la disciplina dei dati “sensibili” (15); iii) il diritto all’oblio (16); iv) la re (14) Sul tema vedi tra gli altri i lavori di Mantelero, Responsabilità e rischio nel Reg. UE 2016/679, in Nuove leggi civ. comm., 2017, 148; Thiene, Segretezza e riappropriazione di informazioni di carattere personale: riserbo e oblio nel nuovo regolamento europeo, ivi, 416 s.; I. Caggiano, Il consenso al trattamento dei dati personali nel nuovo Regolamento europeo. Analisi giuridica e studi comportamentali, in Osservatorio del diritto civile e commerciale, 2018, 67 ss.; e con riguardo alla disciplina del consenso all’utilizzazione dei dati di minorenni segnalo ulteriormente i contributi di Pedrazzi, Minori e social media: tutela dei dati personali, autoregolamentazione e privacy, in Inf. e dir. 2017, 437 ss.; I. Caggiano, “Privacy” e minori nell’era digitale. Il consenso al trattamento dei dati dei minori all’indomani del Regolamento UE 2016/679, tra diritto e tecno-regolazione, in Familia, 2018, 3 ss.; Naddeo, Il consenso al trattamento dei dati personali del minore, in Dir. inf. e inform., 2018, 27 ss.; Nitti, La pubblicazione di foto di minori sui “social network” tra tutela della riservatezza e individuazione dei confini della responsabilità genitoriale, in Fam. e dir., 2018, 386 ss..
sponsabilità del titolare del trattamento (17); v) il ruolo e l’indipendenza delle autorità garanti (18); vi) i rapporti tra la tutela dei dati e la disciplina delle indagini di polizia (19); vii) ed infine autori numerosi si sono dedicati ad un tema dirò così trasversale a vari istituti del GDPR e che riguarda in particolare la gestione dei dati dei lavoratori da parte dei datori di lavoro (20).
diritto all’oblio, in Foro pad. 2017, 34 ss.; Mantelero, La Corte di giustizia su pubblici registri e c.d. “right to be forgotten”, in Giur. it. 2017, 1618 ss.; Martinelli, Diritto all’oblio e motori di ricerca: il bilanciamento tra memoria e oblio in Internet e le problematiche poste dalla de-indicizzazione, in Dir. inf. e inform. 2017, 565 ss.; Mina, Diritto all’oblio e registro delle imprese: automatismi legislativi e interpretazione costituzionale, in Danno e resp., 2017, 689 ss.; Id, La tutela del diritto all’oblio, ivi, 374 ss.; Pappalardo, L’accesso al registro delle imprese tra garanzia di trasparenza e diritto all’oblio, in Le Società 2017, 827 ss.; Pardolesi, Oltre “Google Spain” e il diritto all’oblio, ivi, 219 ss.; Pietropaoli, La rete non dimentica. Una riflessione sul diritto all’oblio, in Ars Interpretandi 2017, 67 ss.; Senigaglia, Reg. UE 2016/679 e diritto all’oblio nella comunicazione telematica. Identità, informazione e trasparenza nell’ordine della dignità personale, in Nuove leggi civ. comm. 2017, 1023 ss.; Thiene, Segretezza e riappropriazione di informazioni di carattere personale: riserbo e oblio nel nuovo regolamento europeo, ivi, 410 ss.; Bonavera, Pubblicità commerciale nel registro delle imprese e diritto all’oblio, in Le società 2018, 285 ss.; Bonavita - Pardolesi, GDPR e diritto alla cancellazione (oblio), in Danno e resp. 2018,. 269 ss.; Id, La Corte Edu contro il diritto all’oblio?, ivi, 149 ss.; Sirotti Gaudenzi, Diritto all’oblio e diritto all’informazione: un difficile equilibrio, in Corr. giuridico, 2018, 1107 ss.. (17) Sul tema vedi tra gli altri i lavori di Aa. Vv., in Califano - Colapietro, cit., 137 ss.; A. Pisapia, The Harmonization of the Data Protection Law. Critical remarks on the new general European regulation, in Osservatorio del diritto civile e commerciale 2017, 243 ss.; Mantelero, Responsabilità e rischio nel Reg. UE 2016/679, in Nuove leggi civ. comm. 2017 144 ss.; Arcella, GDPR: il Registro delle attività di trattamento e le misure di “accountability”, in Notariato 2018, 393 ss.; Giacomini - Trovato - Rossi Chauvenet, Il registro delle attività di trattamento previsto dal GDPR: più di uno strumento di mera “compliance”, in Rivista di diritto dei media 2018; E. Tosi, General Data Protection Regulation e responsabilità civile per illecito trattamento dei dati personali: il regime applicabile al Data Protection Officer, in questa annata della Rivista, 219 ss.. (18) Sul tema vedi tra gli altri i lavori di Pirozzoli, Il potere di influenza delle Autorità amministrative indipendenti, in Federalismi, 2017; Patroni Griffi, L’indipendenza del Garante, ivi, 2018; Pizzetti, La protezione dei dati personali dalla direttiva al nuovo regolamento: una sfida per le Autorità di controllo e una difesa per la libertà dei moderni, in Rivista di diritto dei media 2018.
(15) Sul tema vedi tra gli altri i lavori di Chieffi, La tutela della riservatezza dei dati sensibili: le nuove frontiere europee, in Califano - Colapietro, cit., 203 ss.; Granieri, Il trattamento di categorie particolari di dati personali nel Reg. UE 2016/679, in Nuove leggi civ. comm. 2017, 165 ss.; Busacca, Le “categorie particolari di dati” ex art. 9 GDPR. Divieti, eccezioni e limiti alle attività di trattamento, in OIDU - Ordine Internazionale e Diritti Umani 2018, 36 ss..
(19) Sul tema vedi tra gli altri i lavori di Staiano, Diritto alla riservatezza e potere pubblico, in Federalismi, 2017; Bonavita - Pardolesi, “Privacy”, protezione dei dati personali contrasto alle frodi fiscali, in Danno e resp. 2018, 158 ss.; Bonfanti, “Big data” e polizia predittiva: riflessioni in tema di protezione del diritto alla “privacy” e dei dati personali, in Rivista di diritto dei media 2018; Orofino, Diritto alla protezione dei dati personali e sicurezza: osservazioni critiche su una presunta contrapposizione, ivi, 2018; G. Ziccardi, The GDPR and the LIBE Study on the Use of Hacking Tools by Law Enforcement Agencies, in The Italian Law Journal, 2018, 215 ss..
(16) Sul tema vedi tra gli altri i lavori di G. Carraro, Il pentimento come diritto fondamentale, in AIDA 2016, 569 ss.; L.C. Ubertazzi, La disciplina UE dei diritti morali d’autore, ivi, 436, in nota; Barbierato, Osservazioni sul diritto all’oblio e la (mancata) novità del Regolamento UE 2016/679 sulla protezione dei dati personali, in Resp. civ. e prev. 2017 2100 ss.; D’Ambrosio, Il c.d. principio dell’”openness” nelle procedure giudiziarie tra oblio e anonimato in Rassegna di diritto civile 2017, 37 ss.; Di Ciommo, Privacy in Europe After Regulation (EU) No 2016/679: What Will Remain of the Right to Be Forgotten?, in The Italian Law Journal 2017, 623 ss.; Freda, Osservazioni sul
(20) Ed in questo filone segnalo tra gli altri i contributi di Maresca - Ciucciovino - Alvino, Regolamento UE 2016/679 e rapporto di lavoro, in Califano - Coapietro, cit., 311 ss.; Ogriseg, GDPR and Personal Data Protection in the Employment Context, in Labour & Law Issues 2017; Carta, I limiti al potere di controllo sui lavoratori nell’uso di internet e dei servizi di comunicazione elettronica: per un diritto alla moderazione, in Labor - Il lavoro nel diritto, 2018, 173 ss.; Id, Documenti “personali” o “privati”: il caso dei “files” salvati sul “computer” aziendale, in NGCC 2018, I, 1264 ss.; Costantini, Il Regolamento (UE) 679/2016 sulla protezione dei dati personali, in Il Lavoro
DIRITTO DI INTERNET N. 4/2020
571
SAGGI 2. Le eccezioni relative ai dati personali
Il GDPR prevede eccezioni sia al diritto dell’interessato di autorizzare o vietare il trattamento dei propri dati sia agli altri suoi diritti; e mi fermo qui su quelle relative al primo. Ne prevedono in particolare l’art. 6 per i dati comuni, l’art. 9 per i dati sensibili, e l’art. 85 (21) per entrambe le categorie; e poiché i dati sensibili sono più delicati di quelli comuni l’argomento a fortiori impone di applicare anche ai primi le eccezioni previste per i secondi. Alcune delle eccezioni previste dal GDPR liberalizzano determinati trattamenti anche se l’interessato non ha consentito alcuno di essi, e più in generale anche se è assente a monte una loro base giuridica ulteriore (22): rientrano in questa categoria l’art. 6.1.b GDPR, che ammette “il trattamento necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”; l’art. 6.1.d e l’art. 9.2.c GDPR, che consentono “il trattamento necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica”; l’art. 9.2.d GDPR, che autorizza il trattamento dei dati di determinate persone effettuato da alcuni enti senza scopo di lucro purché i dati non vengano comunicati all’esterno dell’ente; forse l’art. 9.2.e GDPR, che dichiara libero il trattamento che riguarda “dati personali resi manifestamente pubblici dall’interessato” (23); l’art. 9.2.f GDPR, che ammette il trattamento “necessario per accertare, esercitare o difendere un diritto in sede giudiziaria e ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni”; l’art. 9.2.g GDPR, che autorizza il trattamento “necessario per motivi di interesse pubblico rilevante”; gli artt. 9.2.h e 9.2.i GDPR, che liberalizzano nella giurisprudenza 2018, 545 ss.; Donini, Tecniche avanzate di analisi dei dati e protezione dei lavoratori, in Diritto delle relazioni industriali, 2018, 222 ss.; Guarella, Videosorveglianza occulta: tra diritto di riservatezza e legittimità del licenziamento, in Lavoro e previdenza oggi 2018, 355 ss.; Pizzoferrato, Gli effetti del GDPR sulla disciplina del trattamento aziendale dei dati del lavoratore, in Argomenti di diritto del lavoro, 2018, 1034 ss.. (21) Questa norma a differenza degli artt. 6 e 9 non prevede per la verità eccezioni già determinate ma rinvia alle discipline nazionali. (22) Queste eccezioni operano anche in difetto di qualsiasi altra base giuridica, ma sono comunque compatibili con una sua eventuale sussistenza, ed in questo caso potranno talvolta operare concretamente come le eccezioni che vedremo infra e che invece postulano la preesistenza di una base giuridica del trattamento e si limitano ad estenderne gli effetti. Le eccezioni del primo tipo tuttavia a differenza di quelle del secondo genere sono ragionevolmente insensibili all’eventuale venir meno della base giuridica originaria. Per un’argomentazione sintetica e per un’applicazione pratica di questo principio v. infra la nota 66. (23) In questa ipotesi ricorre certo spesso anche un consenso implicito. Tuttavia a me pare che la norma non intenda dare rilievo al consenso implicito ma piuttosto autorizzare il trattamento in presenza del fatto obiettivo della divulgazione. L’eccezione costituisce allora una base giuridica per il trattamento dei dati almeno potenzialmente alternativa al consenso dell’interessato.
572
DIRITTO DI INTERNET N. 4/2020
alcuni trattamenti per finalità mediche; l’art. 9.2.j, che ammette il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica, statistica o storica; ed infine l’art. 85 GDPR e le norme nazionali che vi danno attuazione, che complessivamente ammettono a certe condizioni il trattamento nell’esercizio delle libertà di espressione e di informazione (24). Altre eccezioni richiedono invece che già sussista una base giuridica che giustifichi alcuni trattamenti ma ne estendono gli effetti a utilizzazioni che non sono coperte dalla prima base giuridica: ed a questo secondo gruppo di norme appartengono l’art. 5 GDPR, secondo cui il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici va considerato “compatibile con le finalità iniziali” ex art. 89.1 GDPR; e forse alcune altre norme che discorrono di “titolare del trattamento” ed assumono con ciò implicitamente che sia già in atto un trattamento autorizzato (dall’interessato o dalla legge): ed in particolare l’art. 6.1.c GDPR, che ammette il trattamento necessario per adempiere un obbligo legale del titolare del trattamento; l’art. 6.1.e GDPR, che consente il trattamento necessario per l’esecuzione di un compito di interesse pubblico del titolare del trattamento; ed infine l’art. 6.1.f GDPR, che autorizza il trattamento necessario per realizzare un legittimo interesse del titolare del trattamento o di terzi, purché non prevalgano i diritti fondamentali dell’interessato”.
(24) Secondo l’art. 85 GDPR “il diritto degli Stati membri concilia la protezione dei dati personali […] con la libertà d’espressione e d’informazione”. Questa norma è stata attuata dagli artt. 136 ss. del codice privacy. In particolare l’art. 136 assoggetta alla disciplina dell’art. 137 il trattamento “effettuato nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità, b) effettuato dai soggetti iscritti nell’elenco dei pubblicisti o nel registro dei praticanti di cui agli articoli 26 e 33 della legge 3 febbraio 1963, n. 69, o c) finalizzato esclusivamente alla pubblicazione o diffusione anche occasionale di articoli, saggi e altre manifestazioni del pensiero anche nell’espressione accademica, artistica e letteraria”; e l’art. 137.1 prevede che nell’esercizio di queste attività indicate dall’art. 136 “i dati di cui agli artt. 9 e 10 del regolamento”, quelli sensibili, “possono essere trattati anche senza il consenso dell’interessato, nel rispetto delle regole deontologiche”, e l’argomento a fortiori suggerisce di riconoscere una scriminante analoga anche ai dati personali non sensibili. Il medesimo art. 137 precisa poi che questo trattamento che prescinde dal consenso deve svolgersi nel rispetto dei “limiti del diritto di cronaca a tutela dei diritti sui dati personali e, in particolare, di quello dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico”: e secondo un autore la norma allude a tutti i principi generali in tema di trattamento dei dati previsti dall’art. 5 GDPR, tra cui la lealtà della raccolta e l’utilizzazione limitata a quanto necessario per lo scopo perseguito (così sulla norma analoga prevista già dal codice privacy prima della novella Orofino, Trattamento dei dati personali e libertà di espressione e di informazione, in Califano - Colapietro, Innovazione tecnologica e valore della persona, cit., 522 ss.).
SAGGI 3. L’appartenenza dei diritti sui dati personali alla categoria della proprietà intellettuale
Ci si è chiesti se il diritto sui dati personali possa essere qualificato come un diritto “di proprietà intellettuale”. La legge non definisce questa categoria, e si dice anzi che le è propria una “mobilità tematica” (25): sicché l’appartenenza dei diritti sui dati personali alla categoria della proprietà intellettuale deve essere verificata sotto il profilo delle analogie tra i due diritti dal punto di vista della loro natura, struttura e funzione. Si discute quale sia la natura del diritto sui dati personali (26). E’ da tempo ampiamente condiviso che esso non si identifica più col diritto alla riservatezza (27); tuttavia alcuni autori sostengono che il diritto alla protezione dei dati personali abbia comunque una natura strettamente personalistica (28), mentre altri ritengono abbia una natura dualistica: e presenti in particolare un aspet (25) Spada, in Aa. Vv., Diritto industriale, Torino, 2011, 4 ss.; L.C. Ubertazzi, Introduzione, in Id, La proprietà intellettuale, Torino, 2011, 4. (26) La disputa sulla natura del diritto sui dati personali ha avuto specie in passato un rilievo pratico importante, perché secondo l’opinione dominante il consenso relativo ad attività confliggenti con un diritto della personalità è revocabile ad nutum (De Cupis, I diritti della personalità, in Cicu - Messineo, Trattato di diritto civile e commerciale, Milano, 1982, 546 s.; Capizzano, La tutela del diritto al nome civile, in Riv. dir. comm. 1962, I, 249 ss.; Tamburrino, Le persone fisiche, Torino, 1990, 106 ss.; Patti, Il consenso dell’interessato al trattamento dei dati personali, in Riv. dir. civ. 1999, II, 465; Galgano, Trattato di Diritto civile, Padova, 2010, I, 156 ss.; Trib. Milano 11 febbraio 2015, in AIDA 2016, 1744; per un’apertura cauta alla possibilità di rinunzie ai diritti della personalità vedi tuttavia in materia di diritti morali d’autore Cogo, I contratti di diritto d’autore nell’era digitale, Torino, 2010, 152 ss.), e secondo alcuni è efficace solo a favore della persona cui è stato prestato (V. per esempio Vercellone, Il diritto sul proprio ritratto, Torino, 1959, 149; Ricolfi, Il contratto di merchandising nel diritto dei segni distintivi, Milano, 1991, 433; Cogo, op. loc. citt.; Cass., 17 febbraio 2004, n. 3014; contra App. Milano 25 luglio 2003, in AIDA 2004, 986.): e così in passato i sostenitori della tesi dualistica avevano viceversa affermato l’irrevocabilità del consenso (vedi per tutti T.M. Ubertazzi, op. cit., 162 ss.). (27) Vedi ex multis L.C. Ubertazzi, I diritti d’autore e connessi, Milano, 2000, 185; Id, Banche dati e privacy, in Riv. dir. ind. 2002, I, 634; Id, Proprietà intellettuale e privacy, in AIDA 2014, 435 s.; Resta, in Alpa - Resta, Le persone fisiche e i diritti della personalità, in Sacco, Trattato di diritto civile, I, Torino, 2006, 575; Alpa, Prefazione, in Pardolesi, Diritto alla riservatezza e circolazione dei dati personali, Milano, 2005, X ss.; Ottolia, Proprietà intellettuale e trattamento dei dati personali: riflessioni su privacy “per il sistema” e “nel sistema”, in AIDA 2010, 325. (28) Vedi in particolare sul nuovo regolamento Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Il regolamento europeo 2016/679, Torino, 2016, II, 1 ss.; forse Thiene, Segretezza e riappropriazione di informazioni di carattere personale: riserbo e oblio nel nuovo regolamento europeo, in Nuove leggi civ. comm. 2017, 411 ss., che tuttavia discorre di “natura dualistica” del diritto sui dati ma rifiuta per altro verso l’impostazione “che distingue nettamente i profili patrimoniali e gli aspetti morali”; e sulla disciplina previgente al GDPR tra gli altri Busnelli, in Bianca - Busnelli, Tutela della privacy, ivi 1999, 229; Zeno-Zencovich, I diritti della personalità dopo la legge sulla protezione dei dati personali, in Studium iuris 1997, 466 ss.; più in generale per una ricostruzione dell’evoluzione dei diritti della personalità e delle opinioni in campo vedi per tutti Cassano e Soriano, I diritti della personalità: dall’actio inuriaum alle banche dati, in Vita not.
to di diritto della personalità ed uno di diritto patrimoniale (29). Oggi il tema della revocabilità del consenso è peraltro risolto dal GDPR, che ne prevede la possibilità ad nutum. I sostenitori della tesi della natura dualistica del diritto sui dati ne individuano la parte personalistica nelle norme che prevedono i diritti all’oblio (30), alla cancellazione dei dati, ed alla revoca del consenso (31), ma non anche nelle regole dedicate alle modalità di manifestazione del consenso ed in quelle sulla portabilità dei dati, che sembrano invece tutelare interessi in gran parte patrimoniali (32). Sempre i sostenitori della tesi della natura dualistica individuano invece il contenuto patrimoniale dei diritti sui dati nelle norme che stabiliscono il principio del consenso, e lo hanno sostenuto con ragionamenti diversi. In particolare un primo autore aveva sostenuto sotto il vigore della l. 675/1996 che il valore economico dei dati personali, la circostanza che la legge proteggeva anche i dati delle persone giuridiche ed il fatto che il trattamento dei dati doveva essere autorizzato dell’interessato rendevano manifesta la natura patrimoniale e disponibile dell’interesse tutelato (33): e ad eccezione della parte in cui muove dalla protezione dei dati delle persone giuridiche (34) l’argomento può essere riproposto nel sistema del GDPR, perché i dati hanno oggi ancor più di allora un valore economico e perché il GDPR ha mantenuto il principio del consenso (35). Un secondo autore sotto il vigore del testo originario del codice privacy del 2003 aveva aggiunto che i poteri di accesso, di rettifica e di cancellazione
1998, 481 ss.; Savorani, La notorietà della persona da interesse protetto a bene giuridico, Padova, 2000 passim; e T.M. Ubertazzi, cit., 81 ss.. (29) vedi sul GDPR Ottolia, Big data e innovazione computazionale, Torino, 2017, 114 s. e 120 ss.; e sulla disciplina precedente L.C. Ubertazzi, I diritti d’autore e connessi, Milano, 2000, 185; Id, Banche dati e privacy, in Riv. dir. ind. 2002, I, 632 s.; Id, Proprietà intellettuale e privacy, in AIDA 2014, 435 s.; T.M. Ubertazzi, cit., 161. (30) L.C. Ubertazzi, op. ult. cit., 436, in nota; G. Carraro, Il pentimento dell’autore come diritto fondamentale, in AIDA 2016, 569 ss.; Ottolia, op. ult. cit., 122. (31) Ottolia, op. ult. loc. citt.. (32) Ottolia, op. ult. cit., 121. (33) L.C. Ubertazzi, I diritti d’autore e connessi, Milano, 2000, 185; Id, Banche dati e privacy, in Riv. dir. ind., 2002, I, 663 s.. (34) Infatti il GDPR non considera più i dati delle persone giuridiche, che sono invece materia del regolamento 1807/2018, ove se ne prevede la libera circolazione (per un approfondimento su questa nuova disciplina rinvio al saggio di Cavo, Il Regolamento europeo sulla libera circolazione dei dati non personali tra benefici e criticità, in questa annata della Rivista, 207 ss.). (35) Ottolia, op. ult. cit., 114 ha però osservato che il principio del consenso dell’avente diritto non si applica solo ai diritti patrimoniali ma anche ai diritti della personalità, sicché il fatto che la legge ammetta il consenso dell’interessato non dimostrerebbe di per sé la natura patrimoniale del diritto.
DIRITTO DI INTERNET N. 4/2020
573
SAGGI dei dati attribuiti all’interessato avevano la funzione di incentivarlo ad autorizzare il trattamento dei suoi dati, miravano dunque ad agevolare la creazione di banche dati, e dimostravano in definitiva la funzione di scambio economico del consenso e la natura patrimoniale del relativo diritto (36): e questa osservazione può a maggior ragione essere riproposta oggi, poiché i poteri di intervento dell’interessato previsti dal GDPR sono ancora più ampi rispetto a quelli attribuiti dalle discipline precedenti. Un terzo autore ha poi osservato più di recente che il GDPR prevede una disciplina diversa per i dati personali semplici e per quelli sensibili, riduce i costi di transazione per alcuni trattamenti funzionali a fini imprenditoriali ed affievolisce talora la tutela dei dati quando sussistono rapporti contrattuali tra interessato ed utilizzatore: e dimostra con ciò di bilanciare gli interessi dell’impresa con quelli della persona, il che non è compatibile con una ricostruzione del diritto sui dati puramente personalistica, perché gli interessi d’impresa dovrebbero invece cedere di fronte ad un diritto della personalità (37). Alcuni hanno proposto di qualificare l’aspetto patrimoniale del diritto sui dati personali come diritto di proprietà, ed uno di questi autori ha soggiunto che si tratta comunque di “proprietà” intesa in senso atecnico perché il vero diritto di proprietà civilistico prevede non solo uno ius excludendi (negativo) ma anche uno ius utendi (positivo) che non trova corrispondenza nell’aspetto patrimonialistico delle regole sui dati (38), mentre altri autori parlano invece di proprietà in senso tecnico (39); contro le qualificazioni in termini proprietari un autore ha sostenuto che la disciplina sui dati non ammette una spogliazione definitiva, il che la differenzierebbe palesemente dalla proprietà civilistica (40); ma a questa obiezione si è replicato che il diritto di proprietà ha sempre convissuto ed è sempre stato considerato compatibile con limiti anche stringenti al potere di disposizione del diritto (41). Si discute altresì sulla struttura del diritto sui dati personali. E’ certo che la disciplina del GDPR prevede anche (36) T.M. Ubertazzi, op. cit., 161. (37) Ottolia, op. ult. cit., 114 s.. (38) L.C. Ubertazzi, I diritti d’autore e connessi, cit., 184; Id, Banche dati e privacy, cit., 633; Ottolia, op. ult. cit., 119. (39) Lessig, Code and other laws of Cyberspace, New York, 1999, 160 ss.; e Murphy, Property rights in personal information: an economic defence of privacy, in Geo. L. J., 1996, 2381. (40) Resta, in Alpa - Resta, cit., 571. (41) Ottolia, Proprietà intellettuale e trattamento dei dati personali: riflessioni su privacy «per il sistema» e «nel sistema», cit., 325, in nota; il medesimo autore ha riproposto la medesima tesi anche dopo l’entrata in vigore del GDPR e nonostante vi sia prevista la facoltà dell’interessato di revocare il consenso al trattamento dei propri dati: Ottolia, Big data e innovazione computazionale, cit., 119 ss..
574
DIRITTO DI INTERNET N. 4/2020
alcuni poteri che hanno un contenuto positivo. I sostenitori della tesi personalistica vedono allora nel diritto alla privacy un diritto a struttura mista. I sostenitori della natura dualistica del diritto sui dati personali osservano però che il contenuto positivo è tipico solamente della componente personalistica del diritto sui dati, mentre il suo aspetto patrimoniale ha un contenuto puramente negativo di escludere gli altri dal trattamento dei dati (42). Si discute infine sulla funzione del diritto sui dati personali. A questo proposito un autore ha osservato che la disciplina dei dati prevede alcune regole che tutelano direttamente gli interessi privati dell’interessato ed indirettamente quelli della collettività, e precisamente quelle che stabiliscono il principio del consenso; ed altre regole che invece tutelano direttamente i terzi e la collettività, e precisamente quelle che prevedono eccezioni a questo principio (43). Inoltre la disciplina della privacy ha tra le sue finalità quella di incentivare la circolazione dei dati, e la persegue in particolare incoraggiando l’interessato a prestare il consenso attribuendogli i vari poteri già ricordati, e tutela con ciò anche gli interessi privati degli imprenditori (44). Alcuni tra gli autori secondo cui il diritto sui dati personali ha una natura dualistica, ha una struttura negativa nel suo aspetto patrimoniale ed ha la funzione di tutelare interessi contrapposti e di incentivare la circolazione dei dati ritengono che queste caratteristiche rendano il diritto sui dati assai simile ai diritti esclusivi di proprietà intellettuale. E questo perché anche i diritti IP hanno (talvolta) una natura dualistica (45); hanno una struttura negativa nella loro componente patrimoniale (46); ed infine tutelano sia gli interessi dei titolari delle privative (con i diritti esclusivi) sia quelli dei terzi (già indirettamente con l’esclusiva e direttamente con le eccezioni) (47), ed hanno la funzione di favorire la circolazione
(42) T.M. Ubertazzi, cit., 81 ss.; L.C. Ubertazzi, Proprietà intellettuale e privacy, in AIDA 2014, 435 s.; Ottolia, op. ult. cit., 119, che tuttavia riconduce all’aspetto patrimoniale del diritto sui dati anche alcune delle facoltà di controllo. (43) T.M. Ubertazzi, op. cit., 148 ss.. (44) Ottolia, op. ult. cit., 113; vedi inoltre sul codice privacy del 2003 T.M. Ubertazzi, cit., 161; Pardolesi, in Id, Diritto alla riservatezza e circolazione dei dati personali, Milano, 2005, 35; e Resta, in Alpa e Resta, Le persone fisiche e i diritti della personalità, in Sacco, Trattato di diritto civile, I, Torino, 2006, 571. (45) Ne è un esempio (almeno in Italia) il diritto d’autore, che si divide in diritti patrimoniali e diritti morali (L.C. Ubertazzi, op. ult. cit., 435 s.; Ottolia, op. ult. cit., 120). (46) L.C. Ubertazzi, op. ult. loc. citt.; Ottolia, op. ult. cit., 119. (47) L.C. Ubertazzi, I diritti d’autore e connessi, loc. cit..
SAGGI dei beni oggetto dei diritti esclusivi (48). Un autore ritiene però che tra la funzione del diritto sui dati e quella della proprietà intellettuale sussisterebbe anche una differenza importante: perché la proprietà intellettuale vuole incentivare non solo la circolazione ma anche la creazione dei beni oggetto delle privative, mentre i dati esistono già in natura (49). Gli autori secondo cui il diritto sui dati e i diritti di proprietà intellettuale presentano forti analogie di natura, struttura e funzione concordano che il primo è come i secondi un diritto esclusivo di tipo dominicale (50). In particolare un autore ha affermato espressamente che si tratta di un diritto di proprietà intellettuale (51); mentre un altro autore ha precisato che diversamente dalla disciplina della proprietà intellettuale quella della privacy non ammette atti definitivamente traslativi che pongano l’acquirente nella medesima posizione del cedente, e neppure consente di applicare lo schema del trasferimento di diritti parziari caratteristico per esempio del diritto d’autore (52).
4. Sovrapposizioni tra diritti di proprietà intellettuale e diritti sui dati personali
Il concetto di dato è assai ampio, e nella definizione che ne fornisce l’art. 4 GDPR si estende a “qualsiasi informazione riguardante una persona fisica indentificata o identificabile”. E così anzitutto i dati personali possono far parte di un’invenzione ed eventualmente comparire nelle rivendicazioni: e questo può accadere ad esempio per alcune soluzioni di problemi tecnici raggiunte grazie all’elaborazione computazionale dei dati genetici (53). Del resto i dati personali possono probabilmente essere l’oggetto di segreti industriali (54). Inoltre i dati perso (48) Ottolia, op. ult. cit., 113. (49) Pardolesi, Diritto alla riservatezza, in Id, Diritto alla riservatezza e circolazione dei dati personali, Milano, 2003, 55. Cfr. altresì Cassano, Diritto dell’Internet. Il sistema di tutele della persona, Milano, 2005. (50) Ottolia, op. ult. cit., 119; L.C. Ubertazzi, I diritti d’autore e connessi, loc. cit.. (51) L.C. Ubertazzi, op. ult. loc. citt.. (52) Ottolia, op. ult. cit., 117 s.. (53) Ottolia, Dati genetici (ed altre materie prime) nell’innovazione bioinformatica, in Olivieri, Arezzo e Falce, Confine e fonti dell’innovazione biotecnologica, Milano, 2014, 220. (54) Malgieri, Property and (Intellectual) Ownership of Consumers’ Information A New Taxonomy for Personal Data, in Privacy in Germany 2016, 133 ss.; Ottolia, Big data e innovazione computazionale, cit., 43 ss.; Banterle, The Interface between Data Protection and IP Law: The Case of Trade Secrets and the Database sui generis Right in Marketing Operations, and the Ownership of Raw Data in Big Data Analysis, in Aa. Vv., Personal Data in Competition, Consumer Protection and Intellectual Property Law, New York, 2018, 411 ss..; ed ancora Ottolia, Il d.lgs. n. 63/18 di attuazione della dir. 2016/943/ue sulla protezione dei segreti commerciali fra tutela e bilanciamenti, in Nuove leggi civ. comm. 2019, 1091 ss..
nali possono far parte di un segno distintivo, tipicamente quando il segno è un nome, un’immagine od anche secondo quanto dirò tra poco un’opera dell’ingegno. Ulteriormente i dati personali possono essere contenuti in un’opera dell’ingegno protetta dal diritto d’autore: già perché essa esprime spesso pensieri e sentimenti del suo autore, e lo fa con forme che per essere creative debbono necessariamente essere personali (55); ed inoltre perché un’opera può incorporare dati di persone diverse dal suo autore, ed hanno questa caratteristica per esempio alcune banche dati, le biografie e gli articoli di giornale, oppure ancora i ritratti realizzati con opere fotografiche o pittoriche. Infine i dati personali possono essere oggetto di diritti connessi: nelle loro esibizioni gli artisti esprimono a tacer d’altro il loro aspetto, la loro voce, e le loro movenze; il ritratto fotografico non creativo fissa le sembianze e l’espressione del suo soggetto; e la corrispondenza epistolare è notoriamente una miniera di informazioni personali relative al mittente ed al destinatario (56). In tutte queste situazioni l’invenzione, l’oggetto del segreto, l’opera dell’ingegno o l’oggetto del diritto connesso contengono “informazioni” che molto spesso si riferiscono ad un soggetto almeno “identificabile”, rientrano dunque nella nozione dell’art. 4 GDPR, e sono per questa ragione soggette alle regole del GDPR (57). Quando l’oggetto di un diritto di proprietà intellettuale contiene (anche) dati personali sono applicabili in astratto sia le regole della proprietà intellettuale sia quelle che riguardano i dati. E’ da chiedersi se una delle due discipline possa essere esclusa secondo il principio di specialità. A questo proposito alcuni autori hanno osservato che i diritti di proprietà intellettuale e quelli sui
(55) L.C. Ubertazzi, op. ult. cit., 186. (56) L.C. Ubertazzi, op. ult. loc. citt.. In particolare sono numerose le decisioni giurisprudenziali che considerano il ritratto fotografico anche come veicolo di dati personali della persona ritratta: vedi per esempio tra le più recenti Trib. Bari ord. 7 novembre 2019, in questa annata della Rivista, 87 ss., con nota firmata di Maggi, Consenso e tutela del diritto all’immagine del minore: tra diritto della personalità e protezione dei dati personali. (57) Se invece il dato si riferisce a soggetti non identificabili non entra in considerazione il GDPR, poiché il suo art. 4 assoggetta alla disciplina dei dati personali solo le informazioni relative a persone “identificabili”; per conseguenza è viceversa libera l’utilizzazione di dati anonimi. Non è tuttavia chiaro quando un dato possa dirsi davvero anonimo, perché sovente è difficile eliminare la possibilità di associazione tra i dati e la persona: e sul tema vedi Ohm, Broken promises of privacy: responding to the surprising failure of anonymization, in Ucla Law Review 2010, 1701 ss.; Banterle, Brevi cenni sulla titolarità dei dati comportamentali nei big data tra privacy e proprietà intellettuale, in AIDA 2016, 583; Cavoukian - Elemam, Dispelling the myths surrounding de-identification: Anonymization remains a strong tool for protecting privacy, in IPC 2011, 1 ss.; D’acquisto - Naldi, Big Data e Privacy By Design, Anonimizzazione Pseudonimizzazione Sicurezza, Torino, 2017, 158; e Finocchiaro, Il contratto nell’era dell’intelligenza artificiale, in Riv. trim. dir e proc. civ., 2018, 441.
DIRITTO DI INTERNET N. 4/2020
575
SAGGI dati hanno oggetti differenti che possono sovrapporsi e coincidere solo in via di fatto, ed hanno pertanto sostenuto che è tendenzialmente impossibile individuare un rapporto di specialità che escluda l’applicazione di una delle due discipline, che vanno pertanto applicate congiuntamente (58). Questa tesi mi sembra condivisibile: e per conseguenza un bene immateriale che contiene dati personali può essere utilizzato solamente quando lo permettono sia le regole della proprietà intellettuale sia quelle relative ai dati personali.
5. Un primo confronto tra le eccezioni e limitazioni relative ai diritti d’autore e rispettivamente ai dati personali
Le considerazioni che ho esposto qui sopra riguardano tutti i diritti di proprietà intellettuale; mi limito qui ad una prima analisi di alcune delle loro conseguenze in materia di diritto d’autore, ed in particolare circoscrivo il tema alla possibilità di realizzare utilizzazioni di un’opera dell’ingegno che non sono state autorizzate dall’autore né dall’interessato. In questi casi l’opera dell’ingegno può essere utilizzata solamente se lo consentono contemporaneamente un’eccezione al diritto d’autore ed una omologa relativa al diritto dell’interessato di autorizzare o vietare il trattamento dei suoi dati: e procedo pertanto ad una prima ricerca della corrispondenza delle eccezioni relative al diritto d’autore nella disciplina dei dati e viceversa. In questo confronto considero solamente il diritto vigente in Italia, e dunque per la disciplina dei dati il GDPR e per quella del diritto d’autore la l. 633/1941 (“l.a.”), che a sua volta incorpora le eccezioni provenienti dal diritto UE. Segnalo per completezza che di recente la UE ha adottato la direttiva 790/2019 (direttiva “digital copyright”), che richiede agli Stati di prevedere alcune nuove eccezioni e limitazioni al diritto d’autore. Questa direttiva non è ancora stata attuata in Italia; del resto molte delle sue norme lasciano ai singoli Stati margini di manovra consistenti nella loro attuazione; pertanto la corrispondenza di queste nuove eccezioni nel GDPR dipenderà in parte da come esse verranno disciplinate nel diritto nazionale (59). Per queste ragioni mi astengo
(58) L.C. Ubertazzi, op. ult. cit., 187; e sul caso simile dei rapporti tra dati personali e diritto all’immagine T.M. Ubertazzi, Dubbi sulla revocabilità del consenso all’utilizzazione dell’immagine, in Foro it. 2009, I, 2730, secondo cui il consenso all’utilizzazione dell’immagine deve essere prestato conformemente alle norme sulla privacy, ed inoltre Urciuoli, Autonomia negoziale e diritto all’immagine, Napoli, 2000, 182; ed in giurisprudenza Trib. Roma 12 marzo 2003, in Danno e resp. 2005, 879. (59) Segnalo inoltre che alcune delle eccezioni previste dalla direttiva digital copyright ed in particolare quelle regolate dagli artt. 4 e 8 sono in rapporti delicati col divieto delle formalità costitutive previsto dall’art. 5.2 della convenzione di unione di Berna: ed in particolare la loro compatibilità con questo divieto unionista dipenderà da come esse verranno
576
DIRITTO DI INTERNET N. 4/2020
per ora dal considerare ulteriormente la direttiva digital copyright; il confronto tra eccezioni al diritto d’autore ed eccezioni all’esclusiva sui dati dovrà essere tuttavia aggiornato all’esito del recepimento della direttiva ora ricordata nel diritto italiano: e mi propongo di provvedervi in un lavoro futuro. Il sistema delle eccezioni in materia di dati personali presenta due differenze generali rispetto alla disciplina corrispondente di diritto d’autore. Anzitutto è opinione diffusa che la seconda richieda sempre che l’opera sia già stata resa accessibile al pubblico col consenso dell’autore (60); mentre le eccezioni previste dal GDPR sono talora applicabili anche in difetto di alcun consenso dell’interessato, e dunque anche se questi non ha dato la sua autorizzazione neppure alla raccolta del dato: e così un’opera inedita che contiene dati personali potrà eventualmente essere utilizzata secondo le regole sui dati ma non secondo quelle che riguardano il diritto d’autore. Inoltre le eccezioni al diritto d’autore derogano soltanto ai diritti di esclusiva patrimoniali e non incidono viceversa sui diritti dell’autore di natura personalistica detti “diritti morali”, mentre alcune di quelle in materia di dati derogano non solo al principio del consenso ma anche ad altri diritti dell’interessato tra cui quello di natura personalistica all’oblio: ed in particolare l’art. 17.3 prevede una serie di eccezioni a questo diritto le cui fattispecie corrispondono per la gran parte a quelle di alcune eccezioni al principio consensualistico: sicché almeno di fatto alcune eccezioni alla regola del consenso possono paralizzare anche l’esercizio del diritto all’oblio. Le eccezioni previste dalla l.a. trovano spesso una corrispondenza nella disciplina dei dati. Anzitutto le prime potrebbero essere forse tutte generalmente ammesse anche dalla seconda quando tutti gli interessati abbiano partecipato alla pubblicazione dell’opera, e reso così i loro dati ivi contenuti “manifestamente pubblici” e dunque liberamente utilizzabili ex art. 9.2.e GDPR. Questa norma non opera tuttavia per i dati degli interessati che non abbiano partecipato alla pubblicazione, poiché essi non potranno dirsi “resi manifestamente pubblici dall’interessato”: ed in questi casi occorrerà allora chiedersi se le singole eccezioni al diritto d’autore trovano
attuate dal legislatore nazionale (così Servanzi, I sistemi di opt out dalle eccezioni e limitazioni, in corso di pubblicazione in AIDA 2020). Ed anche per questa ragione sarebbe prematuro trattare qui anche le eccezioni previste dalla direttiva digital copyright. (60) Così Ascarelli, Teoria della concorrenza e dei beni immateriali, III ed., Milano, 1960, 743; Greco - Vercellone, I diritti sulle opere dell’ingegno, Torino, 1974, 165; Galletti, Le utilizzazioni libere: copia privata, in AIDA 2002, 173; Pret. Roma, 4 aprile 1973, in AIDA 73, 352.
SAGGI corrispondenza in quelle relative ai dati (61). Gli artt. 65 e 66 l.a. sembrano trovare in linea di massima una corrispondenza nella disciplina della libera utilizzabilità dei dati per finalità di pubblica informazione, prevista dall’art. 85 GDPR, attuato in Italia dagli artt. 136 ss. del codice privacy novellato (62). L’art. 67 l.a. ha certamente corrispondenza nella disciplina dei dati nella parte che autorizza le utilizzazioni per fini di pubblica sicurezza o riguarda i giudizi penali: poiché il trattamento giustificato da queste finalità è al di fuori del campo di applicazione del GDPR ex art. 2.2.c (63); e trova inoltre corrispondenza nell’art. 9.2.f GDPR nella parte dell’articolo che consente i trattamenti nell’ambito dei giudizi anche civili e amministrativi. Gli artt. 68.1, 68.3-6 71 bis e 71-sexies ss. l.a. disciplinano la copia privata, e perciò trovano corrispondenza nella disciplina dei dati: poiché il trattamento giustificato da queste finalità è al di fuori del campo di applicazione del GDPR ex art. 2.2.c (64). Le norme contenute negli artt. 68.2, 69, 69 bis ss., 71 ter e 71 quater l.a. esprimono un favor per le attività di ricerca e potrebbero pertanto rientrare nell’eccezione prevista dall’art. 9.2.j GDPR. L’art. 68 bis l.a. trova corrispondenza nella disciplina dei dati: perché se la riproduzione temporanea è effettuata dall’utilizzatore privato allora essa dovrebbe collocarsi fuori dal campo del GDPR ex art. 2.2.c; se invece è realizzata dal fornitore di servizi allora essa è liberalizzata dagli artt. 12 ss. della direttiva 31/2000, che sono sicuramente applicabili anche perché vi rinvia l’art. 2.4 GDPR. L’art. 70 l.a. sembra (61) Procedo qui allora ad una prima ricerca breve e necessariamente sommaria della corrispondenza delle principali eccezioni previste dalla l.a. nel GDPR. L’esposizione segue tendenzialmente l’ordine della l.a., ma sono tra loro accorpate le eccezioni che trovano corrispondenza nella medesima norma del GDPR. (62) La disciplina della l.a. potrebbe tuttavia avere sotto questo profilo un’applicazione per alcuni aspetti più circoscritta e per altri più estesa rispetto a quella relativa ai dati. Più circoscritta perché gli artt. 65 e 66 l.a. paiono accontentarsi di una funzionalità dell’utilizzazione dell’opera dell’ingegno alle finalità informative (sul punto vedi i commenti di Servanzi, sub artt. 65 e 66 l.a., in Ubertazzi, Commentario breve alle leggi su proprietà intellettuale e concorrenza, Milano, 2019), mentre il codice privacy richiede l’essenzialità dell’uso del dato ai fini di esercizio della libertà di espressione. Più ampia perché la legge d’autore liberalizza solo la riproduzione di alcuni tipi di opere in alcuni luoghi di ripubblicazione, mentre le regole sui dati non prevedono limiti di questo genere: e così per esempio la ripubblicazione di un articolo di attualità su un supporto di carattere durevole potrebbe essere libera secondo il diritto sui dati, ma sarà probabilmente illecita per il diritto d’autore (sul diritto d’autore v. ancora i commenti di Servanzi, op. loc. citt.). (63) Questa norma stabilisce infatti che il regolamento non si applica (tra l’altro) ai trattamenti “effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse”. (64) Questa norma prevede infatti che il regolamento non si applica (tra l’altro) ai trattamenti “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”.
riconducibile talvolta all’art. 9.2.j e talvolta all’art. 85 GDPR (ed agli artt. 136 ss. codice privacy) nella parte in cui ammette la citazione a fini di discussione o critica, mentre trova più difficilmente corrispondenza nel GDPR nella parte in cui liberalizza alcune utilizzazioni a fini didattici. L’art. 71 l.a. non sembra avere una corrispondenza nel GDPR. Le eccezioni previste dal GDPR trovano raramente una corrispondenza sicura e precisa nel diritto d’autore (65). L’art. 6.1.b GDPR riguarda casi in cui l’autore ha ragionevolmente prestato un consenso quantomeno implicitamente anche all’utilizzazione dell’opera dell’ingegno (66). L’art. 6.1.d GDPR è secondo un autore “inapplicabile al diritto d’autore” (67), ed è in effetti poco immediato immaginare casi pratici in cui la salvaguardia degli interessi vitali di persone richieda di utilizzare opere dell’ingegno (68). L’art. 9.2.d e l’art. 9.2.e GDPR non hanno corrispondenza nella l.a. (69). (65) Anche questo confronto è necessariamente sommario. L’esposizione segue il medesimo ordine che ho seguito nel descrivere il sistema delle eccezioni del GDPR nel par. 2: e cioè prima quelle che costituiscono una base giuridica del trattamento autonoma e poi quelle che ampliano gli effetti di una base preesistente. (66) Così aveva sostenuto L.C. Ubertazzi, I diritti d’autore e connessi, cit., 187 nell’interpretare gli artt. 12.1.b e 20.1.a della l. 675/1996, che avevano un contenuto analogo all’attuale art. 6.1.b GDPR. Sembra che le utilizzazioni dei dati consentite da questa norma abbiano la loro fonte di legittimazione non nel consenso al trattamento ma nel “contratto di cui è parte l’interessato”, e che per questa ragione non possano essere impedite con l’esercizio del diritto di revoca del consenso (Pelino, Condizioni di liceità dell’art, 6.1, in Bolognini - Pelino - Bistolfi, op. cit., 288.). Questa norma potrebbe dunque essere utile per risolvere una possibile interferenza tra il sistema dei dati e quello del diritto d’autore, che si verificherebbe quando l’autore abbia autorizzato sia l’utilizzazione dell’opera dell’ingegno sia quella dei propri dati ivi contenuti ma revochi successivamente il consenso al trattamento dei propri dati ex art. 7.3 GDPR: poiché nonostante la revoca del consenso l’utilizzazione dei dati sarebbe comunque lecita ex art. 6.1.b in quanto necessaria per l’esecuzione del contratto di diritto d’autore. E così per esempio l’autore che stipula un contratto di edizione o di licenza non potrà in seguito chiedere il ritiro dell’opera dal commercio facendo valere la natura di dato personale della sua forma espressiva. Certo in questi casi sarà normalmente applicabile l’art. 9.2.e GDPR sui dati resi manifestamente pubblici dall’interessato, ma l’art. 6.1.b dovrebbe risolvere la interferenza ora immaginata anche nel caso in cui per qualsiasi ragione dovesse essere inapplicabile l’art. 9.2.e. (67) L.C. Ubertazzi, op. ult. loc. citt., nell’interpretare l’art. 20.1.f l. 675/1996, che aveva un contenuto analogo all’attuale art. 6.1.d GDPR. (68) A me pare peraltro che nel caso limite in cui questa esigenza si dovesse porre, (ed penso soprattutto ad alcune banche dati creative) l’utilizzazione dell’opera dell’ingegno dovrebbe comunque essere ammessa dalla scriminante generale dello “stato di necessità” prevista dall’art. 2045 c.c., che tuttavia a differenza dell’art. 6.1.d GDPR richiede il pagamento di un’indennità. (69) Quanto in particolare all’art. 9.2.e è chiaro che sarebbe incompatibile con ogni logica del diritto d’autore prevedere una generale libera utilizzabilità delle opere dell’ingegno divulgate. Viceversa abbiamo visto che l’art. 9.2.e GDPR nel caso individuato all’inizio di questo paragrafo consente probabilmente sempre l’utilizzazione libera dei dati contenuti
DIRITTO DI INTERNET N. 4/2020
577
SAGGI L’art. 9.2.f GDPR ha corrispondenza completa nell’art. 67 l.a.. L’art. 9.2.g e l’art. 9.2.h GDPR non hanno una corrispondenza nella l.a. (70). L’art. 9.2.i GDPR ha una corrispondenza parziale nella parte dell’art. 67 l.a. che riguarda le utilizzazioni funzionali a garantire la sicurezza pubblica. L’art. 9.2.j GDPR può eventualmente trovare una corrispondenza nella disciplina della citazione ex art. 70 l.a.; si tratta di norme strutturate così diversamente che ne è impossibile un confronto completo sul piano astratto, e mi limito allora ad osservare che l’art. 70 l.a. ha un’applicazione più circoscritta poiché permette soltanto la riproduzione parziale dell’opera, e così per esempio la riproduzione integrale dell’opera dell’ingegno a fini di ricerca sarebbe ammessa dal GDPR ma non dalla l.a.. Gli artt. 85 GDPR e 136 ss. del codice privacy corrispondono in gran parte agli artt. 65 e 66 l.a., e del tema ho parlato nel capoverso precedente. La seconda parte dell’art. 5.1.b GDPR riguarda la medesima fattispecie liberalizzata dall’art. 9.2.j, e dunque corrisponde alle medesime norme ricordate pocanzi. L’art. 6.1.c GDPR è secondo un’opinione “inapplicabile al diritto d’autore” (71), ed è in effetti poco immediato esemplificare situazioni in cui l’utilizzazione di un’opera dell’ingegno sia imposta dalla legge (72). L’art. 6.1.e GDPR non ha una corrispondenza nel diritto d’autore facilmente riconoscibile, ma la fattispecie considerata da questa norma potrebbe a volte rientrare nei “fini di pubblica sicurezza” ex art. 67 l.a. (73). L’art. 6.1.f GDPR non ha una corrispondenza nel diritto d’autore.
in opere dell’ingegno pubblicate col consenso di tutti gli interessati coinvolti. (70) Mi pare tuttavia che nei casi più gravi i trattamenti che l’art. 9.2.h GDPR consente per i dati dovrebbero essere comunque ammessi anche per l’opera dell’ingegno secondo la scriminante generale dello stato di necessità. (71) L.C. Ubertazzi, op. ult. loc. citt., nell’interpretare la regola analoga contenuta nell’art. 20.1.c della legge 675/1996. (72) A me pare peraltro che nel caso limite in cui questa esigenza si dovesse porre l’utilizzazione dell’opera dell’ingegno potrebbe comunque essere talvolta ammessa dalla scriminante generale dell’esercizio di un diritto o adempimento di un dovere prevista dall’art. 51 c.p., secondo cui “l’adempimento di un dovere imposto da una norma giuridica o da un ordine legittimo della pubblica autorità esclude la punibilità”. (73) Resta da osservare che l’art. 6.1.e GDPR sembra applicabile non solo ai soggetti pubblici ma anche a quelli privati che svolgono un “compito di interesse pubblico”. Non è invece sicuro se anche la scriminante dei fini di pubblica sicurezza prevista dall’art. 67 l.a. possa essere invocata dai privati investiti di compiti di interesse pubblico. La Corte di giustizia ritiene che gli Stati possono estendere l’eccezione dei fini di pubblica sicurezza ai privati solo se questi operano di concerto con le autorità pubbliche competenti: perché la sua estensione tout court ai privati non rispetterebbe il principio di proporzionalità (CGUE 1 dicembre 2011, in causa C-145/10, in AIDA 2012, 1463); ed un autore sostiene che il “concerto con le autorità pubbliche” richiesto dalla Corte di giustizia non potrebbe essere integrato da una generale attribuzione a privati di com-
578
DIRITTO DI INTERNET N. 4/2020
piti di pubblica sicurezza (Ottolia, in nota a CGUE 1 dicembre 2011, in AIDA 2012, 1463).
SAGGI
Economia digitale, significativa presenza economica e tassazione di Francesca Stradini Sommario: 1. Globalizzazione ed economia digitale: i mutamenti delle forme di mercato e la stabile organizzazione. 2. L’istituto della stabile organizzazione tra BEPS, Convenzione multilaterale e art. 5 Modello OCSE. 3. La normativa interna: le modifiche all’art. 162 Tuir tra norme convenzionali non vincolanti e scelte dettate dall’economia digitale. 4. Considerazioni conclusive sul ruolo della stabile organizzazione: riflessioni a margine tra diritto europeo, convenzionale ed interno e lotta all’evasione. Differenti e notevoli sono le ripercussioni dell’economia digitale anche in ambito fiscale. Una di queste va ad influire sull’istituto della stabile organizzazione. Sarà fondamentale considerare l’approccio interno, convenzionale e europeo relativo alla stabile organizzazione virtuale. The repercussions of digital economy are different and remarkable also in the tax area. One of these affects the permanent establishment. I twill be essential to consider the internal, conventional (OCSE and BEPS) ed European approach to permanent establishment on line.
1. Globalizzazione ed economia digitale: i mutamenti delle forme di mercato e la stabile organizzazione
Notevoli sono le ripercussioni, anche in ambito fiscale, causate dai mutamenti economici e commerciali del mercato connessi alla cosiddetta digital economy. Infatti questa nuova e differente forma di mercato accompagnata dall’evoluzione delle tecniche di telecomunicazione digitale – quali la diffusione di bitcoin, l’intermediazione dei servizi, la pubblicità on line, blog, social network, giochi o scommesse su piattaforme on line – produce forme e indici “diversi” di ricchezza interessanti anche dal punto di vista impositivo (1). Ciò viene in considerazione proprio in relazione all’istituto della stabile organizzazione in merito alla stessa definizione nonchè alla
(1) Tra gli altri si vedano Cipollina, I redditi nomadi delle società multinazionali nell’economia globalizzata, in Rivista di diritto finanziario e scienza della finanze, 2014, 30; Salvini, La strategia “anti”_BEPS nell’economia digitale: la revisione del criterio di collegamento, in Rassegna tributaria, 2017, 864; Micossi, La fiscalità d’impresa nel nuovo mondo globale e digitalizzato, in Note e Studi, 2017, 2; Ferroni, Stabile organizzazione: la disciplina nazionale si adegua al BEPS e introduce la “continuativa presenza economica”, in Il fisco, 2018, 632; Gaiani, La “nuova” stabile organizzazione sotto la lente di Assonime, in Il fisco, 2018, 2863; Uricchio - Spinapolice, La corsa ad ostacoli della web taxation, in Rassegna tributaria, 2018, 451; Vicini Ronchetti, Principio di territorialità versus residenza: riflessioni sulla tassazione alla fonte e connesse problematiche legate alle perdite fiscali, in Rassegna tributaria, 2018, 103; Avolio, La nuova definizione di stabile organizzazione, in Rivista di diritto tributario, 2018, 265; Guarino, La nozione di stabile organizzazione nell’era dell’economia digitale, in Corr. Trib., 2018, 76; Id., Quando la presenza di obbligazioni a carico dell’agente non configura una stabile organizzazione?, in Corr. Trib., 2018, 1431.
funzione che è chiamata a svolgere (2) nell’intercettare materia imponibile transnazionale (3), tanto ai fini iva quanto ai fini delle imposte dirette.
(2) Ai fini dell’imposizione diretta il Modello OCSE con i suoi due articoli, il 5 ed il 7, consente di comprendere la definizione e la funzione di tale istituto. In particolare la funzione, ex art. 7, è quella di ripartire materia imponibile transnazionale laddove è individuabile tale istituto: infatti gli utili attribuibili alla stabile organizzazione sono imponibili nel paese contraente dove la stessa è situata. Per contro la definizione, ex art. 5, consente di individuare tre fattispecie: la stabile organizzazione materiale, quella personale ed infine quella da cantiere. Ognuna di queste ha suoi precisi e distinti presupposti. La prima, quella materiale, va ricercata in una sede fissa di affari attraverso la quale l’impresa non residente esercita in tutto o in parte la sua principale attività: fissità, strumentalità, attività principale e non preparatoria sono dunque i requisiti essenziali di questa ipotesi. La stabile organizzazione da cantiere è invece ancorata al fattore tempo vale a dire alla durata temporale di un cantiere di costruzione, navale o di montaggio. Infine quella personale è connessa al potere abituale di concludere contratti in nome e per conto della impresa madre. Ai fini iva, l’importanza della stabile organizzazione e/o centro di attività stabile si evince dalla VI Direttiva IVA (Direttiva del Consiglio 17/5/1977, 77/388/CEE, in materia di armonizzazione delle legislazioni degli Stati membri relative alle imposte sulla cifra d’affari, - Sistema comune di imposta sul valore aggiunto: base imponibile uniforme, rifusa in Direttiva del Consiglio28/11/2006, 2006/112/Ce, relativa al sistema comune d’imposta sul valore aggiunto, in Gazzetta Ufficiale UE, 11/12/2006 L347/2) laddove occorre individuare il luogo del prestatore del servizio. Non essendoci una definizione nella stessa direttiva, è la giurisprudenza comunitaria ad individuarne i tratti essenziali: il minimo di organizzazione e la consistenza minima. Per minimo di organizzazione deve intendersi, per giurisprudenza europea consolidata, l’insieme dei beni e/o mezzi a disposizione dell’impresa; per consistenza minima si intende per contro l’insieme e/o complesso di beni e/o strumenti sufficienti all’impresa estera per esercitare tramite essa l’attività. (3) Tra gli altri si vedano Mayr, L’oleodotto quale ipotesi di stabile organizzazione, in Corr. trib., 1997, 905; Ludovici, Il regime impositivo della
DIRITTO DI INTERNET N. 4/2020
579
SAGGI È opportuno, pertanto, analizzare a fronte di questo fenomeno la reazione dei singoli Stati e delle organizzazioni internazionali, nella fattispecie OCSE e UE, pur consapevoli dei differenti settori impositivi - rispettivamente imposte dirette ed iva - in cui queste intervengono (4). Il primo approccio sviluppatosi proprio al sorgere dell’e-commerce, alla fine degli anni novanta, è stato quello di mantenere lo status quo (5): nel senso di adottare ed adattare i sistemi e le forme impositivi esistenti alle nuove e diverse regole di mercato. Tuttavia questo approccio ha determinato una serie di questioni e di difficoltà tanto in ambito di imposizione diretta quanto per l’iva. Infatti, per quel che concerne le imposte dirette, sono da subito emerse questioni legate a concetti “tradizionali”
stabile organizzazione agli effetti dell’imposta sul valore aggiunto, in Rivista di diritto tributario, 1998, I, 67; Pistone, Centro di attività stabile o stabile organizzazione: l’iva richiede un’evoluzione per il XXI secolo ?, in Rivista di diritto tributario, 1999, III, 12; Adonnino, L’attuazione nell’ordinamento interno della Direttiva n. 2002/38/Ce in tema di regime dell’iva applicabile ai servizi di radiodiffusione e di televisione ea determinati servizi prestati tramite mezzi elettronici, in Rivista di diritto tributario, 2004, I, 803; Della Valle E., La nozione di stabile organizzazione nel nuovo Tuir, in Rassegna tributaria, 2004, 159; Id., Residenza e stabile organizzazione, in Rassegna tributaria, 2016, 871; Perrone, La stabile organizzazione, in Rassegna tributaria, 2004, 794; Cacciapuoti, La società residente stabile organizzazione di una società non residente, in Rassegna tributaria, 2007, 1175; Avolio, La nuova definizione di stabile organizzazione, cit.; Guarino, La nozione di stabile organizzazione nell’era dell’economia digitale, cit.; Id., Quando la presenza di obbligazioni a carico dell’agente non configura una stabile organizzazione?, cit. Nella giurisprudenza tra le altre CGCE 4 luglio 1985, C-184/84 Gunter Berkholz; CGCE 23 gennaio 1986, C-283/84 Trans Tirreno Express SpA; CGCE 15 marzo 1989, C-51/88 Knut Hamann; CGCE 2 maggio 1996, C-231/94 Faaborg- Geltin Linien A/S; CGCE 26 settembre1996, C-327/94 Jurgen Dudda; CGCE 17 luglio 1996, C-231/94 Arolease BV; CGCE 20 febbraio 1997, C-260/95 DFDS A/S; CGCE 17 luglio 1997, C-190/95, ARO Lease; CGCE 7 maggio 1998, C-390/96, Lease Plan; CGCE 6 febbraio 2003, C-185/01 Auto Lease Holland BV; CGCE 13 dicembre 2005, C-446/03 Mark & Spencer; CGCE 23 febbraio 2006, C-471/04 Keller Holding GmbH; CGCE 28 febbraio 2008, C-293/06 Deutsche Shell GmbH; CGCE 29 novembre 2011, C-371/10 NGI BV; CGCE 6 febbraio 2014, C-323/12, Global Commodities SE, già E.On Energy Trading SE; CGCE 13 marzo 2014, C-375/12 Bouanich; CGCE 23 aprile 2015, C-111/14 GST – Sarviz AG Germania; CGCE 10 giugno 2015, C-686/13 XAB; CGCE 1 ottobre 2015, C-230/14, Weltimmo; CGCE 4 luglio 2018, C-28/17 NN A/S; CGCE 7 agosto 2018, C-16/17 TGE Gas Enfineering GmbH. Nella giurisprudenza interna tra le altre Cass. 7 marzo 2002, n. 3368; Cass. 25 maggio 2002, n.7682; Cass. 25 luglio 2002, n. 10925; Cass. 21 febbraio 2003, n. 2684; Cass. 28 luglio 2006, n. 17206; Cass. 15 febbraio 2008, n. 3889; Cass. 7 ottobre 2011, n. 20597; Cass. 17 gennaio 2013, n. 1103; Cass. 20 marzo 2015, n. 5649; Cass. 23 marzo 2016, n. 5698; Cass. 6 dicembre 2016, n. 24873; Cass. 24 gennaio 2017, n. 28059; Cass. 13 gennaio 2017, n. 757; Cass. 22 febbraio 2017, n. 4578; Cass. 15 novembre 2017, n. 27070; Cass. 18 maggio 2018, n. 12240; Cass. 13 dicembre 2018, n. 32261; Cass. 12 dicembre 2018, n. 32081; Cass. 21 novembre 2018, n. 30033; Cass. 6 giugno 2018, n.14573; Cass. 23 gennaio 2019, n. 1758; Cass. 29 dicembre 2019 n. 2397. (4) Uricchio - Spinapolice, La corsa ad ostacoli della web taxation, cit. (5) Sul punto si permette di rinviare a Stradini, Il concetto di stabile organizzazione ai fini delle imposte dirette, in Pedone (a cura di), Tassazione internazionale e concorrenza fiscale, Milano, 2005, 115 ss.
580
DIRITTO DI INTERNET N. 4/2020
quali quelli connessi alla localizzazione del soggetto passivo dunque la residenza, la territorialità, o anche relativi alla tangibilità o meno delle transazioni: conseguentemente si è determinata una fuga di materia imponibile caratterizzata dall’elevata difficoltà nel controllare gli effetti fiscali di queste operazioni (6). L’approccio attuale, per contro, è quello di ricercare criteri di tassazione e modalità di prelievo nuovi ancorati a queste forme “diverse” di ricchezza (7): ne sono un esempio l’imposta sui servizi digitali europea e la web tax italiana (8). Tra queste misure vanno annoverate anche le modifiche in merito al concetto di stabile organizzazione on line. In particolare a livello internazionale si è sviluppato un dibattito sul concetto “tradizionale” di stabile organizzazione che ha portato in sede OCSE al progetto BEPS, con una serie di misure volte a contrastare alcuni fenomeni legati a queste forme di economia e alla presenza digitale di un’impresa. Tuttavia è bene sottolineare come le proposte contenute negli Actions del BEPS a livello OCSE in materia di stabile organizzazione on line – il riferimento è in particolare alla significativa e continuativa presenza economica nel territorio dello Stato costruita in modo tale da non fare risultare una sua consistenza fisica nel territorio dello stesso - non siano vincolanti. Ciò nonostante sono state recepite dal legislatore italiano nella modifica all’art. 162 Tuir generando varie difficoltà dal momento che finiscono per incidere su ogni forma di stabile organizzazione a prescindere dal fatto che l’attività sia svolta on line rendendo il concetto stesso evanescente e dunque in contrasto con la sua stessa ratio (9). Queste prime considerazioni consentono di rilevare la normativa in essere - europea, convenzionale nonché in-
(6) In particolare ai fini iva si evidenzia da subito la difficoltà di inquadrare le operazioni on line nel commercio elettronico diretto, ponendosi questioni di smaterializzazione dei beni e delle prestazioni di servizi con implicazioni relativamente al momento di effettuazione dell’operazione, all’imponibilità nonché all’esigibilità dell’imposta in esame. Sul punto si permette di rinviare a Stradini, Il concetto di stabile organizzazione ai fini delle imposte dirette, in Pedone (a cura di), Tassazione internazionale e concorrenza fiscale, cit. (7) Gli stessi incontri del G7 e G20 del marzo 2018 confermano la necessità di ricercare e/o creare nuove regole globali in quanto lo status quo risulta insufficiente. (8) Uricchio - Spinapolice, La corsa ad ostacoli della web taxation, cit. (9) Mascia, Service permanent establishment and e-commerce, in Dir. prat. trib. internaz., 2015, 483; Gaffuri, Le ipotesi negative di stabile organizzazione. Spunti problematici e sviluppi interpretativi, in Dir. prat. trib., 2015, 205; Sella, Le attività preparatorie ed ausiliarie nel progetto BEPS dell’OCSE, in Fiscalità & Commercio Internazionale, 2015, 10; Fransoni, La stabile organizzazione: nihil sub sole novi?, in Rivista di diritto tributario, 2015, 123; Avolio, La nuova definizione di stabile organizzazione, in Corr. trib., 2018, 265; Flis Rossi, Stabile organizzazione personale tra “significant people functions” e “risk management functions”, in Corr. trib., 2019, 81; Garbarino, L’impatto del progetto BEPS sul concetto di stabile organizzazione, in Dir. prat. trib., 2019, I, 587.
SAGGI terna - con la consapevolezza che nelle fonti sovranazionali si assiste ad un cambiamento di rotta che determina inevitabilmente ripercussioni anche sul diritto interno. In Italia, ad esempio, il legislatore è già intervenuto in questa ottica sotto differenti punti di vista: l’introduzione della web tax (10), le modifiche alla definizione e alla disciplina della stabile organizzazione, nonchè in materia iva l’intervento sul concetto di gruppo iva e sull’eventuale presenza in esso di una stabile organizzazione. Proprio in relazione alla modifica dell’art. 162 TUIR in tema di stabile organizzazione, l’intervento incide su differenti aspetti quali ad esempio l’ausiliarietà dell’attività svolta, la fattispecie personale della stabile organizzazione, nonchè quella cosiddetta virtuale. Ciò che suscita maggior preoccupazione e riflessione è in particolare, alla lettera f)bis, la possibilità di intravedere la stabile organizzazione virtuale laddove si fa riferimento ad una significativa e continuativa presenza economica nel territorio dello Stato costruita in modo tale da non fare risultare una sua consistenza fisica nel territorio dello stesso. Una modifica questa contenuta nel progetto BEPS, ma che non è presente né nel Modello OCSE (11) nè nel suo Commentario, mancando del carattere della vincolatezza per gli stati contraenti. Le preoccupazioni e le problematicità che una tale definizione suscita sono differenti in quanto se la stessa risulta pensata per la stabile organizzazione on line nella versione del progetto BEPS in correlazione alla stessa ratio di tale progetto, così come recepita nell’ordinamento interno nell’art. 162 TUIR lettera f)bis finisce per valere per ogni forma di impresa anche diversa da
(10) L. 27 dicembre 2017, n. 205, Bilancio di previsione dello Stato per l’anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020, in G.U. Serie Generale, n.302 del 29-12-2017 - Suppl. Ordinario n. 62 (in vigore dal 1/1/2018). Sul punto è intervenuta la Legge di Stabilità 2020, l. 27 dicembre 2019, n. 160, Bilancio di previsione per lo Stato per l’anno finanziario 2020 e bilancio pluriennale per il triennio 2020 – 2022, in G.U. Serie Generale, n. 304 del 31/12/2019 – Suppl. Ordinario n. 45 (in vigore dal 01/01/2020), che ha completamente modificato la Web tax precedente in modo da colpire le imprese cosiddette “giganti” del Web quali Amazon o Google, che producono reddito in Italia. Questa imposta si applica alla pubblicità mirata on line, alla fornitura di beni e servizi su piattaforme digitali e alla tassazione di dati raccolti da utenti e derivanti dall’uso di un’interfaccia digitale. Le imprese interessate dalla stessa sono quelle che da sole o a livello di gruppo hanno ricavi maggiori a 750 milioni di euro e quelle con fatturato da servizi digitali (realizzati in Italia) non inferiore a 5,5 milioni di euro. In particolare l’imposta riguarda solo i servizi digitali esterni all’impresa, escludendo ad esempio quelli resi a controllanti o controllate dalla stessa. L’aliquota è del 3% e va applicata sui ricavi realizzati da un soggetto passivo nell’anno solare. L’imposta quando l’utente di un servizio tassabile è localizzato – in base a indirizzo IP o in base ad un altro servizio di geolocalizzazione - nel territorio dello Stato. Si ha inoltre una apposita clausola che prevede che la Web tax resti in vigore fino all’attuazione di disposizioni che deriveranno da accordi raggiunti nelle sedi internazionali in materia di tassazione dell’economia digitalizzata. (11) L’ultima versione del Modello OCSE e del Commentario è stata pubblicata il 18 dicembre 2017.
quella che svolge la sua attività on line diventando pertanto un criterio talmente vago da mettere in crisi la sostanza del diritto e da porre questioni di omogeneità con la definizione dell’istituto ai fini iva – pur essendo i settori di intervento completamente differenti. Fonti di tale istituto, oggi come ieri, sono da ricercare nel diritto europeo, in quello interno e nel Modello OCSE (12): pertanto risulta opportuno tracciare un’analisi comparata dell’istituto in modo da evidenziare le problematicità che una tale nozione può suscitare anche in connessione al mercato virtuale.
2. BEPS, significant economic presence e stabile organizzazione virtuale
In ambito internazionale ai fini di tale studio rilevante risulta essere il Progetto BEPS (13) con due principali interventi - l’implementazione dell’Action 14 e l’attuazione dell’Action 7 (14) - che portano ad una modifica dell’istituto in esame e alla elaborazione della Convenzione multilaterale. In merito alla Convenzione Multilaterale (15), sottoscritta nel giugno 2017, è bene sottolinearne l’obiettivo: quello di prevenire ed evitare l’erosione della base imponibile e lo spostamento dei profitti da un paese all’altro usufruendo così di un sistema impositivo più favorevole. Infatti essa non prevede l’abrogazione e la
(12) Si pone la questione del rapporto tra norme interna, convenzionale e comunitaria, rapporto regolato da un preciso ordine gerarchico. Intanto è opportuno ribadire che quando viene stipulata una convenzione ispirata al modello OCSE, nel paese contraente la convenzione va recepita con legge di ratifica, legge ordinaria interna. Nel rapporto tra norma interna e convenzionale prevale la norma convenzionale più favorevole. Se è la norma convenzionale ad attribuire al nostro Paese potestà impositiva più ampia prevale la norma interna più favorevole sulla base dell’art. 169 TUIR e per la natura e per la funzione delle stesse norme convenzionali. In merito al rapporto con la norma europea, se il Paese contraente è anche Paese membro UE, occorre considerare la fonte europea quale fonte preordinata alla quale dunque la norma convenzionale è subordinata Sul punto tra gli altri Sacchetto - Casertano, Tributi, in Trattato di diritto amministrativo europeo, Milano, 1998, 1284 ss.; Amatucci, Il conflitto tra norme internazionali e interne tributarie, in Rivista di diritto tributario internazionale, 1999, I, 59; Fantozzi, Diritto tributario, Torino, 2003; Melis, Lezioni di diritto tributario, Torino, 2018; Carinci-Tassani, Manuale di diritto tributario, Torino, 2018, 30ss. (13) Rapporto Addressing Base Erosion and Profit Shifting, cosiddetto Rapporto BEPS. In particolare le actions possono essere suddivise per obiettivi - Coherence (Actions 2, 3 e 4), Substance (Actions 5, 6, 7 e 8-10), Transparency (Actions 5, 11, 12, 13 e 14), Horizontal (Actions 1 e 15) – e per risultati - Minimum standards (Actions 5, 6, 13 e 14), Reinforced international standards (Actions 7 e 8-10), Common approaches and best practices (Actions 2, 3, 4 e 12), Horizontal work (Actions 1, 11 e 15). (14) Ferroni, Stabile organizzazione: la disciplina nazionale si adegua al BEPS e introduce la “continuativa presenza economica”, cit. (15) MLI, Multilateral Convention to ImplementTax Treaty Related Measures to Prevent Base Erosion and Profit Shifting, entrata in vigore il 22 marzo 2018.
DIRITTO DI INTERNET N. 4/2020
581
SAGGI sostituzione dei trattati coperti - vale a dire dei trattati che gli Stati hanno deciso di fare entrare nel suo campo di applicazione -, in quanto le norme delle convenzioni rimangono efficaci se non sono modificate, sostituite o integrate dalla stessa. Quindi la Convenzione multilaterale è automaticamente efficace previa firma e ratifica: ciò da un lato determina la modifica dei trattati stipulati dallo Stato e dall’altro garantisce la sua stessa implementazione. In merito alla nozione di stabile organizzazione, relativamente a questo nuovo approccio economico e di mercato concetto chiave è quello relativo alla significant economic presence. Innanzitutto è bene chiarire che in particolare nel progetto BEPS la significant economic presence viene proposta come una delle alternative per la tassazione digitale e in quanto tale non ne è prevista l’immediata applicazione in sede OCSE. Anche perché altre misure obbligatorie (16) hanno un importante impatto nell’economia digitale, mentre per contro tale nuova soluzione necessita di ulteriore lavoro negli attuali sistemi fiscali (17). In effetti non ci sono tracce di questo nuovo istituto nel Modello OCSE o nel suo commentario, a differenza di quel che accade in ambito interno (18). Venendo al significato da attribuire a tale espressione è possibile comprenderne la ratio nella necessità di escludere che l’impresa non residente possa svolgere la sua attività e dunque produrre reddito in un territorio differente rispetto a quello della casa madre senza che si possa individuare un criterio di collegamento territoriale con il paese in cui scontare l’imposizione. In tal modo si (16) Si fa riferimento ai c.d. minimum standards, ad esempio relativi all’obbligo di inclusione nei trattati bilaterali della dichiarazione degli Stati membri contraenti in merito all’intenzione di eliminare situazioni di doppia non-imposizione nonché di specifiche regole anti-abuso. Si veda: Valente, Il nuovo modello OCSE di Convenzione contro le doppie imposizioni: profili di novità, in Il Fisco, 2018, 557. (17) OECD (2015), Action 1, 137: “None of the other options analysed by the TFDE were recommended at this stage. This is because, among other reasons, it is expected that the measures developed in the BEPS Project will have a substantial impact on BEPS issues previously identified in the digital economy, that certain BEPS measures will mitigate some aspects of the broader tax challenges, and that consumption taxes will be levied effectively in the market country. The options analysed by the TFDE to address the broader direct tax challenges, namely the new nexus in the form of a significant economic presence, the withholding tax on certain types of digital transactions and the equalisation levy, would require substantial changes to key international tax standards and would require further work.” (18) Laddove il legislatore introduce la lettera f bis) del comma 2 dell’art. 162 TUIR prevedendo tra le fattispecie suscettibili di configurare una stabile organizzazione “una significativa e continuativa presenza economica nel territorio dello Stato costruita in modo tale da non fare risultare una sua consistenza fisica nel territorio dello stesso”. Così anche altri Stati, ad esempio l’India. Si veda: Ciani - Lanotte, L’economia digitale e l’azione 1 del progetto BEPS – La stabile organizzazione virtuale e il commercio elettronico: introduzione del concetto di “significativa presenza economica”, in Boll. Trib., 2018, 1362.
582
DIRITTO DI INTERNET N. 4/2020
vuole sottolineare l’inadeguatezza della fattispecie originaria nell’espletare la funzione a cui è demandata quale quella di criterio di collegamento territoriale rispetto alla casa madre soprattutto in relazione a quei modelli imprenditoriali tipici di alcune grandi multinazionali con particolare riferimento a quelle che operano nel commercio elettronico. Infatti questo modo di procedere finisce per creare una vera e propria dissociazione tra l’attività che produce reddito e il territorio e dunque la giurisdizione in cui si localizza l’utile e in cui deve avvenire la tassazione (19). Evidente in questo caso risulta la connessione con la digital economy: in particolare il riferimento è alla presenza digitale significativa per l’impresa che svolge soltanto attività dematerializzate. Tale presenza può riscontrarsi quindi nel sito web quale collegamento ed interfaccia con i clienti, in assenza di qualsiasi intermediario o agente o negozio fisico che possa interporsi con i consumatori. Naturalmente il riferimento è a quelle entità economiche i cui utili derivano prevalentemente dalla vendita di beni e servizi online, in assenza di una presenza fisica o il coinvolgimento di un prodotto fisico diverso dall’uso di un computer, dispositivi mobili o altri strumenti IT (20). La significatività della presenza economica va valutata in relazione ad una serie di elementi ai quali la stessa va correlata: il rilevante numero di contratti, il consumo effettivo di beni ed i servizi virtuali nello Stato di destinazione, l’esistenza di un ramo dell’impresa che nel Paese offra funzioni secondarie quali funzioni di marketing e di consulenza rivolte a clienti residenti nel Paese e fortemente correlati all’attività principale dell’impresa (21). Naturalmente sarà necessario valutare tale impatto economico e a tal fine risultano importanti fattori e/o presupposti economici e/o elettronici quali ricavi, digital factors e user-based factors (22). (19) OCSE, BEPS Action 7: preventing the artificial avoidance of PE status – Public Discussion draft, Ottobre 2014, disponibile in <www.oecd.org>, 10, dove di chiarisce che “The definition of permanent establishment must be updated to prevent abuses. Develop changes to the definition of PE to prevent the artificial avoidance of PE status in relation to BEPS, including through the use of commissionnaire arrangements and the specific activity examptions” (20) OCSE, BEPS Action 1: Address the tax challenges of the digital economy - Public Discussion Draft, cit., 65. (21) OCSE, BEPS Action 1: Address the tax challenges of the digital economy - Public Discussion Draft, cit., 66. (22) Va sottolineato che in merito alla normativa convenzionale previgente al progetto BEPS e dunque a tali interventi, il Modello OCSE all’art. 5 non contemplava alcunchè in merito alla stabile organizzazione on line. Solo nel Commentario all’art. 5 Modello OCSE si faceva riferimento a tale fattispecie: distinguendo tra sito web, server ed ISP. In particolare il sito web essendo un bene immateriale rappresenta uno spazio virtuale e dunque non costituisce stabile organizzazione: in quanto non può essere visto né come sede fissa di affari né come agente dell’impresa estera. Quanto al server, essendo uno spazio fisico – infatti in particolare rappresenta l’insieme delle attrezzature che ospitano e determinano il
SAGGI La questione è dunque strettamente correlata alla produzione di un reddito transnazionale e alla eventuale imponibilità nel territorio di uno stato, tra le differenti sovranità statali interessate, rapportato ad una visione più ampia e anche digitale: infatti anche una tale modalità virtuale di produzione del reddito e di fare impresa suscita questioni tanto di doppia imposizione quanto di salti d’imposta nonché di riporto delle eventuali perdite (23).
3. Le modifiche all’art. 162 Tuir tra norme convenzionali non vincolanti e scelte dettate dall’economia digitale: la significativa e continuativa presenza economica indipendente dalla consistenza fisica sul territorio
Differente è l’approccio alla questione assunto in ambito interno: infatti si assiste ad un intervento del legislatore in merito all’art. 162 TUIR in linea generale in modo perfettamente coerente con il progetto BEPS. Ciò risulta perfettamente in linea, del resto, con altri interventi legislativi, come ad esempio quello che modifica l’art 152 TUIR sul reddito della stabile organizzazione, o l’esenzione dell’utile per le imprese italiane più competitive, nonché la procedura di cooperazione e colla-
funzionamento di un sito web - se ha il requisito della fissità può essere una stabile organizzazione. L’Internet Service Provider si realizza quando il sito web di una impresa estera è ospitato su un server di proprietà di altra impresa. In questa fattispecie non si ha stabile organizzazione in quanto non ha né potere di rappresentanza né ricopre la posizione di agente dipendente. Da notare che la scelta convenzionale era stata quella di intervenire sul commentario all’art. 5 e non sul modello OCSE in quanto in tal modo si evitavano tutte le modifiche alle convenzioni stipulate. (23) I sistemi per escludere tali fenomeni sono sostanzialmente due: tassare il reddito alla fonte – vale a dire nel Paese ovvero nel luogo in cui il reddito è prodotto – o nel Paese di residenza dell’investitore. Ovviamente tale transnazionalità risente notevolmente del progresso economico per cui cambiano le prospettive nell’ottica dei paesi investitori e fornitori di servizi. L’utilizzo di uno di tali criteri determina un impatto fiscale differente. Il Capital Export Neutrality (CEN) identifica come criterio di collegamento territoriale quello della residenza fiscale della società che investe. In Italia ne è esempio l’art. 3 TUIR e corollario ne è la tassazione del reddito su base mondiale. Ciò implica il riconoscimento di crediti d’imposta per le imposte assolte all’estero. Questo criterio se da un lato garantisce maggior efficienza produttiva e certezza sul carico impositivo, dall’altro inevitabilmente può non determinare il recupero totale dell’imposta estera – quando ad esempio l’aliquota estera è superiore a quella interna – e scatenare problemi di compatibilità con il diritto europeo in merito al rispetto delle libertà fondamentali e il principio di non discriminazione. Il CIN, - Capital Import Neutrality – determina la tassazione del reddito solo nel Paese in cui è realizzato e quindi produce sicuramente una maggiore equità. L’OCSE è da sempre ancorato alla tassazione del reddito nel Paese di residenza, tuttavia il progetto BEPS punta alla tassazione del reddito nel Paese in cui viene prodotto, pertanto si avvicina alla tassazione alla fonte. Occorre comunque e tuttavia sottolineare come per l’Unione Europea la tassazione CEN violerebbe le libertà fondamentali di circolazione e il principio di non discriminazione.
borazione rafforzata introdotta dal D.L. n. 50/2017 (24) che prevede un contraddittorio preventivo tra Amministrazione Finanziaria e imprese multinazionali avente ad oggetto proprio la presenza della stabile organizzazione (25). La ratio di questi interventi normativi va ricercata nella risoluzione di una problematica di fondo che non ha più a che fare con la presenza, fisica, della stabile organizzazione quanto piuttosto con la configurabilità di nuove figure virtuali di stabile organizzazione e conseguentemente con l’individuazione di stabili organizzazioni occulte. Occorre tuttavia riflettere sulla portata di tali modifiche. Infatti in alcuni casi, come nella fattispecie della stabile organizzazione personale, il legislatore assume una definizione più ampia rispetto a quella del Modello OCSE senza tuttavia apportare grandi novità in quanto rispecchia un’interpretazione consolidata dalla giurisprudenza italiana (26). In altre fattispecie, per contro, il legislatore va ben oltre come per il concetto, poco chiaro, di “significativa e continuativa presenza economica nel territorio dello Stato costruita in modo tale da non far risultare una sua consistenza fisica nel territorio dello stesso”. In tal modo, la modifica all’art. 162 TUIR finisce per rendere troppo vaga la nozione di stabile organizzazione: in quanto gli interventi se sono pensati a livello OCSE per il commercio on line, in realtà applicati in generale alla definizione di stabile organizzazione finiscono per rendere troppo evanescente tale istituto e contrastare lo stesso principio della sostanza del diritto, ponendosi anche questioni di disomogeneità tra la nozione ai fini delle imposte dirette e la nozione iva. Entrando nel dettaglio della modifica normativa operata sull’art. 162 TUIR, questa concerne proprio la confi-
(24) D.l. 24 aprile 2017, n. 50, Disposizioni urgenti in materia finanziaria, iniziative a favore degli enti territoriali, ulteriori interventi per le zone colpite da eventi sismici e misure per lo sviluppo, in GU Serie Generale, n.95 del 24-042017 - Suppl. Ordinario n. 20. (25) Tale procedura va applicata alle società estere di gruppi multinazionali aventi tali requisiti: ricavi consolidati superiori a 1 miliardo di euro annui e realizzazione di cessioni di beni e prestazioni di servizi in Italia per un ammontare superiore a 50 milioni, avvalendosi del supporto di altre società o entità italiane appartenenti al medesimo gruppo societario. In particolare qualora le società estere ravvisino la configurabilità in Italia di una stabile organizzazione per esercitare la propria attività possono presentare all’Amministrazione Finanziaria un’istanza finalizzata all’accesso al regime dell’adempimento collaborativo in merito alla sussistenza dei requisiti di tale istituto. Se si ravvisano tali requisiti, ne saranno definiti i relativi debiti tributari per i periodi d’imposta in relazione ai quali sono scaduti i termini di presentazione delle dichiarazioni, con i benefici di un regime sanzionatorio premiale. (26) Si fa riferimento tra le altre all’interpretazione fornita già nel caso Philip Morris da Cass. 25 maggio 2002, n. 7682. In particolare in merito a tale caso la Cassazione afferma che l’accertamento del potere di concludere contratti deve essere riferito alla reale situazione economica, e non alla legge civile, e lo stesso può riguardare anche singole fasi, come le trattative, e non necessariamente comprendere anche il potere di negoziare i termini del contratto”.
DIRITTO DI INTERNET N. 4/2020
583
SAGGI gurabilità di tale fattispecie con particolare riferimento alle ipotesi di stabile organizzazione materiale e personale, finendo per interessare anche le positive e negative list con particolare riguardo all’esimente connessa alla natura preparatoria e/o ausiliaria dell’attività svolta a cui poi è collegata la cosiddetta anti- fragmentation rule. Nella fattispecie della stabile organizzazione materiale, di cui al comma I, l’economia digitale entra in gioco con l’elemento, destabilizzante, della “significativa e continuativa presenza economica nel territorio dello Stato costruita in modo tale da non far risultare una sua consistenza fisica nel territorio dello stesso”. L’intento del legislatore risulta chiaro: quello di considerare prodotti in Italia e dunque ivi imponibili anche gli utili di imprese che svolgono nel territorio italiano la maggiorparte della propria attività anche se, grazie all’utilizzo di nuove tecnologie, non presentano nello stesso una sede fissa di affari. Sulla base di questa espressione, infatti, da un lato si realizza un’integrazione della positive list e dall’altro evidente risulta il riferimento a quelle che sono le forme imprenditoriali tipiche della digital economy (27). Non a caso questo intervento è correlato all’introduzione della web tax e all’abrogazione del comma V, che faceva riferimento alla stabile organizzazione on line (28). Gli stessi lavori preparatori della legge di bilancio 2018 rilevano come la riscrittura dell’art. 162 connessa allo sviluppo della digital economy abbia lo scopo di “alleviare il nesso, finora imprescindibile, tra presenza fisica di un’attività nel territorio dello Stato e assoggettabilità alla normativa fiscale” e ancora
(27) Ferroni, Stabile organizzazione: la disciplina nazionale si adegua al BEPS e introduce la “continuativa presenza economica”, cit. (28) Infatti il comma V escludeva la stabile organizzazione in presenza della disponibilità a qualsiasi titolo di elaboratori elettronici e relativi impianti ausiliari che consentano la raccolta e la trasmissione di dati ed informazioni finalizzati alla vendita di beni e servizi. In questo modo il legislatore interno includeva alcune considerazioni contenute nel Commentario all’art. 5 Modello OCSE ma non chiariva poi in quali strumenti tale presenza fosse da rintracciare o meno. In particolare si riteneva potesse rientrare nell’espressione disponibilità a qualsiasi titolo di elaboratori elettronici e relativi impianti ausiliari tanto il server a supporto del sito web - se non ha il requisito di piena disponibilità ed è utilizzato per attività meramente ausiliarie e/o preparatorie -, quanto il sito web essendo intangibile ed immateriale. Sul punto si permette di rinviare a Stradini, Il concetto di stabile organizzazione ai fini delle imposte dirette, in Pedone (a cura di), Tassazione internazionale e concorrenza fiscale, cit. Interessante è anche la prassi interna sulla questione. In particolare si fa riferimento tra le altre a AE, Direzione centrale normativa e contenzioso, risoluzione 119/E/2007, Istanza di interpello – Attività di commercio elettronico svolta da soggetto non residente per mezzo di server localizzato in Italia – Requisiti per la sussistenza della stabile organizzazione, in <www.finanze.it>. Con tale risoluzione l’Agenzia delle Entrate risponde ad un’istanza di interpello di una società francese che offriva in Italia, con collegamento a banda leggera, l’accesso on line a videogiochi per computer e che aveva installato due server, usati in via esclusiva, presso un ISP italiano ma gestiti in Francia. In particolare afferma la presenza di una stabile organizzazione in Italia nel caso in cui un soggetto non residente svolga la sua attività commerciale attraverso un server ad uso esclusivo ed installato per un tempo indefinito in Italia.
584
DIRITTO DI INTERNET N. 4/2020
di “impedire, ad opera dei contribuenti, manipolazioni che impediscano la qualificazione di stabile organizzazione”. Tuttavia la stessa individuazione on line di questa significativa presenza appare problematica dal momento che risulta necessario correlarla ad una serie di elementi, particolari, di natura e economica e tecnica. Dal punto di vista economico il riferimento è al rapporto e/o all’interazione con l’economia del Paese attraverso l’utilizzo di strumenti digitali - quali il web e la tecnologia- nonchè la configurazione di ricavi con particolare riguardo alla ricorrenza sistematica e alla dimensione degli stessi. In senso prettamente tecnico, per contro, vanno rilevati ulteriori e differenti elementi quali ad esempio il nome locale del dominio, la piattaforma digitale locale – valutazione questa effettuata sulla base della lingua, dei consumi e dei metodi di pagamento - l’utenza mensile o meglio il numero di utenti mensili attivi, la conclusione regolare di contratti on line nonché il volume di dati raccolti presso clienti ed utenti abitualmente residenti in quello specifico Stato (29). Pertanto la criticità di un tale intervento è data dal fatto che le modifiche introdotte sono tali da ampliare l’istituto in esame in ogni sua ipotesi, in alcuni casi anche discostandosi dal Modello OCSE, come nel caso della significativa e continuativa presenza economica nel territorio dello Stato costruita in modo tale da non far risultare una sua consistenza fisica nel territorio dello stesso. Proprio questa ultima fattispecie, se ideata con l’intenzione di fotografare l’impresa non residente che agisca on line, può però proporsi anche per altre forme non espressamente elettroniche di fare impresa rendendo dunque lo stesso istituto troppo evanescente e non in grado di assolvere alla funzione per la quale viene introdotto (30).
4. Considerazioni conclusive sul ruolo della stabile organizzazione: riflessioni a margine tra diritto europeo, convenzionale ed interno e lotta all’evasione
Economia digitale e relativo regime di tassazione sono due argomenti molto attuali e sentiti anche a livello europeo (31). Ne sono esempio la Comunicazione della Commissione UE del 21/9/2017 (32) con l’obiettivo di (29) Ferroni, Stabile organizzazione: la disciplina nazionale si adegua al BEPS e introduce la “continuativa presenza economica”, cit. (30) Si veda a tal proposito l’art. 23 TUIR per la tassazione dei redditi dei non residenti. (31) Sul punto si vada anche Padovani, Riflessioni in tema di trattamento fiscale dei soggetti non residenti svolgenti attività d’impresa all’estero e privi di stabile organizzazione in Italia, con particolare riferimento alle sfide poste dall’economia digitale, in Rivista di diritto tributario, 2019, 81. (32) Commissione al parlamento Europeo e al Consiglio, Comunicazione del 21/9/2017 COM(2017)547 final, Un sistema fiscale equo ed efficace
SAGGI determinare un sistema di tassazione equo, efficace ed adeguato; l’interessamento per la questione da parte del Consiglio Europeo in data 19/10/2017 e del Consiglio Ecofin anche in relazione all’ambito OCSE proprio in riferimento all’istituto della stabile organizzazione, dei prezzi di trasferimento e dell’attribuzione dei relativi utili. Queste osservazioni hanno infatti portato all’emanazione del pacchetto di misure per la tassazione equa dell’economia digitale costituito da una comunicazione, una raccomandazione e due proposte di direttive. Si tratta di due proposte di cui una a medio lungo e l’altra di breve periodo. Quella a medio-lungo termine è volta a fornire una nuova definizione di stabile organizzazione (33); l’altra di breve periodo si propone come obiettivo quello di determinare la disciplina dell’imposta sui servizi digitali (34). La finalità è dunque duplice: modificare la nozione di stabile organizzazione in connessione alla “presenza digitale significativa” e inserire un’imposizione relativa ai ricavi ottenuti da imprese multinazionali realizzando servizi digitali verso utenti collocati nell’Unione Europea. Proprio in merito alla nozione di stabile organizzazione che qui si discute, il tentativo è quello di stabilire un criterio di collegamento territoriale per le imprese digitali operanti a livello transfrontaliero in base alla presenza digitale significativa. La finalità è quella da un lato di proteggere il diritto di imposizione degli Stati membri in relazione appunto ai nuovi modelli d’impresa digitale; dall’altro anche quella di determinare i principi per l’attribuzione degli utili all’impresa digitale. Così facendo si cerca di di cogliere con maggiore precisione il valore generato da modelli d’impresa digitala che dipendono in larga misura dall’espletamento di attività immateriali (35). Si tratta quindi di società costituite o stabilite nell’UE, nonché imprese costituite o stabilite in una giurisdizione terza che non ha concluso una convenzione in materia di doppia imposizione. In altre parole, l’iniziativa, se approvata con unanimità e recepita negli ordinamenti interni, potrebbe consentire di attivare una nuova disciplina nei rapporti tra gli Stati membri senza la necessità di modificare i trattati bilaterali contro la
doppia imposizione già in vigore, non dovendo avere effetto rispetto ai trattati già esistenti. In questo contesto il concetto di stabile organizzazione digitale viene individuato sulla base di tre caratteri presenti e tipici delle imprese in digital economy: la scale without mass – vale a dire la necessità di prescindere dalla presenza fisica sul territorio, dal momento che la caratteristica di questa forma di fare impresa è proprio il fatto che non si opera su un territorio fisico -, l’importanza degli assets intangibili e delle proprietà intellettuali ed infine la connessione tra valore dell’impresa e massimizzazione del profitto con i dati e la partecipazione degli utenti stessi. Ciò del resto è strettamente coerente con l’imposta sui servizi digitali, ISD, che colpisce i ricavi generati dall’espletamento di determinati servizi on line B2B e B2C nello Stato membro in cui si trovano gli utenti (36). In particolare nella individuazione della presenza digitale significativa, i parametri a cui fare riferimento sono da ricercare nei ricavi derivanti dalla fornitura di servizi digitali, nel numero di utenti di servizi digitali o in quello dei contratti per un servizio digitale. Tali elementi sono le variabili proxy che consentono di determinare l’impronta digitale di un’impresa in una giurisdizione. In tal senso è possibile individuare un criterio di tipo soggettivo e uno oggettivo. Quello oggettivo mira a verificare che la società sia un prestatore di servizi digitali attraverso l’utilizzo di una interfaccia digitale, quale software, siti web, applicazioni (37). Quello soggettivo, per contro, si riferisce esclusivamente a soggetti che abbiano determinati requisiti: ricavi totali conseguiti a livello globale, derivanti dalla sola fornitura di servizi online, non inferiori a 7 milioni di euro in un periodo di imposta, dove “la parte dei ricavi totali” è determinata in proporzione al numero degli accessi all’interfaccia digitale rispetto a quello globale; numero degli utenti situati nello Stato membro superiore a 100.000, con riferimento all’indirizzo IP del dispositivo o a qualsiasi altro metodo di geolocalizzazione dell’utente; numero di contratti commerciali, con il solo rifermento al mercato B2B, superiore a 3000, con riferimento alla residenza fiscale dell’imprenditore committente. A ciò consegue che, come previsto anche all’art. 7 del Modello Convenzione OCSE, gli utili attribuibili a una presenza digitale significativa in uno Stato membro sono
nell’Unione Europea per il mercato unico digitale, in <www.EUR-Lex.it>. (33) Commissione Europea, Proposta di Direttiva del Consiglio che stabilisce norme per la tassazione delle società che hanno una presenza digitale significativa, 21 marzo 2018, COM (2018) 147 final, in <www.EUR-Lex.it> . (34) Commissione Europea, Proposta di Direttiva del Consiglio relativa al sistema comune d’imposta sui servizi digitali applicabile ai ricavi derivanti dalla fornitura di taluni servizi digitali, 21 marzo 2018, COM (2018) 148 final, in <www.EUR-Lex.it>. (35) Commissione Europea, Proposta di Direttiva del Consiglio che stabilisce norme per la tassazione delle società che hanno una presenza digitale significativa, cit., 3.
(36) Sul punto tra gli altri Uricchio - Spinapolice, La corsa ad ostacoli della web taxation, cit. (37) La definizione corrisponde alla definizione di “servizi prestati tramite mezzi elettronici” di cui all’articolo 7 del Regolamento di esecuzione (UE) n. 282/2011 del Consiglio, del 15 marzo 2011, recante disposizioni di applicazione della direttiva 2006/112/CE relativa al sistema comune di imposta sul valore aggiunto, in Gazzetta Ufficiale UE, 23/3/2011 L77/1, con l’esclusione delle attività di commercio elettronico indiretto ed i servizi di telecomunicazione e videofoni o di mero accesso ad internet.
DIRITTO DI INTERNET N. 4/2020
585
SAGGI soggetti unicamente al regime di imposta sulle società di tale Stato. La stessa determinazione di tali utili si basa su un’analisi funzionale che tenga conto delle attività economicamente rilevanti svolte da tale presenza attraverso un’interfaccia digitale, ex art. 4, nel caso in cui nel periodo d’imposta si raggiungano determinati limiti. Tra queste attività rilevano, ad esempio (38), la raccolta, l’archiviazione, il trattamento, l’analisi, la diffusione e la vendita di dati a livello di utente; la raccolta, l’archiviazione, il trattamento e la visualizzazione dei contenuti generati dagli utenti; la vendita di spazi pubblicitari online; la messa a disposizione sul mercato digitale di contenuti creati da terzi. In merito al luogo in cui è situato l’utente, va ricercato in quello in cui si trova il dispositivo per accedere all’interfaccia digitale. Gli stessi utili, infatti, vengono imputati appunto nel Paese in cui si individua la presenza digitale significativa a scopo antielusivo e con equa attribuzione (39). Ulteriori questioni emergono successivamente nel momento in cui occorre rilevare la creazione del valore ai fini della tassazione: ci si deve chiedere in altre parole se il valore a cui fare riferimento sia quello di trasferimento, vale a dire il prezzo, oppure, come sembra leggersi, quello connesso alla partecipazione dell’utente finale. È bene pertanto concludere queste brevi considerazioni riflettendo su alcune problematiche di fondo. Innanzitutto va detto che non si assiste ad alcun recepimento di tale concetto nell’ambito dell’iva, in ambito europeo e conseguentemente in ambito interno. Pertanto è evidente la difficoltà riscontrata già in passato nell’individuare una definizione di stabile organizzazione, anche digitale e/o virtuale, in senso univoco in entrambi i settori di intervento - imposte dirette ed iva –, pur consapevoli delle differenze di essi. Si riscontra ancora oggi dunque la necessità di introdurre tanto ai fini iva quanto ai fini delle imposte dirette forme di intervento che servano ad evitare doppie imposizioni, salti d’imposta e dunque evasione e/o elusione. È chiara la diversa natura delle fonti in materia e il reciproco rapporto tra le stesse. Per-
(38) Art. 5 rubricato “Utili attribuibili alla presenza digitale significativa o in relazione alla presenza digitale significativa”, della Commissione Europea, Proposta di Direttiva del Consiglio che stabilisce norme per la tassazione delle società che hanno una presenza digitale significativa, cit., 18. (39) Queste considerazioni sono molto interessanti anche alla luce della possibilità di individuare l’ipotesi in cui un soggetto passivo non stabilito in Italia abbia una stabile organizzazione nel territorio italiano partecipante ad un gruppo IVA in Italia. Ciò in quanto dalla individuazione e dunque dalla presenza della stabile organizzazione dipende la qualificazione dell’operazione effettuata. In altre parole se le operazioni sono effettuate da tale stabile organizzazione verso la casa madre estera si considerano effettuate dal gruppo IVA verso un soggetto che non ne fa parte. Inoltre le operazioni della casa madre estera verso la stabile organizzazione partecipante al gruppo IVA si reputano effettuate verso il gruppo IVA da soggetto che non ne fa parte. Sul punto si vedano gli artt. 70 – quinques, 70 bis, 70 ter del DPR n. 633/1972.
586
DIRITTO DI INTERNET N. 4/2020
tanto prevale l’esigenza e la necessità rispetto al passato di intervenire con forme di imposizione ad hoc della stessa economia digitale e dunque in essa l’importanza, oggi più di ieri, della funzione e del ruolo della stabile organizzazione. Va rilevato, inoltre, come in ambito interno l’intervento concerna soltanto ed esclusivamente l’imposizione diretta. Ed è opportuno constatare e ribadire come la recente modifica normativa interna attuata sull’art 162 TUIR in realtà non sia in linea con tale ratio. Infatti applica dal punto di vista legislativo una interpretazione, quale quella contenuta nel progetto BEPS, che non risulta vincolante per gli Stati tanto che non vi è traccia sul Modello OCSE e sul Commentario stesso. Quindi il risultato che ne deriva è una nozione pensata per l’economia digitale ma in realtà valevole per ogni forma imprenditoriale anche non elettronica: un criterio dunque tanto vago da ledere il principio della sostanza del diritto e da porre questioni di omogeneità con il settore dell’iva.
GIURISPRUDENZA COMPARATA
La responsabilità oggettiva di Amazon per danni provocati da prodotti difettosi: aspetti problematici della responsabilità dei marketplace nel caso Bolger Court of A ppeal , Fourth A ppelate D istrict, D ivision One , S tate Angela Bolger c. Amazon.com, LLC.
of
California; sentenza 13 agosto 2020;
Amazon, come avviene per i rivenditori tradizionali, può essere l’unico membro della catena di distribuzione nei cui confronti un soggetto danneggiato, che abbia acquistato un prodotto non sicuro sul relativo sito web, possa rivolgersi. Amazon, invero, può svolgere un ruolo sostanziale nell’assicurare che il prodotto sia sicuro, o comunque può essere in grado di esercitare pressioni sul produttore a tal fine; la responsabilità oggettiva del rivenditore serve quindi come ulteriore incentivo alla sicurezza. Poiché i clienti Amazon hanno un’alta aspettativa di sicurezza (incoraggiata specificamente dallo stesso Amazon) allora è opportuno ritenerlo strettamente responsabile quando un prodotto difettoso viene venduto tramite il suo sito web.
…Omissis… La ricorrente Angela Bolger ha acquistato una batteria sostitutiva per computer portatile su Amazon, il popolare sito di shopping online gestito dal convenuto Amazon. com, LLC. L’elenco su Amazon per la batteria identificava il venditore come “E-Life”, un nome fittizio utilizzato su Amazon da Lenoge Technology (HK) Ltd. (Lenoge). Amazon ha addebitato a Bolger l’acquisto, ha recuperato la batteria del laptop da un magazzino Amazon, ha predisposto la batteria per la spedizione in una confezione con marchio Amazon e l’ha inviata alla sig.ra Bolger. Quest’ultima sostiene che la batteria sia esplosa diversi mesi dopo, provocandole gravi ustioni. La sig.ra Bolger ha citato in giudizio Amazon e altri imputati, tra cui Lenoge (…omissis…). Amazon ha richiesto il rito abbreviato sostenendo principalmente che la dottrina della responsabilità oggettiva, così come qualsiasi altra teoria simile, non può essergli applicabile in quanto esso non ha distribuito, prodotto o venduto il prodotto in questione. Amazon sostiene inoltre che il suo sito web non è un “mercato online” e che E-Life (Lenoge) era il venditore del prodotto, non Amazon. Il Tribunale di prima istanza ha accolto le richieste di Amazon. La sig.ra Bolger ha proposto appello sostenendo che Amazon è oggettivamente responsabile per prodotti difettosi offerti sul suo sito web da venditori terzi come Lenoge. Nelle circostanze del caso di specie, concordiamo. In fatto e in diritto, Amazon si è posta tra Lenoge e la sig.ra Bolger nella catena di distribuzione del prodotto in questione. Amazon ha accettato il possesso del prodotto da Lenoge, lo ha custodito in un magazzino
Amazon, ha attirato la sig.ra Bolger sul suo sito web, le ha fornito un elenco di prodotti Lenoge, ha ricevuto il pagamento per il prodotto e glielo ha spedito in una confezione Amazon. Amazon ha stabilito i termini del rapporto con Lenoge, controllato le condizioni dell’offerta di vendita di Lenoge su Amazon, limitato l’accesso di Lenoge alle informazioni sui clienti di Amazon, e ha richiesto corrispettivi e commissioni sostanziali su ogni acquisto. Quale che sia il termine usato per descrivere il ruolo di Amazon, sia esso “venditore”, “distributore”, o semplicemente “facilitatore”, esso ha assunto un ruolo fondamentale per fare arrivare il prodotto al consumatore. …Omissis… La nostra Corte suprema ha riconosciuto per la prima volta la responsabilità oggettiva più di 50 anni fa (…omissis…). Inizialmente limitata ai produttori, la dottrina rifletteva l’interesse giuridico che “i costi dei danni derivanti da prodotti difettosi sono sostenuti dai produttori che immettono tale prodotto sul mercato, piuttosto che dalle persone lese le quali non sono in grado (“powerless”) di proteggersi”. Subito dopo, la Corte suprema ha esteso la responsabilità oggettiva ai venditori: “I venditori al pari dei produttori sono coinvolti nell’attività di distribuzione di beni al pubblico. Essi sono parte integrante del processo complessivo di produzione e di commercializzazione e devono sostenere i costi dei danni provocati da prodotti difettosi”. …Omissis… Al fine di stabilire se la dottrina della responsabilità oggettiva trovi applicazione in una situazione che non è
DIRITTO DI INTERNET N. 4/2020
587
GIURISPRUDENZA COMPARATA stata considerata in precedenza, i tribunali della California devono avere riguardo anzitutto agli obiettivi della dottrina (…omissis…). “La dottrina della responsabilità oggettiva deriva da considerazioni di politica pubblica recepite dal diritto, ovvero [dalla necessità di] migliorare la sicurezza dei prodotti, massimizzare la protezione per l’attore danneggiato e ripartire i costi tra gli imputati” (…omissis…). “In altri termini, dai fatti deve dedursi una relazione o connessione causale sufficiente tra la parte convenuta e il prodotto, così da soddisfare le policy alla base della dottrina della responsabilità oggettiva”. …Omissis… Amazon era un anello della catena di distribuzione del prodotto anche se non era un venditore come comunemente inteso. Sulla base del contratto con il venditore, Amazon ha ritirato il prodotto dal proprio magazzino e lo ha fornito al consumatore. E ancora, Amazon è andato oltre. Il suo modello commerciale obbliga il consumatore ad interagire direttamente con Amazon, non con il venditore, per effettuare l’ordine del prodotto e versare il prezzo di acquisto. …Omissis… Amazon ha creato l’ambiente (il suo sito web) che ha consentito all’azienda Lenoge di offrire in vendita la batteria sostitutiva. …Omissis… Le nostre valutazioni sulle policy alla base della dottrina della responsabilità oggettiva confermano che la dottrina deve trovare applicazione nel caso di specie. Amazon è “parte integrante del complessivo processo di produzione e di commercializzazione, può in alcuni casi essere l’unico membro di tale attività ragionevolmente disponibile per l’attore che abbia subìto un danno e può trovarsi nella posizione migliore per garantire la sicurezza
588
DIRITTO DI INTERNET N. 4/2020
del prodotto” (…omissis…). Amazon può, come di fatto fa già, “adattare i costi della responsabilità nell’ambito del suo rapporto commerciale continuativo con gli altri partecipanti dell’attività complessiva di produzione e di commercializzazione. Per ciascuna di queste policy, Amazon funziona in modo molto simile ad un venditore tradizionale” (…omissis…). Ad Amazon deve essere riconosciuta una responsabilità oggettiva. …Omissis… Amazon non è un semplice spettatore del vasto apparato digitale e fisico che ha progettato e che controlla. Ha scelto di impostare il suo sito web in un certo modo, ha scelto determinati termini e condizioni per i veditori terzi e i loro prodotti, ha scelto di creare il programma FBA, ha scelto di commercializzare i prodotti dei venditori terzi in un certo modo, ha scelto di regolamentare i contatti dei venditori terzi con i consumatori, ha scelto di estendere alcuni vantaggi ai consumatori e ai membri che acquistano prodotti dei venditori terzi, e soprattutto ha scelto di consentire che la vendita nel caso di specie avvenisse secondo le modalità descritte. Amazon ha preso queste decisioni consapevolmente, e se avesse adottato decisioni diverse, l’assortimento di prodotti offerti e venduti sul suo sito web avrebbe potuto essere diverso. La batteria sostituiva Lenoge avrebbe potuto non essere venduta, considerato che attualmente non è in vendita per motivi di sicurezza. Niente, a parte le scelte di Amazon, imponeva di consentire che Lenoge vendesse i suoi prodotti, che i prodotti di Lenoge venissero custoditi nei magazzini di Amazon, che l’ordine della sig.ra Bolger venisse accettato e che il prodotto le fosse spedito. Amazon ha operato queste scelte per i propri scopi commerciali. Deve ora subirne le conseguenze.
GIURISPRUDENZA COMPARATA
IL COMMENTO di Raffaella Nigro
Sommario: 1. Premessa. – 2. I fatti all’origine del caso Bolger c. Amazon e la sentenza della Corte d’appello della California del 13 agosto 2020. – 3. Le novità introdotte nella sentenza Bolger e i suoi possibili effetti nell’ordinamento giuridico statunitense e in quello dell’Unione europea. – 4. La possibilità di equiparare un prestatore di servizi di vendita online ad un venditore “tradizionale” nella giurisprudenza della Corte di giustizia dell’Unione europea. – 5. La disciplina europea sulla responsabilità per danni da prodotti difettosi e le eventuali implicazioni per le piattaforme online. – 6. Considerazioni conclusive. Il 13 agosto 2020 i giudici del Quarto Distretto della Corte d’appello dello Stato della California hanno accertato, nel caso Bolger c. Amazon, una responsabilità oggettiva della nota piattaforma online Amazon per danno da prodotto difettoso, nella specie una batteria sostitutiva per computer portatile che, esplosa qualche mese dopo l’acquisto, aveva provocato gravi ustioni alla ricorrente. Il commento che segue intende dimostrare come le conclusioni raggiunte dai giudici statunitensi siano suscettibili di trovare applicazione anche nell’ordinamento giuridico dell’Unione europea, e di riflesso in quello dei suoi singoli Stati membri, contribuendo per questa via a chiarire e precisare un aspetto seppur settoriale della più ampia (e problematica) questione della responsabilità degli Internet Service Providers (ISPs). La sentenza Bolger, inoltre, offre alcuni spunti di riflessione di carattere più generale sui suoi possibili effetti, non solo in termini di tutela dei consumatori ma anche rispetto alle scelte dei venditori, ivi compresi, e laddove equiparabili, le piattaforme online. On 13 August 2020, the Court of Appeal of the State of California (Fourth Appellate District, Division One) has affirmed, in Bolger v. Amazon, the strict product liability of the well-known online platform Amazon for the injury caused to the plaintiff by the explosion of the replacement laptop battery that she had bought on Amazon. This essay considers how the conclusions reached by the US judges may be applicable also to the EU legal system, and, consequently, to the legal systems of EU Member States, thus contributing to clarify an aspect of the broader and contentious issue of the responsibility of Internet Service Providers. The Bolger judgment offers the opportunity, as well, to reflect more generally on the possible legal effects of such responsibility, not only in terms of consumer protection, but also with regard to the choices of retailers, including online platforms, where comparable.
1. Premessa
Il 13 agosto 2020 la Corte d’appello dello Stato della California (Quarto Distretto) ha emesso una sentenza nel caso Bolger c. Amazon (1) che ha suscitato numerose reazioni fra i media dove se ne è subito sottolineata la natura “storica” (2) e persino “rivoluzionaria” (3). La Corte ha riconosciuto una responsabilità oggettiva del marketplace Amazon nei confronti della sig.ra Bolger la quale, dopo avere acquistato sulla nota piattaforma online, una batteria sostitutiva per il suo computer portatile, aveva subìto gravi ustioni provocate dalla sua esplosione. Nell’appello promosso dalla sig. Bolger contro la sentenza dei giudici distrettuali della Corte di San Diego, che avevano escluso la responsabilità di Amazon, i giudici di appello hanno accertato che, nel caso di specie, Amazon fosse in realtà responsabile “oggettivamente” per il danno causato, e ciò in quanto il servizio da esso for-
nito sulla piattaforma online nel caso di specie, doveva ritenersi equiparabile a quello del venditore “a monte” (“upstream”) della batteria (4). Il tema oggetto della sentenza in commento rientra nella questione più ampia e assai dibattuta della responsabilità degli Internet Service Providers (ISPs) per le attività compiute su internet sotto diversi profili, oggi in particolare per le violazioni dei diritti umani (5). Come noto, una delle questioni più problematiche di tale responsabilità, e anche uno dei suoi principali limiti, concerne la difficoltà di ricostruire precisi obblighi che gli Stati dovrebbero imporre ai prestatori di servizi online al fine di evitare, o perlomeno ridurre, le sempre più numerose violazioni commesse attraverso i loro siti, da quelle dei diritti di copyright (6) ai commenti offensivi e persino
(1) Il testo della sentenza è disponibile al seguente link <https://law. justia.com/cases/california/court-of-appeal/2020/d075738.html>.
(4) Per un commento alla sentenza e sulla necessità di rivedere le regole in materia di responsabilità per i danni da prodotto, v. Capilli, infra, in questa Rivista, 2020, 603.
(2) Si veda ad esempio il commento su LGV Avvocati, E-commerce: Amazon ritenuta responsabile per i danni causati da prodotto difettoso venduto sulla propria piattaforma online, disponibile al seguente link <https://www. lgvavvocati.it/notizie/>.
(5) V. tra gli altri, Barra Caracciolo, La tutela della personalità in internet, in Dir. inf. e inform., 2018, 201 ss.; Falconi, La responsabilità dell’“internet service provider” tra libertà di espressione e tutela della reputazione altrui, in La Comunità internazionale, 2016, 235 ss.
(3) Così Bertelli - Corsi, Amazon è responsabile per i danni causati dalla merce venduta in California. Analisi della sentenza ed applicabilità al contesto normativo europeo, disponibile al seguente link <https://www.iusinitinere.it/corte-della-california-amazon-e-responsabile-per-i-danni-causati-dalla-merce-venduta-30281/amp#>.
(6) Koltay, Internet Gatekeepers as Editors – The Case of Online Comments, in Comparative Perspectives on Privacy in an Internet Era, a cura di Weaver - Reichel - Friedland, Durham, 2019, 113 ss.; Wang, Regulating Hosting ISPs’s Responsibilities for Copyright Infringement: The Freedom to Operate in the US, EU and China, New York, 2018.
DIRITTO DI INTERNET N. 4/2020
589
GIURISPRUDENZA COMPARATA alla violenza online (7), e ciò per la difficoltà talvolta oggettiva di controllare e di riuscire ad adottare misure efficaci volte a prevenire simili violazioni nella rete di internet (8). La sentenza dei giudici della California, pur inserendosi nel contesto generale della responsabilità degli ISPs, e dunque condividendone gli aspetti problematici relativi al controllo delle attività in rete di cui si è detto, si colloca nell’ambito più specifico della responsabilità dei prestatori di servizi per la vendita online di prodotti difettosi. È dunque in questo contesto che condurremo l’analisi che segue, al fine di dimostrare come, benché con strumenti giuridici e argomentazioni differenti, le conclusioni raggiunte dai giudici statunitensi siano suscettibili a ben vedere, e contrariamente a quanto sostenuto nei primissimi commenti alla sentenza, di trovare applicazione anche nell’ordinamento dell’Unione europea, e di riflesso nell’ordinamento dei suoi singoli Stati membri, contribuendo per questa via a chiarire e precisare un aspetto seppur settoriale della più ampia (e problematica) questione della responsabilità degli ISPs. Vedremo inoltre come la sentenza Bolger offra taluni spunti di riflessione di carattere più generale sui suoi possibili effetti, non solo in termini di tutela dei consumatori ma anche rispetto alle scelte dei venditori, ivi compresi, e laddove equiparabili, le piattaforme online. Vediamo dunque nel dettaglio i fatti all’origine del caso Bolger c. Amazon e le conclusioni raggiunte nella sentenza, prima di entrare nel merito dell’analisi giuridica volta a dimostrare quanto appena affermato.
2. I fatti all’origine del caso Bolger c. Amazon e la sentenza della Corte d’appello della California del 13 agosto 2020
La sig.ra Angela Bolger aveva acquistato una batteria sostitutiva per computer portatile sul sito web Amazon.com dal venditore “E-Life”, nome fittizio utilizzato dall’azienda Lenoge Technology (HK) Ltd. (Lenoge), con sede in Cina. Amazon aveva addebitato l’acquisto alla sig.ra Bolger, recuperato la batteria del computer portatile da un proprio magazzino, preparato la batteria per la spedizione in un pacco con marchio Amazon e la aveva spedita alla sig.ra Bolger la quale, dinanzi ai giudici statunitensi, aveva sostenuto che diversi mesi più
(7) Scali, Responsabilità del sito Internet per commenti osceni e violenza online contro le donne, in questa Rivista, 2019, 475 ss. (8) Sulla responsabilità degli ISPs si vedano tra gli altri, Vijay, Liability of Internet Service Provider: A Review Study from the European Perspective, in European Intellectual Property Review, 2019, 440 ss.; Dinwoodie, Secondary Liability of Internet Service Providers, New York, 2017; Floridi - Taddeo, The Responsibilities of Online Service Providers, New York, 2017; Urbas Fouracre, Obligations and Liability of ISPs as Guardians of Internet Content, in Computer Law Review International, 2010, 33 ss.
590
DIRITTO DI INTERNET N. 4/2020
tardi la batteria era esplosa provocandole gravi ustioni. La ricorrente aveva proposto ricorso contro l’azienda Lenoge e contro Amazon, invocando in particolare la responsabilità oggettiva (“strict products liability”) (9). Nel giudizio dinanzi alla Superior Court of San Diego County, nel quale l’azienda Lenoge non si era costituita, Amazon aveva sostenuto che la dottrina della responsabilità oggettiva, al pari di qualsiasi altra teoria simile, non avrebbe potuto essergli applicabile dal momento che, in quanto semplice “mercato online” (“online marketplace”) e mero operatore logistico, non aveva distribuito, né prodotto o venduto il bene in questione, essendo dunque Lenoge l’unico venditore al quale la sig.ra Bolger avrebbe dovuto rivolgersi per ottenere un eventuale risarcimento. Le conclusioni della Superior Court, favorevoli ad Amazon (10), erano state impugnate dalla sig. ra Bolger dinanzi alla Corte d’appello della California la quale, con sentenza del 13 agosto 2020, ha ribaltato il giudizio di primo grado e ha riconosciuto che nelle circostanze del caso di specie, doveva invece essere riconosciuta ad Amazon una responsabilità oggettiva per i danni provocati dal prodotto difettoso (11). Occorre da subito sottolineare come i giudici d’appello si siano concentrati sulla possibilità di imputare ad Amazon la responsabilità oggettiva, l’unica, come vedremo, equiparabile a quella nella quale può incorrere in principio il solo produttore di un bene, e la cui caratteristica consiste nel non potervisi sottrarre laddove si riesca a dimostrare un comportamento del venditore idoneo ad evitare il verificarsi del danno. La Corte ha in particolare affermato che Amazon si era posto (“placed itself”) tra Lenoge e la sig.ra Bolger nella catena di distribuzione del prodotto in questione, che Amazon aveva accettato di possedere il prodotto, lo aveva custodito in un proprio magazzino, aveva attirato la sig.ra Bolger sul proprio sito, fornendole una lista di prodotti Lenoge, ricevuto il pagamento e spedito il pro-
(9) Cfr. p. 2 della sentenza. (10) Cfr. p. 15 della sentenza della Corte d’appello per i passaggi rilevanti della sentenza della Superior Court. (11) Per alcuni commenti alla sentenza, v. Bland, The Courts Deliver Accountability to Amazon, disponibile al seguente link <https://www.legalexaminer.com/legal/the-courts-deliver-accountability-to-amazon/>; Simbula, Amazon: le responsabilità del “marketplace”, una zona grigia dal punto di vista giuridico, all’indirizzo <https://www.dimt.it/news/amazon-le-responsabilita-del-marketplace-una-zona-grigia-dal-punto-di-vista-giuridico/>; Cappellino, Circuit Court Rules Amazon is Liable for its Third-Party Vendors, all’indirizzo <https://www.expertinstitute.com/ resources/insights/circuit-court-rules-amazon-is-liable-for-its-third-party-vendors/>; Goldman, Amazon is Strictly Liable for Marketplace Item, Reinforcing that Online Marketplaces are Doomed – Bolger v. Amazon, all’indirizzo <https://blog.ericgoldman.org/archives/2020/09/amazon-is-strictly-liable-for-marketplace-items-reinforcing-that-online-marketplaces-are-doomed-bolger-v-amazon.htm>.
GIURISPRUDENZA COMPARATA dotto in una confezione Amazon (12). I giudici hanno inoltre sottolineato che era stato Amazon a stabilire i termini del suo rapporto con Lenoge, controllando le condizioni dell’offerta di vendita dell’azienda sulla piattaforma online, limitando l’accesso alle informazioni sui clienti di Amazon, costringendola a comunicare con i clienti tramite Amazon e riscuotendo commissioni sostanziali per ciascun acquisto effettuato (13). Ad avviso dei giudici, dunque, quale che fosse il termine utilizzato per descrivere il ruolo di Amazon, sia esso “rivenditore”, “distributore”, o semplicemente “facilitatore” (“facilitator”), il suo ruolo doveva considerarsi fondamentale nel consentire che il prodotto venisse acquistato dal consumatore (14). In proposito, è interessante notare la precisazione dei giudici circa l’obiettivo della dottrina della responsabilità oggettiva di andare oltre le mere questioni tecniche e formali e piuttosto preoccuparsi di risarcire le persone danneggiate da prodotti difettosi, in altre parole “di elevare giustizia ed equità al di sopra degli esatti contorni di un’equazione matematica” (“to elevate justice and equity above exact contours of a mathematical equation”) (15). Quanto alla possibilità di imputare ad Amazon una responsabilità oggettiva nel caso di specie, la Corte ha dapprima precisato che quest’ultima è stata prevista nell’ordinamento statunitense per la necessità avvertita a livello economico e sociale di tutelare i consumatori in una società sempre più complessa e “meccanizzata” (“mechanized society”), e per ovviare ai limiti dei rimedi connessi ad altri regimi di responsabilità (16). Premettendo poi che l’ambito di applicazione della responsabilità oggettiva è stato esteso anche ai venditori, oltre che ai produttori, per tener conto delle “realtà di mercato” e al fine di disciplinare nuove operazioni particolarmente diffuse nel mondo degli affari di oggi, tra le quali quella oggetto del caso di specie (17), la Corte si è chiesta se i princìpi sottostanti la dottrina della responsabilità oggettiva fossero applicabili nel caso oggetto della sentenza, riferendosi in particolare al miglioramento della sicurezza dei prodotti, alla massimizzazione della protezione delle persone danneggiate e alla ripartizione dei costi tra gli imputati (18). La Corte ha concluso in senso affermativo ribadendo che “Amazon è un anello diretto nella catena di distribuzione che agisce come potente
intermediario tra il venditore terzo e il consumatore”, e che inoltre “Amazon non è un semplice spettatore del vasto apparato digitale e fisico che ha progettato e che controlla” (19). Nel caso di specie, in particolare, il business model di Amazon aveva sostanzialmente imposto al consumatore un’interazione diretta con Amazon piuttosto che con il venditore Lenoge (20). La Corte ha in particolare considerato che a) la batteria era inserita in uno speciale programma “Fulfilled by Amazon” (FBA) nel quale Amazon, a differenza di quanto avviene per i prodotti sui quali è indicato “Sold by” e il nome dell’azienda che li vende direttamente, svolge un ruolo ben più attivo, dalla presa in custodia del prodotto alla sua spedizione, al punto che la sig.ra Bolger era convinta che stesse acquistando la batteria da Amazon (21); b) nell’ambito del rapporto tra Amazon e i venditori terzi, questi ultimi si impegnano attraverso il Business Solutions Agreement (BSA) a indennizzare Amazon per eventuali reclami relativi ai prodotti venduti tramite la sua piattaforma online (22); c) la garanzia A-Z offerta da Amazon sui prodotti venduti tramite il suo sito, copre anche i prodotti eventualmente difettosi e stabilisce che il consumatore dovrà inizialmente contattare il produttore per l’eventuale difetto riscontrato e tuttavia, laddove questi non dovesse fornire alcuna risposta, il consumatore potrà rivolgersi ad Amazon il quale provvederà a rimborsare i costi del prodotto e della spedizione, salvo poi richiedere il rimborso al venditore (23). Tutti questi elementi avevano di fatto consentito di equiparare Amazon ad un tradizionale venditore con la conseguenza di una automatica equiparazione anche in termini di responsabilità oggettiva. Ad avviso dei giudici peraltro, in taluni casi Amazon è l’unico soggetto al quale un consumatore possa rivolgersi laddove ritenga di avere subìto un danno (come si era verificato proprio nel caso di specie in cui Lenoge non si era costituita in giudizio e un altro imputato si trovava in Cina), Amazon svolge inoltre un ruolo sostanziale nel garantire che i prodotti indicati sul suo sito web siano sicuri, potendo esercitare e di fatto esercitando pressioni sui distributori “a monte” come Lenoge per migliorare la sicurezza dei loro prodotti (24). La Corte ha poi escluso che Amazon potesse invocare il Titolo 47, Sez. 230, del United States Code (che attua il Communications Decency Act del 1996 sulla pubblicazione dei contenuti online ai sensi del quale
(12) Cfr. p. 3 della sentenza della Corte d’appello. (13) Ibidem.
(19) Cfr. p. 32 della sentenza.
(14) Ibidem.
(20) Cfr. p. 23 della sentenza.
(15) Cfr. p. 30 della sentenza.
(21) Cfr. pp. 5-8 e 11 della sentenza.
(16) Cfr. p. 3 della sentenza.
(22) Cfr. p. 9 della sentenza.
(17) Cfr. p. 17 della sentenza.
(23) Ibidem.
(18) Cfr. p. 20 della sentenza.
(24) Cfr. p. 26 ss. della sentenza.
DIRITTO DI INTERNET N. 4/2020
591
GIURISPRUDENZA COMPARATA gli ISPs non possono essere considerati responsabili in qualità di editori di contenuti provenienti da terze parti) e ciò in quanto, ad avviso della Corte della California, nel caso di specie la responsabilità oggettiva di Amazon dipendeva dalle sue proprie attività e non dal suo status di editore di contenuti previsti dall’azienda Lenoge (25). Benché le conclusioni raggiunte dalla Corte d’appello della California abbiano una indubbia rilevanza in materia di responsabilità degli ISPs per i danni provocati da prodotti difettosi, è opportuno ribadire che i giudici hanno chiaramente circoscritto il loro ragionamento e le relative conclusioni circa la responsabilità oggettiva di Amazon al solo caso di specie. La Corte ha cioè ritenuto che proprio le specifiche circostanze occorse nella vendita della batteria difettosa alla sig.ra Bolger, consentissero il riconoscimento di una simile responsabilità e che questa tuttavia non fosse automaticamente estensibile ad altri casi, persino di vendita di beni su Amazon, in circostanze diverse (26). Significativamente, la Corte ha affermato che, in quanto tutte le scelte di Amazon sui programmi, sulle garanzie, e in genere sulle modalità di vendita dei prodotti, erano state operate consapevolmente per i propri interessi commerciali, Amazon doveva accettarne le conseguenze (“It made these choices for its own commercial purposes. It should share in the consequences”) (27).
3. Le novità introdotte nel caso Bolger e i suoi possibili effetti nell’ordinamento giuridico statunitense e in quello dell’Unione europea
La sentenza nel caso Bolger è suscettibile di produrre effetti anzitutto nell’ordinamento giuridico statunitense, nel senso di favorire una diffusione e un consolidamento dei princìpi enunciati dai giudici della Corte d’appello della California. Ciò in quanto, oltre ad alcuni precedenti nei quali Amazon è stato considerato responsabile dai giudici statunitensi per danni da prodotti difettosi, allo stato attuale si registrano interessanti casi ancora pendenti in merito alla presunta responsabilità oggettività di Amazon per prodotti acquistati sulla piattaforma online. Si tratta in particolare dei casi Oberdorf dinanzi alla Corte suprema della Pennsylvania e Gartner dinanzi al Quinto Circuito della Corte d’appello degli Stati Uniti (28).
(25) Cfr. p. 41 ss. della sentenza. Il testo della Sez. 230 è disponibile al seguente link <http://www.columbia.edu/~mr2651/ecommerce3/2nd/ statutes/CommunicationsDecencyAct.pdf>.
592
Nel caso Oberdorf, la Corte d’appello degli Stati Uniti per il Terzo Circuito, in un’opinione del 3 luglio 2019 ha ritenuto, con una maggioranza piuttosto risicata di 2 giudici contro uno, che Amazon avesse una responsabilità oggettiva per un danno da prodotto difettoso, contrariamente a quanto sostenuto dai giudici distrettuali della Pennsylvania (29). Il caso riguarda l’acquisto su Amazon di un collare per cane che aveva provocato lesioni fisiche al suo padrone a causa, secondo quanto da questi sostenuto, di un difetto di produzione. Applicando alcuni criteri sanciti dalla Corte suprema della Pennsylvania nella sua giurisprudenza, al fine di stabilire se un determinato soggetto può essere considerato un venditore, la Corte d’appello ha accertato che nel caso di specie, Amazon li avesse soddisfatti. In particolare a) Amazon risultava l’unico membro della catena di marketing del prodotto a disposizione del consumatore per la richiesta di risarcimento, considerando che né la ricorrente né Amazon erano in grado di individuare il venditore “a monte” del collare (30); b) in virtù del sostanziale controllo esercitato sui venditori terzi, Amazon era pienamente in grado, e a sua esclusiva discrezione, di rimuovere prodotti non sicuri dal suo sito web, con ciò incentivando la vendita di prodotti sicuri (31); c) in generale Amazon è in una posizione privilegiata rispetto a quella del consumatore al fine di impedire la circolazione di prodotti difettosi (32); e infine d) Amazon può stabilire la ripartizione dei costi di eventuali risarcimenti dovuti per danni da prodotti difettosi con il venditore “a monte” (33). La Corte ha inoltre sottolineato come Amazon, oltre ad accettare gli ordini e organizzare la spedizione dei prodotti venduti sulla piattaforma online, svolga un controllo sostanziale anche nel mercato delle vendite ponendo ad esempio dei limiti ai prezzi dei prodotti, al servizio clienti e alle comunicazioni con i consumatori (34). I giudici hanno così concluso che, ai sensi della legislazione vigente in Pennsylvania, Amazon dovesse essere equiparato ad un venditore e che da ciò derivasse la sua responsabilità oggettiva nel caso di spepapers.ssrn.com/sol3/papers.cfm?abstract_id=3628921>. Sul ruolo specifico di Amazon, v. Janger - Twersky, The Heavy Hand of Amazon: A Seller not a Neutral Platform, in Brooklyn Journal of Corporate, Financial & Commercial Law, 2020, 259 ss. (29) United States Court of Appeals for the Third Circuit, Oberford c. Amazon.com, INC, opinione del 3 luglio 2019, il cui testo è disponibile all’indirizzo <https://www.chamberlitigation.com/cases/oberdorf-v-amazoncom-inc>. (30) Cfr. p. 15 della sentenza di appello.
(26) Cfr. p. 36 della sentenza.
(31) Cfr. p. 16 della sentenza di appello.
(27) Cfr. p. 32 della sentenza.
(32) Cfr. p. 17 della sentenza di appello.
(28) Per un’analisi della giurisprudenza statunitense in materia si veda Bender, Product Liability’s Amazon Problem, in Journal of Law and Technology at Texas (forthcoming 2021) il cui Draft è disponibile all’indirizzo <https://
(33) Cfr. p. 20 della sentenza di appello.
DIRITTO DI INTERNET N. 4/2020
(34) Cfr. p. 23 dell’opinione.
GIURISPRUDENZA COMPARATA cie. Il giudice Scirica ha annesso un’opinione in parte dissenziente ritenendo che, ai sensi della legislazione vigente, in realtà può essere considerato venditore soltanto colui che trasferisce la proprietà o il possesso di un bene dal produttore al consumatore (35). Ad avviso del giudice, benché Amazon svolga un ruolo importante nelle vendite, esso è in una posizione per così dire “tangenziale” (“tangential”) rispetto allo scambio effettivo che avviene tra il consumatore e il venditore terzo. In altre parole, Amazon si limiterebbe a fornire al venditore gli strumenti di marketing (“means of marketing”) laddove il fact of marketing spetterebbe al venditore attraverso la scelta dei prodotti e la loro esposizione per la vendita (36). E ancora, neppure potrebbe dirsi, nell’opinione del giudice, che un’azione volta a prevedere assistenza per una vendita possa trasformare colui che la presti in un venditore ai fini della responsabilità oggettiva, a meno che non rivesta un ruolo sostanziale nel rapporto tra il venditore ed il produttore (37). Sebbene come anticipato il caso sia ancora pendente dinanzi alla Corte suprema della Pennsylvania, resta il dato significativo per cui la maggioranza dei giudici, ancorché risicata, abbia nel caso di specie riconosciuto la responsabilità oggettiva di Amazon per i danni provocati da prodotti difettosi. Pendente dinanzi alla Corte d’appello degli Stati Uniti per il Quinto Circuito è inoltre il caso Gartner c. Amazon deciso il 7 gennaio 2020 dalla Corte distrettuale del Texas nell’ambito di un ricorso contro Amazon a seguito dell’acquisto di un telecomando per una TV Apple la cui batteria aveva provocato seri danni all’esofago della figlia dei ricorrenti che la aveva accidentalmente ingerita (38). I ricorrenti avevano invocato la responsabilità di Amazon per non aver indicato in alcun modo la pericolosità del prodotto per i bambini. La Corte ha anzitutto sottolineato che la circostanza per cui Amazon sia un service provider non esclude che possa essere considerato alla stregua di un venditore. E seppure nel caso di specie il telecomando fosse stato prodotto da una società cinese, i giudici hanno tuttavia rilevato che era stato Amazon ad immagazzinare, confezionare e preparare il prodotto per la consegna ai ricorrenti. In sintesi, Amazon era interamente coinvolto nella (e controllava
(35) Cfr. p. 8 dell’opinione annessa alla sentenza di appello. Sulla definizione di “venditore” nelle diverse legislazioni statunitensi v. Bender, Product Liability’s Amazon Problem, cit., 34 ss. (36) Cfr. p. 9 dell’opinione annessa alla sentenza di appello. (37) Cfr. p. 19 dell’opinione annessa alla sentenza di appello. (38) United States District Court (Souther District of Texas), Morgan Gartner c. Amazon.com, INC., and Hu Xi Jie, sentenza del 7 gennaio 2020, il cui testo è disponibile al seguente link <https://www.chamberlitigation.com/cases/mcmillan-v-amazoncom-inc>.
la) vendita dei prodotti di terze parti (39). Ciò premesso, la Corte ha escluso che, secondo quanto previsto nel Communications Decency Act del 1996 in materia di pubblicazione dei contenuti online, Amazon potesse essere considerato responsabile per l’omissione di informazioni circa i difetti o i pericoli derivanti dal telecomando, ma ha nondimeno accertato la responsabilità per il suo coinvolgimento nel processo di vendita dei prodotti di terze parti (40). Un cenno merita inoltre il caso Stiner c. Amazon riguardante il decesso di un giovane ragazzo di 18 anni provocato da una polvere di caffeina contraffatta acquistata su Amazon. Nella sentenza del 19 febbraio 2019 emessa dal Nono Distretto della Corte d’appello sono state confermate le conclusioni della Court of Common Pleas County of Lorain nel senso che, nel caso di specie, il ricorrente, padre del ragazzo, non aveva dimostrato che le attività di Amazon fossero andate oltre la mera circostanza di avere fornito un forum online al venditore della sostanza, l’azienda Tenkoris, sottolineando che Amazon non aveva mai posseduto tale prodotto, né lo aveva spostato o custodito in un suo magazzino, né Amazon aveva effettuato la vendita etichettando, confezionando o spedendo il prodotto (41). In sintesi, secondo i giudici, il ricorrente non aveva dimostrato alcuna connessione di Amazon nella complessiva catena di distribuzione del prodotto in questione al punto da provare un rapporto con l’azienda Tenkoris che andasse oltre la vendita immediata del prodotto stesso. È interessante sottolineare ai fini del nostro discorso come, tanto la Court of Common Pleas County of Lorain quanto la Corte d’appello, abbiano escluso la responsabilità di Amazon sul presupposto che determinate attività non erano state da questo poste in essere nel caso di specie, ovvero a ben vedere, tutte quelle invece accertate dai giudici della California nel caso Bolger, in particolare il possesso del bene da parte di Amazon, la custodia presso i suoi magazzini, nonché la confezione del pacco e la sua spedizione al consumatore. Sul caso si è pronunciata la Corte suprema dell’Ohio nella recente sentenza del 1° ottobre 2020 (42). La Corte ha escluso che Amazon possa essere equiparato ad un venditore ai fini della responsabilità sulla base dell’Ohio Products Liability Act, ritenendo che l’azienda Tenkoris (39) Cfr. p. 11 della sentenza. (40) Cfr. p. 17 della sentenza. (41) Court of Appeals (Ninth Judicial District), Dennis Stiner c. Amazon. com, INC, sentenza del 19 febbraio 2019, il cui testo, insieme a quello della sentenza del 20 settembre 2017 della Court of Common Pleas County of Lorain, è disponibile all’indirizzo <https://www.chamberlitigation.com/ cases/stiner-v-amazoncom-inc>. (42) Supreme Court of Ohio, Dennis Stiner c. Amazon.com, INC, sentenza del 1° ottobre 2020, il cui testo è disponibile all’indirizzo <https:// www.chamberlitigation.com/cases/stiner-v-amazoncom-inc>.
DIRITTO DI INTERNET N. 4/2020
593
GIURISPRUDENZA COMPARATA fosse l’unica responsabile per l’imballaggio, l’etichettatura e la spedizione del prodotto direttamente ai clienti. La Corte ha altresì precisato che l’ordine dell’acquisto indicava chiaramente che la polvere di caffeina era “Sold by: The BoulkSource” (il nome del punto vendita dell’azienda Tenkoris), precisando peraltro che l’acquirente avrebbe dovuto contattare direttamente il venditore indicato per qualsiasi informazione sull’ordine. D’altro canto, hanno aggiunto i giudici, la stessa azienda Tenkoris ha riconosciuto che Amazon non ha mai avuto possesso del prodotto in questione (43). La Corte ha poi ritenuto che, in quanto Amazon non intrattiene rapporti con i produttori di beni venduti da terze parti, esso non esercita di fatto alcun controllo al fine di garantire la sicurezza dei beni medesimi, con la conseguenza che l’eventuale responsabilità della piattaforma online neppure sarebbe in grado di favorire la realizzazione degli obiettivi alla base della responsabilità oggettiva, nel senso di promuovere la sicurezza dei prodotti (44). Piuttosto interessante sul punto è l’opinione del giudice Donnelly (concorrente nelle sole conclusioni della sentenza) il quale ha dichiarato di concordare con una certa riluttanza sulla circostanza che il termine “fornitore” di cui alla legislazione dell’Ohio non consenta di includervi il ruolo che Amazon svolge nelle vendite effettuate attraverso il suo sito web (45). Il giudice ha in particolare osservato, contrariamente al ragionamento della maggioranza, che proprio una simile circostanza rischia di vanificare lo scopo della responsabilità per prodotti difettosi, in quanto espone i clienti di Amazon al rischio di subire danni da un venditore che può rendersi agevolmente irreperibile per eventuali richieste di risarcimento. Al contrario, ad avviso del giudice, l’accertamento della responsabilità oggettiva potrebbe incentivare Amazon a selezionare e controllare commercianti affidabili con prodotti più sicuri, esattamente come avviene per i venditori riguardo alla selezione dei prodotti più sicuri provenienti dai produttori più affidabili. Significativamente il giudice ha poi aggiunto che la legislazione dell’Ohio in materia risale al 1988, ovvero ad una “pre-internet age” (46) e che la sua applicazione al moderno e-commerce produce risultati a suo avviso ingiusti (47). Da quanto precede può osservarsi che, sebbene i giudici statunitensi abbiano raggiunto conclusioni diverse cir-
(43) Cfr. par. 20 della sentenza. (44) Cfr. par. 28 della sentenza. (45) Cfr. par. 31 della sentenza. (46) Cfr. par. 33 della sentenza. (47) Cfr. par. 34 della sentenza.
594
DIRITTO DI INTERNET N. 4/2020
ca la responsabilità oggettiva di Amazon (48), e alcuni importanti casi siano ancora in attesa di una pronuncia definitiva, a dimostrazione che la questione non risulta del tutto chiarita, ci sembra comunque da rilevare la sussistenza di un orientamento sufficientemente consolidato della giurisprudenza (e talvolta percepito come “giusto”, se si considera ad esempio proprio l’opinione del giudice Donnelly da ultimo riportata) nel senso di ritenere che determinate attività di Amazon, attinenti ad esempio al rapporto tra la piattaforma online e il venditore “a monte”, al possesso dei prodotti, alla presa in custodia degli stessi nei propri magazzini e in ultimo alla loro spedizione, valgano a delinearne un ruolo sostanziale nell’attività di vendita, al punto da considerarlo alla stregua di un venditore ai fini dell’accertamento della responsabilità oggettiva. Come anticipato, una delle principali questioni connesse all’orientamento dei giudici statunitensi, e in particolare da ultimo alla sentenza Bolger, riguarda la possibilità che esso trovi applicazione o comunque sia suscettibile di esercitare una qualche influenza anche nell’ordinamento giuridico dell’Unione europea, e di riflesso dei suoi Stati membri. Sul punto, nei primi commenti alla sentenza Bolger, si è sostenuto che la disciplina di riferimento, al fine di stabilire l’eventuale applicazione anche in Europa dei criteri individuati nella sentenza dei giudici californiani, è la dir. 2000/31/CE sul commercio elettronico (c.d. direttiva e-commerce) (49) e che, tenendo conto di quanto in essa previsto in particolare per quanto concerne la responsabilità degli ISPs, sarebbe necessario un intervento ad hoc del legislatore europeo affinché si possa eventualmente accertare la responsabilità oggettiva di una piattaforma online del tipo di Amazon (50). Il ragionamento che ha condotto ad una simile conclusione ha preso le mosse dalla circostanza che la direttiva sul commercio elettronico, pur applicandosi ai servizi (48) Bender, Product Liability’s Amazon Problem, cit., 20, 27 anche per i casi nei quali la responsabilità oggettiva di Amazon non è stata accertata dai giudici nelle circostanze dei rispettivi casi ad essi sottoposti. (49) Dir. 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico») il cui testo in lingua italiana è disponibile al seguente link <https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32000L0031&from=ET>. Come noto, la direttiva è stata recepita in Italia con il d.lgs. 9 aprile 2003, n. 70, il cui testo è disponibile al seguente link <https://www.camera.it/ parlam/leggi/deleghe/testi/03070dl.htm>. (50) V. ad esempio Fantini, La responsabilità di Amazon per prodotto difettoso nel recente caso californiano, disponibile al seguente link <http://www. salvisjuribus.it/la-responsabilita-di-amazon-per-prodotto-difettoso-nel-recente-caso-californiano/> e nella medesima direzione, Bertelli - Corsi, Amazon è responsabile per i danni causati dalla merce venduta in California. Analisi della sentenza ed applicabilità al contesto normativo europeo, cit.
GIURISPRUDENZA COMPARATA della società dell’informazione, definizione ricomprendente qualsiasi servizio prestato dietro retribuzione a distanza per via elettronica (51), e inclusiva di una vasta gamma di attività economiche svolte online le quali possono consistere in particolare nella vendita online di merci (52), non prevede una responsabilità oggettiva degli ISPs rispetto alle attività disciplinate nella direttiva medesima (53). A noi sembra che, al fine di stabilire un’eventuale applicazione dei criteri sanciti nella sentenza Bolger a potenziali casi analoghi di cui sia chiamata ad occuparsi la Corte di giustizia dell’Unione europea, o altro giudice di uno Stato membro, la normativa di riferimento non possa essere (o non possa essere soltanto) la direttiva sul commercio elettronico, bensì anche la dir. 85/374/CEE del 25 luglio 1985 la quale si occupa della questione specifica della responsabilità per danni da prodotto difettoso (54) e la cui disciplina del resto proprio la direttiva e-commerce lascia impregiudicata (55). Ci sembra, invero, che la risposta al quesito circa gli effetti nell’ordinamento europeo della sentenza Bolger possa essere rintracciata in una lettura sistematica delle due direttive, quella sul commercio elettronico, al fine di comprendere il ruolo “attivo” svolto in talune circostanze dagli ISPs rispetto alle attività condotte su internet, secondo l’interpretazione che ne ha fornito la Corte di giustizia dell’Unione europea (56), e l’altra, al fine di stabilire i criteri previsti rispetto alla specifica questione della possibilità di accertare una responsabilità per danno da prodotto difettoso del venditore, e dunque, laddove equiparabili, delle piattaforme online quali Amazon. Che la direttiva sul commercio elettronico non possa applicarsi alla specifica ipotesi affrontata nella sentenza Bolger ai fini della responsabilità, si spiega per il semplice fatto che la disciplina in essa contenuta si applica agli
(51) Cfr. Considerando n. 17 della direttiva.
illeciti commessi online e, al fine di limitare le ipotesi in cui il provider possa essere considerato responsabile per la mera circostanza di aver fornito un servizio di accesso a internet, configura una ipotesi derivante dalla mancata adozione di misure preventive e repressive da parte del provider (57). Dunque la direttiva non prevede in alcun modo una responsabilità oggettiva in capo agli ISPs, essendo al contrario proprio il suo principale obiettivo quello di evitare che un ISP possa incorrervi in qualunque circostanza per la semplice circostanza di aver fornito l’accesso alla rete. In materia di responsabilità infatti, la direttiva sancisce all’art. 15 il principio di carattere generale per cui “gli Stati membri non impongono ai prestatori un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano, né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite” (58), fermo restando che “gli Stati membri possono stabilire che i prestatori di servizi della società dell’informazione siano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite dei destinatari dei loro servizi o comunicare alle autorità competenti, a loro richiesta, informazioni che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati” (59). È poi prevista un’esenzione dalla responsabilità per i providers, purché risultino soddisfatti taluni requisiti, nei casi di “semplice trasferimento dei dati” (“mere conduit”) (60); memorizzazione temporanea dei dati (“caching”) (61); e memorizzazione duratura dei dati (“hosting”) (62). Se dunque è vero che la direttiva non disciplina l’ipotesi della responsabilità oggettiva per danni provocati da eventuali prodotti difettosi venduti attraverso gli ISPs, ciò non esclude che essa possa nondimeno essere rilevante per chiarire il ruolo svolto dai providers in alcune attività online, al fine di stabilire se, ed eventualmente in quali ipotesi, quest’ultimo possa equipararsi ad un venditore tradizionale. Laddove una simile equiparazione
(52) Cfr. Considerando n. 18 della direttiva (53) V. ad esempio Fantini, La responsabilità di Amazon per prodotto difettoso nel recente caso californiano, cit.; Bertelli - Corsi, Amazon è responsabile per i danni causati dalla merce venduta in California. Analisi della sentenza ed applicabilità al contesto normativo europeo, cit.
(57) Sul regime di responsabilità previsto nella direttiva e-commerce si veda, tra gli altri, Marzano, Profili di responsabilità civile dell’Internet Service Provider, disponibile al seguente link <https://www.diritto.it/profili-di-responsabilita-civile-dellinternet-service-provider/>.
(54) Dir. 84/374/CEE del Consiglio del 25 luglio 1985 relativa al ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati Membri in materia di responsabilità per danno da prodotti difettosi, come modificata dalla Dir. 1999/34/CE del 10 maggio 1999, il cui testo in lingua italiana è disponibile al seguente link <https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:31985L0374&from=ET>. Entrambe le Direttive sono state attuate nell’ordinamento italiano, rispettivamente con d.P.R. 24 maggio 1988, n. 224 e con d.lgs. 2 febbraio 2011, n. 25.
(58) Cfr. art. 15, par. 1.
(55) Cfr. Considerando n. 11 della dir. 2000/31/CE sul commercio elettronico. (56) V. infra, par. 4.
(59) Cfr. art. 15, par. 2. (60) Cfr. art. 12. (61) Cfr. art. 13. (62) Cfr. art. 14. L’articolo sancisce il principio per cui il prestatore di servizi non possa essere ritenuto responsabile a condizione che “a) non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione” e “b) non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso”.
DIRITTO DI INTERNET N. 4/2020
595
GIURISPRUDENZA COMPARATA fosse possibile, potrebbe allora trovare applicazione la disciplina prevista nella dir. 85/374/CEE sulla responsabilità per danno da prodotti difettosi. Quest’ultima infatti, come vedremo più in dettaglio in seguito, consente di equiparare il venditore al produttore, seppure in limitate ipotesi. Se ne dedurrà che, contrariamente a quanto sostenuto nei commenti di cui si è detto, le conclusioni dei giudici statunitensi potrebbero trovare applicazione anche nell’ordinamento europeo purché risultino soddisfatti due requisiti, ovvero a) sussistano i criteri per equiparare una piattaforma online, come Amazon nel caso di specie, ad un venditore per così dire “tradizionale” o “a monte” per usare le parole della Corte della California nella sentenza Bolger; e b) ricorrano le specifiche (ancorché limitate) ipotesi in cui il venditore (ovvero la piattaforma online laddove equiparabile) può incorrere in una responsabilità oggettiva al pari del produttore. In linea con quanto precede, la nostra analisi si concentrerà anzitutto e preliminarmente, sulla possibilità che anche nell’ordinamento europeo una piattaforma online possa essere equiparata ad un tradizionale venditore. In secondo luogo, esamineremo la disciplina della responsabilità per danno da prodotto difettoso al fine di sottolineare l’aspetto, a nostro avviso rilevante per quanto qui interessa, della responsabilità oggettiva anche del venditore oltre che del produttore.
4. La possibilità di equiparare un prestatore di servizi online ad un venditore “tradizionale” nella giurisprudenza della Corte di giustizia dell’Unione europea
Come anticipato, al fine di fornire una risposta alla questione relativa ai possibili effetti della sentenza Bolger nell’ordinamento dell’Unione europea, occorre anzitutto chiedersi se dalla giurisprudenza della Corte di giustizia sia ricavabile un orientamento analogo a quello seguito dai giudici statunitensi nel senso di equiparare le piattaforme online, quali Amazon, ai venditori tradizionali. Sebbene a quanto consti, la Corte di giustizia dell’Unione europea non sia stata chiamata, ad oggi, a decidere nella specifica ipotesi della responsabilità oggettiva di un ISP per danno da prodotto difettoso, occorre nondimeno rilevare che le premesse del ragionamento seguito dai giudici statunitensi, in particolare per quanto concerne il ruolo dei prestatori di servizi rispetto alle transazioni online, sembrano trovare un certo riscontro anche nella giurisprudenza europea, ciò costituendo un presupposto importante ai fini di una eventuale applicazione in futuro dei criteri sanciti dai giudici statunitensi nella sentenza Bolger. Ci si riferisce in particolare alle sentenze nelle quali i giudici di Lussemburgo, chiamati ad interpretare la direttiva e-commerce rispetto a presunte attività illecite condotte online da prestatori di servizio, hanno individuato talune ipotesi nelle qua-
596
DIRITTO DI INTERNET N. 4/2020
li questi ultimi, lungi dal poter essere considerati quali meri intermediari di transazioni intercorrenti sul sito da essi gestito, svolgono di fatto un ruolo significativo che li rende parte attiva all’interno di simili rapporti tra terze parti (63). È opportuno ribadire che in dette sentenze, sulle quali di seguito ci soffermeremo, i giudici non hanno affrontato la specifica questione della responsabilità degli ISPs per danno da prodotti difettosi, e tuttavia esse si rivelano particolarmente utili al fine di individuare i criteri stabiliti dalla Corte in presenza dei quali gli ISPs possono essere considerati responsabili, in quanto non siano applicabili le deroghe previste nella direttiva. In altri termini, può presumersi, come si cercherà di chiarire più avanti, che il ragionamento della Corte di giustizia circa il ruolo degli ISPs al fine di accertare la responsabilità prevista nella direttiva e-commerce sia analogo a quello finalizzato ad un eventuale accertamento della responsabilità oggettiva per danno da prodotti difettosi. Nella nota sentenza della Corte di giustizia dell’Unione europea nelle cause riunite C-236/08, 237/08 e 238/08 del 23 marzo 2010, i giudici francesi avevano sottoposto una questione in via pregiudiziale riguardante un ricorso contro Google presentato da alcune aziende le quali lamentavano il fatto che attraverso i “link sponsorizzati” del noto motore di ricerca fosse possibile accedere ad alcuni siti che offrivano imitazioni dei prodotti delle aziende in questione, in particolare della Louis Vuitton (64). Per quanto qui rileva in materia di responsabilità degli ISPs, occorre osservare che la Corte di giustizia ha concluso che l’art. 14 della direttiva e-commerce “deve essere interpretato nel senso che la norma ivi contenuta si applica al prestatore di un servizio di posizionamento su internet qualora detto prestatore non abbia svolto un ruolo attivo atto a conferirgli la conoscenza o il controllo dei dati memorizzati”, precisando che “se non ha svolto un siffatto ruolo, detto prestatore non può essere ritenuto responsabile per i dati che egli ha memorizzato su richiesta di un inserzionista, salvo che, essendo venuto a conoscenza della natura illecita di tali dati o di attività di tale inserzionista, egli abbia omesso prontamente di rimuovere tali dati o di disabilitare l’accesso agli stessi” (65). Nella successiva sentenza L’Oreal c. eBay nella causa C-324/09 del 12 luglio 2011, la Corte ha ribadito e pre (63) Sulla distinzione tra hosting attivo e hosting passivo v. Pollicino, Tutela del pluralismo nell’era digitale: ruolo e responsabilità degli Internet service provider, disponibile all’indirizzo <https://www.dimt.it/wp-content/ uploads/2015/03/www.giurcost.org_studi_pollicino1.pdf>. (64) CGCE 23 marzo 2010, cause riunite da C-236/08 a C-238/08, resa nel caso Louis Vuitton / Google, il cui testo in lingua italiana è disponibile all’indirizzo <http://curia.europa.eu/juris/liste.jsf?num=C-236/08&language=it>. (65) Cfr. par. 120 della sentenza. Corsivo nostro nel testo.
GIURISPRUDENZA COMPARATA cisato che, affinché il prestatore di un servizio su internet possa rientrare nell’ambito dell’art. 14 della direttiva e-commerce, e dunque godere di una esenzione dalla responsabilità, è necessario che esso sia un “prestatore intermediario” (66), precisando che tale non è “allorché detto prestatore, piuttosto che limitarsi ad una fornitura neutra del servizio mediante un trattamento puramente tecnico e automatico dei dati forniti dai suoi clienti, svolge un ruolo attivo a conferirgli conoscenza o un controllo di tali dati” (67). La Corte ha inoltre aggiunto che “laddove, per contro, detto gestore abbia prestato un’assistenza consistente segnatamente nell’ottimizzare la presentazione delle offerte in vendita di cui trattasi e nel promuovere tali offerte”, deve ritenersi che egli non abbia occupato una posizione neutra tra il cliente venditore e i potenziali acquirenti, ma che, al contrario, abbia “svolto un ruolo attivo a conferirgli una conoscenza o un controllo dei dati relativi a dette offerte” concludendo che, in tal caso, non possa avvalersi della deroga in materia di responsabilità di cui all’art. 14 della dir. 2000/31/CE (68). Anche il caso di cui si è appena detto non riguarda, come anticipato, la specifica questione della responsabilità dei prestatori di servizi online per danno da prodotto difettoso, trattandosi nel caso di specie di un ricorso presentato dall’azienda L’Oréal per la presunta violazione dei suoi diritti di proprietà intellettuale nell’ambito di transazioni commerciali effettuate attraverso i siti europei della eBay. Eppure, ciò che interessa in questa sede evidenziare è il ruolo dell’ISP accertato dai giudici, ben oltre una semplice e neutrale intermediazione tra terze parti, sottolineando in particolare come, nel caso di specie il prestatore di servizi “aiuti i venditori ad ottimizzare le loro offerte, a creare i loro negozi online, a promuovere e ad aumentare le loro vendite”, facendo altresì “pubblicità a taluni prodotti messi in vendita nel loro mercato online” (69). A ben vedere, stando al ragionamento della Corte di giustizia dell’Unione europea nelle sentenze che precedono, sembra che i criteri idonei a qualificare come “attivo” il ruolo svolto da un ISP (perlomeno riguardo alle vendite, come nel caso di specie in riferimento ad eBay) siano anche meno “rigidi” per così dire di quelli individuati nella sentenza Bolger dai giudici statunitensi. I giudici europei, infatti, hanno sottolineato che l’attività dell’ISP volta ad ottimizzare la presentazione delle offerte dei venditori e a promuoverle, è già di per sé suf (66) CGCE 12 luglio 2011, C-324/09, nel caso L’Oréal / eBay, il cui testo è disponibile al seguente link <https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A62009CJ0324>, par. 112. (67) Ibidem, par. 113. (68) Ibidem, par. 116. (69) Ibidem, par. 31.
ficiente a configurarne un ruolo “attivo” nel rapporto tra il venditore e i potenziali clienti con la conseguenza di poterne accertare la responsabilità secondo quanto previsto dalla direttiva e-commerce. Il medesimo orientamento circa la distinzione tra “hosting attivo” e “hosting passivo” è stato confermato più di recente nella sentenza del 7 agosto 2018 emessa nella causa C-521/17 dove la Corte di giustizia ha ribadito che “secondo giurisprudenza costante”, gli articoli della direttiva e-commerce in materia di responsabilità degli ISPs devono essere interpretati nel senso che le deroghe in essa prevista “riguardano esclusivamente i casi in cui l’attività dei prestatori di servizi dell’informazione sia di ordine meramente tecnico, automatico e passivo” intendendosi tali limitazioni non applicabili qualora il prestatore svolga un ruolo “attivo” consentendo ai suoi clienti di ottimizzare la loro attività di vendita online (70). Oltre alla giurisprudenza della Corte di giustizia, occorre osservare che nella più recente normativa europea è possibile rintracciare una conferma della tendenza ad equiparare, perlomeno in talune circostanze, le piattaforme online ai venditori tradizionali. È così che la nuova dir. 2019/771/UE del 20 maggio 2019 (che gli Stati membri dovranno recepire entro il 1° luglio 2021) relativa a determinati aspetti dei contratti di vendita di beni, stabilisce nel Considerando n. 23 che “i fornitori di piattaforme potrebbero (“could”) essere considerati venditori ai sensi della presente direttiva se agiscono per finalità che rientrano nel quadro delle loro attività e in quanto partner contrattuali diretti dei consumatori per la vendita di beni”, aggiungendo che “gli Stati membri dovrebbero (“should”) mantenere la facoltà di estendere l’applicazione della presente direttiva ai fornitori di piattaforme che non soddisfino i requisiti per essere considerati un venditore ai sensi della presente direttiva” (71). Sembra ragionevole presumere che in un’even (70) CGCE 7 agosto 2018, C-521/17, nel caso SNB-React U.A. / Deepak Mehta, il cui testo in lingua italiana è disponibile al seguente link <http://www.medialaws.eu/wp-content/uploads/2019/01/CURIA-Documenti.pdf>. Per un commento si veda Scanicchio - Vecchio, I limiti della neutralità: la Corte di giustizia e l’eterno ritorno dell’hosting attivo, disponibile al seguente link <http://www.medialaws.eu/i-limiti-della-neutralita-la-corte-di-giustizia-e-leterno-ritorno-dellhosting-attivo/>. (71) Dir. 2019/771/UE del 20 maggio 2019 relativa a determinati aspetti dei contratti di vendita di beni, il cui testo in lingua italiana è disponibile all’indirizzo <https://eur-lex.europa.eu/legal-content/IT/TXT/ PDF/?uri=CELEX:32019L0771&from=EN>. Ai sensi dell’art. 2, par. 3, è considerato “venditore” “qualsiasi persona fisica o giuridica che, in relazione ai contratti oggetto della presente direttiva, agisca nel quadro della sua attività commerciale, industriale, artigianale o professionale, anche tramite qualsiasi altra persona che agisca in nome o per conto di tale persona fisica o giuridica”. Per un commento si veda Capilli, Le direttive 2019/770/UE, 2019/771/UE e 2019/2161: verso l’unificazione (salvo deroghe) della disciplina sulla tutela dei consumatori nel mercato digitale, in questa Rivista, all’indirizzo <https://dirittodiinternet.it/7664-2/>. È da aggiungere che l’art. 10 della direttiva stabilisce altresì che “il venditore è
DIRITTO DI INTERNET N. 4/2020
597
GIURISPRUDENZA COMPARATA tuale interpretazione di tali princìpi, al fine di stabilire se una certa piattaforma online possa essere equiparata ad un venditore tradizionale, i giudici europei e dei singoli Stati membri, faranno riferimento proprio alla giurisprudenza della Corte di giustizia e alla distinzione tra “hosting attivo” e “hosting passivo” nell’ambito del processo di vendita (72).
5. La disciplina europea sulla responsabilità per danni da prodotti difettosi e le eventuali implicazioni per le piattaforme online
Posto dunque che un ISP potrebbe, in talune ipotesi, essere equiparato ad un venditore tradizionale, secondo
responsabile nei confronti del consumatore di qualsiasi difetto di conformità sussistente al momento della consegna del bene che manifesta entro 2 anni da tale momento”. I requisiti di conformità sono disciplinati agli artt. 7 e 8 della direttiva e riguardano requisiti oggettivi e soggettivi del prodotto. Tra questi ultimi vi è la corrispondenza “alla descrizione, al tipo, alla quantità e alla qualità contrattuale” (art. 6, a). (72) L’orientamento della Corte di giustizia dell’Unione europea è stato recepito anche nella giurisprudenza italiana, in particolare nella prassi più recente, nella sentenza Cass. 19 marzo 2019, n. 7708 nel caso Mediaset c. Yahoo! il cui testo è disponibile al seguente link <https://www. eius.it/giurisprudenza/2019/242>. Per un commento si veda Cristalli, Caso Mediaset contro Yaohoo!: la Cassazione sulla responsabilità dell’hosting provider alla luce della nuova direttiva sul copyright, disponibile al seguente link <https://www.iusinitinere.it/caso-mediaset-contro-yahoo-la-cassazione-sulla-responsabilita-dell-hosting-provider-alla-luce-della-nuova-direttiva-sul-copyright-20160>. Interessante è inoltre il Provvedimento 9 marzo 2016, n. 25911 emesso dall’Autorità Garante della Concorrenza e del Mercato (AGCM) nel procedimento concernente i comportamenti posti in essere da Amazon EU Sàrl e Amazon Service Europe Sàrl, società di diritto lussemburghese incaricate rispettivamente delle vendite e della gestione del programma Amazon Marketplace, in particolare a) per avere omesso o fornito in modo inadeguato informazioni rilevanti, quali quelle precontrattuali obbligatorie e le informazioni sulla garanzia legale di conformità come previste dal Codice del Consumo sul sito amazon.it, sia nel caso di vendita diretta Amazon che, nella diversa ipotesi, in cui la compravendita intervenga sulla piattaforma marketplace e, quindi, con venditori terzi; e b) per limitare l’esercizio dei diritti post vendita, tramite il rifiuto a prestare assistenza nonché nel limitare la garanzia legale tramite il mero rinvio al venditore terzo, nel caso di acquisti sulla piattaforma marketplace. L’AGCM ha concluso che la deroga di cui all’art. 14 della dir. 2000/31/CE, secondo i criteri dettati dalla Corte di giustizia, non fosse invocabile nel caso di specie in quanto Amazon non ha occupato una posizione neutra tra il cliente venditore considerato e i potenziali acquirenti, avendo al contrario svolto un ruolo attivo atto a conferirgli una conoscenza o un controllo dei dati relativi a dette offerte (par. 75). Nel Provvedimento si considera “del tutto assente” la neutralità di Amazon essendo “pacifico” che quest’ultimo, con riferimento alla piattaforma marketplace “oltre ad immagazzinare, vale a dire memorizzare sul proprio server, dati forniti dai suoi clienti, viene ricompensata in quanto riscuote una percentuale sulle operazioni effettuate a partire da tali offerte in vendita; proceda ad un trattamento dei dati forniti dai suoi clienti venditori; predisponga le modalità di vendita; intervenga nel rapporto effettuando talvolta la spedizione dei beni e addirittura la gestione del recesso; intervenga nel rapporto tramite la propria piattaforma di pagamento; monitori le performances dei venditori; filtri i contatti venditori – consumatori”. Infine, se richiesto Amazon fornisce anche un’assistenza diretta ad ottimizzare o a promuovere talune offerte in vendita” (par. 74) Il testo del Provvedimento è disponibile al seguente link <https://www.agcm.it/dotcmsDOC/ bollettini/11-16.pdf>.
598
DIRITTO DI INTERNET N. 4/2020
l’interpretazione della Corte di giustizia dell’Unione europea e la distinzione da essa operata tra “hosting attivo” e “hosting passivo”, occorre ora chiedersi se, e in quali ipotesi, il venditore di un prodotto possa essere considerato responsabile alla stregua del produttore ai fini della responsabilità oggettiva prevista nella dir. 85/374/CE del 25 luglio 1985 di cui si è detto. In riferimento alla responsabilità per danno da prodotti difettosi, nel secondo Considerando della direttiva in questione si legge chiaramente che “solo la responsabilità del produttore, indipendente dalla sua colpa, costituisce un’adeguata soluzione del problema, specifico di un’epoca caratterizzata dal progresso tecnologico, di una giusta attribuzione dei rischi inerenti alla produzione tecnica moderna”. In linea con simile premessa, l’art. 1 è altrettanto chiaro nel prevedere che “il produttore è responsabile del danno causato da un difetto del suo prodotto”, intendendosi per “produttore” ai sensi dell’art. 3, par. 1, il “fabbricante di un prodotto finito, il produttore di una materia prima o il fabbricante di una parte componente, nonché ogni persona che, apponendo il proprio nome, marchio o altro segno distintivo sul prodotto, si presenta come produttore dello stesso”. Sono tuttavia da segnalare, in quanto rilevanti ai fini del nostro discorso, i parr. 2 e 3 dell’art. 3 nei quali si prevedono le uniche ipotesi in cui anche il venditore può incorrere in una responsabilità oggettiva equiparabile a quella del produttore. Si tratta delle ipotesi in cui a) un prodotto venga importato nell’Unione europea (Comunità europea al momento dell’adozione della direttiva) ai fini della vendita, locazione, leasing o altra forma di distribuzione nell’ambito dell’attività commerciale del soggetto di cui trattasi (par. 2); e b) non possa essere individuato il produttore del prodotto, a meno che il venditore non comunichi entro un termine ragionevole alla persona che ritenga di avere subìto un danno, l’identità del produttore o della persona che gli ha fornito il prodotto (par. 3). La Corte di giustizia dell’Unione europea ha avuto occasione di pronunciarsi sull’art. 3, in particolare sulla possibilità di equiparare il produttore al venditore di un prodotto ai fini della responsabilità, e ha chiarito che ai sensi della direttiva, in principio, gli Stati membri non possono imporre al venditore la stessa responsabilità nella quale può incorrere il produttore di un bene. La Corte cioè non ha escluso che anche il venditore possa rispondere, in talune circostanze, per il danno provocato da un prodotto difettoso, ma ha tuttavia precisato che in tale ipotesi, a parte le eccezioni previste ai parr. 2 e 3 dell’art. 3, la responsabilità non possa essere equiparata a quella del produttore. Nella sentenza del 5 luglio 2007 nella causa C-327/05 ad esempio, la Corte di giustizia ha concluso che il Regno di Danimarca non avesse adempiuto l’art. 3, par. 3, della direttiva del 1985, nella misura in cui aveva accer-
GIURISPRUDENZA COMPARATA tato la responsabilità oggettiva del venditore per danno da prodotto difettoso, fuori dalle ipotesi espressamente contemplate nella direttiva (73). Nel caso di specie, la Commissione della allora Comunità europea aveva presentato il 30 agosto 2005 un ricorso dinanzi alla Corte di giustizia contro il Regno di Danimarca nel quale chiedeva che la Corte dichiarasse che quest’ultimo era venuto meno agli obblighi imposti dalla dir. 85/374/CEE, in quanto aveva adottato e mantenuto in vigore norme in base alle quali i fornitori intermediari (“intermediaries”), cioè i venditori, dovevano considerarsi responsabili nella catena commerciale al pari dei produttori, in contrasto con quanto sancito nella suddetta direttiva all’art. 3, par. 3. Ebbene, la Corte di giustizia ha accolto il ricorso della Commissione concludendo che la responsabilità a carico dei venditori, prevista dalla normativa danese, fosse in contrasto con la direttiva europea in materia. Ciò in quanto, ha precisato la Corte, “la stessa direttiva stabilisce che i produttori – e soltanto i produttori – possono essere soggetti ad una responsabilità oggettiva per i prodotti difettosi” e “soltanto nel caso in cui la direttiva lo stabilisca, cfr. l’art. 3, par. 3, il distributore può essere soggetto ad una responsabilità oggettiva per prodotti difettosi” (74). Nella medesima direzione, nella sentenza del 10 gennaio 2006 emessa nella causa C-402/3, la Corte di giustizia ha precisato che, ai sensi dalla direttiva del 1985, il venditore non può in principio essere equiparato al produttore ai fini della responsabilità (75). Nel caso di specie, l’Alta Corte della Danimarca (Vestre Landsret) aveva proposto domanda di pronuncia pregiudiziale alla Corte di giustizia nell’ambito di una controversia che vedeva contrapposti la sig.ra Mikkelsen e il sig. Due Nielsen all’azienda Bilka per il risarcimento del danno da essi subìto a seguito del consumo di uova messe in vendita dalla suddetta azienda Bilka e prodotte dall’azienda Skov. Nel procedimento dinanzi ai giudici danesi, la Bilka era stata condannata a versare un risarcimento ai soggetti danneggiati e la Skov, azienda produttrice delle uova, era stata condannata a rimborsare tale indennizzo alla Bilka. Su appello di entrambe le aziende, l’Alta Corte della Danimarca (Vestre Landsret) aveva deciso di sospendere il giudizio e di sottoporre alla Corte di giustizia
due questioni pregiudiziali: 1) se la direttiva del 1985 ostasse ad un regime giuridico “secondo il quale un venditore risponde illimitatamente della responsabilità del produttore”; e 2) se la medesima direttiva escludesse un regime in base al quale il venditore “risponda illimitatamente della responsabilità per colpa del produttore”. La Corte ha dapprima osservato che in seguito alla ponderazione dei rispettivi ruoli dei diversi operatori economici che intervengono nella catena di fabbricazione e di commercializzazione dei prodotti, ai fini della direttiva, è stata operata la scelta di imputare in linea di principio al produttore l’onere della responsabilità per i danni causati da prodotti difettosi, prevedendo la possibilità per gli importatori e i venditori di incorrere nelle medesime responsabilità solo in ipotesi limitate (76). La Corte ha altresì aggiunto che gli artt. 1 e 3 della direttiva non si limitano a disciplinare la responsabilità del produttore di un prodotto difettoso, ma determinano, tra gli operatori che hanno partecipato ai processi di fabbricazione e di commercializzazione, quello che dovrà assumere la responsabilità (77). I giudici hanno quindi osservato che il sistema istituito dalla normativa nazionale danese faceva gravare sul venditore un onere che il legislatore comunitario ha considerato ingiustificato, comportando una moltiplicazione delle azioni legali che l’azione diretta esperibile dal danneggiato contro il produttore ha proprio lo scopo di evitare (78). Su tali premesse, la Corte ha dunque concluso che la direttiva doveva essere interpretata nel senso di non consentire una regola nazionale secondo la quale il fornitore “risponde illimitatamente della responsabilità del produttore in base alla direttiva” (ovvero anche oltre le ipotesi espressamente ivi disciplinate) (79). Sulla seconda questione, la Corte di giustizia ha invece concluso che la direttiva in questione non fosse contraria ad una norma nazionale “secondo la quale il fornitore è tenuto a rispondere senza restrizioni della responsabilità per colpa del produttore” (80). Ciò in quanto, ad avviso dei giudici, l’art. 13 della direttiva deve essere interpretato nel senso che il regime in essa previsto “non esclude l’applicazione di altri regimi di responsabilità contrattuale o extracontrattuale purché essi si basino su elementi diversi, come la garanzia dei vizi occulti o la colpa” (81).
(73) CGCE 5 luglio 2007, C-327/05, in G.U.U.E. C 257 del 15 ottobre 2005, 7. (74) Ibidem. (75) CGCE 10 gennaio 2006, C-402/3, nel caso Skov. / Bilka, il cui testo in lingua italiana è disponibile al seguente link <https://www.diritto.it/pdf_archive/21476.pdf>. Per un commento si veda Montanari, La responsabilità del “fornitore” nella disciplina europea del danno da prodotti difettosi, disponibile all’indirizzo <https://www.academia.edu/6056066/ La_responsabilità_del_fornitore_nella_disciplina_europea_sul_danno_ da_prodotti_difettosi>.
(76) Cfr. par. 29 della sentenza. (77) Cfr. par. 30 della sentenza. (78) Cfr. par. 36 della sentenza. (79) Cfr. par. 37 della sentenza. (80) Cfr. par. 48 della sentenza. (81) Cfr. par. 47 della sentenza.
DIRITTO DI INTERNET N. 4/2020
599
GIURISPRUDENZA COMPARATA La Corte dunque ha chiaramente affermato che sebbene il venditore possa rispondere dei danni da prodotti difettosi, la sua eventuale responsabilità non potrà essere considerata oggettiva come quella del produttore, se non nelle limitate ipotesi previste dalla direttiva. A ben vedere dunque, da una lettura sistematica della direttiva sul commercio elettronico (ai fini dell’equiparazione della piattaforma online al venditore tradizionale, a seconda del tipo di ruolo svolto dalla prima) e della direttiva sulla responsabilità per danno da prodotto difettoso (ai fini dell’equiparazione del venditore al produttore), sembra potersi concludere che anche nell’ordinamento dell’Unione europea, e sulla base della normativa attualmente in vigore (senza cioè che sia necessario un intervento ad hoc del legislatore (82)) i giudici europei, nonché i giudici nazionali degli Stati membri dell’Unione, potrebbero applicare i criteri adottati nella sentenza Bolger e risolvere eventuali casi simili, nel senso di una responsabilità oggettiva dell’ISP, purché e sul presupposto che la piattaforma online sia equiparabile al venditore tradizionale, laddove il produttore non possa essere individuato, oppure nel caso in cui il prodotto sia stato importato dall’estero. Come anticipato, è forse opportuno precisare che, nonostante i criteri della Corte di giustizia sulla qualificazione di un hosting come “attivo”, contrapposto ad un hosting “passivo”, siano stati adottati ai fini della responsabilità di cui alla direttiva e-commerce, ovvero ai fini della responsabilità per colpa relativa ad illeciti commessi online, essi potrebbero trovare applicazione per analogia anche ai fini della responsabilità oggettiva per danno da prodotto difettoso. In proposito può osservarsi che la qualificazione di un provider come “attivo” ha di fatto l’obiettivo di individuare tutte quelle ipotesi in cui un ISP svolge un ruolo sostanziale nel rapporto tra terze parti che si instauri su un sito web gestito appunto dal provider, tutte quelle ipotesi cioè nelle quali il provider agisce concretamente per favorire un determinato risultato. Il che risulta in modo ancora più evidente quando un sito web venga utilizzato al fine di vendere dei prodotti, soprattutto considerando che per ogni vendita effettuata, al service provider spetta un preciso corrispettivo. Può cioè presumersi che il provider agisca in concreto, ovvero svolga un ruolo “attivo”, a maggior ragione quando si tratti di favorire la vendita di prodotti tramite la propria piattaforma online. Il punto del resto è stato chiaramente evidenziato proprio dalla Corte di giustizia nella giurisprudenza in precedenza esaminata in relazione alla piattaforma eBay. (82) In senso contrario v. Bertelli - Corsi, Amazon è responsabile per i danni causati dalla merce venduta in California. Analisi della sentenza ed applicabilità al contesto normativo europeo, cit.
600
DIRITTO DI INTERNET N. 4/2020
6. Considerazioni conclusive
Dall’analisi che precede emergono alcune considerazioni sugli effetti più in generale che la sentenza Bolger, e la sua potenziale applicazione nell’ordinamento giuridico dell’Unione europea nei termini di cui si è detto, potrebbe produrre a livello del diritto internazionale. Sotto un primo profilo, è agevole osservare come un eventuale consolidamento dei criteri enunciati nella sentenza Bolger nell’ordinamento statunitense e una loro eventuale affermazione nell’ambito dell’Unione europea, potrebbe di fatto tradursi nella formazione di una norma internazionale che imponga agli Stati il riconoscimento della responsabilità degli ISPs per danni da prodotti difettosi venduti attraverso le proprie piattaforme online. Seguendo quanto affermato dai giudici statunitensi, e dalla giurisprudenza anche dell’Unione europea per quanto concerne la possibilità di equiparare le piattaforme online ai venditori tradizionali, può ipotizzarsi che una simile norma avrebbe un ambito di applicazione limitato, nel senso cioè di applicarsi soltanto quando gli ISPs, in ragione di precise scelte effettuate consapevolmente in ordine alla vendita online di beni, assumano un ruolo decisivo per la finalizzazione della vendita nel rapporto tra venditore tradizionale e consumatore. Benché riguardante la disciplina di un aspetto peculiare della responsabilità degli ISPs, non se ne potrebbe trascurare l’importanza, non soltanto per l’ingente numero di transazioni commerciali che avvengono quotidianamente online e che coinvolgono un numero considerevole di individui, e con essi i loro diritti, ma anche per la idoneità della disciplina di uno specifico settore ad incidere su altri aspetti e in altri ambiti della responsabilità degli ISPs. Si contribuirebbe per questa via a favorire un maggiore controllo da parte degli Stati sulle conseguenze che da simili attività possono derivare a pregiudizio dei diritti degli individui. In tal senso è forse opportuno ricordare che, proprio in merito alle attività degli ISPs, si lamenta spesso, da un lato, l’assenza di un efficace controllo da parte degli Stati alla quale si ritiene auspicabile ovviare tramite la predisposizione di strumenti volti a scoraggiare la commissione di illeciti attraverso internet, e dall’altro, addirittura la predisposizione da parte degli Stati, nei rispettivi ordinamenti, di regole che in quanto limitano fortemente le ipotesi in cui un ISP può di fatto essere considerato responsabile, sembrano garantire una sostanziale libertà dei service providers ad operare in uno spazio che, se non proprio privo di regole, è quantomeno carente allo stato attuale di una chiara e adeguata disciplina. Vi è poi un altro aspetto, a nostro avviso interessante, che emerge dall’analisi della sentenza Bolger e più in generale dal contesto nel quale essa si colloca della responsabilità oggettiva per danno da prodotto difettoso, come esaminata anche nel contesto europeo. Ci riferiamo alle
GIURISPRUDENZA COMPARATA dinamiche che sottendono questa tipologia di responsabilità (e in particolare alla possibilità di estenderla anche ai venditori oltre che ai produttori) e ai riflessi in termini più strettamente economici, ma con importanti conseguenze giuridiche, soprattutto laddove proprio una piattaforma online quale Amazon venga equiparata ad un normale venditore. Il punto di partenza, per comprendere quanto diciamo, è la (ovvia) constatazione che le piattaforme online consentono con un semplice click l’acquisto di beni di qualsiasi genere prodotti in qualsiasi parte del mondo. Ad esempio tramite la piattaforma online di Amazon, con dominio negli Stati Uniti, è possibile acquistare qualsiasi bene prodotto anche al di fuori del territorio americano, così come dal dominio in Italia di Amazon è possibile acquistare beni di ogni genere prodotti al di fuori del mercato italiano e così via. Ebbene, negli ultimi anni proprio negli Stati Uniti sono state rivolte forti critiche alla politica definita “aggressiva” di Amazon nel reclutare aziende straniere nel suo marketplace, con la promessa di eliminare gli intermediari e di aggirare le normative che rendono difficoltoso a tali aziende il contatto con i consumatori americani (83). Il risultato di questo crescente commercio transfrontaliero, si è detto, ha prodotto un sostanziale crollo delle ispezioni che in passato consentivano un maggiore controllo degli eventuali prodotti non sicuri immessi nel mercato statunitense, rispetto ai quali peraltro, non è infrequente la difficoltà di individuare l’esatta provenienza. A seguito di un’indagine condotta nel 2019 dal Wall Street Journal dalla quale era emersa l’identificazione di migliaia di prodotti non sicuri, etichettati in modo errato e richiamati sul mercato di Amazon negli Stati Uniti, un gruppo di senatori americani aveva scritto a Jeff Baez, fondatore di Amazon, per esprimere le proprie preoccupazioni al riguardo, ricevendo in risposta un impegno ad attuare talune riforme volte a risolvere il problema (84). La conclusione che se ne è tratta è che, in quanto Amazon ha stravolto il modello tradizionale delle vendite e ha rivoluzionato le modalità del commercio, soprattutto eliminando molti degli ostacoli logistici che in passato impedivano ai produttori stranieri di immettere merci pericolose nel mercato (85), i giudici (83) Bender, Product Liability’s Amazon Problem, cit., 30. Si veda inoltre Shepard, How Amazon’s Wooing of Chinese Sellers is Killing Small American Businesses, disponibile al seguente link <https://www.forbes.com/sites/ wadeshepard/2017/02/14/how-amazons-wooing-of-chinese-sellers-is-hurting-american-innovation/#158542fe1df2>. (84) Berzon – Shifflett – Scheck, Amazon has Ceded Control of its Site. The Result: Thousands of Banned, Unsafe or Mislabeled Products, in The Wall Street Journal (23 agosto 2019), disponibile al seguente link <https:// www.wsj.com/articles/amazon-has-ceded-control-of-its-site-the-resultthousands-of-banned-unsafe-or-mislabeled-products-11566564990>. Sul punto v. anche Bender, Product Liability’s Amazon Problem, cit., 44. (85) Ibidem, 29.
dovrebbero permettere che gli individui, i quali lamentino di aver subìto danni derivanti da prodotti difettosi acquistati online, convengano in giudizio Amazon o altra piattaforma simile e vedano riconosciuti i propri diritti, consentendo un’evoluzione della dottrina della responsabilità oggettiva così “da adeguarsi alle realtà di un mondo del 21° secolo” (“to match the realities of a twenty-first century world”) (86). Da quanto precede, può osservarsi come il riconoscimento di una responsabilità oggettiva in capo agli ISPs, seppure in determinate circostanze, abbia l’obiettivo di promuovere un maggiore controllo da parte delle piattaforme online sulla sicurezza dei prodotti che siano ivi venduti. In termini analoghi, può presumersi che proprio la responsabilità oggettiva di Amazon accertata nella sentenza Bolger abbia l’effetto in ultima analisi di “condizionare” le scelte delle piattaforme sulle tipologie di prodotti da immettere nel mercato online, nel senso cioè di promuovere una più accurata selezione dei prodotti che rispettino i requisiti di sicurezza. È in questo senso che sembra potersi interpretare il passaggio della sentenza dei giudici californiani nel quale si ricorda ad Amazon che è proprio da determinate scelte consapevoli operate dalla piattaforma online che derivano precise conseguenze sul piano della responsabilità, come a dire che determinate scelte, piuttosto che altre, decise da Amazon, sono suscettibili di incidere direttamente sul livello di responsabilità rispetto ai danni provocati da prodotti difettosi. E tuttavia non può non rilevarsi il rischio che il riconoscimento di una simile responsabilità spinga, tanto i venditori tradizionali quanto gli ISPs, ad operare talune scelte che, se per un verso garantiscono indubbiamente un più efficace controllo sulla sicurezza dei prodotti, per un altro, potrebbero indurre a prediligere la vendita di prodotti fabbricati nei rispettivi mercati interni, a scapito dei produttori stranieri. In proposito, come già accennato, è proprio la direttiva dell’Unione europea sulla responsabilità per danno da prodotto difettoso a sollevare alcuni dubbi circa le possibili scelte dei venditori che importino nel mercato europeo beni dall’estero. Si è visto infatti come, tra le limitate ipotesi in cui il venditore può essere equiparato al produttore ai fini dell’accertamento della responsabilità oggettiva, vi è quella in cui il primo importi beni dall’estero. Anche in questo caso, può ben dirsi che il riconoscimento di una simile responsabilità abbia l’effetto pratico di favorire una maggiore garanzia sulla sicurezza dei prodotti venduti nel mercato europeo e prodotti all’estero, nonché una maggiore tutela dei consumatori ai quali viene così consentita la possibilità di intentare eventuali azio-
(86) Ibidem, 45.
DIRITTO DI INTERNET N. 4/2020
601
GIURISPRUDENZA COMPARATA ni risarcitorie contro più soggetti, ma non può neppure sottacersi il rischio che anche la disciplina europea in materia finisca per influenzare le scelte dei venditori e (laddove equiparabili) delle piattaforme online, talvolta a discapito dei produttori stranieri. Ciò in quanto, come si è già avuto modo di sottolineare, sarebbe chiaro ai venditori che l’unica ipotesi in cui non rischierebbero di incorrere nella responsabilità oggettiva per danno da prodotti difettosi, oltre a quella in cui il produttore non sia conosciuto, è quella appunto in cui non importino beni dall’estero. In sintesi, sembra che la disciplina sulla responsabilità per danni da prodotti difettosi applicata ai venditori tradizionali, e forse ancor di più alle piattaforme online in ragione dell’ingente numero di vendite ivi effettuate, sia suscettibile di porre gli Stati dinanzi alla necessità di garantire sì la massima tutela dei consumatori, ma anche il rispetto degli impegni assunti a livello internazionale nel senso di non porre in essere misure che possano gravare le merci importate più di quelle interne (87). È chiaro che un simile problema, di dover far fronte ad opposte esigenze, non si porrebbe laddove, tanto negli Stati Uniti quanto nell’Unione europea e altrove, fosse chiaro che l’aggravio di responsabilità per gli ISPs, così come per i venditori tradizionali, mira a tutelare i consumatori promuovendo (giustamente) un maggiore controllo sulla sicurezza dei prodotti ad essi venduti, quale che sia la provenienza e il luogo di fabbricazione del prodotto.
(87) Si veda in tal senso il divieto, contenuto nell’art. III del General Agreements on Tariffs and Trade (GATT), di prevedere regolamentazioni (“regulations and requirements”) interne, oltre a tasse e altri oneri, che gravino le merci importate più di quelle nazionali.
602
DIRITTO DI INTERNET N. 4/2020
GIURISPRUDENZA COMPARATA
IL COMMENTO
di Giovanna Capilli Sommario: 1. Introduzione – 2. Il caso Bolger vs Amazon e la rilevanza della logistica– 3. L’esperienza americana della responsabilità del produttore – 4. Il modello italiano della responsabilità del produttore – 5. Verso una responsabilità “oggettiva” delle piattaforme di e-commerce (anche per danni provocati da difetto dei prodotti)? – 6. Conclusioni. Il presente contributo esamina la recente sentenza della Corte californiana sulla responsabilità dei marketplace per i danni da prodotto. L’Autrice esamina il caso effettuando una disamina delle possibili ripercussioni della pronuncia sul sistema europeo della responsabilità del produttore anche alla luce delle direttive sulla vendita del 2019 e al Digital Service Act. This contribution examines the recent Judgment of the Court of Appeal of the State of California on marketplace liability for product damage. The Author examines the case by conducting an examination of the possible repercussions of the ruling on the European system of producer responsibility also in light of the directives on sales into in force in 2019 and the Digital Service Act.
1. Introduzione
La recente sentenza della Corte d’appello californiana del 13 agosto 2020 in tema di responsabilità da prodotto difettoso ha creato un certo clamore tra gli operatori del mercato e-commerce ed ha accesso il dibattito tra i giuristi, poiché ha affermato la responsabilità di Amazon - il cui sito web rappresenta in un certo senso “il negozio più grande del mondo” nell’era di Internet - per i danni causati dalla merce venduta sul suo marketplace (1). La decisione, le cui motivazioni sono condivisibili, evidenzia la necessità di rivedere le regole in tema di responsabilità per i danni da prodotto soprattutto sotto il profilo soggettivo ed indubbiamente potrà avere un forte impatto non solo nel diritto americano, ma anche in quello europeo e degli stati membri. Sono trascorsi molti anni dal famoso leading case sulla responsabilità del produttore negli USA, Greenman v. Yuba Power; all’epoca il sig. Greenman, che aveva subito danni a causa dell’acquisto di un utensile usato come tornio rivelatosi difettoso, aveva chiamato in causa il produttore (Yuba Power Products, Inc.) e il venditore (The Hayseed) entrambi noti per affermare la loro “strict liability in tort”. Oggi, l’evoluzione del settore dell’e-commerce ha modificato le modalità sia di acquisto che di vendita; la stessa piattaforma Amazon si è evoluta rispetto agli inizi, ha modificato il proprio modello di business e si è trasformata da negozio online a piattaforma in cui non solo vende i suoi prodotti, ma vende anche prodotti di terze parti (si tratta almeno del 60% delle transazioni). Alcune ricerche hanno appurato che i prodotti venduti sul sito web di Amazon si possono distinguere in due categorie generali; la prima (rappresentata dal circa 40% di vendite) rappresentata da quei prodotti che la stessa
(1) Per un’analisi della responsabilità degli ISPs, Nigro, in questa Rivista, supra, 2020, 589.
Amazon seleziona e acquista da produttori o distributori e poi vende ai consumatori a un prezzo stabilito da Amazon; la seconda rappresentata dai prodotti apparentemente venduti da terze parti per il tramite del sito web di Amazon. I c.d. “Venditori di terze parti” selezionano i propri prodotti, li acquistano da produttori o distributori, fissano il prezzo di acquisto e utilizzano Amazon per raggiungere i consumatori. Pagano una tariffa mensile o una tariffa per articolo per avere la possibilità di vendere sul sito web di Amazon. Gli elenchi di prodotti per le due tipologie di beni sono spesso simili e la principale distinzione tra le due tipologie di prodotti consiste nel fatto che per i prodotti i cui venditori sono “terze parti” viene specificato “venduto da” ed indicato il nome del venditore al posto di Amazon. Ai fini esplicativi, i giudici della Corte d’Appello hanno inserito la schermata del sito di Amazon, che abbiamo voluto anche in questo commento riportare di seguito, da cui emergono i suddetti dettagli. Il procedimento per acquistare tramite Amazon è noto ai più; basta collegarsi al sito o alla propria app, accedervi tramite le credenziali ed aggiungere il prodotto al carrello anche se è offerto da un venditore di terze parti; poi si può provvedere al pagamento, sempre tramite il sito e, a questo punto, la pagina di conferma dell’ordine identifica nuovamente il prodotto come “venduto da” e, per completare l’acquisto, Amazon addebita il prezzo sulla carta di credito dell’acquirente o un altro pagamento. Amazon informa i venditori di raccogliere tutte le vendite e i dati di ciascuna transazione, e si assume il rischio del mancato o fraudolento pagamento. Una volta acquisito il pagamento, Amazon detrae una commissione e aggrega le varie transazioni per poi accreditarle al venditore terzo con modalità periodiche. Un aspetto peculiare di tutto il sistema di vendita/acquisto tramite Amazon è rappresentato dalla logistica. Sotto questo profilo, infatti, Amazon assume un ruolo determinante, sia per i consumatori, ma soprattutto per
DIRITTO DI INTERNET N. 4/2020
603
GIURISPRUDENZA COMPARATA
i “venditori terzi” in quanto questi possono concordare la registrazione di prodotti nei programmi di logistica di Amazon il quale provvederà a spedirli direttamente all’acquirente. Il processo viene spiegato sul sito internet in questi termini per quanto riguarda i rapporti con i venditori terzi: “Amazon assegna il logo Gestito da Amazon ai prodotti di Logistica di Amazon. I clienti Amazon in tutta Europa prediligono i prodotti con questo logo perché garantiscono una consegna, un’assistenza clienti e una gestione dei resi superiori. Ciò può darti un vantaggio enorme rispetto ai venditori che non utilizzano Logistica di Amazon”; ed ancora “poiché i prodotti di Logistica di Amazon sono gestiti da Amazon, sono garantiti una spedizione rapida e un’assistenza clienti affidabile. Pertanto Amazon assegna ai prodotti di Logistica di Amazon idonei a Prime il logo Prime e garantisce che siano tra i primi visualizzati da milioni di clienti fedeli, anche in occasione di Prime Day, uno dei più importanti eventi di acquisto di Amazon. Raggiungere un numero maggiore di clienti Prime può comportare un incremento delle vendite”. Il ruolo di Amazon, quindi, diventa più complesso anche perché, sebbene normalmente rimetta i proventi delle vendite in base a un programma, esso si riserva il diritto di trattenere o ritardare il pagamento qualora dovessero sorgere controversie con i clienti. Emerge, quindi, che anche se il venditore è un “terzo”, il prodotto giunge al consumatore all’interno della confezione con marchio e logo Amazon. Vi è, però, un altro dato peculiare da cui si può trarre l’esistenza di un rapporto “diretto” tra il marketplace e il
604
DIRITTO DI INTERNET N. 4/2020
consumatore; si tratta della previsione della c.d. “Garanzia dalla A alla Z” fornita ai clienti. Sul sito è specificato che “la garanzia dalla A alla Z protegge i tuoi acquisti per gli articoli venduti e spediti dai venditori Marketplace. Si applica in caso di ritardo nella consegna e inconvenienti riscontrati con le condizioni degli articoli acquistati o con i resi”. La garanzia copre, quindi, anche i difetti (termine utilizzato, volutamente, da chi scrive in senso lato) dei prodotti venduti da terze parti; se il cliente incontra un problema deve contattare il venditore il quale avrà due giorni per rispondere, in caso di esito negativo Amazon rimborserà al cliente il costo del prodotto, il costo di spedizione per l’invio e per la restituzione. Fin qui, si potrebbe dire che Amazon si configura agli occhi dell’acquirente come un vero e proprio venditore (anche se online) e quindi sotto il profilo contrattuale risponde all’acquirente per eventuali difetti del prodotto. Più problematica è la questione nel caso in cui il prodotto, venduto tramite Amazon, provochi un danno all’acquirente. Prima di entrare nel merito della problematica, è necessario esaminare i fatti che hanno determinato la decisione californiana.
2. Il caso Bolger vs. Amazon e la rilevanza della “logistica”
La signora Angela Bolger acquistava una batteria sostitutiva per computer portatile sul sito Amazon. L’elenco Amazon per la batteria ha identificato il venditore
GIURISPRUDENZA COMPARATA come “E-Life”, un nome fittizio utilizzato su Amazon dal venditore Lenoge Technology (HK) Ltd. (di seguito “Lenoge”). Amazon addebitava a Bolger l’acquisto, recuperato il laptop batteria in un magazzino Amazon, lo spediva alla sig.ra Bolger in un imballaggio con marchio Amazon. Dopo diversi mesi la batteria esplodeva provocando alla signora gravi danni. Questa, pertanto, citava in giudizio Amazon e molti altri soggetti, produttori, distributori ed anche il venditore Lenoge, contestando la responsabilità oggettiva per danno da prodotti, violazione della garanzia implicita, violazione della garanzia espressa, oltre al negligence/negligent undertaking. Lenoge nonostante sia stato citato non si costituiva e Amazon richiedeva un giudizio sommario sostenendo principalmente l’inapplicabilità della responsabilità oggettiva per danno da prodotto al caso di specie, declinando qualsiasi forma di responsabilità in ragione della sua estraneità alla produzione, distribuzione e vendita del bene oggetto di causa. Precisava che Amazon era semplicemente un fornitore di servizi, mentre il venditore doveva essere identificato in E-Life (Lenoge). Il Tribunale in prima istanza accoglieva la tesi di Amazon respingendo la domanda costringendo così la signora Bolger a promuovere appello. La Corte d’Appello californiana ha accolto le doglianze della Bolger ribaltando la decisione del Tribunale affermando che Amazon rappresenti un vero e proprio pilastro del processo di vendita, e faccia parte della catena di distribuzione del prodotto avendo accettato il possesso del prodotto da Lenoge poiché si trovava nel magazzino Amazon, ha attirato la Bolger sul proprio sito web per l’acquisto, ha ricevuto il pagamento per il prodotto e ha effettuato la spedizione del prodotto utilizzando una confezione con logo Amazon. Evidenzia la Corte, altresì, che Amazon stabiliva i termini del suo rapporto con Lenoge, controllava le condizioni dell’offerta per la vendita su Amazon, limitava l’accesso di Lenoge alle informazioni sui clienti del sito, tanto che il venditore terzo era costretto a comunicare con i clienti tramite Amazon. Secondo la Corte, qualunque sia il termine utilizzato per descrivere il ruolo di Amazon, sia esso “rivenditore”, “distributore”, o semplicemente “facilitatore”, non si può non constatare l’importanza del ruolo assunto da Amazon nella vendita. Occorre tenere conto delle nuove realtà di mercato e considerare la struttura del rapporto di Amazon con il venditore terzo, da un lato, e Bolger consumatore, dall’altro. Si tratta di un rapporto contrattuale complesso in cui è indiscutibile la centralità di Amazon nella conclusione e nell’esecuzione del contratto. Amazon è un anello diretto nella catena di distribuzione, agendo come un potente intermediario tra il venditore terzo e il consumatore. Peraltro, Amazon è l’unico sog-
getto ragionevolmente disponibile per un consumatore danneggiato, svolge un ruolo sostanziale nel garantire che i prodotti elencati sul suo sito web sono sicuri, può esercitare ed esercita pressione sui distributori a monte per aumentare la sicurezza e ha la capacità di adeguare il costo della responsabilità tra sé e i suoi venditori di terze parti attraverso contratti tra professionisti. La Corte, dopo avere evidenziato l’ampliamento dei principi della responsabilità oggettiva del produttore anche al rivenditore e al dettagliante, ha concluso che Amazon deve essere ritenuta responsabile se un prodotto venduto tramite il suo sito web risulta essere difettoso (2). La circostanza che il marketplace possa essere considerato responsabile per i danni da prodotti difettosi costituirebbe per il consumatore e comunque degli utenti in generale una maggiore tutela, posto che il soggetto con cui quest’ultimi si interfacciano è Amazon. In un certo senso, è lo stesso principio che dal punto di vista della responsabilità contrattuale il legislatore europeo ha applicato in caso di garanzie per difetto di conformità dei prodotti. In questo ambito, il diritto comunitario prevede, infatti, in caso di mancanza di conformità del bene acquistato, una responsabilità legale del venditore, con la possibilità per il consumatore di attivare i rimedi nei confronti di quest’ultimo, fatta salva in ogni caso la possibilità del venditore di agire in regresso nei confronti del soggetto cui è imputabile il difetto di conformità. La sentenza Bolger sottolinea un dato al fine di riconoscere la responsabilità oggettiva di Amazon e cioè che il ruolo di Amazon nel rapporto di vendita non era stato per nulla marginale, rilevando altresì che vi è comunque sempre la possibilità per Amazon e le terze parti di regolare i costi di tale protezione tra di loro nel corso della loro relazione d’affari. D’altra parte la ripartizione del rischio tra i vari componenti la catena di vendita e di distribuzione è certamente una garanzia per il cliente. Ma leggendo la sentenza ci si avvede che uno degli elementi che la Corte ha ritenuto veramente decisivo per attribuire la responsabilità al marketplace è rappresentato dal fatto che il prodotto fosse stato consegnato alla querelante in un “pacco amazon”. Tale circostanza assume rilievo e certamente appare determinante se si considera un altro recentissimo caso, Stiner vs. Amazon, in cui, invece, la Suprema Corte dell’Ohio (3) si è espressa in senso diverso proprio in (2) Vedi Vandermark v. Ford Motor Co. (1964)61 Cal.2d 256, 262 (Vandermark) (3) Stiner v. Amazon, Inc., 2019-Ohio-586; <https://cases.justia.com/ohio/ninth-district-court-of-appeals/2019-17ca011215. pdf?ts=1550585652>.
DIRITTO DI INTERNET N. 4/2020
605
GIURISPRUDENZA COMPARATA base al fatto che il venditore terzo non si fosse avvalso del sistema di logistica di Amazon con ciò impedendo a quest’ultimo di avere un controllo sul prodotto. Per fare comprendere le differenze rispetto al caso Bolger, occorre sintetizzare i fatti che hanno dato vita al caso Stiner. La causa nasce dalla tragica morte di un ragazzo (Logan Stiner) a causa dell’ingerimento di una dose fatale di caffeina in polvere acquistata su Amazon da un venditore di terze parti che non si era avvalso del programma di logistica di Amazon (Fulfillment by Amazon), quindi, il prodotto era stato inventariato, imballato e spedito dal terzo venditore. Le domande di Stiner sono state respinte in primo grado ed in appello. La Corte Suprema dell’Ohio, dopo avere inizialmente respinto il “discretionary appeal” di Stiner, lo ha riconsiderato in relazione a due questioni e cioè: “(1) Where an internet provider such as Amazon acts as more than a neutral platform for third-party sales and actively promotes the sale of a deadly product, courts must apply public policy considerations underlying Ohio’s consumer protection laws, including incentivizing safety and shifting risk away from consumers, in determining supplier status. (2) An internet provider such as Amazon “otherwise participates in placing a product in the stream of commerce” and is a “supplier” under O.R.C. [2307.71(A)(15)] when it agrees to promote a deadly consumable product, introduces and recommends that product to a consumer, and otherwise uses its influence to lead that consumer to believe the product is safe”. Su tali aspetti, la Corte ha affermato che Amazon non può essere considerato “fornitore” ai sensi della legge statale sulla responsabilità del prodotto in quanto non aveva il controllo sul prodotto; il giudice Judith French scrive in particolare: “Amazon never had physical possession of the caffeine powder, and never moved or stored the product”. La Corte sottolinea che ciò che differenzia il caso Bolger e il caso Stiner è proprio il fatto che il venditore terzo nel primo aveva partecipato al programma “Fulfillment by Amazon”, e ciò non si era verificato nel secondo caso. Dirimente, quindi, appare, leggendo le motivazioni date dalle due Corti, il ruolo assunto da Amazon sotto il profilo della logistica, aspetto che evidentemente incide sulla qualificazione soggettiva di Amazon ai fini della attribuzione della responsabilità. Il sito web di Amazon oggi consente agli utenti di vedere e scegliere prodotti che vengono venduti da milioni di sellers; i prodotti vengono acquistati utilizzando come mezzo di pagamento quello scelto da Amazon, previa registrazione al sito internet, e la possibilità di ricevere il prodotto in breve tempo all’interno di pacchi marchiati “amazon” e ciò rappresenta per gli stessi consumatori un “garanzia” di sicurezza basata anche su un dato reputazionale. Ma se i prodotti si rivelano difettosi e di conseguenza provocano danni al loro acquirente, Amazon è quasi
606
DIRITTO DI INTERNET N. 4/2020
sempre in grado di evitare conseguenze legali basando la sua difesa sulla circostanza che il suo ruolo in queste vendite è semplicemente quello di un “facilitatore” nel senso che si limita a mettere in contatto venditori indipendenti con i clienti. Sebbene l’azienda abbia già annunciato di proporre appello, considerato che le piattaforme di e-commerce hanno assunto un ruolo fondamentale nelle strutture di vendita delle aziende e nelle abitudini di acquisto dei consumatori, la situazione potrebbe cambiare e non solo negli USA, ed a ben vedere già sussistono i presupposti per poter ritenere le piattaforme online responsabili. L’evoluzione digitale, ma soprattutto le modifiche che hanno caratterizzato i modelli di business delle piattaforme online - che oggi a tutti gli effetti sono paragonabili, in presenza di certe condizioni, ai venditori tradizionali - implicano la necessità di riesaminare la stessa struttura della vendita nonché i rapporti di responsabilità e rivalsa tra i soggetti che utilizzano le piattaforme di e-commerce per la vendita dei loro prodotti e i consumatori.
3. L’esperienza americana della responsabilità del produttore. Cenni.
Nel diritto nordamericano (4), inteso come modello statunitense, le sentenze più rilevanti in tema di responsabilità del produttore risalgono agli anni sessanta. Ricordiamo per esempio il caso Henningsen v. Bloomfield Motor Co. in cui venne affermata la responsabilità solidale del rivenditore e del costruttore di un veicolo che si era improvvisamente bloccato riversandosi in un fosso e causando danni all’acquirente. In tal caso, la Corte Suprema del New Jersey fondò la pronuncia sulla “implied warranty”, vale a dire una “garanzia implicita” nel contratto di vendita in base alla quale è responsabile oggettivamente anche il fabbricante. Il principio venne poi disciplinato nell’Uniform Commercial Code (versione del 1962) in base al quale venditore e fabbricante sono oggettivamente responsabili per i prodotti difettosi. La definitiva affermazione della strict liability si è avuta con il leading case Greenman v. Yuba Power del 1963 (5), in cui venne fissata la regola in base alla quale “il produttore è oggettivamente responsabile se, diffondendo un prodotto sul mercato, con la consapevolezza che (4) Per un esame v. Alpa (a cura di), La responsabilità del produttore, Milano, 2019, 220 e ss., il quale a p. 221 sub nota 13 riporta la pittoresca immagine di Prosser il quale evidenziava come si stesse realizzando una vera e propria evoluzione della product liability (The Assault Upon the Cittadel Strict Liability to Consumer, in 69 Yele, L. J. 1960, 1099 e ss.); si veda anche l’analisi effettuata da Bender, Product Liability’s Amazon Problem (June 16, 2020). Journal of Law & Technology at Texas (forthcoming), all’indirizzo SSRN: <https://ssrn.com/abstract=3628921 or http://dx. doi.org/10.2139/ssrn.3628921> (5) Per il testo tradotto della decisione si veda: Alpa-Bessone, La responsabilità del produttore, Milano, 1999, 192-193.
GIURISPRUDENZA COMPARATA esso sarà usato senza alcun controllo preventivo, il prodotto risulta pericoloso per la salute umana”, testo ripreso nel Restatement (Second) of Tort section 402 A (6). Tuttavia, a questo è seguita la necessità di precisare gli aspetti della responsabilità del fabbricante, per esempio con riferimento all’assembler ovvero al certifier (7). Il modello statunitense costituisce il punto di riferimento per le discipline sulla responsabilità del produttore e si può ritenere indubbiamente che la direttiva comunitaria del 1985 si pone nella sua scia nel momento in cui ha sancito il principio della responsabilità senza colpa. A partire dal caso Greenman si è affermato il concetto in base al quale l’utente fa affidamento sul corretto funzionamento del prodotto e, pertanto, non deve rimanere “imbrigliato negli intrichi della disciplina della vendita” (8). La Corte californiana sembra andare proprio in questa direzione nel momento in cui dichiara responsabile Amazon quale elemento determinante di tutta l’operazione di vendita. Altro elemento che nel modello americano viene evidenziato riguarda il criterio di imputazione della responsabilità basato sulle aspettative del consumatore; sebbene si tratti di uno “standard alternativo” per valutare la difettosità del prodotto nel senso che le ragionevoli aspettative del consumatore non costituiscono di per sé e da sole un criterio sufficiente a fondare la responsabilità oggettiva. Nel caso che si commenta, per esempio, la Corte assume come in primo luogo, Amazon, come i rivenditori tradizionali, potrebbe essere l’unico membro della catena di distribuzione ragionevolmente a disposizione di un attore danneggiato che acquista un prodotto sul proprio sito web; in secondo luogo, come i rivenditori tradizionali, “may play a substantial part in insuring that the product is safe or may be in a position to exert pressure on the manufacturer to that end; the retailer’s strict liability thus serves as an added incentive to safety”, tanto è vero che poichè “Amazon customers have an expectation of safety—and Amazon specifically encourages that expectation—it is appropriate to hold Amazon strictly liable when a defective product is sold through its website”; in terzo luogo “like conventional retailers, has the capacity to adjust the cost of compensating injured plaintiffs between itself and the third-party sellers in the course of their ongoing relationship”.
(6) Per un esame Titus, Restatemeent (Second) of Tort section 402 A and the Uniform Commercial code, in 22 Stam. L. Rev. 1970. (7) In alcuni casi, infatti, il certificatore è stato considerato responsabile unitamente al produttore qualora avesse agito su commissione di quest’ultimo. (8) Espressione utilizzata da Alpa, op. cit., 321. L’autore si sofferma anche sulla problematica della definizione di difetto del prodotto e dalla sua evoluzione nella dottrina e nei casi americani.
4. Il modello italiano di responsabilità del produttore e sicurezza dei prodotti
Al fine di verificare se la disciplina attualmente in vigore possa consentire di affermare, in presenza di determinate condizioni, la responsabilità di una piattaforma online per i danni provocati dalla vendita di prodotti difettosi e/o pericolosi, anche in relazione alla motivazione contenuta nella sentenza Bolger, dobbiamo fare un cenno a quanto previsto dal codice del consumo italiano nella parte in cui si occupa della “Sicurezza e qualità” che disciplina la sicurezza dei prodotti e della responsabilità del produttore, art. 103 e ss. Come noto, le finalità di prevenzione dei rischi e dei danni connessi con l’uso di prodotti sono stati al centro delle politiche europee per molti anni e sono state perseguite, a partire dagli anni Ottanta del Novecento, con particolare attenzione, costanza e sistematicità dalla Comunità Europea e dalle istituzioni europee che si occupano della tutela dei consumatori. La stessa Comunità aveva avviato un’intensissima legislazione concernente singoli aspetti della sicurezza dei prodotti: si pensi ai provvedimenti relativi alla composizione dei prodotti alimentari e delle bevande, ai farmaci, ai cosmetici; provvedimenti relativi alla confezione, all’etichettatura, all’informazione del consumatore sui rischi dei prodotti. Una disciplina multiforme, intricata, che però ha contribuito ad elevare gli standard di qualità e di sicurezza dei prodotti, anche nel nostro paese (9). Originariamente la disciplina sulla sicurezza generale dei prodotti è stata introdotta nel nostro ordinamento con il recepimento della direttiva 92/59/CEE attraverso il d.lgs. 115/1995 e successivamente la direttiva più recente è quella del 2001/95/CE attuata con d.lgs. 21.5.2004, n. 172, ora incorporato nel codice del consumo agli artt.102 ss. Obiettivo delle norme è quello di prevenire rischi rilevanti per la collettività attraverso la previsione di uno standard uniforme di sicurezza e di salute per le per-
(9) Per un esame delle fasi del processo di promozione della libera circolazione di merci sicure, si veda Bellisario, La sicurezza dei prodotti: profili evolutivi e aspetti sostanziali, in Diritto dei consumi (a cura di L. Rossi Carleo), Torino, 2015, 204 e ss., la quale evidenzia una prima fase caratterizzata dall’opera di armonizzazione delle legislazioni nazionali e dall’opera della giurisprudenza con l’affermazione del c.d. “principio del mutuo riconoscimento”; una seconda fase, a partire dagli anni Ottanta, in cui il legislatore europeo individua ed elabora una precisa strategia legislativa finalizzata ad abbattere le barriere tecniche e normative alla libera circolazione dei prodotti ad assicurare ai consumatori standard minimi ed uniformi di sicurezza e a ridurre per quanto possibile lo scarto tra il dato normativo e una realtà in rapidissima evoluzione; una terza fase caratterizzata dal passaggio da un approccio verticale (regole settoriali e specifiche) ad un approccio orizzontale (regole generali, sistemiche e trasversali).
DIRITTO DI INTERNET N. 4/2020
607
GIURISPRUDENZA COMPARATA sone (10), con ciò evidenziando la crescente attenzione dell’Unione che va oltre la creazione del mercato unico in quanto implica la tutela di interessi non patrimoniali quali la salute e la sicurezza del consumatore. La normativa sulla sicurezza e qualità dei prodotti (artt. 102 – 113) mira a tutelare in via preventiva il consumatore, attraverso l’immissione sul mercato di prodotti sicuri e l’eliminazione dei prodotti insicuri; diversamente, la disciplina sulla responsabilità del produttore offre una tutela ex post di tipo risarcitorio nel caso di danni causati da prodotti difettosi/insicuri (11). In questo contesto occorre fare qualche riferimento alle definizioni contenute nell’ambito del codice del consumo. La definizione di prodotto sicuro è contenuta nell’art. 103 del codice del consumo e per tale deve intendersi “qualsiasi prodotto, come definito all’articolo 3, comma 1, lettera e) (12) che, in condizioni di uso normali o ragionevolmente prevedibili, compresa la durata e, se del caso, la messa in servizio, l’installazione e la manutenzione, non presenti alcun rischio oppure presenti unicamente rischi minimi, compatibili con l’impiego del prodotto e considerati accettabili nell’osservanza di un livello elevato di tutela della salute e della sicurezza delle persone in funzione di elementi” come i) caratteristiche del prodotto, ii) effetto del prodotto su altri prodotti, iii) presentazione del prodotto, della sua (10) Albanese, La sicurezza generale dei prodotti e la responsabilità del produttore nel diritto italiano ed europeo, in Europa e Diritto privato 2005, 977. (11) Sulla responsabilità del produttore, cfr. Trib. Trento, 3 maggio 2012, secondo cui “la responsabilità del produttore per il prodotto difettoso ha natura oggettiva, in quanto sussistente anche nelle ipotesi in cui egli non abbia colpe dirette, qualora in fase di produzione non abbia agito né in maniera dolosa, né in maniera colposa, e dunque per il solo fatto di creare una situazione di pericolo, quale può essere la commercializzazione di un prodotto difettoso. Quanto al danno risarcibile, tuttavia, il disposto dell’art. 123 del Codice del Consumo limita espressamente l’ambito del medesimo alle sole ipotesi di danno cagionato dalla morte o da lesioni personali, oppure la distruzione o il deterioramento di una cosa diversa dal prodotto difettoso”. In senso conforme, cfr. Trib. Caltanissetta, 14 ottobre 2008, secondo cui si tratta di un modello di responsabilità extracontrattuale oggettiva: “il produttore diviene automaticamente responsabile dei danni causati dal bene che ha fabbricato, a partire dal momento in cui lo mette in commercio, con l’unico correttivo derivante dal fatto che, perché il produttore venga concretamente ritenuto responsabile, è necessaria comunque la presenza nel prodotto di un difetto, del danno e del nesso di causalità tra l’uno e l’altro, dei quali il danneggiato deve dare la prova”. V. anche Trib. Firenze, 26 marzo 2014; Trib. Napoli, 21 marzo 2006. (12) Art. 3, comma 1, lettera e) definisce “prodotto: fatto salvo quanto stabilito nell’art. 115, comma 1, [in base al quale prodotto è ogni bene mobile, anche se incorporato in altro bene mobile o immobile] qualsiasi prodotto destinato al consumatore, anche nel quadro di una prestazione di servizi, o suscettibile, in condizioni ragionevolmente prevedibili, di essere utilizzato dal consumatore, anche se non a lui destinato, fornito o reso disponibile a titolo oneroso o gratuito nell’ambito dell’attività commerciale, indipendentemente dal fatto che sia nuovo, usato o rimesso a nuovo; tale definizione non si applica ai prodotti usati, forniti come pezzi d’antiquariato, o come prodotti da riparare o da rimettere a nuovo prima dell’utilizzazione, purché il fornitore ne informi per iscritto la persona cui fornisce il prodotto”.
608
DIRITTO DI INTERNET N. 4/2020
etichettatura, delle eventuali avvertenze e istruzioni per il suo uso e la sua eliminazione, nonché di qualsiasi altra indicazione o informazione relativa al prodotto, iv) categorie di consumatori che si trovano in condizione di rischio nell’utilizzazione del prodotto, in particolare minori e anziani. Qualora un prodotto non risponda alla definizione di prodotto sicuro, come sopra indicato, verrà considerato pericoloso. Intorno alla definizione di “prodotto sicuro” ruota tutto l’impianto della tutela del consumatore (13). Sul punto parte della dottrina ha sottolineato come una definizione così rigorosa del livello di rischio, nell’ambito della normativa sulla sicurezza dei prodotti, definito con maggiore precisione rispetto a quanto previsto in sede di responsabilità del produttore, potrebbe comportare “una drastica riduzione dei prodotti in circolazione”, per cui sarebbe stato opportuno e “più utile mantenerla a livello di “considerando” anzichè inserita nel quadro di un articolato normativo. Il mancato riferimento ai benefici sociali derivanti dalla immissione del prodotto sul mercato riduce considerevolmente la possibilità di procedere ad un’analisi costi – benefici. L’obiettivo dell’eliminazione totale del rischio alla salute del consumatore si rivela illusorio e talvolta controproducente, ove legittimi l’opzione di escludere dal mercato prodotti che, pur presentando rischi, generano benefici elevati per i consumatori che li utilizzano” (14). Il legislatore riconduce la sicurezza del prodotto all’assenza di rischio o quanto meno alla presenza di rischi considerati “accettabili” in relazione all’elevata tutela della salute e della sicurezza delle persone. Il che significa che è possibile che sul mercato siano introdotti beni che espongano a rischi, seppure minimi, ma il divieto riguarda beni che siano irragionevolmente pericolosi per i consumatori e per i loro beni. Di conseguenza, per valutare la pericolosità di un prodotto si dovranno valutare vari elementi, posto che la possibilità di raggiungere un livello di sicurezza superiore o di procurarsi altri prodotti che presentano un rischio minore non costituisce un motivo sufficiente per considerare un prodotto come non sicuro o pericoloso (art. 103 comma 2 c.cons.). È stata introdotta una presunzione di sicurezza del prodotto nell’art. 105 del codice del consumo, in base al quale un prodotto si presume sicuro quando – in mancanza di specifiche disposizioni comunitarie che disci-
(13) Mettendo in evidenza che si tratta di una tutela di tipo preventivo per cui il livello di rischio è definito con maggiore precisione rispetto a quello che accade in sede di responsabilità del produttore si ha l’impressione che il livello di sicurezza imposto sia superiore a quello previsto in sede di responsabilità, così Dona, Il codice del consumo, Torino, 2005, 150. (14) Cafaggi, La responsabilità dell’impresa per i prodotti difettosi, in Trattato di diritto privato europeo, a cura di Lipari, Padova, 2003, IV, 570.
GIURISPRUDENZA COMPARATA plinano gli aspetti di sicurezza - : i) è conforme alla legislazione vigente nello Stato membro in cui il prodotto stesso è commercializzato e con riferimento ai requisiti cui deve rispondere sul piano sanitario e della sicurezza; ii) per quanto concerne i rischi e le categorie di rischi disciplinati dalla normativa nazionale, quando è conforme alle norme nazionali non cogenti che recepiscono le norme europee. In mancanza di tali norme la sicurezza dovrà essere valutata “in base alle norme nazionali non cogenti che recepiscono norme europee, alle norme in vigore nello Stato membro in cui il prodotto è commercializzato, alle raccomandazioni della Commissione europea relative ad orientamenti sulla valutazione delle sicurezza dei prodotti, ai codici di buona condotta in materia di sicurezza vigenti nel settore interessato, agli ultimi ritrovati della tecnica, al livello di sicurezza che i consumatori possono ragionevolmente attendersi”. Si tratta di una presunzione relativa, per cui qualora il prodotto si riveli comunque pericoloso, anche malgrado la sua conformità alle norme, le autorità potranno adottare le misure ritenute necessarie. Ampio è il quadro dei soggetti all’obbligo generale di sicurezza dei prodotti che, secondo quanto stabilito dall’art. 103 lettera d), sono il produttore, il distributore, l’importatore (15) e chiunque si presenti come produttore apponendo sul prodotto il proprio nome, marchio o altro segno distintivo. In tal modo rispetto allo schema di tutela proprio della responsabilità da prodotto difettoso, la normativa in materia di sicurezza opta per una migliore ripartizione delle responsabilità in quanto coinvolge l’intera catena distributiva, consentendo così di assicurare maggiori garanzie per il consumatore (16). Ed ecco che, per esempio, è stato qualificato “produttore”, in tema di immissione sul mercato di prodotti pericolosi, ai fini dell’applicazione della sanzione penale prevista dall’art. 112, comma 2, Cod. cons., il commerciante, anche al minuto, di prodotti pericolosi quando la sua attività può incidere sulle caratteristiche di sicurezza del prodotto (17). Il produttore, quindi, deve immettere sul mercato solo prodotti sicuri; deve fornire al consumatore tutte le informazioni utili alla valutazione e alla prevenzione dei rischi derivanti dall’uso normale o ragionevolmente pre-
(15) Trib. La Spezia, 23 febbraio 2010 secondo cui “La contravvenzione di cui all’art. 112 non può essere contestata all’importatore di prodotti qualificati pericolosi se quest’ultimo non ne è anche il produttore non potendo tale responsabilità essere ascritta allo stesso neanche ex art. 103 allorquando esiste un rappresentante della ditta produttrice stabilito nella Comunità europea”. (16) Dona, op. cit., 151. (17) Cass. pen., sez. III, 4 dicembre 2007, n. 6787: nella specie è stata riconosciuta come tale la vendita al dettaglio di un ciclomotore in un negozio di giocattoli.
vedibile del prodotto; deve adottare misure proporzionate in funzione delle caratteristiche del prodotto fornito per consentire al consumatore di essere informato sui rischi connessi al suo uso e per prendere le iniziative opportune per evitare tali rischi (es. ritiro del prodotto dal mercato, richiamo) (18). Per quanto riguarda l’immissione nel mercato, questa va intesa come uscita del prodotto dalla sfera della produzione per entrare in qualsiasi modo nella sfera di utilizzazione del consumatore. Sul punto la giurisprudenza della Suprema Corte sezione penale ha statuito che “la definizione della condotta di “immissione sul mercato” di un prodotto pericoloso deve essere coerentemente interpretata alla luce del suo oggetto (il prodotto, appunto), sicché deve intendersi immesso sul mercato il prodotto destinato alla clientela e reso disponibile nell’ambito dell’attività commerciale” (19). Ed ancora è stato affermato che “in tema di immissione sul mercato di prodotti pericolosi, poiché la sicurezza di un prodotto deve essere correlata alle condizioni di uso normale o ragionevolmente prevedibile dello stesso, deve considerarsi pericoloso quel prodotto che appare destinato ad una categoria di consumatori che si trovano in condizioni di maggior rischio nell’utilizzazione del prodotto medesimo” (20). È stato chiarito, altresì, che l’immissione sul mercato di prodotti pericolosi comprende sia la messa in circolazione del prodotto, sia la sua fornitura al consumatore finale da parte del rivenditore quale ultimo anello della catena di distribuzione (21).
(18) Marie - Eve Arbour, Sécurité des produits, santé des consommateurs, reesponsabilités et constitutions: synergies comparées, 2013, 7, RD & santé McGill 169; Id., A proposito della nebulosa. Principio di precauzione – responsabilità civile, in Il diritto civile tra principi e regole – Liber amicorum per Francesco D. Busnelli, Milano, 2008, 513-528. (19) Cass. pen., sez. III, 11 novembre 2014, n. 15235: nella specie, la Corte ha ritenuto integrato il reato di cui all’art. 112 comma 2 Cod. consumo, nei confronti dell’imputato che deteneva nel magazzino delle minimoto importate dalla Cina e ritenute pericolose per la salute e la sicurezza del consumatore per vizi di costruzione, identiche a quelle esposte per la vendita, comportando tale situazione una concreta disponibilità del prodotto a favore della clientela interessata. (20) Cass. pen., Sez. III, 4 dicembre 2007, n. 6787: fattispecie nella quale la pericolosità è stata riconosciuta con riferimento a scooters elettrici destinati alla vendita a minori di quattrodici anni e capaci di raggiungere la velocità massima di 17 km/h, eccedente il limite indicato dall’art. 196 del Reg. esecuzione del codice della strada, sufficiente ad escludere la natura di giocattolo. (21) Cass. pen., sez. III, 13 novembre 2013, n. 8679: In motivazione la S.C. ha chiarito che la definizione di “distributore” è comprensiva di qualsiasi operatore professionale della catena di commercializzazione, la cui attività non incide sulle caratteristiche di sicurezza dei prodotti, con l’evidente esclusione del solo produttore, pure indicato dalla disposizione quale soggetto attivo del reato.
DIRITTO DI INTERNET N. 4/2020
609
GIURISPRUDENZA COMPARATA I doveri informativi comprendono le istruzioni, le modalità di impiego del prodotto, gli eventuali pericoli a persone e cose. Dal canto suo, il distributore deve agire con diligenza per contribuire a garantire l’immissione sul mercato di prodotti sicuri; non deve fornire prodotti di cui conosce o avrebbe dovuto conoscere la pericolosità in base alle informazioni in suo possesso e nella sua qualità di operatore professionale; deve partecipare al controllo di sicurezza, trasmettendo le informazioni concernenti i rischi del prodotto al produttore e alle autorità competenti. Dal quadro sopradescritto, anche con i richiami giurisprudenziali, emerge una definizione di sicurezza fortemente legata alle informazioni che vengono trasferite al consumatore e attraverso le quali questi può venire a conoscenza dei rischi, ma anche profili di responsabilità per i diversi soggetti della catena di vendita. La disciplina della responsabilità del produttore è contenuta a seguire negli artt. 114 – 117 del codice del consumo, norme in cui sono trasposte le regole della direttiva dir. n. 374/85 CEE. Il capo si apre con il principio generale per cui “il produttore è responsabile del danno cagionato da difetti del suo prodotto” (22), e per “prodotto” si intende “ogni bene mobile, anche se incorporato in un altro bene mobile o immobile”. La nozione di produttore è molto ampia, in quanto ricomprende anche il fornitore (23). La direttiva comu-
Secondo Trib. Napoli, 4 novembre 2010 “La responsabilità del distributore può affermarsi ai sensi dell’art. 2050 c.c., qualora lo stesso non abbia offerto la prova liberatoria, rappresentata dalla dimostrazione del fortuito o comunque di avere adottato tutte le misure idonee ad evitare il danno. (Nella specie, rispondono dei danni ai sensi dell’art. 104 e 117 D.Lgs. 206/2005 sia ai sensi degli artt. 2043 e 2050 c.c. le società produttrici e distributrici del prodotto disgorgante liquido, che nelle avvertenze apposte sulla confezione non conteneva il divieto di utilizzare imbuti)”. Si esclude l’applicabilità della normativa speciale in tema di danno da prodotto difettoso nel caso di pregiudizio esclusivamente “commerciale” subito dall’operatore economico acquirente di una fornitura difettosa, consistente in maggiori difficoltà di rivendita dei beni, reclami della clientela ed eventuali azioni di restituzioni e di danni, ancorchè il difetto della fornitura abbia comportato il danneggiamento del prodotto finale dell’acquirente della fornitura stessa, poiché in questo caso l’acquirente è stato colpito non nella sua qualità di utente o consumatore, ma nell’esercizio della sua attività economica o commerciale, e il danno si è ripercosso sugli utili di tale attività. Cfr. Cass. civ., Sez. III, del 7 maggio 2015, n. 9245. In senso conforme, Cass. civ., 22 agosto 2013, n. 19414. (22) Toriello, La responsabilità del produttore, in La responsabilità d’impresa, a cura di Alpa e Conte, cit., 89 ss., in cui ampi richiami bibliografici sub nt. 1 ai quali si rinvia, il quale evidenzia come la normativa sulla responsabilità del produttore si occupa di “garantire un adeguato risarcimento a chi abbia a risentire dei pregiudizi derivanti da errori tecnici, difetti del processo produttivo, negligenza dei dipendenti della grande industria di produzione, nonché di fornire una soluzione al problema della razionale distribuzione dei costi connessi a tali tipi di danno”. (23) Secondo Trib. Napoli, 28 febbraio 2002, in Giur. nap., 2002, 247, “deve intendersi produttore anche colui che, sebbene non provveda alla materiale
610
DIRITTO DI INTERNET N. 4/2020
nitaria introduce un criterio di responsabilità oggettiva perché prescinde dall’accertamento della colpa (24); il danneggiato, per parte sua, deve provare il danno, il difetto e il nesso causale tra il difetto e il danno (25). Il criterio di imputazione della responsabilità è, quindi, basato sul rischio dell’immissione del prodotto sul mercato e sulla nozione di difetto. Con riferimento alla difettosità del prodotto, essa è strettamente correlata al concetto di “sicurezza”, nel senso che “è difettoso – ai sensi dell’art. art. 5 del d.P.R. n. 224 del 1988 (oggi trasfuso nell’art. 117 Codice del Consumo) – quel prodotto che non offra la sicurezza che ci si può legittimamente attendere in relazione al modo in cui il prodotto è stato messo in circolazione, alla sua presentazione, alle sue caratteristiche palesi alle istruzioni o alle avvertenze fornite, all’uso per il quale il prodotto può essere ragionevolmente destinato, e ai comportamenti che, in relazione ad esso, si possono ragionevolmente prevedere, al tempo in cui il prodotto è stato messo in circolazione” (26). Per cui, anche assumendo come parametro integrativo di riferimento la nozione di prodotto “sicuro” contenuta nella disciplina sulla sicurezza generale dei prodotti di cui al d. lgs. 21.5.2004, n. 172, ora riprodotta nell’art. 103 cod. cons. italiano, “il livello di sicurezza prescritto, al di sotto del quale il prodotto deve, perciò, considerarsi difettoso, non corrisponde a quello della sua più rigorosa innocuità, dovendo, piuttosto, farsi riferimento ai requisiti di sicurezza generalmente richiesti dall’utenza in relazione alle circostanze specificamente indicate dall’art. 5 sopra cit. o ad altri elementi in concreto valutabili e concretamente valutati dal giudice di merito, nell’ambito dei quali, ovviamente, possono e debbono farsi rientrare gli standards di sicurezza eventualmente imposti dalle norme in materia” (27). Ai fini del nostro commento dobbiamo ricordare come la giurisprudenza italiana abbia definito produttore ai fini dell’applicabilità della normativa di derivazione produzione del bene, effettui la commercializzazione dello stesso indicandolo nei propri cataloghi o listini come un componente per l’installazione di un proprio prodotto”. (24) Sul tema vale la pena richiamare Cass., 19 febbraio 2016, n. 3258, in Dejure, che assume la natura presunta, e non oggettiva, della responsabilità del produttore, “poiché prescinde dall’accertamento della colpevolezza del produttore, ma non anche dalla dimostrazione dell’esistenza di un difetto del prodotto. Incombe, pertanto, sul soggetto danneggiato – ai sensi dell’art. 8 del d.P.R. 24 maggio 1988, n. 224 (trasfuso nell’art. 120 del cd. “codice del consumo”) – la prova specifica del collegamento causale non già tra prodotto e danno, bensì tra difetto e danno, ciò rappresentando un prerequisito della responsabilità stessa, con funzione delimitativa dell’ambito di applicabilità di essa”. (25) Per una riflessione sulla responsabilità da prodotto in Germania nell’era digitale si veda: Riehm-Meier, Product Liability in Germany. Ready for the Digital Age?, in EuCML 2019, 161. (26) Cfr. Cass. n. 3258/2016. (27) Cfr. Cass., n. 3258/2016.
GIURISPRUDENZA COMPARATA comunitaria “chi si presenti come tale apponendo il proprio nome, marchio o altro segno distintivo sul prodotto o sulla sua confezione” (28). Il collegamento tra sicurezza dei prodotti e responsabilità del produttore è, come emerge dalla superiore analisi, molto stretto e centrale per poter attribuire anche con le attuali normative la responsabilità oggettiva per i danni da prodotto ad un marketplace che utilizza un servizio di logistica come quello attuato da Amazon.
5. Verso una responsabilità “oggettiva” delle piattaforme di e-commerce (anche per danni provocati da difetto dei prodotti)?
Per quanto riguarda il quadro europeo non possiamo non citare la recente sentenza della Corte di Giustizia del 2 aprile 2020 nel caso c-567/18. La domanda è stata proposta nell’ambito di una controversia tra Coty Germany GmbH da un lato, e Amazon Services Europe Sàrl, Amazon Europe Core Sàrl, Amazon FC Graben GmbH e Amazon EU Sàrl, dall’altro, in merito alla vendita, in uno spazio di mercato del sito Internet <www. amazon.de>, da parte di un venditore terzo, senza l’autorizzazione di Coty, di flaconi di profumo per i quali i diritti conferiti dal marchio non erano esauriti. Non essendo vigente una specifica disciplina normativa per gestori dei marketplace virtuali, la Corte europea ha basato la decisione esclusivamente sulla violazione del Regolamento UE n. 2017/1001 sul marchio dell’Unione Europea ritenendo che le norme devono essere interpretate nel senso che una persona che conservi per conto di un terzo prodotti che violano un diritto di marchio, senza essere a conoscenza di tale violazione, si deve ritenere che non stocchi tali prodotti ai fini della loro offerta o della loro immissione in commercio ai sensi delle succitate disposizioni, qualora non persegua essa stessa dette finalità. La sentenza in commento rimette in gioco il ruolo di Amazon nell’ambito del sistema di vendita online, proprio perché parte da altri presupposti che non possono essere sganciati dalla realtà dei fatti cioè che è la reputazione di Amazon ad indurre il consumatore a ritenere che i prodotti venduti attraverso la sua piattaforma siano sicuri; si pone, quindi, un vero e proprio affidamento da parte dei consumatori i quali ( in ragione dell’utilizzo del logo, della ricezione del prodotto in pacco marchiato amazon, della possibilità di essere garantiti in caso di
(28) Cfr. Cass. civ. Sez. III Sent., 30 agosto 2019, n. 21841; nella specie la S.C. ha cassato con rinvio la sentenza di merito che aveva ritenuto provato che la società convenuta fosse il produttore di una autovettura, solo perché nella propria denominazione sociale era contenuto il nome del marchio che risultava apposto sul mezzo, comune ad altre società del medesimo Gruppo. (Cassa con rinvio, Corte d’Appello Messina, 23 giugno 2016).
difetti, etc.) finiscono per considerare Amazon non solo una “vetrina” in cui vengono venduti prodotti anche di altri soggetti, ma addirittura il venditore. Come sottolinea la sentenza californiana non è più concepibile considerare Amazon mero facilitatore o mero punto di collegamento tra venditori terzi e i clienti. Affermazioni queste che fino ad ora avevano consentito Amazon a rimanere esente da responsabilità Amazon per i danni provocati da prodotti difettosi venduti attraverso la sua piattaforma (29). Ma con questa sentenza, invece, viene dato rilievo ad un’altra circostanza che non può essere sottovalutata, e cioè che i consumatori si “fidano” della piattaforma che non conteneva alcuna indicazione circa la pericolosità del prodotto venduto. Da questo punto di vista è innegabile che si realizza una crepa nell’intangibilità degli intermediari proprio per il ruolo determinante che assumono nella vendita, sebbene, infatti, il marchio non sia effettivamente sul prodotto, ma sulla confezione, questo elemento, unitamente a tutti gli altri indici che riconducono ad “Amazon”, non può non rilevare ai fini del riconoscimento della responsabilità in caso di danni provocati da prodotti.
6. Conclusioni
Possiamo dire che l’e-commerce sia cambiato alla luce della sentenza Bolger? Forse. Certo è che negli USA l’esigenza di modificare le regole in tema di responsabilità per danni da prodotti difettosi è molto sentita tanto che anche per effetto del cosiddetto Shop Safe Act sarà più facile orientarsi verso una responsabilità del gestore di marketplace. In particolare, segnaliamo che lo “Stopping Harmful Offers on Platforms by Screening Against Fakes in E-commerce Act of 2020” (Shop Safe Act 2020) mira a ridurre i rischi che possono verificarsi nelle vendite online (es. ricevere un bene contraffatto che produce un danno all’acquirente) incentivando le piattaforme online ad adottare le migliori pratiche per effettuare lo screening di prodotti e venditori terzi al fine di garantire ai consumatori di ricevere informazioni più accurate quando effettuano acquisti online. Il progetto di legge nasce dalla constatazione nel commercio online della facilità, per i contraffattori, di sfruttare l’architettura delle piattaforme elettroniche per dissimulare l’illiceità dei prodotti offerti. In base a tale proposta si mira a responsabilizzare le piattaforme (29) Ricordiamo per esempio il caso Carpenter v. Amazon.com, Inc., 2019 WL 1259158, in cui i querelanti ritenevano Amazon responsabile assumendo che la sua condotta costituisse un “necessary factor” nel processo di distribuzione del prodotto sul mercato dei consumatori. In questa e in altre decisioni, tuttavia, la United States District Court, N.D. California ha escluso la responsabilità affermando che Amazon non si configura né come “venditore” né come “distributore” di questi prodotti difettosi.
DIRITTO DI INTERNET N. 4/2020
611
GIURISPRUDENZA COMPARATA online che dovrebbero effettuare un controllo preventivo sui venditori terzi e sui prodotti dagli stessi venduti. Dal punto di vista europeo, la direttiva sul commercio elettronico del 2000 n. 31 che ha armonizzato i principi essenziali su cui si fonda la fornitura transfrontaliera di servizi e ha gettato le basi per la regolamentazione dei servizi digitali nell’UE, come noto, esonera le piattaforme online da responsabilità in ragione del loro ruolo di “intermediari”. Tuttavia, nonostante l’evoluzione dei tempi, lo sviluppo sempre più crescente delle tecnologie e del commercio elettronico, il quadro giuridico relativo ai servizi digitali è rimasto invariato, per cui la direttiva si presenta come un modello non più adeguato e da riformare. Nella Comunicazione della Commissione al Parlamento Europeo del 28.9.2017, COM (2017) 555 final “Lotta ai contenuti illeciti online -Verso una maggiore responsabilizzazione delle piattaforme online”, viene sottolineata l’importanza delle piattaforme online nella società ed il fatto che da tale ruolo centrale non possa non incidere sulle loro responsabilità. Nel successivo Regolamento UE 2019/1150 del Parlamento Europeo e del Consiglio del 20 giugno 2019 che promuove equità e trasparenza per gli utenti commerciali dei servizi di intermediazione online, sebbene non tratti espressamente della responsabilità, si pone in un certo senso nella direzione di una maggiore responsabilizzazione delle piattaforme, ma la stessa Commissione Europea con la Comunicazione del 19.2.2020 COM(2020) 67 final ha evidenziato quanto sia “fondamentale rafforzare e modernizzare le regole applicabili ai servizi digitali in tutta l’UE, chiarendo i ruoli e le responsabilità delle piattaforme online. La vendita di beni illeciti, pericolosi o contraffatti e la diffusione di contenuti illegali devono essere contrastate con efficacia tanto online quanto offline”. Il Commissario per il Mercato interno in relazione al pacchetto relativo alla legge sui servizi digitali, c.d. Digital Service Act, (su cui è stata avviata una consultazione il 2 giugno del 2020 chiusa l’8 settembre 2020), ha dichiarato: “Le piattaforme online hanno assunto un ruolo centrale nella nostra vita, nella nostra economia e nella nostra democrazia. Da questo ruolo derivano anche maggiori responsabilità, ma per questo è necessario dotarsi di un codice normativo moderno per i servizi digitali”. Ricordiamo, altresì, come anche la Direttiva (UE) 2019/770 del 20/5/2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali e la Direttiva (UE) 2019/771 del 20/5/2019, relativa a determinati aspetti dei contratti di vendita di beni, fanno riferimento alle piattaforme digitali promuovendo il loro inquadramento nella nozione di venditore e quindi soggetto nei cui confronti attivare i rimedi contrattuali; nonché la Direttiva (UE) 2019/2161 del 27 novembre 2019 che modifica la direttiva 93/13/
612
DIRITTO DI INTERNET N. 4/2020
CEE del Consiglio e le direttive 98/6/CE, 2005/29/ CE e 2011/83/UE del Parlamento europeo e del Consiglio per una migliore applicazione e una modernizzazione delle norme dell’Unione relative alla protezione dei consumatori, in cui si evidenzia, ancora, la necessità di una modernizzazione delle regole in ragione dell’utilizzo di strumenti digitali in continua evoluzione, nonché la necessità di una maggiore trasparenza per le transazioni via web con riferimento ai parametri che determinano la classificazione delle offerte, con riferimento all’aggiornamento delle definizioni di “mercati online” e di “interfaccia online” ed anche alla indicazione della qualifica di professionista o meno del terzo che offre beni, servizi o contenuto digitale, nonché sulle informazioni da fornire sulle responsabilità di garantire i diritti dei consumatori che dipendano dagli accordi contrattuali tra i fornitori dei mercati online e i professionisti terzi pertinenti. È avvertita, quindi, l’esigenza di rivedere le regole attualmente esistenti partendo proprio dai cambiamenti repentini che negli anni hanno caratterizzato i mercati online; certamente questa sentenza, e le motivazioni ivi contenute, potrà essere utilizzata come spunto sia per gli operatori del diritto che da un lato potranno dare rilevanza a certi aspetti fattuali fino ad oggi ritenuti non prevalenti, e sia al legislatore che dovrà procedere al rinnovamento della normativa che disciplina tutto il settore dell’e-commerce che però dovrebbe inglobare anche tutti gli aspetti relativi alle garanzie nella vendita e alla responsabilità per i danni da prodotto. Si tratta, infatti, di due facce della stessa medaglia che oggi più di ieri necessitano di una disciplina uniforme.
GIURISPRUDENZA CIVILE
Natura “perdurante” e termine di contestazione discrezionale per gli illeciti amministrativi in materia di protezione dei dati personali Corte di Cassazione; sezione II civile; ordinanza 3 settembre 2020, n. 18288; Pres. Felice Manna; Rel. Chiara Besso Marcheis; Postel S.p.a. (Avv. Paolo Ricchiuto) c. Autorità garante per la protezione dei dati personali (Avvocatura generale dello Stato) In materia di trattamento di dati personali, gli illeciti amministrativi di omessa informativa e omessa raccolta del consenso hanno carattere continuativo e “perdurante” fino alla conclusione degli accertamenti compiuti dall’autorità nazionale di protezione dei dati. In materia di illeciti amministrativi relativi al trattamento di dati personali il dies a quo per il computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della documentazione ad esso relativa, ma richiede l’elaborazione dei dati così ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni.
…Omissis…
Motivi della decisione c) Il primo motivo di impugnazione denuncia “violazione e/o falsa applicazione dell’art. 1 della legge n. 689/1981 e dell’art. 13, comma 4, e 161 del codice della privacy”. Il motivo è infondato. Esso si impernia sul rilievo che non potendo le violazioni (omessa informativa di cui al richiamato art. 161 e omessa acquisizione del consenso per i dati acquisiti dalle liste elettorali dei cittadini) essere sanate da un comportamento successivo, si sarebbero consumate uno actu (nel 2004, nel 2006 e nel maggio 2008), prima della vigenza del d.l. 207/2008, così che alla data degli accertamenti del Garante, nell’aprile del 2009, le sanzioni previste dalla novella non sarebbero state applicabili. La ricorrente non considera, come ha già sottolineato la sentenza impugnata, il carattere invece continuativo dell’illecito, “perdurante” fino agli accertamenti, in quanto la condotta di gestione, trattamento e conservazione dei dati si è protratta fino alla data indicata nel provvedimento del Garante, potendo la società fare cessare tali condotte in qualsiasi momento. d) Il secondo motivo - rubricato “violazione e/o falsa applicazione dell’art.14 L. n. 689/1981 in relazione all’art. 360 n. 3 c.p.c. nonché omesso esame di un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti in relazione all’art. 360 n. 5 c.p.c.” - lamenta che il Tribunale non abbia considerato violato il termine di novanta giorni previsto dall’art. 14 della legge n. 689/1981 per la contestazione delle condotte della ricorrente a causa della ritenuta complessità delle indagini svolte nonché dell’incompletezza delle informazioni fornite da tale società.
Il motivo è infondato quanto alla violazione di legge, essendo consolidato l’indirizzo di questa Corte secondo cui, in tema di illeciti amministrativi di cui al codice della privacy, il dies a quo computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della documentazione ad esso relativa, ma richiede l’elaborazione dei dati così ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni (così, ex multis, Cass. 14678/2018). Il Tribunale, con accertamento in fatto ampiamente argomentato, ha affermato la complessità degli accertamenti ispettivi, anche dovuta al deficit collaborativo e informativo della stessa ricorrente, accertamenti che si sono conclusi solo nel marzo 2010. Non può quindi essere accolto il motivo pure ai sensi del n. 5 dell’art. 360 c.p.c., sostanziandosi in una inammissibile richiesta di rielaborazione di dati di fatto considerati dal Tribunale. e) Il terzo motivo denuncia “violazione e/o falsa applicazione dell’art. 28 della legge n. 689/1981 e degli art. 13, comma 4, e 161 codice della privacy”: gli illeciti ascritti alla società ricorrente hanno natura di illeciti omissivi “istantanei e non permanenti”, così che al momento della irrogazione della ordinanza-ingiunzione il termine di prescrizione di cinque anni era ormai decorso da anni. La ricorrente sostiene la prescrizione degli illeciti sulla stessa premessa del primo motivo, il carattere istantaneo delle fattispecie, così che anche questo motivo - per le medesime ragioni (supra, sub c) - non può essere accolto. Il ricorso principale va quindi rigettato.
DIRITTO DI INTERNET N. 4/2020
613
GIURISPRUDENZA CIVILE 2. Il ricorso incidentale del Garante per la protezione dei dati personali è articolato in unico motivo con cui si contesta violazione e falsa applicazione di legge in relazione agli artt. 164-bis, 161 e 162 del codice in materia di trattamento dei dati personali”: il Tribunale ha erroneamente ritenuto che l’applicazione congiunta di tali norme al caso di specie determinasse una violazione del principio del ne bis in idem. Il motivo è fondato. Il Tribunale ha erroneamente annullato la sanzione applicata dall’art. 162, comma 2-bis del codice della privacy, ritenendola assorbita in quella dell’art. 164-bis stesso codice. Come riconosce la stessa ricorrente principale in memoria, questa Corte ha infatti affermato che “in tema di illeciti amministrativi di cui al d.lgs. n. 196 del 2003, la fattispecie
prevista dall’art. 164-bis, comma 2, costituisce non un’ipotesi aggravata rispetto alle violazioni semplici ivi richiamate, ma una figura di illecito del tutto autonoma, atteso che essa prevede la possibilità che vengano infrante dal contravventore, anche con più azioni e in tempi diversi, una pluralità di ipotesi semplici, unitariamente considerate dalla norma con riferimento a «banche di dati di particolare rilevanza o dimensioni», sicché, in caso di concorso di violazioni di altre disposizioni unitamente a quella in esame, ne deriva un’ipotesi di cumulo materiale delle sanzioni amministrative” (Cass. 17143/2016). Il ricorso incidentale va quindi accolto. .…Omissis…
IL COMMENTO di Andrea Monti
Sommario: 1. Il caso. – 2. Alcune considerazioni generali. – 3. Osservazioni sulla qualificazione dell’omessa informativa e della mancata raccolta del consenso come “illeciti perduranti” – 4. Decorso del dies a quo per la contestazione e diritto di difesa. – 5. Questioni aperte – 6. Conclusioni Questo commento analizza due principi di diritto espressi dalla Corte di Cassazione in materia di illeciti amministrativi connessi al trattamento dei dati personali. Il primo è che il mancato conferimento all’interessato delle informazioni obbligatorie richieste dalla legge sulla protezione dei dati è un illecito “perdurante” piuttosto che “istantaneo” e che, pertanto, la condizione di illegalità permane fino alla cessazione del trattamento da parte del Titolare. Il secondo è che il termine per la contestazione della violazione inizia a decorrere dal momento in cui l’autorità termina la sua indagine e non dal momento in cui il Titolare ha commesso l’infrazione. Entrambi sono principi discutibili perché la lettera della legge stabilisce chiaramente che l’obbligo di fornire le informazioni obbligatorie deve essere adempiuto prima dell’inizio del trattamento; pertanto, una volta effettuato il trattamento specifico non è possibile renderlo lecito rispettando a posteriori l’obbligo di informazione preventiva. Per quanto riguarda la questione relativa al decorso del termine per la contestazione, il principio enunciato dalla Corte pregiudica gravemente il diritto ad una ragionevole durata del procedimento e lascia il titolare del trattamento in una condizione di incertezza che ostacola il suo diritto sancito dall’articolo 42 della Costituzione sulla libertà di impresa. This comment analyses two principles of law expressed by the Court of Cassation on administrative offences related to the processing of personal data. The first is that failing to provide the data subject with the mandatory information required by the Data Protection Act is a “permanent” rather than an “instantaneous” offence and that, therefore, the condition of illegality remains until the Data Controller ceases the processing. The second is that the term for issuing the fine starts ticking from the moment the authority ends its investigation rather than from the moment the Data Controller infringed the law. Both are questionable principles because the letter of the law clearly states that the duty to provide the mandatory information must be fulfilled before the processing begins; therefore, once the specific processing is performed, it is not possible to make it lawful by abiding ex-post with the duty of preemptive information. By making the deadline to notify the fines uncertain, the principle stated by the Court badly affects the right to a reasonable duration of a process. It leaves the defendant in a condition of uncertainty that hampers its right set forth by Article 42 of the Constitution protecting the freedom of entrepreneurship.
1. Il caso
Per quanto di interesse in questa sede, al titolare del trattamento veniva contestato in sede di accertamento amministrativo di avere, in tre occasioni, proceduto al trattamento di dati personali senza avere somministrato agli interessati l’obbligatoria informativa sul trattamento e senza avere acquisito preventivamente il consenso, pure richiesto ex lege. Nello specifico, la vicenda ha evidenziato che il titolare aveva la disponibilità di un database contenente dati relativi ad aziende (periodicamente alimentato da fornitori
614
DIRITTO DI INTERNET N. 4/2020
di informazioni) e dati personali provenienti anche da liste elettorali acquisiti direttamente o tramite fornitori terzi. A richiesta dei propri clienti, il titolare estraeva dal database (secondo criteri non esplicitati nel provvedimento commentato) un sottoinsieme di dati che comunicava loro in modo da consentire di operare in autonomia per finalità di marketing nell’ambito di attività “profit”, ma sempre conservando la “proprietà” dei dati che non potevano essere utilizzati in modo diverso da quanto contrattualmente pattuito.
GIURISPRUDENZA CIVILE 2. Alcune considerazioni generali
L’analisi delle argomentazioni utilizzate dalla Cassazione per motivare il provvedimento qui commentato implica preventivamente il richiamo di alcuni aspetti sistematici sull’ambito di operatività del D.lgs. 196/03 (1) (applicato ratione temporis dalla Corte), sulla “riattrazione” degli illeciti amministrativi nella materia penale operata dalla Corte europea dei diritti umani, e infine sul ruolo —ancora largamente inesplorato— dell’articolo 134 del R.D. 773/31 (2) Testo unico delle leggi di pubblica sicurezza (TULPS). Sotto il primo profilo, l’ordinanza in commento ripropone la sostanziale coincidenza fra diritto alla privacy e diritto alla protezione dei dati personali. La decisione perpetua una lettura sistematicamente discutibile della normativa comunitaria dell’epoca (la direttiva 95/46/CE (3)) e che rimane tuttora criticabile anche nel regime vigente previsto dal Reg. UE 679/16 (4). Come già fu rilevato su questa Rivista, << sia la direttiva 95/46, sia il Regolamento 679/16 costituiscono un diritto “strumentale” alla protezione dei diritti e delle libertà fondamentali dell’individuo. Il diritto alla protezione dei dati personali, in altri termini, ha senso nella misura in cui è funzionale all’affermazione di altri diritti, privacy compresa e non come sinonimo di diritto alla privacy. >> (5) Continuare, come invece fa la Corte, a non prendere in considerazione questa differenza, implica la difficoltà di giustificare “in nome della privacy” l’applicazione della normativa a ipotesi, come quella in commento, che con la tutela della riservatezza individuale hanno poco o nulla a che vedere. (6) L’altro tema rilevante (e ingombrante) è quello del rapporto fra sanzioni amministrative e “materia penale”. Da un lato, la giurisprudenza della Corte di cassazione ha sancito il progressivo discostarsi dall’applicazione dei principi penalistici agli illeciti ammistrativi. Dall’altro lato, e in senso inverso, la CEDU ha elaborato una autonoma e sostanzialistica definizione di “materia penale” indipendente dalla
(1) Decreto legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali. (2) Regio Decreto 18 giugno 1931, n. 773 Testo unico delle leggi di pubblica sicurezza (TULPS). (3) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. (4) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (5) Monti, Tutela della vita privata, protezione dei dati personali e privacy. Ambiguità semantiche e problemi definitori, in questa Rivista, 2019, 11. (6) Vedi estesamente sul punto Wacks, Privacy. A very short introduction Oxford (UK), II ed. 2015 ed. Id,. Privacy. Una sintetica introduzione, Pescara, 2016, e Monti – Wacks, Protecting Personal Information, Oxford (UK), 2019.
qualificazione giuridica che il singolo ordinamento interno attribuisce alla norma sanzionatrice. Allo scopo di garantire la più ampia applicazione dei principi del giusto processo e di legalità di cui agli articoli 6 e 7 della Convenzione europea sui diritti umani <<a fronte della qualificazione giuridica interna civilistica, amministrativistica o disciplinare di un illecito o di una sanzione, la Corte dovrebbe ricorrere all’applicazione degli autonomi criteri di giudizio elaborati dalla sentenza Engel (7) al fine di indagarne la reale natura. >> (8) Nello specifico, la CEDU ha ritenuto applicabili gli Engel Criteria (ma anche la più recente sentenza Grande Stevens (9)) alle sanzioni irrogate dalle autorità indipendenti in ragione della loro finalità punitiva (10). Il prosieguo chiarirà l’importanza di questo orientamento giurisprudenziale.
3. Osservazioni sulla qualificazione dell’omessa informativa e della mancata raccolta del consenso come “illeciti perduranti”
Per affermare la natura “perdurante” (rectius “permanente”) dell’illecito di cui all’articolo 161 D.lgs. 196/03 la Corte ritiene <<che la condotta di gestione, trattamento e conservazione dei dati si è protratta fino alla data indicata nel provvedimento del Garante, potendo la società fare cessare tali condotte in qualsiasi momento>>. Ora, pur volendo —dovendo, in realtà— applicare le definizioni del vecchio Codice dei dati personali e non quelle più recenti del GDPR emerge invece che la struttura della fattispecie di cui alla norma violata è palesemente quella di un illecito istantaneo. L’articolo 13 del Codice (richiamato espressamente dall’articolo 161 quale elemento integratore del precetto) stabilisce al quarto comma che <<Se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione. >> La norma, dunque, pone due “ostacoli” che vanno alternativamente superati prima di procedere oltre nella manipolazione dei dati. In altri termini, in un ipotetico e ideale diagramma di flusso che descrivesse le varie fasi del trattamento, il titolare prima “raccoglie”, poi “registra”, poi (prima opzione) invia l’informativa, poi “elabora”, poi (se non lo ha fatto all’atto della registrazione) invia l’informativa e, infine “utilizza” i dati personali. L’obbligo di infor-
(7) Corte Europea dei Diritti umani, Sessione plenaria, Engel e altri c. Paesi Bassi, Application no. 5100/71; 5101/71; 5102/71; 5354/72; 5370/72, 8 Giugno 1976. (8) Mancini, La “materia penale” negli orientamenti della Corte EDU e della Corte costituzionale, con particolare riguardo alle misure limitative dell’elettorato passivo, in Federalismi, 2018, 4. (9) Corte Europea dei Diritti dell’Uomo, II Sezione Grande Stevens c. Italia, Application no. 18640/10, 4 marzo 2014. (10) Mancini, op. cit.,12.
DIRITTO DI INTERNET N. 4/2020
615
GIURISPRUDENZA CIVILE mativa si caratterizza dunque come un elemento che, se non rispettato, ha un effetto preclusivo rispetto alle fasi ulteriori del trattamento. In altri termini, l’illecito amministrativo si consuma alternativamente (e di necessità) in uno dei due momenti nei quali il titolare, dovendo fornire l’informativa, procede senza farlo. Né si potrebbe qualificare l’illecito in questione come “istantaneo ad effetti permanenti” dal momento che, in concreto, il trattamento oggetto di sanzione è stato uno specifico utilizzo da parte del titolare destinato ad esaurirsi con la comunicazione di un sottoinsieme di dati personali a specifici clienti (i quali peraltro, a loro volta, avrebbero dovuto autonomamente somministrare l’informativa e richiedere il consenso agli interessati). Discorso analogo vale per la mancata raccolta del consenso degli interessati (11), oggetto di sanzione ai sensi degli articoli 162 comma II bis, 167 e 23 del Codice. Da un lato, anche per questa ipotesi vale la natura preclusiva del consenso dell’interessato rispetto a ulteriori trattamenti. Tuttavia, a differenza dell’omessa informativa che indica un momento temporale preciso entro il quale è obbligatorio l’adempimento, l’articolo 23 del Codice non specifica quando sarebbe necessario richiedere il consenso all’interessato. Considerando, però, che la richiesta di consenso è necessariamente preceduta dall’informativa, è evidente che la prima deve per forza essere formulata dopo la seconda. In altri termini, dunque, una lettura coordinata degli articoli 13 e 23 del D.lgs. 196/03 impone di concludere per la natura di illecito istantaneo ad effetti non permanenti anche del monstrum sanzionatorio costituito dal coacervo degli articoli 162 comma II bis, 167 e 23 del Codice in relazione alle condotte contestate. Se, dunque, le condotte illecite contestate dall’autorità nazionale di protezione dei dati consistono specificatamente nei soli tre episodi riportati nell’ordinanza in commento, la “gestione”, la “conservazione” e il generico “trattamento” dei dati personali sono irrilevanti ai fini della configurabilità dell’illecito tipizzato dagli articoli 161 e 162 comma IIbis del Codice dei dati personali, potendo al più essere considerati atti prodromici a commettere le violazioni e non violazioni essi stessi. Di conseguenza, l’unica condotta rilevante ai fini della configurabilità dei due illeciti contestati è, appunto, l’utilizzo dei dati senza preventivamente avere adempiuto alle prescrizioni, a nulla rilevando ulteriori e diverse modalità di trattamento che, al limite, avrebbero dovuto costituire oggetto di autonoma sanzione —in ipotesi— anche di natura penale. Consegue da quanto precede che il principio di diritto formulato dalla Corte circa la natura degli illeciti de qua non è condivisibile.
4. Decorso del dies a quo per la contestazione e diritto di difesa
Giurisprudenza consolidata, risalente e debitamente citata dall’ordinanza in commento vuole che <<in tema di illeciti amministrativi di cui al codice della privacy, il dies a quo computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della documentazione ad esso relativa, ma richiede l’elaborazione dei dati così ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni>>. La ratio dell’orientamento può essere cercata nell’esigenza di garantire una tutela aumentata agli interessati, evitando che includere nel termine de qua anche il tempo necessario al completamento dell’istruttoria si traduca nell’impossibilità per l’amministrazione (o, nel caso di specie, per l’autorità indipendente) di finalizzare la contestazione in casi di particolare complessità. Ma questa argomentazione spiega troppo e lascia il dubbio che l’orientamento segnalato serva piuttosto, mondanamente, a supplire alle carenze organizzative degli organi accertatori, ponendo in secondo piano l’esigenza di tutela delle parti deboli. A meno che, infatti, l’autorità non emani contestualmente all’apertura dell’istruttoria un provvedimento di blocco dei trattamenti, l’assenza di un dies a quo perentorio per la comunicazione degli esiti della verifica si traduce nel perdurare del rischio per i diritti e le libertà fondamentali dell’interessato, i cui dati personali continuano ad essere utilizzati in attesa che l’autorità si pronunci. Dall’altro lato, l’interpretazione seguita dalla Corte pone il titolare in un limbo nel quale esso deve permanere in attesa delle determinazioni dell’ufficio che ipoteticamente potrebbero arrivare a distanza di anni, (12) diversamente da quanto accadrebbe nel caso di un procedimento penale. A questa ultima considerazione sarebbe facile rispondere ricordando che in materia di illeciti amministrativi non si applicano (tutti) i principi penalistici e che, dunque, non sussiste alcun obbligo di dare certezze sui tempi dell’azione dell’autorità indipendente. Ma sarebbe altrettanto facile ribattere che le decisioni della CEDU ricordate supra consentono di superare l’apparenza della qualificazione formale di violazione amministrativa in tutti quei casi nei quali la sanzione ha un chiaro effetto punitivo ed ha una afflittività tale da ricondurla nell’alveo della “materia penale”. (13) La natura punitiva delle sanzioni previste per gli illeciti in
(12) L’articolo 28 della l. 689/81 come interpretato da Cassazione civile, SS.UU., Sentenza 27 aprile 2006 n° 9591, Pres. Carbone, Est. Bucciante, P.M. Iannelli, impone che la contestazione deve essere in ogni caso formulata entro cinque anni dalla commissione del fatto, (11) Sul ruolo dell’interessato nell’adempimento all’obbligo di richiesta del consenso da parte del titolare vedi Bellomo, Consenso dell’interessato all’uso dei cookie: è necessario un comportamento attivo affinché sia validamente espresso, in Diritto Pubblico Comparato Europeo online, 2020, 853 e sgg.
616
DIRITTO DI INTERNET N. 4/2020
(13) Sull’applicabilità nell’ordinamento comunitario —e di conseguenza in quello interno— dei principi stabiliti dalla Corte di Strasburgo in materia penale vedi Ferrara, Eadem persona e ne bis in idem in materia tributaria, in Diritto Pubblico Comparato Europeo, 2017, 698 e sgg.
GIURISPRUDENZA CIVILE materia di trattamento dei dati personali è evidente, come è fuori discussione la particolare afflittività delle stesse. Di conseguenza —per non parlare delle sanzioni ulteriormente aggravate dall’entrata in vigore del Reg. UE 679/16— non è impossibile pensare che l’orientamento ribadito dalla Corte nell’ordinanza in commento possa essere superato a favore di una lettura più bilanciata che consideri anche tutti i diritti del titolare e dunque anche quello costituzionalmente tutelato della libertà d’impresa. Specie nei casi di sanzioni monetarie particolarmente consistenti e in quelli di possibile blocco del trattamento o distruzione dei dati personali illecitamente trattati, l’incertezza della durata del procedimento costringe il titolare a destinare a riserva delle somme per far fronte all’eventuale sanzione e a subire forti limitazioni nella propria operatività quotidiana. Fino a quando non gli viene notificata la contestazione —o non riceve la comunicazione di chiusura senza provvedimenti dell’accertamento— esso titolare permane in uno stallo operativo non potendo sapere se modificare o meno i propri processi interni (e quali?) e le proprie strategie produttive e commerciali. La certezza dei tempi del procedimento e la sua ragionevole durata, peraltro, sono da coltivare non solo per evitare di aggravare le condizioni del titolare ma anche, e soprattutto, per proteggere l’interessato. Tanto è vero questo che l’autorità nazionale di protezione dei dati olandese è stata condannata dal tribunale di Rotterdam per non avere comunicato ad un interessato le proprie determinazioni nei termini previsti dalla legge olandese (14). Pur nella evidente differenza fra ordinamenti giuridici, nella giurisprudenza richiamata spicca senz’altro il valore super partes dell’obbligo di rispetto dei termini del procedimento amministrativo al quale invece la giurisprudenza italiana non attribuisce lo stesso peso. Di conseguenza, nemmeno appare condivisibile il principio di diritto che, ai fini del decorso del dies a quo per la notifica del verbale di contestazione, fa coincidere la conclusione degli accertamenti con la fine della ulteriore elaborazione dei dati raccolti nella fase istruttoria che dunque può concludersi nell’arco dei cinque anni dalla commissione del fatto.
5. Questioni aperte
L’ordinanza in commento e i provvedimenti intermedi dei quali essa è la sintesi contengono molti altri spunti critici che avrebbero meritato un autonomo approfondimento. Uno è, per esempio, quello della non applicabilità ratione temporis del Codice dei dati personali anche a dati aziendali —rectius (14) Rechtbank Rotterdam (NL), ROT 19/2947, J. Berkelaar v. Autoriteit Persoonsgegevens, I maggio 2020. Il caso riguardava una comunicazione inviata dall’autorità nazionale di protezione dei dati olandese a un interessato pervenuta oltre un mese dalla scadenza del termine per rispondere. La corte ha affermato il principio secondo il quale l’autorità di protezione è responsabile del ritardo nella comunicazione dei propri provvedimenti anche quando il ritardo dipende da terzi (nella specie, il servizio postale).
di persone giuridiche— che invece l’autorità nazionale di protezione dei dati ha ritenuto sussistente: <<fino alla data del 6 dicembre 2011 (entrata in vigore dell ́art. 40 del d.l. n. 201/2011), la disciplina della protezione dei dati personali riguardava anche i dati riferibili a persone giuridiche, enti o associazioni.>> (15) In realtà, la direttiva 95/46/CE, della quale il Codice dei dati personali era il precipitato nazionale, affermava chiaramente già nella propria intitolazione che l’oggetto, anzi, il soggetto, della tutela era la persona fisica e (al Considerando 24) <<che la presente direttiva lascia impregiudicate le normative relative alla tutela delle persone giuridiche riguardo al trattamento dei dati che le riguardano>> (16). Anche prima dell’entrata in vigore dell’articolo 40 del d.l. n. 201/2011 il trattamento dei dati delle persone giuridiche non poteva dunque essere sottoposto al D.lgs. 196/03. La circostanza è rilevante perché ai fini dell’ulteriore contestazione della violazione dell’articolo 164bis comma II del Codice dei dati personali (banca dati di particolare rilevanza) sarebbe stato necessario escludere dal totale dei 24 milioni di record quelli afferenti, appunto, a soggetti diversi dalle persone fisiche. Sempre ai fini dell’applicabilità della norma citata, inoltre, brilla per la sua assenza nell’ordinanza in commento qualsiasi rilievo sul bilanciamento fra la natura dei dati personali, le finalità del trattamento e il rischio per i diritti e le libertà fondamentali dell’interessato. È vero che si tratta di una valutazione esplicitamente richiesta dal Reg. UE 679/16, ma è anche vero che la direttiva 95/46 aveva lo stesso fine del GDPR, pertanto sotto il suo vigore era già necessario formulare una valutazione di questo genere. Ad essersi concretizzata invece, come dimostrano l’ordinanza ingiunzione del Garante dei dati personali, la sentenza di primo grado e la decisione della Corte di cassazione, è una oggettivizzazione di marca puramente civilistica della responsabilità del titolare, basata su automatismi “numerici” piuttosto che su un’analisi delle conseguenze per la vita dell’interessato delle modalità e delle finalità del trattamento. Un’altra carenza che sarebbe stato utile (anche se non obbligatorio) colmare è quella relativa alla possibilità di valutare, nel caso di specie, se l’organizzazione dei dati personali predisposta dal titolare ai fini dell’estrazione di sottoinsiemi informativi da comunicare ai propri clienti costituisse “profilazione” o mera “clusterizzazione” secondo parametri indifferenti rispetto alla finalità perseguita dal cliente finale. Ci si sarebbe potuto chiedere, in altri termini, quando una classificazione per età, area geografica di riferimento, professione o attività lavorativa si trasforma da mero criterio organizzativo in “profilo” individuale e individualizzante a seguito, (15) Autorità garante per la protezione dei dati personali, Ordinanza-ingiunzione n. 549/13, 5 dicembre 2013. (16) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
DIRITTO DI INTERNET N. 4/2020
617
GIURISPRUDENZA CIVILE per esempio, dell’aggiunta di informazioni nominative su preferenze di consumo. In termini ancora diversi: un conto è classificare persone per parametri oggettivi, senza disporre di informazioni ulteriori su preferenze individuali. Un altro conto è aggiungere a questi dati personali anodini delle informazioni ulteriori che consentono di “mettere a fuoco” quella che fino a un momento prima era un’immagine indistinta, sfocata e come tale non identificata o identificabile. La conseguenza diretta dell’avere omesso di trattare il tema che precede è stata la perdita della possibilità di occuparsi di un ulteriore questione: l’applicabilità al caso di specie del divieto stabilito dall’articolo 134 TULPS di raccogliere informazioni per conto di privati senza licenza prefettizia. L’argomento, parte del più esteso dibattito sul rapporto fra esigenze di prevenzione criminale e terroristica e diritti individuali (17), è stato del tutto ignorato dall’Autorità garante per la protezione dei dati personali nel provvedimento che irrogava la sanzione amministrativa e dalle corti che si sono occupate del vaglio giurisdizionale, ma riveste una importanza fondamentale nel “riparto di giurisdizione” fra l’autorità indipendente e il Ministero dell’interno e per la conseguente sottrazione alla potestà (quantomeno diretta) del Garante dei dati personali dei trattamenti finalizzati alla profilazione. L’articolo 134 TULPS è tradizionalmente applicato alle società che raccolgono informazioni commerciali, ma la norma non contiene alcuna limitazione espressa in questo senso. Essa è dunque applicabile anche a qualsiasi altra forma di raccolta informativa, coerentemente con la ratio che ispirava il TULPS all’epoca della sua emanazione e che vedeva nella creazione di dossier un pericoloso strumento di sovversione dell’ordine costituito. Non è un caso che per ragioni di pubblica sicurezza l’articolo 8 comma IV della legge 121/81 (18) prevedesse l’obbligo di notificare al Ministero dell’interno la detenzione di “archivi magnetici”. Dimentico del fatto che per dichiarazione espressa del legislatore comunitario la protezione dei dati personali non si estendeva alla sicurezza pubblica, il Parlamento abrogò la norma in questione con l’articolo 43 della legge 675/96, (19) ma non anche l’articolo 134 TULPS. Di conseguenza, pur essendo venuta meno la possibilità di conoscere la localizzazione degli “archivi magnetici”, rimane il diritto/dovere dell’esecutivo di sapere chi opera nel settore del dossieraggio non solo commerciale o finanziario ma anche posto in essere nell’ambito di attività di marketing. In questa ottica, dunque, l’attività di profilazione di persone identificate o identificabili (anche quella eseguita
(17) Per una trattazione ex professo degli aspetti relativi al rapporto fra privacy e sicurezza vedi Perri, Sorveglianza elettronica, diritti fondamentali ed evoluzione tecnologica, Milano, 2020. (18) Legge 1 Aprile 1981, n. 100 - Nuovo ordinamento dell’Amministrazione della pubblica sicurezza. (19) Legge 31 dicembre 1996, n. 675 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali.
618
DIRITTO DI INTERNET N. 4/2020
da soggetti che utilizzano servizi di analytics) esercitata senza licenza del prefetto non sarebbe consentita e, come tale, andrebbe sottoposta a misure e sanzioni di pubblica sicurezza.
6. Conclusioni
L’ordinanza in commento, nei limiti degli aspetti oggetto di analisi, stabilisce due principi di diritto la cui tenuta logica e sistematica suscita qualche perplessità. Essi appaiono piuttosto ispirati da un favor verso la (para)amministrazione piuttosto che dalla necessità di garantire un equo bilanciamento dei diritti delle parti coinvolte direttamente (il titolare del trattamento) e indirettamente (gli interessati) nell’attività di accertamento. È vero che il sindacato della Corte è limitato alle questioni devolute dalle parti, ma è anche vero che nulla avrebbe impedito di contribuire alla sistematica dell’interpretazione di una normativa, come quella sul trattamento dei dati personali, oggettivamente complessa da applicare per via della sua sostanziale inadeguatezza ai problemi posti dall’accelerazione forsennata nell’accumulazione di dati personali resa possibile dalla ubiqua diffusione di periferiche e strumenti “intelligenti”. Preoccupa inoltre, anche se non era oggetto della decisione, la conferma della tendenza all’abbandono del principio di colpevolezza in favore di una oggettivizzazione civilistica della responsabilità derivante dalla commissione degli illeciti amministrativi in materia. È auspicabile che non si deva aspettare la CEDU per leggere decisioni che riportino le sanzioni amministrative in materia di trattamento dei dati personali nel loro alveo orginario, così come è auspicabile che venga sciolto quanto prima il nodo del rapporto fra disciplina del trattamento dei dati personali e pubblica sicurezza nel governo delle attività di profilazione. Una scelta del genere, tuttavia, difficilmente potrebbe essere lasciata soltanto alla giurisprudenza delle autorità di protezione dei dati e delle corti.
GIURISPRUDENZA CIVILE
Il risarcimento del danno a seguito dell’illecito trattamento di dati personali: un nuovo impulso dal reg. UE 27 aprile 2016 n. 679? Corte di Cassazione ; sezione VI civile; ordinanza 20 agosto 2020, n. 17383; Pres. Valitutti; Rel. Acierno; Associazione Professionale Studio Tecnico di Progettazione G.L. (Avv. Richiello, Bastianini) c. Banca Nazionale del Lavoro S.p.a. (Avv. Gareri). In ambito di trattamento dati personali, la mera violazione delle prescrizioni poste dall’art. 11 del d.lgs. 30 giugno 2003 n. 196 nella formulazione previgente al reg. UE 27 aprile 2016 n. 679, non determina di per sé una lesione ingiustificabile del diritto, essendo invece necessario – per aversi il risarcimento del danno - che la condotta antigiuridica abbia cagionato un’offesa tale da superare una soglia minima di tollerabilità.
…Omissis… Il Tribunale di Roma ha rigettato la domanda proposta da Associazione Professionale Studio Tecnico di Progettazione G.L. e da F.L. e A.L. nei confronti di B.N.L. S.p.a. avente ad oggetto la violazione del dovere di segretezza delle informazioni bancarie in relazione ad una raccomandata inviata presso lo studio associato, priva di busta e ripiegata su sé stessa contenente la revoca degli affidamenti concessi nel termine di cinque giorni. A sostegno della decisione, il Tribunale ha affermato che l’originale della raccomandata non è stato depositato così da non poter verificare le modalità di piegatura. Esso è stato esibito e, a verbale dell’udienza del 1 giugno 2016, il procuratore di B.N.L. dichiara che la parte del testo contenente la revoca dell’affidamento era coperta al momento della consegna dalla cartolina di ricevimento. Tale circostanza non è contestata dalla parte ricorrente la quale afferma che si poteva leggere il testo stesso sollevando la cartolina. Il Tribunale ritiene il duplice difetto di prova sia sull’evento (la lettura del testo da parte di terzi) sia del danno conseguenza di natura patrimoniale o non patrimoniale. La lettera di revoca dall’incarico professionale non è decisiva e la circostanza del successivo deposito della raccomandata presso l’ufficio postale del paese di residenza del ricorrente è stata dedotta tardivamente. Avverso tale pronuncia hanno proposto ricorso per cassazione Associazione Professionale Studio tecnico di Progettazione G.L. e da F.G. e A.L. illustrato da memoria. Ha resistito con controricorso la B.N.L. Nel primo motivo viene dedotto l’omesso esame di un fatto deci-
sivo per avere il Tribunale affermato che non sarebbe possibile verificare le modalità di copia non ufficiale confezionamento della lettera raccomandata in mancanza dell’originale. Il documento in originale è stato esibito e, di conseguenza, ben poteva essere esaminato. Peraltro, la copia conforme non era stata contestata. Nel secondo motivo, viene dedotta la violazione dell’art. 2719 c.c. e l’art. 115 c.p.c. perché il Tribunale, in assenza del disconoscimento della copia prodotta, avrebbe dovuto valutare il contenuto della raccomandata per verificare se fosse stata confezionata in modo corretto. Entrambi i motivi, anche alla luce delle osservazioni contenute nella memoria, sono inammissibili perché non colpiscono la ratio decidendi del provvedimento impugnato che si fonda sulla mancata prova dell’evento produttivo della violazione delle norme sulla privacy ovvero la lettura del testo della raccomandata. Su tale evento il Tribunale con insindacabile valutazione di fatto (peraltro non specificamente censurata) ha ritenuto non raggiunta la prova. Nel caso di specie, la sentenza impugnata non ha affatto affermato che le modalità di confezionamento della busta non costituivano violazione delle regole dettate in materia di dati personali, ma che il contenuto della raccomandata non era leggibile, essendo la stessa coperta dalla cartolina di ricevimento, e che comunque non vi era agli atti prova che alcuno avesse sollevato detta cartolina per leggere il contenuto. E tale ratio non risulta specificamente impugnata. Nel terzo motivo viene dedotta la violazione dell’art. 2050 cod. civ. per avere il Tribunale ritenuto necessaria la sussistenza del cd. danno conseguenza, laddove la vio-
DIRITTO DI INTERNET N. 4/2020
619
GIURISPRUDENZA CIVILE lazione dedotta è sufficiente ai fini del riconoscimento del danno in re ipsa. Il terzo motivo è infondato. Non è esatto che gli artt. 11 e 15 del d.lgs. n. 196 del 2003 riconoscono il risarcimento in re ipsa del danno per il solo fatto del trattamento dei dati personali (p. 10 del ricorso). Ed invero, il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleran-
za della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva. Il relativo accertamento di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale (Cass. 16133/2014; Cass. 20615/2016). E, nel caso di specie, il giudice di merito ha accertato, con motivata valutazione in fatto incensurabile, l’assenza di qualsiasi danno risarcibile. Per le suddette ragioni, il ricorso deve essere rigettato. Le spese processuali seguono la soccombenza. P.Q.M. Rigetta il ricorso…
IL COMMENTO
di Alberto Avitabile Sommario: 1. Il caso. 2. Le questioni giuridiche sollevate dal caso e l’iter argomentativo della Suprema Corte. 3. Osservazioni alla luce del vigente art. 82 del reg. UE 27 aprile 2016 n. 679. Il bilanciamento di interessi quale nucleo fondante il modello di regolazione. Il presente contributo analizza un recente arresto della Suprema Corte sui profili di responsabilità derivanti dall’illecito trattamento dei dati personali. Verranno ricostruite le argomentazioni addotte dalla Suprema Corte e ci si chiederà quale sia l’impatto della vigente normativa sui consolidati principi, elaborati dalla giurisprudenza nazionale, sul risarcimento del danno non patrimoniale. The essay deals with a recent Supreme Court decision on some issues of liability arising from unlawful personal data processing. In particular, the essay scrutinises the arguments brought by the Supreme Court while facing the main question: which is the impact of the applicable law in force on the consolidated principles of national case-law in the matter of immaterial damages.
1. Il caso
La pronuncia in commento trae origine da una domanda risarcitoria proposta da una associazione professionale nei confronti di un istituto di credito, che aveva inviato presso lo studio associato una lettera raccomandata priva di busta e ripiegata su sé stessa, contenente la revoca (nel termine di cinque giorni) degli affidamenti concessi. Ad avviso di parte ricorrente, tale modalità di spedizione avrebbe integrato una violazione del dovere di segretezza delle informazioni bancarie, in quanto avrebbe astrattamente consentito, attraverso il semplice sollevamento della cartolina, la lettura del contenuto da parte di chiunque avesse avuto la disponibilità della missiva. Da parte sua, l’istituto di credito contestava i fatti come sopra dedotti ed il Tribunale di Roma, sulla scorta di una valutazione dichiarata insindacabile in sede di legittimità, aveva concluso che il contenuto della raccomandata non poteva ritenersi leggibile, essendo lo stesso coperto dalla cartolina di ricevimento, e che, comunque, non vi era agli atti alcuna prova che taluno avesse sollevato detta cartolina per apprenderne il contenuto.
620
DIRITTO DI INTERNET N. 4/2020
In ogni caso, il Tribunale aveva ritenuto che, per aver diritto al risarcimento, occorresse dimostrare la sussistenza del cd. “danno conseguenza”, non potendosi lo stesso presumere in re ipsa. Nell’esaminare i profili di impugnazione interposti dall’associazione professionale, la Suprema Corte ha dichiarato inammissibili i primi due motivi attinenti alla ricostruzione dei fatti, in quanto non andavano ad elidere la ratio decidenti del provvedimento impugnato, mentre ha respinto il terzo, affermando apertamente che “non è esatto sostenere che gli artt. 11 e 15 del d.lgs. n. 196/2003”, nella loro formulazione previgente il reg. UE 27 aprile 2016 n. 679 ed il d.lgs. 10 agosto 2018 n. 101, “riconoscono il risarcimento del danno per il solo fatto del trattamento dei dati personali”. Ciò che desta interesse nella pronuncia sono le argomentazioni spese in ordine ai presupposti – la cui sussistenza sarebbe necessaria – per il riconoscimento del danno alla luce delle disposizioni vigenti ratione temporis le quali, essendo nel frattempo modificate dall’entrata in vigore del reg. UE n. 679 del 2016, lasciano aperta
GIURISPRUDENZA CIVILE l’astratta possibilità di analizzare la vicenda sotto un profilo giuridico differente.
2. Le questioni giuridiche sollevate dal caso e l’iter argomentativo della Suprema Corte
Il tema del risarcimento dei danni patrimoniali e non patrimoniali in conseguenza di un illecito trattamento di dati personali è stato oggetto, nel corso degli ultimi anni, di una crescente attenzione da parte della dottrina e della giurisprudenza, sia di merito che di legittimità. D’altro canto, i nuovi strumenti di comunicazione di massa, ampliando in misura significativa le astratte potenzialità lesive della sfera personale degli individui, di cui la protezione dei dati rappresenta una fondamentale declinazione, hanno portato ad una notevole casistica in relazione alla quale si sono venuti a formare due filoni interpretativi contrapposti. Secondo un primo e più risalente orientamento, invero, in caso di lesione dei diritti fondamentali della persona, la Suprema Corte aveva ritenuto che “il danno in re ipsa e dovrà essere risarcito senza che incomba sul danneggiato l’onere di fornire la prova dell’esistenza del danno” (1). A fronte di tale orientamento si era tuttavia formato nel tempo un diverso filone interpretativo, maggiormente rigoristico, anche in conseguenza delle note pronunce della Suprema Corte dell’11 novembre 2008 (2), per il quale il danno non patrimoniale risarcibile ai sensi dell’’art. 15, d.lgs. n. 196 del 2003 (nella sua formulazione precedente l’entrata in vigore del reg. UE n. 679 del 2016 e del d.lgs. n. 101 del 2018), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Corte cost., oltre che a livello sovranazionale, dall’art. 8 della CEDU, non poteva essere sottratto alla verifica della “gravità della lesione” e della “serietà del danno“.
(1) Cass., 5 novembre 1998, n. 11103, in Danno e resp. 1999, 1127, con nota di Cardona, Bosca. Per altri approfondimenti sul tema cfr. Sciso, Illegittimità del protesto cambiario e risarcimento dei danni, in Corr. giur. 1999, 998 e Mastropietro, Il danno da illecito trattamento dei dati personali nel quadro dei recenti orientamenti in materia di danno non patrimoniale, in Nuova giur. civ. comm., 2004, 679. (2) Cass. SS.UU., 11 novembre 2008, nn. 26972, 26973, 26974 e 26975, in Giust. civ. 2009, I, 913, con nota di Rossetti. In dottrina, v., fra gli altri, Mazzamuto, Il rapporto tra gli artt. 2059 e 2043 c.c. e le ambiguità delle Sezioni Unite a proposito della risarcibilità del danno non patrimoniale, in Contr. e impr., 2009, 589 ss. Per una presa di posizione contraria ai principi espressi dalle Sezioni Unite si veda, fra tutti, Ponzanelli, Sezioni unite: il “nuovo statuto” del danno non patrimoniale, in Foro it., 2009, I, 134 ss., a parere del quale “i diritti inviolabili, se sono tali, devono essere sempre risarciti (anche con un piccolo risarcimento nel caso si trattasse di danno non serio). La serietà del danno e la gravità dell’offesa devono operare come criteri di risarcimento del danno: non già, invece, quali metri di selezione dei danni non patrimoniali”.
A tali conclusioni, peraltro, ha integralmente aderito la Suprema Corte nella ordinanza in commento, ove è stato affermato – previo richiamo a molteplici precedenti giurisprudenziali (3) - che non è esatto sostenere che gli artt. 11 e 15 del D.lgs. n. 196/2003 riconoscano il risarcimento in re ipsa del danno. Invero, più in particolare, la Suprema Corte ha ritenuto di precisare che “anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto, non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva”. Nel caso oggetto di esame, dunque, a prescindere dagli elementi di fatto relativi alla dedotta violazione della normativa, non ritenuti provati, la Suprema Corte ha evidenziato la necessità di dimostrare l’esistenza di un effettivo e concreto danno conseguenza. Nel processo motivazionale che ha condotto al rigetto del terzo motivo di impugnazione, invero, viene implicitamente dato atto che nell’attuale configurazione dell’illecito aquiliano il danno risarcibile non può essere identificato con la lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di essa. I richiami giurisprudenziali operati nell’ordinanza, peraltro, lasciano intendere l’adesione della Suprema Corte al principio secondo cui l’art. 2059 c.c. non disciplina una autonoma fattispecie di illecito, limitandosi a regolare le condizioni di risarcibilità dei pregiudizi non patrimoniali. Conseguentemente, detti pregiudizi potranno essere liquidati solo a condizione che la lesione sia grave, ovvero superi la soglia minima di tollerabilità, e che il danno non sia futile, ossia non consista in meri disagi o fastidi. La Suprema Corte, pertanto, pur richiamando l’esigenza di contemperare opposti interessi, anche di matrice costituzionale, ha respinto la tesi che porterebbe a risarcire automaticamente il danno solo per il fatto che il (3) Cass. 15 luglio 2014, n. 16133, in Foro it., 2015, 1 e Cass. 13 ottobre 2016, n. 20615, in Resp. civ., 2017, 257. Tale ultima pronuncia, peraltro, aveva precisato che “nessun automatismo è lecito inferire tra il disposto dell’’art. 4 del Codice della Privacy e la predicabilità di un danno non patrimoniale, fattispecie cui le sezioni unite di questa Corte hanno riservato un’ampia e approfondita disamina, affermando il principio della irrisarcibilità di quelli che non superino una determinata soglia di serietà, e comunque della irrisarcibilità di quelli che non risultino puntualmente allegati e provati (allegazione e prova, nella specie, del tutto assente), come ancora di recente affermato da questa Corte regolatrice (Cass. 15429 del 2014)”. In dottrina, v. Di Ciommo, La risarcibilità del danno non patrimoniale da illecito trattamento dei dati personali, in Danno e resp., 2005, 7, 803; Id., Il danno non patrimoniale da trattamento dei dati personali, in Il “nuovo” danno non patrimoniale, Ponzanelli (a cura di), Padova, 2004, 274 ss., D’Agata, Danni da illegittimo trattamento dei dati personali: riservatezza, protezione dei dati e diritto all’oblio, in Il danno alla persona, Cassano (a cura di), Milano, 2016, 644 ss.
DIRITTO DI INTERNET N. 4/2020
621
GIURISPRUDENZA CIVILE legislatore abbia provveduto a tipizzare, come nel caso dell’art. 15 del d.lgs. n. 196 del 2003, il rimedio risarcitorio. Ancorché la norma preveda che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050”, precisando che “il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11”, non è legittima, stando alle conclusioni cui è pervenuta la Suprema Corte, un’interpretazione tale da consentire la tutela risarcitoria a prescindere dall’ingiustizia e serietà del danno medesimo, di cui dovrà dunque essere fornita la dimostrazione da parte del preteso danneggiato, in aggiunta alla gravità della lesione, intendendosi per tale la violazione del precetto normativo. La Suprema Corte conferma, quindi, l’orientamento secondo cui al risarcimento del danno non può ascriversi una funzione punitiva, conseguente in via immediata dalla violazione della norma, per quanto posta a tutela di un diritto fondamentale dell’individuo, dovendosi necessariamente verificare, in virtù del principio solidaristico, se sussista nel caso concreto (4), oltre alla gravità della lesione, anche la serietà del danno.
3. Osservazioni alla luce del vigente art. 82 Reg. UE 27 aprile 2016, n. 679. Il bilanciamento di interessi quale nucleo fondante il modello di regolazione
È innegabile che la pronuncia in commento si inserisca in un filone argomentativo destinato a rendere più ardua l’azione risarcitoria di chi lamenti di essere stato leso da un illecito trattamento dei propri dati personali o, più in generale, di chi lamenti aver subito una lesione di uno, o più, diritti fondamentali della persona. Occorre tuttavia evidenziare come gli artt. 11 e 15 del d.lgs. n. 196 del 2003 siano stati abrogati dall’entrata in vigore del reg. UE n. 679 del 2016 (5). L’intervenuta abrogazione dell’art. 15 del d.lgs. n. 196 del 2003, applicato dalla Suprema Corte per la decisione in commento, e la sua sostituzione con l’attuale art. 82 reg. UE n. 679 del 2016 in tema di risarcimento del danno, invita dunque a domandarsi se, applicando la vigente normativa, i principi di diritto da utilizzare al caso concreto avrebbero potuto essere diversi o portare a conclusioni differenti. L’art. 82 del reg. UE n. 679 del 2016 prevede, infatti, che “chiunque subisca un danno materiale o immateriale (6)
(4) Il cui accertamento è demandato al giudice di merito. (5) Gli artt. 11 e 15 del d.lgs. n. 196 del 2003 sono stati espressamente abrogati dall’art. 27, comma 1, lettera a), n. 2, del d.lgs. n. 101 del 2018. (6) Il riferimento al “danno materiale o immateriale” contenuto nella versione italiana dell’art. 82 dovrebbe essere letto, all’interno del sistema
622
DIRITTO DI INTERNET N. 4/2020
causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento” e che “il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità […] se dimostra che l’’evento dannoso non gli è in alcun modo imputabile”. Il nuovo contesto normativo, peraltro, assume rilievo anche in ordine al principio di responsabilizzazione del titolare e del responsabile per i trattamenti posti in essere, in guisa da garantire l’effettività del diritto alla protezione dei dati personali (7). La liceità del trattamento dei dati personali è oggi subordinata al rispetto dei principi generali di cui all’art. 5 del reg. UE n. 679 del 2016, e ad adempimenti generali a tutela dell’interessato, oltre che all’adozione di opportune misure di sicurezza, idonee a ridurre i rischi di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di distruzione o perdita, anche accidentale, dei dati.
giuridico, come “danno patrimoniale o non patrimoniale”, ove si consideri che il considerando n. 146 specifica apertamente che “il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di Giustizia”: cfr., in merito, Ratti, La responsabilità da illecito trattamento dei dati personali, in AA.VV., La protezione dei dati in Italia. Regolamento UE n. 2016/6789 e d.lgs. 10 agosto 2018, n. 101, Finocchiaro (diretto da), Torino, 2019. Più ampiamente, sul tema della responsabilità civile derivante dal trattamento dei dati personali, v., tra gli scritti più recenti, il lavoro di Camardi, Note critiche in tema di danno da illecito trattamento dei dati personali, in Jus civile, 2020, 786. (7) È interessante rilevare come l’originaria formulazione dell’art. 1 del d.lgs. n. 196 del 2003 prevedesse espressamente il diritto di “chiunque” alla protezione dei dati personali che lo riguardavano, mentre l’attuale formulazione prevede che il trattamento dei dati personali debba avvenire secondo le norme del Regolamento e del d.lgs. n. 196 del 2003 medesimo, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona. Il diritto alla protezione dei dati personali, d’altro canto, consiste nel diritto della persona cui i dati si riferiscono di esercitare un controllo su di essi e si differenzia dal diritto alla riservatezza che, invece, delinea il diritto di escludere terzi dalla conoscenza di vicende attinenti alla propria sfera più intima. Al fine di evidenziare il potere attivo riconosciuto dalla legge al soggetto i cui dati personali sono oggetto di altrui trattamento, si utilizza l’emblematica formula di “diritto all’autodeterminazione informativa”. Cfr., per un approfondimento sul tema, Finocchiaro, Introduzione al regolamento europeo sulla protezione dei dati, in Le nuove leggi civ. comm., 2017, 1 ss.; Id., Privacy e protezione dei dati personali. Disciplina e strumenti operativi, Bologna, 2012, 289; Alpa, La disciplina dei dati personali, Roma, 1998; Alpa - Resta, Le persone fisiche e i diritti della personalità, in Trattato di Diritto Civile, Torino, 2006; Franzoni, Responsabilità derivante da trattamento dei dati personali, in Finocchiaro – Delfini (a cura di), Diritto dell’informatica, Milano, 2014, 831; Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla direttiva 95/46 al nuovo regolamento europeo, Torino, 2016 e Montinaro, Tutela della riservatezza e risarcimento del danno nel nuovo “Codice in materia di protezione dei dati personali”, in Giust. civ., 2004, 257 ss. Per un confronto tra la previgente normativa italiana e la disciplina introdotta dal legislatore europeo, cfr., tra gli altri, Barbarossa – Benvenuto – Cerocchi, La responsabilità civile e danno da trattamento illecito dei dati alla luce del Regolamento UE 2016/679, in Il processo di adeguamento al GDPR, Cassano – Colarocco – Gallus - Micozzi (a cura di), Milano 2018, 376 ss.
GIURISPRUDENZA CIVILE I principi generali che, come autorevole dottrina ritiene, possono essere riconducibili al nucleo essenziale della qualità del dato (8), sono quelli di liceità e correttezza del trattamento, di finalità del trattamento, di adeguatezza, pertinenza e non eccedenza dei dati rispetto alle finalità della raccolta, nonché quelli relativi all’esattezza e all’aggiornamento dei dati trattati, e alla limitazione della conservazione. I principi di liceità e di correttezza, d’altro canto, impongono che il trattamento sia conforme alla legge e che siano adottate modalità di trattamento dei dati rispettose dei diritti e delle libertà dell’interessato, mentre il principio di finalità impone che il trattamento ed i dati che ne sono oggetto siano strumentali a scopi individuati ed espliciti. In applicazione dei principi di adeguatezza, pertinenza e non eccedenza, occorre che vengano trattati i soli dati necessari al perseguimento delle finalità dichiarate. Il principio di esattezza, infine, impone al titolare di verificare, all’atto della raccolta e nelle successive fasi del trattamento, che i dati personali siano corretti e aggiornati e, conseguentemente, di adottare «tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati. L’obbligo di trattare, in modo lecito e corretto, esclusivamente i dati personali necessari, proporzionati, pertinenti e non eccedenti rispetto agli scopi per i quali i dati stessi sono stati raccolti traccia, così, i confini di liceità del trattamento. Una volta accertato che i dati non sono più necessari al raggiungimento delle finalità perseguite, ovvero che queste sono irraggiungibili, la ragione che giustifica il trattamento viene meno; ne consegue, pertanto, che i dati devono essere cancellati, distrutti o trasformati in forma anonima. I principi generali individuano inoltre la durata massima del trattamento e, dunque, raggiunto lo scopo originario per il quale i dati personali sono stati raccolti, questi devono essere cancellati o trasformati in forma anonima. Quanto appena espresso viene sancito dall’art. 5, comma 1, lett. e) del reg. UE n. 679 del 2016, secondo cui i dati personali, oggetto di trattamento, devono essere conservati in una forma che consenta l’identificazione dell’interessato per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento è tenuto a sottoporre i dati ad un esame periodico, così da verificarne la persistente necessità di trattamento. Se i dati personali, raggiunta la finalità per la quale sono stati raccolti, continuano ad essere conservati, il confine di
(8) Finocchiaro, Privacy e protezione dei dati personali. Disciplina e strumenti operativi, Bologna, 2012, 54 ss.
legittimità è oltrepassato. Assume rilevanza, in altri termini, la funzione originaria della raccolta dei dati personali: se questa è esaurita e non sussistono altre valide giustificazioni alla conservazione dei dati, l’interessato può pretenderne la cancellazione. È evidente, sotto questo profilo l’esigenza di tutela dell’interessato su cui si fonda l’impianto della disciplina sin qui richiamata (9). I dati personali sono infatti informazioni che costituiscono il riflesso dell’identità personale (10): di qui il diritto del soggetto di autodeterminarsi anche attraverso la scelta di quali informazioni veicolare ed in quali modalità, mantenendo un controllo costante, così da garantire che solo informazioni corrette, aggiornate ed (eventualmente) complete circolino sul proprio conto (11). Pur non essendo questa la sede per un approfondimento specialistico del tema, si ritiene opportuno evidenziare come l’art. 82 del reg. UE n. 679 del 2016 abbia innovato la materia prevedendo la responsabilità solidale del titolare – per il danno cagionato dal suo trattamento che violi le disposizioni del regolamento (12) – e del responsabile che sia stato inadempiente agli obblighi impostigli ovvero se abbia agito in modo difforme o in contrasto con le istruzioni ricevute dal titolare (13). Il criterio di attribuzione della responsabilità delineato dall’art. 82 del reg. EU n. 679 del 2016 non sembra comunque po (9) Amplius sui principi generali del trattamento, v., fra gli altri, Poletti, Le condizioni di liceità del trattamento dei dati personali, in Giur. it., 2019, 2783 ss. e Finocchiaro, Riflessioni sul poliedrico Regolamento europeo sulla privacy, in Quaderni cost., 2018, 895 ss. (10) Finocchiaro, nella voce Identità personale (diritto alla), in Digesto, disc. priv., sez. civ., Torino, 2010, 721 ss., insegna che l’identità è la sintesi delle componenti della personalità individuale, è l’unicità di ciascun individuo che lo contraddistingue, differenziandolo dagli altri, e lo rappresenta nella sua diversità. (11) Sia consentito il rinvio, sullo specifico punto, ad Avitabile, Illecito trattamento dei dati personali e risarcimento del danno, in <giustiziacivile.com>, 31 marzo 2015. (12) L’attribuzione della responsabilità al titolare per violazione delle disposizioni del regolamento deve intendersi formulata in modo ampio e ricomprendere anche le disposizioni contenute negli atti adottati dai singoli Stati membri. Il novero delle condotte illecite fonte di risarcimento del danno ai sensi della regola speciale in parola può, quindi, essere estremamente ampio ed eterogeneo, potendo derivare da qualunque violazione dei precetti conformativi del reg. UE n. 679 del 2016, normative discendenti e attuative. Cfr., sul punto, Tosi, Responsabilità civile per illecito trattamento dei dati personali e danno non patrimoniale, Milano, 2019. (13) Più in particolare, il regolamento europeo ha introdotto una maggiore responsabilità del titolare del trattamento – a cui viene affiancata in via solidale quella del responsabile – ai fini della prevenzione dei rischi e, conseguentemente, dei danni che ne possono derivare per i diritti e le libertà delle persone fisiche. Per un approfondimento del profilo di accountability e di gestione del rischio, v., fra tutti, Finocchiaro, Il principio di accountability, in Giur. it., 2019, 2778 ss. e Id., L’accountability nel Regolamento europeo, in Aa.Vv., Commentario del codice civile delle persone. Delle persone, Barba – Pagliantini (a cura di), Torino, 2019, 513 ss.
DIRITTO DI INTERNET N. 4/2020
623
GIURISPRUDENZA CIVILE ter prescindere dal nesso di causalità e dalla sussistenza, ontologica, del danno “materiale o immateriale” da risarcire. In merito a tale ultimo aspetto, invero, occorre tenere a mente che il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità “se dimostra che l’’evento dannoso non gli è in alcun modo imputabile”. Orbene, il riferimento all’”evento dannoso” potrebbe ad una prima analisi indurre astrattamente a ritenere la volontà di richiamare il “danno evento” in senso naturalistico quale lesione del bene giuridico tutelato e non il “danno conseguenza”. Tale chiave di lettura, tuttavia, non parrebbe sostenibile alla luce del compendio normativo di riferimento e della elaborazione giurisprudenziale sul tema. L’esigenza di tutela, infatti, per quanto condivisibile, non può prescindere dalla necessità di verificare la sussistenza, o meno, di conseguenze pregiudizievoli che, ancorché estranee all’area del patrimonio, debbono essere valutate sotto il duplice aspetto della meritevolezza dell’interesse leso e dell’esistenza delle conseguenze dannose della lesione. D’altro canto, in relazione alla risarcibilità del danno pare opportuno richiamare la nota sentenza della Corte costituzionale del 14 luglio 1986, n. 184, che si ritiene corroborata e confermata dalle affermazioni della Corte di Cassazione a Sezioni Unite dell’11 novembre 2008, applicabili in termini generali, secondo cui una volta accertata la gravità della lesione di un interesse giuridicamente protetto, occorre verificare l’esistenza dell’ingiustizia del danno, “che non potrà predicarsi tale in presenza di una minima offensività della lesione stessa”. Alla luce di quanto sopra, pur in considerazione del vigente art. 82 reg. UE n. 679 del 2016, si ritiene che la risarcibilità del danno “immateriale” (o non patrimoniale) potrà trovare ingresso nell’ordinamento solo “là dove esso si presenti serio”. Non sarà quindi sufficiente dimostrare che l’attività di trattamento dei dati personali sia stata effettuata in violazione del reg. UE n. 679 del 2016 e del d.lgs. n. 196 del 2003 nella sua attuale formulazione, né che da tale condotta antigiuridica sia conseguito automaticamente un danno, poiché – in applicazione dei principi di diritto elaborati dalla Suprema Corte a Sezioni Unite - “il pregiudizio non serio esclude che vi sia una perdita di utilità derivante da una lesione che pur abbia superato la soglia di offensività”. Da un punto di vista generale, una conclusione di tal fatta potrebbe, semmai, portare ad una rivisitazione del concetto stesso di “ingiustizia del danno”. Se, infatti, in virtù del principio di solidarietà, da cui deriva il dovere di tolleranza, imponendo un necessario bilanciamento
624
DIRITTO DI INTERNET N. 4/2020
tra posizioni idiosincratiche ed esigenze collettive (14), si deve escludere l’accesso alla tutela risarcitoria per quelle lesioni che, per la loro limitatezza, debbono essere accettate da chi le ha subite, il danno così cagionato potrebbe non rientrare all’interno della categoria concettuale di danno ingiusto di cui all’art. 2043 c.c.. Non può sottacersi, inoltre, come la Suprema Corte si sia addirittura spinta ad affermare che anche nelle ipotesi in cui il fatto illecito integri gli estremi del reato, la sussistenza del danno non patrimoniale deve essere comunque debitamente allegata e provata da chi lo invoca, non potendo essere ritenuta in re ipsa, poiché altrimenti ne risulterebbe snaturata la funzione del risarcimento, che verrebbe ad essere concesso non in conseguenza dell’effettivo accertamento di un danno bensì quale pena privata per un comportamento lesivo (15). L’applicazione del suddetto principio, dunque, imporrebbe di verificare, caso per caso, se la violazione delle disposizioni del Regolamento possa cagionare un danno che, stando al dictum della Suprema Corte, sia definibile come “serio” (16). Queste considerazioni inducono altresì a valutare se, nel caso di specie, l’astratta conoscibilità di dati personali all’interno della missiva possa aver cagionato per le persone cui le informazioni si riferiscono un danno non patrimoniale. A tutela dell’interessato (e preteso danneggiato) è riconosciuta la possibilità di assolvere l’onere probatorio attraverso la prova testimoniale e per presunzioni (17).
(14) Sul principio di solidarietà si considerino le autorevoli pagine di Busnelli, Il principio di solidarietà e “l’attesa della povera gente”, oggi, in Riv. trim. dir. e proc. civ., 2013, 413 ss.; Id., Solidarietà: aspetti di diritto privato, in Iustitia, 1999, 435 ss. (15) Ex pluribus, Cass. 10 maggio 2018, n. 11269, in Giust. civ. mass., 2018; Cass. 21 giugno 2011 n. 13614, in Giust. civ. mass, 2011, 997; Cass. 12 febbraio 2018, n. 3289, in Dir. giust., 2018, 13, Cass. 8 febbraio 2017, n. 3311, in Giur. it., 2017, 1537; Cass. 12 ottobre 2012, n. 17490, in Dir. giust., 2012; 16 ottobre 2012 (con nota di Basso), Cass. SS.UU., 11 novembre 2008, n. 26972, cit. Per la giurisprudenza di merito, fra le altre, v. Trib. Roma, 17 gennaio 2019, n. 1221, in Redazione Giuffré, 2020 e Trib. Terni, 18 luglio 2020, n. 456, in Redazione Giuffré, 2020. (16) Il tutto a prescindere dalla prova liberatoria prevista dall’art. 82 reg. UE n. 679 del 2016 che evoca – similmente a quanto previsto per la responsabilità contrattuale dall’art. 1218 c.c. – l’obbligo in capo al preteso danneggiante (titolare o responsabile del trattamento) di dimostrare che l’evento dannoso non li sia oggettivamente riferibile all’attività di trattamento dei dati effettuata. Tale prova, peraltro, è solo apparentemente meno gravosa della dimostrazione, prevista all’art. 2050 c.c., di aver adottato tutte le misure idonee ad evitare il danno, posto che se tutte le misure idonee fossero state adottate il danno non si sarebbe verificato. (17) Cass. 19 luglio 2016, n. 14694, in Guida dir., 2016, 43, secondo cui “anche qualora si tratti di lesione di diritti inviolabili della persona (cfr. Cass. SS.UU. n. 26972 del 11 novembre 2008), danni risarcibili vanno provati da parte dei danneggiati, sia pure col ricorso alla prova presuntiva, e si configurano come danni-conseguenza”. Dal ragionamento presuntivo conseguirà, pertanto, una mera inversione dell’onere della prova,
GIURISPRUDENZA CIVILE Cionondimeno, sarà necessaria l’allegazione di elementi idonei a provare il fatto noto da cui il giudice possa eventualmente risalire al fatto ignoto. In particolare, ai fini della liquidazione equitativa del giudice, è necessario che il pregiudizio del quale la parte reclama il risarcimento sia certo e, nel contempo, risulti impossibile o particolarmente difficile provare il danno nel suo preciso ammontare (18). Alla luce delle considerazioni sin qui condotte e ponendo sotto la lente esclusivamente il solo dato testuale, si ritiene di poter affermare che l’attuale formulazione dell’art. 82 del reg. UE n. 679 del 2016 non scalfisce in alcun modo i principi, già applicabili vigente la precedente disciplina normativa, sulla risarcibilità del danno da illegittimo trattamento di dati personali (19) e di cui la decisione in commento ne rappresenta una significativa conferma, collocandosi all’interno di un consolidato orientamento giurisprudenziale. Ciò detto, sia consentita una considerazione di carattere generale. L’art. 82, nel riconoscere il “diritto al risarcimento del danno” a chiunque subisca un danno materiale o immateriale derivante dalla mancata osservanza delle previsioni del Regolamento, è norma coerente all’impianto di tutela descritto dal Regolamento medesimo e fondato – l’elemento è di indiscutibile rilevanza – sul bilanciamento tra interessi individuali e valori collettivi. Ed invero, all’affermazione del dato quale componente dell’identità personale e del correlato diritto
all’autodeterminazione informativa si affianca quella della (possibile) funzionalizzazione dei dati al perseguimento di esigenze sovraindividuali e correlativamente della natura relativa del diritto. Si legge, infatti, nel considerando 4 del reg. UE n. 679 del 2016 che il diritto alla protezione dei dati personali “non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ottemperanza al principio di proporzionalità (...)” (20). Sotto questo profilo, nell’affermata necessità di valutare in concreto la lesione del diritto alla protezione dei dati (21), ancorché diritto fondamentale della persona, si ravvisa la naturale conseguenza di un modello di regolazione della responsabilità civile, improntato al valore della solidarietà sociale e del conseguente componimento tra opposti interessi, che nella circolazione dei dati personali trova un privilegiato campo di analisi.
gravando sul danneggiante l’onere di dimostrare il mancato verificarsi del pregiudizio nel caso concreto. (18) Sul punto va evidenziato che la giurisprudenza della Suprema Corte già da diversi anni ha preso coscienza delle insidie che la valutazione equitativa nasconde ed ha cercato di porre un argine alla discrezionalità dei giudici di merito sancendo, ad esempio, l’obbligo di esplicitare i parametri utilizzati nella liquidazione. Tuttavia, l’obbligo di indicare i principi utilizzati nella liquidazione del danno, non pare sempre adeguatamente assolto, risolvendosi in mere formule di stile, dalle quali non è dato risalire all’operazione interpretativa e contabile che ha portato all’individuazione di una somma piuttosto che un’altra. Del resto, la mera esplicitazione dei criteri utilizzati nel calcolo del risarcimento, da sola, non pare neppure idonea ad assicurare quell’esigenza fondamentale di giustizia sottesa alla necessità che, a fronte di una medesima lesione, non siano liquidati risarcimenti sperequati; esigenza la quale, probabilmente, non può prescindere da una adeguata valorizzazione dei precedenti giurisprudenziali. (19) Di contrario avviso, Tosi, Responsabilità civile per illecito trattamento dei dati personali e danno non patrimoniale, Milano, 2019, il quale ritiene che la lesione di un diritto fondamentale della persona come quello alla riservatezza e alla protezione dei dati personali non possa mai considerarsi bagatellare: secondo tale Autore il risarcimento del danno è in re ipsa in quanto discende dal trattamento illecito non conforme ai precetti del reg. UE n. 679 del 2016. Parimenti contraria a quanto sopra è Esposito, Il risarcimento del danno non patrimoniale da illecito trattamento dei dati personali, in Corr. giur., 2019, 637, secondo cui “la lesione dell’interesse tutelato dovrà ritenersi ingiusta - e, di conseguenza, garantire il diritto al risarcimento - a prescindere da ogni valutazione in merito all’intensità del pregiudizio sofferto”.
(20) In dottrina, sulla valenza della previsione contenuta nel considerando 4, v. Ricci, Sulla funzione sociale del diritto alla protezione dei dati personali, in Contratto e impresa, 2017, 586 ss. (21) Così da valutarne il superamento di una certa soglia di tollerabilità.
DIRITTO DI INTERNET N. 4/2020
625
GIURISPRUDENZA CIVILE
Diritto all’oblio e deindicizzazione: fondamenti giuridici e risarcibilità del danno Corte d’Appello di Milano; sezione II civile;15 maggio 2020, n. 1106; Pres. V. Colombo, Cons. rel. Ferrari da Grado, Cons. Grazioli; G. G. E. s.p.a. (avv. Carucci, Ripa di Meana) c. A.C. (avv. Mazzocca) L’applicazione analogica della norma di cui all’art. 11 d.lgs. 196/2003 disciplinante la materia del trattamento dei dati personali alla diversa ipotesi relativa al tema della deindicizzazione appare operazione all’evidenza erronea poiché non possibile, non realizzandosi con la deindicizzazione alcun intervento sulla notizia pubblicata, bensì mediante tale “procedura di blocco” l’articolo viene solo reso inaccessibile alla generalità degli utenti tramite l’uso ordinario del motore di ricerca. Al contrario, l’aggiornamento a cui si riferisce l’art. 11 d.lgs. 196/2003 comporta piuttosto il compimento di una attività di integrazione della notizia realizzata attraverso l’aggiunta o il collegamento con altre informazioni successive concernenti l’evoluzione della vicenda, informazioni che possono completare o anche radicalmente mutare il quadro evincentesi dalla notizia originaria, ma che svolgono lo scopo preciso di ripristinare la verità della notizia e di garantire così al contempo la salvaguardia dell’attuale identità sociale del soggetto cui la notizia stessa afferisce. Il diritto all’oblio diviene giuridicamente rilevante e prevalente rispetto ad altri diritti contrapposti solo nel momento in cui risulti esaurito l’interesse pubblico alla notizia; all’uopo occorre valutare l’arco temporale idoneo a soddisfare l’interesse generale della collettività alla conoscenza del contenuto dell’articolo. Il diritto all’oblio del singolo, con riferimento ad articoli risalenti nel tempo e riguardo ai quali non è configurabile alcun interesse pubblico all’informazione, può essere tutelato attraverso la c.d. deindicizzazione di tali articoli. Tale soluzione consente di contemperare i contrapposti diritti ed esigenze, impedendo l’accesso indifferenziato e permanente a tali notizie e la conseguente potenziale lesione del diritto all’oblio dell’interessato, senza però che vengano rimosse le notizie dalla rete, ma confinandole nell’archivio online del periodico. Attraverso la deindicizzazione di un articolo, quindi, viene tutelato il diritto all’oblio del singolo nel rispetto della funzione documentaristica degli archivi online delle testate giornalistiche, poiché la notizia rimane accessibile, ma solo agli utenti che compiano una specifica ricerca nell’archivio online.
…Omissis… Svolgimento del processo Con atto di citazione ritualmente notificato G. G. E. s.p.a. ha proposto tempestivo appello avverso la sentenza n. 3578/2018 del 20.03.2018 con cui il Tribunale di Milano così disponeva: “dichiara la cessazione della materia del contendere in relazione alla domanda di deindicizzazione dell’articolo “Evasione, in carcere commercialista società offshore intestate a prostitute” pubblicato sulla testata on line del quotidiano La Repubblica il 14/09/2011 ed inserito nell’archivio informatico dello stesso, formulata da C. A. nei confronti di G. E. S.p.A. con atto di citazione notificato il 4/11/2015; condanna parte convenuta al risarcimento dei danni in favore di C. A., …Omissis…. condanna parte convenuta alla rifusione delle spese di lite in favore di C.A.”, …Omissis… La controversia sorgeva in seguito alla pubblicazione online di un articolo dal titolo “Evasione, in carcere commercialista società offshore intestate a prostitute” ad opera della testata giornalistica “La Repubblica Online”, che riportava alcune vicende processuali di A. C., coinvolto in un’inchiesta …Omissis… in tema di evasione fiscale internazionale.
C., a seguito di ripetuti e vani solleciti di rimozione dell’articolo rivolti sia alla testata giornalistica sia al motore di ricerca Google, assumendo la pretesa diffamatorietà dell’articolo de quo, decideva di convenire in giudizio la G., in qualità di editore del quotidiano online, al fine di ottenere l’ordine d’immediata rimozione dell’articolo e in subordine la deindicizzazione dello stesso, e la condanna della resistente al risarcimento ex art. 2043 c.c. dei danni patrimoniali e non patrimoniali patiti a causa del contenuto diffamatorio dell’articolo, nonché ex art. 2043, 2059 c.c. e art. 15 d. lgs. 196 del 2003 dei danni non patrimoniali subiti a causa della violazione del diritto all’oblio dell’attore. Costituitasi in giudizio la G. dava prova dell’avvenuta deindicizzazione dell’articolo, producendo la stampa di una schermata video della pagina di Google recante la data del 2/05/2016 dalla quale emergeva che l’articolo de quo non veniva più individuato mediante l’interrogazione del motore di ricerca. Il Tribunale di Milano dichiarava dunque cessata la materia del contendere su tale punto, condannava la G. nei termini sopra riportati al risarcimento del danno per violazione del diritto all’oblio in capo a C. e infine rigettava le altre domande svolte dall’attore.
DIRITTO DI INTERNET N. 4/2020
627
GIURISPRUDENZA CIVILE G. soccombente in primo grado impugnava la sentenza rassegnando più motivi d’appello. Con il primo motivo di appello G. censura la violazione e/o falsa applicazione dell’articolo 11 del d.lgs. 196/2003 operata dal giudice di prime cure che ivi individuava il fondamento normativo dell’obbligo giuridico di deindicizzazione gravante sull’editore. Con il secondo motivo di gravame l’appellante assume la violazione e/o falsa applicazione dell’art. 15 d.lgs. 196/2003 norma in base alla quale in primo grado era stato accordato il risarcimento del danno non patrimoniale a causa della ritardata adozione della misura di deindicizzazione da parte di G., sull’erroneo presupposto che la deindicizzazione e il trattamento dei dati previsto dalla norma non sono attività equiparabili ai fini di una interpretazione in via analogica dell’art.15 sottolineando in ogni caso che non è stata fornita la prova del danno e del nesso di causalità con la tardiva deindicizzazione. Con il terzo motivo di appello G. lamenta la contraddittorietà della sentenza nella parte in cui il Tribunale di Milano “pur non riconoscendo l’esistenza di un diritto all’oblio in capo al dott. C., ha comunque ritenuto sussistente il dovere dell’editore di deindicizzare l’articolo in parola” …Omissis… Infine l’appellante impugna la condanna alle spese del primo grado per erronea applicazione degli artt. 91 e 92 c.p.c., …Omissis…. Si costituiva in giudizio tempestivamente C. contestando l’impugnazione proposta e chiedendo la conferma integrale della sentenza di primo grado. …Omissis… Motivi della decisione L’evidente stretta connessione che lega i primi tre motivi impone una valutazione unitaria degli stessi. L’appellante anzitutto lamenta l’interpretazione analogica estensiva dell’articolo 11 lett. c d.lgs. 196/2003 (codice in materia di protezione dei dati personali) che il giudice di prime cure ha usato quale fondamento normativo per configurare a carico dell’editore l’obbligo giuridico di procedere alla deindicizzazione dell’articolo oggetto della controversia, in quanto anche solo il tenore letterale della norma pare escludere che detta ultima operazione possa ritenersi ricompresa nell’ambito di applicazione della norma stessa. Secondo la prospettazione di G. dal ragionamento del primo Giudice non si evince cosa la deindicizzazione di un articolo di stampa abbia a che spartire con l’attività di aggiornamento prevista dalla lettera c) dell’art. 11, … Omissis… In punto C. contesta quanto affermato da G. e ritiene corretta l’interpretazione del giudice di primo grado, secondo il quale G. in seguito alla richiesta avanzata dallo stesso appellato era tenuta all’aggiornamento dei dati e alla conseguente deindicizzazione della notizia. In particolare l’appellato richiama quanto affermato dall’Autorità della Privacy nel 2009, autorità che “in ambito gior-
628
DIRITTO DI INTERNET N. 4/2020
nalistico aveva fatto espresso riferimento all’art. 11 d.lgs. 196/2003 stabilendo che il giornalista è comunque tenuto al rispetto di alcuni principi generali applicabili a qualunque tipo di trattamento di dati e che si traducono, tra gli altri, nel dovere di trattare i dati personali in modo corretto”, e pertanto “l’appellante non deindicizzando la notizia è incorso inevitabilmente nell’illecito trattamento dei dati personali del dott. A. C., i quali essendo dati sensibili ed essendo soddisfatta l’esigenza di cronaca, per renderli fruibili al pubblico per un lungo periodo di tempo necessitano del consenso dell’interessato” …Omissis… La Corte ritiene di doversi discostare dal ragionamento seguito e dalle conclusioni raggiunte dal Tribunale nella parte in cui sussume nell’articolo 11 lett. c d.lgs. 196/2003, e segnatamente nel previsto obbligo di aggiornamento dei dati personali oggetto di trattamento, la fattispecie di cui si discute, ovverosia l’esistenza dell’obbligo dell’editore di deindicizzare l’articolo di stampa. Secondo la Corte infatti il giudice di prime cure, nel tentativo di individuare un fondamento normativo per la configurazione a carico dell’editore dell’obbligo giuridico di deindicizzazione dell’articolo, ha compiuto una impropria forzatura. Premesso che la norma richiamata dal primo giudice stabilisce che “I dati personali oggetto di trattamento sono: c) esatti e, se necessario, aggiornati” e considerato che l’operazione di deindicizzazione di un articolo consiste in una manovra tecnico informatica …Omissis…, ad avviso della Corte, l’applicazione analogica della norma di cui all’art. 11 d.lgs. 196/2003 disciplinante la materia del trattamento dei dati personali alla diversa ipotesi relativa al tema della deindicizzazione qui in esame appare operazione all’evidenza erronea poiché non possibile. Infatti con la deindicizzazione non viene realizzato alcun intervento sulla notizia pubblicata, bensì mediante tale “procedura di blocco” l’articolo viene solo reso inaccessibile alla generalità degli utenti tramite l’uso ordinario del motore di ricerca. L’articolo infatti nel suo originario contenuto viene soltanto confinato nell’archivio informatico dell’editore, ma colà rimane consultabile nella sua originaria integralità. Al contrario, l’aggiornamento a cui si riferisce la norma applicata dal primo giudice comporta piuttosto il compimento di una attività di integrazione della notizia realizzata attraverso l’aggiunta o il collegamento con altre informazioni successive concernenti l’evoluzione della vicenda, informazioni che possono completare o anche radicalmente mutare il quadro evincentesi dalla notizia originaria, ma che svolgono lo scopo preciso di ripristinare la verità della notizia e di garantire così al contempo la salvaguardia dell’attuale identità sociale del soggetto cui la notizia stessa afferisce (Cass. civ. sez. III, sent. 5525/2012). Pertanto alla luce di quanto ricostruito la Corte ritiene errata l’interpretazione data dal tribunale alla norma in esame e conseguentemente l’applicazione dell’articolo 11 lett. c d.lgs.
GIURISPRUDENZA CIVILE 196/2003, ora abrogato, al caso de quo come fatto dal primo giudice. A ciò consegue che del pari è fondato anche l’ulteriore profilo del gravame in esame. G. infatti lamenta altresì l’interpretazione estensiva dell’articolo 15 d.lgs. 196/2003 in applicazione del quale il giudice di prime cure ha riconosciuto fondata la domanda di risarcimento del danno non patrimoniale dispiegata dall’attore solo però in relazione “alla ritardata adozione della più contenuta misura della deindicizzazione” …Omissis… Premesso che la norma richiamata dal giudice prevede che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”, secondo l’appellante non sarebbe possibile riconoscere alcun danno in capo al C. sulla base di quest’ultima disposizione per diverse ragioni. Anzitutto la deindicizzazione di per sé non è un’attività di trattamento dei dati personali quale quella a cui la norma fa riferimento…Omissis… Con riguardo a tale motivo di gravame A. C. si limita a ripercorrere la ricostruzione svolta dal giudice secondo cui il mancato aggiornamento dei dati personali, che doveva essere effettuato quanto meno con la deindicizzazione della notizia, ha integrato una violazione dell’articolo 11 d.lgs. 196/2003, violazione che ai sensi del secondo comma dell’articolo 15 d.lgs. 196/2003 dà diritto al risarcimento del danno non patrimoniale. Le ragioni poste alla base della decisione del Tribunale non possono essere condivise dalla Corte. Il primo giudice ha ritenuto a mente dell’articolo 15 del citato d.lgs. 196/2003 comma 2, e segnatamente configurando la tardiva deindicizzazione dell’articolo oggetto della presente controversia quale violazione dell’art. 11 d.lgs. 196/2003, la responsabilità di G. per il danno non patrimoniale cagionato a C. e ha condannato la società editrice al risarcimento del danno non patrimoniale conseguente. Questa Corte però nonostante i rilievi sopra svolti e rilevata l’inconfigurabilità dell’obbligo giuridico di deindicizzazione, sostenuto dal Tribunale, ritiene in ogni caso che sia configurabile in capo a C. il diritto al risarcimento del danno non patrimoniale dovuto alla tardiva deindicizzazione dell’articolo, danno derivato dall’illecito commesso da G. e come tale riconducibile al disposto di cui all’art. 2043 c.c.. Per comprendere in che modo la tardiva deindicizzazione dell’articolo online possa integrare il presupposto che ex art. 2043 c.c. obbliga al risarcimento del danno ingiusto cagionato è necessario anzitutto ricostruire il quadro normativo e giurisprudenziale con riguardo al diritto all’oblio, quale interesse leso meritevole di tutela secondo l’ordinamento giuridico, ponendo particolare attenzione al bilanciamento dello stesso con il diritto di cronaca. Il diritto all’oblio è un diritto soggettivo di matrice giurisprudenziale, che non ha ancora una formulazione normativa specifica, ad eccezione dell’art. 17 del Regolamento in mate-
ria di protezione dei dati personali n. 679/2016. Esso è stato esplicitamente riconosciuto a livello nazionale, quale nuovo profilo del diritto alla riservatezza costituzionalmente tutelato ex art. 2 Cost. in quanto primaria ed indeclinabile esigenza della persona, per la prima volta in una pronuncia della Corte di Cassazione che lo definisce come “giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata” (Cass. civ. sez. III, sent. n. 3679 del 1998). Questo diritto si affermava solo alla fine del secolo scorso in ragione del bisogno sempre più avvertito dall’uomo contemporaneo di tutelare la propria reputazione e immagine rispetto a una società “dell’informazione”, nella quale l’informazione, veloce e “senza confini” grazie all’avvento di internet, assume un’importanza tale da condizionare i comportamenti e le scelte individuali e collettive e da poter quindi arrecare gravi lesioni alla sfera privata del singolo. Pertanto mediante il diritto all’oblio si riconosce a ciascun consociato la facoltà di ottenere che accadimenti relativi alla sua vita passata siano dimenticati e non siano riproposti a distanza di tempo all’attenzione generale da parte degli operatori dell’informazione, al fine di evitare che tali notizie non più attuali possano recare pregiudizio “alla proiezione sociale dell’identità personale” (Cass. Civ. sez. III, sent. 5525/2012). Il diritto all’oblio non è quindi volto a cancellare il passato ma a proteggere il presente dell’interessato. Si comprende facilmente che, per come è definito e per la funzione che svolge, “l’esercizio del diritto all’oblio è collegato in coppia dialettica al diritto di cronaca” (Cass. Civ. sez III, ordinanza interlocutoria n. 28084/2018) cosicché la tutela del diritto all’oblio va contemperata con il diritto di cronaca, che a sua volta trova limite nell’identità personale del soggetto cui la notizia si riferisce. Quanto al diritto di cronaca, fondato sulla previsione dell’art. 21 Cost. che sancisce il principio della libera manifestazione del pensiero e della libertà di stampa, esso è posto al servizio dell’interesse pubblico all’informazione e consiste nel potere-dovere conferito al giornalista di portare a conoscenza dell’opinione pubblica fatti, notizie e vicende interessanti la vita sociale e perché il suo esercizio sia legittimo è necessario che concorrano tre condizioni: l’utilità sociale dell’informazione, la verità oggettiva e la continenza espositiva (Cass. SS.UU. penali, sent. n. 8959/1984). Venendo ora a considerare il bilanciamento tra questi due diritti di rilievo costituzionale alla luce della giurisprudenza europea e nazionale intervenuta su più fattispecie diverse, emerge quale elemento dirimente la sussistenza di un apprezzabile interesse della collettività a conoscere la notizia riguardante vicende personali e non più attuali di un individuo. In particolare, verificare se sussista o meno tale interesse qualificato presuppone un complesso giudizio nel quale assumono rilievo decisivo diversi fattori: la notorietà dell’interessato, il suo coinvolgimento nella vita pubblica,
DIRITTO DI INTERNET N. 4/2020
629
GIURISPRUDENZA CIVILE il contributo ad un dibattito d’interesse generale, l’oggetto della notizia, la forma della pubblicazione ed il tempo trascorso dal momento in cui si sono verificati i fatti (Cass. Civ. SS.UU., sent. n. 19681/2019). Il diritto all’oblio dell’interessato, che, si ripete, sorge in riferimento a notizie riguardanti eventi passati della vita di quest’ultimo, può pertanto essere sacrificato rispetto al diritto di cronaca solo fin quando si ritenga che la notizia, alla luce degli elementi sopra elencati, soddisfi un interesse pubblico effettivo ed attuale alla diffusione della notizia. Va inoltre precisato che l’attualità dell’interesse pubblico all’informazione non è strettamente e necessariamente corrispondente all’attualità della notizia, …Omissis… Pertanto il diritto all’oblio dell’interessato prevale sul diritto di cronaca solo quando sia esaurito l’interesse della collettività alla diffusione della notizia. A questo punto è necessario individuare la forma di tutela mediante la quale può attuarsi il diritto all’oblio, quando non sia più configurabile un interesse pubblico all’informazione, in particolare facendo riferimento alle caratteristiche proprie nella realtà del mondo del web. La diffusione delle reti informatiche ha infatti dato vita ad un profondo mutamento nell’attività giornalistica …Omissis… introducendo un mezzo di informazione con particolari capacità di diffusione e di circolazione che ha portato tutti i maggiori periodici cartacei a riversare in rete i loro archivi, consentendo così alla generalità dei consociati l’accesso a un numero infinito di notizie e fatti, anche risalenti nel tempo. E’ evidente che l’avvento di internet e l’uso da parte delle testate giornalistiche di archivi telematici, che per loro natura garantiscono a un pubblico indifferenziato, e quindi anche a soggetti che non siano interessati a compiere ricerche storiche o didattiche, la perenne e facile reperibilità in rete di un articolo, anche molto risalente, sono idonei a determinare un’indebita compressione del diritto all’oblio …Omissis… D’altra parte la giurisprudenza concorda nel ritenere che anche per l’archivio online di una testata giornalistica, come per quello storico, sussista una imprescindibile funzione documentaristica, di preservazione culturale e della memoria storica, sulla quale non può prevalere il diritto all’oblio del singolo, sicché quando si esaurisce l’interesse della collettività alla conoscenza di una notizia risalente nel tempo, l’individuo interessato dalla notizia ha diritto alla tutela del proprio diritto all’oblio, prevalente sul diritto di cronaca, ma, al fine di impedire che sia travalicata la finalità conservativa dell’archivio online, tale tutela non può concretizzarsi nell’accoglimento della richiesta di rimozione dell’articolo stesso. Per individuare dunque quale tutela possa apprestarsi al diritto del soggetto privato all’oblio, bisogna soffermarsi su un altro effetto dell’inserimento in rete degli archivi delle testate giornalistiche. In particolare in ragione della peculiarità del sistema operativo del web l’archivio online assume ed esercita, accanto alla
630
DIRITTO DI INTERNET N. 4/2020
tradizionale funzione documentaristica, anche una funzione divulgativa delle notizie; infatti tramite l’indicizzazione i motori di ricerca rendono fruibili in ogni momento gli articoli pubblicati da una testata giornalistica e contenuti nell’archivio di quest’ultima alla generalità degli utenti che possono accedervi direttamente molto facilmente, …Omissis…, senza necessità di un previo passaggio dal sito del periodico. È evidente quindi che l’indicizzazione dei siti e degli archivi delle testate giornalistiche può arrecare un’indebita compressione del diritto all’oblio di un individuo, “infatti, l’inclusione nell’elenco di risultati …Omissis… di una pagina web e delle informazioni in essa contenute relative a questa persona, poiché facilita notevolmente l’accessibilità di tali informazioni a qualsiasi utente di Internet che effettui una ricerca sulla persona di cui trattasi e può svolgere un ruolo decisivo per la diffusione di dette informazioni, è idonea a costituire un’ingerenza più rilevante nel diritto fondamentale al rispetto della vita privata della persona interessata” (par. 87, CGUE 13 maggio 2014 , C- 131/12, Google Spain SL e Google Inc. v. Agencia Espa ola de Protecci n de Datos (AEPD) e Mario Costeja Gonz lez). Alla luce di quanto detto e come affermato dalla giurisprudenza di merito in punto richiamata dal Tribunale di Milano, l’unica tutela che può essere apprestata al diritto all’oblio del singolo con riferimento ad articoli risalenti nel tempo e riguardo ai quali non è configurabile alcun interesse pubblico all’informazione, è circoscritta alla deindicizzazione di tali articoli, mediante la quale si impedisce l’accesso indifferenziato e permanente a tali notizie e la conseguente potenziale lesione del diritto all’oblio dell’interessato, senza però che vengano rimosse le notizie dalla rete, ma confinandole nell’archivio online del periodico. Attraverso la deindicizzazione di un articolo quindi viene tutelato il diritto all’oblio del singolo nel rispetto della funzione documentaristica degli archivi online delle testate giornalistiche, poiché la notizia rimane accessibile, ma solo agli utenti che compiano una specifica ricerca nell’archivio online. Veniamo adesso al caso in esame. Alla luce della ricostruzione appena esposta, questa Corte ritiene che la mancata deindicizzazione …Omissis…nel lasso temporale tra il 2014 e il 2016 integri una violazione del diritto all’oblio in capo all’appellato e che pertanto l’appellante sia obbligato al risarcimento del danno ingiustamente cagionato a C. ai sensi dell’articolo 2043 c.c. …Omissis…l’intervallo di tempo trascorso tra la data della pubblicazione dell’articolo (settembre del 2011) e l’instaurazione del giudizio di primo grado a data di citazione in primo grado (novembre del 2015) di quattro anni, arco temporale idoneo a soddisfare l’interesse generale della collettività alla conoscenza del contenuto dell’articolo de quo, e di conseguenza idoneo a far prevalere nel bilanciamento tra diritti contrapposti il diritto all’oblio in capo a C. sul diritto della collettività ad essere informata.
GIURISPRUDENZA CIVILE Si precisa che l’appellante nell’ambito del terzo motivo di appello contesta tale valutazione operata dal giudice di primo grado e condivisa da questa Corte ritenendo che “il diritto all’oblio doveva essere valutato in maniera più attenuata” in ragione del ruolo di rilievo che secondo la G. C. avrebbe ricoperto nella vita pubblica per la professione esercitata e in ragione del lasso di tempo intercorso tra la pubblicazione dell’articolo e la domanda attorea in primo grado che secondo l’appellante sarebbe stato scarso. …Omissis... Pertanto, stante la prevalenza, nel bilanciamento tra diritti, del diritto all’oblio di C., la G., avendo provveduto alla deindicizzazione dell’articolo tardivamente, e precisamente nel 2016, …Omissis…, violava il diritto all’oblio in capo a C. per il periodo intercorrente tra la richiesta di tutela del diritto all’oblio da parte dell’interessato e l’effettiva deindicizzazione dell’articolo. In base dunque a tale diversa motivazione la Corte ritiene pienamente condivisibile la decisione del Tribunale di Milano in punto responsabilità di G. per violazione del diritto all’oblio a favore di C., non però ex art. 11 lett. c e 15 d.lgs. 196/2003, bensì ai sensi dell’art. 2043 c.c.. Venendo ora a considerare il danno non patrimoniale lamentato da C., si ritengono fondate le censure avanzate dall’appellante che ha eccepito il difetto di prova dell’esistenza del danno e del nesso di causalità con la tardiva deindicizzazione dell’articolo, …Omissis…. Anzitutto si deve richiamare il consolidato orientamento della giurisprudenza di legittimità, formatosi a seguito delle sentenze gemelle del 2003 (Cass. n. 8827 e n. 8828/2003; n. 16004/2003), secondo cui il danno non patrimoniale anche quando sia determinato dalla lesione di diritti inviolabili della persona non è danno in re ipsa ma costituisce “danno conseguenza” che deve essere allegato e provato ….Omissis…. Nel caso in esame C. si limita ad indicare quali danni subiti a causa della persistenza dell’articolo in rete, diverse revoche di mandati professionali già in essere “come documentato in primo grado” e “numerose sofferenze a causa della lesione della propria immagine sociale”…Omissis… Per quanto riguarda le prove documentali a cui fa riferimento l’appellato si rileva in primo luogo che tali documenti venivano allegati come riscontro probatorio del danno patrimoniale subito da C. a causa della presunta diffamatorietà dell’articolo e non invece del danno non patrimoniale derivante dalla violazione del diritto all’oblio, e in ogni caso l’appellato allegava la prova documentale del recesso di controparte in ragione “degli articoli apparsi sulle principali testate giornalistiche” da contratti di collaborazione avvenuto peraltro nel 2012 …Omissis… a distanza di un solo anno dalla pubblicazione dell’articolo, ovvero in epoca antecedente alla configurazione del diritto all’oblio con riguardo all’articolo oggetto di controversia. Alla luce di quanto detto, stante l’assoluta genericità …Omissis…, stante la mancanza anche di prova presuntiva e stante il fatto che i documenti richiamati dall’appellato non siano
riconducibili al danno non patrimoniale derivante dalla violazione del diritto all’oblio, in quanto tale diritto alla data riportata dai documenti non si era ancora configurato, non può che ritenersi assente la prova del danno al cui risarcimento G. è tenuta ai sensi dell’art. 2043 c.c. per tardiva deindicizzazione dell’articolo de quo. Pertanto nonostante la condotta della G., che ha tardivamente deindicizzato l’articolo oggetto di controversia così violando il diritto all’oblio in capo a C., integri un fatto colposo o doloso ai sensi dell’articolo 2043 c.c. e la obblighi al risarcimento del danno ingiusto causato all’appellato, in assenza della prova del danno non patrimoniale subito da C., la Corte ritiene per quanto esposto ora parzialmente l’appello, ragione che impone la riforma della sentenza di primo grado nella parte in cui condanna G. al pagamento di € 2.000,00 a titolo di risarcimento danni per violazione del diritto all’oblio di C. …Omissis… Con riguardo al terzo motivo di appello “contraddittorietà della motivazione”, esso risulta essere infondato. Secondo l’appellante il giudice di prime cure sarebbe caduto in contraddizione ritenendo sussistente il dovere della G. di deindicizzare l’articolo de quo senza però riconoscere l’esistenza di un diritto all’oblio in capo all’appellante, come risulterebbe dalla frase contestata “la stretta correlazione tra professione di commercialista esercitata, in allora e nell’attualità, ed i reati commessi dall’attore, porta ad affermare la prevalenza dell’interesse pubblico, ancorché in favore di una ristretta platea di internauti portatori di uno specifico interesse professionale o personale, a che sia consentita la conoscenza del passato giudiziario dell’interessato”. La frase contestata dall’appellante è stata in realtà fraintesa nel suo significato. Infatti, contrariamente a come interpretato dall’appellante, il giudice di prime cure con tale frase, ritenendo la configurabilità del diritto all’oblio in capo a C. e la prevalenza sul diritto all’informazione in ragione del decorso di un lasso di tempo …Omissis…, intendeva solamente limitare la tutela riconosciuta a tale diritto alla sola deindicizzazione dell’articolo al fine di respingere la domanda di rimozione dell’articolo. Infatti l’articolo deindicizzato non viene cancellato dalla rete bensì resta confinato nell’archivio online del periodico restando pertanto accessibile ai soli utenti che, essendo portatori di uno specifico interesse professionale o personale, compiano una specifica ricerca nell’archivio stesso. Invero come già esposto, se da un lato il diritto all’oblio prevale sull’interesse pubblico all’informazione, per cui la facile reperibilità di articoli riguardanti fatti risalenti nel tempo e ormai privi di interesse pubblico che si realizza mediante la indicizzazione attraverso i motori di ricerca si traduce in un’indebita compressione del diritto alla riservatezza della persona in ordine a tali fatti, dall’altro detto diritto però non può prevalere al punto da determinare il sacrificio dell’interesse archivistico e documentaristico.
DIRITTO DI INTERNET N. 4/2020
631
GIURISPRUDENZA CIVILE In ultimo con riguardo alle spese di giudizio …Omissis…. Secondo la Corte infatti l’esito complessivo della lite considerata la novità della questione posta dalla presente causa, e in particolare la quasi totale assenza di riferimenti giurisprudenziali in cui la stessa sia affrontata in modo sistematico e compiuto, e il tenore della decisione stessa anche in punto pretesa risarcitoria avanzata da C. giustificano l’integrale compensazione tra le parti …Omissis… P.Q.M. La Corte d’Appello di Milano, definitivamente pronunciando, così dispone:
1.in parziale accoglimento dell’appello e in parziale riforma della sentenza n. 3578/2018 del Tribunale di Milano, rigetta la domanda di risarcimento del danno non patrimoniale spiegata da A. C. …Omissis… 2. conferma nel resto la sentenza gravata; 3. ordina l’integrale compensazione delle spese del primo e del secondo grado di giudizio. …Omissis…
IL COMMENTO di Carmen Iorio
Sommario: 1. Il caso. 2. Diritto all’oblio: fondamenti normativi e sue declinazioni. 3. Orientamenti giurisprudenziali per la ricerca di un costante bilanciamento di interessi. 4. Caso in esame: inquadramento della vicenda e fondamento normativo del diritto esercitato. 5. Decisione sulla domanda risarcitoria. 6. Note conclusive. La Corte d’Appello di Milano, nella pronuncia in esame, affrontando il tema del diritto all’oblio, nella sua declinazione di c.d. “diritto alla deindicizzazione”, e del relativo diritto al risarcimento del danno a seguito della sua violazione, offre un ottimo spunto di riflessione in ordine al fondamento giuridico del diritto in commento, oggi ampiamente rilevante nel contesto del mondo digitale. Ed infatti, fatto salvo il suo riconoscimento a partire dalla Corte di Giustizia dell’Unione Europea, fin dal noto caso “Google Spain”, ed oggi consacrato esplicitamente all’art 17 del Regolamento UE 2016/679, il diritto all’oblio rinviene la sua tutela nei principi fondamentali dell’ordinamento nazionale quanto sovranazionale. Tuttavia la tutela del diritto “ad essere dimenticato” impone un bilanciamento con altrettanti interessi e diritti, di pari rango. Dunque, l’esame della sentenza in commento ha come obiettivo anche quello di comprendere quando e a quali condizioni il diritto all’oblio può ritenersi prevalente e, di conseguenza, la sua violazione giuridicamente rilevante, tanto da riconoscere un diritto al risarcimento del danno. The Court of Appeal of Milan, in the ruling in question, addressing the issue of the right to be forgotten, in its so-called declination “Right to de-index”, and the related right to compensation for damage following its violation, offers an excellent starting point for reflection on the legal basis of the right in question, now widely relevant in the context of the digital world. And in fact, without prejudice to its recognition starting from the Court of Justice of the European Union, since the wellknown “Google Spain” case, and today explicitly consecrated to Article 17 of EU Regulation 2016/679, the right to be forgotten its protection in the fundamental principles of the national and supranational order. However, the protection of the right “to be forgotten” requires a balance with as many interests and rights, of equal ranking. Therefore, the examination of the judgement in question also aims to understand when and under what conditions the right to be forgotten can be considered prevalent and, consequently, its legally relevant violation, so as to recognize a right to compensation for damage.
1. Il caso
La controversia su cui si è pronunciata la Corte d’Appello di Milano sorgeva a seguito della pubblicazione di un articolo intitolato “Evasione, in carcere commercialista società offshore intestate a prostitute” sulla testata on line del quotidiano La Repubblica ed inserito nell’archivio informatico dello stesso, avente ad oggetto alcune vicende processuali di un soggetto coinvolto in un’inchiesta della Guardia di Finanza in tema di evasione fiscale internazionale. Quest’ultimo, ritenendo diffamatorio l’articolo, poneva in essere ripetuti solleciti, sia alla testata giornalistica che a Google, quale motore di ricerca, volti alla rimozione dell’articolo pubblicato sulla testata on line. Stante l’inerzia dei soggetti destinatari della richiesta, nel novembre 2015, l’interessato decideva di convenire in giudizio l’editore, al fine di ottenere l’ordine d’im-
632
DIRITTO DI INTERNET N. 4/2020
mediata rimozione dell’articolo e in subordine la deindicizzazione dello stesso, nonché il risarcimento del danno ex art. 2043 c.c. dei danni patrimoniali e non patrimoniali patiti a causa del contenuto diffamatorio dell’articolo, nonché ex artt. 2043, 2059 c.c. e 15 d.lgs. n. 196 del 2003 dei danni non patrimoniali subiti a causa della violazione del diritto all’oblio dell’attore. Subito dopo la costituzione dell’editore, il Tribunale di Milano dichiarava cessata la materia del contendere, in virtù dell’avvenuta deindicizzazione dell’articolo, tuttavia, condannando la testata giornalistica convenuta al risarcimento del danno per violazione del diritto all’oblio in danno dell’interessato, e tanto in virtù di un’applicazione estensiva degli artt. 11 e 15 d.lgs. n. 196/2003. Ed infatti, il giudice di prime cure, rinveniva l’obbligo giuridico dell’editore alla deindicizzazione dell’articolo oggetto della
GIURISPRUDENZA CIVILE controversia all’art 11 d.lgs. 196/2003 e, di conseguenza, il diritto al risarcimento, a seguito della sua violazione, all’art. 15 d.lgs. n. 196/2003. Per tali ragioni, l’editore proponeva appello avverso la sentenza di primo grado, in particolare eccependo la violazione e/o falsa applicazione dell’articolo 11 lett. c) e 15 d.lgs. n. 196/2003 e quindi, il fondamento dell’obbligo di deindicizzazione e il conseguente diritto al risarcimento del danno, in caso di sua violazione. La Corte d’Appello di Milano, pur riconoscendo il rilievo giuridico del diritto all’oblio e del relativo diritto al risarcimento del danno ex art. 2043 c.c., per tardata deindicizzazione dell’articolo, riteneva non applicabili estensivamente gli artt. 11 e 15 del d.lgs. n. 196/2003 alla fattispecie de qua e non risarcibili i danni non patrimoniali subiti per mancanza di prova, anche presuntiva, da parte dell’appellata. Per questi motivi, in parziale riforma della sentenza appellata rigettava la domanda di risarcimento, all’uopo condannando parte appellata alla restituzione di quanto ricevuto in esecuzione della sentenza di primo grado, confermava nel resto la sentenza gravata e compensava integralmente le spese sostenute in considerazione della novità e rilevanza della questione affrontata.
2. Diritto all’oblio: fondamenti normativi e sue declinazioni
Con la pronuncia in esame la Corte d’Appello di Milano, disattendendo la possibilità di applicare estensivamente gli artt. 11 lett. c) e 15 del d.lgs. n. 196/2003 alle istanze di cancellazione ovvero di deindicizzazione, e relativa domanda di risarcimento del danno non patrimoniale, formulate dall’interessato all’editore, ha colto l’occasione per ripercorrere le origini del diritto all’oblio, al contempo offrendo un interessante spunto di analisi dei fondamenti giuridici di questo diritto di “nuova generazione” e le sue attuali declinazioni. Ebbene, così come si legge nella sentenza in commento, “il diritto all’oblio è un diritto soggettivo di matrice giurisprudenziale, che non ha ancora una formulazione specifica, ad eccezione dell’art 17 GDPR” (Regolamento in materia di protezione dei dati personali n. 679/2016). L’art. 17 GDPR, infatti, delinea le diverse circostanze che legittimano il diritto alla cancellazione dei propri dati personali, prevedendo che, al verificarsi di una di esse, l’interessato ha il diritto di ottenerla dal titolare del trattamento. Lo stesso articolo in commento chiarisce che il titolare del trattamento, oltre ad essere titolare dell’obbligo di cancellare, deve informare gli altri responsabili, che stanno trattando i dati oggetto della richiesta dell’interessato, di cancellare qualsiasi link, copia o riproduzione degli stessi. Questa rappresenta certamente una garanzia maggiore a tutela dell’interessato che, a fronte di sistemi automatizzati di ricerca o tecniche di trasmissione a terzi dei propri dati, viene tutelato dall’obbligo posto a carico del titolare del trattamento principale a fungere da intermediario tra l’interessato e gli altri titolari che stanno trattando i dati oggetto della richiesta di cancellazione, se-
gnalando l’istanza a lui pervenuta. La disposizione in esame, seppure significativa nella sua formulazione e nel contesto in cui viene introdotta, sembra apportare poche novità sostanziali (1) rispetto alla disciplina previgente, costituita dalla Direttiva 95/46 CE, ove già agli artt. 12 (diritto di accesso) e 14 (diritto di opposizione), si subordinava il diritto di cancellazione dei dati e di opposizione al trattamento al ricorrere di alcune condizioni (2). Dunque, il Regolamento Europeo pur costituendo l’insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali, non può essere considerato unico fondamento attuale del diritto all’oblio, quanto piuttosto “altro” fondamento giuridico, a corredo di quelli rinvenuti dalla giurisprudenza nazionale, quanto sovranazionale, nei principi fondamentali dell’ordinamento. Ed infatti, basta considerare che l’art. 17 del GDPR, oltre che non definire i tratti essenziali del diritto in commento, nella sua formulazione testuale, al di là della rubrica, parla di diritto alla cancellazione, che non si identifica necessariamente nel diritto all’oblio, quanto piuttosto una sua possibile declinazione. Per le ragioni su enunciate, è preferibile ricorrere innanzitutto alle pronunce della giurisprudenza di legittimità, oltre che a quelle della Corte europea dei diritti dell’uomo e CGUE, per delineare il diritto all’oblio. La rilevanza giuridica dello stesso, già prima dell’entrata in vigore del GDPR, veniva riconosciuta sulla base dei diritti della personalità, ed in particolare quale peculiare manifestazione del diritto all’identità personale ideale e diritto alla riservatezza; tuttavia, pur condividendone peculiari elementi, costituisce un diritto di creazione dottrinale e giurisprudenziale, autonomo con caratteristiche e esigenze di tutela proprie. Il diritto all’oblio condivide con la tutela dell’identità personale e diritto alla riservatezza principalmente il fondamento giuridico costituito dall’art. 2 Cost., inteso quale clausola generale e aperta all’evoluzione dell’ordinamento e quindi suscettibile di apprestare tutela costituzionale a nuovi valori della personalità, il tutto in conformità all’obiettivo primario di tutela del “pieno sviluppo della persona umana”, di cui al successivo art. 3 Cost (3). La stessa pronuncia in commento, nel ripercorrere le origini del diritto all’oblio, quale nuovo interesse meritevole di tutela, afferma che lo stesso costituisce un nuovo profilo del diritto alla riservatezza costituzionalmente tutelato all’art. 2 Cost. in quanto “primaria ed indeclinabile esigenza della persona”; all’uopo rievocando una pronuncia della Cassazione che lo (1) Suman, Il diritto alla cancellazione, in Circolazione e protezione dei dati personali tra libertà e regole del mercato. Commentario al Regolamento UE n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), a cura di Panetta, Milano, 2019, 210 ss. (2) Tali disposizioni poi sono state attuate nell’ordinamento nazionale all’art. 7, comma 3, lett. b) e comma 4 del Codice della Privacy, ovvero d.lgs. n. 196/2003. (3) Sul punto, Fratini, Manuale sistematico di diritto civile, Roma, 2019, 185 ss.
DIRITTO DI INTERNET N. 4/2020
633
GIURISPRUDENZA CIVILE definisce come “giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata” (4). All’art. 2 Cost., infatti, va riconosciuta una funzione espansiva dei diritti e della personalità dell’uomo, tanto da consentirne la creazione di nuovi non ancora tipizzati. Il diritto all’oblio può, inoltre, rinvenire ulteriore fondamento costituzionale all’art. 27 che sancisce la funzione rieducativa alla pena; ed infatti, la pubblicazione senza tempo di una notizia, in mancanza di un effettivo interesse sociale, che abbia ad oggetto fatti penalmente rilevanti a carico di un determinato soggetto, potrebbe contrastare con la funzione riabilitativa della pena, intesa come esigenza di reinserimento nella società del reo. I fondamenti costituzionali del diritto all’oblio risultano arricchiti da alcune disposizioni sovranazionali, con i quali vanno letti in coordinamento. In particolare, l’art. 7 della Carta dei diritti fondamentali dell’Unione Europea e art. 8 Conv. eur. dir. umani dispongono che ogni persona “ha diritto al rispetto della sua vita privata e familiare”, ed in più l’art. 8 della Carta dei diritti fondamentali dell’Unione Europea sancisce il diritto di ogni persona “alla protezione dei dati di carattere personale che la riguardano” disponendo, al secondo comma, che gli stessi vengano trattati “secondo il principio di lealtà”. Attraverso la ricerca di questi fondamenti normativi, rinvenibili per lo più in principi costituzionali e sovranazionali, la giurisprudenza di legittimità è riuscita a definire compiutamente il diritto all’oblio, classificandolo nell’ambito dei diritti della personalità e individuando le varie declinazioni che lo stesso può assumere. Ed infatti, la tutela necessaria a garantire il diritto all’oblio può cambiare rispetto alla situazione concreta che si viene a verificare, per tale ragione le SS.UU. hanno positivizzato una tripartizione del diritto in commento, sulla base delle differenti situazioni sulle quali quest’ultimo può trovarsi ad operare, ovvero: “quella di chi desidera non vedere nuovamente pubblicate notizie relative a vicende, in passato legittimamente diffuse, quando è trascorso un certo tempo tra la prima e la seconda pubblicazione; quella, connessa all’uso di internet ed alla reperibilità delle notizie nella rete, consistente nell’esigenza di collocare la pubblicazione, avvenuta molti anni prima, nel contesto attuale (è il caso della sentenza n. 5525 del 2012); e quella, infine, trattata nella citata sentenza Google Spain della Corte di Giustizia dell’Unione Europea, nella quale l’interessato fa valere il diritto alla cancellazione dei dati. (5)” La suddivisione prospettata dalla giurisprudenza di legittimità risponde al principio secondo cui un diritto può dirsi concretamente tutelato solo laddove siano previste e riconosciute diverse tutele applicabili rispetto al caso concreto che
(4) Cass., 9 aprile 1998, n. 3679, in Mass. Giust. civ., 1998, 778. (5) Cass., SS.UU., 22 luglio 2019, n. 19681, in questa Rivista, 2019, 717 ss., con nota di Poletti-Casarosa, Il diritto all’oblio (anzi, i diritti all’oblio) secondo le Sezioni Unite.
634
DIRITTO DI INTERNET N. 4/2020
di volta in volta si verifica. A tal fine, quindi, le SS.UU. in occasione della pronuncia su enunciata hanno identificato tre diverse declinazioni del diritto all’oblio che possono essere così riassunte: 1) diritto ad impedire la ripubblicazione di notizie passate e non più attuali, essendo decorso un certo lasso di tempo sufficiente a soddisfare l’interesse della collettività all’informazione; 2) diritto alla contestualizzazione di informazioni già pubblicate, ma per le quali si richiede un aggiornamento; 3) diritto alla deindicizzazione, inteso come diritto alla rimozione di una data notizia dall’elenco dei risultati che appaiono a seguito di una ricerca effettuata tramite un motore di ricerca. Quest’ultima ipotesi ha trovato espresso riconoscimento nella pronuncia della Corte di Giustizia, sul caso Google Spain (6), ove si è affermato che la tutela dell’interessato, in ordine al diritto all’oblio, può consistere anche nella sola richiesta di deindicizzazione, da rivolgere direttamente al motore di ricerca, a prescindere da ogni richiesta al gestore del sito che ha pubblicato l’informazione (7). Questa declinazione, dunque, conferma che il diritto all’oblio può ricevere tutela anche attraverso la semplice deindicizzazione di una notizia, senza necessariamente richiederne la cancellazione. Ed infatti, attraverso la deindicizzazione si consente una più difficile reperibilità di un articolo che, di conseguenza, non sarà più reperibile da una platea indeterminata di utenti (8). La sentenza in commento, nel ripercorrere le origini del diritto all’oblio, sul punto, mette a confronto le funzioni del sistema operativo del web, distinguendo la tradizionale funzione documentaristica da quella divulgativa, propria dei sistemi di indicizzazione utilizzati dai motori di ricerca. Con la deindicizzazione, quindi, viene limitata la funzione divulgativa preservando quella documentaristica, non conseguendo alla deindicizzazione necessariamente la cancellazione dell’articolo oggetto dell’istanza. Relativamente alla funzione documentaristica, infatti, occorre fare delle precisazioni; ebbene, decorso un certo lasso di tempo, ben potrebbe essere sacrificata la funzione divulgativa e in parte quella documentaristica, e tanto attraverso una ripubblicazione della notizia, questa volta in forma anonima. In questo modo risulterebbe tutelato il diritto all’oblio dell’interessato senza sacrificare il contrapposto
(6) CGUE, 13 maggio 2014, Causa C-131/12, Google Spain SL, Google Inc. c. Agencia Española de Protección de Datos (AEPD), Mario Costeja González, in Corr. giuridico, 2014, 1471 ss. (7) Bovino, Google è responsabile del trattamento dei dati personali che appaiono sulle pagine web pubblicate da terzi, in Quotidiano giuridico, 2014, 3 ss. (8) CGUE, 13 maggio 2014 , C- 131/12, cit., par. 87: “infatti, l’inclusione nell’elenco di risultati …Omissis… di una pagina web e delle informazioni in essa contenute relative a questa persona, poiché facilita notevolmente l’accessibilità di tali informazioni a qualsiasi utente di Internet che effettui una ricerca sulla persona di cui trattasi e può svolgere un ruolo decisivo per la diffusione di dette informazioni, è idonea a costituire un’ingerenza più rilevante nel diritto fondamentale al rispetto della vita privata della persona interessata”.
GIURISPRUDENZA CIVILE interesse dell’editore alla rievocazione storica (9), che costituisce espressione della libertà di stampa e di informazione protetta e garantita dall’art. 21 Cost. Il tema afferente le varie declinazioni del diritto all’oblio, anche in relazione alla differenza tra funzione documentaristica e divulgativa, viene riaffrontato nella pronuncia in esame con riguardo al terzo motivo di appello, con il quale parte appellante lamenta una contraddizione della sentenza di primo grado, ritenendo che nella stessa vi sia un riconoscimento del dovere di deindicizzare senza, al contempo, riconoscere l’esistenza di un diritto all’oblio; e tanto nella parte in cui si afferma che “la stretta correlazione tra la professione esercitata (….) ed i reati commessi dall’attore, porta ad affermare la prevalenza dell’interesse pubblico, ancorché in favore di una ristretta platea di internauti portatori di uno specifico interesse”. La Corte d’Appello, confermando l’orientamento per cui la deindicizzazione è solo una delle declinazioni possibili del diritto all’oblio, rigetta tale motivo di gravame, affermando che, contrariamente a quanto sostenuto, il Tribunale di Milano, a fronte di un corretto bilanciamento di interessi, ha ritenuto sufficiente la misura di deindicizzazione, senza dover ricorrere alla cancellazione dell’articolo. Lo strumento di deindicizzazione, infatti, nella situazione de qua consente di contemperare equamente i contrapposti interessi; da un lato il diritto dell’appellato a non essere “facilmente reperibile” e dall’altro la tutela della funzione archivistica e documentaristica dell’editore. In ordine alla natura degli obblighi derivanti dalla tutela del diritto all’oblio, il Gruppo di Lavoro, pur riferendosi
(9) Cass., SS.UU., 22 luglio 2019, n. 19681, cit., ove, delimitato il campo d’indagine, afferma che: “La corretta premessa dalla quale bisogna muovere è che quando un giornalista pubblica di nuovo, a distanza di un lungo periodo di tempo, una notizia già pubblicata - la quale, all’epoca, rivestiva un interesse pubblico - egli non sta esercitando il diritto di cronaca, quanto il diritto alla rievocazione storica (storiografica) di quei fatti. Lo stesso termine ‘diritto di cronaca’, infatti, trae la propria etimologia dalla parola greca Kpovoc, che significa, appunto, tempo; il che vuol dire che si tratta di un diritto avente ad oggetto il racconto, con la stampa o altri mezzi di diffusione, di un qualcosa che attiene a quel tempo ed è, perciò, collegato con un determinato contesto. Ciò non esclude, naturalmente, che in relazione ad un evento del passato possano intervenire elementi nuovi tali per cui la notizia ritorni di attualità, di modo che diffonderla nel momento presente rappresenti ancora una manifestazione del diritto di cronaca (in tal senso già la citata sentenza n. 3679 del 1998); in assenza di questi elementi, però, tornare a diffondere una notizia del passato, anche se di sicura importanza in allora, costituisce esplicazione di un’attività storiografica che non può godere della stessa garanzia costituzionale che è prevista per il diritto di cronaca. (….) Ma proprio perché essa è storia, non può essere considerata ‘cronaca’. Ne deriva che simile rievocazione, a meno che non riguardi personaggi che hanno rivestito o rivestono tuttora un ruolo pubblico, ovvero fatti che per il loro stesso concreto svolgersi implichino il richiamo necessario ai nomi dei protagonisti, deve svolgersi in forma anonima, perché nessuna particolare utilità può trarre chi fruisce di quell’informazione dalla circostanza che siano individuati in modo preciso coloro i quali tali atti hanno compiuto. In altre parole, l’interesse alla conoscenza di un fatto, che costituisce manifestazione del diritto ad informare e ad essere informati e che rappresenta la spinta ideale che muove ogni ricostruzione storica, non necessariamente implica la sussistenza di un analogo interesse alla conoscenza dell’identità della singola persona che quel fatto ha compiuto.”. In dottrina su queste posizioni già Cassano, Il diritto all’oblio esiste: è diritto alla riservatezza, in Dir. fam. e pers.,1998, 78.
specificatamente alla deindicizzazione di cui alla sentenza C-131/12, sancisce che debbano considerarsi obblighi di risultato e tanto, in quanto la tutela data all’interessato, secondo il testo della direttiva e l’interpretazione della Corte di Giustizia, deve essere effettiva (10).
3. Orientamenti giurisprudenziali per la ricerca di un costante bilanciamento di interessi L’Avvocato Generale (11), nelle conclusioni presentate in occasione del caso Google Spain, definì il diritto all’oblio come “costellazione particolarmente complessa” di diritti fondamentali; per tale ragione, non si può riconoscere un diritto all’oblio generalizzato, in quanto la sua tutela va sempre valutata e contemperata con altri diritti di pari rango. Se da un lato vi è l’interesse del singolo ad essere dimenticato, dall’altro vi è l’interesse della collettività all’informazione, nonché la libertà di manifestazione del proprio pensiero. Il risultato del bilanciamento dei valori in gioco dipende da vari fattori, tra cui principalmente rientra il tempo. Quest’ultimo, infatti, è elemento costitutivo del diritto all’oblio in quanto, il suo decorso, modifica l’esito del bilanciamento tra i diritti contrapposti. (12) Dunque se al momento della pubblicazione - lecita e legittima - di una notizia certamente prevale il diritto di sapere e di essere informati dei consociati, e quindi anche quello di cronaca (13), con il passare del tempo (14) l’equilibrio inizia a mutare, divenendo prevalente il diritto del
(10) Cfr. Bonavita, Il diritto all’oblio: la giurisprudenza del Garante Privacy, in Quotidiano giuridico, 2017, 3 secondo cui “da questo deriverebbe, secondo il Gruppo di Lavoro, l’obbligo per il gestore di ricerca di effettuare la deindicizzazione da tutti i domini su cui opera il motore di ricerca”; Voss, After Google Spain and Charlie Hebdo: The Continuing Evolution of European Union Data Privacy Law in a Time of Change, in Business Lawyer, 2016, 281 ss. (11) Di seguito le parole dell’Avvocato Generale Jaaskinen nelle conclusioni presentate il 25 giugno 2013, in riferimento al caso Google Spain, C-131/12: “la costellazione particolarmente complessa e difficile di diritti fondamentali che questo caso presenta, osta alla possibilità di rafforzare la posizione giuridica della persona interessata ai sensi della direttiva riconoscendole un diritto all’oblio. Ciò vorrebbe dire sacrificare diritti primari come la libertà di espressione e di informazione. Inoltre, inviterei la Corte a non concludere che questi interessi concorrenti possono essere ponderati in modo soddisfacente in situazioni individuali sulla base di una valutazione caso per caso, lasciando la decisione ai fornitori di servizi di motore di ricerca su Internet”: v. Suman, Il diritto alla cancellazione, cit., 203. (12) Cass., SS.UU., 22 luglio 2019, n. 19681, cit. (13) Sul punto, Cass., 20 marzo 2018, n. 6919, in Foro it., 2018, I, 1145, ha indicato taluni parametri al cui verificarsi il diritto all’oblio deve ritenersi soccombente rispetto a quello di cronaca: interesse pubblico della notizia; attualità dell’interesse; notorietà del soggetto interessato; pertinenza; preventiva informazione della pubblicazione all’interessato in modo da consentirgli di replicare prima della divulgazione della notizia al pubblico. (14) Sul punto, Cass., 9 aprile 1998, n. 3679, cit., afferma che “il diritto di cronaca può risultare limitato dall’esigenza dell’attualità della notizia, quale manifestazione del diritto alla riservatezza, intesa quale giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata, salvo che per eventi sopravvenuti il fatto
DIRITTO DI INTERNET N. 4/2020
635
GIURISPRUDENZA CIVILE soggetto ad essere dimenticato. Ed infatti, il decorso del tempo, rendendo non più attuale e rilevante la notizia, consente di ritenere prevalente il diritto del soggetto a veder tutelata la propria riservatezza attraverso l’esercizio del diritto all’oblio e tanto a prescindere da un eventuale giudizio penale pendente; ed infatti, la non attualità della notizia è strettamente connessa al tempo della pubblicazione e non anche all’esito del giudizio eventualmente connesso alla vicenda (15). Ed in più, il bilanciamento dei contrapposti interessi in gioco deve tener conto dell’eventuale notorietà del titolare del diritto leso e dell’interesse pubblico alla diffusione dell’informazione; ed infatti, i parametri sulla base dei quali è possibile effettuare il bilanciamento sono stati ulteriormente precisati ed integrati nelle Linee Guida (16) adottate in merito dal Gruppo 29 in data 26 novembre 2014, nelle quali si descrivono i criteri attraverso cui verificare l’esercizio del diritto all’oblio. Tra questi rientrano certamente il decorso del tempo e il ruolo che l’interessato riveste nella vita pubblica, che è concetto più ampio di quello di “personalità” (17). Ed infatti le Corti Europee, nel confermare la validità di tali criteri, ritengono che il bilanciamento tra il singolo ad essere dimenticato e quello opposto della collettività a mantenere viva la memoria di fatti, a suo tempo legittimamente divulgati, presuppone un complesso giudizio nel quale assumono rilievo decisivo la notorietà dell’interessato, il suo coinvolgimento nella vita pubblica, il contributo ad un dibattito di interesse generale, l’oggetto della notizia, la forma della pubblicazione ed il tempo trascorso dal momento in cui i fatti si sono effettivamente verificati (18). La Corte di Giustizia, nella causa Google Spain, ha altresì affermato che: “il diritto dell’interessato, derivante dagli artt. 7 e 8 della Carta, a chiedere che l’informazione in questione non venga più messa a disposizione (…) prevale, in linea di massima, sull’interesse economico del gestore, … a meno che non risultino ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica”, il tutto, però, valutando l’ulteriore elemento costitutivo del diritto all’oblio, ovvero il decorso del tempo. Conformemente a quanto deciso dalla Corte di Giustizia, la Cass. penale, (19) pronunciandosi su precedente ritorni di attualità e rinasca un nuovo interesse pubblico all’informazione.”. (15) Cass., 24 giugno 2016, n. 13161, in Quotidiano giuridico, 2016, 2, con nota di Piatti, Le maglie larghe del diritto all’oblio. (16) Il testo integrale delle Linee Guida adottate per l’esecuzione della sentenza della Corte di Giustizia resa nel caso Google Spain SL, Causa C-131/12, cit., in <https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=667236>. (17) E ancora “il tempo è senz’altro l’elemento più importante per valutare l’accoglimento di una richiesta ad essere dimenticati ma nel caso di specie va valutato anche il parametro del ruolo ricoperto dal soggetto richiedente all’interno della vita pubblica”. Conf. in tal senso Garante Privacy, Provv. n. 277 del 15 giugno 2017, in <www.garanteprivacy.it>. (18) Cass., SS.UU., 22 luglio 2019, n. 19681, cit. (19) Cass., 3 agosto 2017, n. 38747, in Foro it., 2017, II, 645.
636
DIRITTO DI INTERNET N. 4/2020
un processo di diffamazione a seguito della pubblicazione di un articolo riguardante Vittorio Emanuele di Savoia, affermava che, stante la rilevanza pubblica della notizia e del soggetto, il diritto all’oblio doveva soccombere di fronte al diritto alla collettività ad essere informata e aggiornata su fatti da cui dipende “la formazione dei propri convincimenti, anche quando da essa derivi discredito alla persona che è titolare di quel diritto, sicché non può dolersi Savoia della riesumazione di un fatto certamente idoneo alla formazione della pubblica opinione”. Dunque, anche la giurisprudenza interna si occupa da tempo del bilanciamento tra il diritto di cronaca e diritto all’oblio, e tanto a conferma della circostanza per cui tale diritto di “nuova generazione” è di creazione giurisprudenziale, pur trovando il proprio fondamento in dettami costituzionali e principi sovranazionali. Come già anticipato, il diritto all’oblio, pur non costituendo un diritto generalizzato, ha trovato ingresso nell’ordinamento interno principalmente attraverso la sentenza della giurisprudenza di legittimità n. 3679 del 1998, ove la Corte, nel richiamare la propria precedente elaborazione sul diritto di cronaca e sottolineando la rilevanza dell’attualità della notizia, evidenziò l’emergere di un nuovo profilo della riservatezza, definito diritto all’oblio ed inteso come giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata (20). Nella medesima pronuncia, la giurisprudenza di legittimità osservò che il diritto all’oblio, il cui fondamento va ricercato all’art. 2 Cost., pur avendo un contenuto più ampio rispetto alla tutela alla reputazione, soccombe al diritto di cronaca laddove ricorrano tre condizioni: utilità sociale della notizia, verità dei fatti divulgati e forma civile dell’esposizione (21). Successivamente, la medesima Corte, per la prima volta, fu chiamata a pronunciarsi sul problema dei rapporti tra diritto di cronaca e diritto all’oblio, rispetto a notizie già pubblicate in passato e quindi sulla configurabilità di un diritto all’informazione permanente. E quindi, dopo aver posto in essere un corretto bilanciamento degli interessi in conflitto, con la sentenza n. 5525 del 2012 la Corte di Cassazione affermò che: se l’interesse pubblico sotteso al diritto all’informazione, ex art. 21 Cost., costituisce un limite al diritto fondamentale alla riservatezza, al soggetto è correlativamente attribuito il diritto all’oblio, e cioè a che non vengano ulteriormente divulgate notizie che, per il trascorrere del tempo, (20) Sul punto, Cass., SS.UU., 22 luglio 2019, n. 19681, cit., al punto 6 svolge una rapida panoramica dell’evoluzione della giurisprudenza sull’argomento. (21) Conf. da Cass., 24 aprile 2008, n. 10690, Resp. civ., 2009, 148, richiamata da Cass., SS.UU., 22 luglio 2019, n. 19681, cit., dopo aver chiarito che la violazione del diritto alla riservatezza è fonte di illecito civile ai sensi dell’art. 2 Cost., aggiunge che la libertà di stampa prevale sul diritto alla riservatezza e all’onore, purché la pubblicazione sia giustificata dalla funzione dell’informazione e sia conforme ai canoni della correttezza professionale.
GIURISPRUDENZA CIVILE risultino ormai dimenticate e irrilevanti per la generalità dei consociati. Dunque, l’esercizio del diritto all’oblio è strettamente connesso al diritto di cronaca e può considerarsi prevalente solo allorquando sia decorso un sufficiente periodo di tempo e non vi sia più un’apprezzabile utilità sociale ad informare il pubblico, e tanto anche in considerazione della funzione e rilevanza pubblica del soggetto titolare dei dati. Tali criteri, tuttavia, non costituiscono un’elencazione tassativa e tanto è confermato anche dalle Linee guida (22) del Gruppo dell’art. 29 adottate per l’esecuzione della sentenza della Corte di Giustizia resa nel caso Google Spain, ove si chiarisce che: “l’elenco dei criteri è da ritenersi uno strumento di lavoro flessibile (…) i criteri saranno applicati conformemente alla legislazione nazionale pertinente. (…) nella maggior parte dei casi, per giungere a una decisione sarà necessario prendere in considerazione più criteri. In altri termini, nessun criterio è di per sé determinante”. E tanto conferma la circostanza per cui la tutela del diritto all’oblio può ritenersi soddisfatta attraverso misure e strumenti diversi, di volta in volta ritenuti adeguati rispetto all’esigenza manifestata.
4. Caso in esame: inquadramento della vicenda e fondamento normativo del diritto esercitato
Un corretto inquadramento delle origini del diritto all’oblio, così come correttamente ripercorso anche dai giudici milanesi, consente di ragionare sulla ragionevolezza e non contraddittorietà della decisione che, anche se apparentemente innovativa, si pone in perfetta linea con la conforme giurisprudenza nazionale e sovranazionale rispetto alle basi giuridiche accolte, rinvenibili comunque nei principi fondamentali. Ed infatti, la Corte d’Appello, pur discostandosi dall’orientamento per cui il fondamento giuridico del diritto all’oblio – anche nella sua declinazione di diritto alla deindicizzazione - possa essere ricercato all’art. 11, lett. c), d.lgs. n. 196/2003, successivamente illustra le ragioni per cui la rilevanza giuridica dello stesso possa comunque rinvenirsi nell’ordinamento, e tanto seguendo un iter motivazionale logico, lineare ed ordinato. Il tutto, arrivando a riconoscere un conseguente diritto al risarcimento nei confronti dell’interessato, a fronte di una lesione del diritto all’oblio, nella sua declinazione di diritto alla deindicizzazione. Si rammenta, infatti, che nell’appello proposto dalla casa editrice, veniva censurata la violazione e/o falsa applicazione dell’art. 11 d.lgs. n. 196/2003, operata dal giudice di prime cure, che ivi individuava il fondamento normativo dell’obbligo di deindicizzazione gravante sull’editore, e la conseguente violazione e/o falsa applicazione dell’art. 15 del medesimo decreto, in ordine al diritto al risarcimento del danno, conseguente alla ritardata tutela del diritto all’oblio. In ultimo, parte appellante lamentava la contraddittorietà della sentenza di primo (22) Cfr. Linee Guida adottate per l’esecuzione della sentenza della Corte di Giustizia resa nel caso Google Spain SL, Causa C-131/12, parte II, cit.
grado nella parte in cui “pur non riconoscendo l’esistenza di un diritto all’oblio (…), ha comunque ritenuto sussistente il dovere dell’editore di deindicizzare l’articolo in parola”. La Corte, nell’evidenziare innanzitutto la stretta connessione che lega i tre motivi di appello, ritiene di dover proseguire attraverso una valutazione unitaria degli stessi e tanto esprimendo, in primis, la volontà di discostarsi dalle conclusioni raggiunte dal Tribunale di primo grado, nella parte in cui sussume nell’art. 11 lett. c), d.lgs. n. 196/2003, e segnatamente nell’obbligo di aggiornamento dei dati personali oggetto di trattamento, la fattispecie oggetto della causa, ovverosia l’obbligo di deindicizzazione a carico dell’editore. Ed infatti, cercare di rinvenire il fondamento di tale obbligo nell’art. 11, lett. c) secondo cui “i dati personali oggetto di trattamento sono: c) esatti e, se necessario, aggiornati”, costituisce una impropria forzatura. Secondo i giudici di appello l’applicazione analogica dell’art. 11 d.lgs. n. 196/2003 non è possibile in quanto si tratta di due operazioni diverse; se da un lato, la norma applicata, avendo ad oggetto il trattamento dei dati quale operazione commissiva, comporta un’attività di integrazione della notizia, attraverso l’aggiunta o il collegamento con altre informazioni successive, consentendo dunque di riportare l’articolo in una situazione di verità attuale, dall’altro, con la deindicizzazione, nessun intervento viene posto in essere sulla notizia, quanto piuttosto, con una procedura informatica, l’articolo viene solo reso inaccessibile alla generalità degli utenti tramite l’uso ordinario del motore di ricerca. Per tale ragione, secondo i giudici della Corte d’Appello, la deindicizzazione di per sé non è un’attività di trattamento dei dati personali quale quella a cui la norma fa riferimento. Al contrario, rievocando le tre declinazioni possibili del diritto all’oblio di creazione giurisprudenziale, di cui si è parlato in precedenza, l’art. 11 d.lgs. n. 196/2003 sembra piuttosto estensivamente applicabile all’esigenza di contestualizzare una notizia, attraverso un aggiornamento dell’informazione - quanto a quella che rende necessaria una deindicizzazione della stessa - comportando oggettivamente la necessità di un’operazione di modifica e aggiornamento, propria del trattamento dei dati. L’orientamento a cui ha aderito la Corte d’Appello di Milano nella sentenza in commento è certamente diverso da quello assunto da altre corti in pronunce che, seppur dissimili al caso esaminato, condividevano con il presente una serie di elementi, tra cui certamente rientra la rilevanza giuridica del diritto all’oblio e il suo fondamento giuridico. Ebbene, in argomento il primo riferimento certamente spetta alla nota sentenza della Corte di Giustizia, nella causa “Google Spain”, ove si è affermato che l’attività tipica dei motori di ricerca, consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet, contenendo “dati personali”, deve essere qualificata come “trattamento di dati personali” ai sensi dell’art. 2, lett. b), dir. 95/46/CE, e ciò essenzialmente in quanto comporta il compimento di
DIRITTO DI INTERNET N. 4/2020
637
GIURISPRUDENZA CIVILE svariate operazioni tra quelle contemplate nella definizione ivi dettata (23). Si tratta, in particolare, di un trattamento che, pur avendo ad oggetto i medesimi dati, è distinto ed ulteriore rispetto a quello effettuato dagli editori dei siti c.d. sorgente, poiché mentre quest’ultimo consiste nella pubblicazione dei dati su una pagina web, il trattamento sotteso all’attività del motore di ricerca determina l’organizzazione e l’aggregazione di tali informazioni di modo che qualsiasi utente, semplicemente effettuando una ricerca mediante il nome di una determinata persona, possa ottenere una visione complessiva strutturata delle informazioni reperibili su Internet che la riguardano e così stabilirne un profilo più o meno dettagliato (24). Dunque, la Corte di Lussemburgo afferma espressamente che proprio le caratteristiche dell’attività posta in essere dai motori di ricerca, caratterizzata da processi automatizzati, consente di applicare estensivamente la disciplina della dir. 95/46/CE, e di conseguenza il d.lgs. n. 196/2003. Un’attenta disamina della pronuncia della Corte di Giustizia non può, tuttavia, non prendere in considerazione la circostanza per cui, l’estensione della normativa in tema di trattamento dei dati è stata giustificata dalla peculiarità dell’attività posta in essere dai motori di ricerca, non riferendosi, al contrario, alla differente attività degli editori, operanti nei siti sorgente. Ebbene, pure in riferimento a quest’ultimi c’è chi ritiene applicabile estensivamente la normativa vigente in tema di trattamento dei dati; ed infatti, parte appellata - nel giudizio oggetto del presente commento -, nell’argomentare l’obbligo giuridico dell’editore a deindicizzare la notizia, richiama quanto affermato dall’Autorità della Privacy nel 2009 che “in ambito giornalistico aveva fatto espresso riferimento all’ art 11 d.lgs. 196/2003 stabilendo che il giornalista è comunque tenuto al rispetto di alcuni principi generali applicabili a qualunque tipo di trattamento di dati e che si traducono, tra gli altri, nel dovere di trattare i dati personali in modo corretto”. Conformemente a quanto affermato dall’Autorità della Privacy, recentemente la giurisprudenza di legittimità (25), pur confermando la natura giurisprudenziale del diritto all’oblio, sostiene che nel d.lgs. n. 196/2003 va ricercato un tentativo di codificazione del diritto in commento, volto a contemperare diritti della personalità e diritto di cronaca, laddove è sancito l’obbligo di conservare i dati in una forma che permetta di identificare l’interessato per un periodo non (23) Cfr. CGUE, 13 maggio 2014, Causa C-131/12, cit. (24) Cfr. CGUE, 13 maggio 2014, Causa C-131/12, cit., punti 32-41, 86-87, ove si evidenzia che l’attività dei motori di ricerca “l’inclusione nell’elenco di risultati - che appare a seguito di una ricerca effettuata a partire dal nome di una persona - di una pagina web e delle informazioni in essa contenute relative a questa persona, poiché facilita notevolmente l’accessibilità di tali informazioni a qualsiasi utente di Internet che effettui una ricerca sulla persona di cui trattasi e può svolgere un ruolo decisivo per la diffusione di dette informazioni, è idonea a costituire un’ingerenza più rilevante nel diritto fondamentale al rispetto della vita privata della persona interessata che non la pubblicazione da parte dell’editore della suddetta pagina web.”. (25) Cass., 24 giugno 2016, n. 13161, cit.
638
DIRITTO DI INTERNET N. 4/2020
eccedente quello necessario al perseguimento degli scopi avuti di mira all’atto della raccolta o nel successivo sviluppo del trattamento. Norma che va letta in combinato disposto con il precedente art. 7, comma 3, lett. b), relativo al diritto dell’interessato di chiedere al titolare del trattamento la cancellazione o la trasformazione delle sue informazioni personali, e che sviluppa il cd. diritto di libertà informatica nella sua duplice forma e versione: come libertà negativa, consistente nel diritto ad essere dimenticato, e come libertà positiva, ovvero come potere di controllo sui propri dati personali. Di conseguenza, a differenza di quanto concluso nella pronuncia in commento, la violazione del trattamento dei dati - derivante anche solo dal decorso del tempo necessario per soddisfare l’interesse degli utenti ad essere informati - fa venir meno la liceità del trattamento e integra condotta lesiva risarcibile ai sensi e per gli effetti del combinato dell’art. 15 del Codice e art. 2050 c.c. Ed in più, nella medesima sentenza, la Corte di Cassazione evidenzia che il rinvio agli articoli del d.lgs. n. 196/2003 devono intendersi effettuati ai rispettivi testi - applicabili ratione temporis - anteriori alle modifiche apportategli dal d.lgs. 10 agosto 2018, n. 101. La decisione della Corte di Appello di Milano di negare l’applicazione estensiva degli artt. 11 e 15 del d.lgs. n. 196/2003 alla fattispecie de qua, comunque non ha impedito di riconoscere un fondamento giuridico al diritto all’oblio, e tanto rinvenendone la base giuridica in altre disposizioni, certamente di rango superiore e largamente condivise. Ed infatti, dopo un efficace esordio, volto ad un’immediata ed espressa contestualizzazione dei termini della vicenda, i giudici milanesi percorrendo un iter giuridico ben articolato e denotato da un buon governo dei surricordati principi costituzionali e non, arrivano a confermare la rilevanza giuridica del diritto all’oblio, in tutte le sue declinazioni, nonché la configurabilità di un relativo diritto al risarcimento del danno, derivante dalla sua lesione. A tal fine, la Corte d’Appello, pur dando atto dell’entrata in vigore del Regolamento in materia di protezione dei dati personali n. 679/2016, ove all’art. 17 può riconoscersi una parziale positivizzazione del diritto all’oblio, ritiene di dover confermare l’origine e la natura giurisprudenziale del diritto in commento, la cui base giuridica va ricercata, a livello nazionale, all’art. 2 Cost. quale nuovo profilo della riservatezza e dell’identità personale. Il principio su enunciato, infatti, costituisce una clausola aperta, volta alla tutela di ogni forma di evoluzione ed espansione della personalità dell’individuo, fatto salvo il suo bilanciamento con altrettanti principi di pari rango, tra cui principalmente rientra l’art. 21 Cost. Dopo averne confermato la validità giuridica, la Corte di Appello di Milano affronta il tema della tutela da apprestare, laddove non sia più da considerarsi prevalente l’interesse pubblico all’informazione, nonché delle forme riconosciute, dovendo essere di volta in volta ricercato lo strumento più efficace rispetto all’esigenza dell’interessato e meno sacrificante per il diritto contrapposto. In argomento, i giudici di appello – al fine di confermare
GIURISPRUDENZA CIVILE la validità dello strumento di deindicizzazione - svolgono un’interessante ricostruzione delle funzioni caratterizzanti il sistema operativo del web, all’uopo differenziando la tradizionale funzione documentaristica da quella divulgativa delle notizie, propria dei motori di ricerca. Di conseguenza, attraverso la deindicizzazione, si giunge ad un corretto bilanciamento tra tutela del diritto all’oblio del singolo e rispetto della funzione documentaristica degli archivi on line, poiché la notizia rimane accessibile solo ad una determinata categoria di utenti e non ad un pubblico indifferenziato, e tanto attraverso la limitazione della funzione divulgativa. A seguito di tale percorso esplicativo, la Corte di merito giunge ad una delimitazione del campo d’indagine, affermando che la forma di tutela da apprestare al caso de quo va ricercata nello strumento di deindicizzazione e tanto, al solo fine di proseguire all’esame del successivo motivo di gravame relativo alla domanda di risarcimento del danno derivante dalla ritardata deindicizzazione. Fatta salva questa precisazione non può non evidenziarsi la peculiarità della pronuncia in commento in ordine al riconoscimento di una legittimazione passiva in capo all’editore, a fronte di una domanda di deindicizzazione – pur se formulata in via subordinata a quella di cancellazione. Ed infatti, l’elemento innovativo consiste nel riconoscimento di un obbligo di deindicizzazione gravante anche nei confronti dell’editore, come sito sorgente, e non solo nei confronti del motore di ricerca, così come stabilito dalla Corte di Giustizia, nella causa Google Spain. Questa conclusione si pone in coerenza ai principi enunciati dalla Corte sovranazionale secondo cui, in materia di oblio, vige l’autonomia dei trattamenti e dei corrispondenti ambiti di responsabilità dei titolari (26). Occorre tuttavia evidenziare che, tutte queste considerazioni sono oggetto di interpretazione a causa dell’assenza, a tutt’oggi, della previsione normativa di un procedimento attraverso cui far valere il diritto all’oblio; e questo non può che costituire un limite effettivo di tutela, nonostante l’avvenuto riconoscimento del diritto in commento. Come chiarito anche nella pronuncia oggetto del presente esame, l’unica disciplina del diritto all’oblio è rinvenibile all’art. 17 del Regolamento n. 679/2016, ove si legge che “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano”, laddove sussistono determinate condizioni espressamente previste; in tal caso il titolare deve provvedere senza ingiustificato ritardo. Nel comma successivo si legge, inoltre, che il titolare è tenuto “a cancellarli, tenendo conto della tecnologia (26) Sul punto, sempre la CGUE, 13 maggio 2014, Causa C-131/12, cit., al punto 88 afferma che “il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi”. Cfr. Cassano, Lo statuto della responsabilità civile degli Isp. Niente di nuovo sotto il sole, ma quanta fatica, in Vita notarile, 2019, 557.
disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali”. Dalla lettera della norma è possibile ritenere che il legislatore abbia introdotto una nuova panoramica degli obblighi gravanti sul titolare del trattamento, e tanto al fine di rendere più semplice ed efficace la tutela dei diritti dell’interessato; ed infatti, al comma due dell’art. 17 si introduce una nuova responsabilità del titolare del trattamento, non più limitata alla cancellazione dei dati in suo possesso, ma che si spinge al punto di obbligare il responsabile principale ad attivarsi anche nei confronti dei terzi titolari, che siano venuti a conoscenza dei dati dell’interessato in conseguenza al trattamento principale. Questa lettura consente, dunque, di ritenere legittima la richiesta effettuata dall’odierno appellato direttamente nei confronti dell’editore, quale legittimato passivo, essendo compito dello stesso occuparsi dell’effettiva deindicizzazione da parte dei titolari ad esso collegati. Tale soluzione, in ultimo, risulta conforme al principio per cui la tutela per essere efficace ed effettiva deve essere semplice e non deve gravare sul soggetto che la invoca, a fronte della titolarità di un diritto che, per di più, rinviene il suo fondamento all’art. 2 Cost.
5. Decisione sulla domanda risarcitoria
Come già anticipato, i giudici della Corte d’Appello di Milano, nella pronuncia in esame, svolgono un completo e lineare inquadramento della materia, esclusivamente al fine di giungere ad una decisione in ordine alla risarcibilità o meno della violazione del diritto all’oblio, e tanto considerata la dichiarata cessazione della materia del contendere in ordine alla richiesta di deindicizzazione, nelle more del giudizio soddisfatta da parte dell’editore. Ed infatti, pur prendendo atto dell’applicata misura volta a soddisfare l’interesse dell’appellato, i giudici di merito pongono la loro attenzione sul lasso di tempo intercorso tra la pubblicazione e l’avvenuta deindicizzazione dell’informazione, ritenendolo superiore a quello necessario a soddisfare l’interesse della generalità degli utenti ad essere informati. Di conseguenza - e richiamando in argomento le su esposte argomentazioni in ordine agli elementi da considerare per la valutazione di una violazione del diritto all’oblio – i giudici di appello dichiarano condivisibile la decisione del tribunale di primo grado, che aveva ritenuto tardiva la deindicizzazione dell’articolo, e la conseguente risarcibilità dei danni subiti da parte appellata, tuttavia ricorrendo all’art. 2043 c.c. e non al combinato disposto degli artt. 11 e 15 d.lgs. n. 196/2003. Ed infatti, conformemente al ragionamento seguito, secondo cui l’art 11 d.lgs. n. 196/2003 non è compatibile con il caso concreto oggetto del giudizio, il risarcimento del danno non patrimoniale, derivante dalla tardiva deindicizzazione dell’articolo, non può trovare la propria base giuridica nel successivo art. 15 della medesima normativa. Fatta salva questa precisazione, di cui si è ampiamente discusso in precedenza, i giudici di appello
DIRITTO DI INTERNET N. 4/2020
639
GIURISPRUDENZA CIVILE riconoscono comunque un diritto al risarcimento del danno in applicazione dell’art. 2043 c.c., quale violazione di un diritto fondamentale della persona ex art. 2 Cost.; l’articolo applicato, infatti, risponde al principio generale del neminen laedere e, costituendo una norma generale e atipica, consente di considerare ogni violazione di un diritto come fatto non iure risarcibile. Ciò nonostante, i giudici di appello giungono alla conclusione di accogliere la richiesta formulata da parte appellante, di parziale riforma della sentenza in ordine all’accoglimento della domanda di risarcimento formulata da controparte, e tanto in virtù di un difetto di prova dell’esistenza del danno e del suo nesso causale con il fatto illecito, consistente nella tardiva deindicizzazione dell’articolo. Ed infatti, in argomento, nella sentenza si legge un richiamo al consolidato orientamento della giurisprudenza di legittimità, formatosi a seguito delle sentenze gemelle del 2003 (27), secondo cui “il danno non patrimoniale anche quando sia determinato dalla lesione di diritti inviolabili della persona non è danno in re ipsa ma costituisce danno conseguenza che deve essere allegato e provato, anche tramite prova presuntiva, per cui non è sufficiente limitarsi a prospettare una condotta lesiva del diritto inviolabile”. Ed in più, i giudici d’appello evidenziano che le prove documentali offerte da parte appellata venivano allegate come riscontro probatorio del danno patrimoniale derivante dalla presunta diffamatorietà dell’articolo e non come prova del danno derivante dalla violazione del diritto all’oblio; ed infatti, le prove depositate afferivano ad un tempo in cui il diritto ad essere dimenticati non poteva essere ritenuto prevalente rispetto al diritto ad essere informati, dunque in un periodo in cui ancora non era configurabile una violazione del diritto all’oblio. Tale precisazione costituisce un’importante occasione per chiarire che la disciplina del diritto all’oblio e della sua eventuale violazione, ex art. 2 Cost., non va assolutamente confusa con il reato di diffamazione; le due eventuali lesioni, infatti, derivano da fatti antigiuridici diversi, caratterizzati da elementi costitutivi altrettanto differenti; basti considerare che nel diritto all’oblio vi è la liceità della pubblicazione dell’informazione e la sua violazione può ritenersi sussistente solo a determinate condizioni, al contrario, il reato di diffamazione si consuma immediatamente con la pubblicazione, allorquando siano integrati gli elementi di cui all’art. 595 c.p., tali da rendere la condotta penalmente rilevante.
6. Note conclusive
La pronuncia oggetto del presente lavoro, oltre che costituire un’ottima opportunità di comprensione del diritto all’oblio, offre – a parer di chi scrive - un’interpretazione innovativa del relativo fondamento giuridico, senza tuttavia modificar (27) Cass., 31 maggio 2003, nn. 8827 e 8828, in Giur. it., 2004, 29 ss; e sul punto la nota di Cassano, La responsabilità civile con due (belle?) gambe, e non più zoppa; Cass., 24 ottobre 2003, n. 16004, in Giust. civ., 2004, I, 3007.
640
DIRITTO DI INTERNET N. 4/2020
ne i connotati e le relative tutele, di derivazione giurisprudenziale. Ed infatti, alla decisione esaminata va riconosciuto il merito di non essersi soffermata entro stringenti limiti normativi, all’uopo cercando necessariamente di rinvenire disposizioni che offrissero adeguata disciplina al diritto in commento, ma, al contrario, aver confermato la rilevanza e validità giuridica di questa peculiare sfera della persona, ancorandola a dettami costituzionali – art. 2 Cost. - e di conseguenza a tutele generali dell’ordinamento, applicabili estensivamente. Tale conclusione consente ancor di più di apprestare efficienti garanzie ad un diritto di nuova generazione che è in costante mutamento, stante la peculiarità del sistema in cui vive, e di conseguenza adeguare gli strumenti che di volta in volta si rendono necessari. Al riguardo, infatti, è stato fondamentale esaminare le varie declinazioni del diritto all’oblio, positivizzate dalla giurisprudenza di legittimità, in quanto tengono conto delle contrapposte situazioni giuridiche soggettive da porre in bilanciamento; sul punto, la sentenza esaminata, al fine di giungere ad un corretto inquadramento dello strumento di c.d. deindicizzazione, che consente di tutelare equamente da un lato il diritto dell’interessato e dall’altro quello dell’editore, svolge un’interessante distinzione tra la funzione divulgativa e quella documentaristica. Ciò nonostante, occorre evidenziare che l’assenza tutt’oggi di una disposizione che disciplini in maniera puntuale la procedura di esercizio, inficia l’effettività della tutela; ed infatti, un fondamento normativo che indichi almeno le attività che l’interessato debba porre in essere, quantomeno in relazione alla legittimazione attiva e passiva, sarebbe utile a scongiurare difficoltà interpretative, da cui conseguono spesso vuoti di tutela. Fatta salva quest’osservazione, l’inquadramento e il raccordo sistematico dei principi offerto dalla giurisprudenza, ha consentito di intraprendere la strada volta ad un riconoscimento generale del diritto all’oblio online, anche nella sua declinazione di “deindicizzazione”, idoneo a garantire il pieno sviluppo della persona anche nelle nuove realtà in cui vive, pur senza pregiudicarle.
GIURISPRUDENZA CIVILE
La nullità del contratto nella particolare ipotesi delle scommesse a evento concluso, c.d. “a palinsesto aperto” Tribunale
di
P alermo; sezione III; sentenza 5 agosto 2020, n. 2509; Giud. Giuseppa Caraccia
La scommessa è un contratto aleatorio in quanto caratterizzato dall’incertezza circa il vantaggio o svantaggio economico che sarà conseguito, atteso che nel momento in cui il contratto è concluso né lo scommettitore né l’agenzia di scommesse sono a conoscenza del risultato dell’evento. Ai fini della validità del contratto di scommessa occorre la sussistenza di vantaggi e oneri proporzionali che gravino sinallagmaticamente su entrambe le parti e che l’aleatorietà venga valutata al momento della conclusione del contratto.
…Omissis… Motivi della decisione Preliminarmente, va dato atto del verificarsi della condizione di procedibilità di cui all’art. 3, comma 1, del D.L. n. 132/14 conv. in L. n. 162/14, stante l’avvio del procedimento di negoziazione assistita nei confronti delle società convenute (cfr. documentazione depositata dall’attore il 03/03/2017). In punto di diritto, va evidenziato che è principio giurisprudenziale consolidato quello secondo cui (cfr. Cass. civ. 20/01/2015 n. 826 e Cass. civ. sez. un. 30/10/2001 n. 13533) il creditore che deduce l’inadempimento da parte del debitore deve dimostrare, secondo i criteri di distribuzione dell’onere della prova di cui all’art. 2697 c.c., il fatto costitutivo del credito, mentre al debitore convenuto spetta la prova del fatto estintivo dell’altrui pretesa o di una sua parte. Conseguentemente, il primo è tenuto a fornire la prova dell’esistenza del rapporto o del titolo dal quale deriva il suo diritto, mentre incombe sul debitore l’onere di dimostrare l’avvenuto esatto adempimento delle proprie obbligazioni. Ciò posto, va rilevato che la domanda prospettata dall’attore va ricondotta nell’ambito della fattispecie contrattuale della scommessa che costituisce un contratto concluso tra due soggetti in forza del quale lo scommettitore punta una determinata somma sul risultato di un evento, non ancora disputato, quindi incerto, e l’agenzia di scommesse (ovvero la concessionaria del servizio di gioco e scommessa) si impegna a restituirgli tale somma, maggiorata di una percentuale previamente indicata, nel caso in cui, disputato l’evento, il risultato corrisponda a quello su cui il primo ha scommesso. La scommessa, dunque, è un contratto aleatorio in quanto caratterizzato dall’incertezza circa il vantaggio o
svantaggio economico che sarà conseguito, atteso che nel momento in cui il contratto è concluso né lo scommettitore né l’agenzia di scommesse sono a conoscenza del risultato dell’evento. Ed infatti, la sua causa è rappresentata dall’alea che riguarda entrambe le parti e che consiste nella possibilità per il concessionario di trattenere il costo della giocata ovvero, viceversa, per lo scommettitore nella possibilità della vincita di una somma percentualmente maggiore della posta giocata, a seconda dell’esito dell’evento che, nella fattispecie, era una partita di calcio. Pertanto, ai fini della validità del detto contratto, occorre la sussistenza di vantaggi e oneri proporzionali che gravino sinallagmaticamente su entrambe le parti e che l’aleatorietà venga valutata al momento della conclusione del contratto. È principio consolidato nella giurisprudenza di legittimità quello secondo cui: “Il contratto è aleatorio qualora, già al momento della sua conclusione, l’alea sia, per legge o per volontà delle parti, elemento essenziale del sinallagma” (cfr. Cass. 28.02.2013 n. 5050). In altre parole, “nel contratto aleatorio è incerto - al momento della stipulazione - il rapporto fra il sacrificio e il vantaggio derivante dal negozio” (cfr. Cass.30/8/2004 n. 17399). Ciò detto, la domanda proposta dal Omissis non può essere accolta. Nel caso di specie, al momento in cui sono state effettuate le giocate mancava l’alea ovvero l’incertezza circa l’entità del vantaggio e, correlativamente, della perdita di ciascun contraente nella quale si concretizza l’alea, cioè il rischio del contratto aleatorio deve essere obiettivo e dipendere dal verificarsi o meno di un evento futuro dedotto quale fonte dell’alea, in caso contrario il contratto deve considerarsi nullo.
DIRITTO DI INTERNET N. 4/2020
641
GIURISPRUDENZA CIVILE Invero, in data 9-10/12/2015, l’attore ha dedotto di avere effettuato, vincendole, cinque scommesse, aventi ad oggetto alcuni eventi calcistici del “Campeonato Invierno Banco Popular 2015” svoltosi in Costarica, presso il centro gestito dalla società No Zù Filippo che ha emesso i relativi biglietti; in particolare: biglietto DD07DF0C0A16FE4DA005, dell’importo di € 99,00, giocato in data 9/12/2015 alle ore 23:58:36; biglietto DD07DF0C0A16FE4DBC05, dell’importo € 99,00, giocato in data 9/12/2015 alle ore 23:59:56; biglietto DD07DF0C0A16FE4CEF02, dell’importo di € 50,00, giocato in data 10/12/2015 alle ore 00:04:14; biglietto DD07DF0C0A16FE4A0601, dell’importo di € 50,00, giocato in data 10/12/2015 alle ore 00:04:19 e biglietto DD07DF0C0A16FE541A03, dell’importo di € 50,00, giocato in data 10/12/2015, alle ore 00:05:59; per una vincita complessiva pari ad € 23.229,36 (cfr. documentazione prodotta dall’attore il 27/07/2016). La società Omissis ha documentato (cfr. Comunicazione del 7/12/2015 sul sito Ufficiale UNAFUT Calcio Costarica doc. n. 3) che le partite di calcio della giornata n. 22 del “Campeonato di Invierno Banco Popular 2015” sono iniziate alle ore 3:00 p.m. del giorno 9/12/2015 corrispondenti alle ore 22:00 in Italia, considerato che l’ora italiana si trova in avanti di sette ore rispetto a quella costaricana. Trattandosi di partite di calcio, la cui durata dei tempi regolamentari è di circa 90 minuti ed ai quali devono sommarsi i 15 minuti di intervallo, le partite dovevano concludersi alle ore 23:45 ma, se si tiene conto del fatto che generalmente viene disposto qualche minuto di recupero, può affermarsi che le stesse non si sono protratte di certo oltre le ore 23:58 (ora della prima scommessa) del 09/12/2015, fuso orario italiano. Anche il teste escusso nel corso del giudizio, sig. Omissis, il quale ha riferito: “…si trattava di giocate effettuate quando già la partite erano state giocate e concluse; conosco la circostanza in quanto sono il responsabile di prodotto delle scommesse sportive per Omissis ed esaminando le scommesse piazzate sull’evento riguardante il giorno 9 -10 dicembre 2015, ho constatato che le partite erano iniziate e concluse prima del piazzamento delle giocate effettuate dal sig. Omissis, tra gli altri. Il sistema di Omissis per un disguido non ha registrato la variazione oraria degli eventi sportivi, le partite sono iniziate alle 22:00 ora italiana. La Omissis non ha ricevuto la comunicazione dello spostamento di orario delle partite ma lo abbiamo appreso e verificato successivamente; quindi il centro scommesse ha continuato ad accettare le giocate” (cfr. verbale di udienza 04/04/2019). Pertanto, allorquando l’attore, nella notte del 9 e 10 dicembre 2015, tra le ore 23:58:36 e le ore 00:05:59, ha scommesso sugli incontri di calcio, questi erano stati già disputati ed i relativi risultati erano già noti e facilmente
642
DIRITTO DI INTERNET N. 4/2020
reperibili tramite internet, di modo che non vi era alcun profilo di alea o rischio, elemento casuale del contratto di scommessa. Né assume rilievo la generica contestazione effettuata da parte attrice circa il documento prodotto da Omissis attestante l’inizio dell’evento sportivo, essendo essa priva dei connotati di chiarezza e precisione. Infatti, l’attore ha contestato che “…i documenti, scaricati da Internet (all. 3 e 4 della comparsa Omissis, non già documenti ufficiali, pertanto tali produzioni documentali non sono idonee a provare alcunchè…” (cfr. pag 2 memoria ex art. 183, sesto comma, n. 1 c.p.c.). In tema di non contestazione, occorre ricordare innanzitutto che “L’onere di contestazione concerne le sole allegazioni in punto di fatto della controparte e non anche i documenti da essa prodotti, rispetto ai quali vi è soltanto l’onere di eventuale disconoscimento, nei casi e modi di cui all’art. 214 c.p.c. o di proporre - ove occorra - querela di falso, restando in ogni momento la loro significatività o valenza probatoria oggetto di discussione tra le parti e suscettibile di autonoma valutazione da parte del giudice” (cfr. Cass. 06/04/2016 n. 6606 e Cass. 21/06/2016 n. 12748). In ogni caso, va rilevato che l’attore non ha mai contestato che l’inizio dell’incontro calcistico in questione, come si evince dalla predetta documentazione e confermato dal teste, sia stato anticipato ed abbia avuto luogo alle ore 22:00 ma si è limitato a sostenere soltanto che Omissis non ha provato l’orario di conclusione dell’evento. Pertanto, applicando i consolidati principi su cui si fonda il disposto di cui all’art. 115 c.p.c. (cfr. Cass. 29/04/2020 n. 8376) parte attrice non ha offerto alcuna prova contraria alla prospettazione di Omissis, idonea a dimostrare un diverso orario di inizio e termine della partita di calcio in questione, prova, questa, di agevole reperimento (anche mediante una semplice ricerca sul web) ed incombente a suo carico. L’attore ha sostenuto, ancora, che le sue argomentazioni risulterebbero avvalorate e supportate dalla pronuncia del Tribunale di Benevento (prodotta da Omissis) nella quale si afferma che le partite di calcio hanno avuto inizio alle 23:00 ora italiana. Questi, però, omette di dire che nella sentenza viene affermato: ”Parte resistente ha documentato che tali incontri sono iniziati alle ore 3 p.m. del giorno 9/12/2015 corrispondenti alle ore 23 in Italia…”. Appare evidente che l’indicazione delle ore “23:00” (invece che 22:00) in Italia è frutto di un refuso se si considera che l’ora italiana si trova in avanti di sette ore rispetto a quella costaricana. Così stando le cose, può ritenersi provato che nel momento in cui il Omissis ha effettuato le giocate, l’incontro di calcio su cui egli è andato a scommettere era già stato disputato ed il relativo risultato era già noto e,
GIURISPRUDENZA CIVILE dunque, non sussisteva alcun profilo di rischio od incertezza integrante l’elemento casuale del contratto di scommessa. Alla luce delle superiori considerazioni, pertanto, va dichiarata l’eccepita nullità dei contratti di scommessa per difetto di causa e la domanda attrice di condanna al pagamento della somma di € 23.229,36 quale vincita di gioco, oltre al risarcimento del danno contrattuale, non può che essere rigettata. Va accolta, invece, la domanda di restituzione della posta giocata tenuto conto di quanto dispone l’art. 7 del DM n. 111/2006, che disciplina le scommesse a quota fissa su eventi sportivi, il quale statuisce espressamente che: “Il partecipante ha diritto al rimborso…c) relativamente alle scommesse su avvenimenti sportivi, in caso
di mancata chiusura dell’accettazione delle scommesse per l’anticipazione dell’orario di inizio degli avvenimenti oggetto di scommessa”. Il mancato accoglimento delle richieste di parte attrice determina l’assorbimento delle ulteriori domande ed eccezioni. In ultimo, si reputano sussistenti i presupposti di cui all’art. 92, secondo comma, c.p.c., per disporre l’integrale compensazione delle spese di lite nei rapporti tra tutte le parti, considerato che Omissis con il proprio comportamento negligente non ha precluso la possibilità di effettuare scommesse su eventi già disputati e tenuto conto dell’accoglimento della domanda subordinata avanzata dall’attore. …Omissis…
IL COMMENTO
di Giuseppe Cassano Sommario: 1. L’intervento del Tribunale di Palermo. - 2. Scommesse a “palinsesto aperto”. - 3. Raccolta a distanza delle scommesse. - 4. Contratto aleatorio. - 5. Contratto di scommessa. - 6. Gioco on line. - 7. La posizione della giurisprudenza di merito. - 8. Il piano delle conseguenze. - 9. Condanna alle spese e lite temeraria Il presente contributo affronta l’innovativo settore del gioco on line avuto particolare riguardo alla fattispecie del contratto di scommessa a “palinsesto aperto” e alle numerose conseguenze pratico-operative da questa poste all’attenzione dell’interprete. Nel raffrontare detti argomenti con tematiche più tradizionali (quali la nullità del contratto e il contratto aleatorio secondo le disposizioni del codice civile) l’Autore analizza la decisione in commento ponendo l’accento sulla fase patologica del contratto di scommessa on line, anche avuto riguardo alla normativa di settore. Il filo conduttore dell’argomentare è dato dalle conseguenze civilistiche con alcune interessanti riflessioni di ordine processuale. This contribution addresses the innovative online gaming sector with particular regard to the case of the “open schedule” betting contract and the numerous practical-operational consequences that this brings to the attention of the interpreter. In comparing these arguments with more traditional issues (such as the nullity of the contract and the random contract according to the provisions of the civil code), the Author analyzes the decision in question, emphasizing the pathological phase of the online betting contract, also having regard to the sector regulations. The main theme of the argument is given by the civil consequences with some interesting reflections of a procedural nature.
1. L’intervento del Tribunale di Palermo
Il Tribunale di Palermo con il suo recente intervento pone all’attenzione dell’interprete il tema della rilevanza giuridica delle scommesse cd. a “palinsesto aperto” (1). L’attore avendo effettuato cinque scommesse, rilevatesi vincenti, su alcuni eventi calcistici del <<Campeonato Invierno Banco Popular 2015>>, svoltosi in Costarica, chiedeva la condanna del concessionario al pagamento delle somme vinte. (1) In materia di vedano anche: Trib. Nola, sez. I, ord. 4 luglio 2020 – Giud. G. Astarita; Trib. Napoli Nord., sez. II, 14 luglio 2020, n. 1562 – Giud. L. D’Angiolella; App. Trieste, sez. I, 22 luglio 2020, n. 333 – Pres. G. De Rosa; Rel. L. Cavallino.
Quest’ultimo, nell’opporsi a tale richiesta, evidenziava come le puntate erano state effettuate su eventi sportivi già conclusi, così ponendosi la nullità del contratto di scommessa. Il Tribunale, da parte sua, focalizza il suo argomentare su alcuni aspetti fondamentali, e precisamente: - sulla scommessa quale contratto aleatorio, - sull’alea, quale causa di detto contratto, che deve riguardare entrambe le parti, - sulla necessità, ai fini della validità del contratto de quo, che sussistano vantaggi e oneri proporzionali che gravino sinallagmaticamente su entrambe le parti; - sulla valutazione dell’alea al momento della conclusione del contratto.
DIRITTO DI INTERNET N. 4/2020
643
GIURISPRUDENZA CIVILE 2. Scommesse a “palinsesto aperto”
La materia in esame rappresenta un formidabile laboratorio di esegesi delle fonti in cui ai temi tradizionali (della natura giuridica della scommessa, dell’alea e della nullità del contratto) si affiancano quelli, più moderni, legati allo sviluppo, e al diffondersi senza freni, delle nuove tecnologie informatiche e dell’internet. Se invero, oggi come ieri, il contratto di scommessa presenta i medesimi elementi costitutivi (su cui a breve ci si soffermerà) è vero anche che una scommessa effettuata on–line pone all’operatore del diritto tematiche fino a pochi anni fa impensabili. È bene precisare da subito che una scommessa può dirsi a “palinsesto aperto” quando lo scommettitore, nel momento in cui effettua la sua giocata, è consapevole del risultato finale dell’evento (su cui scommette) per essersi questo ormai concluso ovvero già verificato. Nel contesto delle scommesse può accadere che su di un evento (solitamente sportivo) svoltosi in zone del modo in cui si abbia un differente fuso orario, e già concluso, siano raccolte le scommesse in conseguenza, da un lato, di un atteggiamento sicuramente non corretto dello scommettitore e, dall’altro, di un malfunzionamento del sistema informatico (che cioè raccoglie/permette di raccogliere scommesse che non avrebbe dovuto accettare). Allo stesso modo può accadere che si scommetta su eventi già conclusi o su esiti già verificati, e perciò a esiti già noti e con vincita sicura, sfruttando abilmente il momentaneo mancato aggiornamento del sistema in uso al concessionario. Prima di approfondire il tema delle sorti di tali scommesse sono necessarie alcune considerazioni di carattere generale su un settore in forte crescita quale è quello del gioco e delle scommesse.
3. Raccolta a distanza delle scommesse
Un moderno approccio al fenomeno del “gioco” e della “scommessa”, che superi le oramai datate teorie del contratto illecito (2), impone di sottolineare l’evidente favor del Legislatore verso questo settore sia pure attraverso una disciplina – certamente indispensabile – atta a ricondurlo entro i confini della legalità. Il quadro normativo di riferimento (3), invero, lascia emerge come – sia in ambito nazionale, che in ambito europeo - non esista un disfavore nei confronti del set-
tore gioco e scommesse purché non sfugga al controllo statale e non si infetti delle infiltrazioni criminali (4). La giurisprudenza eurounitaria ha chiarito (sentenza Biasci, cause riunite C‑660/11 e C‑8/12) che “l’obiettivo attinente alla lotta contro la criminalità collegata ai giochi d’azzardo è idoneo a giustificare le restrizioni alle libertà fondamentali derivanti da tale normativa, purché tali restrizioni soddisfino il principio di proporzionalità e nella misura in cui i mezzi impiegati siano coerenti e sistematici”. Tesi confermata anche dalla Corte Costituzionale con la sentenza 27 febbraio 2019, n. 27: “Questa Corte ha già avuto modo di pronunciarsi più volte riguardo alla disciplina dei giochi leciti, ricondotta alla competenza legislativa esclusiva dello Stato in materia di «ordine pubblico e sicurezza» per le modalità di installazione e di utilizzo degli apparecchi da gioco leciti e per l’individuazione dei giochi leciti. Si tratta di profili, infatti, che evocano finalità di prevenzione dei reati e di mantenimento dell’ordine pubblico (sentenze n. 72 del 2010 e n. 237 del 2006), giustificando la vigenza del regime autorizzatorio previsto dagli artt. 86 e 88 del regio decreto 18 giugno 1931, n. 773 (Approvazione del testo unico delle leggi di pubblica sicurezza)” (5). Oggi le poste degli scommettitori possono essere raccolte mediante una rete fisica (cioè dai punti di vendita fisici) oppure a distanza (quindi, on line) (6). La diffusione sempre più capillare della rete internet ha permesso <<la raccolta a distanza delle giocate>> quale modalità innovativa di giochi esistenti oltre che strumento per la diffusione di giochi nuovi e diversi (Cons. Stato, sez. IV, 7 maggio 2012, n. 2621). Operano, nel settore del gioco on line, regole e procedure particolari che valgono a caratterizzarne gli elementi costitutivi, rispetto ai canoni tradizionali della raccolta delle scommesse, e sui quali a breve ci soffermeremo.
4. Contratto aleatorio
L’art. 1102 del codice civile del 1865 disponeva che <<è contratto di sorte o aleatorio, quando per ambedue i contraenti o per l’uno di essi il vantaggio dipende da
(4) Cass. civ., sez. VI, Ord., 8 luglio 2015, nn. 14288 e 14287; Cass. civ., sez. I, 27 settembre 2012, n. 16511. (5) Si veda Corte Giust., 6 novembre 2003, n. 243.
(2) Cass. civ., 17 giugno 1950, n. 1552. (3) Parlamento Europeo, ris. 10 settembre 2013; Commissione Europea, Racc. 14 luglio 2014 (sul gioco d›azzardo on line); D.L. 13 settembre 2012, n. 158, conv. L. 8 novembre 2012, n. 189; L. 28 dicembre 2015, n. 208, all’art. 1, c. 936.
644
DIRITTO DI INTERNET N. 4/2020
(6) Con la locuzione raccolta a distanza si <<indica la modalità di raccolta dei giochi numerici a totalizzatore nazionale effettuata attraverso Internet, televisione digitale, terrestre e satellitare, attraverso la telefonia fissa e mobile, nonché qualunque altro mezzo assimilabile per modalità e caratteristiche, con esclusione di raccolta in luoghi pubblici con apparecchiature che ne permettano la partecipazione telematica>> (AAMS, decreto 4 maggio 2011, art. 1, comma 1, lett. p) .
GIURISPRUDENZA CIVILE un avvenimento incerto>> (I comma) (7); nell’attuale codice del 1942 non si rinviene una definizione di tale contratto per quanto, avverte la dottrina, essa sarebbe stata utile (8). In tema di contratto aleatorio, come noto caratterizzato dall’incertezza del vantaggio o della perdita di ogni contraente, il Legislatore distingue un contratto aleatorio per sua natura e un contratto aleatorio per volontà delle parti (art. 1469 c.c.) (9). Nel primo caso l’alea, cioè il rischio, è insita nello stesso schema legale del tipo di negozio e ne costituisce un elemento strutturale, in quanto la stessa res contrattata è tale da non poter essere dedotta ad oggetto dello scambio senza che le parti si assumano anche un rischio (si pensi ad es. al contratto di rendita vitalizia, al contratto di assicurazione). Nel secondo caso (cioè, quello del contratto aleatorio per volontà delle parti), invece, l’alea è estranea allo schema legale del tipo di contratto, che, di per sé, non la comporta e vi è introdotta da un’apposita specifica pattuizione (non essendo quindi sufficiente un’accettazione tacita del rischio). Opera, cioè, la regola secondo cui, affinché un contratto tipicamente commutativo assuma la veste del contratto aleatorio per volontà delle parti, occorre che queste abbiano espresso la volontà di concludere un contratto aleatorio, non essendo sufficiente che le stesse, in presenza di una situazione di prevedibile rischio, nulla abbiano detto in proposito (10). Di conseguenza, mentre nel contratto aleatorio per sua natura l’alea è elemento strutturale di tale tipo di contratto, nel caso di un contratto tipicamente commutativo, che di per sé non include e non comporta un’alea, la conclusione che si tratti di un contratto aleatorio per volontà delle parti postula l’accertamento dell’esistenza di una specifica pattuizione con cui le parti abbiano introdotto il rischio nel contratto, che di per sé non lo comporta affatto.
Un tale accertamento, concernente un fatto espressione tipica dell’autonomia negoziale privata, non può essere compiuto dal Giudice al di fuori di una specifica deduzione (del fatto) da parte dell’interessato e di una richiesta dello stesso di esame ed indagini in tale direzione (11).
5. Contratto di scommessa
La scommessa è, per sua natura, un contratto aleatorio concluso tra due soggetti in forza del quale lo scommettitore paga (punta) un certa somma sul risultato di un determinato evento, non ancora disputato - quindi, incerto - e l’agenzia di scommesse (bookmaker) si impegna a restituirgli tale somma, maggiorata di una percentuale previamente indicata, nel caso in cui disputato l’evento il risultato corrisponda a quello su cui ha scommesso il primo. Ciò che caratterizza tale contratto è l’alea ovvero l’incertezza del risultato, atteso che nel momento in cui il contratto è concluso né lo scommettitore, né l’agenzia di scommesse sono a conoscenza del risultato dell’evento (ad esempio sportivo) su cui viene effettuata la scommessa, in quanto non ancora disputato (Trib. Cosenza, 15 novembre 2018, n. 2434; Trib. Gorizia, 17 ottobre 2018, n. 442; Cass. civ., sez. III, 2 dicembre 1993, n. 11924) (12) o comunque non ancora concluso (13). La componente aleatoria, come emerge da quanto fin qui detto, è intrinseca alla natura del contratto di scommessa e ciascuna delle due parti deve assumersi un grado (in ipotesi anche sbilanciato) di rischio. Deve così affermarsi la nullità del contratto qualora questo sia stato sin dall’origine strutturato in modo tale che il rischio giuridico finisca per gravare (peraltro ponendosi in termini di certezza della perdita) solo su una parte (agenzia di scommesse) e non anche sull’altra (scommettitore): si consideri, invero, che l’ordinamento giuridico guarda con particolare diffidenza agli spostamenti di ricchezza privi di una ragione giustificativa.
6. Gioco on line (7) La norma precisava poi, al secondo comma, di ricondurre espressamente nei contratti aleatori <<il contratto di assicurazione, il prestito a tutto rischio, il giuoco, la scommessa e il contratto vitalizio>>.
Come anticipato, operano, nel settore del gioco on line, regole particolari. In primis vi è l’utilizzo di un sito web
(8) Reali, Alea, commutatività e scommessa: il ruolo assunto dal «rischio» e le scommesse atipiche, in Contratto e impresa, 2007, 956.
(11) Cass. civ., sez. II, 4 gennaio 1993, n. 10; Cass. civ., sez. II, 30 agosto 2004, n. 17399; Cass. civ., sez. II, 28 febbraio 2013, n. 5050.
(9) Delfini, I contratti aleatori nel codice civile italiano e nel codice civile e commerciale argentino e la assicurazione della responsabilità civile professionale, in Rivista di diritto privato, 2019, 341-363; Belli, L’alea nei contratti differenziali, in Obbligazioni e contratti, 2012, 58-65; Ferrari, La ragionevole incertezza che regge il contratto aleatorio, Nota a Cass. sez. II civ. 19 luglio 2011, n. 15848, in Foro It., 2646; Liace, In tema di contratto aleatorio unilaterale, in Giur. It., 2008, 318.
(12) Si vedano in dottrina: Chiariello, Una lettura costituzionalmente orientata delle sanzioni sul gioco lecito. Nota a Tribunale Civile e Penale di Brescia, Sezione Terza Civile, sentenza n. 2648 del 12 settembre 2017, in <GiustAmm.it>, 2017, 4; Chieppa, Scommesse sportive e rischio di manipolazione delle competizioni sportive, in Rivista di diritto sportivo, 2017, 271-301; Coggiola, Il doppio azzardo del giocatore: in contratti di gioco e scommessa in dottrina e in giurisprudenza, in Nuova giur. civ. comm., 2017, pt. 2, 64-275.
(10) Con riferimento a pattuizioni specifiche si vedano: Cass. civ., 7 giugno 1991, n. 6452; Cass. civ., 10 aprile 1970, n. 1003; Cass. civ., 17 giugno 1959, n. 1875.
(13) Trib. Milano, sez. XII, 12 luglio 2017, n. 7913 il definisce il <<contratto di scommessa>> quale <<atto speculativo finalizzato all’arricchimento>>.
DIRITTO DI INTERNET N. 4/2020
645
GIURISPRUDENZA CIVILE ad hoc cui lo scommettitore deve previamente registrarsi ed aprire un conto di gioco personale per poi effettuare le sue scommesse (14); il palinsesto degli eventi su cui scommettere è ufficiale e gestito direttamente da ADM (Agenzia delle Dogane e dei Monopoli (15)).
(14) L. 7-7-2009 n. 88. Disposizioni per l’adempimento di obblighi derivanti dall’appartenenza dell’Italia alle Comunità europee - Legge comunitaria 2008. Pubblicata nella Gazz. Uff. 14 luglio 2009, n. 161, S.O Art. 24 comma 19 “ La raccolta a distanza dei giochi di cui al comma 11 è subordinata alla stipula, anche per via telematica, di un contratto di conto di gioco tra il giocatore e il concessionario. Lo schema di riferimento del contratto di conto di gioco, reso disponibile dall’Amministrazione autonoma dei monopoli di Stato sul proprio sito web, è predisposto nel rispetto delle seguenti condizioni minime, cui restano senz’altro soggetti i contratti di conto di gioco in essere alla data di entrata in vigore della presente legge: a) accettazione da parte del concessionario della regolazione del contratto secondo la legge dello Stato italiano e che italiano sia il foro competente per le eventuali controversie, nel rispetto delle norme vigenti anche di fonte comunitaria, con esclusione di forme di risoluzione arbitrale delle controversie medesime; b) utilizzo del conto di gioco in osservanza delle disposizioni di cui al decreto legislativo 21 novembre 2007, n. 231, di attuazione della direttiva 2005/60/CE concernente la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, nonché della direttiva 2006/70/CE recante disposizioni per la relativa esecuzione; c) unicità del contratto di conto di gioco con ciascun giocatore, divieto di utilizzazione del conto di gioco di un giocatore per la raccolta o l’intermediazione di giocate altrui, improduttività di frutti del conto di gioco per il giocatore, nonché gratuità della relativa utilizzazione per il giocatore; d) indisponibilità da parte del concessionario delle somme depositate sul conto di gioco, fatte salve le operazioni di addebito e di accredito direttamente connesse all’esercizio dei giochi oggetto di concessione; e) tempestiva contabilizzazione e messa a disposizione al giocatore delle vincite e delle relative somme, comunque non oltre un’ora dalla certificazione ufficiale del verificarsi dell’evento che determina la vincita, salvo specifica diversa disposizione prevista dal regolamento di un singolo gioco; f) accredito al giocatore, entro e non oltre sette giorni dalla richiesta e con valuta corrispondente al giorno della richiesta, delle somme giacenti sul conto di gioco di cui il giocatore chieda al concessionario il prelievo; g) durata del contratto di conto di gioco non superiore alla data di scadenza della concessione; h) informativa relativa al trattamento dei dati personali rispettosa della normativa vigente in materia; i) assenso preventivo ed incondizionato del giocatore alla trasmissione da parte del concessionario all’Amministrazione autonoma dei monopoli di Stato, su richiesta di quest’ultima, di tutti i dati relativi ai movimenti e ai saldi del conto di gioco; l) devoluzione all’erario dell’intero saldo del conto di gioco decorsi tre anni dalla data della sua ultima movimentazione. (15) La ratio storica della riserva allo Stato dell’organizzazione e l’esercizio di giochi di abilità e di concorsi pronostici, per i quali si corrisponda una ricompensa di qualsiasi natura e per la cui partecipazione sia richiesto il pagamento di una posta in denaro, “risiede nei rilevanti interessi coinvolti nel gioco, quali le esigenze di contrasto del crimine e, più in generale, di ordine pubblico, di fede pubblica, la necessità di tutela dei giocatori, di controllo di un fenomeno che è suscettibile di coinvolgere flussi cospicui di denaro a volte di provenienza illecita e non a caso le norme sul gioco sono inserite nel TULPS”. La realizzazione di tali interessi, unitamente alla tutela degli interessi erariali, ha richiesto il superamento del precedente assetto del settore caratterizzato da una
646
DIRITTO DI INTERNET N. 4/2020
La raccolta “a distanza” presuppone, come detto, la previa registrazione (id est identificazione) dello scommettitore, che deve utilizzare il conto gioco (che registra tutti i movimenti di accredito e di addebito) (16). La movimentazione di denaro del gioco on line è trasmessa in tempo reale dall’internet service provider al Totalizzatore Nazionale (17), gestito da SOGEI Società Generale d’Informatica S.p.A. nell’interesse di ADM. In materia di scommesse raccolte “a distanza”, secondo la definizione dell’art. 2 D.M. 1 marzo 2006, n. 111 (18), il contratto si deve intendere concluso con l’accettazione e la registrazione della scommessa da parte del totalizzatore nazionale (art. 6 D.M.), attestata dalla ricevuta di partecipazione. La raccolta di scommesse, anche quando abbia luogo mediante strumenti telematici, può dirsi lecita solo ed esclusivamente se posta in essere da parte di soggetti titolari di concessione, sì che non è ammesso che soggetti terzi raccolgano le scommesse per conto dei concessionari o titolari di reti svolgendo una mera intermediazione; infatti (come ribadito dal D.M. n. 111 che, sul punto, ha confermato i contenuti del previgente D.M. n. 174 del 1998), a tutt’oggi <<è vietata ogni forma di intermediazione nella raccolta delle scommesse>> (art. 2, comma 5) (19).
gestione disorganica e polverizzata, dato che i singoli giochi erano assegnati a diverse amministrazioni o enti in aperta concorrenza tra di loro, a detrimento dell’interesse pubblico al contrasto del gioco illecito e degli interessi erariali, e l’affidamento della materia de qua all’Amministrazione autonoma dei Monopoli di Stato la quale, giusta quanto previsto dal D.L. n.138/2002 (art.4), convertito in legge, con modificazioni dall’art. 1, L. 8 agosto 2002, n. 178, svolge tutte le funzioni in materia di organizzazione ed esercizio dei giochi, scommesse e concorsi pronostici (v. in tal senso T.a.r. Lazio, Roma, sez. II, 26 luglio 2005, n. 5943; v. anche conf. T.a.r. Lazio, Roma, sez. II, 31 maggio 2005, n. 4296 ). (16) Si veda in particolare la L. 30 dicembre 2004, n. 311 (Legge finanziaria per l’anno 2005) che all’art. 1, comma 290, prevede espressamente: <<Al fine di assicurare la tutela della fede pubblica e per una più efficace azione di contrasto al gioco illecito ed illegale il Ministero dell’economia e delle finanze - Amministrazione autonoma dei monopoli di Stato adotta i provvedimenti necessari per la definizione, diffusione e gestione, con organizzazione propria o di terzi, dei mezzi di pagamento specifici per la partecipazione al gioco a distanza. Tali mezzi di pagamento possono essere abilitati dal Ministero dell’economia e delle finanze - Amministrazione autonoma dei monopoli di Stato anche per le transazioni relative a forme di gioco non a distanza>>. (17) In riferimento alla sanatoria di cui all’art. 1, comma 643, L. n. 190 del 2014, nel rispetto delle prescrizioni imposte dalla medesima disposizione, si veda Cass. pen., sez. III, 27 settembre 2017, n. 44446. (18) <<Norme concernenti la disciplina delle scommesse a quota fissa su eventi sportivi diversi dalle corse dei cavalli e su eventi non sportivi da adottare ai sensi dell’articolo 1, comma 286, della L. 30 dicembre 2004, n. 311>>. (19) Cass. pen., sez. VI, 2 luglio 2019, n. 28871; Cass. pen., sez. III, 19 febbraio 2016, n. 6709.
GIURISPRUDENZA CIVILE Particolare attenzione deve riservarsi alla disposizione dell’art. 19, II, D.M. 111 in esame secondo cui, espressamente: <<Le scommesse telematiche non possono essere annullate>> (20). L’opzione interpretativa più corretta, sulla quale breve ci soffermeremo in maniera più approfondita, è quella secondo cui deve escludersi che essa costituisca ostacolo alla generale tutela del contraente per vizi della volontà stabilita dal codice civile.
7. La posizione della giurisprudenza di merito
La sentenza del Tribunale di Palermo riconosce come lo scommettitore abbia effettuato le sue giocate quando l’incontro di calcio su cui egli aveva scommesso <<era già stato disputato ed il relativo risultato era già noto e, dunque, non sussisteva alcun profilo di rischio od incertezza integrante l’elemento casuale del contratto di scommessa>>. Di conseguenza ha dichiarato la <<nullità dei contratti di scommessa per difetto di causa>> accogliendo, comunque, la domanda attorea di restituzione della posta giocata tenuto conto di quanto dispone l’art. 7 del DM n. 111/2006, che disciplina le scommesse a quota fissa su eventi sportivi, il quale statuisce espressamente che: <<Il partecipante ha diritto al rimborso (…) c) relativamente alle scommesse su avvenimenti sportivi, in caso di mancata chiusura dell’accettazione delle scommesse per l’anticipazione dell’orario di inizio degli avvenimenti oggetto di scommessa>>. Tale decisione si innesta nel solco di un orientamento interpretativo che, nel corso di questi ultimi anni, si sta consolidando nella giurisprudenza di merito. Si registrano così alcune interessanti pronunce (v. nota n. 1) su cui è bene qui soffermarsi. Punto fermo dell’argomentare del Giudice di Nola (ord. 4 luglio 2020 cit.) è la qualificazione giuridica della scommessa quale contratto aleatorio. Poiché avuto riguardo al caso concreto sottoposto al suo giudizio, il Tribunale di Nola ha accertato che l’incontro di calcio oggetto di scommessa era già stato disputato e si era concluso al momento della scommessa allora ha ritenuto nessuna alea (o rischio) vi era a carico dello scommettitore (sicuro della vincita). Il relativo contratto concluso tra le parti è stato così ritenuto nullo per totale assenza di causa mancando ogni profilo di incertezza e per gli effetti è stata rigettata la richiesta di pagamento della vincita e di risarcimento danni (avendo l’agenzia di scommesse dato prova di aver già rimborsato rimborso la posta giocata).
(20) Si veda Cons. Stato, sez. IV, 3 settembre 2014, n. 4484.
Venendo ora alla pronuncia del Tribunale di Napoli Nord (n. 1562/2020 cit.) (21) il Giudice, premessa la natura giuridica di contratto aleatorio della scommessa, osserva che, nel caso oggetto del suo intervento, le scommesse degli attori difettavano dell’elemento causale atteso che avevano ad oggetto un evento sportivo già disputato al momento della conclusione dei contratti. L’assenza dell’indefettibile elemento dell’incertezza e del rischio caratterizzante l’alea della tipologia contrattuale in esame ha portato il Tribunale partenopeo a dichiararne la nullità. Oggetto di intervento della Corte d’Appello di Trieste (n. 333/2020 cit.) (22) sono alcune scommesse, regolamentate dall’art. 1934 c.c., eseguite on line con riguardo ai risultati di una serie di partite in torneo di calcio messicano. Punto cruciale è la considerazione che le giocate erano avvenute quando gli eventi sportivi erano già conclusi, ma erroneamente ancora ‘aperti’ e suscettibili di scommessa a causa del mancato aggiornamento da parte del concessionario dell’orario, a seguito del passaggio in Italia dall’ora legale all’ora solare; quindi, prima della rettifica dell’orario, le giocate erano apparse come eseguite un’ora prima rispetto a quella in cui erano state effettivamente eseguite e per questo erano state pagate le vincite. La Corte avalla la tesi della nullità dei contratti per mancanza di alea, e perciò di causa, che non sussiste quando l’evento finale oggetto di scommessa è già noto. La Corte pone l’accento, da un alto, sul fatto che le puntate dovevano avvenire entro un orario, sicuramente anteriore alla conclusione dell’evento calcistico oggetto di scommessa e, dall’altro, sul fatto che, nella fattispecie oggetto del suo giudizio, le puntate erano avvenute in orario successivo ed erano state accettate soltanto per errore relativo al mancato adeguamento dell’orario all’ora solare. Ne è così conseguita l’assenza di causa del contratto concluso dalle parti. La stessa Corte di merito si sofferma, poi, sul dictum facente capo a Cass. civ., sez. III, 20 marzo 2012, n. 4371 (pronuncia richiamata dagli scommettitori) che cassava una sentenza che a sua volta aveva rigettato l’eccezione (21) Nella vicenda oggetto di giudizio gli attori innanzi al Tribunale partenopeo asseriscono di essersi vista negare la riscossione della somma vinta a seguito di due scommesse sportive su un evento calcistico chiedendo al Giudice adito di accertare e dichiarare la validità dei loro titoli di gioco per poter così ottenere il pagamento delle vincite. Da parte sua la società convenuta insiste affinché sia accertata la nullità dei contratti di scommessa in questione, per difetto di causa, in quanto aventi ad oggetto avvenimenti sportivi già conclusi e, perciò, ad esiti noti e con vincita sicura. (22) L’appello è avverso la sentenza n. 442/2018 resa dal Tribunale di Gorizia (cit.).
DIRITTO DI INTERNET N. 4/2020
647
GIURISPRUDENZA CIVILE di nullità del contratto di scommessa per l’effettuazione della giocata a corsa di cavalli ormai ultimata ritenendo l’eccezione non provata. Da questa pronuncia della S.C. non si evince il principio secondo il quale l’alea, quale elemento essenziale della scommessa, possa sussistere anche solo soggettivamente, perché la Cassazione ha ritenuto <<non (…) sufficientemente scrutinato, (…), in sede di merito, il profilo causale della convenzione negoziale di scommessa sotto il determinante profilo della sussistenza o meno dell’alea che necessariamente deve integrarne il contenuto. Le circostanze (pacifiche in causa) del tutto anomale, sotto il profilo quantitativo/statistico, delle vincite conseguite dall’odierno resistente avrebbero, difatti, imposto una diversa e più approfondita disamina del profilo della conoscenza soggettiva del risultato delle corse, (…), onde pervenire ad una più corretta ricostruzione del profilo causale del negozio stesso>> La Cassazione cioè – argomentano i Giudici di Trieste - ha esclusivamente censurato l’insufficiente disamina del profilo della conoscenza soggettiva dei risultati, non ponendo alcun principio utile a ritenere che nella scommessa su competizioni sportive l’alea possa essere anche solo soggettiva.
8. Il piano delle conseguenze
Si è già anticipato come una scommessa a palinsesto aperto sia un contratto nullo e, come noto, la nullità riguarda un vizio dell’atto (come lo è anche l’annullabilità) le cui cause sono elencate nell’art. 1418 c.c.. Precisamente il contratto è nullo quando: - è contrario a norme imperative; - difetta di uno dei requisiti indicati dall’art.1325 c.c. ossia l’accordo delle parti, la causa, l’oggetto, la forma se prescritta dalla legge sotto pena di nullità; - la causa o i motivi sono illeciti laddove determinanti per la conclusione del contratto; - l’oggetto del contratto è impossibile, illecito, indeterminato o indeterminabile; - in tutti gli altri casi previsti dalla legge. La nullità è considerata la più grave patologia contrattuale, dato che consiste in una sanzione applicata al verificarsi di vizi collegati alla nascita del contratto. Se la nullità concerne solo una parte o singole clausole del contratto (c.d. nullità parziale), la stessa si estende all’intero contratto, ove risulti che i contraenti non lo avrebbero concluso senza quella parte del suo contenuto (art. 1419 c.c.), fatta eccezione per la sostituzione di diritto delle clausole nulle con norme imperative. L’altra causa di invalidità contrattuale è l’annullabilità: il contratto annullabile, in via di estrema sintesi, produce tutti gli effetti di un contratto valido, ma questi possono venire meno se viene fatta valere con successo l’azione di annullamento.
648
DIRITTO DI INTERNET N. 4/2020
Sono considerate cause di annullabilità del contratto: - l’incapacità di una delle parti (ad es. nel caso di contratti conclusi da minore o incapace di intendere e di volere; ecc.) (art. 1425 c.c.) - il consenso dato per errore, estorto con violenza o carpito con dolo (c.d. vizi del consenso, art. 1427 c.c.). L’errore deve essere essenziale e riconoscibile dall’altro contraente (art. 1428 c.c.); la violenza può anche essere esercitata da un terzo (art. 1434 c.c.); il dolo deve consistere in raggiri usati da uno dei contraenti tali che, senza di essi, l’altra parte non avrebbe prestato il proprio consenso (art. 1439 c.c.). A differenza della nullità, l’annullamento del contratto può essere domandato solo dalla solo dalla parte nel cui interesse è stabilito dalla legge e si prescrive nel termine di cinque anni (Corte App. Reggio Calabria, 4 maggio 2020, n. 368). Queste categorie tradizionali, come innanzi brevemente sintetizzate, sono chiamate ad essere applicate anche, nel settore del gioco on line, in cui – si è detto - operano regole particolari. Raffrontando la raccolta “tradizionale” con quella più “moderna” emerge con evidenza come, se la raccolta tradizionale delle scommesse garantisce l’anonimato dello scommettitore, che può pagare anche in contanti, la raccolta “a distanza”, da parte sua, si pone in termini diametralmente opposti (lo scommettitore è identificato e deve usare il conto gioco per cui i pagamenti sono tutti tracciati e si ha una movimentazione di denaro in tempo reale dall’internet service provider al Totalizzatore Nazionale). Come conciliare l’art. 19, II, D.M. 1 marzo 2006, n. 111 (secondo cui, come anticipato, <<Le scommesse telematiche non possono essere annullate>>) con la normativa codicistica del 1942? Sovviene a tal fine il principio di gerarchia delle fonti per cui la disciplina codicistica prevale su ogni altra disposizione di rango inferiore, come quella ex D.M. n. 111, che è contenuta in un semplice regolamento (App. Roma, sez. III, 17 ottobre 2016, n. 6126). Deve così escludersi che la disciplina regolamentare costituisca un ostacolo alla generale tutela dei contraenti così come stabilita dal codice civile, dovendo interpretarsi la disposizione ex art. 19 nel senso che il negozio regolarmente stipulato è irretrattabile sulla base di elementi sopravvenuti, ed anche per volontà delle parti; ciò anche in considerazione del fatto che il gioco viene gestito in regime di concessione dello Stato (App. Firenze, 11 luglio 2017, n. 1600). La giurisprudenza (23) è poi costante nell’affermare che le norme dei regolamenti ministeriali relativi a concorsi e
(23) Cass. civ., sez. III, 31 marzo 2016, n. 6219; Cass. civ., sez. III, 29 maggio 2013, n. 13434; Cons. Stato, sez. IV, 12 maggio 2010, n. 2841;
GIURISPRUDENZA CIVILE lotterie hanno natura contrattuale (negoziazione pubblico-amministrativa) e, conseguentemente, vanno interpretate secondo i criteri di ermeneutica contrattuale. Indipendentemente dalle modalità – tradizionali o più innovative – di raccolta delle scommesse possono, senza dubbio, le parti incorrere nella cd. fase patologica del rapporto (24). D’altronde è innegabile che il nostro sistema normativo - e la materia delle scommesse non ne è immune- sia informato al principio della gerarchia delle fonti, esemplificativamente (e, qui, senza pretese di completezza) raffigurabile con una piramide al cui vertice vi sono la Costituzione e le leggi costituzionali e via via a scendere le leggi ordinarie, le leggi regionali fino alle norme regolamentari. La disciplina in esame non è estranea al sistema essendo essa, a ben vedere, riconducibile nella più vasta materia dei contratti che, in quanto tale, ha una sua esatta collocazione nel codice civile la cui centralità non viene per il solo fatto che si tratti di scommesse on line.
9. Condanna alle spese e lite temeraria
La tesi che vorrebbe valida ed efficace una scommessa a palinsesto aperto, di fatto, priva di ogni tutela l’operato del settore: quest’ultimo cioè una volta accettate scommesse su eventi già conclusi, ed i cui risultati siano ovviamente noti, non potrebbe far altro che pagare le vincite. La scommessa quindi perderebbe ogni connotazione di aleatorietà per essere certa nei suoi termini operativi: vincita per lo scommettitore e obblighi di pagamento per il concessionario. Può veramente ritenersi accoglibile una tesi di tale genere? È serio avallare comportamenti così gravemente in mala fede degli scommettitori? Orbene, come noto (25) sostenere in giudizio una tesi giuridica del tutto priva di consistenza e fondamenta costituisci di per sé un indice della mala fede o della colpa grave della parte. Agire o resistere in giudizio con mala fede o colpa grave significa infatti azionare la propria pretesa, o resistere a Cass. civ., sez. III, 20 maggio 2009, n. 11696; Cass. civ., sez. III, 20 maggio 2008, n. 23671. (24) In ipotesi di lotteria autorizzata (che, come noto, da luogo ad un vero e proprio contratto produttivo di obbligazioni e di azione in giudizio, secondo la chiara formula di cui all’art. 1935 c.c., in contrapposizione all’art. 1933 c.c.) il gestore ha (anche) l’obbligo di predisporre i mezzi tecnici per l’espletamento della stessa, con la conseguenza che il vizio di tali mezzi tecnici (che si traduca in emissione di biglietti con errori di stampa) non impedisce il sorgere del contratto di lotteria, ma integra un inadempimento contrattuale risarcibile (Cass. civ., sez. III, 5 marzo 2007, n. 5062; Cass. civ., sez. III, 31 luglio 2006, n. 17458). (25) Cass. civ., sez. III, 12 marzo 2015, n. 4930; Cass. civ., sez. VI - 3, Ord., 3 luglio 2019, n. 17814.
quella avversa, con la coscienza dell’infondatezza della domanda o dell’eccezione; ovvero senza aver adoperato la normale diligenza per acquisire la coscienza dell’infondatezza della propria posizione. Se poi è vero che la mera infondatezza in iure delle tesi prospettate in giudizio non può di per sè integrare gli estremi della responsabilità aggravata di cui all’art. 96 c.p.c. (26), tuttavia la palese infondatezza delle tesi prospettate ben può costituire un indizio dal quale risalire, ex art. 2727 c.c., alla responsabilità della parte, quando sostenere quelle tesi significa, nella sostanza, non intelligere quod omnes intelligunt. Un professionista del diritto non può non avvedersi della totale carenza di solidità giuridica della tesi secondo cui alla scommessa non sia (di fatto) sottesa un’alea per le parti, per cui delle due l’una: o lo scommettitore che agisce in giudizio - e per essa il suo legale - ben conoscevano l’insostenibilità della pretesa ed allora hanno agito con dolo, ovvero non ne erano al corrente, ed allora hanno tenuto una condotta gravemente colposa, per non avere acquisito con la diligenza minima di cui all’art. 1176 c.c., la conoscenza di un elementare principio di diritto. È stato più volte affermato (27) che in tema di responsabilità per lite temeraria la condanna esige, sul piano soggettivo, almeno la colpa grave della parte soccombente, la quale sussiste nell’ipotesi di violazione del grado minimo di diligenza che consente di avvertire facilmente l’infondatezza o l’inammissibilità della propria domanda, situazione che deve ritenersi senz’altro sussistente nelle ipotesi qui in esame. Non solo. Occorre fare un cenno anche alle spese processuali per ricordare come, in tale settore, operi il principio secondo il quale le stesse non possono essere poste a carico della parte totalmente vittoriosa, rientrando nel potere discrezionale del giudice di merito, la valutazione dell’opportunità di compensarle in tutto o in parte, sia nell’ipotesi di soccombenza reciproca che in quella di concorso di altri giusti motivi (28). Se quindi la liquidazione delle spese è attività discrezionale del giudice censurabile (oltre che nei casi in cui si deduca la violazione degli artt. 91 e 92 c.p.c.) solo ove risultino violati i parametri legali di riferimento rispetto al valore della domanda ovvero i limiti, massimi o minimi, previsti dalla tariffa (29) resta il dato incontrover-
(26) Cass. civ., sez. un., ord. 11 dicembre 2007, n. 25831 - Rv. 600837; Cass. civ., sez. II, 18 gennaio 2010, n. 654 - Rv. 611060. (27) Cass. civ., sez. VI - 2, ord., 18 giugno 2020, n. 11766. (28) Cass. civ., sez. VI - 3, ord., 31 agosto 2020, n. 18094; Cass. civ., sez. VI-3, ord. 17 ottobre 2017, n. 24502, Rv. 646335-01; Cass. civ., sez. 1, ord. 4 agosto 2017, n. 19613, Rv. 645187-01. (29) Cass. civ., sez. III, 28 febbraio 2019, n. 5798.
DIRITTO DI INTERNET N. 4/2020
649
GIURISPRUDENZA CIVILE tibile che l’art. 92, II, c.p.c. prevede la compensazione delle spese di lite, oltre che nel caso della soccombenza reciproca, soltanto <<nel caso di assoluta novità della questione trattata o mutamento della giurisprudenza rispetto alle questioni dirimenti, il giudice può compensare le spese tra le parti, parzialmente o per intero>>. Deve quindi ritenersi la totale assenza di ogni valida ragione per compensare le spese da parte dei giudici che, a ben vedere, in alcuni casi hanno anche rimproverato (30) gli operatori per il mancato corretto funzionamento del sistema (lo stesso Tribunale di Palermo così osserva: <<... con il proprio comportamento negligente non ha precluso la possibilità di effettuare scommesse su eventi già disputati>>). Ma è possibile muovere un tale rimprovero? O ciò equivale a ritenere sussistenti motivi di rimprovero per un gestore di un impianto di carburante che chieda di essere pagato dagli utenti che, profittando del temporaneo malfunzionamento dell’impianto self abbiano ben pensato di fare il pieno senza pagare (Idem quanto ad un istituto di credito che abbia dovuto fare i conti con un bancomat impazzito che regali soldi)? Le parti di un contratto, anche quando concluso on line, devono sempre improntare i loro comportamenti a regole di correttezza e buona fede tra le quali certamente non può ricondursi l’approfittarsi di un malfunzionamento delle strutture di controparte.
(30) Secondo la sentenza (cit.) resa dal Tribunale di Napoli Nord l’operatore del settore con <<la propria negligenza, consistita nel non aver precluso la possibilità di effettuare scommesse su eventi già disputati, ha creato affidamento in capo ai ricorrenti in merito al loro buon esito>>; così espressamente il Giudice di Nola (ord. cit.) <<Quanto alle spese di lite, si ritiene equo compensarle integralmente tra le parti, in considerazione del comportamento negligente tenuto da omissis, frutto di riconosciuto errore dalla stessa commesso e consistito “nella mancata tempestiva chiusura dell’accettazione delle scommesse” >> (in termini analoghi Trib. Benevento, ord. 18 maggio 2017; Trib. Gorizia, 17 ottobre 2018, n. 442 cit.).
650
DIRITTO DI INTERNET N. 4/2020
GIURISPRUDENZA CIVILE
I social network e il diritto all’ascolto dei (grandi) minori Tribunale di Chieti ; rito civile collegiale; sentenza 21 luglio 2020, n. 403; Pres. Campli; Giud. Rel. Valletta; Giud. Turco. In caso di disaccordo dei genitori quanto alla pubblicazione delle fotografie ritraenti il figlio minore (ma oramai entrato nel diciassettesimo anno di età) sui social network, è obbligatorio sentire quest’ultimo, il cui parere circa l’opportunità di pubblicare materiale afferente alla propria immagine, deve essere espresso in modo esplicito ed è vincolante per i genitori. L’assenza di consenso esplicito obbliga quest’ultimi ad astenersi dalla pubblicazione.
…Omissis… Cenni sul processo e motivi della decisione Parte attorea narra di avere contratto matrimonio concordatario con odierno convenuto il a nel corso del quale è nato il figlio (…). Narra parte ricorrente che il 7/5/15 il Tribunale di Chieti omologò accordo di separazione, e da allora i coniugi non si sono riappacificati. Espone l’istante che dopo la separazione ella e il figlio hanno fissato residenza presso i genitori di lei; narra di atteggiamenti del convenuto – in punto di regolazione delle frequentazioni paterne – che non collimano con gli interessi della prole minore, anche (ma non solo) con riferimento a non opportune pubblicazioni di sue foto sui profili social del convenuto. Chiede l’istante dichiararsi la cessazione di effetti civili del matrimonio concordatario “de quo”, con affidamento congiunto della prole a entrambi i genitori, permanenza stabile presso la madre e regolazione delle frequentazioni paterne; con assegno di mantenimento della prole stessa da aumentarsi con riferimento alle crescenti necessità. Parte convenuta reclama il forte legame affettivo maturato con il figlio; lamenta anche egli inopportune pubblicazioni di foto del figlio su profili social della ricorrente; argomenta su proprie difficoltà economiche che a suo dire rendono possibile richiesta di assegno cd. divorzile per € 200,00 mensili; richiama accordo di separazione che prevedeva obbligo della ricorrente alla restituzione di € 13.600,00. Chiede dichiararsi la cessazione di effetti civili del matrimonio concordatario “de quo”, con affidamento congiunto della prole a entrambi i genitori, permanenza stabile presso la madre e regolazione delle frequentazioni paterne; con assegno cd. divorzile in proprio favore per € 200,00 mensili; con condanna di controparte alla immediata restituzione della somma di € 13.600,00 come da accordo di separazione; con divieto alla ricorrente di pubblicazione di foto del minore sui social network. …Omissis… Il Giudice istruttore ha proceduto ad audizione del minore, come richiesto; con ordinanza del 27/02/19 ha ammesso prova documentale.
…Omissis… Quanto alla questione della pubblicazione di foto del minore, va prescritto a entrambi i genitori di astenersi da dette pubblicazioni in assenza di consenso esplicito dell’interessato (ormai entrato nel diciassettesimo anno di età). Proprio l’età del minore consente una regolazione delle frequentazioni paterne altamente elastica, con il principio di base della libera frequentabilità del padre da parte del minore, e con il principio che il padre assecondi le esigenze del minore stesso, di carattere sociale e di studio. Il tribunale quindi fissa solo la misura minima della frequentazione e dispone la seguente regolazione, sempre derogabile con accordo delle parti: in un contesto di libere frequentazioni paterne (da concordarsi tra le parti nell’interesse della prole, anche con riferimento alle esigenze di socializzazione e di istruzione dei ragazzi, da assicurare anche nell’orario di frequentazione) il padre potrà prelevare e tenere con sé il figlio: …Omissis… P.Q.M. Il Tribunale di Chieti, pronunciando - nel contraddittorio delle parti e in composizione collegiale – nella causa civile iscritta al n° 2021/17 R.G.A.C.C. così dispone: dichiara la cessazione degli effetti civili del matrimonio concordatario contratto a (…) il (…) tra (…) e (…); ordina al Comune di (…) annotazione della sentenza “de quo” al suo passaggio in giudicato; conferma le statuizioni essere in ordine alla prole minore, si come rese dal presidente del tribunale ed emendate dalla Corte d’Appello di l’Aquila, ad eccezione della regolazione delle frequentazioni paterne, che fissa nei termini di cui in motivazione, da intendersi qui trascritti; ordina a entrambe le parti di astenersi da dette pubblicazioni in assenza di consenso esplicito del figlio (minore ma ormai entrato nel diciassettesimo anno di età); rigetta ogni altra richiesta; compensa le spese. …Omissis…
DIRITTO DI INTERNET N. 4/2020
651
GIURISPRUDENZA CIVILE
IL COMMENTO
di Simona Ghionzoli Sommario: 1. Introduzione 2. Adulti e minori. Analisi dei dati sui cd. nativi digitali e migranti digitali 3. Minori, grandi minori e responsabilità dei genitori. Presenza o assenza educativa? 4. Il diritto all’ascolto del minore e il discernimento 5. I minori e la privacy. Il Codice della privacy e il reg. UE / 2016 / 679 / GDPR. Cenni sul cd. cyberbullismo. Ammesso sia vero che come accade nella realtà off line anche al web e al digitale sono da ascriversi componenti materiali oltre che immateriali, i Giudici del Tribunale di Chieti sembrano non preoccuparsi dei concreti effetti e dei profili risarcitori, che secondo i luoghi comuni possono dipendere da condotte più o meno prudenti nella rete. Quest’ultimi sono piuttosto più attenti al diritto all’ascolto dei figli che si avvicinano alla maggiore età, i cd. grandi minori, ritenuti idonei a gestire la propria immagine sui social network e dunque deputati ad autorizzare i genitori all’uso e alla pubblicazione delle immagini che li riguardano. Il parere del (grande) minore è, pertanto, obbligatorio e vincolante, anche quando in gioco ci sono valori afferenti alla privacy e alla proiezione della propria immagine on line. Assuming it is true that as happens in offline reality, material as well as immaterial components must also be recognized for the web and digital, the Judges of the Court of Chieti do not seem to be concerned about the material effects and compensation profiles, which according to clichés, may depend on, more or less prudent conduct on the web. Rather the judges seem concerned with the right of children who are approaching the age of majority, the so-called “grandi- minori” to be heard. These children are deemed suitable to manage their own image on social networks and therefore empowered to authorize parents on how to use and publish images concerning them. The opinion of the “grandi-minori” is, therefore, mandatory and binding, even when at stake there are values relating to privacy, identity and the projection of one’s image online.
1. Introduzione
Ammesso sia vero che come accade nella realtà off line anche all’web e al digitale sono da ascriversi componenti materiali oltre che immateriali, con questa sintetica decisione, i Giudici del Tribunale di Chieti sembrano non preoccuparsi dei concreti effetti e dei profili eventualmente risarcitori, in caso di danni patrimoniali e non patrimoniali, che secondo i luoghi comuni possono dipendere da condotte più o meno prudenti all’interno dei social, frequentati non solo dai cd. nativi digitali, ai quali l’A.G. sembra dare fiducia, ma anche dai cd. migranti digitali ovvero i loro genitori. Virtuale è reale recita il Manifesto della Comunicazione non ostile (1) e a parere dell’A.G. il minore che ha raggiunto il diciassettesimo anno di età sembra avere conseguito non solo discernimento, ma anche consapevolezza digitale, in grado di renderlo credibile e in grado di gestire autonomamente la propria immagine social e dunque autorizzare in modo esplicito la pubblicazione di materiale che lo riguarda. Ma con la sentenza in parola si fa un salto ulteriore in avanti perché non solo l’ultima parola spetta al minore, ma il parere di quest’ultimo sembra divenire oltre che obbligatorio anche vincolante. Ma cosa distingue allora l’interesse del minore in argomento da quello degli altri minori, dei quali giurisprudenza, dottrina, legislatore (2) e addirittura sociologia
652
e psichiatria si occupano e si preoccupano, soprattutto quando ad essere coinvolti sono i social network? La sentenza, con evidente intento teso a superare un approccio proibizionistico e ideologico al problema minori e internet, sembra ribadire due principi. Il primo che riguarda il diritto del minore ad essere sentito in tutti i procedimenti che lo riguardano; il secondo inerente, invece, al riconoscimento in capo al medesimo di capacità di discernimento, che in certi campi, come quello inerente all’idoneità a gestire la propria immagine sui social, si sviluppa in relazione all’età. In tal senso sembrerebbe andare la sentenza in argomento quando stigmatizza in più punti che il minore ha compiuto il diciassettesimo anno di età. Mutano i tempi allora, ma le problematiche inerenti alla responsabilità genitoriale e ai minori sono le solite. Ieri il motocross (3) oggi la crossmedialità e la capacità educativa dei genitori, non si misura sul tempo in cui avviene la vigilanza, ma sulla capacità di trasmettere un insieme di valori, in grado di rendere sempre più autonomi gli adolescenti e dotarli di adeguati strumenti di conoscenza, che li rendano sempre più consapevoli con l’avvicinarsi della maggiore età. Su tale presupposto si giustifica la decisione dei Giudici di Chieti, che in relazione ad un periodo molto particolare come quello dell’adolescenza, in cui è in corso di elaborazione e si definisce l’identità, apre all’autonomia del minore anche quando ad entrare in gioco sono
(1) Il testo del Manifesto è consultabile all’indirizzo <http://www.paroleostili.com>.
il contrasto al fenomeno del cyberbullismo>>.
(2) Il riferimento va alla l. 29 maggio 2017, n. 71, con la quale sono state introdotte <<Disposizioni a tutela dei minori per la prevenzione ed
(3) Maschio, Responsabilità ex art. 2048 c.c. e grandi minori, in Dir. fam. e pers., 1988, 875 ss..
DIRITTO DI INTERNET N. 4/2020
GIURISPRUDENZA CIVILE beni afferenti alla persona, meritevoli di particolare tutela, quali privacy, sicurezza, tutela dell’immagine, che potrebbero essere seriamente compromessi da condotte connotate da imprudenza e ingenuità e dunque risultare lesive dell’immagine del minore proiettata sul sociale e sui social (4). Discernimento, ascolto e autodeterminazione del minore divengono, dunque, le parole chiave della decisione de quo, che sembra riporre fiducia nei minori, cd. nativi digitali, il cui consenso sarà dirimente rispetto alle condotte dei loro genitori, cd. migranti digitali.
2. Adulti e minori. Analisi dei dati sui cd. nativi digitali e migranti digitali
Le dipendenze tecnologiche (cd. sindrome degli Hikikomori) sono un fenomeno che in Italia coinvolge circa 120.000 adolescenti (5). J.M. Twenge, autrice del testo <<Iperconnessi>> (6), ha offerto un interessante contributo per classificare e spiegare il fenomeno delle dipendenze tecnologiche, vista la difficoltà nel reperimento di informazioni, in grado di fornire un’esatta fotografia del fenomeno, come sottolineato anche dall’AGIA (7). La percentuale di suicidio nel 2015, infatti, risulta aumentata del 46% rispetto al 2007; tra i ragazzi utilizzatori di cellulare e/o internet il 5,9 % denuncia di avere subito ripetutamente azioni vessatorie tramite sms, e mail, chat o sui social network (8). Si riscontra un aumento delle denunce di bullismo on line da 235 nel 2016 a 347 nel 2017 (9). Da un’indagine di Skuola.net svolta nel 2017 su un campione di 7000 studenti, il 77% tra coloro che hanno
(4) Connessioni problematiche o patologiche possono ravvisarsi ad es. per il grooming, le scommesse on line, il gioco d’azzardo on line, i video giochi, il cyberbullismo, il sesso on line, che vanno a confermare pensieri facilmente deteriorabili in condotte criminose quali ad es. lo stalking ex art. 612 bis c.p., il trattamento illecito di dati personali ex art. 167 d.lgs 196/2003; la diffamazione aggravata ex art. 595, 3° co, c.p., l’adescamento di minorenni ex art. 609 undecies c.p., introdotto dalla Convenzione di Lanzarote, ratificata in Italia con l. 01 ottobre 2012, n. 172, i reati di cui agli artt. 600 c.p., 600 bis c.p., 600 ter c.p., 600 quater c.p., relativi al materiale pornografico e pedopornografico, l’estorsione ex art. 629 c.p., oltre all’art. 610 c.p., che disciplina la violenza privata e all’art. 660 c.p. che disciplina la molestia o il ricatto. (5) Amendola – Gigli - Monti, Adolescenti nella rete. Quando il web diventa una trappola, Roma, 2018, 52. (6) Twenge, Iperconnessi. Perché i ragazzi oggi, crescono meno ribelli, più tolleranti, meno felici e del tutto impreparati a diventare adulti, Torino, 2018, 388. (7) In <<Relazione al parlamento dell’Autorità garante per l’infanzia e l’adolescenza, 3 Le sfide per la scuola e le politiche educative>>, 2019, 88. (8) Facci – Valorzi - Berti, Cyberbullismo, guida completa per genitori, ragazzi e insegnanti, Trento, 2017, 14. (9) Amendola – Gigli - Monti, op. cit., 77.
affermato di essere state vittime di cyberbullismo, ha dichiarato di sentirsi triste e depresso, l’11% di avere tentato il suicidio, il 50% di avere pensato al suicidio, il 50% di avere praticato atti di autolesionismo e il 62% di essere stato vittima di bullismo (10). Se i dati che interessano gli adolescenti dovrebbero preoccupare Giudici, scuola e famiglie, non meno significativi sono quelli che riguardano gli adulti e che giustificherebbero in qualche modo la scelta del Tribunale di Chieti. Il 37% degli over quarantacinque usa i social network per colmare un vuoto affettivo e relazionale e dato ancora più preoccupante che il 28% di questi ha, tra i propri contatti, adolescenti che conosce personalmente (11), circostanza che conferma l’assioma iniziale ovvero che virtuale, reale e materiale sono concetti che coincidono tra loro laddove i comportamenti non risultano connotati da prudenza e responsabilità. Da un’indagine condotta da alcuni sociologi risulta, inoltre, che Instagram è il social più diffuso tra gli adolescenti, laddove il popolare Facebook è frequentato da un’utenza più adulta (12).
3. Minori, grandi minori e responsabilità dei genitori. Presenza o assenza educativa?
Sappiamo molto bene che gli oneri educativi di cui all’art. 147 c.c. e 315 bis c.c., 30 e 31 Cost., si sostanziano anche in un obbligo di vigilanza, da svolgersi nell’interesse del minore, ma anche di terzi verso i quali possono essere commessi degli illeciti. Tale obbligo non potrà mai essere continuo e costante nel tempo, soprattutto laddove le condotte del minore si consumano in ambienti con una relatività dello spazio e del tempo molto ampia, come quella on line. Ancora di più se deve esercitarsi su un minore vicino alla maggiore età, la cui autonomia risulta quasi del tutto acquisita. Ma allora se vigilare sempre è impossibile, soprattutto in ambienti isolati come quello dei social, non sarà sufficiente un impegno educativo fatto di presenza continua e costante accanto al minore. La vigilanza assumerà significato in senso relativo e non assoluto, come sembra affermare una datata, ma pur sempre avanzata giurisprudenza, che in realtà anticipa i mutamenti sociali, che sarebbero intervenuti con l’avvento dei social (13).
(10) Amendola – Gigli - Monti, op. cit., 91. (11) Ziccardi – Perri, Tecnologia e Diritto Fondamenti d’informatica per il giurista, Milano, 2017, 315 s.. (12) Pira - Altinier, Giornalismi, La difficile convivenza con fake news e misinformation, Padova, 2018. (13) In tal senso Cass., 24 maggio 1994, n. 5063 in Giust. Civ. Mass., 1994, 707.
DIRITTO DI INTERNET N. 4/2020
653
GIURISPRUDENZA CIVILE Avere impartito una sana educazione e avere effettuato una vigilanza adeguata all’età rappresenta il discrimine e il confine tra ciò che può dirsi buona o cattiva educazione, impegno, in grado, tra l’altro, di contenere l’intensità della responsabilità - per una parte della dottrina addirittura riconducibile all’alveo della responsabilità oggettiva (14) - dei genitori ex art. 2048 c.c. (15), laddove l’illecito sia commesso dai minori nell’ambito della propria sfera di autonomia. L’impegno dei genitori dovrà concentrarsi, dunque, nell’impartire un’educazione e un’istruzione consone alle condizioni sociali e famigliari oltre che ad avere vigilato e questo al fine non tanto di controllare l’operato dei figli, ma anche per verificarne l’effettiva assimilazione, che assumerà ancora più rilievo nei momenti del tempo libero. E’ in tale ambito, infatti, in cui a prevalere e a manifestarsi in modo più visibile sono le qualità e la formazione umana ricevute, nel senso che la formazione si giocherà su piani ulteriori e svincolati dai meri aspetti sociali (legati ad es. al rendimento scolastico), ma andrà a riguardare anche aspetti culturali e più intimi della persona. Quest’ultima assumerà ancora più rilievo in ambienti particolarmente problematici come i social, entro i quali, privacy, sicurezza, immagine e identità sono beni individuali particolarmente esposti e meritevoli di precise tutele giuridiche. Laddove vi sia stata un’educazione omogenea e completa (16) in grado di fornire al minore strumenti di conoscenza emotiva e affettivi validi, tanto più quest’ultimo sarà in grado di difendersi dalle insidie della rete e dissociarsi da atteggiamenti di gruppo dei propri coetanei non corretti, assumendo un profilo realmente autonomo. Per la giurisprudenza sia di legittimità che di merito (quest’ultima più recente), infatti, risulta irrilevante che l’illecito sia stato compiuto fuori dalla sfera di controllo del genitore. In base a tale assunto non è sufficiente per il genitore dimostrare di non avere potuto impedire materialmente il fatto del figlio, perché commesso non in sua presenza; occorre invece provare che al minore è stata impartita una sana educazione e che è stata svolta nei suoi confronti una vigilanza adeguata all’eta’.
(14) Carleo, La responsabilità dei genitori ex art. 2048 c.c., in Riv. Dir. Civ., 1979, II, 125; Torrente - Schlesinger, Manuale di diritto privato, Milano, 1975, 647 ss; Jannarelli, La responsabilità civile, in Bessone (a cura di), Istituzioni di diritto privato, Torino, 1994, 913 ss. (15) Cassano, Ragazzini cyberbulli? Condannati i genitori ad un cospicuo risarcimento (a proposito di Tribunale di Sulmona, 9 aprile 2018, n. 103), in Dir. fam. e pers., 2019, I, 331 ss.. (16) Cass. Civ., 10 novembre 1970, in Rep. Foro It. Rep., C2547, n. 187.
654
DIRITTO DI INTERNET N. 4/2020
Conseguentemente da ciò si deduce che non occorre la presenza fisica e continua accanto al minore, destinata, tra l’altro, a diminuire con la crescita e l’acquisizione di identità e autonomia, ma ciò che rileva è l’assenza costituita dalla disattenzione, scarsa capacità emotiva e affettiva, che si traducono in assenza educativa (17). In questo quadro alcuni autori si chiedono se abbia un senso parlare di responsabilità dei genitori diretta e non sia più realistico e meno ipocrita parlare di responsabilità oggettiva per rischio tipico e da status (18). Così procedendo, tuttavia, ovvero sbilanciando l’attenzione sul terreno del cd. onere di vigilanza anziché di quello educativo, si farebbe perdere importanza al significato della presenza, non intesa in senso meramente fisico. Un richiamo specifico, invece, deve farsi anche verso la cosiddetta presenza psichica nei termini anzidetti.
(17) Cfr. in tal senso Trib. Teramo, 16 gennaio 2012, n. 18, in Giurisprudenza locale Abruzzo, 2012, secondo cui << il genitore che acconsente all’accesso del proprio figlio minore in rete, essendo consapevole dei pericoli della navigazione, sarebbe responsabile della condotta del figlio>>. <<La sua attività di vigilanza, in quel contesto, dovrebbe concretizzarsi in una limitazione quantitativa e qualitativa dell’accesso in internet per evitarne il cattivo uso>>. <<I genitori dei minori naturalmente capaci di intendere e volere, per andare esenti dalla responsabilità di cui all’art. 2048 c.c., devono positivamente dimostrare non solo di avere adempiuto all’onere educativo tramite l’indicazione alla prole di regole, conoscenze o moduli di comportamento nonché nel fornire gli strumenti indispensabili alla costruzione di relazioni umane effettivamente significative per la migliore realizzazione della loro personalità, ma anche di avere poi effettivamente e concretamente controllato che i figli abbiano assimilato l’educazione loro impartita>> e Trib. Sulmona, 9 aprile 2018, n. 103, in Dir. fam. e pers., 2019, 1, I, 185 per cui i genitori possono dire di avere adempiuto all’obbligo di educare la prole <<attraverso lo sviluppo nella stessa di un’adeguata capacità critica e di discernimento>>. (18) Cassano, op. cit., 338 ss.. Patti, L’illecito del quasi maggiorenne e la responsabilità dei genitori: il recente indirizzo del Bundesgerichtshof, in Riv. Dir. Comm., 1985, 27 ss.. Secondo l’autore <<La norma sulla responsabilità dei genitori, inizialmente concepita come pendant dell’autorità che il padre esercitava sui figli minori e dei benefici che spesso traeva dal loro lavoro, svolge oggi una funzione di garanzia dei terzi esposti al rischio dell’illecito del minore, riconducibile al noto processo che ha visto divenire la responsabilità un sistema di tutela del danneggiato, superando antiche visioni che al risarcimento del danno assegnavano soprattutto una funzione retributiva e punitiva. Una giurisprudenza che apparentemente dibatte sulla validità dei sistemi educativi a cui è costretto aggrapparsi il genitore per giustificare la mancanza di sorveglianza dovuta ad una sua assenza, o finge di credere alle effettive possibilità di trovare sempre persone idonee a cui affidare i minori durante l’orario di lavoro, si dimostra in definitiva in grave ritardo rispetto all’evoluzione dei rapporti familiari e della funzione della responsabilità civile nella società moderna. Il tramonto del principio autoritario nei rapporti tra genitori e figli, il diritto di quest’ultimi a vedere rispettate le loro scelte e le loro inclinazioni (art. 147 c.c.), il mutato ruolo della donna, sovente chiamata a svolgere un’attività extradomestica, impongono una profonda riflessione sull’adeguatezza dell’art. 2048 c.c. e di un orientamento giurisprudenziale che, imperturbabile, non compie il necessario collegamento tra la norma sulla responsabilità dei genitori e il nuovo regime dei rapporti familiari, non tenendo conto pertanto dei mutamenti e delle esigenze che hanno determinato la legge di riforma>>.
GIURISPRUDENZA CIVILE Recuperare il concetto di discernimento significa, quindi, valorizzare l’autodeterminazione dei figli e attenuare la responsabilità dei genitori, che andrebbe scemando verso il raggiungimento della maggiore età di quest’ultimi, imponendo ai primi soltanto la prova di una buona educazione e non la prova della mera vigilanza, quanto per esempio all’assolvimento dell’onere della prova liberatoria ex art. 2048 terzo comma c.c. (19), in caso di commissione di illeciti da parte del minore. Riconoscere maturità in capo al minore in relazione alla sua età e alle sue competenze, come possono essere quelle legate alla conoscenza del digitale, significa affermare un impegno educativo basato su una scommessa valoriale protratta e graduale nel tempo, anziché su un controllo capillare e costante. Solo laddove essa sia carente e quindi caratterizzata da un’assenza non solo fisica, potranno trovare terreno fertile la commissione di illeciti e/o comportamenti irresponsabili, imprudenti o ingenui. Ciò sarebbe in linea, tra l’altro, con le normative di altri paesi europei, quali Germania, Austria, Francia, Inghilterra, che hanno fatto un distinguo tra “grandi minori” e “minori” veri e propri (20). L’ordinamento austriaco usa un lessico suddiviso per fasce di età per qualificare lo status rispettivamente di minore, minore vero e proprio, bambino, il cui discrimine è rappresentato dalla capacità di discernimento, che va ad aumentare fino ad arrivare alla pienezza della capacità di agire sino alla maggiore età. La Francia, inoltre, attraverso la via giurisprudenziale, ha recepito la differenza tra grandi minori e minori veri e propri, al fine di scongiurare la responsabilità dei genitori per l’illecito compiuto dal figlio minore. In Germania la Regolamentazione del diritto alla cura dei genitori, cd. Neuregelung des Rechts der elterlichen Sorge, ha attribuito rilievo allo sviluppo della personalità del minore e ha riconosciuto il suo diritto di agire in base a scelte autonome laddove, al contrario, i poteri del genitore variano in relazione allo spazio libero concesso dalla legge al minore (21). Che la vigilanza debba essere commisurata all’età oltre che al profilo personale e al livello di maturità raggiunto del minore è un concetto che oltre avere trovato un suo riconoscimento nella legislazione europea e in dot-
(19) Il combinato disposto dei commi uno e tre dell’art. 2048 c.c. stabilisce che il padre la madre o il tutore sono responsabili del danno cagionato dal fatto illecito dei figli minori non emancipati o delle persone soggette alla tutela che abitano con essi. Sono liberate dalla responsabilità soltanto se provano di non aver potuto impedire il fatto. (20) Maschio, op. cit., 877. (21) Patti, op. cit., 28.
trina (22), ha trovato diritto di cittadinanza nella giurisprudenza, all’inizio di merito, progressivamente anche di legittimità (23).
4. Il diritto all’ascolto del minore e il discernimento
La risposta legislativa più efficace quanto al problema della demarcazione delle linee di confine tra “minori” e “grandi minori” è riscontrabile sicuramente nel diritto all’ascolto, entro cui trova espresso riconoscimento il concetto di discernimento, che seppure indirettamente è stato riproposto con la sentenza in commento. Nel quadro delineato nel paragrafo 3 di questo commento diviene essenziale, non solo vietare e proibire, ma diffondere e sensibilizzare i ragazzi ad un uso corretto e consapevole di internet e della tecnologia ed ai diritti/doveri connessi alle tecnologie informatiche (24). La violazione del dovere di vigilanza e di obblighi specifici a tutela di una pluralità di interessi costituzionalmente protetti dall’art. 2 Cost. e connessi alla personalità del minore, quali reputazione, riservatezza, onore, immagine, configurerebbero, dunque, ipotesi di inadempimento dei doveri connessi alla responsabilità genitoriale, a fronte dei quali, i Tribunali spesso ordinano la rimozione delle immagini lesive oltre che il pagamento di sanzioni e nei casi più gravi dispongono l’allontanamento del minore dalla famiglia (25). Il Tribunale di Chieti demandando l’autorità a decidere direttamente in capo al minore, sembra, quindi, andare ad interpretare in modo letterale e univoco l’elaborazione degli articoli della Carta Costituzionale e l’evoluzione delle fonti normative internazionali, per cui il mino-
(22) La Corte Suprema Tedesca ha affermato che <<il genitore non può considerarsi solidalmente responsabile dei danni causati dal figlio ormai prossimo al compimento della maggiore età.>>. Patti, op. cit.. (23) Cass., 6 maggio 1986, n. 3031, in Giur. it., 1986, I, 1526. (24) Cfr. art. 5, comma 4, l. n. 71 del 2017, per cui <<conformemente a quanto previsto dalla lettera H del comma 7 dell’art. 1 della legge 13 luglio 2015, n. 107, le istituzioni scolastiche di ogni ordine e grado, nell’ambito della propria autonomia e nell’ambito delle risorse disponibili a legislazione vigente, promuovono l’educazione all’uso consapevole della rete internet e ai diritti e doveri connessi all’utilizzo delle tecnologie informatiche, quale elemento trasversale alle diverse discipline curricolari, anche mediante la realizzazione di apposite attività progettuali aventi carattere di continuità tra i diversi gradi di istruzione o di progetti elaborati da reti di scuole in collaborazione con enti locali, servizi territoriali, organi di polizia, associazioni ed enti>>. (25) Cfr. Trib. min. Caltanisetta, 8 ottobre 2019, disponibile in <http:// www.laleggepertutti.it>, che ha ribadito che <<laddove l’utilizzo dei mezzi offerti dalla società dell’informazione avvenga in modo da ledere la dignità dei minori e di terzi, ciò può essere sintomatico di una scarsa educazione e vigilanza da parte dei genitori, tenuti non solo ad impartire un’educazione consona alle proprie condizioni socio-economiche, ma anche a verificare e controllare l’effettiva acquisizione di quei valori>>.
DIRITTO DI INTERNET N. 4/2020
655
GIURISPRUDENZA CIVILE re diventa soggetto di diritto e vede ivi riconosciuto il suo status di cittadino. Il richiamo principale è alla Convenzione di New York sui diritti del fanciullo adottata il 20 novembre 1989 e ratificata dall’Italia con l. del 27 maggio 1991, n. 176, in cui si riconosce sia il diritto del minore ad esprimere liberamente la propria opinione su ogni questione che lo interessa (opinione che dovrà essere presa in considerazione tenendo conto della sua età e del suo livello di maturità) (art. 12) sia il diritto all’ascolto in ogni procedura giudiziaria e amministrativa. Il diritto alla libertà di espressione è contenuto nella Carta dei diritti fondamentali dell’Unione Europea proclamata a Nizza il 7 dicembre 2000, che al pari del Regolamento C.E. n. 2201/2003 relativo alla competenza, al riconoscimento e all’esecuzione delle decisioni in materia matrimoniale e in materia di responsabilità genitoriale e della Convenzione dell’Aja del 25 ottobre 1980 sugli aspetti civili della sottrazione internazionale del minore, ribadisce il diritto all’ascolto e alla consultazione del minore laddove in possesso di <<maturità>> (26). La considerazione del bambino quale titolare di diritti trova, infine, un riscontro anche nella Convenzione europea sull’esercizio dei diritti dei minori firmata a Strasburgo il 25 gennaio 1996, che riconosce diritti processuali specifici al fanciullo, agevolandone l’esercizio e rafforzandone la tutela attraverso l’istituzione di appositi organismi di garanzia (Cd. Ombudsperson for children), similarmente alle altre forme di cittadinanza (27). Il Codice tedesco attribuisce importanza al dialogo, quale momento necessario dell’assistenza ed educazione del figlio, la cui opinione ha un peso laddove vi sia un adeguato grado di sviluppo (28). La maturità che è alla base del discernimento trova un’adeguata collocazione oltre che nel codice italiano e tedesco anche in quello francese, che fa un espresso riferimento al dialogo quale parte qualificante del rapporto tra genitori e figli (29) e distingue tra minori e grandi minori.
(26) Volpini, Valutare le competenze genitoriali, Teorie e tecniche, Roma, 2017, 56 ss. (27) Ghionzoli, Il diritto all’ascolto: la partecipazione e la consultazione come evoluzione dello status e dell’interesse del minore, tra giurisprudenza di legittimità, fonti interne e convenzioni internazionali, in Familia, Il diritto della famiglia e delle successioni in Europa, all’indirizzo <http://www.rivistafamilia.it>. (28) Bianca, Diritto Civile, 2.1 La Famiglia, Milano, 2017, 372. (29) Bianca, op. cit., 371, che cita testualmente il codice francese <<les parents associent l’enfant aux decisions qui le concernent, selon son age et son degré de maturité>>.
656
DIRITTO DI INTERNET N. 4/2020
Il Reg. CE 2201/2003 stabilisce l’obbligo di ascolto del minore in caso di illecita sottrazione da parte del genitore e ai fini del rientro (30). Nel nostro ordinamento, la normativa che per la prima volta ha disciplinato l’ascolto del minore è quella relativa alle procedure di adottabilità, che parla di obbligatorietà dell’ascolto anche dell’infra dodicenne dotato di discernimento; successivamente sono intervenuti gli artt. 336 bis e 337 octies c.c., introdotti dalla l. 10 dicembre 2012 n. 219 recante la riforma della filiazione, che dispongono il medesimo obbligo in tutti i procedimenti che riguardano il minore e non solo nei procedimenti di separazione e di affidamento. Tale obbligo può omettersi solo nel caso in cui il giudice lo ritenga manifestamente superfluo o in contrasto con gli interessi del minore. Sulla stessa linea, l’art. 4 della l. 1 dicembre 1970, n. 898 (l. divorzio), che dispone l’ascolto sin dalla prima udienza di comparizione, superabile solo in caso di incapacità di discernimento. Violare il diritto all’ascolto e alla consultazione del minore significa violare il preminente interesse del minore, che trova tutela nelle fonti normative interne e internazionali, secondo cui alle opinioni del minore deve essere dato il giusto peso in relazione alla sua età e maturità. L’ascolto diviene, dunque, un momento di scambio e di condivisione di valori e scelte, dove il punto di vista del minore e dei figli sembrano assumere sempre più carattere di vincolatività, obbligatorietà e rilevanza per operatori e famiglie. Il dialogo quale momento qualificante del rapporto genitori e figli, è contenuto negli artt. 147 (31) c.c. e 315 (32) bis c.c., dai quali emerge che l’ordinamento mette al centro il minore nella costruzione del progetto educativo e conferisce sempre più peso alla personalità di quest’ultimo nei rapporti famigliari. Le scelte lessicali quali <<maturità>> e <<discernimento>> delle fonti di diritto interno e internazionale nonché l’obbligo del magistrato di motivare l’omissione dell’ascolto e la mancata considerazione del parere
(30) Bianca, op. cit., 372, <<Il minore deve essere ascoltato “se ciò non appaia inopportuno in ragione della sua età e del suo grado di maturità” (art. 11 comma 2°)>>. (31) Art. 147 c.c.: << Il matrimonio impone ad ambedue i coniugi l’obbligo di mantenere, istruire, educare e assistere moralmente i figli, nel rispetto delle loro capacità, inclinazioni naturali e aspirazioni, secondo quanto previsto dall’art. 315 bis >>. (32) Art. 315 bis c.c.: <<Il figlio ha diritto di essere mantenuto, educato, istruito e assistito moralmente dai genitori, nel rispetto delle sue capacità, delle sue inclinazioni naturali e delle sue aspirazioni …. Il figlio minore che abbia compiuto gli anni dodici, e anche di età inferiore ove capace di discernimento, ha diritto di essere ascoltato in tutte le questioni e le procedure che lo riguardano>>.
GIURISPRUDENZA CIVILE espresso dal minore, affermato in giurisprudenza confermano tale tesi. Da una disamina degli orientamenti più recenti, infatti, sembrerebbe addirittura assumersi in via presuntiva una capacità di discernimento del minore, anche se infra dodicenne, si da responsabilizzare sempre di più magistrati, operatori e famiglie, chiamati a motivare decisioni che si discostano dalle opinioni espresse da quest’ultimi. L’eventuale omissione non sorretta da un’espressa motivazione sull’assenza di discernimento, infatti, costituisce violazione del principio del contraddittorio e dei diritti del minore (33), che produce la nullità del procedimento, per violazione dei principi dell’integrità del contraddittorio e del giusto processo ai sensi dell’art. 111 Cost. e dell’art. 6 Conv. eur. dir. umani, firmata dal Consiglio d’Europa il 24 novembre 1950 (34), essendo il minore parte sostanziale del procedimento, in quanto portatore di interessi non sempre coincidenti con quelli dei genitori, come nel caso concreto in commento (35). In questo modo sebbene il minore sia privo di capacità di agire, mantiene intatte alcune prerogative che lo riguardano e soprattutto viene esteso il campo entro il quale il minore può valutare personalmente i propri interessi, come nel caso della tutela dell’immagine sui social, sottraendo discrezionalità in capo ai genitori. In questa prospettiva ai figli viene riconosciuta una progressiva autonomia, ma anche una effettiva e pari dignità rispetto agli adulti, conformemente all’art. 3 della Costituzione e del principio di eguaglianza formale e sostanziale.
5. I minori e la privacy. Il Codice della privacy e il Reg. UE / 2016 / 679 / GDPR. Cenni sul cd. cyberbullismo, l. 29 maggio 2017, n. 71
Se è vero che l’impegno educativo dovrà rispondere a canoni di completezza e omogeneità e toccare tutti gli aspetti della persona, soprattutto quando ad entrare in gioco sono valori quali privacy, decoro, immagine, identità, che nella rete assumono un significato ancora maggiore e sono maggiormente esposti a rischi di lesione, la decisione del Tribunale di Chieti può spiegarsi sia in ragione di quanto affermato nei precedenti paragrafi
(33) Cass. 24 maggio 2018, n. 12957 consultabile in <http://www.ilfamiliarista.it>. (34) L’art. 6, Conv. Eur. dir. umani, sul diritto della persona all’equo processo viene espressamente richiamato in Cass. 7 aprile 2019, n. 10774, reperibile in <http//www.cassazione.net>, quale riferimento normativo la cui violazione giustifica il rinvio operato dai giudici di legittimità al Giudice di merito affinché <<espletato l’ascolto del minore infra dodicenne ne sia valutato e deciso l’affidamento e la sua collocazione>>, ritenendo la sua omissione <<inadempimento previsto a pena di nullità>> . (35) Cass., Sez. Un., 21 ottobre 2009, n. 22238 in Foro it., 2010, III, e Cass. 24 maggio 2018, n. 12957, cit..
ovvero trovare una giustificazione nella rilevanza attribuita dall’ordinamento al minore e al grande minore sia nel quadro legislativo vigente in materia di privacy e con le disposizioni della l. n. 71 del 2017, che si occupa di cyberbullismo. I concetti di privacy, identità e immagine, quali diritti della persona, la cui lesione comporta un risarcimento del danno, viene ribadito dalla giurisprudenza costituzionale oltre che dall’art. 1 comma 2, l. n. 71 del 2017 (36). La normativa sulla privacy attualmente in vigore interessa soprattutto il cd. “grande” minore e i Giudici di Chieti sembrano avere ben presente e tenere in considerazione l’art. 8 del Reg. UE 2016/679 (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/ CE, che fissa, con esclusivo riguardo ai servizi offerti dalla società dell’informazione, a sedici anni l’età in cui il minore acquista la capacità per prestare il consenso al trattamento dei dati personali. Nel caso in cui il minore abbia un’età inferiore, la liceità del trattamento dipende se e nella misura in cui il consenso è prestato dal titolare della responsabilità genitoriale. Viene, tuttavia, riconosciuta agli stati membri la possibilità di abbassare l’età fino a tredici anni. L’Italia con il d.lgs 10 agosto 2018, n. 101, contenente disposizioni per l’adeguamento della normativa nazionale ai principi del Regolamento europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 94/96/CE (Regolamento generale sulla Protezione dei Dati), ha introdotto nel Codice Privacy l’art. 2 quinques <<Consenso del minore in relazione ai servizi offerti dalla società dell’informazione>> e ha così stabilito che il minore che abbia compiuto quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione (37). Un rilievo pari a quello conferito al minore infra quattordicenne dalla normativa privacy è disponibile all’art. 2, l. n. 71, 29 maggio 2017, che demanda a quest’ultimo il potere di agire in modo autonomo, per tutelare la propria dignità, avanti al titolare del trattamento o al gestore del sito internet o dei social media e in via sussidiaria avanti al Garante della Tutela dei dati personali. In questo quadro e vista l’estensione delle capacità ad autodeterminarsi del minore on line, ad assumere rilevanza saranno sia le cautele adottate sull’web e i codici
(36) Cfr. Corte cost. Sentenza del 30 giugno 2003, n. 233 in <http:// www.cortecostituzionale.it>. (37) Orofino - Pizzetti, Privacy, minori e cyberbullismo, Torino, 2018, 47.
DIRITTO DI INTERNET N. 4/2020
657
GIURISPRUDENZA CIVILE di condotta ai sensi dell’art. 40 comma due, lettera g, del Regolamento 679/2016 GDPR, ma a fare la differenza risulteranno, ancora una volta, l’educazione ricevuta in famiglia, a monte della quale ci sarà la validità di un progetto educativo e di schemi relazionali validi, oltre che la prevenzione svolta in ambito scolastico. Solo in tali ambiti è possibile riscontrare l’interesse dei genitori verso i figli e i loro linguaggi e l’interesse di quest’ultimi verso schemi comportamentali e relazionali emotivamente orientati al rispetto e alla considerazione dell’altro diverso da sé. A riprova di ciò la l. n. 71 del 2017, ha come principale obiettivo il contrasto, attraverso azioni di prevenzione e di educazione, del fenomeno del cyberbullismo nell’interesse dei minori, siano esse vittime o aggressori (38). L’alleanza educativa tra scuola e famiglia e l’educazione alla cittadinanza digitale possono costituire un canale formativo valido per avvicinare le generazioni e aiutare i genitori a comprendere meglio e interpretare i nuovi linguaggi dei figli, facendo in modo che interesse, livello di attenzione e vigilanza/educazione verso il minore coincidano. Assumere insomma atteggiamenti responsabili e consapevoli e farlo anche collettivamente può aiutare a sviluppare adeguata vigilanza ed educazione di tutti ad un corretto uso dei canali social e del rispetto degli altri sia on line che off line.
(38) Così recita l’art. 1, l. n. 71 del 2017: <<La presente legge si pone l’obiettivo di contrastare il fenomeno del cyberbullismo in tutte le sue manifestazioni, con azioni a carattere preventivo e con una strategia di attenzione, tutela ed educazione nei confronti dei minori coinvolti, sia nella posizione di vittime sia in quella di responsabili di illeciti, assicurando l’attuazione degli interventi senza distinzione di età nell’ambito delle istituzioni scolastiche>>.
658
DIRITTO DI INTERNET N. 4/2020
GIURISPRUDENZA CIVILE
Sull’efficacia probatoria della posta elettronica certificata (PEC). Un falso mito? Tribunale di Roma ; sezione III lavoro; sentenza 18 giugno 2020; Giud. Antonioni; C. s.r.l. c. Agenzia Delle Entrate Servizio Riscossione e altri. Per attestare il perfezionamento della notifica a mezzo Pec di una cartella di pagamento, è sufficiente la produzione della ricevuta di avvenuta consegna in copia analogica che dà prova del fatto che il messaggio è stato effettivamente consegnato al destinatario, essendo onere della controparte disconoscere la conformità agli originali dei messaggi di PEC, ai sensi della disciplina di cui all’art. 23, comma 2, del d.lgs. n. 82 del 2005. Nel silenzio dell’art. 2719 c.c., il disconoscimento si effettua secondo la disciplina sul disconoscimento della scrittura privata prodotta in giudizio di cui agli artt. 214 e 215 c.p.c.
…Omissis… Sempre in via preliminare deve essere dichiarata l’infondatezza della eccezione di “inesistenza dell’atto notificato via pec in quanto privo dell’estensione p7m” sollevata dalla difesa della ricorrente. Orbene, premesso che le Sezioni Unite, richiamando la normativa europea in materia di trasmissione informatica di documenti, con la sentenza n. 10266/2018, hanno risolto la questione relativa al tipo di file valido per la PEC con l’equiparare il file PDF al file formato p7m, ai fini della validità della trasmissione del file tramite PEC (stabilendo il seguente principio di diritto che definitivamente pone fine all’annosa questione: “Secondo il diritto dell’UE e le norme, anche tecniche, di diritto interno, le firme digitali di tipo CAdES e di tipo PAdES, sono entrambe ammesse ed equivalenti, sia pure con le differenti estensioni p7m e pdf, e devono, quindi, essere riconosciute valide ed efficaci, anche nel processo civile di cassazione, senza eccezione alcuna», con la conseguenza che la notifica della cartella tramite PEC, mediante l’uso del file in formato pdf, è idonea a garantire l’autenticità del documento trasmesso), si osserva che di recente è stato ribadito il principio secondo cui per attestare il perfezionamento della notifica a mezzo Pec di una cartella di pagamento, è sufficiente la produzione della ricevuta di avvenuta consegna che dà prova del fatto che il messaggio è stato effettivamente consegnato al destinatario (Sentenza del 17/04/2019 n. 1847/13 - Comm. Trib. Reg. per la Lombardia: principio già espresso in più occasioni dalla Comm. Trib. Prov. Napoli, per tutte, n. 11222/2016 e 19498/2916). Devono pertanto ritenersi valide - anche nella specie - le regole sul disconoscimento della scrittura privata prodotta in giudizio, dovendosi richiamare la giurisprudenza della Cassazione che ha statuito che: “la produzione dell’avviso di ricevimento del piego raccomandato contenente la copia dell’atto processuale spedita per
la notificazione a mezzo del servizio postale, ai sensi dell’articolo 149 cpc, richiesta dalla legge in funzione della prova dell’avvenuto perfezionamento del procedimento notificatorio, può avvenire anche mediante l’allegazione di fotocopie non autenticate”, ma ciò solo “ove manchi contestazione in proposito, poiché la regola posta dall’art. 2719 codice civile - per la quale le copie fotografiche o fotostatiche hanno la stessa efficacia di quelle autentiche, non solo se la loro conformità all’originale è attestata dal pubblico ufficiale competente, ma anche qualora detta conformità non sia disconosciuta dalla controparte, con divieto per il giudice di sostituirsi nell’attività di disconoscimento alla parte interessata, pure se contumace - trova applicazione generalizzata per tutti i documenti” (cfr. Cassazione 8861/2016). Ancor più di recente si è detto che in tema di giudizio per cassazione, ove il ricorso predisposto in originale digitale e sottoscritto con firma digitale sia notificato in via telematica, ai fini della prova della tempestività della notificazione del ricorso, è onere del controricorrente disconoscere, ai sensi della disciplina di cui all’art. 23, comma 2, del d.lgs. n. 82 del 2005, la conformità agli originali dei messaggi di PEC e della relata di notificazione depositati in copia analogica non autenticata dal ricorrente (Cass. Sez. U, Sent. n. 22438 del 24/09/2018) Peraltro secondo il condivisibile ed autorevole insegnamento della giurisprudenza di legittimità, la contestazione della conformità delle copie all’originale, per essere efficace, deve essere sorretta dalla specifica allegazione di fatti idonei ad impedire la formazione del libero convincimento del giudice in merito alla corrispondenza di quanto in esse rappresentato con l’originale. Si richiamano sul punto le autorevoli argomentazioni di cui alla sentenza della Cassazione n. 10326 del 13/05/2014, ove si legge che “il Collegio ritiene di dover dare seguito al principio per il quale, in tema di prova documentale, l’onere di disconoscere la confor-
DIRITTO DI INTERNET N. 4/2020
659
GIURISPRUDENZA CIVILE mità tra l’originale di una scrittura e la copia fotostatica della stessa prodotta in giudizio, pur non implicando necessariamente l’uso di formule sacramentali, va assolto mediante una dichiarazione di chiaro e specifico contenuto che consenta di desumere da essa in modo inequivoco gli estremi della negazione della genuinità della copia, senza che possano considerarsi sufficienti, ai fini del ridimensionamento dell’efficacia probatoria, contestazioni generiche o onnicomprensive (così Cass. n. 28096/09, nonché, di recente, Cass. n. 14416/13). Nel caso in esame va esclusa, ai fini del disconoscimento della genuinità delle fotocopie delle relazioni di notificazione delle cartelle di pagamento prodotte da Equitalia Sestri S.p.A., l’efficacia della contestazione formulata dall’opponente con la dichiarazione, riportata sia nel ricorso che nel controricorso, di “disconoscere la conformità all’originale con riferimento alle copie delle notifiche delle cartelle prodotte da controparte...”, espressa nel verbale del 25 febbraio 2009, relativo alla prima udienza successiva alla produzione documentale in contestazione. Si tratta di dichiarazione assolutamente generica, a fronte della produzione di ben trentadue cartelle esattoriali, con i relativi estratti di ruolo: essa non era idonea a concretare un reale disconoscimento di conformità delle fotocopie agli originali. Nè rileva che, come affermato in ricorso, l’opponente abbia “precisato” e illustrato la contestazione nelle successive memorie depositate il 30 novembre 2009, poiché, nel silenzio dell’art. 2719 c.c., in merito ai modi e ai termini in cui il disconoscimento debba avvenire, è da ritenere applicabile la disciplina di cui agli artt. 214 e 215 c.p.c., con la duplice conseguenza che la copia fotostatica non autenticata si avrà per riconosciuta, tanto nella sua conformità all’originale quanto nella scrittura e sottoscrizione, se la parte comparsa non la disconosca in modo formale e, quindi, specifico e non equivoco, alla prima udienza ovvero nella prima risposta successiva alla sua produzione (cfr. Cass. n. 4476/09, n. 24456/11). Pertanto, è da escludere che il Tribunale, ritenendo idonea la produzione documentale dell’Agen-
660
DIRITTO DI INTERNET N. 4/2020
te per la riscossione a provare la rituale notificazione delle cartelle di pagamento, abbia violato le norme degli artt. 2712 e 2719 c.c., disattendendo il preteso disconoscimento ed evitando di ordinare l’esibizione degli originali. Orbene, nel caso di specie non vi è stata alcuna specifica contestazione in relazione alla produzione della copia analogica della ricevuta di ricezione della PEC, essendosi limitata la difesa della ricorrente a lamentare che l’atto impugnato sarebbe dovuto essere notificato con l’estensione digitale “p7m”, senza tuttavia dedurre alcunché in ordine a presunti vizi o carenze del documento prodotto né, a ben vedere, alla sua non conformità all’originale telematico. Tanto basta per ritenere raggiunta la prova della regolare notifica, da parte dell’AdER, della comunicazione preventiva di iscrizione ipotecaria oggetto dell’odierna impugnazione. È appena il caso di sottolineare che, quanto ai lamentati vizi dell’atto notificato, ultimamente la Cassazione, con ordinanza 27.11.2019 n. 30948, ha stabilito che la notifica della cartella di pagamento può avvenire indifferentemente sia allegando al messaggio PEC un documento informatico - che sia duplicato informatico dell’atto originario, c.d. nativo digitale - sia mediante una copia per immagini su supporto informatico di documento in originale cartaceo, c.d. copia informatica, dove il concessionario della riscossione ha provveduto a inserire nel messaggio di posta elettronica certificata un documento informatico in formato PDF realizzato in precedenza mediante la copia per immagini di una cartella di pagamento composta in origine su carta e che non è necessaria la firma digitale o firma elettronica qualificata del documento allegato al messaggio PEC (e quindi la cartella o, nella specie, l’avviso di addebito) in quanto nessuna norma di legge impone che la copia su supporto informatico della cartella di pagamento in origine cartacea, notificata dall’agente della riscossione tramite PEC, venga poi sottoscritta con firma digitale. …Omissis…
GIURISPRUDENZA CIVILE
IL COMMENTO
di Sara Garsia e Vincenzo Giunta Sommario: 1. Il caso. - 2. I servizi elettronici di recapito certificato – Il quadro normativo europeo. - 3. La posta elettronica certificata (PEC). - 3.1. Premesse. - 3.2. Il diritto nazionale e i rapporti con la normativa europea. - 3.3. Il domicilio digitale e gli elenchi pubblici di fiducia. Fattori esogeni in grado di colmare le carenze della disciplina della PEC ? - 3.4. La validazione temporale semplice della trasmissione dei dati a mezzo PEC. - 4. L’efficacia probatoria della posta elettronica certificata. - 4.1. Il disconoscimento della ricevuta di avvenuta consegna. - 5. Conclusioni. L’efficacia probatoria della ricevuta di avvenuta consegna della PEC, identificata dalla giurisprudenza costante come prova dell’effettiva consegna del messaggio al destinatario, non dipende dai caratteri intrinseci del servizio di PEC che, invero, costituisce un mero “servizio elettronico di recapito certificato” non qualificato (art. 43 Reg. eIDAS), ma è affidata all’intervento di fattori esogeni, quali gli elenchi pubblici di fiducia, in grado di garantire, con un elevato livello di sicurezza, la riferibilità dell’indirizzo PEC al suo titolare, persona fisica o persona giuridica. According to the established case-law, the PEC delivery receipt proves the actual delivery of the message to the recipient. However, such probative value does not depend on its intrinsic characters, since the PEC is not a qualified electronic registered delivery services (art. 43 Reg. eIDAS); in fact the PEC legal effect results from external factors such as public trust lists able to guarantee, with a high level of confidence, the traceability of the PEC address to its holder, who can be a natural person or a legal person.
1. Il caso
Con la sentenza 18 giugno 2020, n. 3497 la terza sezione lavoro del Tribunale di Roma ha affrontato e risolto una serie di temi rilevanti in materia di notifiche effettuate a mezzo PEC, soffermandosi in particolare sull’efficacia probatoria di tale servizio di trasmissione, sulle modalità di produzione in giudizio della prova dell’avvenuta notifica e sulle relative conseguenze per la parte nei cui confronti viene prodotta. Il procedimento trae origine da un ricorso ex artt. 442 e 615 c.p.c. avverso una comunicazione preventiva di iscrizione ipotecaria con riferimento alla quale, per quanto d’interesse in questa sede, la ricorrente deduceva l’inesistenza dell’atto notificato via PEC (1) in quanto privo dell’estensione “p7m”.
Il presente commento è frutto delle riflessioni e degli studi condotti nell’ambito delle ricerche promosse dalla Fondazione Bruno Visentini. (1) Conigliaro, Onere probatorio per contestare la notifica a mezzo pec della cartella di pagamento, in Il Fisco, 2017, 841: “L’art. 26, comma 2, del D.P.R. n. 602/1973 - nel testo novellato dal D.L. n. 193/2016 in vigore dal 3 dicembre 2016 - prevede che la notifica della cartella può essere eseguita anche con le modalità di cui al D.P.R. 11 febbraio 2005, n. 68, a mezzo posta elettronica certificata, all’indirizzo del destinatario risultante dall’indice nazionale degli indirizzi di posta elettronica certificata (INI-PEC), ovvero, per i soggetti che ne fanno richiesta, diversi da quelli obbligati ad avere un indirizzo di posta elettronica certificata da inserire nell’INI-PEC, all’indirizzo dichiarato all’atto della richiesta. In tali casi - dice la norma - si applicano le disposizioni dell’art. 60 del D.P.R. 29 settembre 1973, n. 600, che disciplina le modalità di notificazione degli atti fiscali al contribuente. Il suddetto art. 60, al comma 7, esordisce precisando che “in deroga all’art. 149-bis del Codice di procedura civile” e alle modalità di notificazione previste dalle norme relative alle singole leggi d’imposta non compatibili con la norma, la notificazione degli avvisi e degli altri atti che per legge devono essere notificati alle imprese individuali o costituite in forma societaria ed a professionisti iscritti in albi o elenchi istituiti con legge dello Stato, può essere effettuata direttamente
Il Giudice dichiara l’infondatezza della questione. In primo luogo, viene richiamata la nota sentenza della Corte di Cassazione a Sezioni Unite, 27 aprile 2018, n. 10266 che, in applicazione della normativa europea in materia di trasmissione informatica di documenti e delle norme, anche tecniche, di diritto interno ha affermato l’equivalenza delle firme digitali di tipo CAdES e di tipo PAdES, cui corrispondono le diverse estensioni del file p7m e pdf, con conseguente validità della notifica via PEC della cartella di pagamento in formato pdf, in quanto anche tale formato è idoneo a garantire l’autenticità del documento trasmesso. Inoltre, la stessa pronuncia ribadisce il consolidato orientamento della giurisprudenza di merito (2) secondo il quale al fine di dimostrare l’avvenuta notifica via PEC è sufficiente produrre in giudizio la ricevuta di avvenuta consegna, che attesta l’effettiva consegna del messaggio al destinatario (rectius all’indirizzo destinatario). Premesso ciò, il Giudice chiarisce le modalità attraverso le quali può avvenire in giudizio il disconoscimento del-
dal competente ufficio con le modalità previste dal Regolamento di cui al D.P.R. 11 febbraio 2005, n. 68, a mezzo di posta elettronica certificata, all’indirizzo del destinatario risultante dall’indice nazionale degli indirizzi di posta elettronica certificata (INI-PEC). L’art. 149-bis del Codice di procedura civile stabilisce che “se non è fatto espresso divieto dalla legge, la notificazione può eseguirsi a mezzo posta elettronica certificata, anche previa estrazione di copia informatica del documento cartaceo”. In merito si vedano anche Conigliaro, Notifica a mezzo PEC di avvisi di accertamento e cartelle di pagamento, in Il Fisco. Processo tributario telematico. Le Guide, 2017; Fronticelli Baldelli, Dubbi sul momento di ricezione della cartella di pagamento notificata via PEC, in Il Fisco, 2017, 3955. (2) Trib. Roma, 18 giugno 2020, n. 3497, 11; C.t.r. Lombardia, 17 aprile 2019, n. 1847; principio espresso in più occasioni dalla C.t.p. Napoli, per tutte, 19 novembre 2016, n. 19498.
DIRITTO DI INTERNET N. 4/2020
661
GIURISPRUDENZA CIVILE la ricevuta di avvenuta consegna della PEC, prodotta in formato analogico. Trattandosi di copia analogica di un documento informatico ai sensi dell’art. 23 del d. lgs. 07 marzo 2005, n. 82 (c.d. Codice dell’Amministrazione Digitale o CAD), si applicano le norme in materia di disconoscimento della scrittura privata. Infatti, nel silenzio dell’art. 2719 c.c., rubricato “Copie fotografiche di scritture”, in merito ai modi e ai termini in cui il disconoscimento debba avvenire, è da ritenere applicabile la disciplina che gli artt. 214 e 215 c.p.c. dettano con riferimento alla scrittura privata ex art. 2702 c.c. Da tale assunto il Giudice fa discendere l’applicazione, anche alla posta elettronica certificata, di due importanti principi, già consolidati dalla giurisprudenza di legittimità con riguardo ai documenti analogici. In primo luogo, sul versante dell’efficacia probatoria, la copia analogica del documento informatico ha la stessa efficacia dell’originale, sia nel caso in cui la conformità all’originale sia attestata dal pubblico ufficiale, sia nel caso in cui la conformità non sia contestata dalla controparte nel corso della prima difesa utile, senza che il giudice possa operare d’ufficio il suddetto disconoscimento (3). Inoltre, la contestazione concernente la non conformità della copia all’originale per essere efficace deve essere “specifica” e cioè “deve essere sorretta dalla specifica allegazione di fatti idonei ad impedire la formazione del libero convincimento del giudice in merito alla corrispondenza di quanto in esse rappresentato con l’originale” (4). In applicazione dei principi suesposti, il Giudice conclude ritenendo che, nel caso di specie, manchi qualsivoglia contestazione specifica in relazione alla produzione della copia analogica della ricevuta di avvenuta consegna della PEC, posto che la ricorrente si è limitata a dedurre l’inesistenza dell’atto notificato via PEC perché privo dell’estensione “p7m”, e, pertanto, la prova della regolare notifica deve ritenersi raggiunta (5). A maggior chiarezza, con riguardo agli asseriti vizi dell’atto notificato rilevati dalla ricorrente, il Tribunale sottolinea comunque che le notifiche di atti – nella specie atti della riscossione – possono avvenire sia allegando al messaggio un documento c.d. nativo digitale come duplicato informatico dell’atto originario (6), sia
(3) Cass. Civ. 4 maggio 2016 n. 8861. (4) Trib. Roma, 18 giugno 2020, n. 3497,12. (5) Trib. Roma, 18 giugno 2020, n. 3497, 14. (6) D. lgs. 07 marzo 2005, n. 82 (c.d. Codice dell’Amministrazione Digitale o CAD), art. lett. i-quinquies) “duplicato informatico: il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario”.
662
DIRITTO DI INTERNET N. 4/2020
una copia informatica dell’originale (7), ossia una copia per immagini su supporto informatico del documento in originale cartaceo e che, in nessun caso, la legge richiede ai fini della validità della notifica la firma digitale o qualificata del documento allegato (8). Questi i temi e le relative soluzioni che rendono la sentenza in esame ricca di spunti che consentono di fare chiarezza su questioni frequentemente dibattute in materia di efficacia probatoria della PEC. Si procederà quindi ad una ricostruzione del contesto normativo e regolamentare di riferimento delle questioni esaminate dalla pronuncia al fine di delineare i caratteri della posta elettronica certificata e l’impatto che tale innovazione ha in sede giurisdizionale.
2. I servizi elettronici di recapito certificato – Il quadro normativo europeo
È utile partire dalla disciplina prevista a livello europeo, per poi collocare entro tale cornice le disposizioni di diritto nazionale. Il Regolamento (UE) n. 910 del Parlamento Europeo e del Consiglio del 23 luglio 2014 (c.d. Regolamento eIDAS, Electronic IDentification Authentication and Signature), in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno costituisce il riferimento normativo europeo con (7) CAD, art. 1 lett i-ter): “copia per immagine su supporto informatico di documento analogico: il documento informatico avente contenuto e forma identici a quelli del documento analogico da cui è tratto”. (8) Sul punto la sentenza in commento rinvia a Cass. Civ. 27 novembre 2019, n. 30948. Cass. civ. 27 novembre 2019, n. 30948 nota di Cancedda, Ok alla notifica pec di copia per immagine della cartella analogica in Il Fisco, 2020, 183: “È conforme alle previsioni di legge la notificazione della cartella di pagamento eseguita mediante messaggio di posta elettronica certificata che contenga in allegato un file in formato.pdf recante la copia per immagine della cartella composta in origine in formato cartaceo […] È dunque in applicazione di questa norma - che ricalca il disposto dell’art. 2719 del Codice civile, ai sensi del quale ‘Le copie fotografiche di scritture hanno la stessa efficacia delle autentiche, se la loro conformità con l’originale è attestata da pubblico ufficiale competente ovvero non è espressamente disconosciuta’ - che nel caso de quo la Corte di cassazione ha potuto ‘salvare’ la notificazione (rectius, la validità dell’atto), avendo constatato che nel corso del processo l’interessato non aveva mai disconosciuto espressamente la conformità della copia informatica della cartella di pagamento, allegata alla PEC ricevuta, all’originale cartaceo in possesso del soggetto emittente […]. Sub nt. 5 “Secondo quanto chiarito dal Supremo Collegio, con unanime orientamento, l’onere probatorio che incombe su chi intende avvalersi di un documento può essere assolto ‘anche mediante l’allegazione di fotocopie non autenticate, ove manchi contestazione in proposito, poiché la regola posta dall’art. 2719 c.c. - per la quale le copie fotografiche o fotostatiche hanno la stessa efficacia di quelle autentiche, non solo se la loro conformità all’originale è attestata dal pubblico ufficiale competente, ma anche qualora detta conformità non sia disconosciuta dalla controparte, con divieto per il giudice di sostituirsi nell’attività di disconoscimento alla parte interessata, pure se contumace - trova applicazione generalizzata per tutti i documenti” (da ultimo, in questi termini, Cass. 15 maggio 2019, n. 12966; 3 aprile 2019, n. 9245; 20 marzo 2019, n. 7736).”; Cancedda, Sul formato del file trasmesso via PEC contrasto tra collegi di merito, in Il Fisco, 2019, 1385.
GIURISPRUDENZA CIVILE riguardo “ai servizi elettronici di recapito certificato”. Il Regolamento distingue tra i servizi elettronici di recapito certificato e i servizi elettronici di recapito certificato qualificato, dettando solo con riferimento a questi ultimi una precisa disciplina in termini di requisiti richiesti per ottenere la qualifica e gli effetti giuridici da essa derivanti. L’art. 3 n. 36 del Regolamento definisce servizio elettronico di recapito certificato “un servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate”. Ai sensi del successivo n. 37 dell’art. 3 del Regolamento un servizio elettronico di recapito certificato qualificato è “un servizio elettronico di recapito certificato che soddisfa i requisiti di cui all’articolo 44”. L’articolo 44 detta, pertanto, i requisiti che caratterizzano i servizi elettronici di recapito certificato qualificato e che vi attribuiscono l’efficacia probatoria prevista dall’art. 43, comma 2: “I servizi elettronici di recapito certificato qualificati soddisfano i requisiti seguenti: a) sono forniti da uno o più prestatori di servizi fiduciari qualificati; b) garantiscono con un elevato livello di sicurezza l’identificazione del mittente; c) garantiscono l’identificazione del destinatario prima della trasmissione dei dati; d) l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati; e) qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi; f) la data e l’ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata.” I servizi elettronici di recapito certificato qualificato si contraddistinguono, pertanto, per l’intervento di un prestatore di servizi fiduciari qualificati, portatore di una “fiducia pubblica”, data dalla circostanza che il prestatore del servizio possiede i requisiti fissati dall’art. 24 del Regolamento, risulta iscritto in apposito albo (“Elenchi di fiducia” previsti dall’art. 22 del Regolamento) ed è sottoposto al controllo del relativo organismo di vigilanza ai sensi dell’art. 20 del Regolamento. Tra i requisiti elencati dalla norma - tutti parimenti rilevanti al fine garantire il carattere qualificato del servizio - è interessante in questa sede soffermarsi su quelli previsti dalle lettere d) ed f). Il Regolamento infatti prevede che l’invio e la ricezione dei dati siano garantiti da una firma elettronica avanzata (9) o da un sigillo elettronico avanzato (10)
di un prestatore di servizi fiduciari qualificato e che la data e l’ora di invio e di ricezione siano garantite da una validazione temporale elettronica qualificata (11). Dai descritti caratteri del servizio elettronico di recapito certificato qualificato derivano due importanti conseguenze in termini di certezza della trasmissione: (i) ai dati trasmessi è associata l’efficacia probatoria prevista dai singoli ordinamenti quantomeno in materia di firma elettronica avanzata (12); (ii) la data e l’ora di invio e di consegna sono garantite da una validazione temporale elettronica qualificata che ai sensi dell’art. 41 comma 2 del Regolamento eIDAS gode “della presunzione di accuratezza della data e dell’ora che indica e di integrità dei dati ai quali tale data e ora sono associate”. L’art. 43, comma 2, del Regolamento disciplina quindi gli effetti giuridici dei “servizi elettronici di recapito certificato qualificato”, basati su un meccanismo di prova in funzione del quale i dati trasmessi mediante tali servizi si presumono (i) integri, (ii) inviati da parte del mittente identificato con un elevato livello di sicurezza (13), (iii) ricevuti da parte del destinatario identificato, (iv) accurati con riferimento all’indicazione della data e dell’ora d’invio e di ricezione. Quanto invece ai meri “servizi elettronici di recapito certificato” che non rispettano i requisiti dettati dall’art. 44, il Regolamento si limita ad enunciare il ‘principio di non discriminazione’, anche noto come ‘principio di non disconoscimento’ (14), secondo il quale la forma elettronica del servizio o la mancata soddisfazione da parte dello stesso dei requisiti propri del servizio qualificato non possono inficiarne gli effetti giuridici e l’ammissibilità della sua produzione in giudizio. A completamento del descritto quadro normativo europeo occorre menzionare il considerando 66 dell’eIDAS, secondo il quale “è essenziale prevedere un quadro giuridico per agevolare il riconoscimento transfrontaliero
(9) Reg. eIDAS, art. 26.
(14) Sul punto Delfini – Finocchiaro (a cura di), Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, Commento al Regolamento UE 910/2014, Torino, 2017, 214 ss.
(10) Reg. eIDAS, art. 36.
(11) Reg. eIDAS, art. 42. (12) Il considerando 49 del Regolamento eIDAS infatti rimette al diritto nazionale la definizione degli effetti giuridici della firma elettronica, dettando una disciplina ad hoc solo con riferimento agli effetti della firma elettronica qualificata che vengono equiparati a quelli della firma autografa qualificata dovrebbe avere un effetto giuridico equivalente a quello di una firma autografa. (13) Si consideri che l’art. 8 del Regolamento eIDAS distingue il livello di garanzia dei mezzi di identificazione elettronica in basso, significativo e/o elevato, individuando i criteri propri di ciascun livello. Gli standard da rispettare affinché l’identità della persona fisica o giuridica venga garantita con un elevato livello di sicurezza sono stati fissati dal Regolamento di Esecuzione (Ue) 2015/1502 della Commissione dell’8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell’articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014.
DIRITTO DI INTERNET N. 4/2020
663
GIURISPRUDENZA CIVILE tra gli ordinamenti giuridici nazionali esistenti relativi ai servizi elettronici di recapito certificato”, al fine di “aprire inoltre per i prestatori di servizi fiduciari dell’Unione nuove opportunità di mercato…”, nella logica di costruzione ed implementazione del mercato unico digitale europeo.
3. La posta elettronica certificata (PEC) 3.1. Premesse
Procedendo con l’individuazione e l’analisi della disciplina nazionale, si premette che il nostro paese si è distinto nel panorama europeo per aver disciplinato e reso operativo un servizio di posta elettronica certificata (c.d. PEC) ben prima dell’introduzione della normativa europea sui servizi elettronici di recapito certificato. Il legislatore italiano non ha, tuttavia, operato alcuna modifica della normativa nazionale in materia di PEC a seguito dell’entrata in vigore del Regolamento eIDAS, così ad oggi la PEC è un mero “servizio elettronico di recapito certificato” (art. 43 Reg. eIDAS), e non possiede tutti i requisiti di un “servizio elettronico di recapito certificato qualificato” (art. 44 Reg. eIDAS) (15). Secondo l’Agenzia per l’Italia digitale (AgID) (16) “la Posta Elettronica Certificata soddisfa i requisiti previsti dal Regolamento eIDAS per il servizio elettronico di recapito certificato, ma non soddisfa appieno i requisiti previsti sempre dal Regolamento per il servizio elettronico di recapito certificato qualificato. In particolare, attualmente non è prevista la verifica certa dell’identità del richiedente la casella di PEC e non è previsto che il gestore debba obbligatoriamente sottoporsi a delle verifiche di conformità da parte degli organismi designati” (17). Tale assunto è confermato dal fatto che ad oggi nessun servizio PEC italiano risulta iscritto come servizio elettronico di recapito certificato qualificato nell’elenco reso pubblico dalla Commissio-
(15) Meneghetti, Definizioni in Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, Commento al regolamento UE 910/2014, cit., 60: “Sempre in un’ottica di comparazione con il modello italiano di tale servizio, occorre precisare che sebbene la PEC integri un servizio fiduciario a tutti gli effetti, questa non soddisfa appieno i requisiti previsti dal regolamento (art. 44) per poter ottenere la forma qualificata: in particolare, attualmente non è prevista la verifica certa dell’identità del richiedente la casella di PEC e non è previsto che il gestore debba sottoporsi a delle verifiche di conformità da parte degli organismi designati ”. In dottrina apoditticamente è stato anche affermato da Tampieri, L’identità Personale: Il Nostro Documento Esistenziale, in Europa e Diritto Privato, 2019, 1195: “Oggigiorno l’uso corrente di un importante strumento quale è la PEC, connesso a sistemi di identificazione certa, riveste un’importanza fondamentale sia per il settore pubblico sia per il settore privato”. (16) Si tratta di un’Agenzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi di innovazione digitale previsti dall’Agenda digitale italiana. (17) Si veda <https://www.agid.gov.it/it/piattaforme/eidas/pec-verso-eidas>.
664
DIRITTO DI INTERNET N. 4/2020
ne Europea ai sensi dell’art. 22 del Regolamento eIDAS (18). Pertanto, sebbene la disciplina nazionale si sia dimostrata in grado di regolare un servizio di trasmissione telematica di comunicazioni efficiente e sicuro tecnicamente quale è la PEC, a causa del mancato adeguamento agli standard fissati dall’eIDAS tale servizio non soddisfa ancora pienamente i caratteri di servizio elettronico di recapito certificato qualificato ai sensi dell’art. 44 dell’eIDAS e la conseguente efficacia probatoria, di cui si dirà appresso. Va altresì chiarito che il legislatore nazionale - a differenza del legislatore europeo tradizionalmente orientato al “principio di neutralità tecnologica” (19) - ha disegnato la disciplina in materia di posta elettronica certificata sulla scorta di precise e ben individuate soluzioni tecniche relative alle modalità con cui il servizio PEC debba essere in concreto erogato.
3.2. Il diritto nazionale e i rapporti con la normativa europea
La disciplina nazionale in materia di PEC è contenuta nel d. lgs. 07 marzo 2005, n. 82 (c.d. Codice dell’Amministrazione Digitale o CAD), nel d.P.R. 11 febbraio 2005, n. 68 ossia il Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata, nel Decreto Ministeriale 2 novembre 2005 e relativo allegato recante le regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata. L’art. 48 del CAD (20) rubricato “posta elettronica certificata”, oltre a prevedere il principio dell’equiparazione
(18) Facilmente consultabile all’indirizzo <https://webgate.ec.europa. eu/tl-browser/#/>. (19) Tale principio è espressamente enunciato dal considerando 27 del Regolamento, secondo il quale “È opportuno che il presente regolamento sia neutrale sotto il profilo tecnologico. È auspicabile che gli effetti giuridici prodotti dal presente regolamento siano ottenibili mediante qualsiasi modalità tecnica, purché siano soddisfatti i requisiti da esso previsti”. (20) CAD, art. 48: “La trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, o mediante altre soluzioni tecnologiche individuate con le Linee guida. La trasmissione del documento informatico per via telematica, effettuata ai sensi del comma 1, equivale, salvo che la legge disponga diversamente, alla notificazione per mezzo della posta. La data e l’ora di trasmissione e di ricezione di un documento informatico trasmesso ai sensi del comma 1 sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle relative regole tecniche, ovvero conformi alle Linee guida”. Si tenga presente che l’art. 8 co. 5 del d.l. 14 dicembre 2018, n. 135, modificando l’art. 65 co. 7 del d.lgs. 13 dicembre 2017, n. 217, ha previsto che “Con decreto del Presidente del Consiglio dei ministri, sentiti l’A-
GIURISPRUDENZA CIVILE della trasmissione via PEC del documento informatico (21) con la notificazione a mezzo posta, valido per le comunicazioni tra privati e PA, si limita a rinviare al d.P.R. n. 68 del 2005 riguardo alla individuazione dei caratteri della PEC e alle Linee Guida dell’AgID, cui viene demandata la regolamentazione di ulteriori - di fatto eventuali e ad oggi non regolate - soluzioni tecnologiche in grado di assolvere ai medesimi requisiti della PEC. Inoltre, sul versante dell’efficacia probatoria, in tema di opponibilità ai terzi dei riferimenti temporali relativi alla trasmissione e alla ricezione di un documento informatico via PEC il CAD rinvia alle specifiche tecniche dettate dal d.P.R. n. 68 del 2005, dal Decreto Ministeriale 2 novembre 2005 e dalle Linee Guida AgID (22), le cui disposizioni, come si vedrà, vanno confrontate ed inquadrate nell’ambito della normativa eIDAS in tema di validazione temporale elettronica. Al fine di comprendere meglio i caratteri tecnici della PEC e trarne le relative conseguenze in tema di efficacia probatoria è necessario fare riferimento alla normativa di cui al d.P.R. n. 68 del 2005, ancora attuale a causa della mancata equiparazione della PEC ai servizi elettronici di recapito certificato qualificato, regolati dall’eIDAS. Il d.P.R. n. 68 del 2005 definisce la posta elettronica certificata come “ogni sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica attestante l’invio e la consegna di documenti informatici” (23). La trasmissione del messaggio di posta elettronica certificata è affidata ai gestori del servizio che amministrano le relative caselle di posta (24). Il messaggio di posta elettronica
genzia per l’Italia digitale e il Garante per la protezione dei dati personali, sono adottate le misure necessarie a garantire la conformità dei servizi di posta elettronica certificata di cui agli articoli 29 e 48 del decreto legislativo del 7 marzo 2005, n. 82, al regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE. A far data dall’entrata in vigore del decreto di cui al primo periodo, l’articolo 48 del decreto legislativo n. 82 del 2005 è abrogato”. Ad oggi, il decreto cui fa riferimento la norma non è stato ancora approvato. (21) CAD, art. 1 lett. p) “documento informatico: il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.
certificata (25) è quindi inviato dalla “casella mittente” al proprio gestore di posta elettronica certificata e, successivamente, viene da quest’ultimo trasmesso direttamente ad una “casella destinataria”, ove questa sia gestita dallo stesso gestore della “casella mittente”; ovvero viene trasferito al diverso gestore di cui si avvale la “casella destinataria”, per poi essere da questi consegnato presso tale casella (26). La ricevuta di accettazione e la ricevuta di avvenuta consegna attestano rispettivamente la validità della trasmissione e della ricezione del messaggio di posta elettronica certificata (27). In particolare, l’art. 6 del d.P.R. n. 68 del 2005 prevede che la ricevuta di accettazione, fornita al mittente dal suo gestore di posta elettronica certificata, contiene i dati di certificazione che costituiscono prova dell’avvenuta spedizione di un messaggio di posta elettronica certificata. La medesima disposizione disciplina poi la ricevuta di avvenuta consegna, fornita al mittente dal gestore di posta elettronica certificata utilizzato dal destinatario, che costituisce prova che il messaggio di posta elettronica certificata è effettivamente pervenuto alla “casella destinataria” dichiarata dal titolare e certifica il momento della consegna tramite un testo, leggibile dal titolare della “casella mittente”, contenente i dati di certificazione e può contenere anche la copia completa del messaggio di posta elettronica certificata. Di centrale importanza, al fine di individuare l’efficacia probatoria delle trasmissioni via PEC, è poi l’art. 9 del d.P.R. n. 68 del 2005 che regola la firma elettronica delle ricevute e della busta di trasporto, definita come “il documento informatico che contiene il messaggio di posta elettronica certificata” (28). È infatti previsto che le ricevute di accettazione e di avvenuta consegna e la busta di trasporto siano sottoscritte dai rispettivi gestori mediante una firma elettronica avanzata generata in automatico dal sistema di posta elettronica e basata su chiavi asimmetriche a coppia, una pubblica e una privata, che consente di rendere manifesta la provenienza, assicurare l’integrità e l’autenticità delle ricevute e del messaggio, secondo le modalità previste dalle regole tecniche. Lo standard minimo di sottoscrizione delle ricevute e della busta di trasporto deve, pertanto, corrispondere alla firma elettronica avanzata, avente i requisiti attual-
(22) L’AgID non è mai intervenuta con linee guida recanti specifiche tecniche in materia di PEC. (23) d.P.R. n. 68 del 2005, art. 1 comma 2 lett. g). (24) d.P.R. n. 68 del 2005, art. 2, lett. c): il gestore del servizio è “il soggetto, pubblico o privato, che eroga il servizio di posta elettronica certificata e che gestisce domini di posta elettronica certificata”. A sua volta, il dominio di posta elettronica certificata ai sensi dell’art. 1 co. 2 lett. d) del d.P.R. è “l’insieme di tutte e sole le caselle di posta elettronica certificata il cui indirizzo fa riferimento, nell’estensione, ad uno stesso dominio della rete Internet, definito secondo gli standard propri di tale rete”.
(25) Ai sensi del d.P.R. n. 68 del 2005, art. 1 comma 2 lett. f) un messaggio di posta elettronica certificata è “un documento informatico composto dal testo del messaggio, dai dati di certificazione e dagli eventuali documenti informatici allegati”. (26) d.P.R. n. 68 del 2005, art. 5. (27) d.P.R. n. 68 del 2005, art. 4. (28) d.P.R. n. 68 del 2005, art. 1 comma 2, lett. a).
DIRITTO DI INTERNET N. 4/2020
665
GIURISPRUDENZA CIVILE mente fissati dall’art. 26 dell’eIDAS (29), ma nulla osta a che sulle ricevute e sulla busta di trasporto venga apposta una firma qualificata ed in particolare una firma digitale (30), che, invero, si caratterizza per l’utilizzo della tecnologia a chiavi asimmetriche descritta dall’art. 9 comma 1 del d.P.R. Ed, infatti, l’art. 1, comma 1, lett. s) del CAD definisce firma digitale “un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”. Tuttavia, oltre alla tecnologia a chiave pubblica e a chiave privata la firma digitale per qualificarsi tale deve a priori rispettare i requisiti fissati dall’art. 1 n. 12 del Regolamento eIDAS per la firma qualificata ed, in particolare, deve consistere in “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”. Sono quindi due i requisiti: la creazione attraverso un dispositivo ad hoc dotato di particolari caratteristiche e la sua attestazione attraverso un certificato rilasciato da un prestatore di servizi fiduciari qualificato, riconosciuto e accreditato come tale dalle pubbliche autorità nazionali (31). Diventa dunque centrale comprendere cosa prevedano le regole tecniche cui rinvia l’art. 9 del d.P.R. in merito ai caratteri della firma apposta sulle ricevute e sulla busta di trasporto, al fine di stabilire di che tipologia di firma si tratti. L’allegato al Decreto Ministeriale 2 novembre 2005, recante le regole tecniche del servizio di trasmissione di documenti informatici mediante posta elettronica certificata, in materia di firma si limita a sta-
bilire che “la chiave privata e le operazioni di firma devono essere gestite utilizzando un dispositivo hardware dedicato, in grado di garantirne la sicurezza in conformità a criteri riconosciuti in ambito europeo o internazionale” (32). Inoltre, le regole tecniche di cui all’allegato specificano che il formato usato per la firma dei messaggi generati dal sistema è il c.d. ‘multipart/signed’ (formato .p7s) (33). In particolare, i messaggi (ricevute, avvisi e buste) sono composti da una parte di testo descrittivo per l’utente, e da una serie di allegati (messaggio originale, dati di certificazione, ecc.) variabili a seconda della tipologia del messaggio; il messaggio viene poi inserito in una ‘struttura dati’ firmata con la chiave privata del gestore di posta certificata, il cui certificato di firma (34) viene incluso nella stessa ‘struttura dati’ del messaggio. In tal modo, il gestore della “casella destinataria” potrà operare la verifica dei dati di certificazione acclusi nel messaggio da parte del gestore del mittente con riferimento alla busta di trasporto e, viceversa, il gestore della “casella mittente” potrà verificare i dati di certificazione inseriti dal gestore della “casella destinataria” nella ricevuta di avvenuta consegna. L’art. 11 del d.P.R. prevede, infatti, che i gestori di posta elettronica certificata trasmettano il messaggio di posta elettronica certificata integro in tutte le sue parti, includendolo nella busta di trasporto e che una traccia delle operazioni svolte venga mantenuta su un apposito registro informatico definito “log dei messaggi” (35). Tuttavia, è necessario evidenziare che non è previsto che il gestore del servizio sia un prestatore di servizi fiduciari qualificato e che la firma venga generata mediante un dispositivo per la creazione di una firma elettronica qualificata attestata mediante un certificato qualificato. Ne consegue che le ricevute di accettazione e di avvenuta consegna e la busta di trasporto potrebbero in teoria
(29) Il riferimento operato dall’art. 9 del d.P.R. n. 68 del 2005 alla firma elettronica avanzata disciplinata dal d.P.R. 28 dicembre 2000, n. 445 è stato infatti prima sostituito dalla disciplina del CAD e successivamente, a decorrere dal 14 settembre 2016, dalla definizione di firma elettronica avanzata direttamente prevista dal Regolamento eIDAS.
(32) Allegato al d.m. 2 novembre 2005, punto 8.1 “Firma”.
(30) Invero, la firma digitale coincide di fatto con la firma qualificata, poiché secondo l’attuale stato dell’arte non esiste un certificato qualificato che soddisfi i caratteri dettati dal Regolamento eIDAS senza adoperare la specifica tecnologia della crittografia a chiave pubblica e a chiave privata, su cui si fonda la definizione di firma digitale prevista dal nostro diritto nazionale. Sul punto Delfini - Finocchiaro (a cura di), Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, Commento al Regolamento UE 910/2014, cit., 45; Battelli, Il valore legale dei documenti informatici, Napoli, 2012, 172: “Unica firma qualificata espressamente contemplata dal legislatore è la firma digitale, caratteristica tecnica della quale è la crittografia asimmetrica”. (31) Il dispositivo per la creazione di una firma elettronica qualificata deve possedere i requisiti fissati dall’allegato II al Regolamento eIDAS, mentre il ‘certificato qualificato’ di firma elettronica è “un certificato di firma elettronica che è rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato I”.
666
DIRITTO DI INTERNET N. 4/2020
(33) Allegato al d.m. 2 novembre 2005, punto 6.1 “Formato dei messaggi generati dal sistema”. (34) Il certificato utilizzato per la certificazione di messaggi di posta elettronica certificata dai gestori del servizio è un certificato S/MIME, i cui profili tecnici sono specificati dai punti 10.4 e ss. dell’allegato al d.m. 2 novembre 2005. (35) La certezza che il messaggio venga trasmesso integro nel suo contenuto si ha anche in forza del punto 8.3 del citato allegato al Decreto Ministeriale recante le regole tecniche, intitolato “Colloquio sicuro” che prevede che: “Al fine di garantire l’inalterabilità del messaggio originale spedito dal mittente si realizza l’imbustamento e la firma dei messaggi in uscita dal punto di accesso e la successiva verifica in ingresso al punto di ricezione”. Ed ancora: “La busta di trasporto firmata dal gestore mittente permette di verificare che il messaggio originale non sia stato modificato durante il suo percorso dal dominio mittente al dominio destinatario. La sicurezza del colloquio tra mittente e destinatario prevede un meccanismo di protezione per tutte le connessioni previste dall’architettura di posta certificata (tra utente e punto di accesso, tra gestore e gestore, tra punto di consegna ed utente) attuato tramite l’impiego di canali sicuri”.
GIURISPRUDENZA CIVILE essere sottoscritte mediante firma digitale, ma tale requisito non risulta ad oggi previsto dalla normativa nazionale come obbligatorio per erogare un servizio PEC. Pertanto, la firma delle ricevute e della busta di trasporto possiede i caratteri della firma elettronica avanzata, ma non qualificata o digitale. Si rammenti però che la firma non è direttamente apposta dal titolare della “casella mittente” e dal titolare della “casella destinataria”, bensì è automaticamente generata dal sistema di posta elettronica ed è riferibile al gestore del servizio. Riguardo a tale profilo, si evidenzia che secondo l’AgID una delle ragioni per cui la PEC non soddisfa i requisiti dettati dall’eIDAS con riferimento ai “servizi elettronici di recapito certificato qualificato” è data dalla circostanza che non è prevista la verifica certa (rectius forte) dell’identità del richiedente la casella di PEC. In tal senso, si consideri che l’allegato tecnico al Decreto Ministeriale del 2 novembre 2005 nulla specifica con riferimento alle modalità di identificazione iniziale dell’utente del servizio e in materia di autenticazione al sistema rimette al gestore del servizio la scelta delle modalità di autenticazione, prevedendo a titolo esemplificativo l’utilizzo di sistemi quali user-id e password o, se disponibili e ritenute modalità necessarie per il livello di servizio erogato, la carta d’identità elettronica o la carta nazionale dei servizi (36). Quindi, l’affidabilità dell’identificazione e delle successive autenticazioni del titolare della “casella mittente” o del titolare della “casella destinataria” dipende in concreto dalle modalità di identificazione ed autenticazione adoperate dal gestore, con evidenti conseguenze anche in termini di certezza della provenienza del messaggio da parte dell’effettivo mittente e di consegna all’effettivo destinatario. Si fa presente che pur esistendo un elenco dei gestori del servizio di PEC (art. 29 CAD; art. 16 Decreto Ministeriale 2 novembre 2005), questo non coincide con l’elenco di prestatori di servizi fiduciari qualificati previsto dall’art. 22 del Reg. eIDAS. La PEC non è quindi un sistema c.d. “fiduciario qualificato” e non può pertanto assurgere a servizio di recapito certificato qualificato. E infatti, l’art. 44 del Reg. eIDAS prevede che per aversi un “sistema di recapito certificato qualificato” questo debba essere fornito da un prestatore di servizi fiduciari qualificati, che garantisca (i) “con un elevato livello di sicurezza l’identificazione del mittente” e (ii) “l’identificazione del destinatario prima della trasmissione dei dati”. La PEC quindi pur possedendo caratteri tecnici in grado di garantire la sicurezza della trasmissione dei dati tra due caselle di posta e il tracciamento di eventuali modifiche successive di tali dati, costituisce un servizio erogato da un gestore – che oltre a non essere “qualifi-
(36) Allegato al d.m. 2 novembre 2005, punto 8.2. “Autenticazione”.
cato”, come si è detto - non è tenuto ex lege a garantire, con un elevato livello di sicurezza, l’identificazione del titolare della casella di posta (37).
3.3. Il domicilio digitale e gli elenchi pubblici di fiducia. Fattori esogeni in grado di colmare le carenze della disciplina della PEC?
Appurata l’esistenza di una fondamentale carenza afferente al momento identificativo del richiedente la casella PEC, che rende estremamente debole il collegamento tra la casella PEC ed il suo titolare, occorre notare che la disciplina nazionale prevede dei fattori esogeni alla regolamentazione del servizio PEC che intervengono, anche se solo parzialmente, a colmare il descritto vuoto tecnico e normativo. Infatti, la ‘casella PEC’ può assumere la qualifica giuridica di “domicilio digitale” quale indirizzo elettronico eletto presso un servizio di posta elettronica certificata ai sensi dell’art. 1 comma 1 lett. n-ter) del CAD (38). I domicili digitali vengono poi pubblicati presso appositi elenchi dotati di “fiducia pubblica”: l’indice nazionale dei domicili digitali delle imprese e dei professionisti – INIPEC (art. 6-bis CAD) (39); l’indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi – IPA (40) (art. 6-ter CAD); l’indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato, non tenuti all’iscrizione in albi professionali o nel registro delle imprese - INAD (art. 6-quater CAD), quest’ultimo peraltro non ancora (37) In merito alla regolamentazione dei livelli di garanzia dei mezzi di identificazione elettronica si veda supra nota 14. (38) Parimenti ai sensi della stessa disposizione, costituisce domicilio digitale anche un indirizzo elettronico eletto presso un servizio elettronico di recapito certificato qualificato, come definito dall’eIDAS. (39) Il d.l. 18 ottobre 2012 n.179, convertito con modificazioni dalla legge 17 dicembre 2012, n. 221, all’art. 5 ha previsto l’istituzione dell’indice nazionale degli indirizzi PEC delle imprese e dei professionisti (INIPEC) di cui all’art. 6-bis del CAD, al fine di favorire l’utilizzo di tale servizio di trasmissione e l’identificazione certa del titolare dell’“indirizzo destinatario” mediante un elenco pubblico di fiducia. L’INI-PEC è stato istituito dal decreto attuativo del Ministero dello Sviluppo Economico del 19 marzo 2013 e presenta una sezione Imprese e una Professionisti, in cui sono pubblicamente consultabili gli indirizzi PEC che imprese e professionisti comunicano rispettivamente al Registro delle Imprese e agli Ordini e Collegi professionali di appartenenza. (40) Il d.l. n. 76 del 2020 c.d. “decreto semplificazioni” ha reinserito l’Indice IPA tra i pubblici elenchi per le notifiche via PEC da parte degli avvocati ai sensi della legge n. 53 del 1994. L’art. 28 del decreto semplificazioni ha modificato l’art. 16-ter del d.l. n. 179 del 2012, riguardo ai pubblici elenchi validi ai fini della notificazione e comunicazione di atti in materia civile, penale, amministrativa, contabile e stragiudiziale, inserendovi l’IPA. L’indice è stato inizialmente considerato come “registro pubblico” ai sensi del comma 8 dell’art. 16 del d.l. n. 185 del 2008, ma successivamente escluso dall’art. 16 ter del d.l. n. 179 del 2012, modificato dall’art. 45 bis, comma 2 lettera a) del d.l. n. 90 del 2014 che, non richiamando il succitato art. 16, aveva espunto da tale tipologia l’indice IPA.
DIRITTO DI INTERNET N. 4/2020
667
GIURISPRUDENZA CIVILE operativo (41). Tuttavia, mentre le PA e gli altri soggetti pubblici di cui all’art. 2, co. 2 del CAD, i professionisti tenuti all’iscrizione in albi ed elenchi e i soggetti tenuti all’iscrizione nel registro delle imprese hanno l’obbligo di dotarsi di un domicilio digitale e di iscriverlo nel relativo elenco pubblico (42), l’iscrizione all’INAD dei
(41) L’indice INAD istituito dall’art. 6-quater CAD prevede l’iscrizione su base esclusivamente volontaria delle persone fisiche non professionisti e degli altri enti di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese. Al riguardo, fino al 10 luglio 2020 sono state indette le consultazioni pubbliche per suggerire ed integrare la proposta di linee guida che dovranno definire: “- le informazioni relative all’elezione, modifica, cancellazione del domicilio digitale che i soggetti preposti potranno inserire all’interno dell’INAD, così come previsto dal CAD; - storicizzazione dei suddetti contenuti e la loro gestione” (<https://www.agid.gov.it/>). Tale indice costituisce un momento importante nella digitalizzazione della PA, poiché consentirebbe la realizzazione di un più ampio registro dei domicili digitali. (42) CAD, art. 3 bis co. 1 e art. 16 co. 6 e ss. del d.l. 29 novembre 2008, n. 185. Si segnala che con il d.l. 16 luglio 2020, n. 76, convertito, con modificazioni, dalla l. 11 settembre 2020, n. 120 è stato un fissato il termine del 1 ottobre 2020 per comunicare da parte delle imprese costituite in forma societaria il proprio domicilio digitale al Registro Imprese e sono state inasprite le sanzioni in caso di mancata comunicazione a carico di imprese e professionisti iscritti in albi ed elenchi. Sul tema, si veda Campodonico, Un principio invincibile? la scissione degli effetti della notifica tra vis expansiva e notifiche via pec, in Dir. pratica trib., 2019, 2627: “Con la legge 12 novembre 2011, n. 183, il Legislatore interveniva sul testo della l. 21 gennaio 1994, n. 53 e stabiliva la facoltà, per avvocati e procuratori legali, di procedere, nel rispetto delle regole previste dalla stessa legge, alla notifica di atti anche tramite “posta elettronica certificata”. L’introduzione di questa modalità di notificazione, seppur limitata “alla materia civile, amministrativa e stragiudiziale”, è stata seguita, nel 2012, dalla codificazione del “domicilio digitale” (ex art. 16-sexies del d.l. n. 179 del 2012, introdotto dal d.l. 24 giugno 2014, n. 90), che è divenuto il “luogo” privilegiato ove eseguire, da parte del difensore, le notifiche “degli atti in materia civile”. E, al fine di assicurare la pubblicità dei nuovi “domicili digitali”, la legge ha disposto la loro raccolta in “pubblici elenchi” (il registro INI PEC, di cui all’art. 6-bis, rubricato Indice nazionale dei domicili digitali delle imprese e dei professionisti, del d.lgs. 7 marzo 2005, n. 82 e il ReGIndE, di cui al d.m. 21 febbraio 2011, n. 44), che sono formati su trasmissione degli indirizzi registrati presso i vari ordini professionali. Ad oggi la prevalenza del domicilio digitale sulle eventuali altre (e più tradizionali) elezioni di domicilio fisico è confermata anche dalla giurisprudenza di legittimità. Quest’ultima, nella sentenza n. 17048 del 2017, ha confermato l’impossibilità di procedere alle comunicazioni o alle notificazioni presso la cancelleria dell’ufficio giudiziario innanzi al quale pende la lite anche se il destinatario ha omesso di eleggere domicilio nel comune ove lo stesso ufficio giudiziario ha la sua sede qualora lo stesso disponga di un “domicilio digitale” e lo stesso sia presente nei pubblici registri.” La Corte di Cassazione, richiamando la sentenza 8 febbraio 2019, n. 3709, con l’ordinanza 27 settembre 2019, n. 24160 aveva ribadito il principio secondo cui in tema di notifiche telematiche è idoneo alla produzione di effetti soltanto il ReGIndE (Registro generale degli Indirizzi Elettronici di cui al d.m. 21 febbraio 2011 n. 44, gestito dal Ministero della Giustizia), non anche l’INI-PEC (Indice nazionale degli indirizzi id posta elettronica certificata, realizzato da InfoCamere in attuazione del decreto legge del 18 ottobre 2012, n.179, gestito dal Ministero dello Sviluppo Economico d.m. 19 marzo 2013). La decisione della Suprema Corte aveva suscitato perplessità per il fatto che ai sensi dell’articolo 3 bis della l. n. 53 del 1994 la notifica in proprio tramite PEC è consentita a condizione che l’indirizzo di posta elettronica certificata del destinatario della notifica risulti da pubblici elenchi. (Cfr.
668
DIRITTO DI INTERNET N. 4/2020
domicili digitali delle persone fisiche e degli altri enti di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese avviene esclusivamente su base volontaria. Ne deriva che pur in assenza di un “servizio fiduciario qualificato” di posta elettronica e di un momento di identificazione dotato di un elevato livello di sicurezza previsto normativamente, l’INIPEC potrebbe essere in grado di sopperire alla carenza del momento identificativo che caratterizza il servizio di PEC con riferimento ai soggetti tenuti all’iscrizione su tale registro. Infatti, i professionisti e gli enti di diritto privato i cui indirizzi PEC figurano nell’INIPEC sono stati previamente identificati – e certamente secondo standard che rispettano elevati livelli di sicurezza – al momento dell’iscrizione presso gli albi e gli elenchi professionali o presso il registro delle imprese. Il mancato adeguamento della PEC agli standard dettati dall’eIDAS con riferimento ai servizi di recapito certificato qualificati ha quindi determinato l’affidamento del momento identificativo di imprese e professionisti in capo a soggetti che non forniscono servizi fiduciari ai sensi dell’eIDAS, ma che godono, per le funzioni svolte, di pubblica fiducia: gli Ordini professionali e le Camere di commercio (43). Fermo restando che il ragionamento svolto riguarda unicamente i privati tenuti all’iscrizione all’INIPEC, va considerato che il domicilio digitale iscritto negli elenchi dotati di “fiducia pubblica” di cui all’art. 3 bis del CAD è valido al fine di effettuare comunicazioni elettroniche aventi lo stesso valore legale delle comuni-
Cass. Civ. 27 settembre 2019, n. 24110 e Cass. Civ. 27 settembre 2019, n. 24160). Tuttavia l’INI-PEC è un pubblico elenco ai sensi dell’art. 6 bis del CAD. La Corte di Cassazione ha quindi, con ordinanza 15 novembre 2019 n. 29749, ritenuto il registro INI-PEC attendibile per le notifiche ai sensi della l. n. 53 del 1994. (43) Si consideri peraltro che con specifico riferimento alle notifiche degli avvisi e degli altri atti da notificare al contribuente, qualora l’indirizzo PEC corrispondente al domicilio digitale risulta invalido o inattivo la notifica viene effettuata mediante un apposito procedimento alternativo disciplinato dalla legge: C.t.p. Milano, 21 novembre 2017, nota di Cancedda, L’indirizzo Pec invalido o inattivo non blocca la notifica in Il Fisco, 2018, 290: “Quando l’indirizzo di posta elettronica certificata di un contribuente obbligato per legge a dotarsi di un domicilio digitale non risulta valido o attivo, la notificazione della cartella di pagamento si considera eseguita, in base all’art. 26 del D.P.R. n. 602/1973 vigente ratione temporis, dopo il deposito telematico dell’atto presso gli Uffici della Camera di commercio competente per territorio e la pubblicazione del relativo avviso sul sito della medesima, decorsi dieci giorni dalla spedizione della prescritta “raccomandata informativa”, senza ulteriori adempimenti a carico dell’agente della riscossione. Questa la conclusione cui è pervenuta la Commissione tributaria provinciale di Milano con la sentenza n. 6464/15/17 del 21 novembre 2017, ripresa anche dalla stampa specialistica, che ha chiarito il momento perfezionativo delle notificazioni telematiche ricadenti nella disciplina fissata dall’art. 26 del Decreto sulla riscossione delle imposte sul reddito alla data dei fatti di causa.” Cfr. Romeo, Niente PEC? Notifica in Camera di commercio, in Il Sole - 24 Ore, 3 dicembre 2017, 21.
GIURISPRUDENZA CIVILE cazioni a mezzo raccomandata con ricevuta di ritorno ed equivalenti alla notificazione per mezzo della posta esclusivamente tra il suo titolare e la PA o gli altri soggetti pubblici individuati dall’art. 2 co. 2 del CAD (44). Pertanto, la legge non conferisce ai domicili digitali iscritti presso i pubblici elenchi alcun valore legale con riferimento alle comunicazioni tra privati (45). Una timida eccezione a tale regola è contenuta nell’art. 4 del d.P.R. n. 68 del 2005, ove è previsto che le imprese, nei rapporti tra loro intercorrenti, possono dichiarare – sempre su base volontaria - la esplicita volontà di accettare l’invio di posta elettronica certificata mediante indicazione nell’atto di iscrizione al Registro delle imprese (46). In definitiva, l’iscrizione dell’indirizzo PEC in elenchi pubblici di fiducia, quale circostanza esogena al servizio PEC, sopperisce solo in parte alle carenze di identificazione del titolare della casella, per due ordini di ragioni. In primo luogo, l’operatività degli elenchi è limitata
(44) Come si deduce dal combinato disposto tra l’art. 2 del CAD che ne definisce l’ambito di applicazione e l’art. 6 in materia di “Utilizzo del domicilio digitale” che non rientra tra le norme del CAD che “si applicano anche ai privati”. (45) Contra, Sala, E-Mail, Pec, Cpecpt, Caratteristiche e Differenze, in Immobili e proprietà, 2009, 717, il quale delineando la differenza tra PEC e email ha espresso un orientamento contrario a quello affermato nel testo in merito al valore probatorio della PEC: “La Posta Elettronica (o e-mail dall’abbreviazione dell’inglese electronic mail) è un servizio offerto da internet che consente di comunicare, scambiando (trasmettendo e ricevendo) messaggi, tra utenti distanti tra di loro in modalità asincrona. La posta elettronica corrisponde, nel mondo analogico, alla posta ordinaria [...] Come per l’analogico anche nel digitale non è garantita la consegna del messaggio di posta. […]. Posta Elettronica Certificata acronimo PEC (D.P.R. 11 febbraio 2005, n. 68) è, per così dire, un sistema di posta elettronica evoluto che offre al mittente la certezza del ricevimento del messaggio da parte del destinatario (ovvero della sua mancata consegna) e dell’integrità del messaggio. Nell’analogico la PEC è paragonabile alla raccomandata a.r. con la seguente differenza. La raccomandata a.r. è una modalità di trasmissione di un oggetto di corrispondenza che viene scelto dal mittente indipendentemente dall’adesione del destinatario che, per così dire, la subisce [...]. Nel digitale affinché si producano gli effetti legali della PEC, di attestazione elettronica dell’invio e della consegna di documenti informatici, è necessario che sia il mittente che il destinatario siano iscritti/abbonati al servizio di posta elettronica certificata. In altre parole: se il mittente invia un messaggio di posta elettronica tramite PEC all’indirizzo di posta ordinaria del destinatario non si producono gli effetti “legali” di certezza del ricevimento del messaggio. È come se una raccomandata a.r. venisse inserita nella cassetta delle lettere del destinatario senza richiederne la firma per ricezione. Quanto al contenuto del messaggio va precisato che gli effetti della PEC si limitano al contenuto del testo scritto nel messaggio stesso e non si estendono ad eventuali allegati. […]” (46) Prima dell’abrogazione operata dal d.lgs. 30 dicembre 2010, n. 235 l’art. 4 del d.P.R. n. 68 del 2005 prevedeva che i privati che intendevano utilizzare il servizio di posta elettronica certificata dovevano dichiarare espressamente il relativo indirizzo con riferimento ad ogni singolo rapporto intrattenuto tra privati al fine di conferire all’indirizzo medesimo ogni effetto giuridico. Tuttavia, l’abrogazione della suddetta previsione normativa non inficia l’autonomia negoziale dei privati che possono in ogni caso attribuire all’indirizzo PEC valore legale con riferimento alle comunicazioni inter partes.
dalla loro concreta istituzione (si veda l’indice INAD) e dalla previsione di un obbligo normativo per i privati di iscrizione negli elenchi medesimi che assicuri modalità di identificazione accurate del soggetto: ad oggi queste condizioni sono rispettate unicamente dall’INIPEC. In secondo luogo, ad oggi, l’art. 6 del CAD, nel definire il valore legale delle comunicazioni effettuate tramite i domicili digitali, si limita alle comunicazioni tra soggetti pubblici e privati, non riconoscendo alcun effetto giuridico alle comunicazioni tra privati. A ciò s’aggiunga che l’iscrizione dell’indirizzo PEC sull’INIPEC non è in grado di supplire alle carenze strutturali del servizio PEC in materia di autenticazione dell’utente al momento di utilizzo del servizio di posta. L’autenticazione dell’utente si verifica ogni qualvolta il titolare accede alla propria casella di posta. Come visto sopra, le regole tecniche rimettono al gestore del servizio la scelta delle modalità di autenticazione (47), non prevedendo alcun obbligo per il gestore. La prassi dei gestori di servizi PEC si è assestata nel senso di consentire l’accesso alla casella PEC senza “doppi sistemi di autenticazione” (48): è quindi molto debole l’affidabilità relativa all’effettivo utilizzo della casella da parte del titolare, sia nell’apertura dei messaggi ricevuti, che al momento dell’invio.
3.4. La validazione temporale semplice della trasmissione dei dati a mezzo PEC
Per quanto riguarda i riferimenti temporali, si è visto che il CAD rinvia alle specifiche tecniche dettate dal d.P.R. n. 68 del 2005 e dal Decreto Ministeriale 2 novembre 2005. L’art. 10 del d.P.R. prevede che i gestori di posta elettronica certificata appongano un riferimento temporale su ciascun messaggio in conformità a quanto previsto dalle regole tecniche. L’art. 9 del Decreto Ministeriale a sua volta stabilisce che il riferimento temporale viene generato mediante qualsiasi sistema basato sulla scala di tempo universale coordinato (UTC). Da ultimo, l’allegato tecnico al Decreto ministeriale specifica che “per tutte le operazioni effettuate durante i processi di elaborazione dei messaggi, ricevute, log, ecc. svolte dai punti di accesso/ricezione/consegna è necessario disporre di un accurato riferimento temporale. Tutti gli eventi (generazione di ricevute, buste di trasporto, log, ecc.) che costituiscono la transazione di elaborazione del messaggio presso i punti di accesso, ricezione
(47) Cfr. par. 3.2. (48) Ai sensi del Regolamento di Esecuzione (Ue) 2015/1502 della Commissione dell’8 settembre 2015, il mezzo di identificazione elettronica per garantire con un elevato livello di sicurezza l’identificazione dell’utente deve utilizza almeno due fattori di autenticazione appartenenti a categorie differenti (ad esempio basati (a) sul possesso di un dispositivo, e/o (b) sulla conoscenza personale di una informazione (pw) e/o (c) su un dato biometrico, cioè una caratteristica fisica del firmatario).
DIRITTO DI INTERNET N. 4/2020
669
GIURISPRUDENZA CIVILE e consegna devono impiegare un unico valore temporale rilevato all’interno della transazione stessa. In questo modo l’indicazione dell’istante di elaborazione del messaggio è univoca all’interno dei log, delle ricevute, dei messaggi, ecc. generati dal server” (49). Questi sono quindi i caratteri che il riferimento temporale associato alla trasmissione via PEC deve possedere al fine di essere reso opponibile ai terzi ai sensi dell’art. 48 comma 3 del CAD. Occorre pertanto interrogarsi, analogamente a quanto fatto per la firma delle ricevute e della busta di trasporto, sulla qualificazione in termini eIDAS del riferimento temporale associato alla PEC. Si rammenta che ai sensi dell’art. 42 dell’eIDAS “una validazione temporale elettronica qualificata soddisfa i requisiti seguenti: a) collega la data e l’ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non rilevabili dei dati; b) si basa su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato; e c) è apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente.” I caratteri del riferimento temporale associato alla PEC, così come individuati dalla normativa nazionale e dalle regole tecniche, potrebbero rispettare i requisiti fissati dall’art. 42 per la validazione temporale elettronica qualificata, che come visto rientra tra i requisiti previsti dal successivo articolo 44 eIDAS per i servizi elettronici di recapito certificato qualificati. E tale interpretazione appare avvalorata dal fatto che l’AgID, nell’individuare gli elementi che ad oggi non consentono di equiparare la PEC ai servizi elettronici di recapito certificato qualificato, non fa alcun riferimento ad insufficienze tecniche connesse alle caratteristiche del riferimento temporale regolato a livello nazionale. Tuttavia, il gestore del servizio deve essere un prestatore di servizi fiduciari qualificato ai sensi dell’art. 3 n. 20 dell’eIDAS e tale condizione non è prevista come obbligatoria dal vigente diritto nazionale. Ne consegue che il timestamping fornito dalla PEC fornisce una validazione temporale elettronica c.d. ‘semplice’ ai sensi dell’art. 3 n. 33 dell’eIDAS, a meno che in concreto il gestore del servizio PEC sia un prestatore di servizi fiduciari qualificati.
4. L’efficacia probatoria della posta elettronica certificata
Così ricostruito l’intricato quadro normativo e regolamentare del servizio di posta elettronica certificata, occorre interrogarsi in merito all’effettiva efficacia probatoria della PEC ed al suo concreto utilizzo in sede pro-
cessuale. E questi sono appunto i temi affrontati dalla sentenza in commento. Da quanto si è detto finora emerge che il servizio di PEC è un servizio elettronico di recapito certificato non qualificato secondo la normativa europea e dunque non gode delle presunzioni in termini di integrità, invio e ricezione dei dati da parte del “mittente” e del “destinatario” identificati e di accuratezza qualificata dei riferimenti temporali della trasmissione, previste dall’art. 43 comma 2 dell’eIDAS, con riferimento ai servizi elettronici di recapito certificato qualificati. Nondimeno la PEC possiede una serie di caratteri tecnici, cui la normativa italiana associa precise conseguenze sul piano giuridico, che le conferiscono comunque una certa stabilità in termini di prova in giudizio. E la sentenza in commento si concentra proprio sul “livello” di tale stabilità probatoria che l’interprete ha il compito di individuare, in assenza di un coordinamento tra la disciplina nazionale e la disciplina europea che ad oggi sconta la PEC. Alle trasmissioni via PEC è associata una presunzione di integrità dei dati, la quale sarebbe garantita sia dalla firma elettronica avanzata con cui sono sottoscritte la busta di trasporto e le ricevute di accettazione ed avvenuta consegna (50) che dalle diverse soluzioni tecniche che, come visto, la legge impone di adottare ai gestori del servizio per garantire la sicurezza della trasmissione (51). Analogamente, l’invio dei dati dalla “casella mittente” e la ricezione degli stessi presso la “casella destinataria” risultano assistite da una presunzione, in quanto la firma avanzata apposta alla busta di trasporto e alle ricevute oltre a garantire l’integrità dei dati, garantisce anche l’autenticità e la provenienza dalle rispettive caselle PEC (ma non dai titolari). Con specifico riguardo al profilo della provenienza dei dati, occorre sottolineare che non essendo previste dalla legge precise modalità di identificazione ed autenticazione dell’utente garantite da specifici livelli di sicurezza, l’effettivo collegamento tra la casella PEC ed il suo titolare non è assistito da alcuna presunzione. E se da un lato la provenienza del messaggio può essere sempre riconosciuta dal titolare della “casella mittente”, il destinatario potrà sempre affermare di non essere l’effettivo titolare della “casella destinataria”, salvo che il suo indirizzo risulti dall’INIPEC (non ancora dall’istituendo INAD) e che il mittente sia una PA o un altro soggetto pubblico di cui all’art. 2, co. 2, del CAD. È solo grazie all’intervento del fattore esogeno al servizio PEC, dato dalla pubblicazione dell’indirizzo del destinatario sull’INIPEC, che il mittente pubblico può beneficiare della presunzione di riferibilità dell’indirizzo
(50) d.P.R. n. 68 del 2005, art. 9. (49) Allegato al d.m. 2 novembre 2005, punto 7.1. “Riferimento temporale”.
670
DIRITTO DI INTERNET N. 4/2020
(51) d.P.R. n. 68 del 2005, art. 11; allegato al d.m. 2 novembre 2005, punto 8.3. “Colloquio sicuro”.
GIURISPRUDENZA CIVILE del destinatario al titolare effettivo cui quell’indirizzo è associato. Così non sarebbe per i privati e gli enti di diritto privato non iscritti in pubblici elenchi. Inoltre, la legge espressamente attribuisce alla ricevuta di accettazione la prova dell’avvenuta spedizione del messaggio e alla ricevuta di avvenuta consegna la prova che il messaggio di posta elettronica certificata sia effettivamente pervenuto all’ “indirizzo destinatario” alla data e all’ora attestati dalla ricevuta medesima. Si è già visto tuttavia che il riferimento temporale associato alla ricevuta di avvenuta consegna è una validazione temporale elettronica c.d. semplice ai sensi della normativa europea (52). Secondo la sentenza in commento, che si colloca nel solco della giurisprudenza costante in materia, la ricevuta di avvenuta consegna costituisce lo strumento di prova da produrre in giudizio al fine di dimostrare “che il messaggio è stato effettivamente consegnato al destinatario” (53). In realtà, alla luce di tutta l’analisi svolta finora si può affermare che la ricevuta di avvenuta consegna della PEC non possiede tale efficacia probatoria di per sé, ma solo se l’indirizzo del destinatario è riferibile al titolare a cui risulta associato in forza della pubblicazione su un elenco pubblico di fiducia che ne garantisce con un elevato livello di sicurezza l’identificazione.
4.1. Il disconoscimento della ricevuta di avvenuta consegna
Correttamente ricostruiti i confini dell’efficacia probatoria della ricevuta di avvenuta consegna, è utile in conclusione ripercorrere, secondo gli input provenienti dalla sentenza in commento, le relative modalità di disconoscimento in giudizio. La ricevuta di avvenuta consegna prodotta in giudizio come copia analogica del documento informatico non autenticata possiede, ai sensi dell’art. 23 del CAD, la stessa efficacia probatoria dell’originale, se la conformità all’originale non viene espressamente disconosciuta. La stabilità probatoria del documento così prodotto in giudizio dipende dal fatto che, come la sentenza in commento chiarisce, ad esso si applica la disciplina prevista dall’art. 2719 c.c. in materia di copie fotografiche di scritture, che trova applicazione generalizzata per tutti i documenti. Ne discende che la parte nei cui confronti viene prodotta la ricevuta di avvenuta consegna in formato analogico per contestarne la conformità all’originale dovrà operarne il disconoscimento, secondo la disciplina in materia di disconoscimento della scrittura privata che, come precisa la stessa giurisprudenza, si applica nel silenzio dell’art. 2719 c.c.
(52) Cfr. supra par. 3.4. (53) Trib. Roma, 18 giugno 2020, n. 3497, 11.
Ciò significa quindi che ai sensi dell’art. 215 c.p.c. la conformità della ricevuta di avvenuta consegna all’originale informatico può essere contestata dalla parte nei cui confronti è stata prodotta, nella prima udienza o nella prima risposta successiva alla produzione, senza che il giudice possa sostituirsi nell’attività di disconoscimento alla parte interessata, anche contumace. Peraltro, secondo i noti criteri fissati dalla giurisprudenza di legittimità richiamata dalla sentenza in commento, il disconoscimento deve essere operato mediante “una dichiarazione di chiaro e specifico contenuto che consenta di desumere da essa in modo inequivoco gli estremi della negazione della genuinità della copia” (54). In concreto, pertanto, la parte che intende contestare la conformità all’originale della ricevuta di avvenuta consegna prodotta nei suoi confronti dovrà indicare gli specifici elementi del documento che suscitano dubbi di conformità all’originale ed allegare i fatti idonei ad impedire la formazione del libero convincimento del giudice in merito alla corrispondenza del contenuto della ricevuta con l’originale. Una volta operato il disconoscimento, la parte che intende valersi della scrittura disconosciuta dovrà proporre istanza di verificazione ai sensi dell’art. 216 c.p.c. “proponendo i mezzi di prova che ritiene utili e producendo o indicando le scritture che possono servire di comparazione”, producendo pertanto in giudizio, con le modalità che saranno individuate dal giudice, il file originale della ricevuta di avvenuta consegna in formato .eml. Peraltro, la parte che intende valersi in giudizio della PEC potrebbe, nel caso in cui le modalità tecniche di allegazione delle prove lo consentano, direttamente produrre in giudizio il file originale della ricevuta di avvenuta consegna. Si rammenti che la ricevuta di avvenuta consegna è sottoscritta mediante firma elettronica avanzata dal gestore di posta elettronica certificata utilizzato dal destinatario e non direttamente dal destinatario. Ne consegue che il destinatario non può disconoscerne la sottoscrizione secondo l’ordinaria disciplina dettata per il disconoscimento di scrittura privata e non può proporre querela di falso (55), ma potrà tutt’al più provare che l’indirizzo (54) Sul punto la sentenza in commento rinvia a Cass. Civ. 13 maggio 2014, n. 10326. (55) Cass. Civ. 01 marzo 2018, n. 4789 in Diritto & Giustizia, 2018 :“In tema di notifiche telematiche nei procedimenti civili, la ricevuta di avvenuta consegna (RAC), rilasciata dal gestore di posta elettronica certificata del destinatario, costituisce documento idoneo a dimostrare, fino a prova contraria, che il messaggio informatico è pervenuto nella casella di posta elettronica del destinatario, senza tuttavia assurgere a quella ‘certezza pubblica’ propria degli atti facenti fede fino a querela di falso, atteso che, da un lato, atti dotati di siffatta speciale efficacia, incidendo sulle libertà costituzionali e sull’autonomia privata, costituiscono un numero chiuso e non sono suscettibili di estensione analogica e, dall’altro, l’art. 16 d.m. n. 44/2011 si esprime in termini di ‘opponibilità’ ai terzi ovvero di semplice ‘prova’ dell’avvenuta consegna del messaggio, e ciò tanto più che le attestazioni rilasciate dal gestore del servizio di posta elettronica
DIRITTO DI INTERNET N. 4/2020
671
GIURISPRUDENZA CIVILE di consegna non è a lui riferibile, in quanto non risultante da alcun elenco pubblico di fiducia. Ed ecco che si ritorna al ricorso ai fattori esogeni, unico attuale elemento di collegamento tra realtà analogica e digitale, di cui si è già ampiamente discusso.
ne relativizzano il valore probatorio e con lo scopo di garantire il dispiegamento degli stessi effetti nell’ambito di qualsiasi rapporto giuridico.
5. Conclusioni
In definitiva, la ricostruzione del complesso reticolo normativo in materia di posta elettronica certificata, così come interpretato dai numerosi interventi chiarificatori della giurisprudenza ben riassunti nella sentenza in commento, consente di affermare che, anche se la PEC non costituisce ad oggi un “servizio elettronico di recapito certificato qualificato” ai sensi della normativa europea, non godendo delle presunzioni ivi previste sulla provenienza del messaggio (identificazione e autenticazione), il diritto vivente associa comunque alle trasmissioni via PEC una presunzione di integrità, autenticità, provenienza dei dati trasmessi tra le caselle di posta e certezza (non qualificata) del riferimento temporale attestato dalla ricevuta di avvenuta consegna. Tuttavia, la riferibilità dell’indirizzo PEC al suo titolare, in forza di una identificazione forte operata a monte, ad oggi risulta garantita solo per i soggetti tenuti all’iscrizione nell’IPA e nell’INIPEC (non anche nell’istituendo INAD) che in ogni caso, giova sottolinearlo, rappresenta una circostanza esogena alla disciplina del servizio PEC, che integra dall’esterno l’efficacia probatoria della ricevuta di avvenuta consegna. Ed è proprio a tale prova integrata da fattori esterni che si riferisce il costante orientamento dei Giudici secondo cui la ricevuta di avvenuta consegna costituisce lo strumento di prova da produrre in giudizio al fine di dimostrare che il messaggio è stato effettivamente consegnato al destinatario. Con riguardo alla stabilità probatoria della trasmissione via PEC, questa è data dal fatto che la parte – il cui indirizzo figura negli elenchi pubblici di fiducia - nei cui confronti viene prodotta la ricevuta di avvenuta consegna in formato analogico è onerata del disconoscimento con i modi e i termini previsti per il disconoscimento della scrittura privata. Certo è che sembra urgente, vieppiù in vista della attuale spinta alla piena transizione digitale, garantire la definitiva transizione della PEC a servizio elettronico di recapito certificato qualificato, al fine di associare a tale servizio l’efficacia giuridica prevista dall’eIDAS (56), senza la dipendenza da fattori esterni ed eventuali che certificata, a differenza di quelle apposte sull’avviso di ricevimento dall’agente postale nelle notifiche a mezzo posta, aventi fede privilegiata, non si fondano su un’attività allo stesso delegata dall’ufficio giudiziario.” (56) Si noti che proprio a causa della congiuntura causata dall’epidemia la Commissione Europea ha lanciato una consultazione pubblica sull’eIDAS al fine di adeguarlo alle esigenze correnti: <https://ec.europa.eu/
672
DIRITTO DI INTERNET N. 4/2020
digital-single-market/en/news/digital-identity-and-trust-commission-launches-public-consultation-eidas-regulation>.
GIURISPRUDENZA CIVILE
Le colonne d’Ercole del diritto all’onore: rimozione globale vs. blocco geografico paneuropeo di post diffamatori su Facebook Tribunale
di
M ilano; sezione prima civile; ordinanza 17 giugno 2020; F. Inc., F.I. LTD, I. LLC c. M.P.
L’imposizione di un obbligo consistente nel rimuovere talune informazioni a livello mondiale, a causa dell’illiceità di tali informazioni accertata in forza di una legge applicabile, avrebbe come conseguenza che l’accertamento del loro carattere illecito esplichi effetti in altri Stati (che ben potrebbero, secondo le norme nazionali di conflitto, ritenere invece leciti i contenuti oggetto di causa); pertanto il giudice della cautela non può che ordinare la mera disabilitazione dell’accesso alle informazioni agli utenti italiani o europei.
…Omissis… Con ricorso ex art. 700 c.p.c., depositato il 10 giugno 2019, M.P. ha chiesto al Tribunale di Milano di ordinare a F. Inc., F.I. Limited, I. LLC, T. INC, Y. LLC e G. INC e G.I.H. la rimozione di contenuti on line, presenti nelle pagine riferibili alle società convenute, ritenuti denigratori. A sostegno del ricorso ha dedotto: che svolgeva attività di amministrazione in realtà imprenditoriali note a livello nazionale ed internazionale; che aveva intrattenuto una relazione con la sig. J. (asseritamente nota anche con lo pseudonimo “D.J.”), con la quale aveva avuto un figlio; che, in seguito alla loro separazione, il figlio era rimasto a vivere con la sig.ra J. a L. e il sig. P., residente in I., aveva versato alla ex compagnia un contributo di mantenimento; che, dopo il trasferimento del figlio della coppia presso il padre, il sig. P. non aveva più versato il contributo di mantenimento e, da quel momento, la sig.ra J. aveva posto in essere una “campagna denigratoria violentissima”, caratterizzata da “un’aggressività sempre crescente” su diversi social network, tra cui il S.F. e il S.I., pubblicando post ed immagini dal contenuto gravemente diffamatorio dell’onore e della reputazione, personale e professionale del ricorrente (effettuata coinvolgendo anche il nome della sig. S., proprietaria delle società nelle quali il ricorrente svolgeva il ruolo di amministratore delegato). Ha dunque concluso chiedendo: “previ tutti i provvedimenti di rito e di merito necessari, con provvedimento reso inaudita altera parte, atteso il tempo che sarà inevitabilmente necessario per la notificazione all’estero e l’esigenza di interrompere il prima possibile i contenuti denigratori presenti online che risultano oggettivamente ingiustificabili (e confidando che l’adempimento dell’ordine impartito renda altresì inutile la prosecuzione del giudizio anche nel merito) o in subordine previa fissazione di udienza e concessione del termine per la notificazione ai resistenti all’estero; i) ordinare ai resistenti, ciascuno per quanto di ragione,
la immediata rimozione dei post, video, fotografie e di tutti i contenuti sopraindicati al punto 6 del presente ricorso, punti I), II), III), IV) (lettere da a a l) precisando, altresì, che il contenuto del presente ricorso e del conseguente decreto è coperto da riservatezza e non può essere divulgato a terzi soggetti se non nei limiti strettamente necessari da ragioni tecniche legate alla rimozione dei contenuti; ii) ordinare ai resistenti la rimozione di tutti i contenuti dai canali sopraindicati che rimandino direttamente e indirettamente al nostro assistito recando i nomi allo stesso riconducibili (“P.”, “M.”) e, occorrendo e tenuto conto che i post e video diffamatori sono assolutamente predominanti, la chiusura degli account e dei canali sopraindicati il tutto precisando, altresì, che il contenuto del presente ricorso e del conseguente decreto è coperto da riservatezza e non può essere divulgato a terzi soggetti se non nei limiti strettamente necessari da ragioni tecniche legate alla rimozione dei contenuti; iii) disporre sin d’ora l’obbligo a carico di ciascuno dei resistenti di versare una somma di denaro pari a Euro 200,00 al giorno (o la diversa anche maggiore somma ritenuta di giustizia) in via accessoria anche ex art. 614bis c.p.c. in caso di mancata rimozione dei contenuti indicati entro 3 giorni dalla ricezione della notificazione del provvedimento (o nel diverso termine ritenuto da questo Ill.mo Tribunale)”. …Omissis… Depositate le memorie autorizzate, ascoltata la discussione delle parti, il Giudice, con ordinanza depositata in data 20 marzo 2020, in accoglimento del ricorso ex art. 700 c.p.c. ha ordinato alle società resistenti F. Inc., F.I. LTD e I. LLC di rimuovere, a livello mondiale, i contenuti segnalati fissando il termine di trenta giorni dalla comunicazione dell’ordinanza per il relativo adempimento e ha condannato le medesime società resistenti, in via tra loro solidale, alla rifusione, in favore del ricorrente, delle spese di lite.
DIRITTO DI INTERNET N. 4/2020
673
GIURISPRUDENZA CIVILE Con reclamo depositato il 6.4.2020 F. Inc., F.I. LTD e I. LLC hanno chiesto la revoca dell’ordinanza e la condanna del reclamato al pagamento delle spese di lite del ricorso cautelare e della fase di reclamo. Le società reclamate hanno dedotto: che le società F. INC e I. erano prive di legittimazione passiva, atteso che responsabile dei contenuti presenti sul S.F. per gli utenti italiani era solo F.I.; che erroneamente il giudice della fase cautelare aveva ordinato la rimozione globale di tutti i contenuti, atteso che tale domanda non era stata formulata nel ricorso introduttivo (ma solo nella successiva memoria autorizzata) e che i Tribunali italiani non avevano il potere di ordinare la rimozione, a livello mondiale, dei contenuti; che non poteva ritenersi sussistente il requisito del periculum in mora, atteso che l’accesso ai contenuti manifestamente illeciti segnalati dal sig. P. era stato prontamente rimosso per gli utenti italiani del S.F. e del S.I. e che i restanti contenuti non potevano ritenersi illeciti; che F.I. aveva adempiuto agli obblighi sulla stessa gravanti (in forza degli artt. 16 e 17 del c.d. Decreto E-Commerce) provvedendo a rimuovere i contenuti “manifestamente illeciti”; che, tra i contenuti oggetto del ricorso, erano presenti messaggi dal tenore inoffensivo, che non potevano considerarsi illeciti. …Omissis… Occorre verificare se i contenuti per cui è causa possono ritenersi manifestamente illeciti. Occorre, pertanto, verificare se gli stessi, stando ad una valutazione necessariamente sommaria (propria della fase cautelare), violino il diritto all’onore e alla reputazione invocato dalla difesa del sig. P. In via generale, osserva il Collegio che a ciascun individuo è riconosciuto un diritto all’onore, al decoro e alla reputazione, quali valori sociali della persona, strettamente connessi al concetto di inviolabile dignità dell’uomo, consacrato, nel nostro ordinamento, all’art. 2 della Costituzione e, in ambito internazionale e sovranazionale, dall’art. 1 della Carta dei diritti fondamentali dell’UE, dall’art. 12 della Dichiarazione universale dei diritti dell’uomo e dall’art. 17 del Patto internazionale relativo ai diritti civili e politici, ratificato in Italia con L. n. 881 del 1977. La legge nazionale tutela tali interessi mediante la comminatoria di sanzioni penali (cfr. art. 595 c.p. in tema di diffamazione e art. 594 c.p. in tema di ingiuria, ora trasformata in un illecito civile sottoposto a sanzioni civili in virtù del D.Lgs. n. 7 del 2016). È pertanto illegittima ogni espressione di mancato rispetto dell’integrità morale della persona, comunque manifestata. Tali interessi vengono tuttavia inevitabilmente a porsi in conflitto con il diritto di libera manifestazione del proprio pensiero, anch’esso riconosciuto dalla Costituzione (all’art. 21) e dalla Convenzione Europea dei dirit-
674
DIRITTO DI INTERNET N. 4/2020
ti dell’uomo (all’art. 10, mutuato dall’art. 19 della Dichiarazione universale dei diritti dell’uomo e ampliato dall’art. 19 del Patto internazionale di relativo ai diritti civili e politici) che lo consacrano come uno tra i più importanti diritti dell’individuo. La libertà di diffusione del pensiero non riguarda solo le informazioni e opinioni neutre o inoffensive, ma anche quelle che possano colpire negativamente, “essendo ciò richiesto dal pluralismo, dalla tolleranza e dallo spirito di apertura senza i quali non si ha una società democratica” (Corte Europea dei Diritti dell’uomo 8/7/1986 Lingens/Austria). L’esercizio del diritto fondamentale alla manifestazione del proprio pensiero funge da scriminante del fatto lesivo dell’onore altrui (rendendo lecita quest’ultima all’interno di tutto l’ordinamento) a condizione che vengano rispettati tre requisiti fondamentali, elaborati e riempiti di contenuto dalla giurisprudenza italiana e sovranazionale. Tali requisiti sono: a) la verità, ossia la corrispondenza tra i fatti accaduti e quelli narrati, con la precisazione che può ritenersi sufficiente anche la sola verità putativa purché frutto di un serio e diligente lavoro di ricerca; b) la pertinenza, ossia la sussistenza di un interesse ai fatti narrati da parte dell’opinione pubblica (Cass. civ. 15 dicembre 2004, n. 23366; Cass. civ. Cass. 18 ottobre 1984, n. 5259); c) la continenza, ossia la correttezza con cui i fatti vengono esposti, con rispetto dei requisiti minimi di forma (Cass. 18 ottobre 1984, n. 5259). Tanto premesso, nel caso in esame occorre esaminare specificamente tutti i contenuti oggetto di causa, per verificare se gli stessi ledano l’onore e la reputazione del sig. P., si riferiscano a fatti realmente accaduti e vengano esposti in modo corretto. Per semplicità e chiarezza, l’esame dei contenuti verrà condotto secondo la suddivisione proposta dalla difesa del ricorrente (e contenuta nell’ordinanza reclamata). Con riferimento ai contenuti di cui allegato A) della memoria autorizzata del 12.11.2019 non vi è alcun dubbio che gli stessi violino il diritto all’onore del sig. P. Solo a titolo di esempio, si possono citare post nei quali il ricorrente viene definito “mafioso” o, ancora, video nei quali la sig. J. urina sulla foto del sig. P. A tali considerazioni si aggiunge che, a fronte dell’accertata manifesta illiceità dei contenuti oggetto di esame, non può dirsi sussistente alcun interesse pubblico alla conoscenza delle vicende in esame. Rispetto a tali contenuti, peraltro, le stesse società reclamanti hanno provveduto tempestivamente alla loro rimozione. La materia del contendere attiene, pertanto, solo all’estensione territoriale dell’ordine di cancellazione (questione sulla quale si tornerà in seguito). In merito ai contenuti di cui all’allegato B) - 10 contenuti F. e 12 contenuti I. - oggetto di richiesta formulata nel corso del giudizio cautelare (e dopo la notifica del
GIURISPRUDENZA CIVILE ricorso introduttivo, si osserva quanto segue), si osserva quanto segue. Con riferimento all’eccepita “modifica della domanda cautelare”, osserva il Collegio come, nel procedimento ex art. 700 c.p.c. non possano ravvisarsi preclusioni e come, nel caso in esame, il fatto costitutivo della pretesa sia rimasto lo stesso. Nei contenuti in esame, nei quali A.J. appare in atteggiamenti ed abiti provocatori od in contesti trasgressivi, vi sono ripetuti riferimenti al nome del sig. P., che sono idonei ad ingenerare l’idea di un coinvolgimento dell’interessato in situazioni, iniziative o condotte connotate da ambiguità, provocazione od irregolarità. Gli stessi, pertanto, devono ritenersi lesivi dell’onore e della reputazione del ricorrente. Alla luce dei principi sopra richiamati possono essere ritenuti manifestamente illeciti, in quanto lesivi dell’onore del sig. P., i seguenti contenuti: …Omissis… 6. In merito ai rimedi esperibili, osserva il Collegio come la direttiva 2000/31, in particolare il suo articolo 15, paragrafo 1, consenta che un giudice di uno Stato membro possa ordinare ad un servizio di hosting di rimuovere le informazioni oggetto dell’ingiunzione o di bloccare l’accesso alle medesime. Con riferimento alla portata territoriale del predetto ordine, la Corte di Giustizia, nella richiamata sentenza E.G. c. F.I. LT, ha affermato che tale ordine può essere effettuato a livello mondiale, nell’ambito del diritto internazionale pertinente. Alla luce del contenuto delle difese delle parti (e dei richiami giurisprudenziali contenuti), appare opportuno ribadire che, nel caso in esame, la fattispecie attiene alla lesione del diritto all’onore ed alla reputazione e non, invece, alla lesione del diritto al trattamento dei dati personali. Come efficacemente chiarito nelle conclusioni dell’Avvocato Generale Ma. Sz. presentate il 4.6.2019, nella causa C-18/18 (conclusosi con la pronuncia appena citata), infatti, il legislatore dell’Unione non ha armonizzato né le norme sostanziali in materia di pregiudizio alla vita privata e ai diritti della personalità, inclusa la diffamazione, né le norme di conflitto in materia (cfr. articolo 1, paragrafo 2, del regolamento (CE) n. 864/2007 del Parlamento Europeo e del Consiglio, dell’11 luglio 2007, sulla legge applicabile alle obbligazioni extracontrattuali (“Roma II”, GU 2007, L 199, pag. 40). Pertanto, al fine di conoscere delle azioni di diffamazione, ciascun giudice dell’Unione ricorre alla legge designata come applicabile in forza delle norme nazionali di conflitto. La pronuncia della Corte di Giustizia richiamata dalle parti (nella causa C-507/17, G. LLC /Commission nationale de l’informatique et des libertès, CNIL), invece, riguardava la direttiva 95/46/CE, la quale armonizza, a
livello dell’Unione - a differenza di quanto appena visto in materia di diffamazione - alcune norme sostanziali relative alla protezione dei dati. Nel caso in esame, invece, l’imposizione in uno Stato membro di un obbligo consistente nel rimuovere talune informazioni a livello mondiale (in conseguenza di un accertamento in fase sommaria), per tutti gli utenti di una piattaforma elettronica, a causa dell’illiceità di tali informazioni accertata in forza di una legge applicabile, avrebbe come conseguenza che l’accertamento del loro carattere illecito esplichi effetti in altri Stati (che ben potrebbero, secondo le norme nazionali di conflitto, ritenere invece leciti i contenuti oggetto di causa). Tali considerazioni portano a ritenere che il giudice di uno Stato membro possa, in teoria, statuire sulla rimozione delle informazioni, manifestamente illecite, diffuse a mezzo Internet a livello mondiale. Tuttavia, come condivisibilmente sottolineato dall’Avvocato generale nelle richiamate conclusioni, “a causa delle differenze esistenti fra le leggi nazionali, da un lato, e la tutela della vita privata e dei diritti della personalità da esse prevista, dall’altro, e al fine di rispettare i diritti fondamentali ampiamente diffusi, un siffatto giudice deve adottare piuttosto un atteggiamento di autolimitazione”. Tale autolimitazione si realizza attraverso l’applicazione del principio di proporzionalità. Il diritto all’onore e alla reputazione non è un diritto assoluto, ma deve essere considerato in relazione alla sua funzione sociale ed essere bilanciato con altri diritti fondamentali, conformemente al principio di proporzionalità (in materia di trattamento dei dati personali, ma con argomentazioni che ben possono essere applicate nel caso di specie v., del pari, sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert, C-92/09 e C-93/09, EU:C:2010:662, punto 48). Non pare inutile ricordare che l’articolo 52, paragrafo 1, della Carta ammette che possano essere apportate limitazioni all’esercizio di diritti previsti dalla Carta stessa, purché tali limitazioni siano previste dalla legge, rispettino il contenuto essenziale di detti diritti e libertà e, nel rispetto del principio di proporzionalità, siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui (sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert, C-92/09 e C-93/09, EU:C:2010:662, punto 50). La nostra Corte Costituzionale, inoltre, ha affermato che nessun diritto fondamentale è protetto in termini assoluti dalla Costituzione, ma - al contrario - è soggetto a limiti per integrarsi con una pluralità di altri diritti e valori, giacché altrimenti si farebbe “tiranno” e porterebbe al totale annientamento di uno o più fattori in gioco (Corte Cost. 85/2013).
DIRITTO DI INTERNET N. 4/2020
675
GIURISPRUDENZA CIVILE Tanto premesso, nel caso in esame, alla luce dei contenuti oggetto di causa - pubblicati dalla ex compagna del sig. P. ed aventi ad oggetto, come evidenziato poco sopra, commenti, accostamenti suggestivi con espressioni denigratorie ed immagini tese a screditare l’onore e la reputazione del ricorrente - ritiene il Tribunale che, nel necessario bilanciamento tra la libertà di espressione e l’onore e la reputazione il contenuto degli stessi porti a rilevarne, nei limiti sopra indicati, il carattere manifestamente illecito. Una volta accertata la manifesta illiceità (nei limiti sopra indicati), nella scelta dei rimedi ritiene il Tribunale che, per assicurare al ricorrente una tutela effettiva, debba essere privilegiato il rimedio dal carattere fortemente incisivo, quale la rimozione definitiva dei contenuti. Con riferimento all’estensione territoriale di tale rimedio, in applicazione del principio di proporzionalità, in ragione della tipologia di contenuti pubblicati, delle caratteristiche del soggetto denigrato (il quale non svolge alcun ruolo pubblico) e dell’autore delle pubblicazioni (la ex compagna del sig. P.) e delle espressioni utilizzate (che in più parti fanno riferimento a vicende dal carattere privato, legate, ad esempio, alla volontà del sig. P. di non riconoscere il figlio), ritiene il Tribunale che l’ordine di rimozione sia idoneo a garantire una tutela effettiva senza necessità di estensione a tutto il mondo. Le attività lavorative svolte dal sig. P. (in particolare il ruolo di amministratore delegato in società dal rilievo internazionale, la lingua inglese in cui i post sono pubblicati ed il fatto che il figlio del ricorrente sia nato in Inghilterra) non giustificano, alla luce dei principi sopra richiamati, l’estensione territoriale a livello mondiale del predetto ordine di rimozione. Ancora in merito all’ambito territoriale di riferimento, osserva il Collegio che la forte compressione della libertà di espressione - in Stati che, come evidenziato poco sopra, ben potrebbero prevedere discipline nazionali
676
DIRITTO DI INTERNET N. 4/2020
diverse da quella dello Stato che emette l’ordine - conseguente ad un ordine di rimozione a livello mondiale richiede, proprio per il delicato bilanciamento tra diritti fondamentali, in ossequio a principi costituzionali e sovranazionali, l’intervento dell’autorità giudiziaria e difficilmente sembra demandabile a società private, quali i motori di ricerca o i social network. La rimozione, pertanto, deve essere effettuata da F.I. con riferimento agli Stati Europei (tra i quali rientra ancora la Gran Bretagna, atteso che, come è notorio, non risulta ancora decorso il periodo di transizione). Anche in punto di spese di lite si impone una riforma del provvedimento impugnato. F.I., infatti, non appena ricevuta notizia (con il ricorso introduttivo) della presenza di contenuti illeciti, li ha prontamente rimossi (sebbene solo con riferimento all’Italia). La novità della questione relativa all’estensione territoriale dell’ordine di rimozione, l’assenza di univoci orientamenti giurisprudenziali, le considerazioni appena svolte in ordine alla necessità che un provvedimento di tale portata (in materia di tutela dell’onore e della reputazione) venga adottato dall’autorità giurisdizionale e l’esistenza di pronunce della Corte, portano il Collegio a ritenere sussistenti le ragioni per disporre l’integrale compensazione delle spese di lite sia della fase cautelare che della presente fase di reclamo. ...Omissis… P.Q.M. Il Tribunale, definitivamente pronunciando, ogni altra istanza disattesa o assorbita, così dispone: 1) In parziale riforma dell’ordinanza emessa dal Tribunale di Milano e depositata il 20.3.2020, rigetta le domande cautelari spiegate nei confronti di F. Inc. e I. LLC ed ordina a F.I. LTD di rimuovere, in tutti gli stati dell’Unione Europea, i seguenti contenuti: …Omissis….
GIURISPRUDENZA CIVILE
IL COMMENTO di Marcello Stella
Sommario: 1. Diffamazione tramite social network, rimedi esperibili e loro infungibilità stante il principio della domanda. – 2. Sul potere dell’a.g.o. di auto-delimitare l’efficacia dei propri provvedimenti: critica. – 3. Il terreno elettivo del rimedio della disabilitazione dell’accesso alle informazioni. Adito con una domanda cautelare ante causam volta alla rimozione di contenuti diffamatori pubblicati da un utente su vari social networks, il Tribunale di Milano si è misurato con le tipologie e la diversa estensione territoriale dei rimedi esperibili nei confronti dei providers in base al diritto europeo, segnatamente la c.d. Direttiva E-commerce. All’esito del primo grado cautelare, ai providers resistenti fu ordinato di rimuovere senz’altro i contenuti individuati dal ricorrente, con effetto pratico derivante dalla attuazione dell’ordine giudiziale giocoforza ubiquo e globale. In parziale accoglimento del reclamo dei providers, il collegio meneghino ha invece ritenuto di dover rimodulare l’ordine inibitorio, intimando ai providers la mera disabilitazione dell’accesso ai medesimi contenuti e limitatamente agli utenti connessi dal territorio degli Stati membri della UE (Regno Unito incluso). E tanto alla insegna di una presunta incompatibilità di un ordine giudiziale di rimozione “globale” di commenti, pur delibativamente ritenuti diffamatori, con il possibile diverso bilanciamento tra diritti della personalità e libertà di manifestazione del pensiero operato a latitudini giuridiche diverse da quelle europeo-continentali. Tra le questioni di teoria generale del processo che la ordinanza agita, oltre a quella inerente il rispetto del principio della domanda, centrale è quella relativa alla stessa esistenza di un potere(-dovere) del giudice di auto-delimitare geograficamente la efficacia dei propri provvedimenti. Seized with an interim claim for global removal of defamatory content uploaded by a user on several social networks, the Court of Milan faced the issues regarding the type and the different territorial scope of the remedies available against the service provider pursuant to EU law, namely the E-commerce Directive. In the first degree of the interim procedure, the defendant providers were ordered to take down every defamatory content: the practical effects of compliance with such order would have been global. On appeal, the provisional order was partially set aside and amended, as the Tribunal in full composition reasoned that instead of a global removal a mere disabling of access to the contents, by the same Court found to be defamatory, by users connecting from EU Member States (United Kingdom included), would suffice. The Court considered that in other legal systems outside continental Europe the balance between personality rights and freedom of free speech and expression might be different and lead to different outcomes. The annotated order draws on several questions of general theory of process, including the violation of the principle of party disposition. Above all, the one concerning the very existence of an alleged duty of judicial self-restraint, and thus a power of courts to put territorial boundaries to the effects of their own mandatory orders, albeit provisional.
1. Diffamazione tramite social network, rimedi esperibili e loro infungibilità stante il principio della domanda
Il caso sarebbe degno di un racconto di Strindberg. Un marito inadempiente all’obbligo di mantenimento è bersaglio delle invettive della moglie sui social network. Il marito, amministratore di società operanti a livello internazionale, agisce in via cautelare per ottenere la immediata rimozione di video, foto e commenti diffamatori. Destinataria della domanda cautelare ante causam non è però la moglie (assente dal contraddittorio cautelare perché neppure evocata in giudizio), bensì le di lei controparti contrattuali, ossia le società fornitrici dei servizi di social network utilizzati per veicolare i messaggi diffamatori. Il fondamento giuridico della domanda cautelare viene individuato nella disciplina della Direttiva 2000/31/ Ce, che fa gravare sull’internet service provider (“ISP”), anche se svolgente una attività di mera memorizzazione di informazioni (“hosting”), pur sempre l’obbligo di
rimuovere o disabilitare l’accesso a informazioni lesive di diritti di terzi (1). In base all’art. 16, co. 3, d.lgs. 70/2003, che alla Direttiva e-commerce ha dato attuazione nell’ordinamento italiano, l’autorità giudiziaria può esigere “anche in via di urgenza” che l’ISP impedisca o ponga fine alle violazioni commesse. (1) Su tale disposizione si v. il recente arresto, citato pure dalla ordinanza in commento, di Cass., Sez. I, 19 marzo 2019, nn. 7708-7709 (caso Reti Televisive Italiane s.p.a. c. Yahoo Inc., Yahoo Italia s.r.l.), in Vita not., 2019, 557 ss., con nota di Cassano, Lo Statuto della responsabilità civile degli ISP. Niente di nuovo sotto il sole, ma quanta fatica; in questa Rivista, 2019, 41 ss., con commenti di Panetta e Rovati, Il ruolo attivo degli intermediari di Internet e la conseguente responsabilità civile; in Riv. dir. proc., 2019, 1340 ss., con nota di Ferrari, L’intelligenza artificiale nell’esecuzione di provvedimenti inibitori, in base a cui “la distinzione tra hosting provider attivo e passivo può, a ben vedere, agevolmente inquadrarsi nella tradizionale teoria della condotta illecita”. Mutuando parole di Mazzamuto, Il contratto di diritto europeo, Torino, 2012, 15, e preso dunque atto che il diritto privato europeo è pragmatico e non si cura delle architetture concettuali, avendo il legislatore comunitario il difficile compito di ottenere effettività con “minimo investimento assiologico” e “minimo tasso di riconcettualizzazione”, la Cassazione ha tracciato il confine fra illecito commissivo e illecito omissivo, proprio o improprio, a seconda dell’apporto causale del prestatore del servizio di hosting alla fruizione dei contenuti costituenti violazione del diritto di privativa da parte del pubblico degli utenti indeterminati. La rasserenante saldezza delle categorie.
DIRITTO DI INTERNET N. 4/2020
677
GIURISPRUDENZA CIVILE Da tale importante inciso normativo discende il duplice corollario per cui: (a) la rimozione e la disabilitazione delle informazioni lesive pubblicate online sono forme tipiche di tutela meritale di cognizione; tra loro alternative; finalizzate alla adozione di provvedimenti inibitori idonei al giudicato sostanziale; (b) i cui effetti possono essere, ove ricorrano i presupposti del fumus boni iuris e del periculum in mora, anticipati in via cautelare (2). I diritti soggettivi alla rimozione ed alla disabilitazione dell’accesso alle informazioni pregiudizievoli non appaiono tra loro fungibili. La rimozione (o take-down) consiste nella radicale cancellazione delle informazioni presenti nella rete. Si tratta di rimedio più drastico rispetto a quello, non cautelare ma merital-finale, della rettifica previsto dalla legge sulla stampa cartacea (3). Una volta rimosse dal web, le informazioni non saranno più visibili o consultabili da alcuno. La disabilitazione dell’accesso alle informazioni è rimedio qualitativamente diverso, poiché consistente in una misura di tipo meramente interdittivo, non demolitorio. Grazie alla moderna tecnologia nota come blocco geografico (geo-blocking), l’ISP è in grado di inibire l’accesso alle informazioni in maniera selettiva per aree territoriali, ad es. può precludere l’accesso a determinati contenuti ai soli utenti che si connettano ad internet da un determinato Paese. Sarebbe perciò incongruo discorrere di obbligazione alternativa con facoltà di scelta del rimedio in capo all’ISP debitore, su cui grava l’obbligo di prestazione. Il petitum cautelare del marito, tornando ora alla vicenda che ci occupa, era a dir vero ancipite. Dalla preponderanza dei contenuti diffamatori caricati sulle pagine profilo della moglie, il marito pretendeva doversi desumere che gli account della moglie fossero stati creati a puro scopo emulativo. Chiedeva perciò il marito, in
(2) I primi interpreti del D.lgs. 70/2003 non sembrano nutrire dubbi sul fatto che “un giudice civile possa intervenire anche nel web con i poteri di cui all’art. 700 c.p.c.”: così Cassano - Cimino, Il nuovo regime di responsabilità dei providers: verso la creazione di un novello «censore telematico»? Un primo commento agli artt. 14-17 del D. Lgs. n. 70/2003, in Giur. it., 2004, 3 ss. e in I Contratti, 2004, 88 ss., 94. Salvo che per la incongruità del riferimento all’art. 700 c.p.c., stante la tipicità dei rimedi introdotti dal conditor, siamo perfettamente concordi nel ravvisare la tutelabilità anche in via cautelare delle situazioni giuridiche soggettive previste dal d.lgs. 70/2003. (3) Sulla natura della rettifica, Proto Pisani, Le tutele giurisdizionali dei diritti, Napoli, 2003, 684-685; Dittrich, Dalla tutela cautelare anticipatoria alla tutela sommaria definitiva, in Riv. dir. proc., 1988, 672 ss., 682, ove il rilievo che la concessione del provvedimento che ordina la rettifica “elimina (o tende a eliminare) il danno prodotto dalla falsa rappresentazione della realtà indotta dalla pubblicazione lesiva” sicché una volta che si sia provveduto alla pubblicazione della rettifica “non è dato vedere alcuna possibilità di successive modificazioni determinate dal giudizio di merito”. L’A. ne trae la conclusione che quella prevista dall’art. 42 l. stampa sarebbe una forma di tutela tipica e finale, avente per oggetto il diritto di rettifica.
678
DIRITTO DI INTERNET N. 4/2020
via di cumulo eventuale (“occorrendo”), che alle società estere resistenti fosse ordinata la chiusura dei predetti account. Misura, quest’ultima, non prevista dalle fonti normative testé passate in rassegna ed invero a stento concepibile. Un terzo non può ottenere lo scioglimento ope iudicis di un contratto inter alios, né pretendere che ad uno dei contraenti sia giudizialmente imposto di recedere da esso. Il processo cautelare, di cui si sono ora compiutamente tracciati i contorni, ha sortito esiti alterni. In primo grado, il Giudice monocratico ordinò alla unica vera legittimata passiva – la società irlandese Facebook Ltd. – di rimuovere senz’altro dalle pagine profilo della moglie i contenuti individuati come diffamatori dal ricorrente. Onde nessuno più, in Italia o all’estero, avesse a visualizzare i poco lusinghieri commenti sulla vita privata del ricorrente. In grado di reclamo, nel contraddittorio rastrematosi per effetto dell’accoglimento delle eccezioni di difetto di legittimazione sostanziale passiva sollevate da quelle tra le varie società destinatarie della domanda cautelare che avevano dimostrato di non essere fornitrici dei servizi di social network di cui si era avvalsa la moglie autrice dei post offensivi, ed in parziale accoglimento del gravame della società irlandese, pur confermata la delibazione circa il carattere “manifestamente illecito” dei commenti della moglie, il collegio reputò che per soddisfare il bisogno di tutela giuridica del ricorrente sarebbe bastata la meno pervasiva misura interdittiva consistente nella disabilitazione dell’accesso ai post diffamatori; blocco geografico che il collegio ritenne congruo disporre in relazione al solo territorio degli Stati membri della UE (Regno Unito ancora compreso). Tutto ciò, beninteso, pur se il ricorrente cautelare mai aveva formulato una simile domanda, né dalla reclamante era stata affacciata una simile possibilità, quale misura per essa meno gravosa in luogo della rimozione.
2. Sul potere dell’a.g.o. di auto-delimitare l’efficacia dei propri provvedimenti: critica
Per legittimare la solare extrapetizione consumatasi nel caso di specie, non verrebbe in soccorso la tesi per cui il giudice della cautela avrebbe ampia discrezionalità nella selezione delle misure “più opportune” onde assicurare provvisoriamente gli effetti della tutela di merito. Il temperamento al principio di corrispondenza tra il chiesto e il pronunciato, che secondo alcuni autori godrebbe di addentellato positivo nella lettera dell’art. 700 c.p.c. (4), potrebbe a tutto voler concedere valere in rap (4) La questione involge squisitamente il nesso di corrispondenza tra il petitum immediato della domanda cautelare, i.e. la misura concretamente richiesta dalla parte, ed il contenuto del provvedimento giudiziale. Secondo una opinione, Verde, Diritto processuale civile. 3. Processo di esecuzione.
GIURISPRUDENZA CIVILE porto ai rimedi cautelari residuali innominati; non già esser traslato nel contesto di una tutela tipica, compiutamente delineata dal conditor. Si vide infatti che il d.lgs. 70/2003 disciplina tassativamente forme e modi della tutela giurisdizionale elargibile su domanda di parte e nei limiti di essa. Spetterà dunque al ricorrente-attore, in via esclusiva, il potere monopolistico, da esercitare nell’atto introduttivo del giudizio (o entro il termine per la modificazione della domanda originaria o sua sostituzione o affiancamento con una domanda subordinata complanare: dunque quello della memoria ex art. 183, co. 6, n. 1, c.p.c. nel rito di cognizione ordinario), di scelta del rimedio per lui più idoneo ad evitare il perpetuarsi dello stato di lesione del diritto della personalità violato. Diritto che non formerà a ben vedere l’oggetto del processo di merito, ma che assurgerà ad uno dei fatti costitutivi del diritto soggettivo alla rimozione o alla disabilitazione dedotto in giudizio, eventualmente preceduto dalla infruttuosa intimazione stragiudiziale all’ISP. L’intervento di tipo sostitutivo posto in essere dal Giudice del reclamo, dicevamo, è invece imperniato sul rilievo per cui “l’imposizione da parte del giudice di uno Stato membro di un obbligo consistente nel rimuovere talune informazioni a livello mondiale (in conseguenza di un accertamento in fase sommaria, a causa dell’illiceità di tali informazioni accertata in forza di una legge applicabile, avrebbe come conseguenza che l’accertamento del loro carattere illecito esplichi effetti in altri Stati (che ben potrebbero, secondo le norme nazionali di conflitto, ritenere invece leciti i contenuti oggetto di causa)”. Da tale fallace premessa (e se ne vedrà subito la ragione), il Giudice del reclamo ha tratto la conclusione, dalle Procedimenti speciali, Bologna, 2017, 245, il giudice potrebbe liberamente modellare lo strumento più idoneo a soddisfare il bisogno di cautela della parte (“Il contenuto del provvedimento è quello che appare, secondo le circostanze, più idoneo ad assicurare gli effetti della decisione sul merito. È, quindi, un contenuto atipico che va modellato dal giudice, anche d’ufficio, in funzione del pericolo rappresentato ed al quale occorre porre rimedio: può essere un provvedimento conservativo, anticipatorio, innovativo o avere, mescolati, i vari caratteri. Se ciò si condivide, bisogna anche convenire sul punto che, nella tutela d’urgenza, il principio della domanda deve essere rapportato alla utilità in concreto perseguita e non al tipo di provvedimento espressamente richiesto”). Altri autori opinano che l’art. 112 c.p.c. non porrebbe un argine alla discrezionalità del giudice adito ai sensi dell’art. 700 c.p.c. di individuare la misura assicurativa più idonea a soddisfare la esigenza cautelare della parte e valorizzano per l’appunto la lettera di questa ultima disposizione. Così Proto Pisani, I provvedimenti d’urgenza ex art. 700 c.p.c., in Appunti sulla giustizia civile, Bari, 1982, 386; Merlin, voce Procedimenti cautelari e urgenti in generale, in Dig. disc. priv., Sez. civ., vol. XIV, Torino, 1996, 402. Contra, Salvaneschi, La domanda e il procedimento, in Il processo cautelare, a cura di Tarzia e Saletti, Milano, 2015, 389; Consolo, Art. 669-bis, in Commentario alla riforma del processo civile, a cura di Consolo, Luiso e Sassani, Milano, 1996, 580; Tommaseo, I provvedimenti di urgenza, Padova, 1983, 224 ss. Propenderemmo per questa ultima opinione, che pure presta il fianco ad una più ampia facoltà di riproposizione della domanda cautelare a fronte del suo rigetto. È in funzione del provvedimento richiesto, non va scordato, che la istruttoria cautelare dovrà svolgersi.
ricadute asistematiche e sfuggenti, per cui “al fine di rispettare i diritti fondamentali ampiamente diffusi, un siffatto giudice deve adottare piuttosto un atteggiamento di autolimitazione”. Il fatto che le parole della ordinanza siano state prese a prestito dalle Conclusioni di un Avvocato Generale della Corte UE non le rende certo meno insondabili. Che cosa vuol dire, infatti, “atteggiamento di autolimitazione”? Posto che nel nostro ordinamento giuridico la autorità giurisdizionale è tenuta alla osservanza della legge (art. 101 Cost.), e la legge impone al giudice di decidere sulla domanda e nei limiti di essa (art. 112 c.p.c.), senza lasciare margini alla discrezionalità del giudicante, dal collegio meneghino si sarebbe potuto esigere uno sforzo motivatorio ben maggiore. Invece, la ordinanza in commento lascia in sospeso proprio il punto cruciale, in tutto questo nuovo genus casistico: vale a dire se il predicato self-restraint giudiziale, ovvero, con lo slogan coniato dalla reclamante straniera, se il “difetto di potere dei Tribunali italiani di ordinare la rimozione a livello mondiale di scritti diffamatori”, discenda da un supposto difetto di giurisdizione, dunque dalla carenza di un presupposto processuale, oppure investa profili di infondatezza della domanda nel merito. Nessuna di tali vie di concettualizzazione si mostra però appagante. Il ripiego officioso su un rimedio del tutto eterogeneo (blocco geografico) rispetto a quello richiesto dal ricorrente cautelare (rimozione) non può e non poteva essere dettato dalla carenza di giurisdizione italiana sulla domanda. Il Giudice del reclamo ebbe a rilevare, correttamente, che la vittima della diffamazione ricorrente era residente in Italia. Atteso che l’ISP resistente aveva a sua volta sede in un altro Stato membro, la questione di giurisdizione sulla futura causa di merito doveva essere decisa in base alle regole uniformi sancite dal Reg. 1215/2012. In Italia poteva ritenersi senz’altro situato il “luogo in cui l’evento dannoso è avvenuto”, ossia il criterio di collegamento previsto dall’art. 7, n. 2, Reg. 1215/2012 per le domande in materia extracontrattuale. Tale luogo, secondo la giurisprudenza eDate Advertising della Corte di Giustizia (5), coincide con il “centro di interessi” della
(5) CGUE 25 ottobre 2011, cause riunite C-509/09, eDate Advertising GmbH c. X e C- 161/10, Olivier Martinez c. MGN Limited, in Journ. Intellectual Property Law & Practice, 2012, 241 ss., con nota di Agate, Jurisdiction in the context of internet publication; in Int’l Comp. Law Quart., 2012, 1007 ss., con nota di Gillies, Jurisdiction for Cross-border Breach of Personality and Defamation: eDate Advertising and Martinez; in Juristen Zeitung, 2012, 189 ss., con nota di Hess, Der Schutz der Privatsphäre im Europäischen Zivilverfahrensrecht, il quale annotatore rileva che la soluzione adottata dalla Corte si sarebbe perfettamente armonizzata con la proposta del Parlamento europeo sulla legge applicabile alla diffamazione: proposta tut-
DIRITTO DI INTERNET N. 4/2020
679
GIURISPRUDENZA CIVILE vittima di diffamazione online, che per le persone fisiche è appunto il luogo di residenza o di svolgimento della attività professionale. Il giudice italiano era dunque sicuramente competente a conoscere della futura azione di merito preannunciata contro l’ISP resistente, volta ad ottenere la rimozione (con effetti pratici ubiqui) dei post lesivi; e di riflesso munito di piena giurisdizione anche cautelare nei confronti della società irlandese. La pronuncia di un ordine cautelare di facere finalizzato alla rimozione dei contenuti lesivi, ne consegue, in nessun modo avrebbe potuto ritenersi espressione di giurisdizione esorbitante. Se la misura inibitoria in personam fosse stata chiesta al giudice di uno Stato membro diverso da quello del centro di interessi (o del forum rei), postulandosi la giurisdizione sulla domanda cautelare in ragione della mera accessibilità della pubblicazione diffamatoria nel territorio dello Stato del foro, solo allora si sarebbe potuto dubitare della condicio sine qua non della giurisdizione cautelare sganciata da quella di merito, quale enunciata dalla sentenza Van Uden (6), vale a dire la esistenza di un “effettivo nesso di collegamento” tra l’oggetto del provvedimento cautelare e la competenza territoriale del giudice dello Stato membro adito. La mera accessibilità delle pubblicazioni lesive nello Stato del foro sarebbe di per sé un legame troppo flebile ed insignificante per giustificare la adozione di provvedimenti inibitori provvisori. Assodato che non vi era alcuna questione pregiudiziale di rito, segnatamente attinente al rispetto delle regole uniformi di giurisdizione in materia civile e commerciale, per cui il Giudice italiano dovesse astenersi dal pronunciare l’ordine cautelare di rimozione richiesto, va verificata ora la tenuta dell’argomento per cui un atteggiamento di “autolimitazione” sarebbe stato necessario per non offendere valori giuridici stranieri. Quella dell’ossequio alle leggi straniere è tesi ancor meno convincente. Per accertare se una data pubblicazione sia lesiva del diritto della personalità e ne vada dunque disposta la rimozione, il giudice italiano deve applicare la lex fori, e così, se del caso, le sole disposizioni del diritto straniero che siano richiamate e rese applicabili dalle norme di diritto internazionale privato italiano. Nel caso di specie, tavia mai tradottasi in uno strumento normativo vincolante. La materia è però sensibile ed il Reg. 864/2007 (c.d. Roma II) ha infine escluso dal suo campo di applicazione le «obbligazioni extracontrattuali che derivano da violazioni della vita privata e dei diritti della personalità, compresa la diffamazione» (Art. 1, co. 2, lett. “g”). (6) CGCE 17 novembre 1988, causa C-391/95, Van Uden Maritime BV c. Deco Line; su cui Consolo, Van Uden e Mietz: un’evitabile Babele, in Corr. giuridico, 2002, 30 ss.; Merlin, Le misure provvisorie e cautelari nello spazio giudiziario europeo, in Riv. dir. proc., 2002, 759 ss.; Querzola, Tutela cautelare e Convenzione di Bruxelles nell’esperienza della Corte di giustizia delle Comunità europee, in Riv. trim. dir. proc. civ., 2000, 805 ss.
680
DIRITTO DI INTERNET N. 4/2020
atteso che il luogo di verificazione dell’evento dannoso era situato in Italia, l’art. 62 l. 218/1995 avrebbe portato comunque alla applicazione della legge italiana. Nessuna disposizione di legge, invece, autorizza il giudice italiano a compiere una prognosi sulla fondatezza della domanda in base a leggi straniere di cui non si debba neppure fare applicazione, né tanto meno è consentito al giudice interrogarsi sulla futura compatibilità degli effetti del proprio provvedimento giurisdizionale con l’ordine pubblico sostanziale di ordinamenti giuridici stranieri. Il collegio meneghino sembrerebbe però voler sorvolare su queste davvero ineludibili e dirimenti constatazioni, là dove paventa che “l’accertamento del carattere illecito delle pubblicazioni possa esplicare effetti in altri Stati che ben potrebbero, secondo le norme nazionali di conflitto, ritenere invece leciti i contenuti oggetto di causa”. Ma neppure questa vaga remora circa il riverbero di ipotetici effetti ultra partes del provvedimento cautelare italiano in Stati “terzi” appare in alcun modo giustificata. È indubbio che della attuazione dell’ordine cautelare anticipatorio di facere, consistente nella cancellazione dei contenuti pubblicati online, i riflessi pratici si avvertiranno ovunque. Ciò non significa affatto che la efficacia vincolante propria del provvedimento giudiziale cautelare si estenda ultra partes, nei confronti di soggetti diversi dal destinatario dell’ordine giudiziale. Gli utenti di internet sparsi in tutto il mondo devono propriamente qualificarsi come terzi indifferenti rispetto all’esito della lite tra il danneggiato ricorrente e l’ISP. Ci si potrebbe semmai interrogare se l’autore delle pubblicazioni lesive, che è anch’egli terzo rispetto alla causa tra il danneggiato e l’ISP avente ad oggetto il diritto alla rimozione delle informazioni, non rischi di veder pregiudicata la sua libertà di espressione dalla attuazione del provvedimento pronunciato nei confronti dell’ISP. Riterremmo tuttavia, salvo rinviare qui ad una prossima e più distesa riflessione, che l’autore dei post diffamatori rimossi dall’ISP non sia qualificabile come titolare, in senso tecnico, di un diritto incompatibile con quello alla rimozione o alla disabilitazione (tale da legittimare l’autore del post a fare opposizione di terzo contro la sentenza di merito, ex art. 404 c.p.c.), e che l’utente generico neppure versi nella titolarità di un diritto dipendente, ossia destinato a subire gli effetti riflessi del giudicato, all’esito della causa tra il danneggiato e l’ISP, che accerti il diritto alla rimozione. Non si addice alla fattispecie, sia chiaro, lo schema concettuale della lite bilaterale tra locatore e terzo pretendente, con riflessione del giudicato sfavorevole al locatore evitto nella sfera del conduttore sub-contraente. L’autore dei post è bensì titolare di prerogative contrattuali nei confronti dell’ISP suo dante causa, che trovano la loro disciplina nel contratto di fornitura del servizio
GIURISPRUDENZA CIVILE di social media. Se l’ISP, obbligato a rimuovere talune informazioni dell’utente su ordine della autorità giudiziaria, proceda alla cancellazione, e tale eventualità non sia già disciplinata dal contratto di social media, egli potrà trovarsi esposto ad una responsabilità contrattuale nei confronti dell’utente. L’ISP non potrebbe certamente opporre all’utente il provvedimento reso dalla autorità giudiziaria, ai cui effetti, né diretti né riflessi, l’utente non è assoggettato. L’ISP potrà tuttavia dimostrare che la sua ottemperanza al provvedimento giudiziario non assurge ad inadempimento del contratto di fornitura del servizio di social media, in quanto all’utente non è consentito avvalersi del servizio per consumare illeciti in danno di terzi. Né, infine, si potrebbe obiettare che in relazione a notizie pubblicate a mezzo stampa online (ma non era comunque questo un caso di diffamazione a mezzo di testata giornalistica online) vi sia un interesse pubblico prevalente sul diritto della personalità del soggetto che chiede la rimozione, tale da legittimare il giudice ordinario a compiere un bilanciamento in concreto, caso per caso, idoneo a sfociare nel diniego della rimozione e nella concessione di un rimedio diverso da quello richiesto dalla parte. Il bilanciamento tra diritto di manifestazione del pensiero, libertà di stampa e diritti della personalità è compiuto, in via generale e astratta, dal legislatore costituzionale e ordinario. Al giudice compete meramente accertare se una data notizia inerente la vita privata ecceda i caratteri della verità, pertinenza e continenza e se vi sia un interesse del pubblico alla conoscenza di tali fatti qualora il soggetto cui i fatti si riferiscono sia un personaggio pubblico. Il giudice italiano neppure è in potere di interrogarsi sul se il suo provvedimento godrà di riconoscimento o tolleranza in altri ordinamenti onde “modulare” preventivamente la efficacia territoriale della sentenza o del provvedimento cautelare sulla base di considerazioni di opportunità dettate dalla comitas gentium (7). Questo (7) L’appello dell’Avv. Gen. Szpunar nelle Conclusioni del 4 giugno 2019, in causa C-18/18, Eva Glawischnig-Piesczek c. Facebook Ireland Limited, al punto 100, suona così: “l’attuazione di un obbligo di rimozione non dovrebbe eccedere quanto necessario ad assicurare la protezione della persona lesa. Pertanto, invece di cancellare il contenuto, detto giudice potrebbe, se del caso, ordinare la disabilitazione dell’accesso a tali informazioni con l’ausilio del blocco geografico”. Questo argomentare trascura l’ineludibile principio della domanda, cardine del diritto processuale civile continentale. La Corte di Giustizia, con sentenza del 3 ottobre 2019, in Europäische Zeitschrift für Wirtschaftsrecht, 2019, 942, non ha raccolto l’invito alla discrezionalità giudiziale formulato dall’Avv. Gen. ed ha statuito a chiare lettere che il diritto europeo non pone alcun impedimento al potere del giudice nazionale di uno Stato membro di ordinare all’ISP la rimozione di contenuti lesivi di diritti della personalità, anche se la attuazione del provvedimento produca effetti pratici percepibili sul piano globale. È bene precisare che nel caso comunitario i quesiti pregiudiziali non vertevano sulla interpretazione delle norme di giurisdizione
tipo di valutazione, negli ordinamenti – lontani dal nostro – che subordinano il riconoscimento degli effetti del giudicato straniero ad una valutazione discrezionale, competerebbe semmai al giudice del riconoscimento e non certo può essere anticipata dal giudice della causa di merito o della cautela. Che è privo del potere di “contingentare” territorialmente la efficacia dei propri provvedimenti. Tutt’altra cosa è il potere, che legittimamente il giudice dovrà esercitare, se la domanda giudiziale sia diretta ad ottenere la imposizione di un blocco geografico, di modulare la ampiezza del facere che sarà ordinato al prestatore del servizio di informazione. Il provvedimento cautelare richiesto dal ricorrente nel caso di specie, del resto, era destinato ad essere eseguito in Irlanda, Stato membro della sede della società resistente. Nell’ambito dello spazio giudiziario europeo, i provvedimenti giudiziali in materia civile e commerciale godono di riconoscimento automatico e di immediata esecutività, senza neppure più bisogno di exequatur. Proprio nulla, in definitiva, avrebbe giustificato il self-restraint che il tribunale di Milano s’è creduto in dovere di esercitare e la conseguente astensione dall’ordinare la cancellazione degli scritti accertatamente diffamatori.
3. Il terreno elettivo del rimedio della disabilitazione dell’accesso alle informazioni
La vicenda lascia con l’amaro in bocca: confinare la tutela del diritto all’onore e alla reputazione entro i confini europei per ossequio a presunte (neppure bene individuate) disposizioni di legge straniera che (si ipotizza) regolino la fattispecie in modo diverso, vuol dire rendere solo declamatoria e illusoria la affermazione circa la natura fondamentale ed universale di tale diritto personalissimo. A livello comparato si registrano tendenze diametralmente opposte rispetto a quella del tribunale meneghino. Di recente, la Alta Corte di Delhi (8), richiesta di ordinare la rimozione di alcuni video diffamatori caricati su Facebook, ha vigorosamente respinto l’appello alla comity avanzato dall’ISP statunitense, ed ha statuito che il mero blocco geografico all’accesso alle informazioni uniformi del Reg. 1215/ 2012. Il giudice remittente era quello austriaco del centro di interessi della vittima di diffamazione, sicché indubbia sarebbe stata la sua competenza anche cautelare. La Corte era richiesta di dirimere questioni di schietto diritto sostanziale relative alla interpretazione della Direttiva 2000/31/CE ed agli obblighi che ne discendono in capo ai prestatori di servizi online, in particolare se all’ISP possa essere ordinato non solo di cancellare i commenti diffamatori già individuati rebus sic stantibus dal ricorrente ma anche, de futuro, di rimuovere commenti di tenore diffamatorio analogo. Il quesito ha ricevuto affermativa risposta. (8) Swami Ramdev and Another v Facebook, Inc and Others (2019) 263 DLT 689, in Journ. Intellectual Property Law & Practice, 2020, 90 ss., con commento critico di Kumaresan, Delhi High Court orders global removal of defamatory content by social media platforms and ruled that geo-blocking would not be a valid alternative.
DIRITTO DI INTERNET N. 4/2020
681
GIURISPRUDENZA CIVILE lesive non avrebbe tutelato appieno il diritto della personalità del ricorrente, atteso il rischio di accesso alle medesime informazioni per vie traverse. La Corte indiana ha soggiunto che la rimozione delle informazioni illecite, caricate su internet da utenti indiani, rientrava pienamente nei poteri giurisdizionali del giudice indiano del locus commissi delicti. Al di là della deminutio del diritto della personalità che si è consumata nel caso italiano di specie, viene però da chiedersi quali siano le situazioni in cui la mera disabilitazione dell’accesso alle informazioni si riveli rimedio indicato. Il terreno elettivo di tale rimedio è indubbiamente da ravvisare nell’ambito dei diritti di privativa industriale e di proprietà intellettuale. A differenza di quelli fondamentali della persona, che non soffrono compartimentazioni geografiche, questi diritti per naturale vocazione ricevono protezione a livello territoriale più o meno esteso. L’azione finalizzata ad inibire l’offerta in vendita online di prodotti usurpatori, al pari di quella risarcitoria, è proponibile sia davanti ai giudici dello Stato membro in cui ha sede il contraffattore, sia davanti ai giudici dello Stato membro di registrazione del marchio nazionale (9). L’attore in giudizio avrà l’onere di allegare che l’attività illecita compiuta online dal contraffattore è idonea a pregiudicare il suo diritto di esclusiva, perché genera confusione nel mercato nazionale dello stato di registrazione del marchio e dimostrare che il sito internet del contraffattore si dirige al pubblico dello stato del foro. Rileveranno a tal fine i criteri indiziari indicati dalla Corte di Giustizia nelle pronunce Pammer ed Hotel Alpenhof (10). In questo ben diverso contesto, il Giudice della cautela non potrebbe ordinare la rimozione tout court, ad es., della offerta di vendita di prodotti recanti segno distintivo simile a quello del ricorrente, se il diritto del ricorrente goda di efficacia territoriale limitata al solo territorio dello stato del foro (11).
(9) CGUE 19 aprile 2012, causa C-523/10, Wintersteiger AG c. Products4U GmbH, in Foro it., 2012, IV, 516; in Juristen Zeitung, 2012, 1014 ss., con nota di Lehmann - Stieper, Internationaler Gerichtsstand bei Markenverletzung durch Keyword-advertising. (10) CGUE 7 dicembre2010, cause reunite C-585/08 e C-144/09, Peter Pammer c. Reederei Karl Schluter GmbH & Co KG e Hotel Alpenhof GesmbH c. Oliver Heller, in Juristen Zeitung, 2011, 949 ss., con nota di von Hein. (11) In giur., Trib. Milano 1 agosto 2016, Business Competence S.r.l., c. Facebook S.r.l., Facebook Inc. e Facebook Ireland Ltd, in Dir. ind., 2017, 329 ss., con nota di Cassano, Violazione del diritto d’autore e concorrenza sleale: i gestori di Facebook risultano soccombenti nel giudizio promosso da una startup italiana, ha dichiarato la giurisdizione italiana “quale giudice del luogo in cui si assume essere stato violato l’interesse protetto”, a fronte della diffusione in Italia, da parte della società statunitense convenuta, di una app analoga ad altro programma sviluppato dalla società italiana attrice.
682
DIRITTO DI INTERNET N. 4/2020
La misura della disabilitazione dell’accesso da parte degli utenti presenti nel territorio dello stato del foro all’annuncio anticoncorrenziale sovverrà egregiamente. Ma vi sono anche casi in cui il blocco geografico potrà essere messo utilmente al servizio di un diritto della personalità. Non è un caso di scuola, quello del celebre cantante inglese che per evitare ai figli minori, residenti nel Regno Unito, di venire a conoscenza dei menages paterni, riportati dai siti statunitensi e riecheggiati dai media inglesi, ottenne una inibitoria della riproduzione di tali notizie da parte di una testata giornalistica online inglese, sotto pena di contempt of court in caso di violazione della injunction (12). Il blocco geografico sortirebbe a ben vedere il medesimo risultato pratico.
(12) PJS v News Group Newspapers Ltd [2016] UKSC 26 (per Mance LJ, Toulson LJ dissenting), in Journal of Civil Litigation and Practice, 2016, 212 ss., con commento di Beswick - Fotherby. I Il ricorrente cautelare prospettava che una inibitoria della ripubblicazione, sia pure limitata ad un operatore stabilito nel Regno Unito, avrebbe reso più difficile avere accesso alla notizia ai figli minori del ricorrente, residenti nel Regno Unito. I Law Lords hanno ritenuto che la inibitoria cautelare (in precedenza negata dalla Court of appeal) fosse anche per tale ragione - ossia la minaccia di pregiudizio imminente al bene della vita della intimità familiare del ricorrente - da accogliersi. Superfluo sottolineare che per timore di incorrere in una violazione del provvedimento della Corte inglese, seppur pronunciato inter alios, anche tutti gli altri media inglesi si sono poi astenuti dal riecheggiare a loro volta la notizia. Tale è la efficacia deterrente di cui gode la giurisdizione anglosassone.
GIURISPRUDENZA PENALE
La violenza sessuale via Whats App Corte
di
Cassazione ; sezione III penale; sentenza 8 settembre 2020, n. 25266; Pres. Rosi; Rel. Macrì
Il delitto di violenza sessuale può essere realizzato anche tramite minacce che costringano una minore ad uno scambio di selfie e messaggi sessualmente espliciti via whats app, senza contatto fisico con la vittima, poiché integrano atti che ne coinvolgono la corporeità sessuale e sono idonei a compromettere il bene primario della sua libertà individuale nella prospettiva di soddisfare od eccitare l’istinto sessuale dell’agente.
…Omissis…
RITENUTO IN FATTO 1. Con ordinanza in data 9 gennaio 2020 il Tribunale del riesame di Milano ha confermato l’ordinanza del 17 dicembre 2019 del Giudice per le indagini preliminari di Pavia che aveva applicato a Ni. Ma. la misura della custodia cautelare in carcere per il reato di violenza sessuale. 2. Con il primo motivo di ricorso l’indagato deduce la violazione di legge ed il vizio di motivazione in ordine ai gravi indizi di colpevolezza. Ricorda di essere indagato per violazione del reato di cui agli art. 81 cpv, 609-bis e 609-ter cod. pen. per aver scritto una serie di messaggi di whatsapp allusivi e sessualmente espliciti ad una ragazza, minore di età, costringendola a scattarsi foto e ad inoltrare una foto senza reggiseno nonché a ricevere una foto ritraente il membro maschile e commentarla, sotto la minaccia di pubblicare la chat su Instagram e su pagine hot. Eccepisce la violazione di legge perché i Giudici del riesame non avevano fatto buon governo dei principi normativi di cui agli art. 609-bis, 609-ter e 609-undecies cod. pen. Osserva che il fatto non era sussumibile sotto l’art. 609-bis, ma, al limite, sotto l’art. 609-undecies cod. pen. Mancava l’atto sessuale, seppur allo stadio del tentativo, non essendo avvenuto alcun incontro tra lui e la presunta persona offesa. Pur ammettendo le conversazioni, aveva negato di averla indotta a pratiche di autoerotismo o altre pratiche sessuali via chat. Non vi era stata alcuna proposta di incontro o di sesso via chat. La condotta illecita si era limitata all’invio di una propria foto nudo, invitando la ragazza ad un commento, nonché alla ricezione di una foto della ragazza senza reggiseno. Pertanto, non era stata intaccata l’integrità psico-fisica della minore, secondo il corretto sviluppo della sua sessualità, quale bene giuridico tutelato dalla norma in contestazione. Ribadisce che la sua condotta poteva al limite essere ricondotta nell’alveo dell’art. 609-undecies cod. pen. per aver adescato la minore allo scopo di commettere il reato di cui all’art. 600-bis cod. pen., con minaccia e mediante l’utilizzo della rete internet o di altri mezzi di comunicazione. Era escluso l’abuso sessuale,
anche a livello di tentativo, e così il child grooming, cioè la pratica di adescamento di un soggetto minorenne in internet, tramite tecniche psicologiche volte a superarne le resistenze ed ottenerne la fiducia, per abusarne sessualmente. La condotta tenuta dall’indagato non aveva intaccato la sfera sessuale della minore per assenza di una qualsivoglia richiesta di rapporto sessuale volta al soddisfacimento dei propri impulsi. Ritiene erroneamente applicati i principi di diritto desumibili dalla giurisprudenza citata nell’ordinanza impugnata. Con il secondo motivo denuncia la violazione di legge ed il vizio di motivazione in rapporto alle esigenze cautelari. I Giudici del riesame non avevano spiegato come potesse darsi alla fuga, se sottoposto agli arresti domiciliari. Ed invero, a seguito della perquisizione domiciliare del 30 settembre 2019, era rientrato dall’estero, evidentemente avvisato dai propri genitori, proprio per sottoporsi all’esecuzione della misura cautelare. CONSIDERATO IN DIRITTO 3. Il ricorso è infondato. Nell’ordinanza impugnata si è precisato che nell’interrogatorio di garanzia l’indagato aveva ammesso i fatti e si è respinta la ricostruzione giuridica proposta dalla difesa secondo cui, in assenza di incontri con la persona offesa o di induzione a pratiche di autoerotismo o altre pratiche sessuali via chat, sarebbe difettato l’atto sessuale volto al soddisfacimento dei propri impulsi, potendo la condotta ricondursi, al limite, nell’alveo dell’art. 609-undecies o 600-bis cod. pen. Il Tribunale del riesame ha ricordato che la violenza sessuale risultava pienamente integrata, pur in assenza di contatto fisico con la vittima, quando gli atti sessuali coinvolgessero la corporeità sessuale della persona offesa e fossero finalizzati e idonei a compromettere il bene primario della libertà individuale nella prospettiva di soddisfare o eccitare il proprio istinto sessuale. Nello specifico, ha ravvisato i gravi indizi di colpevolezza del reato contestato nell’induzione allo scambio di foto erotiche, nella conversazione sulle pregresse esperienze sessuali ed i gusti erotici, nella crescente minaccia a divulgare in pubblico le chat.
DIRITTO DI INTERNET N. 4/2020
683
GIURISPRUDENZA PENALE La decisione è solida e ben motivata, in linea con la giurisprudenza di legittimità, sebbene in taluni casi condotte siffatte sono state sussunte sotto la forma del tentativo. Ed invero, Cass., Sez. 3, n. 8453 del 14/06/1994, Mega, Rv. 198841 – 01 ha qualificato come tentativo di violenza carnale (e non come diffamazione aggravata) il fatto di chi, minacciando – e poi attuando la minaccia – di inviare ai parenti di una donna foto compromettenti scattate in occasione di incontri amorosi con lei precedentemente avuti, tenti di costringerla ad ulteriori rapporti sessuali, non rilevando l’assenza di qualsivoglia approccio fisico, in quanto con l’effettuazione della minaccia, diretta a costringere la persona offesa alla congiunzione, iniziava comunque l’esecuzione materiale del reato; analogamente Cass., Sez. 3, n. 12987 del 03/12/2008 (dep. 2009), Brizio, Rv. 243090 – 01, secondo cui, ai fini della configurabilità del tentativo di atti sessuali con minorenne nel caso in cui il contatto tra il reo ed il minore avvenga mediante comunicazione a distanza, è necessario accertare, da un lato, l’univoca intenzione dell’agente di soddisfare la propria concupiscenza e, dall’altro, l’oggettiva idoneità della condotta a violare la libertà di autodeterminazione sessuale della vittima (fattispecie in cui il reo aveva inviato a mezzo telefono cellulare un SMS ad un minore nel tentativo di indurlo a compiere sulla propria persona atti di autoerotismo). Più recentemente Cass., Sez. 3, n. 19033 del 26/03/2013, L, Rv. 255295 – 01 ha affermato, con ampi riferimenti alla giurisprudenza già formatasi sul tema, che nella violenza sessuale commessa mediante strumenti telematici di comunicazione a distanza, la mancanza di contatto fisico tra l’autore del reato e la vittima non è determinante ai fini del riconoscimento della circostanza attenuante del fatto di minore gravità. Ha ravvisato l’integrazione
684
DIRITTO DI INTERNET N. 4/2020
del reato di cui all’art. 609-quater cod. pen. nella condotta di richiesta ad un minorenne, nel corso di una conversazione telefonica, di compiere atti sessuali, di filmarli e di inviarli immediatamente all’interlocutore, non distinguendosi tale fattispecie da quella del minore che compia atti sessuali durante una video-chiamata o una video-conversazione, Cass., Sez. 3, n. 17509 del 30/10/2018, dep. 2019, D., Rv. 275595 – 01. Nello specifico il Tribunale del riesame ha valorizzato anche gli aspetti di contesto sulla persistente dolosa strumentalizzazione dell’inferiorità della vittima da parte dell’agente (Cass., Sez. 3, n. 15412 del 20/09/2017, dep. 2018, C, Rv. 272549). Benché il difensore abbia precisato in udienza che il suo assistito era stato sottoposto agli arresti domiciliari, un’ultima considerazione va spesa sull’adeguatezza della misura cautelare, la rinuncia del motivo a verbale non essendo rituale. Osserva il Collegio che gli argomenti usati dai Giudici del riesame – la circostanza che l’indagato avesse perpetrato le stesse condotte nei confronti di altre minori, dimostrando di non saper controllare le proprie pulsioni, di lavorare all’estero e di non essere rientrato specificamente per consegnarsi alle forze dell’ordine, di poter continuare a minacciare le vittime nonché reiterare le condotte delittuose a mezzo l’uso di strumenti informatici – sono logici e razionali ed hanno ben giustificato la conferma della misura della custodia cautelare in carcere. Al rigetto del ricorso segue la condanna del ricorrente al pagamento delle spese processuali ai sensi dell’art. 616 cod. proc. pen. P.Q.M. rigetta il ricorso e condanna il ricorrente al pagamento delle spese processuali.
GIURISPRUDENZA PENALE
IL COMMENTO di Lorenzo Picotti
Sommario: 1. La configurabilità degli atti sessuali anche in assenza di contatto fisico con la vittima. – 2. L’offesa del bene giuridico e la tipicità del fatto di reato. – 3. La struttura oggettiva del fatto tipico: relazione interpersonale di natura sessuale e momento consumativo del delitto - 4. Riflessioni conclusive. Nell’adeguamento necessario dell’interpretazione evolutiva delle norme penali al costante e sempre più rapido sviluppo tecnologico e sociale, caratterizzato dai nuovi e pervasivi modi di comunicazione a distanza nel c.d. Cyberspace, la sentenza in oggetto rappresenta un passaggio paradigmatico, in quanto la Corte di Cassazione giunge ad espandere il significato della nozione di “atti sessuali” fino al limite dell’analogia in malam partem. Infatti la applica non solo a rapporti in cui non si è avuto alcun contatto fisico fra autore e vittima, come già in molte altre occasione la giurisprudenza aveva affermato, ma anche ad un’ipotesi in cui né l’autore, né la vittima hanno compiuto atti materiali di natura sessuale su se stessi o su terzi, essendo state oggetto di scambi via whats app soltanto immagini e messaggi di contenuto erotico, anche di parti erogene dei propri corpi, in un contesto peraltro di coercizione della persona offesa minorenne determinato dalle minacce dell’agente. La motivazione ha quindi fatto leva sull’offesa che si sarebbe comunque compiutamente realizzata del bene giuridico della libertà sessuale della vittima minorenne, ed in specie del suo diritto ad uno sviluppo libero ed equilibrato in questa delicata sfera della persona, di cui è stata coinvolta la corporeità, per ravvisarvi una violenza sessuale aggravata e consumata. In the necessary adaptation of the evolutionary interpretation of criminal law to the constant and increasingly rapid technological and social development, characterized by the new and pervasive ways of remote communication in the so-called Cyberspace, the ruling in question represents a paradigmatic step ahead, as the Court of Cassation has expanded the notion of “sexual acts” up to the limit of analogy in malam partem. In fact, it applies it not only to relationships in which there was no physical contact between perpetrator and victim, as already on many other occasions the jurisprudence had stated, but also to a case in which neither the author nor the victim made material acts of a sexual nature on oneself or on third parties, having been exchanged via whats app only images and messages of erotic content, also of erogenous parts of one’s own bodies, but in a context of coercion of the offended minor determined by the threats of agent. The motivation therefore relied on the offense that would have been fully realized of the legal good of the sexual freedom of the minor victim, and in particular of his right to a free and balanced development in this delicate sphere of the person, whose corporeality has been involved,to recognize aggravated sexual violence.
1. La configurabilità degli atti sessuali anche in assenza di contatto fisico con la vittima
Nella sentenza che si annota, la Corte di Cassazione ha confermato in punto di diritto, con sintetica motivazione, l’ordinanza del Tribunale del riesame di Milano, che in sede cautelare aveva respinto l’impugnazione avverso la misura della custodia cautelare in carcere per il delitto di violenza sessuale aggravata in danno di persona minore disposta dal Giudice per le indagini preliminari di Pavia. Secondo i Giudici del riesame la fattispecie di cui all’art. 609 bis (violenza sessuale) aggravata ex art. 609 ter c.p. (in quanto in danno di persona minore degli anni quattordici) è applicabile all’ipotesi di invio ad una ragazza di una foto erotica del proprio membro sessuale, con l’invito ad un commento, e la ricezione di un suo selfie in cui si è ritratta senza reggiseno, ottenuta con la minaccia di pubblicare in Internet anche altre foto erotiche e messaggi precedenti con la stessa scambiati. La Cassazione ha affermato la correttezza in diritto di una tale qualificazione penale del fatto, richiamando la propria giurisprudenza, formatasi in materia di violenza sessuale commessa mediante strumenti di comunicazione a distanza, sia telefonici che digitali, secondo cui la mancanza di contatto fisico fra l’autore del reato e la vittima non è determinante per escludere la sussistenza degli “atti sessuali” richiesti per integrare la fattispecie,
perché – essendo pacifica la natura minacciosa della condotta con cui le foto ed i messaggi sono stati ottenuti – è stata consumata l’offesa della sfera di libertà della vittima, coinvolta specificamente nella sua corporeità sessuale. In particolare la Corte ha avvalorato l’orientamento interpretativo più recente secondo cui la nozione di “atti sessuali” - che compare non solo nella predetta, ma anche in altre fattispecie, sia in materia di delitti sessuali, che in materia di delitti di riduzione in schiavitù, prostituzione minorile, ecc. – va intesa in termini non meramente fisici o comunque comportanti la necessaria materialità di atti coinvolgenti parti di significato sessuale del corpo della vittima (1), valorizzando lo specifico contesto di una persistente dolosa strumentalizzazione della posizione d’inferiorità della vittima da parte
(1) Il richiamo è in particolari a precedenti pronunce della stessa sezione, in cui il reo aveva ad es. tentato di indurre un minore a compiere sulla propria persona atti di autoerotismo mediante sms al suo telefono cellulare (Cass., sez. III, 3 dicembre 2018, dep. 2019, n. 12987, Brizio, Rv. 243090 – 01), ovvero in cui l’agente aveva richiesto ad un minorenne di compiere atti sessuali, di filmarli ed inviarglieli immediatamente (Cass., 26 marzo 2013, n. 19033, L., Rv. 255295 – 01), integrando il delitto di atti sessuali con minorenne (art. 609-quater c.p.), con condotta ritenuta non distinguibile da quelle in cui il minore compia gli atti sessuali durante una video-chiamata o una video-conversazione (Cass., 30 ottobre 2018, dep. 2019, n. 17509, D., Rv. 275595 – 01).
DIRITTO DI INTERNET N. 4/2020
685
GIURISPRUDENZA PENALE dell’agente, evidenziata (ai fini del pronunciamento sulle esigenze cautelari) anche dai comportamenti ulteriori dell’indagato, che aveva perpetrato le medesime condotte nei confronti di altre minori, dimostrando di non saper controllare le proprie pulsioni e continuando anche a minacciare le vittime e reiterare le proprie condotte mediante strumenti informatici. Di qui la duplice conclusione che, da un lato, nelle acquisite comunicazioni di messaggi e immagini whats app appare chiara l’intenzione univoca dell’agente di soddisfare la propria concupiscenza, strumentalizzando la vittima minorenne, e, dall’altro, l’oggettiva idoneità della condotta a violare la libertà di determinazione della stessa vittima nella sfera sessuale.
2. L’offesa del bene giuridico e la tipicità del fatto di reato
La pronuncia, sia pur nella stringata brevità della motivazione di mero controllo del provvedimento reso in materia cautelare, offre lo spunto per un duplice ordine di considerazioni. Il primo attiene all’evidente impatto dell’irrompere delle tecnologie informatiche e telematiche nella configurazione delle condotte tipizzate in fattispecie legali concepite a prescindere o comunque senza debita considerazione delle nuove e sempre più sofisticate e diffuse modalità di comunicazione e di relazione interpersonale, lecita ed illecita, fra i consociati, minori compresi, che oggi si svolgono nel Cyberspace (2). Per cui non può sorprendere che ne sia stata investita anche la nozione di “atti sessuali”, introdotta nel nostro codice penale dalla famosa riforma dei delitti sessuali del 1996, diretta a tutt’altro scopo: quello di superare la criticata dicotomia del codice Rocco fra “violenza carnale” (di cui all’abrogato art. 519 c.p.) ed “atti di libidine violenti” (di cui all’abrogato art. 521 c.p.), che rifletteva una concezione frammentata e materialistica del bene giuridico da proteggere, parametrata alla singolarità fisica degli atti posti in essere. Nella prospettiva di tutela pubblicistica ed eticizzante, caratteristica dello Stato autoritario del periodo fascista, espressa anche nella (ottocentesca) terminologia ancora mantenuta, di censura delle espressioni della sessualità ‘non autorizzate’ perché esplicantesi al di fuori della ‘legittima’ sfera coniugale, era preminente il bene giuridico della “morale pubblica” e del “buon costume”, rispetto a quello della libertà della persona nella sfera sessuale (3), come del resto emergeva (2) Sia consentito e sufficiente in questa sede rinviare a Picotti, Diritto penale e tecnologie informatiche: una visione d’insieme, in Cybercrime, a cura di Cadoppi, Canestrari, Manna e Papa, Milano 2019, 33 s. (3) Per riferimenti al riguardo sia consentito rinviare a Picotti, Il delitto sessuale: da sfogo “non autorizzato” della libidine a “rapporto interpersonale” illecito. Spunti di riflessione sull’evoluzione e la riforma dei reati sessuali, in
686
DIRITTO DI INTERNET N. 4/2020
chiaramente in alcune sintomatiche fattispecie, ad es. in quella di corruzione di minorenni (abrogato art. 530 c.p.), non punibile se la vittima fosse stata “persona già moralmente corrotta” (abrogato art. 530, comma 3, c.p.). Pertanto, si valutavano come meno offensivi i fatti che non realizzassero una materiale penetrazione del corpo altrui, pur “toccandolo” con violenza (atti di libidine violenti). Ma mutata la prospettiva di tutela con la menzionata riforma del 1996, che ha superato quella dicotomia e ridescritto i reati sessuali incentrandoli sulla violazione della libertà di autodeterminazione della vittima in tale ambito, tanto da collocarli nel Titolo XII fra i “delitti contro la persona” ed in specie fra quelli del suo capitolo III, sezione II, concernente i “delitti contro la libertà personale” (4), una speciale ed ancor più forte protezione penale è stata accordata, oltre che alla persona delle vittime in genere, ai minori, rafforzata anche da successivi e plurimi interventi novellistici, diretti a garantirli contro ogni forma di strumentalizzazione della loro sfera sessuale rispetto alla soddisfazione degli adulti o di terzi, in violazione del loro diritto fondamentale ad un libero ed equilibrato sviluppo in questo campo, confacente all’età ed alle esperienze da maturare, come solennemente riconosciuto nelle Convenzioni e nelle Carte internazionali, a partire da quella promossa dalle Nazioni Unite sui diritti del fanciullo del 1989 e relativi Protocolli addizionali (5). La nozione di “atti sessuali” si è quindi evoluta, abbracciando ogni manifestazione che potesse essere offensiva del bene giuridico personalistico – ed, anzi, diritto fondamentale del minore – superando le minuziose distinzioni delle singole tipologie di atti fisici o corporei, da valutare eventualmente in sede di commisurazione della pena o di applicazione di circostanze aggravanti od
Commentario alle norme contro la violenza sessuale, a cura di Cadoppi, 1^ ed., Padova 1996, 419 s. (4) Nella sterminata letteratura su detta riforma, basti qui rinviare a Bertolino, La riforma dei reati di violenza sessuale, in Stud. Jur., 1996, 403 s.; Padovani, Art. 1 l. 15/02/1996, n. 66, in Leg. Pen., 1996, 413 s.; Cadoppi, Art. 609-bis c.p., in Commentario delle norme contro la violenza sessuale e contro la pedofilia, a cura di Cadoppi, 4^ ed., Padova 2006, 439 s.; volendo, per un primo bilancio sulla sua applicazione, Picotti, Profili generali di diritto penale sostanziale, in La violenza sessuale a cinque anni dall’entrata in vigore della Legge n. 66/96. Profili giuridici e criminologici, a cura di Cadoppi, Padova 2001, 19 s. (5) Sia sufficiente qui richiamare il Protocollo opzionale alla Convenzione sui diritti del fanciullo, relativo alla vendita di minori, la prostituzione e la pornografia infantile (2000); la Convenzione sulla protezione dei minori contro lo sfruttamento sessuale e l’abuso sessuale promossa dal Consiglio d’Europa (c.d. Convenzione di Lanzarote del 2007); l’art. 24 della Carta dei diritti fondamentali dell’Unione europea sui “diritti del bambino” cui si correla in particolare la Direttiva 93/2011/UE relativa alla lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia infantile.
GIURISPRUDENZA PENALE attenuanti, con un’incriminazione sempre più incisiva anche di delitti quali la pornografia minorile, financo virtuale, o l’adescamento di minori, la cui offensività prescinde da violazioni della fisicità corporea della vittima (6). In ogni caso, nell’intenso dibattito dottrinale e giurisprudenziale via via sviluppatosi sulla nozione di “atti sessuali” la sua potenziale indeterminatezza, criticata da più parti, ha consentito una grande elasticità di applicazioni, che ha portato ad estenderla ben oltre l’ambito dei contatti corporali fra zone erogene quantomeno di una delle parti, come pur autorevolmente prospettato dai primi interpreti (7), giungendo a ricomprendere, salvo sottili distinzioni da caso a caso, i baci, non solo sulla bocca, ma anche sul collo od altre parti, i toccamenti e palpeggiamenti di glutei od altre parti, le carezze non gradite, ad es. tra le gambe, ecc. (8), data anche la mancata incriminazione di una fattispecie minore di molestie sessuali (9), che pur era stata caldeggiata, in uno sforzo ermeneutico che si è posto spesso ai limiti di applicazioni analogiche in malam partem. Non può quindi stupire se oggi vengono a convivere, nella stessa previsione normativa, condotte materiali e condotte realizzate soltanto nel Cyberspace, come ben dimostra la menzionata e più recente fattispecie di adescamento di minori di cui all’art 609-undecies c.p., risalente al 2012, che si pone come delitto preparatorio rispetto a molteplici fattispecie più gravi, comprendenti anche i ‘tradizionali’ delitti sessuali (dalla violenza sessuale ex art. 609 bis ai rapporti sessuali con minorenni ex art 609
quater c.p.), di cui non occorre quindi sia raggiunta neppure la soglia del tentativo punibile (10). In altri termini, la forte esigenza di protezione dei (fondamentali) beni giuridici della persona che sono in gioco, unita alla stratificazione di novelle legislative che spesso appaiono difettose sotto il profilo della tecnica normativa e della coerenza sistematica, ha portato a sfumare i confini della tipicità oggettiva delle singole fattispecie, non solo per l’elasticità di alcuni essenziali elementi, qual è quello basilare di “atti sessuali” di cui si discute, ma anche per la loro seriale vicinanza e talora sovrapposizione in ambito applicativo, che come perspicuamente segnalava un acuto penalista, di cui rimpiangiamo la recente prematura scomparsa, configurano un’insidiosa tecnica di aggiramento della tassatività, non ignota al codice Rocco (11), e certamente presente anche nella legislazione in esame (12). In altri termini: il profilo sostanziale dell’offesa al bene giuridico sembra prevaricare o comunque sfumare il vincolo legale della tipicità del fatto costitutivo del reato di volta in volta da accertare. E questa china rischia, come emerge fra le righe della pronuncia in commento, di favorire lo scivolamento verso un diritto penale d’autore, che innalzi la valutazione della personalità (ed eventuale pericolosità) del reo, pur doverosa in sede cautelare (13), a criterio di accer-
(10) Salvadori, L’adescamento di minori. Il contrasto al child-grooming tra incriminazione di atti preparatori ed esigenze di garanzia, Torino, 2018. (11) Sgubbi, Meccanismi di aggiramento della legalità e della tassatività nel codice Rocco, in La questione criminale, 1981, 321 s.
(6) Per un quadro critico d’insieme sia consentito il rinvio a Picotti, I delitti di sfruttamento sessuale dei bambini, la pornografia virtuale e l’offesa dei beni giuridici in Scritti per Federico Stella, a cura di Bertolino e Forti, Napoli, 2007, 1267 s. (7) Cadoppi, Art. 609-bis c.p., cit., 465 s., secondo cui occorrerebbe “il contatto fisico tra una parte qualsiasi del corpo di una persona con una zona genitale (compresa la mammella della donna), anale od orale del partner”, cui segue un attento quadro critico dei variegati orientamenti giurisprudenziali e dottrinali all’epoca già emersi, fra cui va segnalato quello autorevole di Fiandaca, Violenza sessuale, voce in Enc. Dir., agg. IV, 2000, 1153 s., che sottolinea la natura non solo medico scientifica, ma anche antropologica, sociale, culturale della nozione, da adeguare al concreto contesto in una complessiva valutazione di tutta la vicenda sottoposta a giudizio. (8) Per un’esaustiva ed aggiornata rassegna della casistica giurisprudenziale in cui è stata affermata la sussistenza di “atti sessuali” si rinvia in questa sede, per ragioni di sintesi, a Bertolino, sub Art. 609 bis, in Commentario breve al codice penale, diretto da Forti, Seminara, Zuccalà, 6^ ed., Milano, 2017, par. III, 2017 s.; Vizzardi, sub Art. 609-bis, in Codice penale commentato, diretto da Dolcini e Gatta, 4^ ed., Milano 2015, III, par. 14, 333 s. (9) Aspetto opportunamente sottolineato da Tabarelli de Fatis, Sulla rilevanza penale del “bacio” come atto di libidine prima e dopo la riforma dei reati sessuali, in Riv. it. dir. proc. pen., 1997, 965 s.
(12) Ne sia esempio paradigmatico la non facile demarcazione fra la configurabilità – anche nel caso di specie - del mero reato preparatorio di cui all’art. 609-undecies c.p. (adescamento di minori) ovvero del tentativo del delitto di violenza sessuale aggravata (ex artt. 56, 609-bis e 609-ter c.p.), come prospettato dalla difesa, od invece dell’effettiva integrazione della predetta fattispecie consumata, come ritenuto in sentenza, con esclusione invece del delitto di atti sessuali con minorenne (ex art. 609-quater c.p.), pur astrattamente prospettabile, data la pacifica presenza della “minaccia”, unitamente a quello di (concorso per istigazione in) produzione (ex artt. 110 e 600-ter comma 1 c.p.) e comunque detenzione di materiale pedopornografico (art. 600-quater c.p.). Incertezze che emergono in parte dalla stessa giurisprudenza precedente, richiamata dalla Corte, in cui si includono anche casi di condotte qualificate come mero tentativo (cfr. supra nota 1). Sulla distinzione fra adescamento di minori e tentativo dei relativi reati-fine si rinvia a Salvadori, L’adescamento di minori, cit., 139, nonché 162 s. per l’approfondimento dogmatico e politico-criminale; in giurisprudenza cfr. Cass., sez. III, 4 marzo 2015 (dep. 20 aprile 2015), n. 16329, in Cass. pen., 2015, fasc. 11, 4042 s., con osservazioni di Rossi C., Il reato di adescamento di minorenni ed il suo rapporto con i reati fine. (13) Benché nella sentenza in commento tale torsione emerga a sostegno della conferma della misura cautelare in carcere, che legittimamente può tener conto dei profili di pericolosità soggettiva rispetto al rischio di commissione di delitti della stessa specie (art. 274, comma1, lett. c) c.p.p.), tuttavia non si può non notare come tale valutazione finisca certamente per avvalorare la distinta e previa fase di accertamento della sussistenza degli elementi costituivi del fatto, ed in particolare di quello essenziale rappresentato della condotta tipica.
DIRITTO DI INTERNET N. 4/2020
687
GIURISPRUDENZA PENALE tamento della stessa condotta tipica, con un’inaccettabile ‘soggettivizzazione’ degli elementi costitutivi della responsabilità penale. Il pericolo da evitare è che si svuoti l’ancoramento garantista dell’intervento punitivo ai principi del diritto penale del fatto, e se ne perda la natura strettamente oggettiva, quale imprescindibile fondamento dell’offesa dei beni giuridici, fino ad operare un rovesciamento metodologico nel rapporto fra i due poli del reato, rappresentati dalla tipicità e dall’offensività.
3. La struttura oggettiva del fatto tipico: relazione interpersonale di natura sessuale e momento consumativo del delitto
Per evitare la china scivolosa sopra descritta, un fondamentale test che consente di cogliere la natura e struttura del fatto tipico è rappresentato dall’individuazione dogmatica (cui deve poter corrispondere l’accertamento processuale) del momento consumativo del reato. E muovendo dagli assunti di un diritto penale del fatto, esso non può che essere desumibile dalla sua tipicità necessariamente oggettiva, vale a dire espressa ed accertabile dall’esterno della psiche, della volontà, delle caratteristiche e tendenze personali dell’agente. Un discostamento o comunque indebolimento del peso della tipicità oggettiva, derivante dalla denunciata ‘soggettivizzazione’ delle fattispecie in sede applicativa, comporta in effetti un’inaccettabile incertezza anche sul momento della consumazione del reato, che potrebbe dipendere dallo sviluppo od intensità di una certa intenzione o di un atteggiamento interiore, ovvero dal soddisfacimento o meno di pulsioni interne, financo inconsce, od ancora dall’evolversi più o meno pericoloso di una personalità deviante o perversa. Non appartiene però a questa prospettiva ‘soggettivizzante’ la ben distinta e condivisibile esigenza di garantire invece, nell’interpretazione evolutiva della fattispecie, che deve restare nei limiti del significato delle parole usate dal legislatore, la più efficace tutela del bene giuridico protetto, da individuare alla stregua di collaudati canoni ermeneutici e sistematici, rappresentato nella specie dalla libertà di autodeterminazione sessuale della vittima, in particolare del minore. Essa può certamente essere messa in pericolo ed anche offesa profondamente da condotte che pur non si manifestino come contatti fisici con il suo corpo, o con quello di terzi, ma siano veicolate ‘soltanto’ da strumenti telematici e da comunicazioni digitali, in termini sia verbali, sia di immagini fotografiche od in movimento, comprese video conversazioni, che possono in effetti invadere anche con forte intensità la sfera di intimità corporale e quindi di libertà sessuale della persona offesa. Ebbene, rispettando la prospettiva di tutela delineata dal legislatore, che va via via adeguata alle nuove forme
688
DIRITTO DI INTERNET N. 4/2020
e tecniche di manifestazione e svolgimento dei rapporti sociali ed interpersonali nella pervasiva realtà digitale odierna, in cui sono immersi a pieno anche i minori, da un lato non può non considerarsi la ‘smaterializzazione’ in essa insita, che condiziona le modalità e le forme in cui si svolgono i rapporti anche di contenuto sessuale fra le persone, dall’altro non si deve perdere il contenuto di tipicità oggettiva del fatto di reato descritto dalla fattispecie legale. Ne consegue che la descrizione normativa della condotta: “compiere atti sessuali” va interpretata quale compiuta instaurazione di una reale relazione sessuale, coinvolgente la ‘corporeità’ dell’autore e della vittima, o quantomeno di quest’ultima (come negli atti di autoerotismo), od anche di terzi, ma non implica necessariamente un effettivo contatto fisico-materiale fra tali soggetti o su di loro. Si badi: non viene così abbandonata la distinzione fra la dimensione oggettiva ed esterna, che deve avere la condotta punibile, e la dimensione soltanto psichica della mera intenzionalità o finalità interiormente perseguita dall’agente, che aprirebbe ad un diritto penale della volontà, se non addirittura del tipo d’autore, quale spesso sembra emergere nel rilievo dato dalla giurisprudenza, compresa la pronuncia in commento, all’intento del reo di soddisfare i propri impulsi sessuali o di non saper controllare (secondo lo stereotipo del pedofilo) le proprie pulsioni nei rapporti con minori. Già da tempo, fin dall’analisi della struttura delle fattispecie c.d. ‘a dolo specifico’, ho cercato di evidenziare che è oggettiva, perché rilevante all’esterno dell’animo e della personalità dell’agente, la relazione interpersonale che sia da lui realmente instaurata con la vittima, la cui ‘qualità’, modalità e natura può integrare gli elementi costitutivi del fatto tipico (14), anche della violenza sessuale (15), di cui si discute, senza che per questo si abbia un’inaccettabile torsione ‘soggettivizzante’ della tipicità. Il “fatto” non si esaurisce infatti in singoli atti materiali frammentati, ricavabili isolatamente dalla definizione normativa, per cui la natura di “atti sessuali” potrebbe essere enucleata a prescindere dal contesto relazionale in cui sono posti in essere, da parte della vittima e/o da parte dell’agente. Essi devono piuttosto essere individuati, letti ed interpretati nel contenuto significativo che assumono per le parti del rapporto, alla stregua della sua dinamica complessiva.
(14) Così Picotti, Il dolo specifico. Un’indagine sugli ‘elementi finalistici’ delle fattispecie penali, Milano, 1993, in specie 536 s. (15) Ivi, 144 s., 149 seppur con riferimento alla precedente disciplina normativa. Cfr. anche Corte EDU, Sez. IV, 11 febbraio 2020, Ric. N. 56867/15, Buturuga v. Romania, che ha recentemente ricondotto la c.d. cyberviolenza realizzata con mezzi digitali, alla categoria della “violenza domestica”, per combattere la quale è previsto uno specifico “obbligo positivo di tutela” in capo agli Stati aderenti alla Convenzione di Istanbul.
GIURISPRUDENZA PENALE Dunque, nel caso di specie, l’atto di ritrarre il proprio organo sessuale ed inviarlo alla minore con richiesta di un commento, cui segue quello da quest’ultima compiuto, in un contesto temporale circoscritto, di esibire il seno ritraendosi con un selfie specificamente realizzato in risposta alla richiesta dell’agente di inviarglielo sempre via whats app, dimostra l’oggettiva instaurazione fra le parti di un rapporto di contenuto indubbiamente sessuale, che invade prepotentemente la sfera di intimità e di libera determinazione della minore, perché tali “atti” sono frutto della coercizione della sua volontà, realizzata tramite idonee minacce poste in essere dal reo, che coinvolgono la vita e corporeità sessuale delle parti, pur senza che vi sia stato contatto fisico. Si può allora concludere che nella risposta alla coercizione subita, che ha coinvolto la corporeità sessuale della vittima, sia pure in termini di immagine del proprio seno esibito e ritratto nudo, inviata all’agente, va individuato l’oggettivo momento consumativo della fattispecie, che realizza pienamente l’offesa (non la mera messa in pericolo) del bene giuridico protetto, perché realmente esprime la compiuta violazione del diritto fondamentale della minore ad una libera esplicazione ed evoluzione della propria sessualità, invece piegata e strumentalizzata per il soddisfacimento delle esigenze sessuali dell’adulto, con il quale si è così consumata una relazione sessuale.
4. Riflessioni conclusive
In conclusione, non potrebbe condividersi l’affermazione che possa integrare il delitto consumato di violenza sessuale e di atti sessuali con minore la mera redazione ed invio di messaggi e foto per whats app, pur sessualmente espliciti, ad una ragazza di minore età, che potrebbero integrare piuttosto l’ipotesi del delitto preparatorio di adescamento di minori. Ma se nell’ambito, anche temporalmente circoscritto, di un rapporto di coercizione instaurato tramite contestuali minacce idonee a piegare la volontà ed a determinare le scelte di comportamento della minore, la stessa risponde inviando proprie foto, conseguentemente scattate e trasmesse, che ne ritraggono sue parti erogene, con cui viene soddisfatta la richiesta dell’agente, a sua volta di palese natura erotica, manifestata dai predetti messaggi e dall’invio in particolare di una foto del proprio organo sessuale, con richiesta di commentarla, la commissione di “atti sessuali” a seguito di violenza o minaccia può dirsi perfezionata. Anche dal punto di vista dell’offesa al bene giuridico, una tale condotta coartata della vittima minorenne dimostra l’avvenuta invasione della sfera intima della sua sessualità, in violazione dunque della sua fondamentale libertà di autodeterminarsi spontaneamente in questo campo, come garantisce il diritto ad un armonioso svi-
luppo della persona, confacente all’età ed alle esperienze che deve poter maturare liberamente in tale ambito. Va condivisa dunque l’esigenza di un’interpretazione evolutiva delle norme penali, alla luce del dirompente sviluppo tecnologico e poi dei comportamenti sociali che ne è conseguito, come già in altri casi ha autorevolmente indicato la giurisprudenza della stessa Corte, in specie a Sezioni unite, con un approfondito e motivato richiamo alle ragioni giuridiche e tecniche a supporto di nuovi orientamenti interpretativi in materia di produzione e diffusione di materiale pedopornografico (16). Mentre anche il richiamo al piano dell’offesa del bene giuridico deve essere valorizzato: ma deve rimanere nell’ambito proprio di un criterio ermeneutico, che non travalichi, ma sia strumentale alla corretta e precisa perimetrazione della tipicità oggettiva del fatto costitutivo del reato. In altre occasioni, per vero, la stessa Corte di legittimità sembra aver travalicato tale corretto rapporto fra tipicità ed offesa, come quando ha voluto affermare che i dati informatici avrebbero una dimensione fisica e materiale, tale da renderli riconducibili alla nozione di “cosa”, così da ritenere integrato il reato di appropriazione indebita, nella condotta di loro riproduzione su un diverso supporto, e contestuale cancellazione dal supporto originario, da parte dell’autore, che in tal modo se ne sarebbe asseritamene “appropriato” (17). Il rischio concreto è che per adeguare il “diritto vivente” all’evoluzione tecnologica e sociale, si superino le barriere di garanzia del diritto penale, rappresentate in primis dal principio di stretta legalità e dal correlato divieto di estensione analogica, quantomeno in malam partem, potendo solo il legislatore intervenire per introdurre nuove fattispecie incriminatrici o riformare quelle esistenti, ai fini di adeguare la tutela alle nuove possibili offese, o
(16) Si veda l’estesa e ben argomentata sentenza della Cass., Sez. un., 15 novembre 2018, n. 51815, Pres. Carcano, Rel. Andronio, in materia di produzione di materiale pedopornografico, pubblicata con mio commento sostanzialmente favorevole, La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale riflessi nell’evoluzione normativa, in questa Rivista, 2019, 177 s. (17) Cfr. Cass, sez. II, 17 novembre 2019, 10 aprile 2020, n. 11959, secondo cui “i dati informatici, contenenti files, sono qualificabili come cose mobili ai sensi della legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati ed alla restituzione del computer formattato” che può leggersi al sito dell’“Osservatorio Cybercrime” <https://sites.les. univr.it/cybercrime/>, Topic: Temi penalistici generali del Cybercrime, con nota redazionale critica cui si rinvia; nonché in Dir. pen. proc. 2020, n. 5, 651 s. con commento critico di Pisani, La nozione di “cosa mobile” agli effetti penali e i files informatici: il significato letterale come argine all’applicazione analogica delle norme penali.
DIRITTO DI INTERNET N. 4/2020
689
GIURISPRUDENZA PENALE modalità di offesa, come ad es. si è di recente verificato con la creazione della fattispecie di revenge porn (18). Il giudice non può infatti mai sostituirsi al legislatore in questo compito, e deve mantenere ed anzi evidenziare, nella sua preziosa opera giuris-dizionale, il chiaro confine fra i due ambiti di competenza, e rispettarlo rigorosamente.
(18) La fattispecie di cui all’art. 612-ter c.p. punisce la “diffusione illecita di immagini o video sessualmente espliciti” ed è stata introdotta dalla legge 19 luglio 2019, n. 69 (c.d. codice rosso). Per un commento si rinvia a Caletti, Il “Revenge porn” diventa un reato specifico. Il Senato approva definitivamente il “Codice Rosso” e l’art. 612-ter c.p.: «diffusione illecita di immagini o video sessualmente espliciti», in questa Rivista, 2019, <https://dirittodiinternet.it/revenge-porn-diventa-un-reato-specifico-senato-approva-definitivamente-codice-rosso-lart-612-ter-c-p-diffusione-illecita-immagini/>.
690
DIRITTO DI INTERNET N. 4/2020
GIURISPRUDENZA PENALE
La natura (ir)ripetibile dell’attività d’indagine sul reperto digitale Corte di Cassazione ; sezione V penale; sentenza 23 luglio 2020, n. 22066; Pres. Palla; Rel. Riccardi; P.M. Epitendio. L’estrazione dei dati contenuti in un supporto informatico, se eseguita da personale esperto in grado di evitare la perdita dei medesimi dati, costituisce un accertamento tecnico ripetibile, e non dà luogo ad accertamento tecnico irripetibile l’estrazione dei dati archiviati in un computer, trattandosi di operazione meramente meccanica, riproducibile per un numero indefinito di volte.
Ritenuto in fatto. 1. Con ordinanza emessa il 09/03/2020 il Tribunale della libertà di Bologna ha rigettato l’istanza di riesame proposta da B.M. avverso l’ordinanza del Gip del Tribunale di Bologna - al quale era stata disposta la trasmissione ai sensi dell’art. 27 c.p.p. dall’A.G. di Parma, che aveva convalidato il fermo ed emesso la misura cautelare - che, in data 24.02.2020, aveva applicato la misura cautelare della custodia in carcere in relazione al reato di cui all’art. 270 quinquies c.p. Secondo la ricostruzione dei fatti richiamata dall’ordinanza impugnata, la Polizia Postale di Perugia ha accertato un profilo Whatsapp in uso all’indagato inserito in diversi gruppi (creati in diversi territori a livello internazionale) su cui venivano veicolati messaggi propagandistici dello Stato Islamico, venivano scaricati video concernenti la jihad, l’esaltazione del martirio e della guerra agli infedeli miscredenti occidentali; il B. aveva altresì due profili Facebook con contenuti del medesimo genere, con i quali aveva espresso consenso – mediante un “like” – a due messaggi propagandistici; in seguito alla perquisizione domiciliare del 13.6.2019 venivano sequestrati il telefono cellulare del B. ed una serie di fogli manoscritti. In seguito alla perizia informatica del telefono emergeva la forte radicalizzazione dell’indagato, desunta: dai collegamenti telematici con gruppi dediti all’esaltazione del martirio e della guerra santa contro gli infedeli, e delle pratiche terroristiche dell’ISIS; dal rinvenimento di filmati e video scaricati concernenti attentati, esecuzioni sommarie, decapitazioni eseguite dal gruppo terroristico dell’ISIS, bandiere e scritte esaltanti la lotta armata contro l’occidente, la propaganda di atti terroristici negli USA e nell’UE; dagli appunti manoscritti sull’agenda e sui fogli sequestrati, riproducenti la medesima esaltazione e celebrazione di simboli ISIS, ed in cui il B. si proclamava servo di Allah votato al martirio; dai video, rinvenuti nel cellulare, concernenti le istruzioni per la fabbricazione di materiale esplodente, quali “molotov” e bombe del tipo ANFO, illustrate in tre “lezioni” da
un uomo con il viso coperto da un passamontagna; dai contatti con numerose utenze estere, contenute nella rubrica o rintracciate tramite l’esame dei tabulati; dalle chat in modalità riservata su Telegram con l’utenza di A.H.M., anch’egli inserito in gruppi e canali di propaganda jihadista. …Omissis… 2.Avverso tale ordinanza ha proposto ricorso per cassazione il difensore di B.M., Avv. R. F., deducendo cinque motivi. …Omissis… 2.3. Violazione di legge e vizio di motivazione in relazione all’omesso espletamento di una perizia informatica con le garanzie di cui all’art. 360 c.p.p. La difesa aveva eccepito l’inutilizzabilità del materiale acquisito mediante perizia informatica, in quanto espletata senza le garanzie, poiché le applicazioni Whatsapp e Telegram possono comportare la ricezione automatica del materiale inviato da altri (gestori del canale o altri utenti partecipanti alla chat) in maniera passiva ed inconsapevole; non sarebbe più possibile verificare se l’indagato li abbia soltanto ricevuti o anche visualizzati, a causa dell’apertura indiscriminata dei file audio e video rinvenuti nel cellulare. La motivazione del Tribunale sarebbe insufficiente ed apodittica. …Omissis… Considerato in diritto. 1. Il ricorso è, nel suo complesso, infondato e va rigettato. …Omissis… 4.Il terzo motivo, con cui si deduce l’inutilizzabilità della c.d. perizia informatica, per violazione dell’art. 360 c.p.p., è manifestamente infondato. È, infatti, consolidato il principio affermato da questa Corte secondo cui l’estrazione dei dati contenuti in un supporto informatico, se eseguita da personale esperto in grado di evitare la perdita dei medesimi dati, costituisce un accertamento tecnico ripetibile (Sez. 1, n. 11863 del 26/02/2009, Ammutinato, Rv. 243922), e non dà luogo ad accertamento tecnico irripetibile l’estrazione dei dati
DIRITTO DI INTERNET N. 4/2020
691
GIURISPRUDENZA PENALE archiviati in un computer, trattandosi di operazione meramente meccanica, riproducibile per un numero indefinito di volte (Sez. 2, n. 24998 del 04/06/2015, Scanu, Rv. 264286, che ha precisato che l’eventuale alterazione dei dati informatici e quindi la loro inutilizzabilità costituisce un accertamento in fatto del giudice di merito, che, se congruamente motivato, non è suscettibile di censura in sede di legittimità); l’estrazione di dati archiviati in un computer non costituisce accertamento tecnico irripetibile anche dopo l’entrata in vigore della L. 18 marzo 2008, n. 48, che ha introdotto unicamente l’obbligo di adottare modalità acquisitive idonee a garantire la conformità dei dati informatici acquisiti a quelli originali; ne deriva che la mancata adozione di tali modalità non comporta l’inutilizzabilità dei risultati probatori acquisiti, ma la necessità di valutare, in concreto, la sussistenza di eventuali alterazioni dei dati originali e la corrispondenza ad essi di quelli estratti (Sez. 2, n. 29061 del 01/07/2015, Posanzini, Rv. 264572, che ha chiarito che i dati di carattere informatico rientrano in ogni caso nel novero delle prove documentali; Sez. 5, n. 11905 del 16/11/2015, dep. 2016, Branchi, Rv. 266477). Ciò posto, nel ribadire che l’estrazione dei dati - numeri telefonici, contatti, e partecipazione a chat su Whatsapp
e Telegram - integra un accertamento tecnico ripetibile, va osservato che la doglianza del ricorrente, secondo cui non sarebbe più possibile dimostrare che i files ricevuti erano stati soltanto scaricati, ma non visualizzati, oltre ad essere contraddetta dalle dichiarazioni dell’indagato, che, in sede di udienza di convalida, ha spontaneamente ammesso la volontarietà degli accessi ai siti (“sono entrato nei siti che mi vengono contestati solo per curiosità”), fornendo una generica e indimostrata spiegazione rimasta priva di riscontro fattuale (“Forse alcuni video si sono scaricati da soli a causa di un virus del telefono”), è astrattamente suscettibile di un apprezzamento di attendibilità demandato al giudice del merito, e non ridondante sul diverso profilo dell’utilizzabilità. …Omissis… 7.Al rigetto del ricorso consegue la condanna al pagamento delle spese processuali. P.Q.M. Rigetta il ricorso e condanna il ricorrente al pagamento delle spese processuali. Manda la cancelleria per gli adempimenti di cui all’art. 94 disp. att. c.p.p., comma 1 ter. Così deciso in Roma, il 6 luglio 2020.
IL COMMENTO
di Vincenzo Gramuglia Sommario: 1. Premessa; 2. Il caso; 3. Contraddittorio tecnico e indagini informatiche: l’approccio interpretativo della Corte di cassazione; 4. Acquisizione della digital evidence e rischio di alterazione del dato informatico; 4.1 Assenza di preavviso al difensore e regime di invalidità; 5. Mancata adozione delle best practices e inversione dell’onere probatorio; 6. Riflessioni su un’auspicabile “inversione di rotta”. La Corte di cassazione torna ad occuparsi della controversa questione afferente al rapporto tra attività di indagine sulla digital evidence e garanzie partecipative di cui all’art. 360 c.p.p. La natura “volatile” ed intrinsecamente alterabile del reperto digitale impone di riflettere più a fondo sulla qualificazione giuridica del momento cd. “acquisitivo”, al fine di verificare in quali casi l’apertura di uno spazio di contraddittorio “anticipato” possa assolvere alla sua funzione di garanzia senza compromettere le esigenze cognitive insite nel compimento dell’indagine informatica. The Court of Cassation is once more concerned with the controversial issue relating to the relationship between investigation activities on digital evidence and participatory guarantees referred to in art. 360 c.p.p. The “volatile” nature and intrinsically alterability of the digital evidence requires us to examine more deeply the legal qualification of the “acquisitive” moment, in order to verify in which cases the opening of an “anticipated” cross-examination space can fulfill its guarantee function without affecting the cognitive needs inherent in cyber investigations.
1. Premessa
La Corte di cassazione, con la pronuncia in commento, ha ribadito il costante orientamento interpretativo secondo cui l’estrazione dei dati contenuti in un supporto informatico, se eseguita da personale esperto in grado di evitare la perdita dei medesimi dati, è un’attività rife-
692
DIRITTO DI INTERNET N. 4/2020
ribile alla categoria dell’accertamento tecnico ripetibile (art. 359 c.p.p.) (1). (1) In senso conforme: Cass. 18 marzo 2009, n. 11863, in C.E.D. Cass., rv. 243922; Cass. 16 giugno 2015, n. 24998, in C.E.D. Cass., rv. 264286, secondo cui l’eventuale alterazione dei dati informatici e quindi la loro inutilizzabilità costituisce un accertamento in fatto del giudice di merito, che, se congruamente motivato, non è suscettibile di censura in sede di
GIURISPRUDENZA PENALE Sebbene non possa considerarsi una “novità” in materia di digital evidence (2), il dictum affermato dalla Corte di cassazione rappresenta l’occasione per riflettere più a fondo sul tema – tutt’altro che pacifico – concernente l’ampiezza delle garanzie partecipative da riconoscere alla difesa nell’ambito delle cd. “indagini informatiche” (3). In particolare, un chiarimento in merito alla qualificazione delle attività di acquisizione del dato digitale s’impone al fine di evitare che indirizzi interpretativi come quello privilegiato dalla sentenza in commento possano costituire il viatico per l’impiego indiscriminato di prassi investigative tali da recare detrimento all’esigenze cognitive del processo e alla posizione dell’indagato (4). legittimità; Cass. 8 luglio 2015, n. 29061, in Cass. Pen., 2016, 1706, così massimata: «l’estrazione di dati archiviati in un computer non costituisce accertamento tecnico irripetibile anche dopo l’entrata in vigore della l. 18 marzo 2008, n. 48, che ha introdotto unicamente l’obbligo di adottare modalità acquisitive idonee a garantire la conformità dei dati informatici acquisiti a quelli originali; ne deriva che la mancata adozione di tali modalità non comporta l’inutilizzabilità dei risultati probatori acquisiti, ma la necessità di valutare, in concreto, la sussistenza di eventuali alterazioni dei dati originali e la corrispondenza ad essi di quelli estratti»; Cass. 21 marzo 2016, n. 11905, in C.E.D. Cass., rv. 266477 secondo cui «l’estrazione di dati archiviati in un supposto informatico (nella specie: floppy disk) non costituisce accertamento tecnico irripetibile anche dopo l’entrata in vigore della legge 18 marzo 2008, n. 48, che ha introdotto unicamente l’obbligo per la polizia giudiziaria di rispettare determinati protocolli di comportamento, senza prevedere alcuna sanzione processuale in caso di mancata loro adozione, potendone derivare, invece, eventualmente, effetti sull’attendibilità della prova rappresentata dall’accertamento eseguito». (2) Per uno sguardo d’insieme sui complessi rapporti tra prova ed evoluzione informatica, v. Lupária - Ziccardi, Investigazione penale e tecnologia informatica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali, Milano, 2007; Lupària, Computer crimes e procedimento penale, in Trattato di procedura penale, diretto da Spangher, Modelli differenziati di accertamento, a cura di Garuti, Torino, 2011, 374; Pittiruti, Digital Evidence e procedimento penale, Torino, 2017; Daniele, La prova digitale nel processo penale, in Riv. dir. proc., 2011, 283. (3) Sul tema, cfr. Lupària, Processo penale e tecnologia informatica, in Dir. Internet, 2008, 223; Ricci, Digital evidence e irripetibilità delle operazioni acquisitive, in Dir. pen. e proc., 2010, 337. (4) La lesione del diritto di difesa deriva dal fatto che l’indagato risulta sprovvisto delle garanzie partecipative di cui all’360 c.p.p. Secondo tale articolo, infatti, il Pubblico Ministero, nei casi in cui deve compiere un accertamento tecnico riguardante cose o luoghi il cui stato è soggetto a modificazione, deve necessariamente avvisare, senza ritardo, «la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici» . Per approfondire: Santalucia, Appunti in tema di atto irripetibile, in Giust. pen., 1990, 574; Scella, Brevi osservazioni in tema di accertamenti tecnici, rilievi e tutela del diritto di difesa, in Cass. pen., 1990, 278 ss.; Coppi, Sulle condizioni per l’utilizzabilità degli accertamenti tecnici non ripetibili, in Giur. it., 1990, 444 ss.; Galasso, Accertamenti tecnici non ripetibili e limiti di operatività, in Giur. merito, 1991, 1141 ss.; Guariniello, Gli accertamenti tecnici del pubblico ministero, in Foro it., 1992, 477 ss.; Scalfati, Gli accertamenti tecnici dell’accusa, in Ind. pen., 1992, 123 ss.; Kostoris, I consulenti tecnici nel processo penale, Milano, 1993; Cesari, L’irripetibilità sopravvenuta degli atti di indagine, Milano, 1999; Puleio, Brevi note in tema di accertamenti tecnici non ripetibili del pubblico ministero, in Giust. pen., 2003, 604 ss.; Conte - Loforti, Gli accertamenti tecnici nel processo penale, Milano, 2006;
2. Il caso
Nell’impugnare un’ordinanza emessa dal Tribunale della libertà, il ricorrente lamentava, per quanto qui interessa, violazione di legge e vizio di motivazione in relazione all’omesso espletamento di una perizia informatica con le garanzie di cui all’art. 360 c.p.p. Infatti, nel corso delle indagini, la Polizia Postale aveva accertato l’esistenza di un profilo Whatsapp, in uso all’indagato, inserito in diversi gruppi (creati in diversi territori a livello internazionale) su cui venivano veicolati messaggi propagandistici dello Stato Islamico. All’interno di tali gruppi, venivano inoltre scaricati video concernenti la jihad, l’esaltazione del martirio e della guerra agli infedeli miscredenti occidentali. Inoltre, in conseguenza di una perquisizione domiciliare, veniva sequestrato, tra l’altro, il telefono cellulare dell’indagato il cui contenuto, in seguito alla perizia informatica, comprovava la sua forte radicalizzazione (5). Il difensore eccepiva l’inutilizzabilità del materiale acquisito per mezzo della perizia, rilevando come quest’ultima fosse stata eseguita senza la preventiva attivazione delle garanzie di cui all’art. 360 c.p.p. Invero, in base alle prospettazioni difensive, le applicazioni Whatsapp e Telegram possono comportare la ricezione automatica del materiale inviato da altri soggetti in maniera del tutto passiva ed inconsapevole. Pertanto, all’esito dell’accertamento tecnico condotto dagli organi inquirenti, inaudita altera parte, sarebbe ormai impossibile verificare se la persona sottoposta alle indagini avesse soltanto ricevuto tali file ovvero se li avesse anche visualizzati: tale accertamento, infatti, risulterebbe precluso dall’apertura indiscriminata dei file audio e video contenuti nel cellulare.
3. Contraddittorio tecnico e indagini informatiche: l’approccio interpretativo della Corte di cassazione
Come si è visto, l’eccezione difensiva volta a rilevare l’inutilizzabilità del materiale, acquisito per mezzo della perizia informatica, muove da un rischio tutt’altro che astratto: durante le operazioni indirizzate al recupero e alla conservazione degli elementi di prova digitale, è assai probabile che ne venga compromessa la genuini-
Giunchedi, Gli accertamenti tecnici irripetibili (tra prassi devianti e recupero della legalità), Torino, 2009. (5) Tale circostanza veniva desunta da una serie di indici fattuali, tra i quali ad esempio: i collegamenti telematici con gruppi dediti all’esaltazione del martirio, della guerra santa contro gli infedeli, e delle pratiche terroristiche dell’ISIS; il ritrovamento di filmati e video concernenti attentati, esecuzioni sommarie, decapitazioni eseguite dal gruppo terroristico dell’ISIS, bandiere e scritte esaltanti la lotta armata contro l’occidente, la propaganda di atti terroristici; nonché le chat su Telegram, in modalità riservata, con l’utenza di un soggetto inserito in gruppi e canali di propaganda jihadista.
DIRITTO DI INTERNET N. 4/2020
693
GIURISPRUDENZA PENALE tà. Invero, l’utilità di preservare l’integrità della prova digitale si esplica su un duplice versante: da una parte, garantire una corretta ricostruzione del fatto storico; dall’altra, consentire alla difesa di attingere, anche attraverso le investigazioni difensive, ad elementi idonei a confutare l’ipotesi accusatoria (6). Muovendo da tali premesse, non è dato scorgere nella decisione profili di particolare novità rispetto a quello che, attualmente, costituisce – per così dire – lo “stato dell’arte” nella giurisprudenza di legittimità: l’estrazione dei dati contenuti in un supporto informatico non richiede l’attivazione delle garanzie partecipative di cui all’art. 360 c.p.p., «trattandosi di operazione meramente meccanica, riproducibile per un numero indefinito di volte» (7). Effettuando una lettura a ritroso della giurisprudenza, è agevole constatare l’esistenza di un orientamento univoco sul punto. Una delle prime pronunce risale – a quanto consta – al lontano 2009, allorché la Corte di cassazione ritenne di escludere che l’acquisizione dei dati contenuti in un computer rientrasse nella categoria dell’accertamento tecnico irripetibile, poiché l’estrazione del materiale informatico era stata eseguita da «personale esperto perfettamente in grado di evitare la perdita dei dati medesimi» (8). Parimenti, un’omologa linea interpretativa è rinvenibile in una pronuncia del 2015, allorché la Corte si pronunciava sulla mancata declaratoria di inutilizzabilità della documentazione estrapolata da un computer sequestrato (9). Sorprende come la Corte di cassazione avesse, in quel caso, mantenuto inalterato il proprio orientamento anche dinanzi alle specifiche osservazioni critiche mosse dal consulente tecnico della difesa, che aveva segnalato gravi errori nel compimento delle indagini informatiche (10). Una serie di deduzioni
(6) Su tali aspetti, v. Lupària, Processo penale e tecnologia informatica, cit., 223, secondo cui «l’applicazione nel processo penale delle metodologie di computer forensics deve necessariamente essere analizzata in una duplice prospettiva: quella riconducibile al prisma dei diritti difensivi e delle libertà della persona (si ponga mente agli aspetti della eventuale irripetibilità delle operazioni informatiche, della garanzia del contraddittorio nel momento dell’analisi dei dati digitali, del carattere altamente intrusivo di taluni strumenti d’indagine) e quella più propriamente connessa alle esigenze di attendibilità dell’accertamento (basti pensare alla possibile alterazione dei dati appresi o alla inidoneità delle apparecchiature elettroniche a garantire una affidabile verifica del thema probandum)». (7) Cass. 23 luglio 2020, n. 22066, in questa Rivista, 2020, 695. (8) Cass. 18 marzo 2009, n.11863, cit. (9) Cass. 19 febbraio 2015, n. 8607, in Cass. Pen., 2015, 4168. (10) In particolare, venivano evidenziati i seguenti aspetti: non era stata documentata adeguatamente la copia eseguita e, oltretutto, non era stata prodotta una certificazione di conformità della stessa; vi era incongruenza nella indicazione della marca del computer; vi era un hash di copia diverso dall’originale, tanto da non potersi considerare conforme; vi erano degli archivi mancanti; mancavano i file temporanei.
694
DIRITTO DI INTERNET N. 4/2020
tecniche che si elevavano a “spia” del non corretto utilizzo di quelle metodiche acquisitive che, se compiute da “personale esperto”, garantirebbero – a dire della Corte – la genuinità della prova raccolta. Le medesime coordinate esegetiche sono state pedissequamente seguite poi dalle pronunce successive, dalla cui lettura si riscontra un sostanziale affidamento circa la correttezza e la precisione che la polizia giudiziaria deve impiegare nell’utilizzo delle moderne tecnologie che governano la fase acquisitiva dell’investigazione informatica (11). Vale a dire, quella fase in cui l’estrapolazione e la riproduzione del dato digitale, su un idoneo supporto, dovrebbe avvenire per mezzo della “clonazione” – nota come bit-stream image – del dispositivo informatico sequestrato (che produce un’immagine di quanto contenuto nell’Hard Disk su un altro supporto digitale) (12). Nel compimento di tali operazioni, considerate ripetibili per un numero indefinito di volte, il difensore ha solo il diritto di assistere senza, però, essere preventivamente avvisato. Seguendo le linee argomentative delle pronunce menzionate, la giustificazione di tale asserto si fonda sulla circostanza per cui il Legislatore italiano, dopo la Convenzione di Budapest, non ha apportato alcuna modifica all’art. 360 c.p.p., tanto da non risultare possibile estenderne la portata applicativa alle operazioni tecniche realizzate in sede di indagini informatiche (13). Si osserva, infatti, come la l. 18 marzo 2008, n. 48 si sia limitata ad interpolare le norme sulle ispezioni, sulle perquisizioni e sui sequestri per mezzo di due apposite indicazioni metodologiche: da una parte, prevedendo
(11) Per un commento critico in merito ad una fra le prime pronunce, rese dalla Corte di cassazione in materia, v. Lorenzetto, Utilizzabilità dei dati informatici incorporati su computer in sequestro: dal contenitore al contenuto passando per la copia, in Cass. pen., 2010, 1522 ss. (12) Una volta eseguita la computer forensic, sul supporto in sequestro, si procede poi al recupero delle prove e delle informazioni attraverso un’analisi forense dei dispositivi digitali acquisiti. In tali situazioni, è possibile estendere l’analisi anche su tutte quelle parti apparentemente vuote del dispositivo che potrebbero nascondere file o frammenti di file cancellati e, dunque, risultare di fondamentale importanza per le indagini. In virtù di tali caratteristiche, la copia eseguita mediante bitsream image viene, generalmente, considerata maggiormente affidabile rispetto ad una semplice copiatura dell’Hard disk. Su tali aspetti, ex multis, v. Aterno, Le investigazioni informatiche e l’acquisizione della prova digitale, in Giur. merito, 2013, 955; nonché Molinari, Le attività investigative inerenti alla prova di natura digitale, in Cass. pen., 2013, 1265 ss. (13) In questo senso, Cass. 8 luglio 2015, n. 29061, cit., così massimata: «l’estrazione di dati archiviati in un computer non costituisce accertamento tecnico irripetibile anche dopo l’entrata in vigore della l. 18 marzo 2008, n. 48, che ha introdotto unicamente l’obbligo di adottare modalità acquisitive idonee a garantire la conformità dei dati informatici acquisiti a quelli originali; ne deriva che la mancata adozione di tali modalità non comporta l’inutilizzabilità dei risultati probatori acquisiti, ma la necessità di valutare, in concreto, la sussistenza di eventuali alterazioni dei dati originali e la corrispondenza ad essi di quelli estratti».
GIURISPRUDENZA PENALE l’introduzione di modalità acquisitive idonee a garantire la conformità dei dati informatici acquisiti a quelli originali; dall’altra, prescrivendo che la copia della digital evidence debba avvenire tramite tecniche che assicurino la conformità all’originale e la sua immodificabilità (14). In altri termini, si confida solamente nel generico dovere, gravante sulla polizia giudiziaria, di rispettare dei protocolli di comportamento non meglio precisati (un rimando ai quali sembra essere contenuto nel novellato testo dell’art. 354 c.p.p.), senza che consegua alcuna sanzione processuale nel caso in cui non siano adottati, potendone derivare – al massimo – «effetti sull’attendibilità della prova rappresentata dall’accertamento eseguito» (15). Ad oggi, l’accertamento in fatto di un’eventuale alterazione del dato informatico è possibile grazie all’impiego delle procedure di hashing, vale a dire delle tecniche che permettono di verificare l’integrità e la conformità all’originale del dato informatico sequestrato e conservato in copia su un apposito supporto (16).
4. Acquisizione della digital evidence e rischio di alterazione del dato informatico
Una più attenta riflessione sugli approdi ermeneutici in esame, condotta attraverso la “lente critica” degli studi dottrinali, permette di comprendere meglio, e più in profondità, quali rischi si annidino nell’orientamento interpretativo sopra descritto. A ben vedere, la scarsa persuasività delle soluzioni giurisprudenziali discende dall’erroneità della premessa logica del sillogismo giudiziario: il fatto che le operazioni in parola vengano compiute da personale altamente qualificato per l’espletamento di tali delicati compiti. Tale asserto, infatti, sembra smentito da due obiezioni fondatamente rilevate dalla dottrina. Da una parte, presupporre l’impiego delle “migliori prassi” della digital forensics, idonee in astratto a preservare la genuinità del dato e, con essa, la perfetta integrità cd. scena criminis informatica (17), non
(14) Per un approfondimento sulle innovazioni introdotte da tale legge, v. Lupària, La ratifica della Convenzione cybercrime del Consiglio d’Europa, profili processuali, in Dir. pen. e proc., 2008, 720. Per ulteriori commenti, si v. anche: Picotti, Ratifica della Convenzione Cybercrime e nuovi strumenti di contrasto contro la criminalità informatica e non solo, in Dir. Internet, 2008, 437 ss.; Di Bitonto – Vitale – Macrillò – Barbieri – Forlani, La ratifica della Convenzione del Consiglio d’Europa sul Cybercrime: profili processuali, in Dir. Internet, 2008, 503; Barbieri, Le attività d’indagine della polizia giudiziaria su sistemi informatici e telematici (Commento a l. 18 marzo 2008, n. 48), in Dir. Internet, 2008, 516 ss.; Tonini, Documento informatico e giusto processo, in Dir. pen. e proc., 2009, 401 ss. (15) Cass. 21 marzo 2016, n. 11905, cit. (16) Cfr. Aterno, Le investigazioni informatiche e l’acquisizione della prova digitale, cit., 955. (17) Sul punto, ex plurimis Costabile, Scena criminis, documento informatico e formazione della prova penale, in Il diritto dell’informazione e dell’infor-
certifica comunque l’assenza dell’errore umano (18). Dall’altra, è ancora da dimostrare che lo svolgimento delle indagini informatiche possa avvenire senza che sia modificato l’oggetto del dato digitale. Non a caso, secondo la migliore dottrina, qualsiasi tipo di accesso a un sistema informatico, anche se accompagnato dall’utilizzo delle tecniche più avanzate, rischia di modificare i dati informatici in esso contenuti in modo irreversibile, integrando la fattispecie di cui all’art. 117 disp. att. c.p.p. (19). Di talché, non può che apparire censurabile l’«approccio unitario al fenomeno dell’analisi e gestione della prova informatica» adottato dalla giurisprudenza, incline all’impiego di formule argomentative del tutto aspecifiche e poco attente alle peculiarità del caso concreto; inidonee, pertanto, a valorizzare quell’«inconfutabile dato secondo cui ogni sistema informatico o telematico presenta caratteristiche particolari» (20). Alla luce di queste osservazioni, deve ritenersi che un migliore approccio alla tematica dovrebbe, in realtà, calibrare un più accorto bilanciamento tra le esigenze di celerità e riservatezza, insite nel compimento delle indagini, in ragione dell’estrema mutevolezza del fenomeno informatico, da cui scaturisce, quale corollario, la necessità di garantire il diritto al contraddittorio su una prova “volatile” e, dunque, ontologicamente soggetta ad alterazione (21).
matica, 2005, 517 ss. (18) Così, Ricci, Digital evidence e irripetibilità delle operazioni acquisitive, cit., 344. In termini analoghi, v. anche Aterno, voce Digital forensics (investigazioni informatiche), in Dig. disc. pen., Agg. VIII, Torino, 2014, 217. (19) Così, Lupària, La disciplina processuale e le garanzie difensive, in Lupária – Ziccardi, Investigazione penale e tecnologia informatica, Milano, 2007, 151 ss. (20) Testualmente, Pittiruti, Digital Evidence e procedimento penale, cit., 110. Per una posizione analoga, v. anche Ricci, Digital evidence e irripetibilità delle operazioni acquisitive, cit., 339, secondo cui «i riscontrati ritardi legislativi nella regolamentazione del settore, unitamente alla scarsa conoscenza del mondo digitale e alla marginalità entro cui è stato relegato l’argomento per lungo tempo, non hanno permesso ancora lo sviluppo di un’adeguata cultura, una forma mentis di tutti gli operatori che consenta il giusto approccio e la corretta dimestichezza nel confrontarsi con questa materia. L’ingresso di ogni innovazione, del resto, richiede tempo per essere recepita e metabolizzata dagli operatori e, probabilmente, perché ci si possa muovere con maggiore disinvoltura anche in questo campo, occorrerà attendere ancora». (21) Cfr. Aterno, voce Digital forensics (investigazioni informatiche), cit., 217, che sottolinea come le evidenze digitali siano «caratterizzate da una “carenza di materialità” che porta ad una maggiore facilità di modifica accidentale durante la fase di acquisizione delle stesse. Si consideri ad esempio l’atto di aprire un documento di testo, che potrebbe essere utile alle indagini. La semplice apertura può essere sufficiente a modificare alcune caratteristiche del file. Affinché il dato non venga alterato è quindi necessario agire con la massima attenzione con l’ausilio di strumenti tecnici specifici e un alto rigore metodologico».
DIRITTO DI INTERNET N. 4/2020
695
GIURISPRUDENZA PENALE In questa prospettiva, si riscontrano vedute parzialmente diverse, sia per quel che riguarda i casi in cui sarebbe necessaria l’applicazione dell’art. 360 c.p.p., sia per quanto attiene alle conseguenze – in termini di regime di invalidità – che dovrebbero discendere dalla mancata applicazione delle garanzie anzidette. Per quanto riguarda il primo aspetto, alcuni commentatori hanno rilevato la necessità di applicare l’art. 360 c.p.p. al ricorrere di una circostanza ricavabile per via interpretativa. Il fatto, cioè, che le prove digitali non siano più nella disponibilità di chi potrebbe manipolarle, come nell’ipotesi di sequestro di un computer trovato spento, circostanza che farebbe venir meno l’urgenza dell’atto di indagine (22). Infatti, sottraendo il supporto informatico dalla disponibilità di chi potrebbe abusivamente sottrarne o nasconderne elementi contenutistici, verrebbe inevitabilmente a mancare quell’unica ragione ostativa che si oppone alla mancata applicazione delle garanzie partecipative di cui all’art. 360 c.p.p. (23) Detto altrimenti, nelle situazioni descritte il preavviso alla difesa potrebbe «svolgere la sua funzione di garanzia senza compromettere le esigenze cognitive» (24). L’osservazione è condivisibile, ma merita di essere integrata con le corrette deduzioni mosse da un’altra attenta dottrina che, sottolineando la scarsa dimestichezza della giurisprudenza nell’assimilare concetti e terminologie proprie della computer forensics, ha spostato l’approccio al problema sulla necessità di plasmare il tipo di garanzie partecipative sulle specifiche caratteristiche che connotano l’accertamento tecnico da compiere (25). In altri termini, nell’acquisizione del dato informatico con (22) Daniele, Il diritto al preavviso della difesa nelle indagini informatiche, in Cass. pen., 2012, 441. L’Autore giustifica tale osservazione in base al fatto che le prove digitali, essendo prive di “materialità”, spesso rimangono nella disponibilità del soggetto che detiene il dispositivo informatico al cui interno sono contenute, ovvero spesso sono facilmente reperibili tramite internet. In virtù di ciò, il preavviso imposto dall’art. 360 c.p.p. «rischierebbe, in molti casi, di vanificare le indagini, perché permetterebbe all’indagato di alterare le tracce digitali del crimine». (23) In questi termini, Daniele, La prova digitale nel processo penale, cit., 283, secondo cui «venendo meno il rischio dell’alterazione dei dati, è opportuno che il contraddittorio tecnico si riespanda nella sua pienezza. Non è necessario, peraltro, che le operazioni in esame avvengano in dibattimento, come sostenuto in giurisprudenza: diversamente la difesa non avrebbe la possibilità di estrarre ed esaminare una sua copia prima del giudizio, in tempo utile per apprestare al meglio la propria strategia». (24) Così, Daniele, Il diritto al preavviso della difesa nelle indagini informatiche, cit., 441. (25) Cfr. Pittiruti, Digital Evidence e procedimento penale, cit., 105. In senso analogo, v. anche Lorenzetto, Utilizzabilità dei dati informatici incorporati su computer in sequestro: dal contenitore al contenuto passando per la copia, cit., 1522, che evidenzia criticamente l’approccio della giurisprudenza, poco attenta ad attribuire importanza alla tecnica di riproduzione e all’esigenza di controllo sull’azione inquirente, prediligendo invece «attingere argomenti da un dettato normativo parziale e forzosamente sradicato dalla realtà di riferimento».
696
DIRITTO DI INTERNET N. 4/2020
corrono una serie di fattori (ad esempio, la tecnica di acquisizione della digital evidence, o anche la tipologia di supporto informatico su cui avviene l’acquisizione del materiale probatorio) che potrebbero, di volta in volta, mutare la qualificazione dell’operazione acquisitiva in termini di ripetibilità ovvero di irripetibilità (26). Ciò in base all’osservazione secondo cui solo nelle ipotesi in cui l’investigazione informatica garantisca tecniche in grado di preservare la possibilità di un controllo sulla prova rimasta inalterata sarebbe corretto optare per la “ripetibilità” dell’accertamento (27). Sicché, l’operazione potrà essere qualificata come “ripetibile” solo nel caso in cui le operazioni acquisitive siano corredate dall’utilizzo delle migliori prassi del settore, vale a dire quelle che intervengono «non già sulla memoria che in origine conteneva i dati né sulla copia forense di quest’ultima, bensì su un ulteriore duplicato del dato» (28). L’osservazione coglie nel segno: così facendo non vi sarebbero motivi per dubitare della genuinità della prova raccolta, giacché le parti, nel corso del procedimento, avrebbero sempre la possibilità di effettuare verifiche di conformità sul primo duplicato rimasto a loro disposizione (29). In mancanza di tali accorgimenti, dovrebbe però garantirsi la partecipazione del difensore – con diritto di preavviso – in tutti quei casi in cui vi sia una scissione temporale tra il momento acquisitivo del dato informatico e la materiale apprensione del dispositivo che lo contiene. In queste situazioni, il rischio di alterazione
(26) Lupària, Processo penale e tecnologia informatica, cit., 226, che nel denunciare i pericoli insiti in un approccio generalizzato al problema della eventuale irripetibilità dell’atto d’indagine, segnala l’opportunità di un approccio che sappia appurare, caso per caso, le modalità di svolgimento della fase acquisitiva del dato informatico, nell’ottica di una piena trasparenza e verificabilità. Sembra concordare, sul punto, anche Torre, Aspetti giuridici e tecnici relativi al trattamento della prova digitale nel processo penale. La prova informatica nella legge 18 marzo 2008, n. 48, in Inf. e dir., 2015, 65. (27) Cfr. Lupària, Processo penale e tecnologia informatica, cit., 226, secondo cui «perché l’operazione di forensics possa essere giudicata replicabile, è necessario che tanto l’apprensione del dato digitale quanto la successiva analisi non comportino alcuna modificazione dei files originari». (28) Pittiruti, Digital Evidence e procedimento penale, cit., 105. In termini analoghi, sul punto, v. Lupària, Processo penale e tecnologia informatica, cit., 223, il quale evidenzia come le best practices in materia suggeriscano «di operare una “copia-clone” (legal imaging o bit stream image) del contenuto dell’elaboratore e di compiere le successive elaborazioni ed analisi non già sulla - per così dire - prima riproduzione, ma bensì su un successivo duplicato, creato proprio al fine di poter manipolare i byte prelevati senza alterare la prima “fotografia digitale” del contenuto della macchina. Quest’ultima, in tal modo, sarà in ogni momento del processo a disposizione della difesa o dell’autorità giudiziaria, al fine di poter verificare che i risultati raggiunti mediante l’esaminazione dei dati siano compatibili e confacenti con il supporto iniziale». (29) In questo senso Lupària, Processo penale e tecnologia informatica, cit., 223.
GIURISPRUDENZA PENALE della digital evidence rende necessaria l’estensione delle garanzie di cui all’360 c.p.p., «sia per l’estrazione di files dall’attrezzatura sia – qualora non si sia potuto o voluto procedere alla creazione di una copia forense – per l’analisi» della stessa (30). Oltretutto, venendo meno il rischio di una possibile manipolazione della prova da parte dell’indagato, in queste situazioni l’unico “valore” da preservare coincide con la genuinità del dato informatico, giacché – come sopra rilevato – qualsiasi tipo di intervento sullo stesso può generare modifiche di carattere irreversibile (31). Sulla scorta di queste argomentazioni, non può che dissentirsi dall’orientamento della Corte di cassazione. Qualora, come nel caso di specie, l’operazione acquisitiva verta su materiale contenuto nel telefono cellulare dell’indagato non è possibile «realizzare, in un gran numero dei casi, un legal imaging del contenuto di quest’ultimo e, dunque, di operare i necessari accertamenti tecnici su un duplicato del dato» (32). Anche in virtù di ciò, in casi analoghi a quello in esame, è da ritenersi senz’altro preferibile l’interpretazione volta all’estensione dell’art. 360 c.p.p., da cui deriva la confluenza del dato informatico nel fascicolo del dibattimento (art. 431 c.p.p.) e la sua consequenziale acquisizione con il meccanismo delle letture (art. 511 c.p.p.).
4.1 Assenza di preavviso al difensore e regime di invalidità
Dopo aver chiarito la necessità di applicare le garanzie di cui all’art. 360 c.p.p. in casi analoghi a quello oggetto della sentenza che ci occupa, occorre domandarsi quale regime di invalidità consegua al mancato preavviso alla difesa circa il compimento dell’atto irripetibile. Anche quest’ultimo profilo è oggetto di dibattito in dottrina. Secondo alcuni, infatti, l’art. 360 c.p.p., nell’imporre al Pubblico Ministero di preavvisare il difensore del compimento dell’accertamento irripetibile, omette alcun divieto probatorio: la disposizione, infatti, non fa discendere alcuna conseguenza dall’inosservanza del suddetto obbligo (33). Secondo questa impostazione, laddove si optasse per l’applicazione del regime dell’inutilizzabilità, si finirebbe per estendere arbitrariamente il tenore inequivoco della littera legis, in spregio all’osservazione secondo cui il meccanismo invalidante dell’inutilizzabilità dovrebbe
(30) Pittiruti, Digital Evidence e procedimento penale, cit., 106. (31) Cfr. Pittiruti, Digital Evidence e procedimento penale, cit., 106, che recupera, sul punto, l’insegnamento di Lupària, La disciplina processuale e le garanzie difensive, cit., 151 ss.
discendere dall’utilizzo di formule linguistiche inequivoche (34). Conseguenza logica di tali deduzioni è la possibilità di sussumere l’ipotesi in questione all’interno della categoria delle nullità a “regime intermedio” (di cui agli artt. 178, lett. c) e 180 c.p.p.), sul rilievo che la disposizione di cui all’art. 360 c.p.p. rientri nell’ambito dell’“assistenza” dell’indagato (in quanto funzionale a permettere il contraddittorio tecnico della difesa) (35). Quanto alla rilevabilità di tale vizio, da simile inquadramento teorico discende la possibilità di far valere la nullità entro la deliberazione della sentenza di primo grado, in accordo con il disposto di cui all’art.180 c.p.p. Ad una più attenta analisi, la soluzione interpretativa offerta poc’anzi potrebbe non essere del tutto lineare e convincente. Non a caso, un’altra parte della dottrina, muovendo da un diverso inquadramento del problema, ha qualificato tale violazione in termini di inutilizzabilità (36). Invero, questo diverso approccio teorico sarebbe avvalorato, sul piano interpretativo, dalla possibilità di ricavare il divieto probatorio dall’art. 360, commi 4 e 5, c.p.p. (37) In particolare, si evidenzia giustamente la possibilità che, prima del conferimento dell’incarico, l’indagato formuli riserva di promuovere incidente probatorio (art. 360, comma 4, c.p.p.); richiesta dalla quale discende l’obbligo, in capo al Pubblico Ministero, di disporre che non si proceda agli accertamenti, salvo che questi non possano essere utilmente compiuti (art. 360, comma 4, c.p.p.). Ebbene, in questi casi, qualora il Pubblico Ministero, malgrado l’espressa riserva formulata dalla persona sottoposta alle indagini, abbia ugualmente disposto di procedere agli accertamenti, i relativi risultati non potranno essere utilizzati nel dibattimento (art. 360, comma 5, c.p.p.).
(34) Così, Daniele, Il diritto al preavviso della difesa nelle indagini informatiche, cit., 441, che a sostegno di tale tesi osserva come il riconoscimento di una inutilizzabilità si esaurisca in un’operazione ermeneutica «arbitraria, poiché attribuisce al legislatore una volontà che non risulta da nessun indice testuale. Generalizzandola, si potrebbero indurre divieti di acquisizione ex art. 191 c.p.p. da tutte le norme che disciplinano la formazione delle prove, indipendentemente dall’importanza dei valori sottesi a ciascuna disposizione, con il rischio di pregiudicare l’accertamento dei fatti». (35) Ritengono configurabile una nullità a regime intermedio Vitale, La nuova disciplina delle ispezioni e delle perquisizioni in ambiente informatico o telematico, in Dir. Internet, 2008, 509 s.; nonché Daniele, Il diritto al preavviso della difesa nelle indagini informatiche, cit., 441.
(32) Pittiruti, Digital Evidence e procedimento penale, cit., 107.
(36) A favore di questa diversa impostazione, si veda invece: Lupària, La disciplina processuale, cit., 196; Pittiruti, Digital Evidence e procedimento penale, cit., 107; Lorenzetto, Le attività urgenti di investigazione informatica e telematica, in Aa.Vv., Sistema penale, cit., 162 ss.
(33) Daniele, Il diritto al preavviso della difesa nelle indagini informatiche, cit., 441.
(37) In questi termini, Pittiruti, Digital Evidence e procedimento penale, cit., 107.
DIRITTO DI INTERNET N. 4/2020
697
GIURISPRUDENZA PENALE Muovendo da questa disposizione, che configura un espresso divieto probatorio, è logico ritenere che anche la violazione dell’obbligo di preavviso, in sede di accertamenti tecnici irripetibili, determini analogamente un’inutilizzabilità. Non vi è dubbio, infatti, che il mancato preavviso al difensore costituisca un ineludibile antecedente logico, prima ancora che giuridico, rispetto alla riserva di incidente probatorio, con la conseguenza che qualificare la violazione in parola come “nullità” è un’operazione interpretativa che compromette inevitabilmente la razionalità del sistema processuale (38).
5. Mancata adozione delle best practices e inversione dell’onere probatorio
Dopo aver visto in quali casi le peculiarità dell’accertamento tecnico depongono a favore della sua “irripetibilità”, non resta che soffermarsi su un altro segmento motivazionale della pronuncia che si annota e che, in prospettiva più ampia, va ad ascriversi all’interno dell’orientamento restrittivo della giurisprudenza in materia di rapporto tra digital evidence e mancata adozione delle best practices (39). All’interno della pronuncia, è agevole individuare la “silenziosa” attribuzione di un onere, in capo alla difesa, di dimostrare l’avvenuta effettiva modifica del dato informatico, qualora non sia stata posta in essere la best practice in sede di acquisizione dell’evidenza digitale (40). Tale dimostrazione, tuttavia, non determinerebbe l’inutilizzabilità del materiale probatorio “male acquisito”: il giudice del merito, infatti, dovrà accertare , «in concreto, la sussistenza di eventuali alterazioni dei dati originali e la corrispondenza ad essi di quelli estratti» (41). In altri termini, anche nel caso in cui la difesa riuscisse a provare che la polizia giudiziaria abbia omesso di effettuare una “copia-clone” del contenuto del dispositivo e di non aver compiuto le successive elaborazioni ed analisi su un successivo duplicato della prima riproduzione («creato proprio al fine di poter manipolare i byte
(38) In questo senso, Pittiruti, Digital Evidence e procedimento penale, cit., 107, il quale rileva come «una diversa conclusione condurrebbe, altrimenti, ad un sistema del tutto illogico: per evitare che i risultati investigativi siano colpiti da inutilizzabilità, al pubblico ministero basterebbe omettere indistintamente ogni avviso al difensore». (39) Per una lettura critica delle soluzioni interpretative della giurisprudenza, in merito alle conseguenze della mancata applicazione delle cd. best practices nella fase acquisitiva, v. ex multis Marafioti, Digital evidence e processo penale, in Cass. pen., 2011, 4509. (40) Nell’effettuare una lettura del quadro giurisprudenziale, in materia di digital evidence, anche Marafioti, Digital evidence e processo penale, cit., 4509, riscontra la tendenza della Corte di cassazione «ad aggirare la fondamentale funzione di profilassi svolta dalle guidelines fissate in ambito internazionale per la computer forensics» per mezzo di un’anomala inversione dell’onere della prova. (41) Cass. 23 luglio 2020, n. 22066, in questa Rivista, cit.
698
DIRITTO DI INTERNET N. 4/2020
prelevati senza alterare la prima “fotografia digitale” del contenuto della macchina» (42)) tale scostamento dalla best practice non avrebbe comunque alcun effetto sull’utilizzabilità della digital evidence. E infatti, non avendo il legislatore consacrato alcun preciso metodo di acquisizione della prova digitale, risulta fin troppo agevole per la Cassazione ricavare la conseguenza che manchino anche le relative sanzioni processuali (43). Non è solo questo il punto che si vuole qui evidenziare. Anche a voler escludere eventuali profili di invalidità della prova, non si vede come sia concretamente possibile per la difesa dimostrare che la mancata adozione delle pratiche operative sopra descritte abbia comportato un’alterazione del dato informatico acquisito. È evidente infatti che, senza la preventiva attivazione del contraddittorio tecnico, la dimostrazione di simili aspetti si risolverà, sempre e comunque, «in una vera e propria probatio diabolica» (44). A monte, rispetto all’oggettiva difficoltà di fornire tale dimostrazione, si situa però una vera e propria aporia metodologica della Corte, che concepisce una ripartizione dell’onere della prova del tutto anomala e in evidente frizione con i postulati della legalità processuale penale (45). Invero, far gravare sulla difesa l’onere di (42) Lupària, Processo penale e tecnologia informatica, cit., 226. (43) In questi termini, Daniele, La prova digitale nel processo penale, cit., 283, che propone un’interpretazione più formalistica in materia di inutilizzabilità. Per una ricostruzione opposta, v. invece Marafioti, Digital evidence e processo penale, cit., 4509, secondo cui «quand’anche non si volesse ritenere che la l. n. 48 del 2008 abbia inteso sancire precisi divieti probatori, ancorché in maniera implicita, con riferimento alle risultanze informatiche inquinate al momento dell’apprensione dei dati, occorre prendere atto della necessità di una diversa ricostruzione sistematica della nozione di inutilizzabilità. In presenza di prove informatiche, eventuali violazioni relative alle modalità di formazione della prova incidono necessariamente anche sulla sostanza della prova stessa, fino a rendere del tutto inattendibile l’accertamento frutto di tali risultanze». (44) Marafioti, Digital evidence e processo penale, cit., 4509, che critica le linee giurisprudenziali nella misura in cui tendono «ad aggirare la fondamentale funzione di profilassi svolta dalle guidelines fissate in ambito internazionale per la computer forensics» addossando «alla parte interessata l’onere di dimostrare l’avvenuta effettiva modifica del dato informatico, qualora non sia stata seguita la best practice nella fase di raccolta della digital evidence». Tali osservazioni sono condivise anche da Giunchedi, Le malpractices nella digital forensics. Quali conseguenze sull’inutilizzabilità del dato informatico?, in Arch. pen., 2013, 811. (45) Su tali aspetti, più approfonditamente, v. Lupària, Il caso “Vierika”: un’interessante pronuncia in materia di virus informatici e prova penale digitale. I profili processuali, in Dir. Internet, 2005, 153. Nella vicenda processuale esaminata dall’Autore, la giurisprudenza era chiamata a decretare la sorte processuale di una risultanza probatoria informatica ottenuta senza seguire le best practices in ambito internazionale. In quell’occasione, il Tribunale di Bologna ritenne che dalle suddette violazioni non conseguisse automaticamente un’inutilizzabilità, spettando alla difesa l’onere di dimostrare che la metodologia utilizzata abbia concretamente alterato i dati ottenuti. Muovendo da tali esiti interpretativi, l’Autore rassegna
GIURISPRUDENZA PENALE dimostrare l’effettivo scostamento dalle best practices è un’operazione ermeneutica che si colloca al di fuori dall’architettura sistematica del codice di rito, risolvendosi pertanto in un intollerabile detrimento a carico della difesa (46).
6. Riflessioni su un’auspicabile “inversione di rotta”
Concludendo, l’analisi sopra effettuata permette agevolmente di comprendere come, nel tema in oggetto, si registrino due vedute interpretative decisamente antitetiche. Da una parte, l’opinione degli esperti in materia di computer forensics che cercano di plasmare la disciplina del codice di rito sull’elevato grado di complessità raggiunto dalle più moderne tecniche d’indagine, propiziando il rispetto delle migliori prassi acquisitive al fine di preservare la genuinità e l’integrità di un dato intrinsecamente alterabile (47). Dall’altra parte, le soluzioni ermeneutiche della giurisprudenza, decisamente «meno sensibile alle rigorose conclusioni alle quali sono pervenuti i primi» (48). In un quadro così articolato, il legislatore italiano non è stato sinora particolarmente esaustivo. L’intervento legislativo si è infatti arrestato alle “premesse” di una riforma che poteva essere più estesa (49): le mere indicazioni
delle utili considerazioni ai fini di una corretta ripartizione dell’onere probatorio: «la tutela della genuinità della electronic evidence costituisce un valore assoluto al quale devono conformarsi gli organi inquirenti pena l’inutilizzabilità del materiale raccolto per unreliability, vale a dire per inidoneità delle evidenze ad assicurare un accertamento attendibile dei fatti di reato. All’imputato spetta soltanto di mostrare che le modalità utilizzate per l’apprensione, per il mantenimento della chain of custody e per la successiva elaborazione non rispecchiano i canoni generalmente riconosciuti come affidabili. Ove ciò si appalesi, grava sull’accusa il peso di dimostrare che quel metodo, seppur difforme dalla miglior prassi tecnica, non ha, nel caso di specie, alterato i dati e ha salvaguardato la cosiddetta “integrità digitale”. E in caso di incertezza su quest’ultima circostanza, si dovrà accogliere la regola di giudizio dell’in dubio pro reo, e non certo quella secondo cui in dubio pro republica». (46) Cfr. Giunchedi, Le malpractices nella digital forensics. Quali conseguenze sull’inutilizzabilità del dato informatico?, cit., 832, secondo cui «il sistema accusatorio, al contrario scrollandosi di dosso incrostazioni inquisitorie, dovrebbe pretendere che sia la parte che di quei dati vuol farne uso a dimostrare che, nonostante le malpractices, questi non risultano aver subito alterazioni». (47) In merito a tali aspetti, valga per tutti il richiamo ad uno dei diversi contributi scritti sul tema da Lupària, Processo penale e tecnologia informatica, cit., 221 ss. (48) Giunchedi, Le malpractices nella digital forensics. Quali conseguenze sull’inutilizzabilità del dato informatico?, cit., 825. (49) In questo senso, Lupària, La ratifica della Convenzione cybercrime del Consiglio d’Europa, profili processuali, cit., 720, che, pur riconoscendo l’estrema importanza dell’intervento legislativo, non manca di riconoscere come «il risultato finale di tale lavoro, anche in ragione di una affrettata approvazione determinata dalla intervenuta caduta dell’esecutivo e dalla repentina chiusura dell’attività parlamentare, non può dirsi del tutto soddisfacente e anzi induce a parlare di occasione perduta».
di “metodo”, veicolanti la necessità di adottare tecniche operative idonee a preservare l’integrità del reperto digitale, si sono – nei fatti – dissolte nel nulla dinanzi al dilagare di prassi applicative poco attente al rispetto del diritto di difesa (50). Invero, la l. n. 48 del 2008 si è limitata a introdurre, con ampio ritardo, una disciplina lacunosa e con scarsa attenzione sistematica, circoscritta alla sola enunciazione di linee metodologiche e obiettivi generali senza un adeguato strumentario che ne garantisse anche l’effettività (51). In relazione al trattamento delle prove informatiche, si rende allora quanto mai opportuna una disciplina più rigorosa che, raccogliendo l’insegnamento della dottrina, garantisca «il controllo delle indagini e dei risultati scientifici forniti» (52) in ogni fase del procedimento. In questa prospettiva, sarebbe opportuno in primis assicurare la continuità probatoria, così che la difesa possa effettuare una verifica del reperto digitale in tutte le scansioni procedimentali ad esso riferibili: dall’identificazione, acquisizione e analisi in laboratorio del dato, sino alla successiva dimostrabilità dibattimentale dei risultati conseguiti (53). In particolare, ciò sarebbe possibile tramite il rispetto della cd. chain of custody, locuzione anglosassone che descrive l’esigenza di «tracciare il procedimento di repertamento ed analisi mediante report, così da escludere alterazioni indebite delle tracce informatiche intervenute successivamente alla creazione, trasmissione o allocazione in altro supporto» (54). Oltretutto, nella medesima linea, gli esperti hanno correttamente evidenziato come i rischi di alterazione e compromissione dell’evidenza digitale possano ridursi attraverso l’adozione di particolari protocolli operativi
(50) Tali aspetti sono evidenziati, in chiave critica, anche da Marafioti, Digital evidence e processo penale, cit., 4509, che, sul piano delle considerazioni generali, rileva una scarsa sensibilità dei giudici nel riconoscere eventuali profili di invalidità della digital evidence. (51) Cfr. Giunchedi, Le malpractices nella digital forensics. Quali conseguenze sull’inutilizzabilità del dato informatico?, cit., 825. (52) Mattiucci, Le indagini sui reperti invisibili. High tech crime, in Manuale delle investigazioni sulla scena del crimine. Norme, tecniche, scienze, a cura di Curtotti - Saravo, Torino, 2013, 711. (53) Secondo Lupària, Processo penale e tecnologia informatica, cit., 223 il rispetto della chain of custody rappresenterebbe una procedura in grado di garantire l’attendibilità dell’accertamento penale. E, infatti, la natura «ontologicamente volatile» del dato digitale porta alla necessità di garantire «la possibilità di tenere traccia del procedimento di repertamento ed analisi in ogni suo punto per escludere alterazioni indebite delle tracce informatiche intervenute in epoca successiva alla allocazione in un supporto autorizzato. Il mantenimento della chain of custody in materia di investigazioni informatiche richiede allora una completa annotazione dei vari passaggi “fisici” e “informatici” compiuti al momento dell’apprensione del dato e nella successiva fase di conservazione». (54) Così, Giunchedi, Le malpractices nella digital forensics. Quali conseguenze sull’inutilizzabilità del dato informatico?, cit., 825. Sul punto, v. anche Daniele, La prova digitale nel processo penale, cit., 283.
DIRITTO DI INTERNET N. 4/2020
699
GIURISPRUDENZA PENALE recanti le cd. best practices: così ci si potrebbe sincerare che polizia giudiziaria non proceda attraverso tecniche investigative di volta in volta diverse (55). Un approccio più realistico al problema impone tuttavia di segnalare la difficoltà di un intervento di siffatta natura, a causa del fatto che non esistono metodi acquisitivi delle prove digitali in grado di imporsi in assoluto sugli altri (56). Sicché, un eventuale intervento legislativo che muovesse in una simile direzione finirebbe per cristallizzare regole destinate a divenire obsolete con l’avanzare del progresso tecnologico (57). Ecco allora che, in attesa di un auspicabile intervento del legislatore, cresce la centralità del contraddittorio tecnico quale possibile “rimedio” all’ontologica modificabilità dell’evidenza digitale (58). In questo senso, bisogna sperare in un’apertura della giurisprudenza ai suggerimenti ermeneutici provenienti dall’Accademia: procedere secondo il modello garantistico di cui all’art. 360 c.p.p. – quantomeno nelle specifiche ipotesi segnalate in precedenza – sembra, obiettivamente, l’unico possibile “freno” al profilarsi di prassi investigative gravemente lesive del diritto alla difesa, oltre che potenzialmente nocive per la corretta ricostruzione del fatto storico.
(55) Tali aspetti sono ben evidenziati da Daniele, La prova digitale nel processo penale, cit., 283, che riflette sui possibili “antidoti” al rischio di alterazione del dato digitale, rilevando come – in astratto – «l’ideale sarebbe che il legislatore potesse prestabilire una specifica tecnica di acquisizione dalle prove digitali, da osservare scrupolosamente a pena di inutilizzabilità ogni volta in cui un reato lasciasse tracce in un sistema informatico. Il metodo prescelto diventerebbe la “regola d’oro” della formazione delle prove digitali, come l’esame incrociato lo è per l’assunzione delle prove dichiarative». (56) Cfr. Daniele, La prova digitale nel processo penale, cit., 283. Sul punto, diffusamente v. anche Ziccardi, Le tecniche informatico-giuridiche di investigazione digitale, in Lupària - Ziccardi, Investigazione penale, cit., 3 ss. (57) In virtù di tali circostanze, Lupària, La ratifica della Convenzione cybercrime del Consiglio d’Europa, profili processuali, cit., 720, sottolinea come la scelta di rinviare a quelle tecniche che «saranno ratione temporis le migliori pratiche assurte nel panorama scientifico internazionale», fa sì che il giudice abbia l’onere «di verificare, caso per caso, l’effettiva validità dei criteri impiegati e la loro conseguente affidabilità. Si riecheggia in sostanza quell’approccio, tipico dell’universo giuridico di common law, che assegna al giudice l’incisivo ruolo di gatekeeper nei riguardi degli accertamenti ad alto contenuto tecnologico, la cui attendibilità deve appunto essere apprezzata sulla scorta dei protocolli elaborati dalla comunità scientifica e alla luce di quella “cultura dei criteri” che la migliore dottrina ritiene coessenziale al vaglio giurisdizionale circa l’idoneità probatoria della scientific evidence». (58) In questi termini, Daniele, La prova digitale nel processo penale, cit., 283, che sottolinea come l’importanza del diritto al preavviso sia «cruciale: assistendo al compimento dell’atto, un difensore anche privo di cognizioni in materia avrebbe maggiori possibilità di informare il proprio consulente in ordine alle operazioni svolte dagli investigatori, in modo da contestare più efficacemente in dibattimento le tecniche impiegate».
700
DIRITTO DI INTERNET N. 4/2020
In questa direzione, il caso giudiziario sottoposto al vaglio della Suprema Corte ci sembra essere un’altra occasione persa per inaugurare una decisiva “virata” in senso garantistico. La vicenda processuale analizzata presenta, infatti, numerose ed evidenti affinità con quelle situazioni in cui si rende possibile preconizzare l’apertura di uno spazio applicativo per l’accertamento tecnico irripetibile. Invero, poiché il supporto digitale era stato preventivamente sequestrato, non sussisteva più alcuna esigenza di scongiurare possibili manipolazioni delle prove da parte dell’indagato. Una volta intervenuto il sequestro dello smartphone, l’acquisizione del materiale informatico per mezzo dell’accertamento tecnico irripetibile sarebbe stata la soluzione certamente più vantaggiosa: il riconoscimento del contradditorio tecnico avrebbe assolto alla sua funzione di garanzia senza compromettere le esigenze cognitive delle indagini informatiche.
GIURISPRUDENZA PENALE
Profili penali della creazione di un falso profilo Facebook a scopo diffamatorio Corte di Cassazione ; sezione V penale; sentenza 23 luglio 2020, n. 22049; Pres. Palla; Rel. Riccardi; P.M. Epidendio Integra il delitto di sostituzione di persona ex art. 494 c.p., nonché quello di diffamazione aggravata di cui al co. 3 dell’art. 595 c.p., la condotta di colui che crea un falso profilo Facebook utilizzando un’immagine caricaturale altrui al fine diffondere messaggi offensivi nei confronti della stessa persona raffigurata nell’immagine.
…Omissis…
RITENUTO IN FATTO 1. Con sentenza emessa il 08/11/2019 la Corte di Appello di Messina ha confermato la sentenza del Tribunale di Messina del 01/06/2018, che aveva condannato Y.G.T. alla pena condizionalmente sospesa di due mesi e quindici giorni di reclusione per i reati di cui agli artt. 595 e 494 c.p., per avere offeso la reputazione di C.E. a mezzo internet, creando falsi profili Facebook rappresentati da foto caricaturali della stessa, e inviandole insulti mediante messaggi, così attribuendo un falso nome. 2. Avverso tale sentenza ha proposto ricorso per cassazione il difensore di Y.G.T., Avv. A. S., deducendo tre motivi di ricorso. 2.1. Violazione di legge e vizio di motivazione in relazione all’art. 595 c.p.: contesta il contenuto offensivo dei messaggi, sostenendo che la traduzione dell’interprete non avesse dimostrato il tenore delle affermazioni contestate, con riferimento all’accusa di prostituirsi; inoltre, il post asseritamente offensivo non proveniva dall’imputato, ma era stato inviato dall’account M.C.A.; mancherebbe, infine, il requisito della divulgazione a più persone, trattandosi di un messaggio privato, visibile dal solo destinatario, e non essendo sufficiente la condivisione di profili di “amici” su Facebook; in ogni caso, sussisterebbe la fattispecie di ingiuria, essendo tali messaggi stati inviati alla stessa persona offesa. 2.2. Violazione di legge e vizio di motivazione in relazione all’art. 494 c.p.: sostiene che non sussista il reato, per la differenza tra l’immagine caricaturale e l’immagine della persona a lei immediatamente riconducibile. 2.3. Violazione di legge e vizio di motivazione in relazione all’art. 131 bis c.p. CONSIDERATO IN DIRITTO 1. Il primo motivo di ricorso è inammissibile, perché propone doglianze eminentemente di fatto, che sollecitano, in realtà, una rivalutazione di merito preclusa in sede di legittimità, sulla base di una “rilettura” degli elementi di fatto posti a fondamento della decisione, la
cui valutazione è, in via esclusiva, riservata al giudice di merito, senza che possa integrare il vizio di legittimità la mera prospettazione di una diversa, e per il ricorrente più adeguata, valutazione delle risultanze processuali (Sez. U, n. 6402 del 30/04/1997, Dessimone, Rv. 207944); infatti, pur essendo formalmente riferite a vizi riconducibili alle categorie del vizio di motivazione e della violazione di legge, ai sensi dell’art. 606 c.p.p., sono in realtà dirette a richiedere a questa Corte un inammissibile sindacato sul merito delle valutazioni effettuate dalla Corte territoriale (Sez. U, n. 2110 del 23/11/1995, Fachini, Rv. 203767; Sez. U, n. 6402 del 30/04/1997, Dessimone, Rv. 207944; Sez. U, n. 24 del 24/11/1999, Spina, Rv. 214794). In particolare, con le censure proposte il ricorrente non lamenta una motivazione mancante, contraddittoria o manifestamente illogica - unici vizi della motivazione proponibili ai sensi dell’art. 606 c.p.p., lett. e), ma una decisione erronea, in quanto fondata su una valutazione asseritamente sbagliata in merito al contenuto offensivo dei messaggi, alla provenienza degli stessi ed alla divulgazione. Il controllo di legittimità, tuttavia, concerne il rapporto tra motivazione e decisione, non già il rapporto tra prova e decisione; sicché il ricorso per cassazione che devolva il vizio di motivazione, per essere valutato ammissibile, deve rivolgere le censure nei confronti della motivazione posta a fondamento della decisione, non già nei confronti della valutazione probatoria sottesa, che, in quanto riservata al giudice di merito, è estranea al perimetro cognitivo e valutativo della Corte di Cassazione. Pertanto, nel rammentare che la Corte di Cassazione è giudice della motivazione, non già della decisione, ed esclusa l’ammissibilità di una rivalutazione del compendio probatorio, va al contrario evidenziato che la sentenza impugnata ha fornito logica e coerente motivazione in ordine alla ricostruzione dei fatti, con argomentazioni prive di illogicità (tantomeno manifeste) e di contraddittorietà.
DIRITTO DI INTERNET N. 4/2020
701
GIURISPRUDENZA PENALE Pacifico che la diffusione di un messaggio diffamatorio attraverso l’uso di una bacheca “facebook” integra un’ipotesi di diffamazione aggravata ai sensi dell’art. 595 c.p., comma 3, sotto il profilo dell’offesa arrecata “con qualsiasi altro mezzo di pubblicità” diverso dalla stampa, poiché la condotta in tal modo realizzata è potenzialmente capace di raggiungere un numero indeterminato, o comunque quantitativamente apprezzabile, di persone e tuttavia non può dirsi posta in essere “col mezzo della stampa”, non essendo i social network destinati ad un’attività di informazione professionale diretta al pubblico (Sez. 5, n. 4873 del 14/11/2016, dep. 2017, Manduca, Rv. 269090), le doglianze proposte sono altresì manifestamente infondate. Quanto alla provenienza dei messaggi, è stato accertato, mediante individuazione degli indirizzi IP (Internet Protocol address) - il numero del datagramma che identifica univocamente un dispositivo (c.d. host) collegato a una rete informatica che utilizza l’Internet Protocol come protocollo di rete per l’instradamento/indirizzamento che i falsi profili “facebook” erano stati creati dall’imputato, utilizzando due utenze mobili (OMISSIS) ed una fissa (OMISSIS) a lui intestate, nonché un’utenza fissa (OMISSIS) intestata a R.S., presso il quale Y. lavorava come domestico. Quanto al contenuto offensivo dei post pubblicati, il ricorso si limita a contestarlo sulla base di una non consentita rivalutazione della traduzione dell’interprete, peraltro calibrata soltanto sull’accusa di prostituzione, e senza confrontarsi con il contenuto offensivo dei messaggi con cui la persona offesa veniva insultata come “pescivendola”. Infine, quanto al requisito della divulgazione, che non sussisterebbe in quanto l’agente avrebbe inviato dei “messaggi” privati, visibili al solo destinatario, la doglianza è manifestamente infondata, essendo stato accertato, anche sulla base dell’acquisizione dei c.d. screenshot, che i messaggi offensivi erano stati divulgati tramite i falsi profili facebook mediante pubblicazione di post visibili ai c.d. “amici” del profilo, e non mediante invio di messaggi privati. Altrettanto manifestamente infondata è la deduzione con cui si sostiene la configurabilità dell’ingiuria, per essere stati i messaggi inviati direttamente alla persona offesa; oltre a contraddire il tenore del ricorso, che, a p. 3, sostiene che il destinatario del messaggio era la sorella della persona offesa, la sentenza impugnata ha al riguardo chiarito che i post offensivi erano stati pubblicati sui profili della sorella e del figlio della persona offesa. 2. Il secondo motivo è manifestamente infondato, in quanto il reato di sostituzione di persona è integrato da colui che crea ed utilizza un profilo su social network,
702
DIRITTO DI INTERNET N. 4/2020
utilizzando abusivamente l’immagine di una persona del tutto inconsapevole, trattandosi di condotta idonea alla rappresentazione di una identità digitale non corrispondente al soggetto che lo utilizza (Sez. 5, n. 33862 del 08/06/2018, R, non massimata sul punto); secondo quanto precisato da Sez. 5, n. 25774 del 23/04/2014, Sarlo, Rv. 259303, integra il delitto di sostituzione di persona (art. 494 c.p.) la condotta di colui che crea ed utilizza un “profilo” su social network, utilizzando abusivamente l’immagine di una persona del tutto inconsapevole, associata ad un “nickname” di fantasia ed a caratteristiche personali negative, e la descrizione di un profilo poco lusinghiero sul “social network” evidenzia sia il fine di vantaggio, consistente nell’agevolazione delle comunicazioni e degli scambi di contenuti in rete, sia il fine di danno per il terzo, di cui è abusivamente utilizzata l’immagine. Ciò posto, non rileva, ai fini dell’integrazione del reato, che, attraverso la sostituzione di persona, sia stata divulgata una “immagine caricaturale” della persona offesa, che rileva ai fini della integrazione, altresì, del reato di diffamazione, essendo sufficiente, per la tipicità del delitto di cui all’art. 494 c.p., la illegittima sostituzione della propria all’altrui persona, mediante creazione ed utilizzo di un falso profilo facebook. 3. Il terzo motivo, infine, è del tutto generico, limitandosi a contestare il diniego del riconoscimento della causa di non punibilità di cui all’art. 131 bis c.p. nonostante l’asserito minimo disvalore sociale della condotta conseguente ad una “divulgazione privata e non pubblica di tali espressioni sui social”; la doglianza, che sollecita ictu oculi una non consentita rivalutazione del merito, non si confronta con la motivazione della sentenza impugnata, che, oltre ad avere accertato il requisito della divulgazione (di per sé “pubblica”), ha negato il riconoscimento dell’art. 131 bis c.p. ritenendo, con apprezzamento di fatto immune da censure di illogicità, e dunque insindacabile in sede di legittimità, che non ricorresse la particolare tenuità del danno, in considerazione della persistenza della condotta criminosa per oltre un mese, e della creazione di numerosi profili al solo scopo di arrecare danno alla persona offesa. 4. Alla declaratoria di inammissibilità del ricorso consegue la condanna al pagamento delle spese processuali e alla corresponsione di una somma di denaro in favore della Cassa delle Ammende, somma che si ritiene equo determinare in Euro 3.000,00. P.Q.M. dichiara inammissibile il ricorso e condanna il ricorrente al pagamento delle spese del procedimento e della somma di Euro 3.000,00 in favore della Cassa delle Ammende. …Omissis…
GIURISPRUDENZA PENALE
IL COMMENTO
di Chiara Crescioli Sommario: 1. Il caso sottoposto all’esame della Corte. – 2. La configurabilità del reato di sostituzione di persona in caso di utilizzo di un’immagine caricaturale. – 3. La sussistenza del delitto di diffamazione aggravato dal “mezzo di pubblicità”. – 4. Brevi riflessioni conclusive: la non punibilità per particolare tenuità del fatto. Con la sentenza in oggetto la Corte di Cassazione si è occupata nuovamente del fenomeno della creazione di falsi profili Facebook da utilizzare per diffamare altri utenti, affermando che tale comportamento integra gli estremi dei reati di sostituzione di persona e di diffamazione aggravata dal “mezzo della pubblicità”. La peculiarità del caso in esame, però, consiste nel fatto che per l’apertura dei profili l’imputato non si è servito di una fotografia, bensì di un’immagine caricaturale. Nel presente contributo, dunque, si intende verificare se tale condotta possa comunque essere considerata una “sostituzione illegittima della propria all’altrui persona” e quindi essere ricompresa tra quelle sanzionate dall’art. 494 c.p. Con riferimento al reato di diffamazione, invece, si deve esaminare se la bacheca Facebook vada in ogni caso considerata come “mezzo di pubblicità”, a prescindere dalle opzioni di privacy eventualmente scelte per limitare la visualizzazione e la condivisione solo ad utenti previamente selezionati. L’ultimo profilo esaminato, infine, riguarda il mancato riconoscimento della causa di non punibilità di cui all’art. 131-bis c.p., negata in ragione della “persistenza della condotta criminosa per oltre un mese”. In this judgement the Court of Cassation has once again dealt with the phenomenon of the creation of fake Facebook profiles to be used to defame other people, behaviour that is considered as illicit impersonation and aggravated defamation by the “medium of publicity” offences. The particularity of this case is that when the defendant opened the fake profiles it did not use a real photograph, but a caricature image. Therefore, in this contribution it is examined whether such behaviour can be considered an “illegitimate impersonation of another person” and therefore be punished by art. 494 c.p. Conversely, referring to the crime of defamation, it is analysed whether Facebook wall can in any case be considered as a “publicity medium”, regardless of the privacy tools chosen to limit viewing and sharing only to previously selected users. The last profile examined concerns the non-recognition of the non-punishability cause provided by art. 131-bis c.p., denied because of the “persistence of criminal conduct for more than a month”.
1. Il caso sottoposto all’esame della Corte
Nella sentenza in commento la Corte di Cassazione si è nuovamente occupata della configurabilità del delitto di sostituzione di persona in caso di creazione di un falso profilo sul social network Facebook tramite l’utilizzo non autorizzato di un’immagine altrui, con successiva commissione del reato di diffamazione tramite la relativa bacheca. L’imputato, in particolare, sia in primo che in secondo grado era stato condannato per i reati sopra menzionati per aver creato diversi falsi profili Facebook utilizzando immagini caricaturali raffiguranti un’altra persona, per poi pubblicare sulle relative bacheche messaggi offensivi dell’onore e della reputazione di quest’ultima, definendola come “pescivendola” e dedita alla prostituzione. La peculiarità del caso sottoposto all’esame della Corte consiste nel fatto che per l’apertura dei profili il reo non si è servito di una o più fotografie ritraenti la persona offesa, bensì di un’immagine caricaturale di quest’ultima. La difesa dell’imputato, dunque, ha impugnato la sentenza d’appello per violazione di legge e vizio di motivazione, sostenendo l’insussistenza sia del reato di cui all’art. 494 c.p. per mancanza dell’elemento oggettivo della sostituzione, sia del reato di diffamazione. La Suprema Corte ha invece ritenuto inammissibile il ricorso, confermando così la condanna inflitta all’imputato.
2. La configurabilità del reato di sostituzione di persona in caso di utilizzo di un’immagine caricaturale
Nel capo della sentenza relativo alla fattispecie di sostituzione di persona, la Suprema Corte, richiamandosi alle proprie precedenti pronunce anche recenti (1), ha ritenuto che anche il fatto ascritto all’imputato integrasse gli estremi del reato in esame, evidenziando che l’utilizzo di un’immagine altrui è condotta idonea “alla rappresentazione di un’identità digitale non corrispondente al soggetto che la utilizza” e, pertanto, è riconducibile alla “sostituzione illegittima della propria all’altrui persona”, condotta sanzionata dall’art. 494 c.p. La giurisprudenza, infatti, a fronte del proliferare della creazione sui social network di identità fittizie o multiple per scopi illeciti e in mancanza di interventi legislativi sistematici idonei ad adeguare il diritto penale ai cambiamenti sociali, si è avvalsa dello strumento dell’interpretazione estensiva (2). Pertanto, ha ritenuto applicabile tale fattispecie
(1) Cft. Cass. 8 giugno 2018, n. 33862 e Cass. 23 aprile 2014, n. 25774 con nota di Sansobrino, Creazione di un falso account, abusivo utilizzo dell’immagine di una terza persona e delitto di sostituzione di persona, in Dir. pen. cont., 30 settembre 2014, all’indirizzo <http://www.penalecontemporaneo.it>. (2) In base a tale criterio ermeneutico viene attribuito il più ampio significato tra quelli possibili agli elementi tipici che compongono la fattispecie, al contrario invece di quanto accade per l’analogia, ove si travalicano i confini della norma penale perché il caso di cui trattasi non può essere in alcun modo ricompreso nella stessa neanche se interpretata
DIRITTO DI INTERNET N. 4/2020
703
GIURISPRUDENZA PENALE anche a condotte illecite poste in essere nel web, quali la creazione di un account di posta elettronica riferibile ad altra persona (3) o l’utilizzo di un nickname riconducibile ad altro soggetto assieme all’inserimento del numero telefonico di quest’ultimo su un sito di incontri (4). Tale operazione ermeneutica è possibile perché le falsità personali sono caratterizzate dal contenuto della rappresentazione e non dalla forma (5): non si fa riferimento alla persona fisica in sé, bensì all’identità e alle altre qualità della persona. Infatti, oggetto di tutela della norma è la corrispondenza alla realtà dei fatti di dichiarazioni che si riferiscono all’identità o a qualità personali della persona, che finiscono per creare un’aspettativa di verità e corrispondenza rispetto a quelle reali del soggetto. Dunque, poiché anche l’effigie di una persona costituisce dato personale che ne consente la diretta identificazione (6), colui che utilizza una fotografia altrui fingendo di essere la persona ivi ritratta sostituisce illegittimamente la propria all’altrui persona. Anche il semplice utilizzo di una fotografia altrui, quindi, è sufficiente ad integrare il reato di sostituzione di persona, mentre non rileva che alla foto profilo sia associato un nome di fantasia o di persona inesistente. Infatti, il reato in esame, anche se è a forma vincolata (7), può realizzarsi alternativamente secondo una delle quattro modalità contemplate, ovvero la sostituzione illegittima della propria all’altrui persona o l’attribuzione a sé o ad altri di un falso nome, di un falso stato o di una qualità cui la legge riconnette effetti giuridici (8). Si tratta, quindi, di norma a più fattispecie, la cui eventuale compresenza
nella sua massima estensione. Sulla differenza tra analogia e interpretazione estensiva vedi, per tutti, Mantovani, Dir. pen., PG, Padova, 2017, X ed., 73. In giurisprudenza v. Cass. 27 aprile 1990, n. 11380. (3) Così Cass. 15 dicembre 2011, n. 12479 e Cass. 8 novembre 2007, n. 46674 in Dir. inf. inf., 2008, 525 ss. (4) Cass. 28 novembre 2012, n. 18826 in Dir. pen. cont., 25 giugno 2013, all’indirizzo <http://www.penalecontemporaneo.it> con nota di Giudici, Creazione di un falso profilo utente sulla rete e delitto di sostituzione di persona. (5) Cristani, voce Falsità personale in Dig. disc. pen., Torino, 1991, 107; Flick, Falsa identità su internet e tutela penale della fede pubblica degli utenti e della persona, in Dir. inf. inf., 2008, 526, in specie 536. (6) In tal senso depone l’art. 4 del regolamento europeo 2016/679 UE, secondo cui per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale». (7) Fiandaca - Musco, Dir. pen., PS, I, Bologna, 2012, V ed., 619. (8) Astorina Marino, Sub art. 494 c.p., in Commentario breve al codice penale, diretto da Forti, Seminara e Zuccalà, VI ed., Padova, 2017, 1652 ss., in specie 1653.
704
DIRITTO DI INTERNET N. 4/2020
di più tra le modalità descritte non dà vita a pluralità di reati (9). Nel caso in esame, però, a differenza di quanto avvenuto nei richiamati precedenti giurisprudenziali, per la creazione dei falsi profili l’imputato non ha utilizzato una fotografia ritraente la persona offesa, bensì una sua “immagine caricaturale”. Va dunque esaminato se la condotta descritta possa comunque essere ricompresa tra quelle sanzionate dall’art. 494 c.p. A tal proposito dev’essere evidenziato che la caricatura è di per sé una rappresentazione inveritiera della persona, un’esasperazione a scopo goliardico delle sue caratteristiche fisiche e morali, quindi non è qualcosa che consenta la diretta identificazione del soggetto. Anzi, delle volte i connotati della persona ivi raffigurata vengono talmente stravolti ed esagerati che la stessa diviene quasi irriconoscibile (10). E anche qualora somigliante alla persona ritratta si tratta pur sempre di un disegno, non certo di un dato personale o comunque qualcosa che consenta la diretta identificazione del soggetto raffigurato. Va rilevato che nella sentenza in esame non è specificato se oltre a tale immagine per la creazione dei profili sia stato utilizzato anche il nome della persona offesa o comunque un nickname ad essa riconducibile. Se, infatti, il reo avesse utilizzato anche i dati anagrafici della persona offesa o un nickname anche inventato, ma chiaramente riconducibile ad una persona fisica, non vi sarebbe nessuna difficoltà a ritenere comunque integrato il reato in questione, nonostante l’immagine del profilo sia una caricatura: tale condotta, infatti, ben può costituire impersonificazione del soggetto di cui si stanno utilizzando indebitamente le generalità o comunque rientrare nella seconda modalità descritta dall’art. 494 c.p., ovvero l’attribuzione di un falso nome, trattandosi di segni della persona in grado di attribuire un’identità (11). Il problema sorge quando il profilo Facebook non è del tutto riferibile alla persona offesa, perché magari viene utilizzato un nome di fantasia o comunque inesistente: in questo caso l’eventuale utilizzo della fotografia costituisce un collegamento sicuro tra il nickname e la persona offesa e dunque si può ritenere che l’utilizzatore effettivamente finga di essere la persona ritratta. Se, però, il nome non è veritiero e non viene utilizzato neppure un altro segno
(9) Pagliaro, voce Falsità personale, in Enc. dir., XVI, Milano, 1967, 646 ss. (10) La stessa Cassazione la definisce come «la consapevole ed accentuata alterazione dei tratti somatici, morali e comportamentali di una persona», così Cass. 23 febbraio 2000, n. 2128. (11) In giurisprudenza v. Cass. 28 novembre 2012, n.18826, cit.; in dottrina Ievolella, Nickname falso con cellulare vero: sostituzione di persona, in Dir. giust., 2013, 391 ss. e Stampanoni Bassi, Osservazioni a Corte di Cassazione, sezione V, n. 18826, 28 novembre 2011, in Cass. pen., 2014, 146 ss., in specie 147.
GIURISPRUDENZA PENALE chiaramente riconducibile ad una persona realmente esistente, tale account di fatto appare riferibile ad un personaggio inventato o immaginario. Pertanto, sembra arduo ritenere che colui che ha creato tale tipologia di falso profilo si sia effettivamente sostituito ad un’altra persona, ovvero l’abbia impersonificata (12). In caso di creazione di un’identità totalmente fittizia vi è chi ritiene si rientri nell’ipotesi del reato impossibile, perché l’inesistenza oggettiva della persona che si finge di essere farebbe venir meno l’offensività stessa del fatto (13). Tale orientamento, peraltro, tiene conto del fatto che ad oggi non esistono disposizioni legislative che impongano una dichiarazione veritiera circa l’utilizzo delle proprie generalità in rete. Infatti, la richiesta di alcuni social network, tra cui lo stesso Facebook, agli utenti di fornire il loro nome e le proprie informazioni reali non configura un obbligo giuridicamente vincolante, per cui ogni utente può, nella creazione di una propria identità virtuale, del tutto legittimamente scegliere un nome di fantasia e restare così nell’anonimato. L’anonimato, infatti, non necessariamente assume una connotazione negativa, ma può essere strumentale all’effettivo esercizio del diritto alla riservatezza e del diritto alla protezione dei propri dati personali, concretandosi in una forma di controllo e nella possibilità di esclusione (14). Dunque, nell’ipotesi in cui alla caricatura non sia accompagnato almeno un contrassegno personale appartenente ad un altro soggetto esistente non sarebbe corretto ritenere integrata la condotta punita dall’art. 494 c.p., perché la creazione di un profilo con generalità e immagine di fantasia costituisce comportamento del tutto lecito. Infatti, non si può obbligare l’utente in ogni caso e per qualsiasi servizio online a rivelare la propria identità anagrafica, quando nella vita reale questo non è quasi mai necessario. Va però osservato che per giurisprudenza e dottrina maggioritarie anche la sola assunzione di un nome immaginario può integrare il reato di sostituzione di persona (15), purché sussista il dolo specifico richiesto dalla (12) A tal proposito va osservato che la definizione di “impersonificazione”, contenuta nell’art. 30- bis del D. Lgs. n. 141 del 2010, richiama espressamente l’utilizzo indebito di dati relativi ad altre persone esistenti. (13) Marraffino, La sostituzione di persona mediante furto di identità digitale, in Cybercrime a cura di Cadoppi, Canestrari, Manna e Papa, Torino, 2019, 307, in specie 314. (14) Finocchiaro, Conclusioni, in ID. (a cura di), Diritto all’anonimato, Padova, 2008, 411 ss., in specie 414; Vigevani, Anonimato, responsabilità e trasparenza nel quadro costituzionale italiano, in Dir. inf. inf., 2014, 207 ss., in specie 211; Rodotà, Il diritto di avere diritti, Bari, 2012, 392; v. anche Clarizia, Il significato di persona, ai tempi di Internet, in questa Rivista, 2020, 5, che evidenzia come una delle difese contro l’invasione della sfera privata su Internet è rappresentata proprio dal cambio di identità informatica. (15) In giurisprudenza v. Cass., 21 dicembre 2011, n. 4250 e Cass. 27 settembre 2006, n. 36094, per la dottrina Flick, op. cit., 527; Pagliaro,
fattispecie, ovvero la finalità di procurare a sé o ad altri un vantaggio o di recare ad altri un danno (16). Secondo tale orientamento, quindi, è consentito sanzionare colui che si nasconde dietro il profilo di un personaggio inventato, se lo utilizza per scopi illeciti. Dev’essere evidenziato che l’anonimato non costituisce certamente un diritto assoluto (17) e che senz’altro non è consentito occultare la propria identità per finalità illegittime (18). Il discrimen, dunque, tra comportamento lecito e illecito risiede nella finalità della condotta, come peraltro spesso avviene nei reati a dolo specifico (19). Infatti, in questo caso il fine tipico incide anche sull’offesa: non può definirsi inoffensiva la condotta di colui che crea un falso profilo Facebook per commettere reati, trattandosi di comportamento strumentalmente o causalmente orientato e funzionale a ledere interessi di terze persone o dello Stato, tanto da instaurare un oggettivo “rapporto conflittuale” con i titolari del bene. Nel caso in esame è evidente l’esistenza della finalità illecita, non solo perseguita, ma anche raggiunta, dato che l’imputato ha poi utilizzato il profilo per pubblicare e condividere post offensivi dell’altrui reputazione, celandosi dietro svariate identità fittizie per garantirsi l’impunità. Il vantaggio, infatti, non va confuso con la nozione di lucro: qui non rilevano finalità esclusivamente pecuniarie, ma l’utilità che si intende perseguire può riguardare qualsiasi aspetto personale o della vita di relazione (20). Condivisibilmente, dunque, la Suprema Corte ha ritenuto integrati gli estremi del reato in esame. In tal caso, però, va precisato che quando il nickname di fantasia è accompagnato da un’immagine non veritiera non si tratta di “sostituzione illegittima della propria all’altrui persona”, bensì di “attribuzione di un falso nome”. Infatti, per quanto si possa interpretare estensivamente il concetto di “nome” (21), lo stesso non può arrivare a ricomprendere anche l’immagine del volto, tant’è che la stessa Cassazione in passato ha riconosciuto che nel
op. cit., 646; Stampanoni Bassi, op. cit., 147; Fiandaca – Musco, op. cit., 621. (16) Astorina Marino, op. cit., 1654. (17) Finocchiaro, op. cit., 414. (18) Bavetta, voce Identità (diritto alla), in Enc. dir., vol. XIX, Milano, 1970, 953 ss., in specie 954. (19) Picotti, Il dolo specifico. Un’indagine sugli “elementi finalistici” delle fattispecie penali, Milano, 1993, 552 ss. (20) V. Astorina Marino, Sub art. 494 c.p., cit., 1654; Cristani, op. cit., 109. (21) V. Pagliaro, op. cit., 647, e Fiandaca - Musco, op. cit., 621, secondo cui per nome deve intendersi il complesso dei contrassegni di identità, non solo il prenome e il cognome, ma anche la data di nascita, la paternità e la maternità. Per approfondire v. Cassano, Diritto dell’Internet. Il sistema di tutele della persona, Milano, 2005, 151.
DIRITTO DI INTERNET N. 4/2020
705
GIURISPRUDENZA PENALE caso di utilizzo della sola fotografia appartenente ad altri la modalità della condotta è quella di sostituzione, non di attribuzione di falso nome (22). Dunque, più che valorizzare l’utilizzo della fotografia caricaturale sarebbe stato forse più opportuno mettere in risalto l’uso di un nominativo non corrispondente al proprio. La questione, tuttavia, ha poca rilevanza pratica, perché anche se si tratta di diverse modalità di commissione del fatto il reato rimane comunque identico. Diverso discorso si potrebbe fare se non si fosse trattato del classico disegno caricaturale, ma di una fotografia della persona offesa poi modificata al computer con Photoshop o con apposite e diffusissime applicazioni per smartphone, ad esempio FaceApp. Come, peraltro, sembrerebbe proprio avvenuto nel caso in esame, dato che nella descrizione del fatto i giudici di legittimità hanno fatto riferimento ad una “foto caricaturale”. In questo caso si tratta pur sempre dell’immagine della persona offesa, che, anche se modificata, ne consente comunque la diretta identificazione. Sempre però che nella stessa i connotati del soggetto non siano stati completamente stravolti oppure la foto sia frutto di una combinazione tra fotografie appartenenti a più persone diverse, perché in questo caso l’immagine non è più direttamente riconducibile ad un soggetto reale, ma ad un personaggio inesistente. In entrambi i casi, ovvero quando la fotografia o il disegno caricaturale siano accompagnati da un nickname inventato, sorgono difficoltà con riferimento alla sussistenza del requisito dell’induzione in errore, elemento essenziale del reato di sostituzione di persona (23). Senza l’induzione in errore, infatti, tale delitto non può dirsi consumato e rimane relegato nell’area del tentativo (24). Se le generalità del profilo sono inventate e non appaiono appartenere a persona esistente, è evidente a chi si interfaccia con esso che si tratta di un fake e che l’identità dell’utente non corrisponde certo alle generalità indicate. Ciò vale ancor di più se le stesse sono accompagnate ad una immagine caricaturale, che per definizione è una rappresentazione non veritiera e inverosimile. Nel caso in esame è presumibile che nella fase di merito vi sia stata la verifica della sussistenza del requisito dell’induzione in errore, magari accertando se le persone con cui l’imputato ha condiviso il post offensivo, ovvero la sorella e il figlio della persona offesa, avessero accettato “l’amicizia” dei falsi profili perché indotti a credere che i profili appartenessero realmente alla loro congiunta. In caso contrario, difettando l’evento del reato, si sarebbe
(22) Cass. 8 giugno 2018, n. 33862, cit. (23) Cass. 22 aprile 2010, n. 35091; Fiandaca - Musco, op. cit., 620. (24) Cass. 22 aprile 2010, n. 35091, cit.
706
DIRITTO DI INTERNET N. 4/2020
potuto configurare tuttalpiù il tentativo di sostituzione di persona (25).
3. La sussistenza del delitto di diffamazione aggravato dal “mezzo di pubblicità”
L’ulteriore profilo esaminato dalla Cassazione riguarda la configurabilità del delitto di diffamazione aggravata, dato che i falsi profili sono stati utilizzati per inviare messaggi offensivi nei confronti della persona raffigurata nella caricatura. In particolare, la Suprema Corte, richiamandosi alla sua consolidata giurisprudenza (26), ha ritenuto integrato il reato contestato all’imputato, così come l’aggravante del mezzo della pubblicità di cui al co. 3 dell’art. 595 c.p., dato che quest’ultimo ha pubblicato e condiviso i messaggi oltraggiosi sulle bacheche Facebook dei falsi profili. L’automatismo col quale si ritiene che la bacheca di un social network abbia in ogni caso natura di mezzo di pubblicità merita tuttavia qualche riflessione. È innegabile che Facebook sia una piattaforma che notoriamente consente la divulgazione di messaggi destinati ad un numero indeterminato di persone (27) e che per sua natura il mezzo Internet sia accessibile ad una pluralità indeterminata di utenti, per cui il reato di diffamazione può perfezionarsi con l’immissione del messaggio offensivo nella rete, a prescindere dalla prova dell’effettiva percezione o lettura da parte dei destinatari interessati, analogamente a quanto si presume nel caso di un tradizionale giornale a stampa (28). Va però considerato che non tutti i mezzi informatici sono uguali (29): i gruppi Whatsapp, ad esempio, sono diversi dai social network, perché hanno la caratteristica di essere
(25) Anche se una parte della giurisprudenza non ammette la configurabilità del tentativo nella sostituzione di persona, qualificandolo come reato istantaneo senza effetti materiali, così Cass. 24 ottobre 2005, n. 45338. (26) Cft. Cass. 8 giugno 2015, n. 24431; più di recente in senso conforme v. anche Cass. 1 febbraio 2017, n. 4873, in Riv. pen., 2018, 171 ss. con nota di Pisconti, Diffamazione aggravata e Facebook: la Cassazione si adegua alla (sua) svolta interpretativa e Cass. 3 maggio 2018, n. 40083. (27) Picotti, I diritti fondamentali nell’uso ed abuso dei Social Network. Aspetti penali, in Giur. merito, 2012, 2522 ss. (28) Così Picotti, Profili penali delle comunicazioni illecite via Internet, in Dir. inf. inf., 1999, 283, in specie 298. In particolare, con riferimento ai social network v. Cass. 22 gennaio 2014, n. 16712 in Dir. pen. cont., 8 maggio 2014, all’indirizzo <http://www.penalecontemporaneo.it> con nota di Turchetti, Diffamazione su Facebook: comunicazione con più persone e individuabilità della vittima. Contra Corrias Lucente, Il diritto penale dei mezzi di comunicazione di massa, 2000, Padova, 271, secondo cui «il requisito di fattispecie della comunicazione tra almeno due persone deve avere natura reale e non meramente virtuale e che non coincide astrattamente con la messa a disposizione ed accessibilità all’interno della rete. La condotta sanzionata sarebbe, infatti, in assenza di un’effettiva comunicazione, priva di autentico disvalore». (29) Lasalvia, La diffamazione via web nell’epoca dei social network, in Cybercrime di Cadoppi, Canestrari, Manna e Papa, 2019, Torino, 331, in specie 333.
GIURISPRUDENZA PENALE costituiti da un numero determinato di partecipanti, la cui associazione è demandata all’iniziativa di uno o più amministratori, per cui si ritiene che se il gruppo è ristretto e vi partecipa anche la persona vilipesa si configura l’illecito civile “punitivo” di ingiuria e non la diffamazione (30). La bacheca Facebook, poi, non è di per sé assimilabile ad un blog o a una testata telematica perché, a differenza di quanto avviene in questi ultimi due mezzi, gli utenti hanno a disposizione diverse opzioni di privacy e possono scegliere di rendere visibile la loro bacheca solo ad alcuni utenti, i c.d. amici, e addirittura quali tra gli “amici” possono visualizzare alcuni post. Ciò, peraltro, è quanto avvenuto nel caso in esame, dato che l’imputato aveva condiviso i post diffamatori solo con gli “amici”. Va anche evidenziato che in quest’ultimo caso non può valere neppure quanto statuito dalla giurisprudenza in materia di posta elettronica, qualificata come “mezzo di pubblicità” perché lo strumento del forward consente l’invio del messaggio diffamatorio ad una pluralità indeterminata di persone (31), dato che i post che sono stati riservati alla visualizzazione da parte di utenti selezionati non possono essere da questi ultimi ulteriormente condivisi se l’autore non provvede a “sbloccarli” rendendoli liberamente accessibili. Non si tratta, dunque, di comunicazioni destinate ad una massa indeterminata di persone, ma a destinatari che, per quanto numerosi, sono comunque predeterminati. Né vale obiettare che i post offensivi possono comunque essere diffusi al di fuori di tale cerchia mediante screenshot della bacheca o comunque tramite l’utilizzo del “copia-incolla”, sia perché non si tratta di funzionalità proprie del mezzo Facebook, sia perché altrimenti si dilaterebbe esponenzialmente l’ambito applicativo dell’aggravante in questione, che finirebbe per ricomprendere persino le ipotesi di messaggio oltraggioso inviato tramite chat privata e poi copiato e condiviso dal destinatario. Per questo motivo, qualora la visibilità della bacheca o del post offensivo sia stata limitata sarebbe più corretto qualificare la diffamazione come commessa “in area privata” o comunque non accessibile al pubblico, piuttosto che come aggravata dal mezzo di pubblicità (32). Inoltre, (30) Così Catullo, Chat e video-chat: quando la diffamazione è on line?, in questa Rivista, 2020, 497. Come noto l’art. 594 c.p. è stato abrogato e l’ingiuria trasformata in illecito sottoposto a sanzione pecuniaria civile dall’art. 1 d.lgs. 15 gennaio 2016, n. 7.
non è neppure certo che un profilo fake con nome di fantasia abbia necessariamente degli “amici”: in questo caso, addirittura, difetterebbe l’elemento costitutivo della diffamazione, ovvero la comunicazione con più persone, in quanto si tratterebbe di contenuto inaccessibile a chiunque, se non all’autore. Pertanto, appare condivisibile l’orientamento secondo cui la diffamazione commessa attraverso l’uso di una bacheca Facebook non può essere automaticamente qualificata come aggravata dal mezzo della pubblicità, bensì spetta al giudice verificare concretamente se lo spazio utilizzato fosse o meno di dominio pubblico. Nel caso in esame l’autore dei messaggi offensivi non si è limitato a pubblicarli sulla propria bacheca Facebook visibile agli “amici”, ma li ha anche pubblicati o, per meglio dire, condivisi, sui profili della sorella e del figlio della persona offesa. Non è dato sapere se tali congiunti della persona offesa fossero anch’essi “amici” del falso profilo o meno: in quest’ultimo caso la qualificazione del fatto come diffamazione aggravata dal mezzo della pubblicità sarebbe corretta, perché per condividere i propri post con persone che non appartengono alla cerchia degli “amici” è necessario modificare le opzioni di privacy e rendere fruibile il contenuto a tutti gli utilizzatori del social network, rendendo così il messaggio di pubblico accesso e quindi leggibile indiscriminatamente da chiunque. Nel primo caso, invece, in base a quanto detto sopra, si sarebbe potuto valutare se escludere la sussistenza dell’aggravante di cui al co. 3 dell’art. 595 c.p., tenendo conto delle peculiarità del social network in questione.
4. Brevi riflessioni conclusive: la non punibilità per particolare tenuità del fatto
Come ultimo motivo di gravame l’imputato ha censurato la decisione della Corte d’appello di diniego del riconoscimento della causa di non punibilità del fatto di cui all’art. 131-bis c.p. La Cassazione ha ritenuto infondata tale doglianza, evidenziando che il fatto non poteva ritenersi lievemente offensivo “in considerazione della persistenza della condotta criminosa per oltre un mese e della creazione di numerosi profili al solo scopo di arrecare danno alla persona offesa”. In questa sentenza, dunque, i giudici di legittimità riconoscono rilevanza penale al mantenimento del contenuto diffamatorio online valo-
(31) V. Cass. 6 aprile 2011, n. 29221. (32) In tal senso v. Lasalvia, op. cit., 346 ss; Corrias Lucente, La diffamazione a mezzo Facebook, in MediaLaws, all’indirizzo <www.medialaws. eu>; Minasola, Blogging e diffamazione: responsabilità dell’amministratore del sito per i commenti dei lettori, in Arch. pen. (online), 2013, 5. In giurisprudenza v. Trib. Gela 23 novembre 2011, n. 550, in Riv. pen., 2012, 440 ss., che tuttavia è rimasta isolata. Contra Scopinaro, Internet e i delitti contro l’onore, in Riv. it. dir. e proc. pen., 2000, 617, in specie 640, secondo cui «non è di ostacolo alla configurazione del luogo aperto al pubblico il fatto che
l’accesso a Internet non sia indiscriminatamente accessibile a chiunque ma sia selezionato, dato che le caratteristiche tecniche o economiche che delimitano la categoria di chi può accedervi sono del tutto paragonabili alle limitazioni che esistono per accedere a un cinema o a un teatro (il che, in pratica, imporrebbe sempre e semplicemente di ricorrere al concetto di luogo aperto al pubblico e non a quello di luogo pubblico»
DIRITTO DI INTERNET N. 4/2020
707
GIURISPRUDENZA PENALE rizzandolo ai fini dell’offensività del fatto (33). Infatti, la durevole presenza e disponibilità del messaggio oltraggioso, sebbene non sempre incidano sulla sua ulteriore diffusione perché una volta che la visione del post è stata limitata da “amici” solo questi ultimi sono in grado di visualizzarlo e condividerlo, possono però certamente rilevare con riferimento alla valutazione della gravità del fatto. Questo perché in ogni caso tale messaggio ottiene comunque una certa visibilità, soprattutto se condiviso con un gruppo numeroso di utenti, e quanto più tempo rimane sul web più ha possibilità di essere letto e percepito, il che contribuisce senz’altro ad accentuare il danno subìto dalla vittima, molto più di quanto avviene per esempio in caso di offesa pronunciata durante una videochiamata di gruppo. Peraltro, anche in caso di cancellazione del post incriminato va evidenziato che grazie alla funzione copia-incolla o con uno screenshot è possibile salvare il messaggio e che i post pubblici su Facebook, anche se rimossi dal profilo, possono comunque essere recuperati attraverso appositi siti che funzionano tramite la lettura della cache di Google, se lasciati online per un tempo sufficiente alla loro memorizzazione. È dunque evidente che la peculiarità del mezzo Internet attraverso il quale è stata commessa la diffamazione non consente di ritenere che il fatto sia di minimo disvalore sociale. Condivisibilmente, dunque, la Suprema Corte, nonostante in passato abbia ritenuto che la causa di non punibilità per particolare tenuità del fatto ex art. 131-bis c.p. possa essere riconosciuta anche nel caso in cui il reato di sostituzione di persona ex art. 494 c.p. sia stato commesso tramite la creazione di un falso profilo su un social network a nome altrui (34), in questo caso l’ha esclusa. Non si può trascurare, infatti, che l’imputato non si è limitato alla creazione di un solo profilo fake, ma ne ha realizzati numerosi, allo scopo di commettere un reato, ovvero la diffamazione, ritenendosi protetto dallo scudo dell’anonimato. Infine, si evidenzia che tale decisione ha l’indubbio pregio di contribuire a rafforzare il principio per cui Internet non è una zona franca del diritto, ma è uno dei luoghi nei quali l’individuo svolge la sua personalità e ove anche i diritti altrui devono essere rispettati (35): il che in un’epoca caratterizzata (33) Per approfondire v. Panattoni, I riflessi penali del perdurare nel tempo dei contenuti illeciti nel cyberspace, in Sist. pen., 2020, 303 ss., all’indirizzo <http://www.sistemapenale.it>, che descrive compiutamente le possibili qualificazioni della fase di perduranza di un contenuto illecito in rete. (34) Cass. 10 gennaio 2020, n. 652, che però come condizione per il riconoscimento richiede che si tratti di condotta isolata. (35) Così Cassano – Sgroi, La diffamazione civile e penale, Milano, 2011, 15 e Picotti, Quale diritto penale nella dimensione globale del cyberspace?, in Diritto penale e modernità: le nuove sfide fra terrorismo, sviluppo tecnologico e garanzie fondamentali - Atti del convegno Trento, 2 e 3 ottobre 2015 a cura di Wenin e Fornasari, Napoli, 2017, 309 ss.; così anche Cass. 12 aprile 2019, n. 30737.
708
DIRITTO DI INTERNET N. 4/2020
dall’incremento delle manifestazioni d’odio sul web ha senz’altro il pregio di ricordare agli utenti che anche su Internet sono tenuti ad astenersi dall’utilizzo di un linguaggio volgare e offensivo.
GIURISPRUDENZA PENALE
Il reato di frode informatica ed il rapporto con l’art. 55, comma 9, del D.Lgs. n. 231 del 2007. Dall’ anamnesi agli elementi discretivi, alla luce del rapporto di specialità Corte
di
Cassazione ; sezione II penale; sentenza 1° luglio 2020, n. 21831; Pres. Diotallevi; Rel. Aielli.
Integra il reato previsto all’art. 640 ter c.p., e non quello di indebita utilizzazione di carte di credito, la condotta posta in essere dal soggetto che, mediante l’utilizzo di una carta di credito falsificata e di un codice di accesso, precedentemente ottenuti in modo fraudolento, entri nel sistema della banca e disponga illecitamente il trasferimento di fondi, come il prelievo di danaro contante, attraverso lo sportello di cassa continua. Nel caso di utilizzazione di carta con la banda magnetica soggetta a falsificazione, impossessamento dei codici segreti per effettuare l’ accesso al sistema della banca, ed accesso al medesimo, disposizioni per effettuare pagamento, con azione sui dati di natura contabile del sistema in oggetto, sussiste il reato di frode informatica, poiché l’elemento specializzante costituito dall’utilizzazione fraudolenta del sistema informatico costituisce presupposto assorbente rispetto alla generica indebita utilizzazione di una carta di credito, iscritta, come ratio, nel novero di misure destinate al controllo dei flussi finanziari, in funzione di prevenzione del riciclaggio.
…Omissis… 1. Il ricorso è basato su motivi generici e manifestamente infondati pertanto va dichiarato inammissibile. 2. Con la prima questione deduce il ricorrente che la notifica eseguita a mani del ricorrente sia prevalente rispetto a quella effettuata presso il difensore ai sensi dell’art. 161 c.p.p., comma 4, sicché l’intempestività della stessa determinerebbe la nullità del decreto di citazione a giudizio in appello. Questa Corte, invero, ha ripetutamente affermato che “In tema di notificazioni vale il principio di carattere generale, secondo cui la notifica di atti e avvisi eseguita a mani proprie dell’imputato ancorché in presenza di un’elezione di domicilio, è valida dovunque essa avvenga, in quanto è la forma più sicura per portare l’atto a conoscenza del destinatario” (Sez. 2, Sentenza n. 6910/2011, Rv. 249360; Sez. 1, n. 9544/2017, Rv. 272309). Questo non significa però che eletto il domicilio ed accertata l’impossibilità di eseguire la notifica presso il domicilio eletto, una volta perfezionatasi la notifica mediante consegna dell’atto al difensore ex art. 161 c.p.p., comma 4, possano assumere rilievo vicende sopravvenute relative all’intervenuta consegna dell’atto a mani proprie. Va rilevato, al riguardo, che le Sezioni Unite, (Sez. U, n. 19602/2008, Rv. 239396; S.U. 58120/2017, Rv. 271771), hanno evidenziato come, al fine di assicurare la piena conoscenza dell’accusa da parte dell’imputato, sia stato articolato nel codice di rito un sistema che contem-
pla due diverse tipologie di notificazioni. E, premesso che il sistema di cui all’art. 161 c.p.p., “è fondato sul dovere dell’imputato, che ne sia stato adeguatamente edotto, di dichiarare o di eleggere domicilio e di comunicare all’autorità giudiziaria ogni successiva variazione ai sensi dell’art. 161 c.p.p., commi 1 e 2”, già nel 2011 le Sez. U, n. 28451 del 28/04/2011, Pedicone, hanno puntualizzato i reciproci spazi d’azione della disciplina delle notificazioni di cui all’art. 157 e di quella di cui all’art. 161c.p.p., affermando che la seconda forma costituisce un sistema alternativo “che non può essere contaminato con l’applicazione di disposizioni riguardanti le ipotesi della prima notificazione, che risultino incompatibili con esso”. Il diverso ambito di operatività delle due norme non consente, dunque, di affermare la prevalenza della notifica all’imputato quando si sia già perfezionata la notifica ex art. 161 c.p.p., comma 4. La notifica al difensore, come regolamentata nel codice di rito dal legislatore ordinario in conformità con i principi costituzionali e convenzionali, rappresenta, infatti, una naturale “convenzione” che mira alla conoscenza legale dell’atto, al fine di evitare appesantimenti procedurali e bilanciare gli interessi contrapposti. In particolare, l’applicazione della presunzione legale di conoscenza nel caso di cui all’art. 161, comma 4, è ispirata ad una logica di contemperamento tra il diritto di difesa e le ragioni della celerità del processo. Quando si deve effettuare la prima notificazione all’imputato non
DIRITTO DI INTERNET N. 4/2020
709
GIURISPRUDENZA PENALE detenuto, che non abbia eletto o dichiarato domicilio, si deve pertanto procedere in uno dei modi consecutivi previsti dai primi otto commi dell’art. 157 c.p.p.; una volta effettuata regolarmente la prima notificazione, se l’imputato provvede a nominare il difensore di fiducia, tutte le successive notificazioni si effettuano mediante consegna al difensore. Se, invece, vi è stata dichiarazione o elezione di domicilio - e, dunque, vi è stato un primo contatto tra l’imputato e i soggetti indicati nell’art. 161 c.p.p. - devono essere seguite direttamente le forme dettate da quest’ultima disposizione del codice di rito, come avvenuto nel caso di specie. 3. La seconda censura è generica. Deve, infatti, a questo riguardo rilevarsi che nel ricorso per cassazione contro la sentenza di appello non possono essere riproposte questioni che avevano formato oggetto dei motivi di appello sui quali la Corte si è già pronunciata in maniera esaustiva, senza errori logico - giuridici. Ne deriva, in ipotesi di riproposizione di una delle dette questioni con ricorso per cassazione, che la impugnazione deve essere dichiarata inammissibile a norma dell’art. 606 c.p.p., comma 3, u.p.. Come già ripetutamente indicato da questa Corte l’elemento specializzante, rappresentato dall’utilizzazione “fraudolenta” del sistema informatico, costituisce presupposto “assorbente” rispetto alla “generica” indebita utilizzazione dei codici d’accesso disciplinato dal D. Lgs. n. 231 del 2007, art. 55, n. 9, approdo ermeneutico che si pone “in linea con l’esigenza (...) di procedere ad una applicazione del principio di specialità secondo un approccio strutturale, che non trascuri l’utilizzo dei normali criteri di interpretazione concernenti la “ratio” delle norme, le loro finalità e il loro inserimento sistematico, al fine di ottenere che il risultato interpretativo sia conforme ad una ragionevole prevedibilità, come intesa dalla giurisprudenza della Corte EDU” (Cass., Sez. un., 28 ottobre 2010, Giordano ed altri). Segnatamente questa Corte ha ritenuto che integra il delitto di frode informatica, e non quello di indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito falsificata e di un codice di accesso fraudolentemente captato in precedenza,
710
DIRITTO DI INTERNET N. 4/2020
penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento di fondi, fra qui quella di prelievo contanti attraverso i servizi di cassa continua (sez. 2 n. 17748 del 15/4/2011, Rv. 250113). Nel caso di specie i giudici di merito, correttamente, hanno ritenuto integrata la fattispecie di cui all’art. 640 ter c.p., in quanto F. ha tenuto una condotta di accesso abusivo al sistema informatico dell’American Express Service Europe Ltd effettuata mediante l’utilizzo indebito dell’identità digitale relativa a carte di credito clonate, attraverso le quali aveva effettuato transazioni commerciali, così procurandosi un ingiusto profitto con altrui danno; l’indagato, ha ammesso di avere acquistato su internet codici di numerose carte di credito utilizzandoli per creare le carte clonate ed effettuare acquisti. Quanto al rapporto fra la frode informatica di cui all’art. 640 ter c.p. ed il delitto di cui al D.Lgs. n. 231 del 2007, art. 55, comma 9, la questione è già stata ripetutamente affrontata da questa Corte di legittimità (Sez. 2 n. 17748 del 15/4/2011, Rv. 250113) (Sez. 2 n. 26229/2017, Rv. 270182; Sez. 2, n. 41777/2015, Rv. 264774; Sez. 2, n. 50140/2015, Rv. 265565) ed alla soluzione tracciata ritiene il Collegio di dovere aderire; segnatamente deve ribadirsi che in ipotesi di utilizzo di carte con banda magnetica falsificata, acquisizione illegittima dei codici segreti di accesso al sistema bancario, inserimento senza diritto nel sistema stesso, ordine di pagamento, con intervento sui dati contabili del sistema, ipotesi nelle quali rientra la fattispecie concreta oggetto del ricorso in esame, è ravvisabile solo il reato di frode informatica, in quanto “...l’elemento specializzante costituito dall’utilizzazione fraudolenta del sistema informatico costituisce presupposto assorbente rispetto alla generica indebita utilizzazione di una carta di credito, iscritta, come ratio, nel novero di misure destinate al controllo dei flussi finanziari, in funzione di prevenzione del riciclaggio”. 4. All’inammissibilità del ricorso consegue la condanna del ricorrente al pagamento delle spese processuali e della somma di Euro duemila in favore della Cassa delle ammende. …Omissis…
GIURISPRUDENZA PENALE
IL COMMENTO
di Concetta Guerra e Pasquale D’Anello Sommario: 1. L’ordine della quaestio. – 2. Il reato di frode informatica - 3. Il delitto di indebito utilizzo di carte di credito – 4. Il principio di specialità tra le due norme incriminatrici. Il presente contributo ha ad oggetto il delicato e complesso rapporto intercorrente tra il reato di frode informatica, disciplinato dall’art. all’art. 640 ter c.p. ed il delitto di cui al D. Lgs. n. 231 del 2007, art. 55, comma 9, (oggi sostituito dall’art. 493 ter) i profili costitutivi delle due fattispecie di reato, ma più in particolare, gli elementi discretivi e l’anamnesi relativa alla sussistenza dell’una, in luogo dell’altra, alla luce del più volte invocato principio di specialità. This contribution concerns the delicate and articulated relationship between the cybercrime of computer fraud, which is governed by art. 640 ter p.c. and crimes referred to in Legislative Decree no. 231 of 2007, art. 55, paragraph 9, and the constitutive profiles of both crimes. Specifically, it deepens discrete elements between the two and makes the anamnesis on the existence of one in place of the other, at the light of the Specialty Principle repeatedly mentioned above.
1. L’ordine della quaestio
La Corte d’Appello di Roma, con sentenza del 24 aprile 2018 , confermava la sentenza del GIP del Tribunale di Roma del 7/2/2017, con la quale il reo veniva condannato per i delitti disciplinati dall’art. 55, comma 9 del D.Lgs. n. 231 del 2007, 640 ter c.p. e 615 quater c.p. Avverso la sentenza della Corte d’Appello, veniva proposto ricorso dinanzi alla Corte di Cassazione. Nel caso di specie, è stato sollevato il problema relativo all’erronea qualificazione del fatto di reato. Nello specifico, a giudizio della difesa del ricorrente, è stato sostenuto nei motivi di ricorso, che la condotta posta in essere dal reo, andrebbe ricondotta nell’ambito d’applicazione della fattispecie prevista dall’art. 55, comma 9 del d.lgs. n. 231 del 2007, e non, diversamente da quella prevista dall’art. 640 ter c.p. Sul punto, la Corte di Cassazione, nella sentenza in commento, si è espressa riconoscendo sussistente il reato di frode informatica.
2. Il reato di frode informatica
Il reato di frode informatica (1) è stato introdotto dal legislatore con la l. 23 dicembre 1993, n. 547, al solo scopo di porre fine alle dispute sorte in dottrina circa la riconducibilità delle c.d. frodi informatiche alla fattispecie della truffa di cui all’art. 640 c.p. Infatti, prima dell’ introduzione dell’art. 640 ter vi era chi riteneva che in siffatti casi vi fosse sempre e comunque l’induzione in errore dell’uomo che utilizza la macchina, con la conseguenza di considerare applicabile la fattispecie di cui all’art. 640 c.p. (2), e chi invece escludeva la configurabilità del reato in parola, attesa
l’impossibilità di equiparare l’impiego fraudolento della macchina all’induzione in errore della persona (3), a meno di non ricorrere all’analogia in malam partem, (4) come noto vietata nel diritto penale. Le condotte incriminate dall’art. 640 ter c.p. sono due: una consistente nell’alterazione in qualsiasi modo del funzionamento di un sistema informatico e telematico; l’altra nell’intervento senza diritto con qualsiasi modalità su, dati informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti. (5) Non basta. È necessario che tali condotte facciano conseguire all’agente un ingiusto profitto con altrui danno. Nel caso, oggetto di disamina, i giudici della Corte Suprema hanno condannato F. proprio per frode informatica, in particolare, per aver integrato la seconda condotta prevista dall’art. 640 ter in quanto “ F. ha tenuto una condotta di accesso abusivo al sistema informatico dell’American Express Service Europe Ltd effettuata mediante l’utilizzo indebito dell’identità digitale relativa a carte di credito clonate, attraverso le quali aveva effettuato transazioni commerciali, così procurandosi un ingiusto profitto con altrui danno” (6). Il delitto in esame presenta, altresì, due circostanze aggravanti previste al comma 1, n.1 c.p, ovvero se il fatto è commesso con abuso della qualità di operatore di sistema.
(3) In tal senso, Alessandri, Criminalità informatica, in Riv. trim. pen. ec., 1990, 655; Fiandaca –Musco, Diritto penale. Parte speciale, II/2, Bologna, 1992, 150. Per tutti, Minicucci, Le frodi informatiche, in Cybercrime, diretto da Cadoppi - Canestrari - Manna - Papa, Milano, 2019, 827. (4) Manna, Manuale di diritto penale, parte generale, Milano, 2020, 54.
(1) Per tutti, Minicucci, Le frodi informatiche, in Cybercrime, diretto da Cadoppi – Canestrari – Manna - Papa, Milano, 2019, 827. (2) Pioletti, Truffa, in Noviss. Dig. it., App., VII, Torino, 1987, 907.
(5) Minicucci, op. cit., 830. (6) Cass. 1 luglio 2020, n. 21831; conforme Cass. 25 maggio 2017 n. 26229; Cass. 16 ottobre 2015, n. 41777.
DIRITTO DI INTERNET N. 4/2020
711
GIURISPRUDENZA PENALE Accanto a queste, il legislatore ha introdotto, al comma 3, un’altra aggravante, prevendo un aumento notevole di pena se il reato viene commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti. Più precisamente, il comma 3 dell’art. 640 ter intende colpire le frodi informatiche mediante il c.d. phishing, ossia servendosi delle altrui credenziali di accesso fraudolentemente carpite in precedenza. (7) Il quarto comma dell’art. 640 ter ha, invece, subito due modifiche, da parte del legislatore, la prima operata dall’art. 9, d.l. 14 agosto 2013, n. 93, la seconda dall’art. 9 d.lgs 10 aprile 2018, n. 36. Con quest’ultima, in particolare, si limita la procedibilità d’ufficio ai casi in cui ricorra l’aggravante della c.d. minorata difesa” di cui all’art. 61 comma 5 o della rilevante gravità, del danno patrimoniale cagionato di cui all’art. 61, n. 7 c.p.
3. Il delitto di indebito utilizzo di carte di credito
L’indebito utilizzo di carte di credito o pagamento, in origine, disciplinato dall’art. 12 del d.l. 143/1991, convertito in legge il 5 maggio 1991 n. 197, poi abrogato dall’art. 64 d. lgs. 231 del 2007, era confluito nell’art. 55 comma 9 del medesimo d.lgs. 231.Successivamente, il recepimento della Direttiva (UE) 2015/849 nell’ordinamento nazionale ad opera dei decreti legislativi 25 maggio 2017, nn. 90 e 92, ha innovato profondamente il sistema di prevenzione e contrasto del riciclaggio di denaro e del finanziamento del terrorismo internazionale. In particolare, l’art. 5 del d.lgs. n. 90 ha fatto confluire il contenuto del comma 9, nel comma 5 del D.lgs 231/2007. Più di recente, con il d.lgs. 1 marzo 2018, n. 21, recante “Disposizioni di attuazione del principio di delega della riserva di codice nella materia penale a norma dell’art. 1, comma 85, lettera q), della legga 23 giugno 2017, n. 103”, il legislatore ha introdotto nel tessuto del codice penale l’art. 493- ter c.p., rubricato “indebito utilizzo e falsificazione di carte di credito e di pagamento” che riprende l’illecito descritto nell’art. 55 d.lgs. 231/2007, con l’aggiunta di una ipotesi di confisca diretta e per equivalente dei beni sequestrati. Le due norme, presentando un contenuto omogeneo, sotto il profilo strutturale dell’illecito, si pongono in un rapporto di continuità, e dunque, si può affermare che l’art. 493 ter c.p. sostituisce, senza abolire, la fattispecie incriminatrice di cui all’art. 55 comma 5.
(7) Mezzetti, Reati contro il patrimonio, in Grosso - Padovani - Pagliaro (diretto da), Trattato di diritto penale. Parte speciale, Milano, 2013, 465.
712
DIRITTO DI INTERNET N. 4/2020
4. Il principio di specialità tra le due norme incriminatrici
Procedendo ad una disamina del fatto, la Corte osserva che l’imputato “ha tenuto una condotta di accesso abusivo al sistema informatico dell’American Express Service Europe Ltd effettuata mediante l’utilizzo indebito dell’identità digitale relativa a carte di credito clonate..”, inoltre, è lo stesso F. ad ammettere di “aver acquistato su internet codici di numerose carte di credito utilizzandoli per creare le carte clonate ed effettuare acquisti”. Dunque, è evidente, nel caso di specie, che l’imputato commette attività truffaldine, essendo penetrato in sistemi informatici, avendo clonato la carta. È corretta la qualificazione giuridica del fatto operata dalla Corte ed il conseguente inquadramento nella fattispecie di cui all’art. 640 ter c.p. piuttosto che nell’art. 55 comma 9 d.lgs. n. 231/2007, come sosteneva la difesa di F. La Suprema Corte ricorda che, in base a un recente orientamento della giurisprudenza di legittimità (8), sussiste il delitto di frode informatica, e non quello di indebita utilizzazione di carte di credito, qualora il reo si serva di una carta di credito falsificata e di un codice di accesso fraudolentemente captato in precedenza, per penetrare abusivamente nel sistema informatico bancario e trasferire illecitamente i fondi ivi presenti. In particolare, l’art. 640 ter c.p. prevede una condotta a forma libera, che può essere integrata con attività e con modalità di azione non predefinite. Rientrano nel novero delle condotte l’accesso abusivo in un sistema informatico per l’intervento non autorizzato sui dati, sulle informazioni e sui programmi ivi contenuti, senza alterazione del sistema stesso. L’utilizzazione “fraudolenta” del sistema informatico, sempre a detta della Corte rappresenta, dunque, l’elemento specializzante rispetto alla generica indebita utilizzazione dei codici d’accesso (8) Cass. 14 febbraio 2017, n. 8913 “integra il delitto di frode informatica, e non quello di indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito falsificata e di un codice di accesso fraudolentemente captato in precedenza, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi.” Cass. 30 settembre 2015, n. 41777 “Integra il delitto di frode informatica, e non quello di cui all’art. 55 n. 9 del D.Lgs. n. 231 del 2007, la condotta di colui che, servendosi di un codice di accesso fraudolentemente captato, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi, al fine di trarne profitto per sé o per altri. (In motivazione, la S.C. ha ritenuto decisiva la sussistenza dell’elemento specializzante, costituito dall’utilizzo “fraudolento” del sistema informatico).” Cass. 09 settembre 2015, n. 48044 “Integra il delitto di frode informatica, e non quello di indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito falsificata e di un codice di accesso fraudolentemente captato in precedenza, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi, tra cui quella di prelievo di contanti attraverso i servizi di cassa continua. (Fattispecie, nella quale l’indagato, introdottosi nel sistema informatico di una società di gestione dei servizi finanziari, utilizzava senza diritto i dati relativi a carte di credito appartenenti a cittadini stranieri ed effettuava, così, transazioni commerciali, conseguendo un ingiusto profitto)”.
GIURISPRUDENZA PENALE di cui all’art. 55, comma 9, d.lgs. n. 231/2007, “Come già ripetutamente indicato da questa Corte l’elemento specializzante, rappresentato dall’utilizzazione “fraudolenta” del sistema informatico, costituisce presupposto “assorbente” rispetto alla “generica” indebita utilizzazione dei codici d’accesso disciplinato dal d.lgs. n. 231 del 2007, art. 55, n. 9, approdo ermeneutico che si pone “in linea con l’esigenza (...) di procedere ad una applicazione del principio di specialità secondo un approccio strutturale, che non trascuri l’utilizzo dei normali criteri di interpretazione concernenti la “ratio” delle norme, le loro finalità e il loro inserimento sistematico, al fine di ottenere che il risultato interpretativo sia conforme ad una ragionevole prevedibilità, come intesa dalla giurisprudenza della Corte EDU” (Cass., Sez. un., 28 ottobre 2010, Giordano ed altri)”. Orbene, il Supremo collegio utilizza il principio di specialità di cui all’art. 15 c.p. per dirimere il dibattito attorno al rapporto tra il reato di frode informatica, di cui all’art. 640 ter c.p. e la disciplina di cui all’art. 55 comma 9 d.lgs. 231/2007 (oggi art. 493 ter c.p.). Ma per applicare tale principio la Corte, sin dalla sentenza n. 17748 del 15 aprile 2011, afferma che è necessario che le due norme in concorso regolino la stessa materia. A questo punto corre l’obbligo di capire meglio cosa s’intende con la locuzione “stessa materia”. Secondo un primo orientamento, la stessa materia implica non solo che il fatto concreto sia riconducibile a più norme in rapporto di specialità, ma anche (9) che le stesse tutelino lo stesso bene giuridico o comunque beni giuridici omogenei. Così facendo, però, si pretende di inserire nell’ambito di un rapporto logico-giuridico, quale il rapporto genere-specie, un elemento di valore, la cui interpretazione nei casi concreti è oltretutto assai controversa (10). Lo conferma l’assurdità dei risultati a cui si approderebbe seguendo tale ragionamento: andrebbe escluso il rapporto di specialità, per esempio, anche fra l’ingiuria (anche se depenalizzata) e l’oltraggio ad un magistrato in udienza, atteso che la prima tutela l’onore e il secondo tutela il prestigio dell’amministrazione della giustizia. Secondo un’altra impostazione, per “stessa materia”, si deve intendere stessa situazione di fatto intesa in senso naturalistico, ossia il caso in cui un fatto concreto integra tutti i requisiti di più fattispecie, anche se queste in astratto non si trovano in rapporto di specialità. Conseguentemente, secondo quest’impostazione dogmatica, si avrebbe concorso apparente di norme anche qualora sussistesse tra le fattispecie un rapporto di specialità c.d. in concreto.
Altro orientamento (11), estende il concorso apparente di norme anche alle fattispecie che, in astratto, si trovino in rapporto di specialità bilaterale (o reciproca), per specificazione e per aggiunta, ossia quando nessuna norma è speciale o generale, ma ciascuna è ad un tempo generale e speciale, perché entrambe presentano, accanto ad un nucleo di elementi comuni, elementi specifici ed elementi generici rispetto ai corrispondenti elementi dell’altra. È opportuno richiamare la, già citata figura geometrica dei cerchi, dove in questo caso il rapporto di specialità bilaterale può essere raffigurato come due cerchi (12) intersecantisi, con la conseguenza che solo alcuni fatti che si trovano in un cerchio rientrano anche nell’altro e viceversa. Tornando al caso di specie, nel rapportare le due norme oggetto di disamina (l’art. 640 ter e l’art. 55 comma 9 d.lgs. 231/2007), anche l’elemento di fatto dell’utilizzazione di dati di una carta di credito potrebbe ritenersi elemento specializzante rispetto alla condotta generica di intervento senza diritto sui dati di cui all’art. 640 ter. A questo punto è l’art. 55 co. 9 ad essere norma speciale rispetto all’art. 640 ter che diverrebbe norma generale (13). Dunque, va accolto l’orientamento secondo cui si estende il concorso apparente di norme anche alle fattispecie che, in astratto, si trovino in rapporto di specialità bilaterale, ed in particolare l’elemento specializzante è rappresentato dall’aver utilizzato da parte di F. in frode al sistema informatico, costituendo presupposto assorbente rispetto alla generica indebita utilizzazione di codici d’accesso disciplinato dall’art. 55 co 9 d.lgs. 231/2007. In definitiva, la condotta di chi accede abusivamente al sistema informatico, effettuata mediante utilizzo indebito di un’identità digitale relativa a carte di credito clonate, procurandosi un ingiusto profitto con altrui danno, ricade, senza dubbio, nel perimetro della norma di cui al 640 ter c.p.
(11) Mantovani, op. cit., 477. (9) De Francesco, Lex specialis, Milano, 1980, 57. (10) Antolisei, Diritto Penale parte generale, Milano, 2003, 155.
(12) Mantovani, Diritto Penale, Padova, 2001, 479. (13) Falduti, Frode informatica e utilizzo indebito di carte di credito: variabili interpretative, in <www.giurisprudenzapenale.com>, 2017.
DIRITTO DI INTERNET N. 4/2020
713
GIURISPRUDENZA PENALE
L’utilizzazione in altri procedimenti dei risultati di intercettazioni eseguite mediante captatore informatico tra Sezioni unite e novelle Corte di C assazione ; sezione VI penale; sentenza 22 maggio 2020, n. 15724; Pres. Tronci ; Rel. Di Stefano; P.G. Fodaroni. In tema di intercettazioni, agli effetti dell’art. 270 cod. proc. pen., il concetto di “diverso procedimento” dev’essere inteso in senso sostanziale e non può essere ricollegato a dati formali, quale il diverso numero di iscrizione nel registro delle notizie di reato; pertanto, i risultati delle intercettazioni non sono utilizzabili per l’accertamento di reati che, pur appartenenti al medesimo “fascicolo”, non siano connessi al fatto per i quali venne emesso il decreto di autorizzazione.
Svolgimento del processo Il Tribunale del riesame di Reggio Calabria con ordinanza del 16 agosto 2019 ha confermato l’ordinanza del giudice per le indagini preliminari del Tribunale di Reggio Calabria che il 26 luglio 2019 applicava a R.S. e R.F. la misura degli arresti domiciliari per il reato di tentata corruzione. Secondo l’accusa, R.F., maresciallo della Guardia di Finanza in servizio di polizia giudiziaria presso la Procura Generale della Repubblica di Reggio Calabria, avrebbe chiesto a R.S., nella sua qualità di consigliere regionale della Calabria, l’interessamento per la assunzione di un suo conoscente in una impresa privata esercente attività di trasporti in concessione, offrendo in cambio la sua disponibilità a fornire notizie su procedimenti pendenti presso la Procura della Repubblica di Reggio Calabria. Tale attività sarebbe stata mediata da L.C. che metteva i due R., che non si conoscevano, in contatto. Il Tribunale esponeva che il fatto emergeva in corso di intercettazioni effettuate anche tramite “captatore informatico” in un procedimento per reati di criminalità organizzata; tali intercettazioni erano ritenute utilizzabili dal Tribunale non ricorrendo il divieto di cui all’art. 270 c.p.p., in quanto per la vicenda odierna si è proceduto nel contesto dello stesso procedimento (inteso quale stesso “fascicolo”). …Omissis… Ricorso di R.S.. Primo motivo: violazione di legge. - quanto alla ritenuta utilizzabilità del captatore informatico nel procedimento in questione non trattandosi di un reato di criminalità organizzata. …Omissis…
Ricorso di R.F.. Primo motivo: violazione di legge quanto alla utilizzabilità delle intercettazioni. Non sussistono collegamenti tra i reati per i quali furono autorizzate le operazioni di intercettazione e quello contestato al ricorrente. Con motivo aggiunto riferito a questo stesso tema, rileva che le Sezioni Unite della Corte di Cassazione hanno ritenuto che la identità del procedimento ai fini dell’art. 270 c.p.p., richiede una effettiva relazione di connessione tra i reati, che nel caso di specie manca. …Omissis… Ragioni della decisione I ricorsi sono fondati. Innanzitutto, sono fondati i motivi con i quali si afferma la inutilizzabilità delle intercettazioni. Da un lato, l’affermazione secondo la quale il “procedimento” di cui all’art. 270 c.p.p., va riferito alla identità del “fascicolo” è di per sé erronea, perché la norma citata fa riferimento ad un concetto sostanziale di procedimento; dall’altro, lo stesso Tribunale riconosce la assenza di connessione, anche solo probatoria, con i fatti per i quali le stesse furono autorizzate. Ne deriva, in linea con il recente intervento chiarificatore delle Sezioni Unite di questa Corte (Sez. U., sent. n. 51 del 28.11.2019 - dep. 2020, Rv. 277395), peraltro adesivo alla giurisprudenza maggioritaria, la sussistenza della dedotta inutilizzabilità. …Omissis… In definitiva l’accusa è del tutto congetturale, senza alcuna corrispondenza con i pochi dati fattuali, e, risultando esaminato tutto il materiale probatorio disponibile (di cui ampia parte inutilizzabile), non vi è alcuna prospettiva di una diversa decisione in sede di rinvio.
DIRITTO DI INTERNET N. 4/2020
715
GIURISPRUDENZA PENALE Va quindi disposto l’annullamento senza rinvio dell’ordinanza. P.Q.M. Annulla senza rinvio l’ordinanza impugnata, nonché l’ordinanza del g.i.p del Tribunale di Reggio Calabria
in data 26 luglio 2019, disponendo per l’effetto l’immediata rimessione in libertà dei ricorrenti. Manda alla cancelleria per gli adempimenti di cui all’art. 626 c.p.p. …Omissis…
IL COMMENTO
di Biagio Monzillo Sommario: 1. Una prima applicazione della sentenza delle Sezioni unite n. 51 del 2020 – 2. La riforma dell’art. 270, co. 1, cod. proc. pen. alla prova della sentenza n. 51 del 2020 – 3. Il nuovo co. 1-bis dell’art. 270 cod. proc. pen. – 4. Dubbi di costituzionalità e possibili soluzioni interpretative. La Sesta sezione penale della Corte di cassazione ha applicato il principio di diritto enunciato dalle Sezioni unite nella sentenza n. 51 del 2020 per affermare l’inutilizzabilità dei risultati di intercettazioni effettuate anche con l’impiego di un captatore informatico. La decisione offre l’occasione per alcune riflessioni sulla riforma dell’art. 270 cod. proc. pen. in materia di utilizzazione delle risultanze di captazione eseguite in altri procedimenti. The Sixth Criminal Chamber of the Court of Cassation has applied the principle of law set out by the United Sections in the judgment no. 51 of 2020 to establish the unusability of evidence obtained through electronic surveillance carried out also by using a malware. The decision offers the opportunity for some reflections on the reform of Article 270 of the Italian Penal Code on the use of the results of interception carried out in other proceedings.
1. Una prima applicazione della sentenza delle Sezioni unite n. 51 del 2020
È probabilmente prematuro formulare previsioni su quanta “deferenza” mostrerà la prassi al principio di diritto scolpito dalle Sezioni unite nella sentenza n. 51 del 2020 (1). Un dato però è certo: l’interprete può ora contare su uno strumento più sicuro per orientarsi nella materia insidiosa della utilizzabilità dei risultati delle intercettazioni in procedimenti diversi. Come noto, prima dell’intervento delle Sezioni unite, la portata del divieto posto dall’art. 270 del codice di rito era controversa. (1) Cass., Sez. un., 28 novembre 2019 (dep. 2 gennaio 2020), n. 51, in C.E.D. Cass., rv. 277395. La pronuncia è stata annotata, tra gli altri, da Alvino, Bene captum, male retentum: riflessioni in merito all’art. 270 c.p.p., in materia di circolazione endoprocedimentale delle intercettazioni, e a margine delle Sezioni unite Cavallo, all’indirizzo <https://www.magistraturaindipendente.it>; Chelo, Divieto di utilizzabilità delle intercettazioni telefoniche ex art. 270 c.p.p.: sull’effettiva portata della nozione di “procedimento diverso”, in Il penalista, all’indirizzo <http://ilpenalista.it>; De Amicis, Il regime della “circolazione” delle intercettazioni dopo la riforma, in Giustizia insieme, all’indirizzo <https://www.giustiziainsieme.it/>; Illuminati, Utilizzazione delle intercettazioni in procedimenti diversi: le Sezioni unite ristabiliscono la legalità costituzionale, all’indirizzo <https://www.sistemapenale.it>; Natali, Sezioni unite e “legge Bonafede”: nuove regole per l’uso trasversale delle intercettazioni, in Cass. pen., 2020, 1983 ss.; Natalini, Uso obliquo dei flussi: vaglio d’ammissibilità sempre necessario, in Guida dir., 2020, 6, 89 ss.; Santoriello, Esistono vincoli all’interpretazione delle norme processuali penali? Brevi riflessioni sollecitate da una decisione delle Sezioni unite in tema di intercettazioni, in Arch. pen., 2020; Vanorio, Il permanente problema dell’utilizzo delle intercettazioni per reati diversi tra l’intervento delle sezioni unite e la riforma del 2020, in Sist. pen., 2020, 177 ss.
716
DIRITTO DI INTERNET N. 4/2020
Alcuni ammettevano che i risultati dell’intercettazione legittimamente autorizzata per l’accertamento di un reato appartenente al catalogo di cui all’art. 266 cod. proc. pen. fossero utilizzabili in relazione a qualsiasi altra notizia di reato emersa nel corso dell’attività di captazione. In sostanza, veniva convalidata la pratica delle intercettazioni “a strascico”: ottenuta l’autorizzazione in relazione a una certa ipotesi delittuosa, il pubblico ministero avrebbe potuto utilizzare qualunque elemento impigliatosi nella sua rete per la prova di reati di ogni tipo, anche diversi dalle fattispecie indicate dall’art. 266. Nella prospettiva di questo orientamento, dunque, il divieto e le condizioni di utilizzabilità previsti dall’art. 270 cod. proc. pen. avrebbero operato soltanto a fronte di procedimenti distinti sin dall’origine (2). Le Sezioni unite hanno smentito questa ricostruzione. La nozione formale di “procedimento” da essa presupposta contrasta, infatti, con l’art. 15 Cost. in quanto ha l’effetto di svilire la funzione di garanzia del provvedimento del giudice, imprimendogli «quella connotazione di “autorizzazione in bianco” messa al bando dalla giurisprudenza costituzionale» (3).
(2) Cfr., tra le tante, Cass., Sez. II, n. 9500 del 23 febbraio 2016, in C.E.D. Cass., rv. 267784; Cass., Sez. V, n. 26817 del 4 marzo 2016, in C.E.D. Cass., rv. 267889; Cass., Sez. VI, n. 41317 del 15 luglio 2015, in C.E.D. Cass., rv. 265004; Cass., Sez. IV, n. 29907 del 8 aprile 2015, in C.E.D. Cass., rv. 264382. (3) Così, Sez. un., sent. n. 51 del 2020 cit., § 9.3 della motivazione.
GIURISPRUDENZA PENALE Più coerente con le istanze garantistiche che discendono dal disposto costituzionale è l’affermazione della necessità di un legame sostanziale “forte” tra il reato per il quale il mezzo di ricerca della prova è stato autorizzato e l’ulteriore reato emerso dai risultati dell’intercettazione. In continuità con l’orientamento maggioritario, le Sezioni unite hanno individuato tale relazione nel rapporto di connessione rilevante agli effetti dell’art. 12 del codice di rito. Una cesura rispetto all’indirizzo della giurisprudenza prevalente è, invece, segnata dall’estensione della nozione di «procedimenti diversi» alle ipotesi di collegamento investigativo, di cui all’art. 371 cod. proc. pen. (beninteso, fuori dei casi di connessione, sub lett. a). Questo istituto, infatti, risponde all’esigenza di indagini efficaci, ma presuppone un legame meno intenso di quello che intercorre tra reati oggetto di procedimenti connessi: si tratta, in effetti, di relazioni “deboli”, che si risolvono in una mera occasionalità tra la commissione del delitto per cui sono state disposte le intercettazioni e quella del reato emerso nel corso delle stesse. Viceversa, le ipotesi considerate dall’art. 12 cod. proc. pen. sono caratterizzate da una coincidenza, almeno parziale, dell’oggetto di ciascuna delle regiudicande, che riflette la connessione sostanziale dei reati. In questi casi, l’intensità del legame è tale da potersi escludere che si tratti di fatti-reati diversi da quelli in relazione ai quali è stato emesso il decreto autorizzativo. Del resto, la sostanziale unitarietà del procedimento non è condizione sufficiente per escludere l’operatività del divieto posto dall’art. 270 cod. proc. pen.: è necessario, altresì, che il delitto in relazione al quale si intenda utilizzare i risultati delle intercettazioni rientri nei limiti di ammissibilità fissati dall’art. 266 del codice di rito. Diversamente, questi ultimi verrebbero surrettiziamente aggirati e sarebbe violata la riserva assoluta di legge che governa la materia delle intercettazioni, «con grave pregiudizio per gli interessi sostanziali tutelati dall’art. 266 c.p.p., che intende porre un limite alla interferenza nella libertà e segretezza delle comunicazioni in conformità all’art. 15 Cost.» (4).
(4) Così, Cass., sez. VI, 6 febbraio 2004, n. 4942, come citata al § 8 della motivazione. Perplessità sulla opportunità di condizionare l’utilizzabilità delle intercettazioni a tale ulteriore requisito sono espresse da Vanorio, Il permanente problema dell’utilizzo delle intercettazioni, cit.: «Ed infatti, quando i reati di cui si discute sono già connessi tra loro, alla stregua del primo requisito richiesto dalla S.C. e, dunque, essendo strettamente avvinti, si sottraggono al divieto di “autorizzazioni in bianco”, risulta difficile sostenere l’argomento delle Sezioni Unite, che fa leva proprio sull’esigenza di interpretare con rigore l’autorizzazione originaria delle operazioni di captazione. Alcuni esempi chiariranno meglio l’assunto. Un reato di falso ideologico in atto pubblico può essere oggetto di autorizzazione ad intercettare. Come insegna la prassi investigativa quotidiana, ci sono molteplici ragioni, che spingono un pubblico ufficiale alla commissione di un tale delitto, tra le quali un peso statistico di
In definitiva, le Sezioni unite hanno statuito che «il divieto di cui all’art. 270 cod. proc. pen. di utilizzazione dei risultati delle captazioni in procedimenti diversi da quelli per i quali le stesse siano state autorizzate – salvo che risultino indispensabili per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza – non opera con riferimento agli esiti relativi ai soli reati che risultino connessi, ex art. 12 cod. proc. pen., a quelli in relazione ai quali l’autorizzazione era stata “ab origine” disposta, sempreché rientrino nei limiti di ammissibilità previsti dall’art. 266 cod. proc. pen.» (5). A tali argomentazioni e principi si sono richiamati i giudici della Sesta sezione nel pronunciare la decisione in commento (6). Ai ricorrenti era stata applicata la misura custodiale domiciliare per il reato di tentata corruzione; il fatto oggetto di contestazione era però emerso nel corso di intercettazioni effettuate, anche con l’impiego di un captatore informatico, per l’accertamento di reati di criminalità organizzata. Il tribunale del riesame aveva escluso che ciò potesse costituire un motivo per annullare l’ordinanza applicativa del giudice per le indagini preliminari, in quanto i risultati delle captazioni svolte per i delitti di criminalità organizzata erano da considerarsi pienamente utilizzabili anche per la prova del tentativo di corruzione ipotizzato a carico dei ricorrenti, in ragione dell’appartenenza di questo al medesimo procedimento, inteso quale stesso “fascicolo”. La Suprema corte ha annullato l’ordinanza affermando, viceversa, l’inutilizzabilità delle intercettazioni. Al riguardo, i giudici di legittimità si sono limitati a osserrilievo è senza dubbio ricoperto dall’interesse a commettere reati di abuso d’ufficio (che di per sé, com’è noto, non possono legittimare operazioni d’intercettazione). I casi concreti svariano dal falso per attribuire intenzionalmente un permesso di costruire illegittimo, nomine, contributi economici e simili, parimenti ingiusti, alla stregua del requisito richiesto dall’art. 323 c.p. In tali casi i reati sono connessi teleologicamente e rientrano nella categoria contemplata dall’art. 12, lett. c), c.p.p.». (5) Sarebbe stata forse opportuna qualche precisazione in ordine ai reati teleologicamente connessi. In proposito, v. Conti, Intercettazioni e inutilizzabilità: la giurisprudenza aspira al sistema, in Cass. pen., 2011, 3638: «Il diritto vivente, all’evidenza, parte dal presupposto che il legame tra procedimenti consenta di considerare assorbito nel vaglio giurisdizionale in ordine al primo reato il controllo sulla nuova fattispecie. Sul punto, peraltro, occorre prestare cautela poiché una lettura riduttiva del concetto di “diverso procedimento” rischierebbe di trasformarsi in una interpretatio abrogans dell’art. 270 c.p.p. La giurisprudenza, infatti, non fa espressa menzione del tipo di connessione o di collegamento al quale ci si riferisce. Eppure, mentre in presenza di un legame di connessione, rientrante all’interno delle tipologie tratteggiate dall’art. 12, lett. a e b, la presunzione che l’originario controllo del giudice sia stato esaustivo potrebbe anche ritenersi espressione dell’id quod plerumque accidit, già in caso di connessione teleologica, non è detto che il giudice, all’origine, abbia valutato entrambe le fattispecie». (6) Il testo integrale della sentenza può essere letto nella pagina dell’Osservatorio di Digital evidence nel procedimento penale di Luca Lupària e Marco Pittiruti di questa Rivista all’indirizzo <http://dirittodiinternet. it/digitalevidence>.
DIRITTO DI INTERNET N. 4/2020
717
GIURISPRUDENZA PENALE vare come, nella specie, lo stesso tribunale avesse escluso la sussistenza di qualsiasi tipo di legame della vicenda contestata ai ricorrenti con i fatti per cui era stata autorizzata l’attività di captazione; evocando il principio di diritto delle Sezioni unite hanno poi smentito, in modo tranchant, l’idea che il concetto di “medesimo procedimento” sia identificabile con quello di “identità di fascicolo”.
2. La riforma dell’art. 270, co. 1, cod. proc. pen. alla prova della sentenza n. 51 del 2020.
Questa decisione dà motivo di credere che la sentenza n. 51 del 2020 sia destinata ad affermarsi come vero e proprio leading case. Del resto, la disciplina della utilizzabilità circolare dei risultati delle intercettazioni è stata recentemente innovata dal legislatore: pertanto, pare opportuno domandarsi se il principio enunciato dalle Sezioni unite conservi o meno valenza nel nuovo contesto normativo. Il decreto-legge 30 dicembre 2019, n. 161 (convertito, con modificazioni, nella legge 28 febbraio 2020, n. 7 (7)) ha modificato anche l’art. 270 del codice di rito. Va subito detto che la novella si applica ai procedimenti iscritti a partire dal 1 settembre 2020: sicché, nell’ambito di quelli precedenti, la disposizione codicistica troverà applicazione nella sua originaria formulazione, come interpretata dal Collegio riunito. L’impressione è che il legislatore abbia inteso superare i dettami delle Sezioni unite. Il novellato art. 270, co. 1, cod. proc. pen. codifica, infatti, l’orientamento smentito dalla Suprema corte, laddove ammette l’utilizzo dei risultati «rilevanti e indispensabili per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza e dei reati di cui all’articolo 266, comma 1». In sostanza, quindi, sono state legittimate le intercettazioni “a strascico”. Si può realisticamente dubitare della concreta efficacia limitativa del pleonastico presupposto della rilevanza e
(7) Legge n. 7 del 28 febbraio 2020, Conversione in legge, con modificazioni, del decreto-legge 30 dicembre 2019, n. 161, recante modifiche urgenti alla disciplina delle intercettazioni di conversazioni o comunicazioni di conversione del decreto-legge n. 161 del 30 dicembre 2019, G.U. n. 305 del 31 dicembre 2019, scadenza il 29 febbraio 2020, in G.U. 28 febbraio 2020, n. 50. Alla riforma è dedicato il supplemento al fasciolo n. 3 di questa Rivista, Gialuz (a cura di), Le nuove intercettazioni, 2020, che raccoglie i contributi di Miraglia, La riforma delle intercettazioni e la redazione dei “brogliacci di ascolto”, 8 ss; Ciampi, L’archivio delle intercettazioni tra presidio della riservatezza, tutela del diritto di difesa e svolta digitale, 21 ss.; Cabiale, L’acquisizione delle intercettazioni con procedura di controllo giudiziale: ritorni al passato e nuove lacune, 32 ss.; Barontini, L’acquisizione delle intercettazioni su iniziativa del pubblico ministero, 49 ss.; Gialuz, Segreto a tutela della riservatezza e divieto speciale di pubblicazione delle intercettazioni, 61 ss.; Agostino - Peraldo, Le intercettazioni con captatore informatico: ambito di applicazione e garanzie procedurali, 74 ss.; Della Torre, La nuova disciplina della circolazione del captato: un nodo arduo da sciogliere, 90 ss.
718
DIRITTO DI INTERNET N. 4/2020
indispensabilità (8) dei risultati che si intendano utilizzare. Si tratta, in effetti, di un criterio che implica valutazioni rimesse al giudice chiamato a concedere l’autorizzazione o – nei casi di ritenuta urgenza – alla stessa pubblica accusa: una condizione ben lungi dalla obiettività del criterio della connessione. D’altronde, il tenore della disposizione non lascia margini per interpretazioni “correttive”. Innanzitutto, alla “e” frapposta tra i «reati di cui all’articolo 266, comma 1» e i «delitti per i quali è obbligatorio l’arresto in flagranza» può essere attribuito soltanto valore disgiuntivo. In uno dei primi commenti alla novella è stato proposto di desumerne l’intenzione del legislatore di «indicare due requisiti tra loro cumulativi, per cui l’utilizzazione nel diverso procedimento deve ritenersi ammessa solo se indispensabile per un reato per il quale l’art. 266, comma 1, c.p.p. ammette l’intercettazione e per il quale sia inoltre imposto l’arresto obbligatorio in flagranza (art. 270, comma 1, c.p.p.)» (9). In realtà, la volontà del legislatore è un’altra. Nelle parole della relatrice sul disegno di legge, «la modifica approvata dal Senato estende la possibilità di usare i risultati delle intercettazioni in procedimenti penali diversi: oltre che per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza, tale possibilità è prevista anche per l’accertamento dei reati inclusi nel catalogo di cui all’art. 266 c.p.p. In sostanza, se si procede per un delitto per il quale l’art. 266 c.p.p. consente l’uso delle intercettazioni, i risultati già acquisiti nell’ambito delle indagini per un diverso delitto, potranno essere utilizzati» (10). Questa è, dunque, l’unica interpretazione ammessa della disposizione: perché la sua formula-
(8) La neutralità del presupposto della rilevanza, aggiunto a quello originario della indispensabilità è stata segnalata dal senatore Grasso nel corso della seduta del Senato n. 193 del 19 febbraio 2020: «è evidente che, se una prova è indispensabile, sarà senza dubbio anche rilevante». Il testo integrale dell’intervento è pubblicato nel resoconto stenografico in Atti Senato, XVIII leg., reperibile all’indirizzo <http://www.senato.it/ japp/bgt/showdoc/18/Resaula/0/01143667/index.html?part=doc_dc>. L’interpolazione è frutto di un emendamento successivo a un altro (precisamente, il 2.86, proposto dallo stesso senatore Grasso), che mirava a codificare il principio giuridico enunciato nella sentenza n. 51 del 2020. Si proponeva, infatti, di riformulare il primo comma dell’art. 270 in questi termini: «i risultati delle intercettazioni non possono essere utilizzati per la prova di reati diversi da quelli nei quali sono stati disposti, salvo che risultino indispensabili per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza o per i reati che risultino connessi ai sensi dell’articolo 12 del codice di procedura penale». L’elenco degli emendamenti è pubblicato all’indirizzo <http://www.senato.it/japp/ bgt/showdoc/18/ListEmendc/0/52660/index.html>. (9) Filippi, Intercettazioni: habemus legem!, in Dir. pen. proc., 2020, 462. (10) Il testo integrale della relazione dell’on. Sarti è pubblicato in Atti Camera, XVIII leg., Assemblea, seduta 24 febbraio 2020, n. 310, all’indirizzo <https://www.camera.it/leg18/410?idSeduta=0310&tipo=stenografico#sed0310.stenografico.tit00140.int00010>.
GIURISPRUDENZA PENALE zione è univoca e trova riscontro nell’unica volontà del legislatore. La sentenza delle Sezioni unite dello scorso gennaio è ricognitiva dei principi essenziali enucleati dall’art. 15 Cost. dalla giurisprudenza costituzionale. A ben vedere, sotto questo profilo, pare non poter essere considerata innovativa, tenuto conto, oltretutto, del fatto che essa si pone in continuità con l’orientamento già prevalente. Ciò che è inedito, se mai – e dà ragione della sua importanza – è il metodo impiegato dalla Suprema corte per argomentare la propria decisione. Nelle pronunce precedenti sul tema, i giudici di legittimità affermavano in modo apodittico l’utilizzabilità dei risultati delle intercettazioni nei procedimenti connessi a quello in cui era stata concessa l’autorizzazione (11). Le Sezioni unite hanno, invece, dimostrato che il criterio della connessione “forte” (con esclusione, dunque, del collegamento investigativo) è imposto, prima ancora che da ragioni di ordine logico, dalla Costituzione. Evocando le tradizionali indicazioni della Corte costituzionale, si è osservato che l’art. 15, co. 2, Cost. pone a presidio della segretezza e della libertà delle comunicazioni la doppia riserva di legge (assoluta) e di giurisdizione. Le intercettazioni “a strascico” violano questa garanzia perché, da un lato, rendono di fatto ordinario l’impiego di uno strumento che, in ragione della inviolabilità della sfera di riservatezza di ogni persona, dovrebbe essere ammesso nei soli casi «tassativamente indicati dalla legge» (12); dall’altro, riducono l’intervento del giudice a una mera «autorizzazione in bianco», svilendone la valenza di atto di controllo e di garanzia che la Costituzione e lo stesso codice di rito gli attribuiscono (13).
(11) Sin da Cass., sez. VI, 21 settembre 1994, n. 2135, in C.E.D. Cass., rv. 199917, che può essere considerata la prima pronuncia sul tema, il principio per cui, agli effetti del primo comma dell’art. 270 cod. proc. pen. «nel concetto di procedimento diverso non rientrano le indagini strettamente connesse e collegate sotto il profilo oggettivo, probatorio e finalistico al reato alla cui definizione il mezzo di ricerca della prova venne predisposto» è evocato come regola tralatizia. Cfr., tra le molte, sez. VI, 16 ottobre 1995, n. 1626 (dep. 10 febbraio 1996 ), in C.E.D. Cass., rv. 203742; sez. I, 04 novembre 2004, n. 46075, in C.E.D. Cass., rv. 230505; sez. III, 09 maggio 2012, n. 29473, in C.E.D. Cass., rv. 253161; più di recente, sez. II, 10 ottobre 2013, n. 3253, in C.E.D. Cass., rv. 258591. (12) Corte cost., sent. 24 febbraio 1994, n. 63, consultabile all’indirizzo <https://www.cortecostituzionale.it>. (13) Le Sezioni unite osservano in proposito che «l’autorizzazione del giudice non si limita a legittimare il ricorso al mezzo di ricerca della prova, ma circoscrive l’utilizzazione dei suoi risultati ai fatti-reato che all’autorizzazione stessa risultino riconducibili: essa, infatti, deve dar conto dei “soggetti da sottoporre al controllo” e dei “fatti costituenti reato per i quali in concreto si procede” (Corte Cost., sent. n. 366 del 1991); riferimento, quest’ultimo, che rende ragione della delimitazione dell’utilizzabilità probatoria dei risultati dell’intercettazione ai reati riconducibili all’autorizzazione giudiziale, delimitazione che, a sua volta, è condizione essenziale affinché l’intervento giudiziale abilitativo non si trasformi, come si è visto, in una “autorizzazione in bianco”» (§ 2 della motivazione
Laddove consente di utilizzare indiscriminatamente i risultati delle intercettazioni compiute altrove per l’accertamento dei delitti di cui all’art. 266 cod. proc. pen., il novellato primo comma dell’art. 270 cod. proc. pen. è dunque inconciliabile con il precetto dell’art. 15 Cost.; ed essendo impossibile darne interpretazioni conformi alla Costituzione, esso è destinato ad essere dichiarato incostituzionale (14). La stessa sentenza delle Sezioni unite, che il legislatore intendeva superare, ha invece “condannato” il riformato art. 270, co. 1, cod. proc. pen. a una declaratoria certa di incostituzionalità. Del resto, finché non sarà intervenuta la Corte costituzionale, nei procedimenti iscritti a partire dallo scorso 1 settembre, che abbiano ad oggetto i reati di cui all’art. 266 cod. proc. pen., i risultati delle intercettazioni altrove legittimamente eseguite potranno essere utilizzati senza altra condizione che quella “evanescente” della rilevanza e indispensabilità.
3. Il nuovo co. 1-bis dell’art. 270 cod. proc. pen.
I giudici della Sesta sezione hanno applicato i principi enunciati nella sentenza n. 51 del 2020 con riguardo alle risultanze di captazioni eseguite mediante un captatore informatico. All’epoca della decisione non era ancora entrato in vigore il nuovo comma 1-bis dell’art. 270 cod. proc. pen. Tale disposizione, introdotta dal d.lgs. 29 dicembre 2017, n. 216, è stata riformulata dalla l. n. 7 del 2020 prima ancora che diventasse pienamente efficace (15). Più nello specifico, essa stabilisce che, «fermo restando quanto previsto dal comma 1, i risultati delle intercettazioni tra presenti operate con captatore informatico su dispositivo elettronico portatile possono essere utilizzati anche per la prova di reati diversi da quelli per i quali è stato emesso il decreto di autorizzazione qualora risultino indispensabili per l’accertamento dei delitti indicati dall’articolo 266, comma 2-bis». della sentenza n. 51 del 2020). Il codificatore del 1988 riferisce al giudice «una funzione di controllo e di garanzia, essendogli riservato il potere di autorizzare l’atto, ovvero di convalidarlo, nel caso peculiare in cui l’urgenza non consenta un suo intervento preventivo» (Relazioni al progetto preliminare e al testo definitivo del codice di procedura penale, in Supp. Ord. n. 2 alla G.U. n. 250 del 24 ottobre 1988 – Serie generale). (14) In questo senso, anche Filippi, Intercettazioni: habemus legem!, cit., 462. (15) Il termine iniziale di efficacia delle modifiche introdotte dal d.lgs. n. 216 del 2017 è stato più volte differito; da ultimo, ai procedimenti iscritti dopo il 31 agosto 2020 (art. 1, co. 1, lett. a, d.l. 30 aprile 2020, n. 28, convertito, con modificazioni, dalla L. 25 giugno 2020, n. 70). Sul tema, v. Gambardella, Entrata in vigore e profili transitori, in Nuove norme in tema di intercettazioni. Tutela della riservatezza, garanzie difensive e nuove tecnologie informatiche, a cura di Giostra – Orlandi, Torino, 2018, 160 e Signorato, Intercettazioni di comunicazioni, in Una nuova legge contro la corruzione. Commento alla legge 9 gennaio 2019, n. 13, a cura di Orlandi – Seminara, Torino, 2019, 255 ss.
DIRITTO DI INTERNET N. 4/2020
719
GIURISPRUDENZA PENALE Il principale problema posto dalla norma – in particolare, dall’inciso iniziale – concerne i rapporti tra i primi due commi del novellato art. 270. Il dubbio, espresso anche dalla magistratura e da parte della dottrina (16) già in sede di commento al disegno di legge di conversione del d.l. n. 161 del 2019, è se la disciplina di cui al co. 1-bis dell’art. 270 cod. proc. pen. riguardi la circolazione della prova captata all’interno dello stesso procedimento o la trasmigrazione delle risultanze in un procedimento diverso. In via preliminare, si può osservare che, in seguito alle modifiche introdotte dalla c.d. Riforma “Orlando” (applicabili anch’esse soltanto ai procedimenti iscritti a partire dal 1 settembre 2020), il ricorso al captatore informatico è consentito soltanto per effettuare intercettazioni di comunicazioni tra presenti negli stessi casi in cui sono ammesse le intercettazioni di tipo “tradizionale” (art. 266, co. 2, cod. proc. pen.). Un regime peculiare è previsto dal co. 2-bis dell’art. 266 per i delitti attribuiti dall’art. 51, commi 3-bis e 3-quater alla competenza della procura distrettuale e per quelli commessi dai pubblici ufficiali o dagli incaricati di pubblico servizio contro la pubblica amministrazione, puniti con la pena della reclusione non inferiore nel massimo a cinque anni. L’intercettazione finalizzata al loro accertamento «è sempre consentita», anche se la comunicazione oggetto di captazione si stia svolgendo in ambiente domiciliare che non sia sede di attività criminosa in atto (con l’unica condizione, prevista in relazione ai soli delitti contro la pubblica amministrazione, della necessaria «previa indicazione delle ragioni che ne giustificano l’utilizzo anche nei luoghi indicati dall’articolo 614 del codice penale»); inoltre, è sufficiente che l’intercettazione sia «necessaria per lo svolgimento delle indagini» (art. 13 decreto-legge. 13 maggio 1991, n. 152), anziché «assolutamente indispensabile ai fini della prosecuzione delle indagini» (art. 267, co. 1, secondo periodo, cod. proc. pen.). Il co. 1-bis dell’art. 270 cod. proc. pen. ammette che i risultati delle intercettazioni di comunicazioni tra presenti effettuate mediante captatore informatico siano utilizzati per l’accertamento dei reati soggetti al regime speciale delineato dall’art. 266, co. 2-bis, cod. proc. pen., benché, in ipotesi, diversi da quelli di cui al decreto di autorizzazione.
(16) Cfr. La delibera del Consiglio Superiore della Magistratura del 13 febbraio 2020, contenente il Parere sul Disegno di Legge n. 1659 AS di conversione del Decreto Legge n. 161/2019 recante modifiche urgenti alla disciplina delle intercettazioni di conversazioni o comunicazioni (GU Serie generale n. 305 del 31.12.2019), consultabile all’indirizzo <https://www.csm.it>; per la dottrina v. Spangher – Antinucci, Possibili le intercettazioni “a strascico” attraverso l’uso del captatore informatico per i reati comuni?, 15 marzo 2020, all’indirizzo <https://penaledp.it>.
720
DIRITTO DI INTERNET N. 4/2020
A differenza del primo comma, il co. 1-bis riferisce il carattere della diversità al singolo reato, anziché al procedimento. La ragione di ciò potrebbe essere individuata nell’esigenza di limitare al massimo l’impiego del captatore e delle prove con esso acquisite. Vietare l’utilizzo delle conversazioni registrate per l’accertamento di reati diversi da quelli in relazione ai quali è stata concessa l’autorizzazione ha, infatti, due conseguenze: da un lato, preclude la circolazione della prova anche all’interno del medesimo procedimento; dall’altro, determina l’inutilizzabilità dei risultati delle intercettazioni, ove il fatto per il cui accertamento erano state legittimamente disposte venga derubricato in reato per il quale le intercettazioni non sono consentite (17). Questa era sicuramente la ratio che ispirava la disposizione in esame nella formulazione originaria. In particolare, era previsto che «i risultati delle intercettazioni tra presenti operate con captatore informatico su dispositivo elettronico portatile non possono essere utilizzati per la prova di reati diversi da quelli per i quali è stato emesso il decreto di autorizzazione, salvo che risultino indispensabili per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza». La “contro-riforma” attuata con il d.l. n. 161 del 2019 pare aver stravolto la portata garantistica che caratterizzava la versione iniziale dell’art. 270, co. 1-bis, cod. proc. pen. (mai divenuta efficace). L’introduzione dell’inciso che lascia ferma la disposizione di cui al comma precedente e l’uso della particella “anche” sembrano, in effetti, estendere i margini di utilizzabilità delle prove emerse nel corso di intercettazioni di comunicazioni tra presenti operate mediante trojan horse. Si potrebbe pensare, infatti, che il rinvio alla disposizione del primo comma assoggetti a un unico regime i risultati delle intercettazioni di ogni tipo, sia tradizionali sia con captatore informatico: la loro utilizzazione in altri procedimenti dovrebbe, dunque, essere consentita se in questi si proceda per fatti riconducibili ai delitti di cui all’art. 380 o all’art. 266, co. 1, cod. proc. pen. La proposizione successiva all’inciso considera, invece, l’eventualità che il reato da accertare rientri nella disciplina speciale di cui all’art. 266, co. 2-bis, cod. proc. pen. In questo caso, la conversazione captata dal virus può essere sempre utilizzata, indipendentemente dalla circostanza che il fatto afferisca o meno al medesimo procedimento in cui l’intercettazione è stata autorizzata.
(17) La giurisprudenza prevalente ritiene, invece, che i risultati delle captazioni siano utilizzabili anche dopo che il fatto venga eventualmente riqualificato come un reato che non consente le intercettazioni. Cfr., tra le molte, Cass., sez. I, 20 febbraio 2009, n. 19852, in C.E.D. Cass., rv. 243780; Id., 19 maggio 2010, n. 24163, in C.E.D. Cass., rv. 247943; Cass., sez. VI, 5 aprile 2012, n. 22276, in C.E.D. Cass., rv. 252870.
GIURISPRUDENZA PENALE In definitiva, il novero dei reati che consentono l’utilizzo trasversale dei risultati delle intercettazioni effettuate con virus informatico – originariamente circoscritto ai delitti passibili di arresto obbligatorio in flagranza – parrebbe essere stato esteso a tutte le fattispecie delittuose indicate dall’art. 266 cod. proc. pen.
Il riconoscimento di una illimitata valenza probatoria delle conversazioni registrate mediante captatore informatico conduce tuttavia a esiti pericolosi, di dubbia costituzionalità. È sufficiente considerare come esso implichi, tra l’altro, l’ammissione della possibilità che elementi eventualmente acquisiti valendosi della speciale deroga prevista dall’art. 266, comma 2-bis cod. proc. pen. siano impiegati anche per la prova di delitti che non avrebbero consentito il ricorso all’intercettazione nel domicilio, in mancanza della prova dell’attuale svolgimento in esso di attività criminosa (18). Per scongiurare rischi di questo tipo, si potrebbe ritenere – come già proposto da altri (19) – che il rinvio al primo comma riguardi i soli reati ad arresto obbligatorio. In effetti, l’inciso iniziale era stato introdotto dal d.l. n. 161 del 2019 prima che, in sede di conversione, venisse aggiunto alla fine dell’art. 270, co. 1, cod. proc. pen. il riferimento ai «reati di cui all’art. 266, comma 1». Il mancato adeguamento delle modifiche introdotte dal decreto-legge a quelle successivamente apportate dal Parlamento sarebbe, quindi, nient’altro che un lapsus del legislatore, il quale non avrebbe considerato gli effetti che l’intervento sul primo comma determinava sul successivo. L’esame dei lavori parlamentari dà sicuramente ragione di credere che la formulazione dei primi due commi dell’art. 270 da ultimo licenziata non sia stata ponderata con la scrupolosità richiesta dalla sensibilità della materia oggetto di intervento. Per altro verso, si apprende che «il Senato ha circoscritto l’utilizzabilità in procedimenti diversi dei risultati delle intercettazioni realizzate con il trojan ai soli casi in cui tali risultati risultino indispensabili per l’accertamento dei delitti di cui al citato comma 2-bis dell’articolo 266 del codice di procedura penale» (20). La volontà del legislatore autorizza a prospettare un’interpretazione alternativa del co. 1-bis dell’art. 270 cod.
proc. pen. che, benché non del tutto aderente al suo tenore, risulta preferibile anche per le maggiori garanzie che ne derivano. In particolare, si può sostenere che i risultati delle intercettazioni operate con l’ausilio di un captatore informatico siano utilizzabili soltanto per la prova dei reati per cui il giudice ha concesso l’autorizzazione. Essi, quindi, non possono essere impiegati per la prova di nessun altro reato né – si deve ritenere – dello stesso fatto oggetto della notitia criminis, laddove l’originaria imputazione venga successivamente sostituita dalla contestazione di una fattispecie di reato che non avrebbe consentito il ricorso alle intercettazioni. L’unica eccezione opera per i reati di criminalità organizzata o commessi con finalità di terrorismo, nonché per i più gravi delitti contro la pubblica amministrazione: per il loro accertamento è consentito anche l’impiego delle risultanze di intercettazioni mediante trojan horse autorizzate in relazione a fatti-reati diversi. Questa soluzione assicura alla disposizione in esame una maggiore “tenuta costituzionale”. Infatti, un corretto bilanciamento tra il diritto del singolo a non subire interferenze dell’autorità nella propria sfera di riservatezza e l’interesse collettivo all’accertamento dei reati impone di sacrificare il primo in misura proporzionata alla gravità del fatto per cui si procede. In ragione della sua insidiosità, l’intercettazione operata con l’impiego di un captatore informatico dev’essere dunque consentita soltanto per l’accertamento di reati «capaci di destare particolare allarme sociale». Come noto, la giurisprudenza costituzionale ha considerato tali i delitti indicati dall’art. 380, co. 2, cod. proc. pen. e, perciò, ha escluso che possa «dichiararsi l’illegittimità costituzionale della norma che eccezionalmente consente l’utilizzazione delle intercettazioni telefoniche in procedimenti diversi limitatamente all’accertamento dei reati per i quali è obbligatorio l’arresto in flagranza» (21). Nel tempo, però, il catalogo del citato secondo comma dell’art. 380 si è infoltito di fattispecie sempre più disparate e meno rispondenti al criterio della maggiore gravità della condotta: vi è contemplato, ad esempio, il delitto di atti persecutori, non anche quello di omicidio preterintenzionale (22). Insomma, il riferimento alle ipotesi di arresto obbligatorio in flagranza appare ormai inadeguato a contenere «la deroga eccezionalmente prevista al divieto stabilito dall’art. 270, primo comma, c.p.p. … entro i precisi confini della stretta necessarietà
(18) Cfr. Alvino, La circolazione delle intercettazioni e la riformulazione dell’art. 270 c.p.p.: l’incerto pendolarismo tra regola ed eccezione, in Sist. pen., 2020, 245.
(21) Corte cost., sent. 24 febbraio 1994, n. 63, cit.
4. Dubbi di costituzionalità e possibili soluzioni interpretative
(19) Ibidem. (20) Questo si legge nella relazione dell’on. Sarti pubblicata in Atti Camera, XVIII leg., Assemblea, seduta 24 febbraio 2020, n. 310, cit.
(22) Cfr. La delibera del Consiglio Superiore della Magistratura del 13 febbraio 2020, cit. In senso analogo, Spangher – Antinucci, Possibili le intercettazioni “a strascico” attraverso l’uso del captatore informatico per i reati comuni?, cit.
DIRITTO DI INTERNET N. 4/2020
721
GIURISPRUDENZA PENALE della stessa rispetto al soddisfacimento concreto dell’interesse pubblico primario che la giustifica» (23). Non vanno poi trascurate le incongruenze che emergono alla luce della considerazione per cui non tutti i reati ad arresto obbligatorio in flagranza rientra nei limiti di ammissibilità di cui al primo comma dell’art. 266 cod. proc. pen. (24). Ebbene, con riferimento alle intercettazioni eseguite tramite captatore informatico, a tali problemi può ovviarsi in via interpretativa ritenendo, come si è detto, che i relativi risultati siano utilizzabili soltanto per la prova dei reati – pur, in ipotesi, diversi da quelli di cui al provvedimento di autorizzazione – indicati dall’art. 266, co. 2-bis, cod. proc. pen. È peraltro auspicabile che il legislatore intervenga sull’art. 270, co. 1-bis, cod. proc. pen. sopprimendo l’inciso iniziale. Viceversa, l’interprete non può rimediare agli inconvenienti determinati dalle modifiche apportate al primo comma dello stesso art. 270. È di certo impellente la necessità di un intervento del Parlamento o, in mancanza, della Corte costituzionale.
(23) Citazione tratta ancora da Corte cost., sent. 24 febbraio 1994, n. 63, cit. (24) Cfr. Spangher – Antinucci, Possibili le intercettazioni “a strascico” attraverso l’uso del captatore informatico per i reati comuni?, cit.: «Si pensi al delitto di promozione o direzione delle associazioni segrete previsto dall’art. 1, L. 25.1.1982, n. 17 oppure ad un tentativo di furto aggravato ex art. 625, nn. 1 e 2, c.p.: in tali ipotesi si arriva all’assurdo di consentire l’acquisizione di risultati d’intercettazione di altro procedimento, quando non viene ammessa l’intercettazione nell’ambito dello stesso».
722
DIRITTO DI INTERNET N. 4/2020
GIURISPRUDENZA AMMINISTRATIVA
Malfunzionamenti delle piattaforme telematiche di negoziazione: rimedi e responsabilità Consiglio di Stato; sezione III; sentenza 29 luglio 2020, n. 4811; Pres. Roberto Garofoli; Est. Giovanni Pescatore; Gi. One s.p.a. (Avv. Brugnoletti) c. Regione Basilicata (Avv. Possidente). Non può essere escluso dalla gara un concorrente che abbia curato il caricamento della documentazione di gara sulla piattaforma telematica di negoziazione di cui all’art. 58, d.lgs. 18 aprile 2016, n. 50, entro l’orario fissato per tale operazione, ma non è riuscito a finalizzare l’invio a causa di un malfunzionamento del sistema, imputabile al gestore. In ogni caso, ove fosse impossibile stabilire con certezza se vi sia stato un errore da parte del trasmittente o, piuttosto, la trasmissione sia stata danneggiata per un vizio del sistema, il pregiudizio ricade sull’ente che ha bandito, organizzato e gestito la gara. Le modalità di comunicazione della proroga o riapertura del termine di partecipazione alle procedure di gara telematiche, di cui all’art. 79, comma 5-bis, d.lgs. n. 50 del 2016, ulteriori rispetto alla pubblicazione sul sito internet, sebbene ricadono nell’attività discrezionale della stazione appaltante, devono essere scelte sulla base dei principi di leale cooperazione e proporzionalità, mirando al contemperamento tra gli oneri degli operatori economici e quelli della PA stessa. E ciò vale, a fortiori, in corso di svolgimento di procedure telematiche di gara d’appalto, dove i termini sono particolarmente ristretti. Di conseguenza, è illegittima la mancata comunicazione aggiuntiva via PEC, laddove l’operatore economico aveva in precedenza comunicato, per l’appunto via PEC, il malfunzionamento in questione, chiedendo contestualmente la proroga del termine di presentazione delle offerte.
…Omissis…
Svolgimento del processo 1. Con bando pubblicato in GURI in data 31 dicembre 2018 la stazione unica appaltante presso la Regione Basilicata (di seguito “SUA RB”) ha indetto una procedura comparativa per l’affidamento dei servizi di governo, di conduzione e di manutenzione degli impianti tecnologici ed elevatori al servizio delle strutture sanitarie dell’Azienda ospedaliera regionale San Carlo e dell’Azienda sanitaria di Potenza. 2. Il disciplinare ha previsto lo svolgimento della gara ai sensi dell’art. 58 del d.lgs. n. 50 del 2016, mediante il portale di e-procurement della stazione appaltante, con fissazione del termine di scadenza per la presentazione delle offerte al 3 giugno 2019, ore 12.00. 3. A causa di un malfunzionamento della piattaforma informatica, la concorrente Gi. One s.p.a. (di seguito “Gi One”), pur essendo riuscita “a caricare” i file della busta amministrativa e dell’offerta tecnica, non è riuscita a fare altrettanto con riguardo all’offerta economica. 4. Il giorno 3 giugno 2019 Gi One ha quindi comunicato alla stazione appaltante il malfunzionamento del portale telematico, attraverso una prima segnalazione (delle ore 12.04) e una successiva diffida via Pec (delle ore 21.06), in entrambi i casi senza ricevere risposta. 5. Avvedutasi della pubblicazione sul sito istituzionale, in data 5 giugno, di un avviso di differimento del termine di presentazione dell’offerta alla data del 7 giugno
2019, ore 12:00, Gi One ha sollecitamente contestato l’omesso invio di un avviso individuale che preannunciasse la posticipazione del termine, stigmatizzando il comportamento della stazione appaltante come contrario alle regole di buona fede e trasparenza. 6. La diffida è stata riscontrata dal RUP con una nota di diniego oggetto della impugnativa di primo grado, definita con la sentenza qui appellata n. 37/2020. 7. La tesi della Regione, avallata dal Tar, è che nella vicenda innanzi descritta non è ravvisabile alcuna violazione dell’art. 79, comma 5-bis, del codice dei contratti, in quanto la forma di comunicazione della proroga del termine - disposta in seguito al constatato malfunzionamento della piattaforma telematica - è risultata pienamente idonea allo scopo, avendo consentito agli altri partecipanti alla gara di presentare puntualmente la propria offerta; sotto altro profilo, è stato pienamente rispettato il parametro legale della tempestiva pubblicazione dell’avviso “presso dell’indirizzo internet dove sono accessibili i documenti di gara”, quale modalità adeguata alla prefissata esigenza di divulgazione del differimento dei termini. Il Tar ha ritenuto, infine, che la proroga, nella misura concessa, ha rispettato il canone di proporzionalità, in quanto il lasso temporale aggiuntivo è risultato “pari a oltre il doppio di quello in cui l’inconveniente si è verificato, dunque tutt’altro che “irrisorio”, non congruo o sproporzionato”.
DIRITTO DI INTERNET N. 4/2020
723
GIURISPRUDENZA AMMINISTRATIVA 8. In questa sede la Gi One impugna la sentenza di primo grado sostenendo, con un primo motivo, che: 8.1. - il dato testuale dell’art. 79, comma 5-bis - nel prevedere che la proroga conseguente al malfunzionamento della piattaforma telematica debba essere pubblicizzata mediante avviso presso l’indirizzo internet dove sono accessibili i documenti di gara “nonché attraverso ogni altro strumento che ritenga opportuno” - impone alla stazione appaltante una duplice e cumulativa forma di pubblicità dell’avviso di riapertura/posticipazione del termine, che si realizza: i) sia tramite la pubblicazione dell’avviso sulla medesima pagina del sito in cui sono pubblicati gli atti di gara; ii) sia (è il significato della congiunzione “nonché”) tramite la comunicazione ai concorrenti con altro strumento adeguato; - le suddette misure non sono alternative, né è riconosciuta alcuna discrezionalità alla stazione appaltante nel modularle (essendole concessa la sola possibilità di scegliere la tipologia di strumento con la quale realizzare il secondo sistema di pubblicità); - nel caso di specie, tuttavia, l’avviso di riapertura termini non è stato pubblicato al medesimo indirizzo dove risultavano accessibili i documenti di gara (art. 76, co. 5-bis cod. contratti), coincidente (secondo quanto stabilito dagli artt. 2.1 e 2.3 del disciplinare) con il sito internet SUA-RB-IT; e, al contempo, è mancata l’adozione “di ogni altro strumento” di trasmissione ai concorrenti dell’ “alert” circa l’avvenuta proroga del termine (secondo quanto disposto nel penultimo periodo dell’art. art. 79, comma 5-bis). 8.2. Con un secondo motivo Gi One nega che il differimento del termine concesso sia risultato “proporzionale alla gravità” del malfunzionamento riscontrato, in quanto esso ha obbligato i concorrenti, nelle poche ore a disposizione, ad attivarsi per procedere al caricamento ex novo di tutta la documentazione a corredo dell’offerta. ...Omissis... Motivi della decisione 1. Il D.Lgs n. 50/2016, così come modificato dal D.Lgs. n. 56/2017, ha aggiunto, all’originale previsione dell’art. 79, il comma 5 bis, recante la seguente specifica: “…la stazione appaltante adotta i necessari provvedimenti al fine di assicurare la regolarità della procedura nel rispetto dei principi di cui all’art. 30, anche disponendo la sospensione del termine per la ricezione dell’offerte per il periodo necessario a ripristinare il normale funzionamento dei mezzi e la proroga dello stesso per una durata proporzionale alla gravità del mancato funzionamento [……] la pubblicità di tale proroga avviene attraverso la tempestiva pubblicazione di apposito avviso presso l’indirizzo internet dove sono accessibili i documenti di gara … nonché attraverso ogni altro strumento che la Stazione appaltante ritenga opportuno”.
724
DIRITTO DI INTERNET N. 4/2020
2. Le circostanze fattuali controverse nel presente giudizio attengono, da un lato, alle vicende che hanno motivato la proroga del termine; dall’altro, alle modalità di pubblicazione dell’avviso di posticipazione. Secondo la parte appellante: a1) il malfunzionamento della piattaforma telematica è intervenuto nella fase di caricamento della domanda (quando il relativo termine non era ancora scaduto) ed ha impedito il regolare inoltro dei documenti; b1) l’avviso di proroga non è stato pubblicato nel sito ufficiale di gara ma solo su quello della Regione Basilicata. L’Avvocatura regionale di contro sostiene che: a2) non si è verificato alcun malfunzionamento del sistema ma è stata riscontrata un’anomalia da parte di alcuni operatori economici, aggravata dal fatto che Gi One ha avviato il caricamento dell’offerta nella fase terminale del tempo a sua disposizione; b2) la stazione appaltante ha rispettato l’art. 79 comma 5 bis del Codice dei contratti pubblici, avendo pubblicato l’avviso di posticipazione del termine di presentazione delle offerte sul sito della Regione Basilicata, sul portale avvisi e gare, nonché sul mini-sito della SUA-RB. 2.1. Ebbene, sul primo profilo controverso deve ritenersi irrilevante la controdeduzione della difesa regionale circa il fatto che non vi sarebbe stato un blocco “totale” del sistema, ma si sarebbero verificate soltanto delle anomalie riscontrate da alcuni operatori economici: è proprio a fronte di dette anomalie che Gi One, al pari di altri operatori, si è vista ostacolata nel portare a conclusione le operazioni di caricamento entro il termine previsto. Tale circostanza risulta certificata dallo stesso gestore della piattaforma, e di conseguenza dalla stazione appaltante, in quanto nell’avviso di riapertura del termine si dà conto “..del riscontro trasmesso dal gestore del servizio assistenza, prot. n. 35654/20AB del 05/06/2019, che certifica la presenza d’anomalia al sistema inerente la visualizzazione in fase di caricamento delle offerte economiche..”. Donde la conseguente (e corretta) decisione da parte della stazione appaltante di riaprire il termine di presentazione delle offerte. 2.2. Sussistono valide ragioni per fare applicazione, pertanto, dell’orientamento interpretativo, di recente ribadito anche da questa sezione, secondo il quale “..non può essere escluso dalla gara un concorrente che abbia curato il caricamento della documentazione di gara sulla piattaforma telematica entro l’orario fissato per tale operazione, ma non è riuscito a finalizzare l’invio a causa di un malfunzionamento del sistema, imputabile al gestore” (Cons. Stato, sez. V, n. 7922/2019 e Cons. Stato, sez. III, n. 86/2020). Nel medesimo senso si è chiarito, con statuizione di principio pienamente traslabile nel caso di specie, che “se rimane impossibile stabilire con certezza se vi sia stato un errore da parte del trasmittente o, piuttosto,
GIURISPRUDENZA AMMINISTRATIVA la trasmissione sia stata danneggiata per un vizio del sistema, il pregiudizio ricade sull’ente che ha bandito, organizzato e gestito la gara (cfr., ex plurimis, Cons. St., sez. III, 25 gennaio 2013, n. 481)” (Cons. Stato, sez. III, n. 86/2020). 2.3. In stretta consecuzione ai dati ricostruttivi della vicenda in fatto sin qui riepilogati, risulta del tutto indimostrata l’affermazione secondo cui Gi One avrebbe iniziato tardi il caricamento dell’offerta. La Regione non ha addotto alcun elemento o principio di prova sul punto, né ha depositato gli appositi registri informatici con i quali dimostrare il tardivo inserimento dell’offerta. 2.4. Quanto alla distinta tematica delle modalità di pubblicazione dell’avviso (secondo profilo fattuale controverso), si deve innanzitutto constatare che la ricostruzione proposta dalla difesa regionale (e recepita dal Tar) non è stata efficacemente contraddetta dalla parte appellante. Non vi sono, infatti, elementi probanti per poterla smentire, come tale non potendosi apprezzare neppure la produzione difensiva della SUA-RB contenuta all’interno della memoria difensiva del 28/6/2019 (pag. 5 e 6) e richiamata a supporto delle proprie deduzioni dalla parte appellante: invero, la riproduzione degli screenshot delle pagine relative alla pubblicazione dell’avviso, estratti dal sito della Regione Basilicata (www.regione.basilicata.it), non consente di escludere che l’avviso sia stato inserito anche nella piattaforma “SUA RB procurement” (www.sua-rb.it). Viceversa, le deduzioni contenute nella memoria di costituzione depositata nel presente grado di giudizio dalla Regione (pag. 14 e 15), non ulteriormente contraddette da parte appellante, forniscono una esemplificazione puntuale della possibilità di accesso agli atti di gara e all’avviso di proroga anche tramite consultazione diretto del sito della stazione appaltante. 3. Tutto ciò posto, il primo motivo di appello è comunque fondato nella parte concernente il mancato assolvimento dell’obbligo di pubblicità imposto dall’art. 79 comma 5 bis. 3.1. La norma impone che della riapertura/proroga del termine di presentazione delle offerte la stazione appaltante fornisca adeguata pubblicità “attraverso la tempestiva pubblicazione di apposito avviso presso l’indirizzo internet dove sono accessibili i documenti di gara … nonché attraverso ogni altro strumento che la stazione appaltante ritenga opportuno”. 3.2. Nell’interpretare la riportata formulazione deve ritenersi che l’attivazione di iniziative aggiuntive alla sola pubblicazione sul sito internet ricada nell’alveo di una valutazione discrezionale della stazione appaltante. A non diverse conclusioni induce la presenza della congiunzione “nonché”, la quale altro non fa che introdurre una clausola generale che suggella il carattere “elasti-
co” della soluzione di volta in volta rimessa, sul punto, al giudizio di “opportunità” dell’amministrazione. 3.3. Peraltro, se è pur vero che la modulazione degli strumenti aggiuntivi alla pubblicazione sul sito è rimessa allo scrutinio discrezionale dell’amministrazione, ciò non toglie che la scelta in concreta operata possa essere vagliata - sia pure nei limiti del sindacato sull’eccesso di potere - nel suo stesso fondamento di “adeguatezza ed opportunità”, alla luce dei generali principi di leale cooperazione e proporzionalità e, quindi, secondo i paradigmi di “buona fede” e “correttezza”, enucleabili dal più ampio concetto di “buon andamento” della funzione amministrativa. Tanto vale, a maggior ragione, all’interno di procedure telematiche caratterizzate da termini particolarmente ristretti e nelle quali risulta fondamentale l’utilizzo di modalità idonee e coerenti per comunicare lo svolgimento delle operazioni di gara, onde evitare di imporre ai concorrenti degli oneri di diligenza sostanzialmente sproporzionati, che possono condurre alla loro estromissione per omissioni facilmente evitabili e, quindi, all’ingiustificata compromissione del principio della massima partecipazione. 3.4. Nel caso di specie, deve ritenersi che la sola mera pubblicazione dell’avviso sul sito internet non si sia rivelata adeguata e sufficiente a ritenere adempiuto l’obbligo di pubblicità imposto dalla richiamata norma, ed a tanto si sovviene in quanto: i) l’inserimento dell’avviso telematico di per sé non ne garantisce l’immediata conoscenza da parte dei destinatari - i quali potrebbero mancare di accedere al sito o farlo tardivamente, una volta decorso inutilmente il termine; ii) l’eventualità di un simile inconveniente nel caso de quo assumeva specifica concretezza proprio in virtù del carattere esiguo della posticipazione del termine (di soli due giorni - dal 5 giugno, al 7 giugno h. 12); iii) di contro, l’attivazione di un ulteriore canale di comunicazione avrebbe comportato per la stazione un impegno aggiuntivo ed un correlato sacrifico assai modesti (l’invio di una pec), del tutto coerente con le indicazioni contenute nel disciplinare di gara (ove si prevede chiaramente, all’art. 2.3, che le comunicazioni tra committente e concorrente avvengano tramite piattaforma e con l’ausilio di “notifiche all’indirizzo PEC … indicato dai concorrenti nella documentazione di gara”); iv) l’inoltro di comunicazioni individuali si sarebbe posto in linea consequenziale ai precedenti contatti con i quali gli stessi concorrenti avevano, poco tempo prima, segnalato il guasto e sollecitato la controparte pubblica a fornire indicazioni sulle modalità di riattivazione del sistema. 3.5. Risulta quindi non risolutiva l’asserzione del primo giudice secondo cui era rimesso al singolo concorrente interessato ogni onere di “..di consultazione quantomeno quotidiana, con ordinaria diligenza e ben modesto
DIRITTO DI INTERNET N. 4/2020
725
GIURISPRUDENZA AMMINISTRATIVA impegno, dell’unico canale di informazione specifica previsto dalla legge di gara, ovvero l’apposita sezione del sito internet regionale”: un corretto bilanciamento dei rispettivi oneri di diligenza della parte pubblica e privata, proporzionati alla specificità del caso e alla misura della proroga concessa, avrebbe più ragionevolmente consigliato di evitare un unilaterale appesantimento procedimentale a carico di una sola delle parti del rapporto (la parte privata), trattandosi di soluzione contraria alla logica semplificatoria dell’introduzione delle procedure telematiche e, comunque e per quanto esposto, non pienamente proporzionata e coerente con i principi di correttezza, leale cooperazione e buona fede. Questi ultimi, d’altra parte, impongono una considerazione solidaristica, ponderata e dinamica degli obblighi ricadenti sulle parti della relazione giuridica, in un’ottica di accentuato favore per l’instaurazione di contegni di reciproco e collaborativo soccorso, volti alla salvaguardia dell’altrui utilità ove commisurata ad un sacrificio di analoga portata. 3.6. Nel medesimo ordine di considerazioni, merita di essere stigmatizzata anche l’ulteriore affermazione contenuta nella sentenza impugnata secondo la quale il “.. capo 2.3 del disciplinare di gara .. fa effettivamente riferimento a un indirizzo di posta elettronica certificata da indicare a cura degli offerenti, ma al solo fine delle comunicazioni di cui all’art. 76, co. 5, del codice dei contratti”. Diversamente da quanto ritenuto dal primo giudice, la regola stabilita dal disciplinare non riguarda esclusivamente le comunicazioni ex art. 76, comma 5 (disposizione effettivamente richiamata dal comma 1 dell’art. 2.3) bensì, a fronte di quanto espressamente disposto dal successivo comma 2 dell’art. 2.3, “tutte le comunicazioni tra stazione appaltante e operatori” che “si intendono validamente ed efficacemente effettuate qualora rese attraverso il Portale SUA-RB e con l’eventuale ausilio di notifiche all’indirizzo PEC: ufficio.centrale.committenza.soggetto.aggregatore@cert.regione.basilicata.it e all’indirizzo indicato dai concorrenti nella documentazione di gara” (disciplinare, art. 2.3, pag. 6). Non, quindi, una modalità esclusiva delle comunicazioni relative agli esiti della procedura, bensì una generalizzato canale comunicativo, previsto dalla lex specialis, in quanto tale vincolante per ambo le parti in virtù della regola del cd. autovincolo. Del resto, Gi One ha certamente iniziato il caricamento della propria offerta (dato incontestato anche dalla difesa della Regione), salvo non concluderlo per anomalie di sistema, il che induce a ritenere che, sino a che non fosse scaduto il nuovo termine di presentazione delle offerte del 7 giugno, essa avrebbe dovuto essere considerata necessariamente una “pretendente” alla gara, avendo
726
DIRITTO DI INTERNET N. 4/2020
già creato il proprio profilo sul portale e parzialmente caricato la documentazione di gara. Nello stesso senso rileva la circostanza che Gi One ha dapprima contattato telefonicamente la SUA per avvertirla del disservizio e sollecitare la riapertura del termine, e successivamente ha inoltrato segnalazioni scritte (anche tramite il proprio legale) così instaurando una interlocuzione alla quale la stazione appaltante ha ritenuto di dare seguito, nella fase di riapertura del termine, in modo non altrettanto prudente e cautelativo. 3.7. Nel quadro di principi sin qui tracciato, la circostanza che taluni ricorrenti principali siano riusciti a rispettare il termine fissato dalla lex specialis per la presentazione dell’offerta non vale ad escludere la rilevanza sul piano giuridico delle criticità incontrate da altri operatori. Sicché, anche l’argomento integrativo svolto in tal senso dal Tar e tendente a far refluire il parziale esito applicativo della regola giuridica sul piano della sua tenuta normativa, non può trovare seguito alcuno. 4. Merita di essere accolto anche il secondo profilo di censura, per l’essenziale ragione che la proroga del termine nel caso di specie non sembra avere garantito il “recupero” dei documenti già caricati sul portale e loro integrazione con la documentazione mancante; bensì (stando alle allegazioni di parte appellante, non efficacemente confutate dalla difesa regionale) ha imposto una vera e propria interruzione e riapertura della procedura, obbligando i concorrenti a procedere alla creazione ex novo di un proprio profilo, con caricamento di tutta la documentazione richiesta per la regolare presentazione dell’offerta. Stando così le cose, il parametro di riferimento non può rinvenirsi nel momento in cui le anomalie si sono verificate (quindi la mattina della originaria scadenza della gara), bensì nel tempo mediamente necessario affinché un operatore potesse mettersi nella condizione di ripresentare offerta. In definitiva, il concesso differimento di soli due giorni, non anticipato da un individualizzato preavviso, si è rivelato oggettivamente incongruo. 4.1. La difesa regionale, in replica, sostiene ancora che la SUA-RB avrebbe informato gli operatori economici che, in caso di accertamento di una disfunzione della piattaforma telematica, avrebbe pubblicato un avviso sul portale appalti (pag. 7 memoria costituzione). 4.2. Tuttavia l’assunto – oltre a rivelarsi controproducente rispetto alle tesi difensive della Regione, in quanto contrastante con l’argomento principale della sufficienza della pubblicità a mezzo del solo canale telematico – appare anche indimostrato, in quanto non risulta che, in data 3 giugno 2019, la stazione appaltante abbia anticipato a Gi One la propria intenzione di indicare una nuova data di scadenza per il completamento delle offerte. Del resto, è la stessa Regione ad ammettere di aver deciso di posticipare il termine solo dopo aver ricevuto
GIURISPRUDENZA AMMINISTRATIVA in data 5 giugno la certificazione, da parte del centro assistenza, della presenza di alcune anomalie riscontrate in sede di caricamento delle offerte (pagg. 4 e 13 della memoria di costituzione della Regione e avviso di riapertura del termine). 5. Per quanto sin qui esposto, l’appello è fondato e comporta l’annullamento dell’atto impugnato in primo gra-
do e la conseguente riammissione alla gara della parte appellante. 6. L’alterno esito dei giudizi e la consistenza essenzialmente interpretativa delle questioni esaminate giustificano la compensazione delle spese relative ai due gradi di giudizio. …Omissis…
IL COMMENTO
di Elio Guarnaccia Sommario: 1. L’obbligo di utilizzo di strumenti informatici nelle procedure di affidamento di appalti pubblici. – 2. Le piattaforme telematiche di negoziazione ex art. 58 del Codice dei contratti pubblici. – 3. Malfunzionamenti delle piattaforme telematiche: l’evoluzione giurisprudenziale. – 4. Il principio dell’equa ripartizione del rischio tra stazione appaltante ed operatore partecipante alla gara. – 5. Modalità di comunicazione della proroga del termine di partecipazione ai sensi dell’art. 79 comma 5 bis, d.lgs. n. 50 del 2016. – 6. La consacrazione delle comunicazioni telematiche tramite PEC nelle procedure di gara. Il presente contributo prende in esame una delle più recenti, nonché maggiormente significative, pronunce in tema di malfunzionamento delle piattaforme di negoziazione, previste dall’art. 58 del Codice dei contratti pubblici per lo svolgimento in modalità interamente telematica delle gare pubbliche d’appalto. Dopo l’analisi dell’evoluzione giurisprudenziale sull’argomento, con particolare riferimento al principio di equa ripartizione del rischio tra amministrazione e impresa partecipante alla gara, l’Autore evidenzia le questioni affrontate dal Consiglio di Stato, ovvero, la tipologia di malfunzionamento occorsa, le modalità di pubblicazione dell’avviso di proroga dei termini di gara, nonché il sempre più diffuso uso generalizzato della PEC come strumento di comunicazione durante lo svolgimento della gara. The essay focuses on one of the most recent, as well as the most significant, judgements on the issue of malfunctioning of public trading platforms, as per art. 58 of the Code of public contracts for the conduct of public tenders fully by electronic means. After the analysis of the jurisprudential evolution on this subject, with particular reference to the principle of fair risk sharing between the administration and the company participating in the tender, the Author highlights the issues addressed by the Italian Council of State, including the kind of malfunction that occurred, the publication methods’ of the notice of extension of the tender deadlines, as well as the increasingly widespread use of the PEC as a communication tool during the public tender.
1. L’obbligo di utilizzo di strumenti informatici nelle procedure di affidamento di appalti pubblici
L’uso degli strumenti informatici, previsti dal Codice dell’amministrazione digitale di cui al d.lgs. 7 marzo 2005, n. 82 (d’ora in poi anche CAD), anche nello svolgimento delle procedure di gara, è ormai dato acquisito: dal 18 ottobre 2018 è entrato in vigore l’obbligo, previsto dall’art. 40 del Codice dei contratti pubblici di cui al d.lgs. n. 50 del 2016, di effettuare tutte le comunicazioni e gli scambi di informazioni nelle procedure di gara in modalità elettronica. Tale obbligo, imposto dall’art. 22 della direttiva 2014/24/EU, rappresenta solo l’ultimo atto di un processo di digitalizzazione che ha già investito sotto diversi aspetti il settore. Si pensi in particolare ai mercati elettronici della P.A., primo fra tutti in Italia il MePA, il cui utilizzo è obbligatorio per tutti gli acquisti di beni e servizi di valore compreso tra 5.000 e 40.000 euro.
Quanto all’obbligo di comunicazione ex art. 40, d.lgs. n. 50 del 2016, esso deve essere declinato sullo sfondo dell’articolo 52 comma 5 del medesimo Codice dei contratti pubblici, secondo cui in tutte le comunicazioni, le stazioni appaltanti devono garantire l’integrità dei dati, nonché la riservatezza delle domande di partecipazione e delle offerte, che devono conseguentemente essere esaminate “soltanto dopo la scadenza del termine stabilito per la loro presentazione”. Il rimando al CAD, ed agli strumenti informatici da esso previsti, è dunque d’obbligo: si pensi, in particolare, alle caratteristiche di integrità e riservatezza di cui può essere dotato un documento informatico se, rispettivamente, sottoscritto con firma digitale e trasmesso con PEC, anche mediante sistemi di tracciamento del momento di apertura delle buste contenenti la documentazione amministrativa, l’offerta tecnica nonché quella economica. Ed infatti, la giurisprudenza ha chiarito che la previsione dell’invio delle domande di partecipazione alla pubblica gara esclusivamente in forma telematica, in for-
DIRITTO DI INTERNET N. 4/2020
727
GIURISPRUDENZA AMMINISTRATIVA mato PDF con firma digitale, e tramite PEC, esclude la possibilità di manipolare il contenuto delle offerte, una volta pervenute alla stazione appaltante, senza lasciare tracce informatiche (1).
2. Le piattaforme telematiche di negoziazione ex art. 58 del Codice dei contratti pubblici
Nei mesi successivi all’entrata in vigore del suddetto obbligo, stazioni appaltanti e centrali di committenza hanno fatto massiccio ricorso alle procedure telematiche di negoziazione di cui all’art. 58 del Codice dei contratti pubblici (2). Si tratta della possibilità per le stazioni appaltanti di svolgere le procedure di scelta del contraente previste dal Codice dei contratti pubblici (siano esse aperte, ristrette o negoziate, da aggiudicarsi con il criterio del prezzo più basso o dell’offerta economicamente più vantaggiosa) mediante specifici sistemi telematici, piattaforme digitali di e-procurement. Il tutto, secondo l’art. 58 d.lgs. 50 del 2016, nel rispetto delle garanzie di integrità e riservatezza di cui al sopradetto art. 52, nonché “ai sensi della normativa vigente in materia di documento informatico e di firma digitale” contenuta nel CAD. Per tali ragioni, si ritiene che l’uso di piattaforme telematiche conformi al dettato dell’art. 58 Codice dei contratti pubblici, soddisfi il rispetto degli obblighi di comunicazione informatica di cui all’articolo 40 del medesimo decreto legislativo. Ciò, tuttavia, non significa che tali piattaforme telematiche siano condizione necessaria per il rispetto di tale obbligo, cosa che renderebbe indirettamente obbligatorio il ricorso ad esse. Le stazioni appaltanti infatti, possono non ricorrere alle suddette piattaforme telematiche, purché prevedano l’utilizzo degli strumenti informatici previsti dal CAD più idonei alla trasmissione e ricezione della documentazione di gara. Si pensi in particolare al documento informatico per la predisposizione della domanda di partecipazione in forma elettronica o per il DGUE, alla firma digitale per la sottoscrizione di tali documenti, alla PEC per la loro trasmissione nei termini previsti, nonché per l’assolvimento delle richieste di soccorso istruttorio, e più in generale per le comunicazioni con il RUP in corso di gara. Rimangono salve, come ovvio, le ipotesi in cui le piattaforme telematiche sono obbligatorie per legge, come il caso previsto dall’art. 1 comma 450 della l. 27 dicembre 2006, n. 296, secondo cui per gli acquisti di beni e servizi d’importo pari o superiore a 5.000 euro e inferio-
(1) T.a.r. Lombardia, Brescia, 7 febbraio 2019, n. 123, in Foro amm., 2019, 259. (2) Oliverio, Le gare telematiche e la tutela dei principi fondamentali: quale bilanciamento?, in questa Rivista, 2020, 511.
728
DIRITTO DI INTERNET N. 4/2020
re alla soglia di rilievo comunitario, tutte le pubbliche amministrazioni sono tenute a fare ricorso al mercato elettronico della pubblica amministrazione.
3. Malfunzionamenti delle piattaforme telematiche: l’evoluzione giurisprudenziale
Va da sé che le piattaforme telematiche di negoziazione possano subire problemi tecnici, che si ripercuotono sul fisiologico svolgimento della procedura di gara. Il Consiglio di Stato ha originariamente affrontato la questione nel caso di una gara in cui, sebbene a monte la lex specialis consentisse la partecipazione di tutti gli operatori economici abilitati per le categorie OS6 e OG1, in fase di presentazione delle domande, un vizio del sistema telematico della piattaforma MEPA non ha poi effettivamente consentito a tali operatori di prendere parte alla procedura. L’amministrazione appaltante, sollecitata da un parere di precontenzioso ANAC, annullava in autotutela la gara, azzerando la procedura, e così consentendo la più ampia partecipazione prevista dal bando di gara mediante la rinnovazione di essa. I giudici di Palazzo Spada hanno avallato tale decisione della PA, ritenendo legittima la revoca della procedura selettiva che, a causa di problemi tecnici della piattaforma telematica, non ha consentito ad alcuni operatori di partecipare, senza che possa rilevare il fatto che alcune ditte siano riuscite a partecipare alla gara, in ossequio al principio di massima partecipazione alle pubbliche gare, in condizioni di piena parità fra tutte le imprese idonee, ai fini dell’emersione della migliore offerta e dell’ottimale utilizzazione delle risorse pubbliche impiegate (3). In questo senso, con pronunce successive, i giudici di Palazzo Spada hanno chiarito che non può essere escluso dalla gara un concorrente che abbia curato il caricamento della documentazione di gara sulla piattaforma telematica entro l’orario fissato per tale operazione, ma non è riuscito a finalizzare l’invio a causa di un malfunzionamento del sistema, imputabile al gestore (4). Orbene, tale principio è stato richiamato ed adottato anche dalla sentenza oggi in commento. Il C. Stato, con la già menzionata sentenza 7 gennaio 2020, n. 86, cit., ha contestualmente affermato una presunzione di responsabilità della stazione appaltante in caso di malfunzionamento della piattaforma: secondo i giudici amministrativi, quando rimane impossibile accertare la causa della mancata trasmissione della domanda di partecipazione, il pregiudizio ricade sull’ente che bandisce, organizza e gestisce la gara, in quanto ha scelto (3) C. Stato, sez. V, 9 novembre 2018, n. 6323, in DeJure, all’indirizzo <http://www.dejure.it>. (4) C. Stato, sez. V, 20 novembre 2019, n. 7922, e C. Stato, sez. III, 7 gennaio 2020, n. 86, in Giustizia Amministrativa, all’indirizzo <http:// www.giustizia-amministrativa.it>.
GIURISPRUDENZA AMMINISTRATIVA il relativo sistema e ne ha imposto l’utilizzo ai partecipanti. E ciò in quanto le procedure informatiche applicate ai procedimenti amministrativi devono collocarsi in una posizione necessariamente servente rispetto agli stessi, non essendo concepibile che, per problematiche di tipo tecnico non imputabili all’operatore, sia ostacolato l’ordinato svolgimento dell’agire pubblico (5). Tale presunzione di responsabilità dovrebbe, tuttavia, scattare solo dopo aver accertato in concreto, e con il dovuto rigore, la non imputabilità del problema tecnico all’operatore, e ciò mediante la valutazione della sua condotta, attraverso la verifica delle operazioni di data entry, nei registri e nei file di log tenuti dalla stazione appaltante (6). Su questa linea, infatti, è stato pure affermato che l’eventuale “lentezza” della piattaforma, che determina l’allungamento dei tempi di apertura dei file e delle operazioni di upload e di download, non configura un malfunzionamento, non imputabile all’operatore, tale da far scattare la suddetta presunzione di responsabilità della PA, se non sono state riscontrate anomalie o malfunzionamenti del sistema, in quanto la sola dilatazione dei tempi non appare autonomamente idonea a determinare la violazione del principio di assenza di soluzione di continuità nell’espletamento delle fasi di gara (7).
4. Il principio dell’equa ripartizione del rischio tra stazione appaltante ed operatore partecipante alla gara
Ad oggi, dunque, l’orientamento giurisprudenziale maggiormente condiviso nella Giustizia Amministrativa è quello secondo cui, in materia di procedure amministrative telematiche va affermato il principio dell’equa ripartizione, tra soggetto partecipante e amministrazione procedente, del “rischio tecnico” di inidoneo caricamento e trasmissione di dati su piattaforma informatica (“rischio di rete” dovuto alla presenza di sovraccarichi o cali di performance della rete e “rischio tecnologico” dovuto alle caratteristiche di sistemi operativi software utilizzati dagli operatori) secondo criteri di autoresponsabilità dell’utente, su cui grava l’onere di pronta e tempestiva attivazione delle procedure, così da capitalizzare il tempo residuo, con la sola esclusione dei malfunzionamenti del sistema imputabili al gestore (fermi del sistema,
(5) In questo senso, precedentemente, anche T.a.r. Lombardia, Milano, sez. I, 4 marzo 2019 n. 455, e T.a.r. Puglia, Lecce, sez. II, 10 giugno 2019, n. 977, in Giustizia Amministrativa, all’indirizzo <http://www.giustizia-amministrativa.it>. (6) C. Stato, sez. III, ord. 13 febbraio 2020, n. 1162. Si veda anche TRGA Trento, 14 novembre 2019, n. 153, in Giustizia Amministrativa, all’indirizzo <http://www.giustizia-amministrativa.it>. (7) T.a.r. Sicilia, Catania, sez. I, 18 settembre 2019, n. 2206, in Giustizia Amministrativa, all’indirizzo <http://www.giustizia-amministrativa.it>.
mancato rispetto dei livelli di servizio, etc.), per i quali non può che affermarsi la responsabilità del gestore. Le imprese, secondo il C. Stato, non possono dunque accollare tout court alla stazione appaltante i rischi derivanti dall’uso dello strumento informatico, vigendo anche in questo caso le ordinarie regole di suddivisione della responsabilità per attività rischiose (8). L’applicazione di tale principio dell’equa ripartizione del rischio, basandosi evidentemente su una valutazione concreta degli accadimenti di ogni singola fattispecie, può determinare l’accertamento della responsabilità dell’operatore, oppure, al contrario, della stazione appaltante, con conseguente esclusione dalla gara d’appalto nel primo caso, o rimessione in termini nel secondo caso. Quanto alla prima ipotesi, ovvero l’accertamento di responsabilità in capo all’impresa partecipante, è stato affermato dal T.a.r. Lazio che la tardività dell’invio dell’offerta, avvenuta pochi secondi oltre la scadenza inderogabile del termine, è imputabile all’impresa, qualora essa si sia attivata solo a ridosso dell’orario di scadenza, non completando la procedura integrale in tempo utile, in quanto i rallentamenti del sistema, fisiologici in tale tipo di trasmissioni, costituiscono un’evenienza che resta a carico del soggetto partecipante, il quale deve porre in essere le dovute attività strumentali all’adempimento dell’incombente telematico in tempo utile, così premunendosi rispetto a tali inconvenienti (9). Al contrario, in altre ipotesi, come nel caso oggi in commento, i giudici amministrativi hanno sancito la responsabilità della stazione appaltante, con la conseguente proroga o riapertura dei termini di partecipazione alla gara. Oltre alla già menzionata sentenza C. Stato, 7 gennaio 2020, n. 86, cit., si segnala una recente pronuncia del T.a.r. Puglia, secondo cui la registrazione in piattaforma dell’operatore economico, ai fini della partecipazione alla gara, con dieci minuti di ritardo sulla scadenza del termine, non può essere imputabile allo stesso operatore, dal momento che gli interessati hanno dato prova di ben tredici tentativi posti in essere entro il termine di scadenza, e inoltre il sistema ha generato, a termine scaduto, ben quattro buste come esito dei tentativi posti in essere, rivelando un assai probabile malfunzionamento del sistema (10). (8) C. Stato, sez. I, 10 giugno 2019, n. 1673, in Giustizia Amministrativa, all’indirizzo <http://www.giustizia-amministrativa.it>. Si tratta di parere emesso nell’ambito di una procedura di ricorso straordinario al Presidente della Repubblica di cui al d.P.R. 24 novembre 1971, n. 1199. (9) T.a.r. Lazio, Roma, sez. II, 7 febbraio 2020, n. 1710, in l’Amministrativista, all’indirizzo <http://www.lamministrativista.it>. (10) T.a.r. Puglia, Bari, sez. III, 3 aprile 2020, n. 461. Si veda nota a sentenza di D’alessandri, Gare d’appalto telematiche: il rischio del malfunzio-
DIRITTO DI INTERNET N. 4/2020
729
GIURISPRUDENZA AMMINISTRATIVA Quanto alla pronuncia oggi in commento, i Giudici di Palazzo Spada hanno esonerato da ogni responsabilità l’operatore, ritenendo illegittimo l’impugnato diniego alla riapertura dei termini per la presentazione delle offerte, per l’appunto applicando il principio di equa ripartizione del rischio. Ed infatti, il Collegio ha ritenuto irrilevante la difesa della stazione appaltante circa il fatto che non vi sarebbe stato un blocco “totale” del sistema, ma si sarebbero verificate soltanto delle anomalie riscontrate da alcuni operatori economici, e ciò in quanto fu proprio a fronte di dette anomalie che l’impresa partecipante non potè portare a buon fine le operazioni di caricamento entro il termine previsto. Inoltre, riferisce il Collegio giudicante che la stazione appaltante non ha addotto alcun elemento o principio di prova circa il tardivo inserimento dell’offerta da parte dell’operatore, né ha depositato i relativi registri informatici di accesso al sistema.
5. Modalità di comunicazione della proroga del termine di partecipazione ai sensi dell’art. 79 comma 5 bis, d.lgs. n. 50 del 2016
La sentenza in commento affronta anche il tema dell’obbligo di pubblicità della proroga del termine di partecipazione alla gara telematica, in caso di malfunzionamento dei sistemi informatici, e delle modalità con cui la stazione appaltante debba dare notizia di tale proroga, secondo quanto previsto ai sensi dell’art. 79, comma 5-bis, d.lgs. n. 50 del 2016, recante Codice dei contratti pubblici. La norma in questione, come modificata dal d.lgs. 19 aprile 2017, n. 56, per l’ipotesi in cui la stazione appaltante intenda prorogare il termine di ricezione delle offerte in caso di malfunzionamento della piattaforma telematica di negoziazione, ha posto un vero e proprio obbligo di pubblicità “attraverso la tempestiva pubblicazione di apposito avviso presso l’indirizzo internet dove sono accessibili i documenti di gara … nonché attraverso ogni altro strumento che la Stazione appaltante ritenga opportuno” (11). namento della piattaforma ricade sull’ente, in il Quotidiano Giuridico, all’indirizzo <http://www.quotidianogiuridico.it>. (11) Questo il testo integrale dall’art. 79, comma 5-bis, d.lgs. 50 del 2016: “Nel caso di presentazione delle offerte attraverso mezzi di comunicazione elettronici messi a disposizione dalla stazione appaltante ai sensi dell’articolo 52, ivi incluse le piattaforme telematiche di negoziazione, qualora si verifichi un mancato funzionamento o un malfunzionamento di tali mezzi tale da impedire la corretta presentazione delle offerte, la stazione appaltante adotta i necessari provvedimenti al fine di assicurare la regolarità della procedura nel rispetto dei principi di cui all’articolo 30, anche disponendo la sospensione del termine per la ricezione delle offerte per il periodo di tempo necessario a ripristinare il normale funzionamento dei mezzi e la proroga dello stesso per una durata proporzionale alla gravita’ del mancato funzionamento. Nei casi di sospensione e proroga di cui al primo periodo, la stazione appaltante assicura che, fino alla scadenza del termine prorogato, venga mantenuta la segretezza delle offerte inviate e sia
730
DIRITTO DI INTERNET N. 4/2020
Tale previsione, da un lato sancisce un preciso obbligo di pubblicazione in capo alla stazione appaltante dell’avviso di proroga all’indirizzo internet dove sono pubblicati i documenti di gara, dall’altro rimette alla discrezionalità della singola stazione appaltante l’adozione di ulteriori misure di comunicazione di tale proroga. La ratio della norma è certamente quella di assicurare la par condicio tra gli operatori economici, la massima partecipazione alle procedure di gara e la riduzione degli oneri di diligenza in capo agli operatori economici, in ossequio al risalente principio giurisprudenziale secondo cui ogni rettifica riguardante il contenuto di un bando di gara è priva di efficacia nei confronti delle imprese concorrenti, ove non sia portata a conoscenza delle stesse nelle medesime forme attraverso le quali è stata data pubblicità al bando (12). La giurisprudenza fin ora intervenuta nell’interpretazione della norma de qua, ha sempre ritenuto sufficiente, al fine di fornire una efficace comunicazione della proroga, la pubblicazione dell’avviso nella piattaforma telematica utilizzata per lo svolgimento della procedura di negoziazione, corrispondente al luogo in cui sono pubblicati e resi disponibili i documenti di gara, rilevando che nei casi in esame tale pubblicazione potesse consentire agli operatori economici coinvolti di presentare puntualmente la loro offerta, senza alcun pregiudizio (13). La sentenza in commento, invece, sembra essere approdata a posizioni più rigide nell’interpretazione dell’obbligo di pubblicità della proroga del termine di partecipazione di cui all’art. 79 comma 5-bis, Codice dei contratti pubblici. E infatti il Collegio, pur confermando che l’attivazione di iniziative aggiuntive alla sola pubblicazione sul sito internet ricade nell’alveo di una valutazione discrezionale della stazione appaltante, ha chiarito che la scelta dell’amministrazione in relazione alle modalità con cui assolvere all’obbligo di pubblicità della proroga, debba essere posta in essere sulla base dei principi di leale cooperazione e proporzionalità, e quindi nel rispetto dei canoni di buona fede e correttezza, ma soprattutto che tale scelta debba scaturire da un contemperamento tra consentito agli operatori economici che hanno già inviato l’offerta di ritirarla ed eventualmente sostituirla. La pubblicità di tale proroga avviene attraverso la tempestiva pubblicazione di apposito avviso presso l’indirizzo Internet dove sono accessibili i documenti di gara, ai sensi dell’articolo 74, comma 1, nonchè attraverso ogni altro strumento che la stazione appaltante ritenga opportuno. In ogni caso, la stazione appaltante, qualora si verificano malfunzionamenti, ne dà comunicazione all’AGID ai fini dell’applicazione dell’articolo 32-bis del d.lgs. n. 82 del 2005, recante codice dell’amministrazione digitale.”. (12) C. Stato, 23 novembre 2016, n. 4916, in Giustizia Amministrativa, all’indirizzo <http://www.giustizia-amministrativa.it>. (13) T.a.r. Basilicata, Potenza, 9 gennaio 2020, n. 37; nello stesso senso T.a.r. Lazio, Roma, 11 dicembre 2019, n. 14210, in Giustizia Amministrativa, all’indirizzo <http://www.giustizia-amministrativa.it>.
GIURISPRUDENZA AMMINISTRATIVA gli oneri attribuiti agli operatori economici e alla stazione appaltante, nell’ottica della semplificazione. Alla luce di tale interpretazione, il Consiglio di Stato ha rilevato che la mera pubblicazione dell’avviso di proroga sul sito web della stazione appaltante, nel caso in esame, non fosse sufficiente ad assolvere all’onere di pubblicità sancito dalla norma in parola. L’amministrazione, infatti, nell’operare la propria valutazione discrezionale sulla necessità di utilizzare ulteriori forme di comunicazione, avrebbe dovuto tenere in considerazione alcune peculiarità concrete, quali l’esiguità del termine di proroga e la scarsa probabilità che gli operatori economici accedessero in un breve lasso di tempo al sito internet della stazione appaltante. Alla stesso tempo, la stazione appaltante avrebbe comunque dovuto effettuare una valutazione sull’opportunità di inviare anche delle comunicazioni specifiche a ciascuno degli interessati, onde evitare di imporre ai concorrenti degli oneri di diligenza sostanzialmente sproporzionati, tali da condurre alla loro esclusione dalla gara per mancanze facilmente evitabili e, quindi, all’ingiustificata compromissione del principio della massima partecipazione. In questo scenario, l’invio di una comunicazione a mezzo PEC a ciascun operatore economico partecipante sarebbe stata, secondo la sentenza in commento, una soluzione in grado di assicurare la piena conoscenza della proroga, per mezzo di un canale comunicativo il cui utilizzo generalizzato era peraltro espressamente previsto dalla lex specialis.
E infatti, diversamente da quanto ritenuto dal giudice di prime cure, il Consiglio di Stato ha rilevato che l’utilizzo dell’indirizzo di posta elettronica certificata indicata dagli offerenti non riguarda esclusivamente le comunicazioni ex art. 76, comma 5, ma, come previsto dal disciplinare di gara, “tutte le comunicazioni tra stazione appaltante e operatori”. “Non, quindi, una modalità esclusiva delle comunicazioni relative agli esiti della procedura, bensì una generalizzato canale comunicativo, previsto dalla lex specialis, in quanto tale vincolante per ambo le parti in virtù della regola del cd. autovincolo”, precisa la sentenza oggi in commento. La pronuncia, per questa parte, è in linea con precedenti statuizioni di altri giudici amministrativi. Si veda in tal senso il T.a.r. Marche, il quale ha ritenuto che, pur non configurandosi in materia di appalti pubblici un obbligo di utilizzo della PEC per le comunicazioni con gli operatori economici, nell’ambito delle procedure telematiche di negoziazione l’utilizzo della PEC deve ritenersi non solo consentito, ma anche opportuno, al fine di comunicare lo svolgimento delle operazioni, soprattutto se in precedenza utilizzato come canale di comunicazione nel corso della gara (15). Più in particolare, è stato anche affermato che una richiesta di chiarimenti trasmessa dall’amministrazione, può essere inoltrata allo specifico indirizzo PEC a tal fine eletto dall’operatore economico al momento della registrazione o della presentazione della domanda (16).
6. La consacrazione delle comunicazioni telematiche tramite PEC nelle procedure di gara
La PEC, di cui all’art. 48 CAD (d.lgs. n. 82 del 2005), ormai strumento privilegiato di comunicazione telematica in Italia tra pubbliche amministrazioni, imprese e professionisti, è espressamente prescritta dal Codice dei contratti pubblici all’art. 76 commi 5 e 6, quale strumento esclusivo da adottare per le comunicazioni che deve effettuare la stazione appaltante, aventi ad oggetto l’aggiudicazione e le esclusioni della procedura di gara. Tali comunicazioni via PEC sono peraltro rilevanti ai fini del decorso dei termini di impugnazione delle risultanze di gara dinanzi al Giudice Amministrativo (14). La sentenza oggi in commento conferma la legittimità di un uso più esteso della PEC nelle procedure di gara mediante piattaforme telematiche di negoziazione ex 58 del Codice dei contratti pubblici, purché ciò sia previsto dalla lex specialis. (15) T.a.r. Marche, Ancona, 13 settembre 2019, n. 560, in Sentenzeappalti.it, all’indirizzo <http://www.sentenzeappalti.it>. (14) Art. 120 comma 5, d.lgs. 2 luglio 2010, n. 104, recante Codice del processo amministrativo.
(16) T.a.r. Lazio, Roma, 5 dicembre 2019, n. 13915, in Giustizia Amministrativa, all’indirizzo <http://www.giustizia-amministrativa.it>.
DIRITTO DI INTERNET N. 4/2020
731
GIURISPRUDENZA AMMINISTRATIVA
Dinamica procedimentale e strumenti delle gare di appalto telematiche Consiglio di Stato; sezione III; sentenza 28 luglio 2020, n. 4795; Pres. Garofoli, Est. De Berardinis; Dussmann Service S.r.l. (Avv.ti Sciolla, Viale e Sanino) c. A.F.M. Azienda Farmaceutica Municipalizzata di Vercelli (Avv. Dealessi) e Serenissima Ristorazione S.p.A. (Avv.ti Calgaro e Manzi). La maggiore sicurezza nella conservazione dell’integrità delle offerte, la garanzia dell’impossibilità di modificare le offerte stesse e la tracciabilità di ogni operazione compiuta sono i vantaggi propri della gestione telematica delle gare pubbliche. Gli strumenti previsti per la gestione telematica delle gare di appalto (piattaforma di e-procurement, marcatura temporale certificata, firma digitale e p.e.c.) sono idonei ad assicurare efficienza, sicurezza e celerità della procedura, garantendo l’inviolabilità e la segretezza delle offerte e consentendo la corretta partecipazione dei concorrenti. In particolare, l’apposizione della firma digitale e della marcatura temporale (operazione corrispondente alla “chiusura della busta”) conferisce univoca riferibilità e data certa al documento informatico. In una gara telematica l’errata od omessa indicazione del numero seriale della marcatura temporale certificata apposta all’offerta economica, impedendo l’univoca individuazione del documento, integra un’irregolarità essenziale, come tale insuscettibile di sanatoria mediante il soccorso istruttorio e idonea a determinare l’esclusione del concorrente ai sensi dell’art. 83, co. 9, d.lgs. n. 50/2016. L’omessa od erronea indicazione del numero seriale della marcatura temporale apposta al documento, in virtù dei principi di autoresponsabilità e diligenza professionale, non integra una fattispecie di errore scusabile in quanto ciascun operatore deve ritenersi tenuto a dotarsi di personale munito delle competenze informatiche richieste per la cura degli adempimenti descritti dal disciplinare telematico.
DIRITTO Va premesso che, nel caso de quo, l’art. 7 del disciplinare telematico, versato in atti nel giudizio di primo grado, scandiva i seguenti passaggi per la formulazione e la trasmissione telematica dell’offerta economica: a) compilazione dello schema di offerta da parte del concorrente in modalità “off line”, vale a dire direttamente sul computer del concorrente stesso, senza invio di alcun file al sistema (o piattaforma, cioè il server del gestore); b) apposizione della firma digitale sul foglio “excel” debitamente compilato, quindi apposizione della marca temporale certificata entro il termine previsto dalla legge di gara; c) inserimento nel sistema – nello specifico campo della sezione “Offerta economica” – del numero identificativo (numero di serie) della marca temporale apposta precedentemente al file dell’offerta economica firmato digitalmente; d) all’apertura del periodo di “upload” (trasferimento/ caricamento dei dati), trasferimento sul sistema (o piattaforma), da parte del concorrente, del file generato e salvato sul suo computer. Dunque, la procedura oggetto di contenzioso rientrava tra le gare telematiche, le quali – come già ricordato da questa Sezione (3 ottobre 2016, n. 4050) – si caratterizzano rispetto alle tradizionali gare d’appalto per “l’utilizzo di una piattaforma on-line di e-procurement e di strumenti di comunicazione digitali (firma digitale e PEC), che di fatto
rendono l’iter più efficiente, veloce e sicuro rispetto a quello tradizionale, basato sull’invio cartaceo della documentazione e delle offerte. Le fasi di gara seguono una successione temporale che offre garanzia di corretta partecipazione, inviolabilità e segretezza delle offerte: la firma digitale garantisce infatti la certezza del firmatario dell’offerta e la marcatura temporale ne garantisce la data certa di firma e l’univocità della stessa. Attraverso l’apposizione della firma e marcatura temporale, da effettuare inderogabilmente prima del termine perentorio fissato per la partecipazione, e la trasmissione delle offerte esclusivamente durante la successiva fase di finestra temporale, si garantisce la corretta partecipazione e inviolabilità delle offerte. I sistemi provvedono, infatti, alla verifica della validità dei certificati e della data e ora di marcatura: l’affidabilità degli algoritmi di firma digitale e marca temporale garantiscono la sicurezza della fase di invio/ricezione delle offerte in busta chiusa. Nella gara telematica la conservazione dell’offerta è affidata allo stesso concorrente, garantendo che questa non venga, nelle more, modificata proprio attraverso l’imposizione dell’obbligo di firma e marcatura nel termine fissato per la presentazione delle offerte. Firma e marcatura corrispondono alla “chiusura della busta”. Il Timing di gara indica all’impresa non solo il termine ultimo perentorio di “chiusura della busta”, ma anche il periodo e relativo termine ultimo di upload (trasferimento dei dati sul server dell’Azienda appaltante).
DIRITTO DI INTERNET N. 4/2020
733
GIURISPRUDENZA AMMINISTRATIVA Alla chiusura del periodo di upload, le offerte in busta chiusa sono disponibili nel sistema; al momento dell’apertura delle offerte il sistema redige in automatico la graduatoria, tenendo conto anche dei punteggi tecnici attribuiti dalla Commissione, graduatoria che viene pubblicata con l’indicazione delle offerte pervenute, del punteggio tecnico ed economico complessivo attribuito e del miglior prezzo. Inoltre, nessuno degli addetti alla gestione della gara potrà accedere ai documenti dei partecipanti, fino alla data ed all’ora di seduta della gara, specificata in fase di creazione della procedura” (cfr., nello stesso senso, C.d.S., Sez. V, 21 novembre 2017, n. 538; Sez. III, 25 novembre 2016, n. 4990; T.A.R. Emilia Romagna, Bologna, Sez. II, 14 giugno 2017, n. 450). I passi ora riportati del precedente di questa Sezione danno conto dell’infondatezza dei motivi rivolti a censurare l’esclusione di Dussmann dalla procedura: motivi dai quali – per ragioni di opportunità – conviene principiare la disamina e che, per le loro connessioni logiche e giuridiche, è utile trattare congiuntamente. Ed invero, il T.A.R. ha ben evidenziato quale fosse il rischio che la contestata procedura di marcatura temporale (id est: di attribuzione di un protocollo informatico univoco all’offerta economica, al fine di sigillarne e cristallizzarne i contenuti nelle more del suo caricamento o “upload” nel sistema della stazione appaltante) intendeva evitare: quello che un operatore economico predisponesse una pluralità di offerte economiche, firmandole digitalmente ed apponendo, così, una marca temporale a ciascuna di esse, senza, però, inserire nella piattaforma della stazione appaltante – al momento del caricamento in essa della documentazione amministrativa e dell’offerta tecnica – l’esatto numero seriale di alcuna delle offerte predisposte; quindi, dopo averle conservate tutte nel suo computer, procedesse, all’atto di caricare l’offerta economica sulla piattaforma, a scegliere tra di esse l’offerta che a quel momento meglio gli aggradava. La procedura di presentazione delle offerte prevista dalla legge di gara, dunque, ha una sua ragione giustificativa tutt’altro che peregrina, e ciò vale di per sé a confutare le doglianze con cui si contesta che detta procedura sarebbe farraginosa ed artificiosa e violerebbe i principi di semplificazione e di efficacia, oltre che quelli del legittimo affidamento dei concorrenti e di proporzionalità, nonché quelli di massima concorrenza e partecipazione alle gare. La circostanza che si tratti di una procedura complessa – alla cui osservanza, peraltro, sono chiamati operatori qualificati (v.infra) – nulla toglie al fatto che con detta procedura la lex specialis persegue il fine – conforme alla legge – della garanzia della presentazione di offerte inviolabili, immodificabili ed univoche (C.d.S., Sez. III, n. 4050/2016, cit.).
734
DIRITTO DI INTERNET N. 4/2020
È, infatti, evidente che, in difetto dell’esatta indicazione del numero seriale di marcatura temporale, l’offerta economica del concorrente (qui: l’offerta di Dussmann) risulti affetta da un vizio radicale, non essendo la stessa neppure univocamente identificabile: con il ché, si supera anche il motivo basato sulla violazione del principio di tassatività delle cause di esclusione, dovendo rinvenirsi la norma di legge che in ipotesi del genere impone l’esclusione del concorrente nell’art. 83, comma 9, del Codice, lì dove prevede l’impossibilità del soccorso istruttorio per sanare le irregolarità essenziali dell’offerta economica (cfr., ex multis, C.d.S., Sez. V, 27 gennaio 2020 n. 680; Sez. VI, 9 aprile 2019, n. 2344; C.G.A.R.S., Sez. Giur., 5 novembre 2018, n. 701); e nel caso in esame ci si trova certamente dinanzi ad un’irregolarità essenziale dell’offerta economica, poiché essa è tale da non consentire neppure di identificare l’offerta medesima. La maggiore sicurezza nella conservazione dell’integrità delle offerte, la garanzia dell’impossibilità di modificare le offerte stesse, la tracciabilità di ogni operazione compiuta sono, dunque, i vantaggi propri della gestione telematica delle gare pubbliche (C.d.S., Sez. V, n. 5388/2017; cit.; Sez. III, nn. 4990/2016 e 4050/2016, citt.) che nel caso di specie hanno giustificato l’utilizzo, da parte dell’A.F.M. di Vercelli, dell’iter procedurale descritto dall’art. 7 del disciplinare telematico, cosicché sono prive di fondamento le censure sollevate da Dussmann avverso tale iter. Non coglie nel segno nemmeno la doglianza per cui sarebbe illegittimo porre a carico del concorrente l’obbligo di conservare l’offerta economica, essendo agevole obiettare, sul punto, che trattasi di una previsione della legge di gara che avrebbe dovuto essere immediatamente impugnata, ove si fosse ritenuto che la stessa rendesse troppo difficoltosa la partecipazione alla gara, ovvero gravasse la ditta concorrente di un obbligo contra jus (cfr., ex plurimis, C.d.S., A.P., 26 aprile 2018, n. 4; Sez. V, 21 febbraio 2020, n. 1329, 25 novembre 2019, n. 8014 e 18 luglio 2019, n. 5057; Sez. III, 1° giugno 2018, n. 3299). Peraltro, nel contestare la propria esclusione dalla gara l’appellante incorre nel fraintendimento di un passaggio della sentenza impugnata. Questa, infatti, nel parlare di radicalità del vizio dell’offerta, nemmeno univocamente identificabile, riferisce la mancanza di univoca identificabilità all’offerta: è detta mancanza, cioè, il vizio radicale. Dussmann, invece, sostiene inverosimilmente che l’attributo della non identificabilità riguardi il vizio – nel senso che il vizio dell’offerta non sarebbe identificabile univocamente – e ne trae argomento per tacciare la sentenza di essere sul punto contraddittoria e priva di motivazione. Ma la doglianza è il frutto di un equivoco e non può, perciò, essere in alcun modo condivisa.
GIURISPRUDENZA AMMINISTRATIVA Altrettanto non condivisibile – ed anzi pretestuosa – è la tesi che l’errore commesso sarebbe scusabile perché Dussmann non sarebbe un operatore esperto del settore informatico: sul punto vanno, infatti, richiamati i principi di autoresponsabilità e di diligenza professionale connessi alla partecipazione di un operatore economico ad una procedura di affidamento di contratti pubblici (cfr. C.d.S., Sez. V, 12 marzo 2020, n. 1780, 5 giugno 2018, n. 3384, 7 novembre 2016, n. 4645 e 15 febbraio 2016, n. 627: sul principio di autoresponsabilità v. subito infra). Del pari, è pretestuoso sostenere che la sentenza appellata, lì dove sottolinea i rischi che il sistema di marcatura temporale è rivolto a scongiurare, ipotizzerebbe condotte patologiche e quasi criminose, che non sarebbe giusto porre a carico della concorrente. Si è già visto, infatti, che il T.A.R. delinea, in risposta a una specifica censura di Dussmann, le ragioni per cui il sistema di marcatura approntato dalla stazione appaltante non è un’inutile complicazione procedurale, ma anzi è ragionevole, fornendo esso maggiori garanzie di intangibilità delle offerte. Ovviamente, trattandosi di vizio dell’offerta economica, per esso – come già detto – l’art. 83, comma 9, del Codice non consentiva l’esperimento del soccorso istruttorio, cosicché anche la doglianza di difetto di istruttoria, per la mancata concessione alla ditta della possibilità di “regolarizzare” il numero seriale in un momento anteriore all’apertura delle buste, è priva di fondamento. Sul punto va precisato che, secondo la giurisprudenza, il rimedio del soccorso istruttorio è volto sì a dare rilievo ai principi del favor participationis e della semplificazione, all’interno, però, di limiti rigorosamente determinati, come quello discendente dal principio generale dell’autoresponsabilità dei concorrenti, secondo cui ciascuno di essi sopporta le conseguenze degli eventuali errori commessi nella formulazione dell’offerta e nella presentazione della documentazione: “nelle gare pubbliche la radicalità del vizio dell’offerta non consente l’esercizio del soccorso istruttorio che va contemperato con il principio della parità tra i concorrenti, anche alla luce dell’altrettanto generale principio dell’autoresponsabilità dei concorrenti” (C.d.S., Sez. V, nn. 4645/2016 e 627/2016, citt.).
In particolare, nel caso de quo quello in cui è incorsa Dussmann non è per nulla – contrariamente a quanto la società stessa sostiene – un errore materiale o refuso, riconoscibile ictu oculi e rettificabile a seguito dell’intervento della stazione appaltante. L’errore materiale, infatti, “consiste in una fortuita divergenza fra il giudizio e la sua espressione letterale, cagionata da mera svista o disattenzione nella redazione dell’offerta che deve emergere ictu oculi”. Insomma, “l’errore materiale non esige alcuna attività correttiva del giudizio, che deve restare invariato, dovendosi semplicemente modificare il testo in una sua parte, per consentire di riallineare in toto l’esposizione del giudizio alla sua manifestazione” (v. C.d.S., Sez. V, n. 627/2016, cit.). Ma quello in cui è incorsa l’appellante è, invece, un errore concettuale. Infatti, è la stessa Dussmann ad affermare nell’appello di aver inserito il codice “125” per esprimere il “numero di serie della marcatura temporale”, richiesto dal disciplinare telematico, poiché “125” è il primo dato numerico che nel certificato di firma è denominato come “seriale”. L’errore è, dunque, consistito nell’avere inteso per “numero di serie della marcatura temporale” il primo dato numerico definito “seriale” nel certificato di firma. A questo riguardo, l’appellante torna ad invocare la scusabilità dell’errore commesso, anche in virtù del fatto che solamente nel giorno stesso di scadenza del termine per il trasferimento sul server della documentazione amministrativa e tecnica e del “codice seriale della marcatura temporale apposta”, la stazione appaltante ha chiarito il significato di tale ultimo concetto. Ma neppure sotto questo profilo la tesi della scusabilità dell’errore convince, poiché i già richiamati principi di autoresponsabilità e di diligenza professionale fanno ritenere che Dussmann dovesse dotarsi di personale munito di adeguate conoscenze informatiche e, perciò, in grado di comprendere il significato del concetto in questione e di curare gli adempimenti descritti dall’art. 7 del disciplinare telematico. In definitiva, dunque, l’esclusione di Dussmann dalla gara si rivela legittima e immune dalle censure contenute nell’atto di appello.
DIRITTO DI INTERNET N. 4/2020
735
GIURISPRUDENZA AMMINISTRATIVA
IL COMMENTO
di Andrea Sterlicchio De Carli Sommario: 1. Il caso di specie. – 2. Omessa apposizione della marcatura temporale, ragionevolezza della lex specialis e disciplina dell’errore scusabile. – 3. Il sistema della gara telematica. – 4. I vantaggi della gestione telematica delle gare di appalto nella giurisprudenza. Il presente contributo esamina una fattispecie relativa all’indizione di una gara pubblica gestita attraverso una piattaforma di e-procurement e con modalità di redazione e trasmissione della documentazione esclusivamente telematiche, mediante i sistemi della marcatura temporale certificata e della firma digitale. La sentenza in commento conclude per la piena legittimità della procedura e, nel respingere il ricorso, ripercorre brevemente la disciplina delle gare telematiche evidenziandone in particolare le caratteristiche che depongono in favore dello strumento digitale, consolidando l’orientamento giurisprudenziale che, a più riprese, ha espresso apertamente il netto favor ordinamentale per lo strumento telematico, ritenuto idoneo ad assicurare il rispetto dei canoni di economicità, efficienza, trasparenza e massima partecipazione degli operatori economici interessati e per ciò qualificato come best practice del settore. The essay examines a case concerning a public tender managed through an e-procurement platform and with telematic form of writing and transmission of documentation, through the systems of certified timestamp and digital signature. The commented decision concludes for the full legitimacy of the procedure and, in rejecting the appeal, briefly retraces the discipline of the telematic tenders highlighting, in particular, the characteristics that lay in favor of the digital instrument, consolidating the jurisprudential case-law that, on several occasions, has openly expressed the preference for the telematic instrument, considered more suitable to ensure compliance with the canons of cost-effectiveness, efficiency, transparency and maximum participation of economic operators concerned, and for this qualified as best practice in the sector.
1. Il caso di specie
L’occasione della pronuncia in commento è rappresentata da una controversia avente ad oggetto l’impugnazione del provvedimento di esclusione (e la conseguente aggiudicazione alla controinteressata) da una procedura per l’affidamento del servizio di ristorazione scolastica condotta secondo le modalità della “gara telematica”. Il disciplinare di gara prevedeva, infatti, la predisposizione delle offerte con modalità esclusivamente telematiche e, in particolare, tramite il sistema della marcatura temporale certificata e della firma digitale. In particolare, con riferimento all’offerta economica, era richiesta la predisposizione, in modalità offline, dello schema di offerta, munito di firma digitale e marcatura temporale certificata, entro il termine previsto dalla lex specialis e la comunicazione, all’atto del deposito dell’offerta tecnica, del numero di serie della marca temporale attribuita a quest’ultimo file, che rimaneva in custodia presso il server del concorrente. Solo in un secondo momento, all’apertura della fase di upload, ciascun operatore avrebbe dovuto depositare l’offerta economica così predisposta. Al riguardo, peraltro, il disciplinare telematico prevedeva, tra le cause di esclusione relative all’offerta economica, l’omesso caricamento del numero di marcatura temporale ovvero la non coincidenza tra quello precedentemente comunicato e quello effettivamente risultante nel certificato telematico del documento. Alla procedura partecipavano la ricorrente e la controinteressata. Ciascuno dei due operatori provvedeva a depositare, nei termini e secondo le modalità previste, la documenta-
736
DIRITTO DI INTERNET N. 4/2020
zione di gara; tuttavia, la ricorrente, dopo aver predisposto e “sigillato” la propria offerta economica, all’atto del deposito dell’offerta tecnica, indicava quale numero di serie della marcatura temporale il codice “125”. Provvedeva poi al deposito anche di questa ultima che, tuttavia, recava un numero di serie diverso da quello erroneamente indicato. All’esito della seduta per la valutazione delle offerte economiche, la Stazione Appaltante procedeva dunque ad escludere la ricorrente e, per l’effetto, dichiarata congrua l’offerta della controinteressata, provvedeva ad aggiudicare l’appalto in favore di quest’ultima. La determina veniva poi recepita dal Consiglio di amministrazione della stazione appaltante, che autorizzava la conseguente stipula del contratto in favore dell’aggiudicataria. Avverso i suddetti provvedimenti proponeva quindi ricorso l’operatrice esclusa, articolando due gruppi di motivi. In primo luogo, censurava le modalità di gestione della procedura di gara in quanto asseritamente aggravata da passaggi irragionevolmente complessi (quali l’operazione di caricamento ex post dell’offerta economica), ritenendo con ciò leso il principio del favor partecipationis, e per avere previsto una causa di esclusione – l’erronea indicazione della marcatura temporale – ultronea rispetto a quelle tassativamente previste dalla legge. Il secondo gruppo di censure si fondava poi sulla asserita mancanza, in capo all’aggiudicataria, dei requisiti prescritti nel disciplinare di gara per l’esecuzione delle prestazioni secondarie (progettazione e manutenzione del centro cottura) e, segnatamente, sul mancato posses-
GIURISPRUDENZA AMMINISTRATIVA so della prescritta SOA, nonché sulla ritenuta presentazione di dichiarazioni non veritiere circa le condanne penali degli amministratori della società. In disparte quest’ultimo ordine di motivi, ritenuti, quanto ai primi, inammissibili per avere la ricorrente omesso di dedurre alcunché sull’alternativo possesso dei requisiti di cui all’art. 90, co. 1, d.P.R. n. 207/2010 e, comunque, infondati in ragione della dichiarata intenzione dell’aggiudicataria di subappaltare le prestazioni secondarie, nonché, quanto ai secondi, infondati in quanto smentiti dalle emergenze documentali, occorre prendere in esame il primo gruppo di censure. L’aspetto della pronuncia in esame che in questa sede interessa, infatti, è rappresentato dalle considerazioni svolte dal Collegio in merito alla gestione telematica delle procedure di affidamento e, segnatamente, alle caratteristiche tecniche degli strumenti digitali previsti per la presentazione della documentazione di gara. In particolare, il Consiglio di Stato ha ribadito che, nel dichiarato favore espresso dall’ordinamento, nazionale e sovranazionale, per la gestione telematica delle procedure – indice di maggiore trasparenza, affidabilità ed economicità degli affidamenti – la previsione degli strumenti telematici descritti deve ritenersi legittima in quanto adeguata e ragionevole. In merito ai vizi dedotti, peraltro, è stato affermato che l’errata indicazione del numero di marcatura temporale, da un lato, integra un vizio essenziale dell’offerta che, come tale, è insuscettibile di sanatoria mediante soccorso istruttorio e, dall’altro, rappresenta un radicale impedimento ad identificare l’offerta medesima che, in virtù dei principi di autoresponsabilità e diligenza professionale, non è riconducibile nell’alveo dell’errore scusabile.
2. Omessa apposizione della marcatura temporale, ragionevolezza della lex specialis e disciplina dell’errore scusabile
Le specifiche questioni esaminate dal Giudice amministrativo vertono, in particolare, sulla portata degli obblighi di predisposizione della documentazione telematica – e, segnatamente, della previsione dell’apposizione della marcatura temporale certificata all’offerta economica – anche dal punto di vista della scusabilità dell’errore commesso dall’operatore nel suo confezionamento. Al riguardo, è stato chiarito che la previsione della gestione interamente telematica della procedura, lungi dal rappresentare un elemento di irragionevole aggravio procedimentale, costituisce l’estrinsecazione di criteri di certezza ed affidabilità e rappresenta pertanto una pratica ragionevole ed adeguata. La previsione dell’obbligo di confezionamento digitale dell’offerta economica mediante apposizione della marcatura temporale certificata e della speculare indicazione,
all’atto della presentazione della documentazione tecnica, del numero seriale della marcatura attribuita, costituiscono garanzie di presentazione di offerte inviolabili, immodificabili ed univoche la cui inosservanza rappresenta un vizio essenziale dell’offerta economica, come tale sottratto dal beneficio del soccorso istruttorio. Ha chiarito il Collegio, infatti, che l’omessa o errata indicazione del numero seriale della marcatura temporale non rappresenta una mera omissione materiale ma integra un vizio idoneo a pregiudicare inemendabilmente il documento informatico, che non può nemmeno essere riferito univocamente all’operatore economico. Conseguentemente, ai sensi dell’art. 83, co. 9, c.c.p., il vizio non è suscettibile di sanatoria mediante soccorso istruttorio. È noto, infatti, che l’istituto del soccorso istruttorio, introdotto al fine di evitare che carenze meramente formali potessero determinare l’esclusione di un partecipante, ledendo il principio del favor partecipationis, incontra tuttavia il limite sostanziale del rispetto del canone di autoresponsabilità dei partecipanti e della par condicio competitorum, che verrebbero lesi da una indiscriminata facoltà di emendare la documentazione prodotta. Nemmeno l’errore scusabile è stato ritenuto sussistente. Al riguardo, infatti, il Giudice ha chiarito l’insussistenza dei presupposti per la configurabilità dell’errore scusabile: l’omissione commessa dalla ricorrente, infatti, è stata ricondotta al genus dell’errore concettuale – contrapposto all’errore materiale suscettibile di soccorso istruttorio – imputabile alla contravvenzione dei principi di autoresponsabilità e di diligenza professionale cui consegue il dovere di ciascun operatore di dotarsi degli strumenti e delle competenze adeguate ad assolvere agli adempimenti prescritti dal disciplinare telematico. In altre parole, a parere del Collegio, non si è trattato di una fortuita divergenza tra il voluto ed il realizzato, dipesa da una mera svista o disattenzione percepibile ictu oculi, ma di un vero e proprio errore concettuale consistito nell’avere frainteso la richiesta della stazione appaltante, a nulla rilevando la circostanza della pubblicazione di chiarimenti in ordine a tale requisito dell’offerta, dovendosi presumere da ciascun partecipante il possesso di conoscenze informatiche sufficienti a comprendere gli elementi richiesti dalla lex specialis.
3. Il sistema della gara telematica
L’assetto ordinamentale vigente, emanazione delle note direttive eurounitarie del 2014, ha segnato una chiara inversione di tendenza nel senso di promuovere l’informatizzazione delle procedure di gara sotto svariati profili, perseguendo gli obiettivi comuni compendiati, dapprima, nel Libro verde sull’estensione dell’uso degli appalti elettronici nell’UE e costantemente implementati in sede sovranazionale.
DIRITTO DI INTERNET N. 4/2020
737
GIURISPRUDENZA AMMINISTRATIVA In particolare, con la risoluzione sul piano d’azione dell’UE per l’eGovernment 2016-2020, il Parlamento europeo ha espressamente invitato gli Stati membri «a promuovere e utilizzare gli appalti pubblici elettronici per l’acquisto di forniture e servizi o per l’aggiudicazione di appalti di lavori pubblici, rendendo così la spesa pubblica più trasparente ed efficiente, con una conseguente riduzione dei costi e della burocrazia» (1) e successivamente, con risoluzione sulla strategia in materia di appalti pubblici del 2018, auspicando un’accelerazione nell’adozione di tecnologie digitali da applicare al settore, ha nuovamente chiamato gli Stati membri a «garantire una rapida trasformazione digitale delle procedure e l’introduzione di processi elettronici per tutte le fasi salienti» (2). Dello stesso tenore, anche la comunicazione della Commissione «Appalti pubblici in Europa e per l’Europa» ha inteso incentivare la transizione digitale del settore degli appalti, auspicando una maggiore diffusione degli strumenti telematici e la condivisione ed implementazione dei livelli di innovazione raggiunti dagli Stati membri (3). Nel solco dei descritti orientamenti dell’ordinamento sovranazionale, il Codice dei contratti pubblici ha declinato gli obiettivi di digitalizzazione sotto diverse forme prevedendo non solo una disciplina delle comunicazioni telematiche, ma anche con riguardo alla gestione di taluni segmenti procedimentali, ovvero mediante la previsione dello svolgimento dell’intera procedura, attraverso piattaforme telematiche di negoziazione e con strumenti partecipativi esclusivamente informatici. (c.d. e-procurement). Questa ultima modalità, in particolare, è disciplinata dall’art. 58, c.c.p., adottato in attuazione della delega di cui all’art. 1, co. 1, lett. ooo), l. n. 11/2016 mediante il quale al legislatore delegato è stata mandata, appunto, l’introduzione di «procedure interamente telematiche d’acquisto». In virtù di tale disposizione, le stazioni appaltanti, senza alterare la parità di accesso agli operatori o impedire, limitare o distorcere la concorrenza o modificare l’oggetto dell’appalto, possono optare per la gestione dell’intera procedura di gara tramite piattaforme di e-procure-
(1) Cfr. Risoluzione del Parlamento europeo del 16 maggio 2017 sul piano d’azione dell’UE per l’eGovernment 2016-2020 (2016/2273(INI)). (2) Cfr. Risoluzione del Parlamento europeo del 4 ottobre 2018 sul pacchetto sulla strategia in materia di appalti pubblici (2017/2278/ (INI)). (3) Cfr. Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni recante «Appalti pubblici efficaci in Europa e per l’Europa» (COM(2017) 572 final).
738
DIRITTO DI INTERNET N. 4/2020
ment (4), mediante la presentazione di un’unica offerta ovvero nella forma dell’asta telematica. In entrambi i casi, il sistema telematico attribuisce a ciascun partecipante un userID, predisponendo un sistema di notificazione automatica del corretto recepimento delle offerte. Nel caso di procedura gestita tramite la presentazione delle offerte, è prevista una scansione temporale suddivisa in due momenti. Il primo, entro il quale ciascun operatore deve provvedere alla trasmissione dello schema di offerta tecnica e del numero seriale della marcatura temporale attribuito all’offerta economica, che resta tuttavia conservata (pur “sigillata” dalla marca e firmata digitalmente) presso il server del concorrente. Il secondo, coincidente con il termine della gara, entro il quale gli operatori debbono procedere all’upload dell’offerta economica precedentemente confezionata. Successivamente, accertata la regolarità formale della documentazione e, in particolare, la validità dei certificati di firma e marcatura nonché la coincidenza tra l’offerta economica depositata ed il codice univoco precedentemente comunicato, il sistema procede alla formazione automatica della graduatoria tenendo conto dei punteggi attribuiti dalla commissione di gara. La normativa di rango primario non disciplina analiticamente le caratteristiche tecniche dei sistemi di e-procurement. Tale funzione, in linea con l’obiettivo di digitalizzazione delle procedure di tutti i contratti pubblici di cui all’art. 44, c.c.p. e nelle more della definizione del piano nazionale in tema di procedure telematiche cui all’art. 212 (5), co. 1, lett. d), c.c.p., è stata demandata dall’art. 58, co. 10, c.c.p. all’Agenzia per l’Italia Digitale, cui è stata affidata l’emanazione delle «regole tecniche aggiuntive per garantire il colloquio e la condivisione dei dati tra i sistemi telematici di acquisto e di negoziazione». La disposizione è stata attuata con la circolare AGID n. 3 del 6 dicembre 2016, i cui destinatari sono le stazioni appaltanti, le centrali di committenza, i soggetti aggregatori e i prestatori di servizi, gli operatori economici, i soggetti istituzionali gestori di servizi, piattaforme e banche dati coinvolti nel processo di acquisto e nego-
(4) Le specifiche tecniche dei sistemi informatici di gestione delle gare sono state definite con la circolare n. 3/2016 dell’Agenzia per l’Italia Digitale recante «Regole tecniche aggiuntive per garantire il colloquio e la condivisione dei dati tra i sistemi telematici di acquisto e di negoziazione». (5) Disposizione istitutiva della Cabina di regia per la cooperazione con la Commissione europea per l’applicazione della normativa in materia di appalti pubblici e di concessioni e per l’adempimento degli obblighi di assistenza e cooperazione reciproca tra gli Stati membri cui è stato affidato, tra gli altri, il compito di «promuovere la realizzazione, in collaborazione con i soggetti competenti, di un piano nazionale in tema di procedure telematiche di acquisto, al fine della diffusione dell’utilizzo degli strumenti informatici e della digitalizzazione delle fasi del processo di acquisto».
GIURISPRUDENZA AMMINISTRATIVA ziazione, i Registri pubblici nazionali nonché i soggetti che erogano servizi di aggregazione di dati suscettibili di essere coinvolti nel processo di acquisto e negoziazione.
4. I vantaggi della gestione telematica delle gare di appalto nella giurisprudenza
Il favor espresso a livello ordinamentale, sovranazionale e nazionale, si riverbera anche in numerose pronunce giurisprudenziali che valorizzano la gestione telematica delle procedure di affidamento in ragione dei benefici diretti ed indiretti derivanti dall’informatizzazione delle modalità di indizione, partecipazione ed aggiudicazione della gara (6). Tra gli elementi di maggiore rilevanza, la giurisprudenza ha individuato, in particolare, la garanzia di sicurezza della conservazione dell’integrità delle offerte derivante dalla previsione della gestione automatica ed informatizzata di ogni fase di gara, idonea ad assicurare, al contempo, l’immodificabilità delle offerte e la piena tracciabilità dell’intera procedura e delle relative fasi, così escludendo in radice la possibilità di alterazione della documentazione (7) e consentendo inoltre la totale elisione della fase pubblica di apertura delle offerte (8). La modalità telematica, inoltre, garantendo la semplificazione dell’accesso alle procedure, assicura anche la massima partecipazione degli operatori, consentendo loro di prendervi parte con maggiore facilità e garantendo anche la possibilità di monitorare gli eventuali malfunzionamenti del sistema, garantendo la possibilità di porvi rimedio, qualora abbiano recato pregiudizio ai partecipanti. A quest’ultimo proposito, si segnala che l’ordinamento tutela i partecipanti dai possibili eventi accidentali di malfunzionamento della piattaforma telematica cui possa conseguire, per cause a loro non imputabili, ritardi od omissioni nella presentazione della documentazione. Al riguardo, infatti, la giurisprudenza ha chiarito che, nel caso di malfunzionamenti del sistema imputabili esclusivamente al gestore ovvero qualora rimanga impossibile stabilire con certezza se vi sia stato un errore da parte del trasmittente o a carico del sistema telematico, la stazione appaltante è tenuta a porvi rimedio, se del
caso, anche mediante rimessione in termini dell’operatore e, comunque, assicurando che da ciò non derivi alcun pregiudizio ai partecipanti (9), pur ribadendo, in ogni caso, il principio di equa ripartizione del rischio tecnico, cui discende il dovere per ciascun operatore di adottare una particolare diligenza nella trasmissione degli atti di gara, provvedendovi con solerte anticipo al fine di scongiurare la possibilità di un sovraccarico del sistema, anche in considerazione della possibilità di procedere agevolmente, facendo ricorso alla propria postazione informatica (10).
(6) Cfr., ex multis, Cons. St., Sez. III, sent. n. 7039/2018. (7) Cfr. Cons. St., Sez. V, sent. n. 5388/2018. (8) La giurisprudenza, al riguardo, ha chiarito che il principio di pubblicità delle sedute deve essere esaminato alla luce delle specificità che l’evoluzione tecnologica ha messo a disposizione delle procedure di gara, idonee ad assicurare l’intangibilità del contenuto delle offerte e la totale tracciabilità di ogni fase della gara senza alcuna possibilità di alterazioni. Tali circostanze consentono dunque l’elisione della fase pubblica di apertura delle offerte. Cfr., ex multis, Cons. St., Sez. III, sent. n. 4990/2016, T.a.r. Lazio-Roma, Sez. III-quater, sent. n. 12601/2017, T.a.r. Lombardia-Milano, Sez. IV, sent. n. 2016/2019.
(9) Cfr. Cons. St., Sez. III, sent. n. 86/2020. (10) Così T.a.r. Lazio-Roma, Sez. II, sent. n. 1710/2020.
DIRITTO DI INTERNET N. 4/2020
739
PRASSI
Diffusione COVID-19: il trade-off tra contact tracing e trattamento dei dati personali degli individui di Alessia del Pizzo e Fabrizio Corona Sommario: 1. Le ICT nei processi di contenimento del virus SARS-CoV-2. - 2. Dal Contact tracing manuale al digitale: quali problemi per la privacy. - 3. La scelta italiana: app Immuni. - 4. Profili tecnico-giuridici di Immuni. - 5. Conclusioni. Nell’articolo si analizza la strategia messa in atto dal Governo per contrastare e contenere la diffusione del contagio da covid-19, focalizzando l’attenzione sull’implementazione di soluzioni c.d. di contact tracing, particolarmente invasive in termini di privacy degli individui. Nel corso del lavoro, si offrirà una panoramica delle varie iniziative intraprese, basate sull’analisi di big data e tecnologie ICT, allo scopo di tracciare gli spostamenti e ridurre la catena dei contagi. Inoltre, partendo dalle recenti considerazione del Garante per la protezione dei dati personali e dal Comitato europeo per la protezione dei dati personali, saranno fornite soluzioni atte a conciliare i diversi interessi in gioco, salute e protezione dei dati. The article analyzes the strategy implemented by the Government to counter and contain the covid-19. In the course of the work, it will be offered an overview of the various initiatives undertaken, based on the analysis of big data and ICT technologies, in order to track the movements and reduce the chain of infection.Starting from the recent considerations of the Data Protection Supervisor and the European Data Protection Board, solutions will be provided to balance the different interests at stake, health and data protection.
1. Le ICT nei processi di contenimento del virus SARS-COV-2
La storia insegna che le grandi scoperte scientifiche e tecnologiche sono la risposta della società ai grandi eventi traumatici che la colpiscono, quali guerre, rivoluzioni, epidemie e catastrofi. In particolare, le epidemie sono tra gli accadimenti con maggiore potenza di trasformazione nella storia umana, poiché richiedono l’elaborazione, in tempi brevi, di una strategia di risposta capace di mitigarne l’impatto sia in termini di salute che di perdite economiche. Invero, nel mondo globalizzato le malattie infettive faticano a rimanere circoscritte a una determinata area geografica, propagandosi velocemente nel globo terrestre e assumendo, dunque, la classificazione di “pandemie”. (1) Da quando, il 30 gennaio 2020, l’Organizzazione mondiale della sanità (Oms) ha dichiarato “emergenza sanitaria pubblica di interesse internazionale” per i rischi connessi al contagio da SARS-CoV-2 (in seguito anche “Coronavirus” o “COVID-19”), si è resa necessaria una risposta coordinata a livello globale, fatta da azioni concrete di contrasto e di contenimento della diffusione del virus. (*) §§ 1, 2, sono redatti da Fabrizio Corona. §§ 3, 4, sono redatti da Alessia Del Pizzo. Il § 5 è frutto delle considerazioni comuni. (1) Approfondimenti in La pandemia aggredisce anche il diritto?, in <www. giustiziainsieme.it>.
In Italia, dal 31 gennaio 2020, data in cui il Consiglio dei ministri ha dichiarato lo stato di emergenza sanitaria per sei mesi (pertanto fino al 31 luglio 2020, poi successivamente prorogato fino al 15 ottobre 2020, con delibera del Consiglio dei Ministri adottata il 29 luglio 2020 ed infine prorogato fino al 31 gennaio 2021 con DPCM del 7 settembre 2020), si sono susseguiti vari interventi normativi atti a limitare l’insorgenza di patologie derivanti da agenti virali trasmissibili. In particolare, la prima fase della strategia messa in atto dal Governo, al fine di evitare picchi epidemici, che avrebbero portato al collasso il già provato sistema sanitario nazionale, si è fondata sul c.d. lockdown, ossia restrizioni agli spostamenti (dapprima su specifiche parti del territorio nazionale e, successivamente, sulla totalità di esso) e graduale stop al sistema produttivo italiano, salvo alcune eccezioni. La primaria necessità di contenere e contrastare i rischi sanitari derivanti dalla diffusione del COVID-19, dunque, ha creato i presupposti affinché fosse possibile mettere in standby alcune libertà fondamentali, inviolabili, irrinunciabili e indisponibili, costituzionalmente garantite, quali, tra gli altri: la libertà di circolare e soggiornare liberamente in qualsiasi parte del territorio nazionale (art.16); la libertà di riunirsi, anche in luogo aperto al pubblico, senza necessità di preavviso (art. 17). L’ordine rivolto a tutti i cittadini di “restare a casa” ha determinato: città deserte, comuni isolati, scuole e uffici chiusi, supermercati svuotati, eventi pubblici e manife-
DIRITTO DI INTERNET N. 4/2020
741
PRASSI stazioni cancellate. Gli spostamenti, infatti, potevano avvenire soltanto se motivati da comprovate esigenze lavorative, situazioni di necessità, motivi di salute o rientro presso la propria abitazione, di cui era necessario dare menzione nell’apposito modulo di autocertificazione. Tuttavia, il direttore dell’Oms, Tedros Adhanom Ghebreyesus, già il 16 marzo 2020, ha evidenziato come le mere misure di distanziamento sociale, non siano da sole idonee ad arginare il virus, rendendo, come mai prima d’ora, urgenti “test, isolamento e tracciamento dei contatti”, che sono la vera “spina dorsale della risposta al COVID-19”. In questo senso, un concreto aiuto ai governi è offerto dai big data e dalle Information and Communication Technology (di seguito anche “ICT”) disponibili sul mercato, che meglio possono delineare le mappe del contagio (fornendo un’anteprima di quella che sarà la diffusione del virus su un territorio nazionale), consentendo, da un lato, di limitare gli spostamenti di coloro che, in modo inconsapevole, sono venuti a contatto con soggetti malati e, dall’altro, di adottare le opportune misure di contrasto. Queste soluzioni c.d. di contact tracing possono contribuire a frenare la moltiplicazione esponenziale del virus. Invero, nazioni come Corea del Sud, Taiwan, Hong Kong e Singapore hanno fondato le loro strategie di contenimento del COVID-19, proprio sulle tecnologie di tracciamento, geolocalizzazione, aggregazione e analisi dei dati, ottenendo risultati incoraggianti. Il governo sudcoreano, ad esempio, ha iniziato ad utilizzare i dati raccolti dalle reti cellulari, dai sistemi GPS, dalle transazioni effettuate con carta di credito e dalle telecamere di videosorveglianza per monitorare la popolazione. Le informazioni sono poi mostrate in forma anonima su un sito web a ciò dedicato e inviate anche tramite messaggi a chi potrebbe avere incrociato un infetto, in modo da ridurre la catena dei contagi. Anche in Italia, dove allo scopo di controllare la diffusione del virus è stata istituita presso il Ministero dell’Innovazione, una task force composta da esperti con il compito di supportare il Governo nell’emergenza Coronavirus, si sono implementate soluzioni di contact tracing. Varie sono state le iniziative intraprese. Fin dal primordio dell’epidemia, le più grandi compagnie telefoniche italiane – Tim, Vodafone, Wind Tre e Fastweb – hanno offerto alla Regione Lombardia, per il tramite della loro associazione di categoria Asstel, i dati sul traffico telefonico in loro possesso, per verificare gli spostamenti dei lombardi e rintracciare tutti i contatti di una persona contagiata. Stando alle informazioni fornite dalla Regione, i dati -raccolti in forma aggregata e anonima- hanno permesso di conoscere le distanze percorse da chi si muove con il proprio cellulare in tasca,
742
DIRITTO DI INTERNET N. 4/2020
in modo da verificare il rispetto delle restrizioni sugli spostamenti decise dal Governo per contenere il COVID-19. I cellulari, infatti, per funzionare si agganciano alle diverse “celle telefoniche” presenti sul territorio, gestite dalle torri di trasmissione dei vari gestori; conseguenzialmente, gli operatori telefonici sono in grado di conoscere la densità per area e gli spostamenti degli utenti. Quindi, combinando i set di dati concernenti le informazioni sul traffico telefonico, è possibile ricostruire velocemente i contatti di ogni singolo contagiato nelle ultime due settimane. Anche Facebook ha fornito il suo contributo nella lotta a contrasto del contagio rendendo disponibili, per il tramite del programma Data for Good, informazioni aggregate e anonimizzate sulla mobilità e sulla densità della popolazione, a ricercatori sanitari e organizzazioni non profit, tra cui l’Università di Pavia, per elaborare alcune proiezioni sulle modalità di diffusione del virus. Come spesso accade, dunque, i dati personali si rilevano un patrimonio prezioso ma, parallelamente alla diffusione del COVID-19, cresce il dibattito sull’opportunità o meno di ricorrere a questi strumenti di contact tracing, particolarmente invasivi in termini di riservatezza degli individui. Infatti, il funzionamento di queste tecnologie, basato sull’aggregazione di informazioni particolarmente delicate, quali quelle sanitarie, quelle relative a spostamenti, contatti e frequentazioni, ha generato un fervido dibattito tra i giuristi. Nello specifico, coloro che temono un utilizzo indiscriminato di tali tecnologie e dei dati da esse raccolti, invocano a gran voce il rispetto della normativa in materia di protezione dei dati personali.
2. Dal Contact tracing manuale al digitale: quali problemi per la privacy
Questo contesto profondamente rinnovato ha imposto una risposta tecnologica alla pandemia. Alcuni Stati hanno da subito contrastando la diffusione del virus con un uso massivo e inedito delle ICT; si pensi, ad esempio, all’uso di droni per scongiurare assembramenti, all’uso di tecnologie da parte delle autorità pubbliche molto invasive come sistemi di videosorveglianza facenti ricorso a rilevazioni biometriche oppure alla richiesta dei dati delle “celle” telefoniche alle compagnie telefoniche per monitorare i tassi di scostamento delle popolazioni rispetto agli obblighi di contenimento presso il proprio domicilio. Al momento della dichiarazione dello stato di pandemia le parole del dott. Tedros Adhanom Ghebreyesus, Direttore generale dell’OMS, sono state:“Find, isolate, test and
PRASSI treat every case to break the chains of transmission” (2). Sin da subito, dunque, è risultato chiaro il ruolo che assumono nel contesto delineato le operazioni di ricerca e gestione dei contatti; già ampiamente impiegate in passato per polio, HIV/AIDS e Ebola. La definizione esatta di contact tracing la troviamo nelle linee guida dell’OMS del 2014: “Contact tracing is defined as the identification and follow-up of persons who may have come into contact with an infected person” (3). I “contatti” sono le persone che hanno avuto un rapporto stretto con un caso probabile o confermato in laboratorio di COVID-19, quando questa persona era già sintomatica o nelle 48 ore precedenti la comparsa dei sintomi, con successiva raccolta di informazioni concernenti tali contatti. Sono “contatti stretti” e, dunque, a rischio infezione, le persone conviventi nella stessa economia domestica o, comunque, chi abbia avuto un rapporto diretto, a una distanza inferiore a 1,5 metri senza dispositivi di protezione, con un soggetto infetto. Gli obiettivi del contact tracing sono: interrompere la trasmissione in corso e ridurre la diffusione del virus; informare prontamente i contatti del rischio di infezione e offrire cure profilattiche; offrire diagnosi e cure a persone già infette; ricostruire l’epidemiologia di una malattia in una particolare popolazione; consentire il ripristino della mobilità personale, attraverso il monitoraggio costante di eventuali focolai e garantendo al contempo il diritto alla riservatezza e alla protezione dei dati personali. La cronologia dei contatti personali di un paziente è normalmente oggetto di procedure manuali basate su interviste da parte di personale a ciò preposto, di fronte alle cui domande il paziente è legalmente tenuto a fornire risposte puntuali e circonstanziate. Tuttavia, come evidenziato dall’European Center for Disease Prevention and Control (ECDC), le operazioni alla base di queste modalità di tracciamento richiedono tempi, costi e risorse che risultano incompatibili con i cicli di riproduzione epidemiologica registrati nei casi di Covid-19, generando un ritardo nell’identificazione dei contatti, e allo stesso tempo una strutturale imprecisione dovuta
(2) Organizzazione mondiale della sanità. Briefing della missione su COVID-19: osservazioni di apertura del direttore generale dell’OMS. [Internet; citato il 12 marzo 2020]. Disponibile su: <https://www.who.int/ dg/speeches/detail/who-director-general-s-opening-remarks-at-the-mission-briefing-on-covid-19---12-march -2020>. (3) Gruppo di lavoro ISS Prevenzione e controllo delle Infezioni. Indicazioni ad interim per l’effettuazione dell’isolamento e della assistenza sanitaria domiciliare nell’attuale contesto COVID-19. Versione del 7 marzo 2020. Roma: Istituto Superiore di Sanità; 2020 (Rapporto ISS COVID-19, n. 1/2020);
alla ricostruzione orale e mnemonica della possibile catena trasmissiva (4). Inoltre, i flussi informativi così generati presentano tutte le problematiche tipiche dei processi di gestione cartacea dei documenti, che possono riassumersi in: un forte impatto ambientale, conseguenza delle grandi quantità di materie prime ed energetiche impiegate; elevati costi di gestione, da riferirsi agli spazi fisici dedicati alla conservazione; elevati costi operativi, da valutarsi in termini di tempo e risorse impiegate nell’attività di creazione, archiviazione, ricerca e revisione degli stessi; mancanza di trasparenza, poiché il cartaceo è di difficile condivisione; alto rischio di errori e smarrimenti, infatti la gestione analogica delle informazioni presuppone necessariamente dei passaggi che presentano un tasso di errore molto elevato (5). Invero, nei processi di contact tracing manuale, le informazioni richieste al paziente sono annotate dapprima su un modulo cartaceo e poi ricopiate in una tabella elettronica; ciò determina ritardi ed errori tali da compromettere gravemente l’efficacia delle misure di quarantena dei contatti. In quest’ottica, il passaggio al digitale, ossia lo sviluppo e l’implementazione di applicazioni software di contact tracing, permette di automatizzare la gran parte dei processi di compilazione dei record, diminuendo i tempi di intervento in modo da contrastare efficacemente l’epidemia e il rischio di errori, garantendo la massima portabilità dei dati aggregati e anonimi. In termini di modelli teorici, dunque, sono stati avviati numerosi esperimenti finalizzati a permettere la puntuale ricostruzione delle interazioni umane attraverso device che sfruttano molteplici canali di comunicazione, quali: sistemi di telecomunicazione, social network e geolocalizzazione. In questo modo si può mitigare l’impatto sulle attività sociali ed economiche, evitando di applicare restrizioni su aree eccessivamente estese, facilitando la progressiva ripresa operativa. Inoltre, una volta consolidate, tali tecnologie potrebbero supportare la creazione di un “passaporto sanitario digitale”. Le esperienze internazionali maturate sin dai primi mesi del 2020, dimostrano che alcune delle soluzioni tecnologiche adottate si sono rivelate particolarmente adatte a ricostruire tempestivamente una precisa mappa dei contatti tra individui con infezione e individui sani, offrendo un importante strumento operativo di prevenzione. (4) Ferretti, Wymant, Kendall e altri, Quantifying dynamics of SarsCoV-2 transmission suggests that epidemic control and avoidance is feasible through instantaneous digital contact tracing 2020, disponibile: <https:// www.medrxiv.org/content/10.1101/2020.03.08.20032946v2>. (5) Merloni, Introduzione all’e-government. Pubbliche amministrazioni e società dell’informazione, Torino, 2005, 5 e ss.
DIRITTO DI INTERNET N. 4/2020
743
PRASSI In tal senso, si è trovato nelle ICT un valido alleato nella lotta al Coronavirus. In Cina, grazie al supporto di grandi aziende quali Alibaba, Baidu e Tencet, il Governo ha potuto sviluppare sofisticati strumenti che, dopo i primi ritardi nella gestione della pandemia, hanno favorito una rapida ripresa. Nello specifico, la strategia del governo cinese non è stata quella di creare un apposito software per il tracciamento digitale ma, piuttosto, quella di integrare un apposito tool nelle due app più diffuse nella nazione: WeChat (app di messaggistica utilizzata in modo pervasivo dai cittadini offrendo innumerevoli funzioni adatte all’uso quotidiano) e Alipay (sistema di pagamenti di Alibaba). In questo modo il Governo può sapere con chi hai viaggiato e dove sei stato attraverso i dati forniti da WeChat e Alipay al tool chiamato Alipay Health Code. Sono stati utilizzati spyware, sniffer wifi, tracker di targhe automobilistiche e sistemi di riconoscimento facciale agganciati a queste tecnologie. Il tool basandosi sui big data genera per ogni utente iscritto un codice QR di un colore diverso: verde, giallo o rosso, in relazione al loro stato di esposizione al virus. Ognuno di questi codici consente una libertà di movimento diversa. Degno di nota, inoltre, è il già menzionato “modello Corea del Sud”. Infatti, mentre in Cina sin dalle fasi iniziali di propagazione del virus si è proceduto a lockdown molto rigorosi, l’approccio sudcoreano, complice una sviluppata rete di sorveglianza epidemiologica, ha permesso di evitare misure di isolamento sociale, ricorrendo alla tecnologia digitale a supporto del contact tracing manuale. La App Corona 100m, lanciata l’11 febbraio 2020, incrocia i dati di geolocalizzazione (GPS) dell’utente con quelli forniti dal Governo, inviando un messaggio quando ci si trova a 100 metri da un soggetto contagiato o potenzialmente tale (6). In merito, è opportuno evidenziare che l’ordinamento giuridico coreano consente alle autorità di accedere ai dati delle telecamere, a quelli di tracciamento tramite GPS da telefoni e automobili, alle transazioni con carta di credito e altri dati personali per finalità di controllo delle malattie. A ciò si accompagna la creazione di un sito web ad hoc nel quale confluiscono le informazioni da diffondere al pubblico. Su questo sito si trovano tutte le informazioni utili provenienti dalle operazioni di tracciamento comprese le statistiche sui contagi, i decessi, i guariti, e ovviamente tutti i consigli di igiene. Visti gli ottimi risultati ottenuti nei paesi asiatici, anche in Europa ci si è mossi in questa direzione; tuttavia è facile intuire che se, da un lato, il contact tracing digitale (6) Park, Choe, Park, Park, Kim, Kim, et al., Ricerca di contatti durante l’epidemia di malattia da Coronavirus, Corea del Sud, 2020. Emerg Infect Dis. 2020; 26 (10): 2465-2468. <https://dx.doi.org/10.3201/ eid2610.201315>.
744
DIRITTO DI INTERNET N. 4/2020
è un valido aiuto nella lotta al virus, dall’altro, può diventare uno strumento di sorveglianza tale da ledere la sfera della privacy, effettuando un trattamento su larga scala di dati personali. Invero, se da un lato gli operatori sanitari hanno il dovere sociale ed etico di avvisare un individuo in relazione alla sua esposizione al virus, supportati da dispositivi che gli permettano di agire prontamente per contenere una malattia trasmissibile, dall’altro lato le persone contagiate hanno comunque un diritto riconosciuto alla riservatezza generale e medica. In Europa, in conformità al Regolamento UE 2016/679 (General Data Protection Regulation –GDPR-), tutto questo si traduce nel principio di minimizzazione, in base al quale devono essere trattati solo i dati personali strettamente necessari per raggiungere gli obiettivi di contact tracing. In effetti, sia il Garante per la protezione dei dati personali che l’European data protection board (Edpb), hanno a più riprese ribadito come le norme e i diritti riconosciuti dal Regolamento UE 2016/679, per effetto dell’art. 23, sarebbero suscettibili di compressione in presenza di alcune situazioni estreme, qual è certamente la grave emergenza sanitaria in atto. In merito, altri riferimenti possono essere rinvenuti nel considerando n. 16 e negli artt. 6 e 9 del GDPR, che riconoscono agli Stati membri margini di discrezionalità nell’applicazione della normativa per motivi legati a misure nazionali eccezionali. In particolare, l’art. 9, par. 2 lett. i) del GDPR, legittima i trattamenti di categorie particolari di dati, quando questi siano finalizzati a perseguire motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, sulla base del diritto dell’Unione o degli Stati membri, purché siano previste misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato. Infine, è doveroso segnalare il considerando n. 46, per cui «alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana». Con riferimento al digital contact tracing è opportuno sottolineare che se l’uso dei dati di localizzazione in via del tutto anonimizzata non pone particolari contrasti con l’attuale normativa sulla protezione dei dati personali, per i casi in cui l’impiego di set di dati anonimi e aggregati non dovesse rivelarsi sufficiente per il raggiungimento delle finalità perseguite, l’art. 15 della Direttiva e-Privacy 2002/58/CE, consente a ciascun Stato membro di introdurre misure legislative per salvaguardare la
PRASSI sicurezza pubblica, con l’adozione di dovute garanzie di proporzionalità, necessità, pertinenza e minimizzazione, sicurezza e ridotta conservazione. Tali misure, in ogni caso, devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Venendo al Codice Privacy, d.lgs. 196/2003, l’art. 126 prevede che «I dati relativi all›ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l›utente o l›contraente ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto». Nel quadro normativo poc’anzi delineato, si innesta l’art. 14 del D.L. 14/2020, recante “Disposizioni urgenti per il potenziamento del servizio sanitario nazionale in relazione all’emergenza COVID-19”; il GDPR e la Direttiva e-Privacy, infatti, presuppongono deroghe previste dal diritto dell’Unione o dall’ordinamento di uno Stato membro. L’articolo in parola, a tal proposito, in via eccezionale e per la durata dell’emergenza legata al COVID-19, riconosce la possibilità – per le strutture deputate, pubbliche e private, che operano nell’ambito del Servizio sanitario nazionale, nonché per i soggetti deputati monitorare e a garantire l’esecuzione delle misure di contenimento disposte, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali – di effettuare trattamenti, anche relativi a categorie particolari di dati di cui agli art. 9 e 10 del Regolamento UE 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19. I successivi capoversi del menzionato art. 14 disciplinano anche il trattamento degli altri dati personali e le modalità di applicazione dello stesso regolamento UE 2016/679. È evidente, dunque, che le norme a protezione dei dati personali, non ostacolano l’adozione di misure stringenti per il contrasto al COVID-19. Infatti, la tutela del diritto alla salute, in ragione dei numeri ancora in vertiginosa crescita di questa pandemia, equivale alla tutela della vita stessa, davanti alla quale tutti gli altri diritti fondamentali cedono il passo, compreso il diritto alla protezione dei dati personali. Al riguardo, sia a livello nazionale che internazionale, sono stati proposti in occasione dell’emergenza epidemiologica diversi sistemi di tracciamento dei contatti basati su differenti tecnologie comprendendo approcci basati su: -capacità di localizzazione dei dispositivi di comunicazione sulle reti cellulari da parte degli operatori di rete (capacità che è implicita nella tecnologia telefo-
nica radiomobile) anche senza la piena consapevolezza degli utenti, potendo così fare assunzioni su eventuali situazioni di prossimità tra i terminali mobili; -capacità dei dispositivi di tipo smartphone di determinare autonomamente la propria posizione tramite l’elettronica in dotazione (ricevitori dei segnali emessi dai sistemi globali di localizzazione come ad esempio GPS, GLONASS e Galileo) e di comunicarla (con protocolli di rete Internet o con tecniche telefoniche) a un centro servizi in grado di raccogliere i dati di posizione ed elaborarli al fine di individuare eventuali situazioni di prossimità tra i dispositivi; -capacità degli smartphone di rilevare autonomamente la presenza di altri dispositivi in loro prossimità tramite la ricezione di segnali di identificazione (radio beacons) diffusi con tecnologia Bluetooth Low Energy (di seguito anche Bluetooth LE o BLE). Mentre in alcune aree geografiche distanti dall’Unione Europea e dai suoi standard di protezione dei dati personali sono state prese in considerazione e utilizzate tutte le diverse tecnologie citate, in ambito europeo e in gran parte del mondo la ricerca di soluzioni tecnologiche per il contrasto alla diffusione della pandemia Covid-19 si è concentrata sul ricorso alla sola tecnologia Bluetooth LE, presente in tutti i moderni smartphone e adatta a consentire il mutuo rilevamento da parte dei dispositivi che la adottano. Relativamente ai sistemi basati sulla sola capacità di rilevamento tramite BLE a livello europeo ci si è concentrati su due modelli di applicazione del digital contact tracing: uno proposto da Google e Apple descritto con la sigla DP-3T (Decentralized Privacy-Preserving Proximity Tracing) con calcolo sul cellulare e l’altro proposto dal Consorzio internazionale Pan-European Privacy-Preserving proximity Tracing (PEPP-PT) con calcolo su un server centrale. Quest’ultimo è basato, tra gli altri, su: -procedure collaudate e consolidate per la misurazione della prossimità tra device su sistemi operativi e dispositivi mobili di grande diffusione; -sistemi di protezione dei dati quali crittografia e anonimizzazione, in conformità al GDPR garantendo un’elevata cybersecurity; -interoperabilità internazionale e interregionale per supportare il tracciamento delle catene locali di infezione anche se una catena si estende su più paesi o su più regioni; -un servizio di certificazione del codice open source per testare e garantire che le diverse implementazioni utilizzino i meccanismi in modo sicuro e interoperabile. Questa soluzione memorizza in locale, sul dispositivo, tutti i codici identificativi degli altri dispositivi dotati della stessa App (siano questi smartphone, smart watch o device stand alone come braccialetti) e, al contempo, sistemi di crittografia e pseudonimizzazione impediscono di associare il codice all’identità del proprietario di quel dispositivo. Questi codici sono generati da un server centrale attraverso
DIRITTO DI INTERNET N. 4/2020
745
PRASSI un identificativo di lungo termine e una chiave, e sono mandati a ciascun dispositivo (7). Ad esso si contrappone il sistema DP-3T, che si basa su un meccanismo decentralizzato. Ogni dispositivo vicendevolmente trasmette, attraverso un’applicazione compatibile con questo protocollo e tramite Bluetooth, agli altri dispositivi a pochi metri di distanza e dotati della medesima app, dei codici identificativi anonimi, casuali e incomprensibili, generati dallo stesso apparecchio. I codici così composti non consentono un’identificazione della persona e restano memorizzati per un periodo di tempo determinato e limitato in un altro dispositivo. Questi codici, i dati sanitari relativi al Covid-19 ad essi connessi e le informazioni di tracciamento, vengono creati, memorizzati e gestiti dal singolo dispositivo che li contiene. Questo patrimonio informativo sarà sbloccato dallo stesso paziente trovato positivo, volontariamente e su richiesta del personale sanitario, per informare le persone con le quali si è entrati in contatto nel periodo di contagio. In questo caso, dunque, le informazioni giungono indirettamente all’organizzazione preposta al contact tracing (8). In sintesi, nella soluzione decentralizzata il server centrale ha solo la lista di indentificativi temporanei degli infetti. Invece, nella soluzione centralizzata il server genera e invia gli identificativi e si pone in una posizione di garante dei diversi interessi in gioco: salute e privacy. In astratto, sotto un profilo di protezione dei dati personali, nessuno dei due approcci è in assoluto preferibile all’altro, poiché entrambi presentano pregi e difetti per lo più complementari, e la qualità delle soluzioni basate sui due modelli è fortemente condizionata dalle specifiche loro concrete implementazioni. Inoltre, è bene chiarire che sotto un profilo tecnico la distinzione tra modelli distribuiti e modelli centralizzati non è così netta, perché in tutte le proposte basate sull’uno o sull’altro data model è comunque sempre presente una componente centrale, che svolge un ruolo più ridotto nei sistemi “decentralizzati” e più rilevante in quelli centralizzati. Nell’ipotesi di approccio decentralizzato, infatti, è comunque necessaria la presenza di un punto centrale che svolga nell’architettura del sistema una funzione di accertamento (tramite le competenti autorità sanitarie) dello stato positivo al Covid-19, nonché di raccolta di identificativi o di pseudonimi dei loro dispositivi che
L’attività di ricerca di soluzioni tecnologiche di contact tracing in Italia è stata ingente e diversificata. Infatti, in seguito alla fast call for contribution, nell’ambito dell’iniziativa interministeriale “Innova per l’Italia” – promossa su proposta congiunta del Ministro per l’Innovazione tecnologica e la digitalizzazione Paola Pisano, del Ministro dello Sviluppo Economico Stefano Patuanelli e del Ministro dell›Università e Ricerca Gaetano Manfredi, insieme a Invitalia e a sostegno della struttura del Commissario Straordinario per l’emergenza Coronavirus Domenico Arcuri –, sono state presentate centinaia di proposte. Il Garante per la protezione dei dati personali, a lavoro per supportare gli organi di governo e individuare soluzioni capaci di conciliare i diversi interessi in gioco, ha sottolineato come il punto nodale della questione non sia se “sospendere” o meno la privacy ma, piuttosto, “adottare strumenti efficaci di contenimento del contagio, pur sempre nel rispetto dei diritti dei cittadini”. In particolare, faro guida delle attività sono le garanzie di correttezza e proporzionalità del trattamento imposte del GDPR. La raccolta e, successivamente, lo scambio dei dati personali deve avvenire “nel modo meno invasivo possibile per gli interessati, privilegiando l’uso di dati pseudonimizzati (ove non addirittura anonimi), ricorrendo alla reidentificazione laddove vi sia tale necessità, ad esempio per contattare i soggetti potenzialmente contagiati” (10). Inoltre, per minimizzare il pericolo di trattamenti abusivi, secondo i principi di precauzione e prevenzione, devono essere implementate, già nella fase di progettazione e impostazione della struttura tecnologica, le idonee misure di sicurezza idonee a soddisfare i principi di privacy by design e privacy by default previsti dall’art. 25 del GDPR. Come precisato dal Garante, infatti, “la chiave è nella proporzionalità, lungimiranza e ragionevolezza degli interventi, oltre che nella loro temporaneità”; ad esempio, risulterebbe
(7) Fraunhofer AISEC, Pandemic Contact Tracing Apps: DP3T, PEPP-PT NTK, and ROBERT from a Privacy Perspective, Cryptology ePrint Archive: Report 2020/489. IACR. <http://eprint.iacr.org/2020/489>.
(10) La differenza tra “dati anonimi” e “dati pseudonimizzati” è che i primi, in quanto non riconducibili ad una persona fisica identificata o identificabile, non sono considerati “personali” e dunque non rientrano nell’ambito di applicazione del Regolamento UE 2016/679; i secondi, invece, sono attratti nell’orbita del menzionato regolamento, perché i dati personali sono basati su un ID e comunque attribuibili ad un individuo, che resta perciò individuabile attraverso il ricorso a informazioni aggiuntive.
(8) Gvili, Security Analysis of the COVID-19 Contact Tracing Specifications by Apple Inc. and Google Inc, Cryptology ePrint Archive: Report 2020/428. IACR. <http://eprint.iacr.org/2020/428>.
746
DIRITTO DI INTERNET N. 4/2020
dovranno essere messi a disposizione di tutti gli altri utenti che partecipano al sistema (9).
3. La scelta italiana: app Immuni
(9) Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak: <https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_en>
PRASSI certamente sproporzionata “la geolocalizzazione di tutti i cittadini italiani, 24 ore su 24, non soltanto per la massività della misura ma anche e, forse, preliminarmente, perché non esiste un divieto assoluto di spostamento e dunque la mole di dati così acquisiti non avrebbe un’effettiva utilità (Doc-Web: 9294705 del 18 marzo 2020)”. Un valido strumento di supporto ai governi, in tal senso, sono le Linee guida, adottate dall’Edpb nel 2019, sull’applicazione del principio di proporzionalità, i cui principi sono stati richiamati nella Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19. Queste offrono una vera e propria check list da seguire nel determinare le proprie scelte: 1) valutare la legittimità degli scopi, nel rapporto costi-benefici; 2) effettuare una valutazione d’impatto della normativa sui diritti fondamentali; 3) effettuare un giudizio di bilanciamento tra esigenze contrapposte; 4) analizzare le conclusioni e, in caso di mancata proporzione, individuare misure di contenimento e rimedio. Tanto premesso, al fine di esaminare e selezionare le candidature è stata costituita una Task Force Data Driven, articolata in 8 sottogruppi, che dopo aver verificato i requisiti delle 319 società partecipanti alla call, ha individuato due app idonee ad essere testate in parallelo allo scopo di valutarne l’implementazione: Immuni e CovidApp. Successivamente, la Presidenza del Consiglio, congiuntamente con il Ministro dell’innovazione e il Ministero della salute, ha formalizzato la scelta della piattaforma software nazionale per il contrasto al Covid-19, individuandola nella soluzione Immuni, proposta dalla Bending Spoons S.p.A. in collaborazione con il Centro Medico Santagostino. Il contratto sottoscritto tra le parti prevede, in particolare, la cessione della licenza d’uso aperta (GNU Affero General Public License versione 3), gratuita, perpetua e irrevocabile del codice sorgente dell’app Immuni e di tutte le componenti applicative facenti parte del sistema di contact tracing già sviluppato, nonché, sempre a titolo gratuito, la disponibilità a completare gli sviluppi informatici che si dovessero rendere necessari per consentire la messa in esercizio del sistema nazionale di tracciamento digitale. Al fine di fornire un solido presupposto giuridico al sistema di contact tracing digitale, capace di soddisfare i requisiti di cui all’articolo 9, par. 2, lett. i) del GDPR e agli articoli 2-ter e 2-sexies del Codice privacy, il Governo è intervenuto con una norma di rango primario, pubblicando sulla Gazzetta Ufficiale del 30 aprile 2020 n. 111 il D.L. 28/2020 recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in
materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19”. L’art. 6 del citato decreto, rubricato “Sistema di allerta Covid-19”, fornisce una prima cornice normativa al progetto Immuni, recando le prime disposizioni in merito al software di tracciamento e rinviando a successivi atti amministrativi per l’individuazione di ulteriori dettagli. La norma tiene conto di molte delle indicazioni fornite dal Presidente del Garante per la protezione dei dati personali nell’audizione tenuta in data 8 aprile presso la IX Commissione trasporti e comunicazioni della Camera dei deputati, dal Segretario generale in riscontro alle ipotesi avanzate all’interno della Task Force Data Driven. Essa, infatti, appare conforme ai criteri indicati il 21 aprile 2020 dall’EDPB (11). È specificato, in particolare, che l’istallazione dell’applicazione è su base volontaria e che, dunque, il suo mancato utilizzo non comporta alcuna conseguenza pregiudizievole per il cittadino; inoltre, il suo impiego si affianca al sistema di allerta ordinario in uso nell’ambito del Servizio sanitario nazionale (SSN). Si noti che l’adozione volontaria e il download facoltativo dell’app, sono certamente da intendersi quale espressione del libero consenso ad una eventuale limitazione dei diritti e delle libertà che potrebbero derivare dal suo utilizzo. La volontarietà alla base del sistema appare espressione del principio di autodeterminazione che è fondamentale in quanto proiezione della dignità della persona. In linea con le esigenze di trasparenza, l’art. 6, comma 2, lett. a), del decreto assicura agli interessati un’idonea informazione sul trattamento e in particolare sulla pseudonimizzazione dei dati, mentre si raccomanda all’Amministrazione interessata di sottoporre la valutazione di impatto cui è tenuta al più ampio regime di conoscibilità e di prevedere, anche nella norma, il carattere libero e aperto del software da rilasciare con licenza open source. Tuttavia, rispetto a tele previsione normativa sono state avanzate alcune perplessità dal Comitato parlamentare per la sicurezza della Repubblica (12). Innanzitutto, nell’art. 6 il sistema di contact tracing viene definito complementare rispetto alla ordinaria modalità in uso nell’ambito del SSN, mentre il Comitato ritiene che esso dovrebbe essere considerato integrativo di tali mo-
(11) EDPB, 23esima sessione plenaria - Linee-guida sul trattamento di dati relativi alla salute per finalità di ricerca e Linee-guida sulla geolocalizzazione e altri strumenti di tracciamento, nel contesto dell’emergenza legata al COVID-19, 21 aprile 2020: <https://www.garanteprivacy.it/web/guest/home/ docweb/-/docweb-display/docweb/9321621>. (12) Comitato parlamentare per la sicurezza della Repubblica, Relazione sui profili di sicurezza del sistema di allerta Covid-19 previsto dall’art. 6 del decreto-legge n. 28 del 30 aprile, 2020, approvata nella seduta del 13 maggio 2020.
DIRITTO DI INTERNET N. 4/2020
747
PRASSI dalità, per evitare che la piattaforma digitale sostituisca il tracciamento ordinario. La norma, inoltre, prevede che il tracciamento riguarderà solo le persone risultate positive al Covid-19 ma, in merito, il Comitato ritiene che l’unico dato da dover immettere nella App dovrebbe essere un codice anonimo risultante dall’effettuazione di un tampone, escludendo dunque tutte le altre procedure che non abbiano evidenza scientifica. Più in generale il Comitato ritiene necessario che l’implementazione della piattaforma avvenga con criteri univoci sul territorio nazionale, evitando la possibilità di interpretazioni restrittive o comunque differenziate da parte delle Regioni ed Enti locali, tali da introdurre ingiustificate limitazioni alla libera circolazione dei cittadini. In proposito, il comma 4 del citato art, 6 «il mancato utilizzo dell’applicazione [...] non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento». Il Comitato afferma che tale disposizione possa risultare insufficiente a escludere eventuali provvedimenti più restrittivi, da parte di soggetti istituzionali o da privati.
4. Profili tecnico-giuridici di Immuni
Sotto un profilo tecnico, Immuni si compone di una componente periferica e di una componente backend. La componente periferica del sistema è rappresentata da una app che può essere installata, a partire dal 1 giugno 2020, sui moderni smartphone Apple e su quelli, di diversi produttori, integrati con il sistema operativo Android, tramite i rispettivi store. Per funzionare, il software richiede almeno Android 6 o IOS 13.5; sono dunque esclusi i modelli precedenti all’iPhone 6 (questo compreso) e tutti gli Android precedenti al 2015. Inoltre, allo stato attuale, risultano altresì esclusi i modelli Huawei successivi al 16 maggio 2019, data in cui l’amministrazione Trump con un ordine esecutivo ha disposto il divieto per le aziende statunitensi come Microsoft, Google, Intel e Qualcomm di intrattenere rapporti commerciali con la società cinese. L’applicazione dopo qualche giorno di sperimentazione in Puglia, Marche, Abruzzo e Liguria, è diventata operativa su tutto il territorio nazionale a partire dal 15 giugno 2020. Il sistema prevede che il contratto di fornitura del servizio possa essere stipulato solo da persone che abbiano compiuto 14 anni; queste dovranno preventivamente accettare la privacy policy e i termini di servizio. La componente di backend, invece, comprende una serie di sistemi server dedicati a specifiche funzioni di raccolta dati, di diffusione di pseudonimi dei soggetti positivi, di interazione con altri sistemi informativi (come il sistema Tessera Sanitaria, cui viene fatto ricorso per l’autenticazione degli operatori sanitari), nonché di analisi dei dati.
748
DIRITTO DI INTERNET N. 4/2020
Il sistema, inoltre, è gestito nella sua interezza dall’azienda pubblica Sogei s.p.a., usa esclusivamente infrastrutture pubbliche situate all’interno dei confini nazionali. Venendo al funzionamento del software, questo avverte gli utenti che sono stati a stretto contatto con una persona risultata positiva, inviando loro un messaggio di allerta che fornisce delle indicazioni su come proteggere la propria salute e quella dei propri cari. L’app, nello specifico, è stata studiata per fornire due funzionalità. La prima è un sistema di tracciamento dei contatti che sfrutta la tecnologia Bluetooth Low Energy (Bluetooth LE) fornita da Arago. Si tratta di una versione a basso consumo del normale Bluetooth, attraverso cui rilevare la vicinanza tra due dispositivi nell’ordine di un metro, senza utilizzare alcun dato di geolocalizzazione, inclusi i dati GPS. Il sistema, in questo modo, conserva sullo smartphone di ciascun cittadino una lista di codici identificativi anonimi (Bluetooth Identification o Bt_ID) di tutti gli altri dispositivi ai quali è stato vicino entro un certo periodo, tenendo traccia del contatto avvenuto ma non dell’identità delle persone coinvolte o del luogo dell’incontro. Infatti, all’atto del login non viene richiesto alcun numero di telefono ma viene assegnato automaticamente a ciascun utente un codice casuale, generato dal sistema Bluetooth LE. Questo Bt_ID non reca al suo interno alcuna informazione sulla tipologia di dispositivo impiegato né, tantomeno, sul soggetto che lo possiede. Inoltre, il codice, per meglio tutelare la privacy dei cittadini, cambia diverse volte ogni ora. Nel caso in cui si venga sottoposti al tampone per Coronavirus, gli utenti che sono risultati positivi possono (non devono) caricare su un server in cluod le stringhe alfanumeriche che i loro dispositivi hanno trasmesso agli altri smartphone nei giorni precedenti, in modo da renderli disponibili agli altri utilizzatori. Questa operazione avviene con il supporto dell’operatore sanitario che comunica l’esito positivo dell’esame. Il server, a sua volta, invia a tutte le app in circolazione queste stringhe ed è ogni singolo telefono che verifica se ha incontrato in precedenza uno o più codici condivisi. Immuni, infatti, controlla periodicamente i codici presenti sul server e li confronta con quelli salvati su ciascun dispositivo, calcolando per ogni identificativo il rischio di esposizione al virus sulla base di parametri quali la vicinanza fisica e il tempo. In caso di riscontro positivo l’utente viene avvertito. Il sistema di notifiche, che di fatto costituisce la spina dorsale dell’app Immuni, è stato creato ad hoc da Apple e Google e si basa su un modello decentralizzato DP-3T, quindi basato sull’analisi dei codici direttamente sugli smartphone e non in un server remoto. Il sistema di alerting può contenere raccomandazioni che possono includere l’autoisolamento (che aiuta a ridurre al mini-
PRASSI mo la diffusione della malattia) e un sollecito a contattare il proprio medico di base (in modo che l’utente possa ricevere le cure più appropriate e ridurre la probabilità di sviluppare gravi complicazioni) . La seconda funzionalità, non ancora attiva, è una sorta di “diario clinico” che consente la memorizzazione sul device personale alcune informazioni riguardanti la propria salute e i dati di familiari/conviventi, fornendo le stesse garanzie di minimizzazione dei dati implementate per l’utente principale dell’app. Un punto di forza dell’applicazione è certamente l’impiego del Bluetooth LE; questo, infatti, presenta maggiore precisione dell’attività di tracciamento rispetto alla geolocalizzazione, poiché quest’ultima ha una precisione nell’ordine delle decine di metri, mentre i segnali BLE consentono di ottenere risultati sui contatti che si verificano anche entro un raggio di pochi metri dall’utente. Ciò rende Immuni utile nella lotta al COVID-19, garantendo al contempo una maggiore privacy degli utenti; circostanza, quest’ultima, che contribuisce a rendere più gradita al pubblico l’app, facilitandone un’adozione su larga scala e aumentando la sua stessa utilità. Inoltre, la batteria viene utilizzata in modo più efficiente. Bluetooth Low Energy, infatti, eccelle quando si tratta di efficienza energetica. Questo è importante perché è ragionevole aspettarsi che il tasso di disinstallazione del software possa essere correlato al consumo della batteria. Ciò posto, sotto il profilo giuridico, tenuto conto delle problematiche insite in questo tipo di tecnologia e già accennate, Immuni è stata progettata e sviluppata prestando molta attenzione alla privacy degli utenti. Dalla documentazione che ha corredato il progetto emerge chiaramente che, già dalle fasi iniziali di studio del sistema, coerentemente con l’art. 25 del GDPR, rubricato “Data protection by design and by default”, si è tenuto conto dello stato dell’arte, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per i diritti e le libertà delle persone fisiche. In particolare, con “legal protection by design” (di seguito anche LPbD) ci si riferisce alla necessità di prestare attenzione alle potenziali violazioni di diritti fondamentali ad opera delle tecnologie emergenti, andando ad integrarne la protezione al loro interno, adottando un approccio proattivo e non reattivo . Inoltre, con riferimento al server Google Cloud Platform, questo risulta certificato ISO/IEC 27001, ISO/ IEC 27017 e ISO/IEC 27018, inoltre la cifratura dei dati avviene con algoritmi AES256 o AES128. Il software nel rispetto del principio di accountability, prima di essere reso disponibile sugli store online, è stato sottoposto dal Ministero della salute a valutazione d’impatto (di seguito anche Data Protection Impact As-
sessment o DPIA) svolta ai sensi dell’art. 35 del Regolamento UE 2016/679. La DPIA rappresenta un vero e proprio screening di tutti i trattamenti di dati personali realizzati da un Titolare, con specifica indicazione dei rischi potenziali e delle soluzioni adottate dal titolare per garantire il rispetto del GDPR. Si tratta, dunque, di un processo volto a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, analizzando detti rischi e determinando le misure necessarie per affrontarli . A seguito della realizzazione della DPIA, il Ministero della salute, ai sensi dell’art. 36, par. 5, del GDPR e dell’art. 2-quinquiesdecies del Codice privacy, ha fatto pervenire il 28 maggio 2020 la valutazione d’impatto al Garante per la protezione dei dati personali, al fine di essere autorizzato ad avviare il trattamento previsto dall’art. 6 del d.l. 30 aprile 2020, n. 28. Il Ministero della Salute, infatti, è il titolare del trattamento dei dati e si coordina con una vasta serie di soggetti pubblici per gli ulteriori adempimenti necessari alla gestione del sistema (art 6, comma 1). Inoltre, l’art. 6, comma 2, del già menzionato decreto, chiarisce che la DPIA viene «costantemente aggiornata» e vengono adottate dal Ministero della Salute le misure tecniche e organizzative idonee a garantire «un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati». Per quanto riguarda le finalità del sistema e, di conseguenza, le finalità dei dati raccolti, questi sono solo quelli necessari ad “allertare” gli utenti entrati in una esposizione a rischio con soggetti (a loro volta, utilizzatori dell’app) positivi al virus, al fine di permettere loro l’eventuale adozione nei loro confronti delle misure di limitazione dei diritti previste dall’ordinamento e delle misure di assistenza sanitaria (art. 6, comma 2 e lett. b). Gli unici dati epidemiologici raccolti da Immuni riguardano l’esposizione dell’utente a soggetti infetti. In particolare, i dati includono: -il giorno in cui è avvenuta l’esposizione; -la durata dell’esposizione; -le informazioni sull’attenuazione del segnale utilizzate per stimare la distanza tra i dispositivi dei due utenti durante l’esposizione. Per queste ragioni, l’app invia al server informazioni epidemiologiche solo dopo aver caricato le chiavi di esposizione temporanee. Tutte le altre le informazioni epidemiologiche disponibili dei 14 giorni precedenti, saranno invece caricate solo quando l’operatore sanitario comunica all’utente la propria positività al virus. Il caricamento dei dati deve essere avviato dall’utente e approvato dall’operatore sanitario. I dati così raccolti non possono essere trattati per finalità diverse da quelle indicate nell’informativa resa ai sen-
DIRITTO DI INTERNET N. 4/2020
749
PRASSI si dell’art. 13 del GDPR, salvo l’utilizzo in forma aggregata o comunque anonima, per fini di sanità pubblica, profilassi, statistici e di ricerca scientifica. L’applicazione, poi, per permettere al Ministero della Salute di monitorare la diffusione del virus sul suolo nazionale, chiede all’utente al momento della prima configurazione di indicare la provincia di domicilio. Oltre a quanto già detto, possono essere caricati sul server alcuni dati concernenti l’attività del dispositivo e le notifiche di esposizione. Questi dati, ad esempio, includono: -se il dispositivo esegue iOS o Android; -se viene concessa l’autorizzazione a sfruttare il framework di notifica di esposizione di Apple e Google; -se l’utente è stato informato di un’esposizione rischiosa dopo l’ultimo rilevamento dell’esposizione; -la data in cui si è verificata l’ultima esposizione rischiosa, se esistente. Questi dati permettono di stimare il livello di adozione dell’app in tutto il paese, valutando l’effettivo numero di dispositivi funzionanti. In ogni caso, si legge nella policy privacy attualmente in uso, che i dati salvati sul dispositivo o sul server saranno cancellati quando non più necessari e in ogni caso prima del 31 dicembre 2020.
5. Conclusioni
Nell’intento di fermare la diffusione del Covid-19, il mondo intero è concentrato nell’individuare la migliore strategia difensiva. La pandemia sta minacciando la salute delle persone e danneggiando gravemente le economie su scala globale. A ciò si aggiunga che molti esperti concordano sul fatto che, complice la globalizzazione, il rischio che in futuro possano svilupparsi nuove pandemie è quanto mai prima concreto. Nel contesto appena delineato, il contributo dell’innovazione tecnologica può essere decisivo. Immuni, infatti, è solo uno degli strumenti utilizzati dal Governo italiano per contrastare la diffusione della malattia e accelerare il ritorno alla quotidianità. Per correttezza e per facilitare la più ampia adozione, l’app risulta accessibile al maggior numero possibile di persone che potrebbero volerla utilizzare. Il sistema ha seguito le direttive europee ed è orientato verso un modello funzionale e soprattutto rispettoso della privacy degli utenti. Infatti la scelta di servirsi del framework realizzato da Apple e Google, ha permesso di implementare un software estremamente sofisticato di tracciamento, garantendo la sicurezza nello scambio dei dati pseudonimizzati e, al contempo, evitando per quanto possibile la condivisione di dati personali. Inoltre la tecnologia Bluetooth LE rappresenta una soluzione efficiente per il contact tracing nel nostro Paese. Il problema reale dell’app Immuni, tuttavia, risiede nella necessità di un suo utilizzo diffuso nella popolazione.
750
DIRITTO DI INTERNET N. 4/2020
Al 24 settembre, infatti, risultano circa 6,4 milioni di download fatti, pari al 17% della popolazione che avrebbe potuto installarla (dotata degli smartphone adatti) e al 12% della popolazione totale. Tuttavia dal dato dei download non è possibile ricavare il numero di utenti che continuano ancora ad utilizzare l’app in modo da garantirne il corretto funzionamento. È chiaro che utilizzare Immuni voglia dire accettare il rischio di dover subire una limitazione della propria libertà di movimento, nell’attesa di essere sottoposti a tampone. Pertanto, si ritiene che nella scelta se scaricare o meno Immuni, piuttosto che un problema di sicurezza dei dati personali, possa risultare determinate una tempestiva risposta da parte del sistema sanitario nazionale. Assicurare un tampone tempestivo a un potenziale infetto, permetterebbe di evitare le due settimane di quarantena prudenziale a tutti i soggetti che seppur entrati in contatto con il virus non risultano infetti. Come accennato all’inizio di questo articolo le tecnologie di contact tracing sono finalizzate a permettere di elaborare, in tempi brevi, una strategia di risposta al virus capace di mitigarne l’impatto sia in termini di salute che di perdite economiche. Affinché ciò avvenga è necessario concentrare le forze su una più efficiente comunicazione e organizzazione medico-sanitaria.
PRASSI
L’accertamento dei reati attraverso l’analisi di tabulati telefonici di Donato Eugenio Caccavella e Michele Ferrazzano Sommario: 1. Sugli obblighi di conservazione dei dati di traffico in capo ai provider. - 2. Alcune nozioni sul sistema di funzionamento dei dispositivi di telefonia mobile. - 3. Metodologia per una corretta geolocalizzazione di un dispositivo di telefonia mobile. - 3.1. A proposito dell’ampiezza dell’area di copertura di una BTS. - 3.2. Handover di salvataggio e schermatura. - 4. I possibili risvolti giuridici della geolocalizzazione. - 5. Una proposta di metodo per la corretta geolocalizzazione di un dispositivo di telefonia mobile. - 6. Il caso “Giulietta” e “Romeo”. La geolocalizzazione di dispositivi di telefonia mobile attraverso l’esame dei tabulati telefonici sta acquisendo un rilievo crescente nelle attività di indagine sebbene spesso le metodologie utilizzate non siano corrette. Introdotti gli elementi tecnici di base, essenziali per comprendere i meccanismi di geo-localizzazione di un dispositivo di telefonia mobile (GSM), il presente elaborato illustra alcune metodologie per eseguire la geo-localizzazione di un dispositivo di telefonia mobile partendo dall’analisi dei tabulati telefonici, con richiamo a un procedimento penale reale – anonimizzato – nel quale è stata dimostrata l’infondatezza dell’accusa minando l’attendibilità del procedimento metodologico alla base. The geolocation of mobile phone devices through the examination of telephone records is gaining increasing importance in investigative activities although the methodologies used are often incorrect. Introduced the basic technical elements, essential for understanding the geolocation mechanisms of a mobile telephony device (GSM), this paper illustrates some methods for performing the geolocation of a mobile phone device starting from the analysis of the printouts by telephone, with reference to a real – obviously anonymized – criminal case in which the accusation was proven unfounded by undermining the reliability of the underlying methodological procedure.
1. Sugli obblighi di conservazione dei dati di traffico in capo ai provider
I tabulati telefonici nascono per consentire ai provider di documentare il traffico telefonico dei propri utenti al fine di giustificare gli importi addebitati in fattura. Nel tempo, questa pratica è risultata essere un chiaro caso di eterogenesi dei fini: esaminando i dati ivi contenuti, l’Autorità Giudiziaria poteva apprendere i contatti tra utenti, la frequenza e, con l’avvento della telefonia mobile, anche la posizione approssimativa nella quale l’utente telefonico si trovava nel corso dell’evento registrato. Tuttavia, tale trattamento di dati risultava potenzialmente critico dal punto di vista della riservatezza (si pensi al caso della scoperta di relazioni extraconiugali del coniuge), sicché con il D.lgs. 30 giugno 2003, n. 196, si è cominciato a normare il tempo di conservazione di tali dati (la c.d. data retention). In tempi più recenti, lo stesso strumento è stato oggetto di dibattito – eventualmente combinato ad altre soluzioni tecnologiche software – per il monitoraggio dei contagi durante la pandemia da COVID-19 del 2020, per quanto si è rapidamente dimostrata nel caso specifico l’inaffidabilità. Tali norme hanno comunque sempre lasciato l’obbligo di conservazione dei dati di traffico telefonico e telematico in capo ai provider telefonici. Nel corso degli anni, in Italia come in altri paesi, si sono susseguiti numerosi provvedimenti normativi – talvolta
locali, talvolta legati a provvedimenti comunitari – che hanno modificato la tipologia di dati oggetto di conservazione e il relativo periodo. Attualmente, in Italia il periodo di conservazione dei dati di traffico è così regolamentato dalla Legge n. 167 2017: - dati relativi al traffico telefonico sono conservati per 24 mesi; - dati relativi al traffico telematico sono conservati per 12 mesi; - dati relativi alle chiamate senza risposta sono conservati per 30 giorni. Tale periodo è esteso a 72 mesi per i reati di cui all’art. 51 c.p.p., comma 3-quater, e 407 c.p.p., comma 2, lettera a). A parte la disciplina dei termini di conservazione, i legislatori dei vari paesi non si sono mai posti il problema di definire quali siano nel dettaglio i dati significativi da conservare (salvo ovviamente quelli essenziali come definiti nella direttiva europea) e soprattutto lo standard per la trasmissione all’autorità giudiziaria laddove richiesto: chiunque si sia trovato nelle condizioni di analizzare tabulati telefonici che ogni operatore utilizza un proprio formato di rappresentazione dei dati e un proprio tracciato record (1). (1) Sul punto si richiama l’errore scoperto in Danimarca nell’estate 2019 che avrebbe comportato il maltrattamento di dati e quindi l’errato coinvolgimento di persone in oltre 10.000 processi degli ultimi 7 anni.
DIRITTO DI INTERNET N. 4/2020
751
PRASSI Tale aspetto ha un notevole impatto in fatto di leggibilità e comprensione dei tabulati: il significato dei vari campi del tabulato dell’operatore è noto solo agli addetti ai lavori, intendendo per tali quei tecnici che si occupano in maniera prevalente di analisi delle telecomunicazioni. Inoltre, proprio per queste ragioni, se l’incrocio di dati di tabulati di uno stesso operatore può risultare più fattibile, l’analisi di dati di operatori diversi è un’impresa ardua che spesso richiede l’adozione di software specifici.
2. Alcune nozioni sul sistema di funzionamento dei dispositivi di telefonia mobile
L’ampia diffusione di massa di dispositivi mobili ha significativamente ampliato la generazione di dati e dunque la possibilità di usare gli stessi a fini di indagine. Con particolare riferimento al sistema di telefonia mobile, si evidenzia che nel corso degli anni si sono evolute diverse tecnologie (dalla 2G alla 3G, arrivando alla moderna 4G che vede in prospettiva l’avvento del 5G). Cercando di semplificare più possibile senza addentarsi nei dettagli tecnici che caratterizzano ognuna di esse, si evidenziano gli aspetti salienti rispetto alle questioni rilevanti di analisi forensi. Ogni dispositivo mobile (principalmente smartphone o tablet) che si collega attraverso una SIM alla rete prende il nome di mobile station. La connessione alla rete da parte della mobile station avviene instaurando una connessione radio tra il dispositivo e un’antenna detta BTS (Base Transceiver Station), che consente di interloquire con la BSC (Base Station Controller). Da qui, attraverso la connessione con il MSC (Mobile Switching Center) e il SGSN (Serving GPRS Support Node) si attivano, rispettivamente, l’interfaccia per gli aspetti legate alle chiamate voce e allo scambio di dati. Ogni mobile station è caratterizzata da un codice univoco detto IMEI (International Mobile Equipment Identity) che richiede un chip detto SIM (Subscriber Identity Module, in tempi recenti anche elettronico, c.d. e-SIM), anch’esso caratterizzato da un codice univoco all’interno della rete detto ICCID (Integrated Circuit Card ID) Ogni BTS è a sua volta identificata da un codice identificativo univoco a livello mondiale. Ogni volta, dunque, che un mobile station intrattiene una comunicazione collegandosi a una BTS, viene registrato all’interno della banca dati che tiene traccia del provider.
Figura 1 – Schematizzazione dell’architettura di rete standard (2) La divisione del territorio in celle e la funzione di handover Per quanto attiene gli aspetti trattati in questa sede, ci si focalizzerà sulla connessione tra mobile station e BTS. Occorre, quindi, precisare che il territorio è diviso in area coperte da BTS in maniera non perfettamente uniforme, per cui accade che nelle aree molto popolate la densità di BTS è superiore a quella rilevata nelle aree di campagne. Ogni BTS copre dunque un certo territorio che prende il nome di cella. Poiché il segnale radio non può essere contenuto in maniera netta, esistono aree coperte da più BTS (sebbene il segnale sia di diversa intensità), provocando alcuni fenomeni che complicano le valutazioni nell’ambito della cell site analysis. La localizzazione delle BTS si basa sulla suddivisione del territorio in modo da distribuire la copertura tenendo conto di fattori quali vie di comunicazione principali, punti di alta densità (importanti centri urbani, stazioni ferroviarie, uffici pubblici, centri commerciali…) e orografia del territorio, in modo da considerare anche eventuali rilievi montuosi che potrebbero rappresentare un ostacolo alla propagazione del segnale. L’opportuna combinazione dei dati provenienti dalle stime di traffico, dal modello di propagazione e dalle misure, permette di selezionare un certo numero di punti del territorio in cui posizionare le BTS. Ciascuna BTS viene successivamente dimensionata dal punto di vista radioelettrico, nel senso che per ciascuna di essa è stabilito il numero, e quindi l’equipaggiamento o dimensionamento radio, di portanti radio necessarie per smaltire il traffico offerto, opportunamente stimato.
(2) Immagine tratta da Hoy, Forensic Radio Survey Techniques for Cell Site Analysis, New York, 2015.
752
DIRITTO DI INTERNET N. 4/2020
PRASSI
Figura 2 – Celle reali, Celle ideali e Celle fittizie Sulla base della struttura dell’infrastruttura appena descritta, accade che durante uno spostamento la mobile station può collegarsi prima a una BTS e poi a un’altra (in gergo colloquiale, cambia cella), in virtù del fatto che il segnale tenda a degradarsi a fronte di nuove BTS che offrono un segnale più intenso, consentendo così all’utente di mantenere attiva la comunicazione (sia essa vocale o dati). Tale procedura di passaggio da una BTS all’altra prende il nome di handover: maggiore è il numero di BTS in un territorio, maggiore è la probabilità che si verifichi un handover. Per handover si intende dunque il cambio di collegamento di mobile station con BTSX verso mobile station con BTSY, evitando l’interruzione delle comunicazioni. L’obiettivo basilare dell’handover, che è una delle funzioni più complesse e quindi più dispendiose di una rete cellulare, consiste nel garantire la continuità di una comunicazione con la migliore qualità possibile, anche in presenza di fattori che modificano l’ambiente di comunicazione, fra cui in via principale la mobilità del dispositivo radiomobile. La funzione di handover interviene quindi solo nel caso di sessione aperta, ossia quando la mobile station si trova nello stato di attività. È possibile classificare gli handover secondo differenti criteri: - handover di salvataggio, ossia un passaggio di BTS dovuto al deterioramento della qualità di servizio della risorsa radio rispetto a specifiche soglie di allarme, come accade ad esempio quando il dispositivo radiomobile si sta allontanando dalla zona di copertura della BTS che lo serve; se la deriva di peggioramento fa prevedere la possibile caduta della comunicazione per inutilizzabilità del canale radio, viene cambiata la BTS e quindi canale radio; la nuova BTS deve essere scelta tra quelle che si presentano come potenziali sostitute della vecchia BTS, quindi ragionevolmente una BTS che si avvicina alla mobile station considerando il suo movimento. In questo tipo di handover, i tempi di decisione e di esecuzione sono critici poiché potrebbero compromettere la comunicazione, tuttavia una scelta non ottimale può a sua volta essere controproducente e causare successivi handover di salvataggio (ad esempio, un handover frettoloso per presenza di uno ostacolo per pochi secondi).
- handover di confinamento, ossia un passaggio di BTS dovuto alla saturazione della disponibilità della BTS; si tratta di una casistica particolarmente frequente in aree urbane ad alta densità di popolazione (si pensi alla passeggiata in centro città o un concerto). In questo tipo di handover si verifica dunque un cambio verso BTS che offrono performance peggiori ma limitando le interferenze, potendo così distribuire in modo ottimale dal punto di vista dell’efficienza dell’interfaccia radio e quindi della qualità del servizio in generale. Pertanto, un aspetto importante nella fase di progettazione consiste nel mettere a punto “criteri di handover” accurati e robusti, basati su dati misurabili o noti al dispositivo radiomobile e alla BTS mediante scambi di informazioni di segnalazione. Come esposto in precedenza, il passaggio da una BTS all’altra può dunque avvenire sia in contesti di movimento sia in contesti statici, o addirittura in senso opposto al movimento.
Figura 3 – Esemplificazione delle condizioni di un handover di confinamento
3. Metodologia per una corretta geolocalizzazione di un dispositivo di telefonia mobile
Nei casi in cui si rende necessario procedere alla geolocalizzazione di un dispositivo di telefonia mobile, la prima attività da svolgere consiste nella definizione delle linee di handover di ciascuna cella (quindi dell’area coperta da ciascuna BTS), in modo da delimitare l’area di competenza di ciascuna BTS. Attraverso tale operazione preliminare, è possibile restringere l’area nella quale poteva effettivamente trovarsi un dispositivo di telefonia mobile nel momento in cui da tabulato telefonico risultava agganciato a una specifica BTS. Tale metodologia può ad esempio ricomprendere i seguenti passaggi:
DIRITTO DI INTERNET N. 4/2020
753
PRASSI 1. identificazione delle BTS rilevate da tabulato telefonico, prestando attenzione anche alla direzione (3); 2. esecuzione di una precisa inventariazione delle antenne BTS presenti sulle aree geografiche di interesse (4), anche attraverso lo studio di mappe fornite dai gestori di telefonia mobile; 3. accurata analisi dell’orografia del territorio; 4. per ciascuna BTS individuata, misurazione dell’intensità del segnale sull’area geografica circostante, effettuando campionamenti sul territorio (in strada e/o in luoghi chiusi, a seconda del caso di interesse) con appositi strumenti (5); 5. individuazione delle linee di handover delle singole BTS in modo da definirne le aree di competenza/ copertura (6). In sostanza, senza entrare troppo nel dettaglio tecnico, il primo obiettivo dell’analisi di geolocalizzazione di un dispositivo di telefonia mobile consiste nella definizione accurata, e non solo teorica, delle aree di azione delle BTS sul territorio di interesse. Solo dopo aver collezionato le informazioni descritte è possibile ricostruire, anche attraverso altri riscontri (testimonianze, altri dati…), le possibili – o più probabili – localizzazioni e/o movimenti del dispositivo di telefonia mobile (cellulare) oggetto di indagine (7).
3.1. A proposito dell’ampiezza dell’area di copertura di una BTS
Come noto, le onde elettromagnetiche si propagano liberamente nello spazio con attenuazioni irrilevanti rispetto agli ordini di grandezza delle distanze in essere. Ne consegue che, in linea teorica, il segnale trasmesso da una BTS si propaga su tutto il territorio fino a quando non trova un ostacolo. Alla luce del funzionamento della rete cellulare e delle regole di handover, di fatto l’area di copertura di una BTS è circoscritta a una zona che viene delimitata dall’irraggiamento delle altre BTS, come di seguito rappresentato a titolo di esempio:
Figura 4 – Esempio di sovrapposizione di copertura tra BTS e identificazione approssimativa delle linee di handover (poligono rosso) Nella figura riportata, ogni cerchio individua l’area coperta da antenne sparse sul territorio, creando evidenti aree di sovrapposizione. Se considerassimo BTS di egual potenza, l’area di competenza della BTS rossa deriverebbe dall’esagono bianco tracciato valutando gli irraggiamenti della altre BTS e individuando la linea di handover fra le due BTS “concorrenti”, nei fatti tracciando le linee oltre le quali si verifica l’handover di sconfinamento teorico fra una BTS e l’altra (8). In altre parole, il poligono rosso indica il confine superato il quale un dispositivo di telefonia mobile, in virtù del meccanismo di “handover per sconfinamento”, si scollega dalla BTS rossa e si collega alla BTS confinante, o viceversa qualora entrasse in esso provenendo da fuori. L’esempio è puramente didattico, pertanto occorre considerare che in realtà la BTS è orientata, dunque conoscendo lo specifico pannello di connessione del dispositivo mobile è possibile definire uno “spicchio” dell’area di localizzazione del dispositivo stesso, come potrebbe ad esempio essere nella figura proposta:
(3) Occorre precisare che una BTS propaga il segnale in una direzione sulla base di un angolo, e non a 360 gradi. (4) Hoy, Forensic Radio Survey Techniques for Cell Site Analysis, New York, 2015, 178 ss. (5) Civino, Localizzazione e celle serventi di una rete cellulare: utilità delle misurazioni sul campo, in SeG, 2014, III, 39 ss. (6) Hoy, op. cit. (7) Reale, Analisi delle celle telefoniche: limiti ed opportunità, in SeG, 2011, III, 8 ss.
754
DIRITTO DI INTERNET N. 4/2020
Figura 5 – Esempio di area di copertura di BTS tenendo conto dell’orientamento (8) Larry, Cell Phone Location Evidence for Legal Professionals. Understanding Cell Phone Location Evidence from the Warrant to the Courtroom, Londra, 2017, 69 ss.
PRASSI Nota la BTS di connessione, è dunque possibile individuare un’area nella quale è presente il dispositivo al momento della comunicazione. Tale area però non è necessariamente circoscritta come negli esempi mostrati in figura: bisogna infatti considerare possibili fattori di “disturbo” che possono incidere sulla precisione di posizionamento, riducendo la probabilità statistica che il dispositivo mobile fosse effettivamente nell’area individuata attraverso la definizione delle linee di handover. Tali fattori di disturbo consistono nella possibilità che si verifichi un “handover di confinamento” dovuto alla grossa quantità di dispositivi nell’area di copertura (ad esempio, in occasione di un concerto) o, caso più frequente, che il dispositivo mobile sia schermato da fattori fortuiti che inducono il dispositivo a cambiare BTS e collegarsi a una più lontana pur in assenza di un movimento sul territorio.
3.2. Handover di salvataggio e schermatura
Il passaggio da una BTS all’altra non è indice di movimento nella direzione da BTS all’epoca X verso la nuova BTS all’epoca X+Y. Questo aspetto è di cruciale importanza e deve essere chiaro. È anzi, al contrario, possibile che si verifichi addirittura un movimento in senso opposto: tale evenienza si può verificare nel caso in cui la BTS più vicina non sia momentaneamente funzionante oppure quando essa è satura e quindi il dispositivo cerca la successiva BTS più vicina, o comunque quella che fornisce il segnale migliore e disponibilità alla connessione. Alla luce di tale evenienza, appare evidente che tutte le considerazioni deterministiche in merito alla geolocalizzazione attraverso l’utilizzo delle linee di handover siano puramente teoriche e indicative, ma di fatto poco attendibili, atteso che la definizione delle aree di competenza di ciascuna BTS viene stravolta nel momento in cui per un qualsiasi motivo viene a mancare una BTS sullo “scacchiere”. Tale assenza può essere dovuta a saturazione oppure a schermatura. Un esempio grafico chiarirà facilmente la questione:
Figura 6 – Esempio di schermatura temporanea Nella figura rappresentata è illustrato un esempio di situazione in cui tra il dispositivo mobile e la BTS più vicina è presente un ostacolo che impedisce loro di co-
municazione, con la conseguenza che per mantenere la comunicazione attiva si rende necessario attivare una comunicazione con una BTS geograficamente più lontana che in quel momento fornisce possibilità di collegamento. Per quanto la BTS verde sia più vicina al dispositivo, il segnale della stessa è “schermato” dal veicolo in transito che crea un ostacolo temporaneo e riduce sensibilmente la qualità del segnale: ciò costringe il dispositivo mobile a connettersi alla BTS “B” che, benché più lontana, non ha ostacoli, con la conseguenza che il segnale giunge con maggiore qualità. La frequenza di queste situazioni è molto più alta di quanto si pensi, basti considerare quante volte trovandosi all’interno di un edificio non si riesce a interagire adeguatamente con il proprio interlocutore, dovendosi spostare per trovare la posizione migliore. Proprio gli edifici sono uno dei tipici esempi di ostacoli che rendono particolarmente complicato eseguire una geolocalizzazione di un dispositivo in ambiti urbani. Anche in questo caso, al verificarsi di un mascheramento del dispositivo che induce lo stesso a connettersi ad una BTS più lontana, la definizione delle aree di competenza di ciascuna BTS viene stravolta. La geolocalizzazione di un dispositivo mobile basato sullo studio della BTS e delle relative linee di handover risulta in generale un sistema esposto a numerosi e frequenti errori causati proprio dagli handover che si verificano, per salvataggio o confinamento, anche dovuto a ostacoli, che non consentono di eseguire una precisa localizzazione ma solo una stima.
4. I possibili risvolti giuridici della geolocalizzazione
Alla luce di quanto esposto, appare chiaro che l’accertamento tecnico di geolocalizzazione presenti criticità tali da annoverarlo tra gli accertamenti tecnici non ripetibili ex art. 360 c.p.p. Il mero possesso di un tabulato e la verifica dei dati ivi presenti, infatti, non consente di considerare il reale stato delle BTS all’epoca dei fatti e in particolare rende impossibile ripetere la misurazione della potenza delle antenne, così come suggerito al punto 4 della metodologia precedentemente illustrata. Per quanto i tabulati telefonici possano essere a lungo conservati, i possibili cambiamenti infrastrutturali della rete di telefonia mobile da parte del gestore, la possibilità che una BTS venga spostata senza cambiarne denominazione e dettaglio, il malfunzionamento temporaneo, la presenza di ostacoli in un determinato periodo, rappresentano una serie di problematiche che richiedono una tempestiva analisi. Anche pochi giorni dopo i fatti di interesse la situazione potrebbe essere mutata in maniera rilevante senza lasciare adeguata documentazione.
DIRITTO DI INTERNET N. 4/2020
755
PRASSI Ne consegue che l’esecuzione di una geolocalizzazione basata su BTS senza misurazione in contraddittorio della potenza delle BTS sparse sul territorio rappresenta una rilevante compressione del diritto di difesa per (tutte) le parti coinvolte. Per le considerazioni esposte e la natura dei dati tecnici che possono emergere, è indubbio che non è garantita la ripetibilità di un simile accertamento: né rispetto all’epoca del fatto da verificare, né tra due momenti successivi, diversamente da come accade dalla mera lettura del dato digitale di un tabulato telefonico o di una copia forense. L’impossibilità di ripetere l’accertamento, altrove e in un momento successivo, comporta rilevanti ricadute sui diritti delle parti processuali e sull’attendibilità probatoria dell’esito dell’accertamento. In tal senso, si è espressa anche la Corte Costituzione con la sentenza n. 113/2015 che, in merito all’accertamento di condotte come la violazione del limite di velocità – di tipo diverso ma con presupposti scientifici paragonabili a quelli de quibus – ha esposto il seguente principio giuridico-scientifico: “È evidente che, al fine di dare effettività ai meccanismi repressivi delle infrazioni ai limiti di velocità, la disposizione realizza in modo non implausibile e non irragionevole un bilanciamento tra la tutela della sicurezza stradale e quella delle situazioni soggettive dei sottoposti alle verifiche. È vero, infatti, che la tutela di questi ultimi viene in qualche modo compressa per effetto della parziale inversione dell’onere della prova, dal momento che è il ricorrente contro l’applicazione della sanzione a dover eventualmente dimostrare – onere di difficile assolvimento a causa della irripetibilità dell’accertamento – il cattivo funzionamento dell’apparecchiatura. Tuttavia, detta limitazione trova una ragionevole spiegazione nel carattere di affidabilità che l’omologazione e la taratura dell’autovelox conferiscono alle prestazioni di quest’ultimo. In definitiva il bilanciamento realizzato dall’art. 142 del codice della strada ha per oggetto, da un lato, interessi pubblici e privati estremamente rilevanti quali la sicurezza della circolazione, la garanzia dell’ordine pubblico, la preservazione dell’integrità fisica degli individui, la conservazione dei beni e, dall’altro, valori altrettanto importanti quali la certezza dei rapporti giuridici ed il diritto di difesa del sanzionato. Detto bilanciamento si concreta attraverso una sorta di presunzione, fondata sull’affidabilità dell’omologazione e della taratura dell’autovelox, che consente di non ritenere pregiudicata oltre un limite ragionevole la certezza della rilevazione e dei sottesi rapporti giuridici. Proprio la custodia e la conservazione di tale affidabilità costituisce il punto di estrema tensione entro il quale la certezza dei rapporti giuridici e il diritto di difesa del sanzionato non perdono la loro ineliminabile ragion d’essere.
756
DIRITTO DI INTERNET N. 4/2020
Il ragionevole affidamento che deriva dalla custodia e dalla permanenza della funzionalità delle apparecchiature, garantita quest’ultima da verifiche periodiche conformi alle relative specifiche tecniche, degrada tuttavia in assoluta incertezza quando queste ultime non vengono effettuate. In definitiva, se «il giudizio di ragionevolezza [di questa Corte], lungi dal comportare il ricorso a criteri di valutazione assoluti e astrattamente prefissati, si svolge attraverso ponderazioni relative alla proporzionalità dei mezzi prescelti dal legislatore nella sua insindacabile discrezionalità rispetto alle esigenze obiettive da soddisfare o alle finalità che intende perseguire, tenuto conto delle circostanze e delle limitazioni concretamente sussistenti» (sentenza n. 1130 del 1988) e se la prescrizione dell’art. 142, comma 6, del codice della strada nella sua astratta formulazione risulta immune dai richiamati vizi di proporzionalità, la prescrizione dell’art. 45 del medesimo codice, come costantemente interpretata dalla Corte di cassazione, si colloca al di fuori del perimetro della ragionevolezza, finendo per comprimere in modo assolutamente ingiustificato la tutela dei soggetti sottoposti ad accertamento.” La Corte Costituzionale ritiene fondamentale che l’agente accertatore segua scrupolosamente una metodologia che permetta di considerare verificabile l’accertamento dell’infrazione, stante la sua natura irripetibile, nel senso di non riproducibilità altrove e con altri strumenti di quanto in quel momento constatato. Calando quanto fin qui brevemente considerato e – pur nella consapevolezza delle differenze tra i due casi in ordine ai presupposti, elementi costitutivi e conseguenze – applicando il principio giuridico alla tipologia di accertamento in parola, si rileva che essendo questo genere di accertamento non ripetibile, occorre rispettare i principi e le garanzie enunciate dalla Corte Costituzionale. L’analogia applicativa della pronuncia della Corte Costituzionale alle considerazioni illustrate nel presente contributo esibisce la sua rilevanza soprattutto nel caso in cui gli accertamenti tecnici non siano mai stati svolti, ovvero siano stati realizzati autonomamente dalla Polizia Giudiziaria – sua sponte ovvero a seguito di una denuncia/ querela – con esiti posti a fondamento di un’ipotesi di indagine o accusatoria. È di intuitiva evidenza, infatti, come in tali circostanze l’esercizio del diritto di difesa si realizza nel processo penale con la formazione degli elementi di prova suffraganti un’eventuale condanna nel contraddittorio – anche tecnico – delle parti. Ne deriva, quindi, che in ragione dell’attitudine di tale tipologia di accertamento tecnico a produrre risultanze utilizzabili ai fini probatori, è necessaria l’osservanza di una scrupolosa metodologia che permetta di verificare che siano stati adottati strumenti
PRASSI e accorgimenti che consentano la verificabilità di quanto operato dall’Autorità Giudiziaria. La conseguenza di quanto fin qui esposto è giocoforza sillogistica: se per la rilevazione del superamento del limiti di velocità di un veicolo viene richiesto un rigore scientifico e tecnico estremamente elevato, obbligando l’ente accertatore ad adottare strumenti e metodologia opportunamente adeguati in virtù del principio del “bilanciamento dei valori in gioco”, un eventuale accertamento tecnico finalizzato a geolocalizzare un dispositivo mobile a partire da dati di aggancio a BTS da un tabulato telefonico deve richiedere la documentazione e la verifica dell’avvenuta adozione di adeguate metodologie e strumenti, al fine di verificare successivamente la geolocalizzazione dei dispositivi di telefonia mobile interessati dalle indagini.
5. Una proposta di metodo per la corretta geolocalizzazione di un dispositivo di telefonia mobile
Per quanto fin qui esposto, si potrebbe erroneamente pensare che la geolocalizzazione di un dispositivo di telefonia mobile eseguita a partire dall’analisi dei tabulati sia poco precisa e poco utile. Al contrario, se sostenuta da un opportuno percorso metodologico e in specifiche condizioni, risulta piuttosto precisa e di conseguenza può manifestare la sua utilità. Fra le possibili best practices, si propone una metodologia che esalta un approccio strategico complessivo che, tra le altre cose, prevede di non focalizzarsi sul singolo evento, preferendo una correlazione spazio-temporale fra diversi accadimenti in modo tale da permettere che la successione temporale di fatti correlati tra loro aumenti l’affidabilità della locazione. Nello specifico, un approccio pragmatico alla geolocalizzazione di un dispositivo di telefonia mobile dovrebbe innanzitutto individuare le possibili zone nelle quali può essersi probabilmente trovato il dispositivo nelle aree di copertura. In un contesto nel quale si ipotizza uno spostamento si può ad esempio concertare il campionamento del segnale sulle zone dove passa la strada percorsa. In quest’ipotesi, la successione degli eventi nello spazio e nel tempo sarebbe utile per determinare l’effettivo spostamento del dispositivo sulla strada, ovvero altrove nell’aera di competenza della BTS, potendo ciò esser discriminato ove sussista, nei momenti immediatamente successivi, l’aggancio del dispositivo ad altre BTS che “servono” la strada percorsa, ovviamente in tempi di aggancio compatibili con quelli di percorrenza del veicolo ipotizzato nel percorso. È proprio in circostanze come questa, caratterizzate da una rapida successione di eventi in stretta correlazione fra loro, che la geo-localizzazione del dispositivo risulta più efficace e precisa.
Per questo tipo di accertamento, l’approccio metodologico non dovrebbe limitarsi ad una disamina della documentazione ricevuta dai gestori telefonici e dalla cartografia, ma dovrebbe contenere anche un puntuale campionamento del segnale presente nelle aree di interesse per verificare le zone di copertura delle singole BTS ed eventualmente le linee di handover. Campionamenti che dovrebbero essere ripetuti più volte per aumentare il tasso di affidabilità e ridurre possibilità di errori dovuti a problematiche presenti all’atto dell’unica misurazione.
6. Il caso “Giulietta” e “Romeo”
La metodologia descritta viene ora contestualizzata in un caso concreto. Giulietta si trova in campagna sui terreni di Romeo. Romeo invita Giulietta ad abbandonarli ma quest’ultima non ne vuole sapere. Dopo una decina di minuti di discussione, Giulietta riferisce che Romeo si sarebbe diretto verso di lei portandola in un casolare per tentare di consumare una violenza sessuale, circostanza negata da Romeo. Giulietta denuncia Romeo. Nel mentre si realizza un fitto intreccio di comunicazioni telefoniche fra Giulietta e altri interlocutori, nonché una telefonata di Romeo ai Carabinieri affinché procedessero all’allontanamento di Giulietta dalla propria tenuta. Tali dati inducono il Giudice a disporre una perizia finalizzata ad accertare e delimitare le aree geografiche di localizzazione dei dispositivi di telefonia mobile utilizzati da Romeo e Giulietta, circoscrivendo i luoghi in cui si trovavano le parti quando accadevano i fatti ricavabili dai tabulati telefonici. La precisa ricostruzione dei fatti narrati da Giulietta richiedeva una fedele raffigurazione dei luoghi in cui gli stessi si sarebbero verificati, evidenziando il luogo in cui sarebbe avvenuto, secondo Giulietta, il tentativo di violenza. Nell’immagine che segue si evidenzia in giallo la tenuta di Romeo e con la freccia rossa è individuato il casolare.
Figura 7 – Mappa dei luoghi coinvolti nella perizia Per apprezzare l’attendibilità delle dichiarazioni delle parti, l’unico elemento di supporto sono i tabulati
DIRITTO DI INTERNET N. 4/2020
757
PRASSI
Romeo
Giulietta
Chiamata a Carabinieri Chiamata Terenzio Chiamata a Cornelio
26
BTS1
15.28.30
15.33.35
308
BTS1
15.28.33
15.30.09
96
BTS1
Chiamata a Terenzio
15.35.06
SMS di servizio
15.39.40
Chiamata a Terenzio
15.40.51
DIRITTO DI INTERNET N. 4/2020
BTS
15.28.10
15.31.38
telefonici che contengono la sequenza degli eventi e le relative antenne di connessione da cui determinare le geolocalizzazioni. Lo scenario descritto dal tabulato telefonico evidenzia che a seguito della telefonata di Romeo ai Carabinieri, Giulietta contatta Terenzio mentre Romeo contatta Cornelio. Giulietta ha quindi continuato ad agire con il proprio cellulare con ulteriori SMS e chiamate. Dopo pochissimi minuti, risulta l’aggancio da parte di Giulietta di una BTS che evidenziava l’allontanamento dalla zona del fondo agricolo (e quindi dal casolare) in quanto la copertura non è compatibile con la posizione del casolare, evidenziando in tal modo l’incompatibilità dei dati rispetto ai fatti denunciati. In effetti anche il tempo tra la chiamata precedente e la successiva è compatibile con il tempo materialmente necessario a coprire a piedi quel percorso. La disamina degli evidenti ha in effetti evidenziato la compresenza nella stessa zona e l’elenco di chiamate ha confermato quanto segnalato da Romeo. I successivi eventi posti lungo la linea del tempo e contestualizzati geograficamente permettono di evidenziare diversi, rilevanti e concorrenti elementi di incompatibilità con eventi, tempi e luoghi denunciati da Giulietta e indicati nella notizia di reato, che quindi appariva palesemente infondata.
Ora fine Durata
15.27.44
SMS ricevuto da Paolo
Tabella 1 – Elenco eventi da tabulato nel periodo dei fatti denunciati
758
Ora inizio
BTS1 15.39.29
263
BTS2 BTS2
15.41.04
BTS2