@ Diritto Mercato Tecnologia di Alberto M. Gambino - @ Diritto costituzionale telematico di Alfonso Celotto e Giovanna Pistorio - @ Privacy e Garante per la protezione dei dati personali di Bruno Inzitari con Valentina Piccinini - @ AGCom (Autorità per le Garanzie nelle Comunicazioni) di Mario Morcellini - @ AGID (Agenzia per l’Italia Digitale) di Alfonso Contaldo - @ AGCM (Autorità Garante della Concorrenza e del Mercato) di Antonio Catricalà con Carlo Edoardo Cazzato - @ Data protection e data governance di Pierluigi Perri - @ Odio, cyberbullismo, cyberstalking e discriminazioni online di Giovanni Ziccardi - @ Contratti informatici di Lucilla Gatt e Ilaria Caggiano - @ Smart contract e negoziazione algoritmica di Francesco Di Ciommo - @ Consumatori di Giovanna Capilli e Massimiliano Dona - @ Intellectual property e digital rights di Giuseppe Cassano - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto civile) di Mariangela Ferrari - @ Gioco a distanza di Alessandro Orlandi - @ Cybercrime di Lorenzo Picotti con Roberto Flor - @ Reati in Internet di Vittorio Manes e Francesco Mazzacuva - @ Responsabilità penale dell’internet provider di Adelmo Manna - @ Digital evidence nel procedimento penale di Luca Lupària con Marco Pittiruti - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto penale) di Francesco G. Catullo - @ Amministrazione digitale di Fernanda Faini e Marco Mancarella - @ Appalti pubblici e informatica di Elio Guarnaccia - @ Diritto del lavoro e nuove tecnologie di Roberto Pessi e Raffaele Fabozzi - @ Diritto tributario digitale e fiscalità dell’economia digitale di Andrea Carinci - @ Diritto internazionale, europeo e comparato di Giovanni Maria Riccio - @ Tecnologie emergenti di Nicola Tilli - @ Intelligenza artificiale e robotica di Bruno Tassone e Guido Scorza - @ Automazione di Stefano Pellegatta - @ Applicazione del GDPR di Vincenzo Colarocco - @ Processo Telematico di Maurizio Reale - @ Legal-Tech di Giuseppe Vaciago - @ Prova informatica di Donato Eugenio Caccavella - @ Informatica Giuridica di Michele Iaselli - @ Convegni, Recensioni, Spigolature
Il comitato dei Tecnici Luca Attias, Paolo Cellini, Massimo Chiriatti, Cosimo Comella, Gianni Dominici, Corrado Giustozzi, Giovanni Manca, Michele Melchionda, Luca Tomassini, Andrea Servida, Carlo Mochi Sismondi, Giuseppe Virgone
Il comitato editoriale Eleonora Addante, Denise Amram, Stefano Aterno, Livia Aulino, Fabio Baglivo, Francesca Bailo, Mauro Balestrieri, Elena Bassoli, Ernesto Belisario, Maria Letizia Bixio, Luca Bolognini, Chantal Bomprezzi, Simone Bonavita, Francesco Brugaletta, Leonardo Bugiolacchi, Luigi Buonanno, Donato Eugenio Caccavella, Giandomenico Caiazza, Luca Antonio Caloiaro, Alessia Camilleri, Stefano Capaccioli, Giovanna Capilli, Domenico Capra, Mario Capuano, Diana Maria Castano Vargas, Francesco Giuseppe Catullo, Aurora Cavo, Carlo Edoardo Cazzato, Francesco Celentano, Federico Cerqua, Celeste Chiariello, Antonio Cilento, Donatello Cimadomo, Giuseppe Colangelo, Vincenzo Colarocco, Alfonso Contaldo, Mariarosaria Coppola, Fabrizio Corona, Francesca Corrado, Gerardo Costabile, Stefano Crisci, Luca D’Agostino, Vittoria D’Agostino, Gaspare Dalia, Eugenio Dalmotto, Antonio Davola, Edoardo De Chiara, Maurizio De Giorgi, Paolo De Martinis, Maria Grazia Della Scala, Mattia Di Florio, Francesco Di Giorgi, Giovanni Di Lorenzo, Sandro Di Minco, Massimiliano Dona, Giulia Escurolle, Caterina Esposito, Alessandro Fabbi, Raffaele Fabozzi, Alessandra Fabrocini, Fernanda Faini, Pietro Falletta, Mariangela Ferrari, Roberto Flor, Federico Freni, Maria Cristina Gaeta, Fabrizio Galluzzo, Davide Gianti, Carmelo Giurdanella, Chiara Graziani, Raffaella Grimaldi, Paola Grimaldi, Elio Guarnaccia, Pierluigi Guercia, Ezio Guerinoni, Aldo Iannotti Della Valle, Michele Iaselli, Alessandro Iodice, Daniele Labianca, Luigi Lambo, Katia La Regina, Alessandro La Rosa, Jacopo Liguori, Andrea Lisi, Matteo Lupano, Armando Macrillò, Domenico Maffei, Angelo Maietta, Marco Mancarella, Amina Maneggia, Daniele Marongiu, Carmine Marrazzo, Silvia Martinelli, Marco Martorana, Corrado Marvasi, Dario Mastrelia, Francesco Mazzacuva, Stefano Mele, Ludovica Molinario, Anita Mollo, Andrea Monti, Roberto Moro Visconti, Davide Mula, Simone Mulargia, Antonio Musio, Sandro Nardi, Gilberto Nava, Raffaella Nigro, Romano Oneda, Alessandro Orlandi, Angelo Giuseppe Orofino, Roberto Panetta, Giorgio Pedrazzi, Stefano Pellegatta, Flaviano Peluso, Pierluigi Perri, Alessio Persiani, Edoardo Pesce, Valentina Piccinini, Marco Pierani, Giovanna Pistorio, Marco Pittiruti, Federico Ponte, Francesco Posteraro, Eugenio Prosperetti, Maurizio Reale, Nicola Recchia, Federica Resta, Giovanni Maria Riccio, Alessandro Roiati, Angelo Maria Rovati, Rossella Sabia, Alessandra Salluce, Ivan Salvadori, Alessandro Sammarco, Alessandra Santangelo, Fulvio Sarzana di S.Ippolito, Emma Luce Scali, Roberto Scalia, Marco Schirripa, Marco Scialdone, Andrea Scirpa, Guido Scorza, Francesco Scutiero, Carla Secchieri, Massimo Serra, Serena Serravalle, Raffaele Servanzi, Irene Sigismondi, Giuseppe Silvestro, Matteo Siragusa, Rocchina Staiano, Samanta Stanco, Marcello Stella, Gabriele Suffia, Giancarlo Taddei Elmi, Bruno Tassone, Maurizio Tidona, Enzo Maria Tripodi, Luca Tormen, Giuseppe Trimarchi, Emilio Tucci, Giuseppe Vaciago, Matteo Verzaro, Luigi Viola, Valentina Viti, Giulio Votano, Raimondo Zagami, Alessandro Zagarella, Ignazio Zangara, Maria Zinno, Martino Zulberti, Antonio Dimitri Zumbo
Direttore scientifico Giuseppe Cassano
Diritto di Internet 1 2020
Gli osservatori on line <www.dirittodiinternet>
Ettore Battelli, Maurizio Bellacosa, Alberto M. Benedetti, Giovanni Bruno, Alberto Cadoppi, Ilaria Caggiano, Stefano Canestrari, Giovanna Capilli, Giovanni Capo, Andrea Carinci, Alfonso Celotto, Sergio Chiarloni, Antonio Cilento, Donatello Cimadomo, Renato Clarizia, Giuseppe Colangelo, Giovanni Comandè, Claudio Consolo, Pasquale Costanzo, Gaspare Dalia, Eugenio Dalmotto, Enrico Del Prato, Astolfo Di Amato, Francesco Di Ciommo, Giovanni Di Lorenzo, Fabiana Di Porto, Ugo Draetta, Giovanni Duni, Alessandro Fabbi, Raffaele Fabozzi, Valeria Falce, Mariangela Ferrari, Francesco Fimmanò, Giusella Finocchiaro, Carlo Focarelli, Vincenzo Franceschelli, Massimo Franzoni, Federico Freni, Tommaso E. Frosini, Maria Gagliardi, Cesare Galli, Alberto M. Gambino, Lucilla Gatt, Aurelio Gentili, Stefania Giova, Andrea Guaccero, Antonio Gullo, Bruno Inzitari, Luigi Kalb, Luca Lupária, Amina Maneggia, Vittorio Manes, Adelmo Manna, Arturo Maresca, Ludovico Mazzarolli, Raffaella Messinetti, Pier Giuseppe Monateri, Mario Morcellini, Antonio Musio, Raffaella Nigro, Angelo Giuseppe Orofino, Nicola Palazzolo, Giovanni Pascuzzi, Roberto Pessi, Valentina Piccinini, Lorenzo Picotti, Dianora Poletti, Alessandro Sammarco, Giovanni Sartor, Filippo Satta, Paola Severino, Caterina Sganga, Pietro Sirena, Giorgio Spangher, Giovanni Maria Riccio, Francesco Rossi, Elisa Scaroina, Serena Serravalle, Marcello Stella, Paolo Stella Richter, Giancarlo Taddei Elmi, Bruno Tassone, Giuseppe Trimarchi, Luigi Carlo Ubertazzi, Paolo Urbani, Romano Vaccarella, Daniela Valentino, Giovanni Ziccardi, Andrea Zoppini, Martino Zulberti
Issn: 2612-4491
Il comitato di referaggio
Comitato scientifico Michele Ainis Maria A. Astone Alberto M. Benedetti Giovanni Bruno Alberto Cadoppi Stefano Canestrari Giovanni Capo Andrea Carinci Antonio Catricalà Sergio Chiarloni Renato Clarizia Alfonso Celotto Giovanni Comandè Claudio Consolo Giuseppe Corasaniti Pasquale Costanzo Enrico Del Prato Astolfo Di Amato Ugo Draetta Francesco Di Ciommo Giovanni Duni Valeria Falce Francesco Fimmanò Giusella Finocchiaro Carlo Focarelli Giorgio Floridia Vincenzo Franceschelli Massimo Franzoni Tommaso E. Frosini Cesare Galli Alberto M. Gambino Lucilla Gatt Aurelio Gentili Andrea Guaccero Bruno Inzitari Luigi Kalb Luca Lupária Vittorio Manes Adelmo Manna Arturo Maresca Ludovico Mazzarolli Raffaella Messinetti Pier Giuseppe Monateri Mario Morcellini Nicola Palazzolo Giovanni Pascuzzi Roberto Pessi Lorenzo Picotti Nicola Pisani Francesco Pizzetti Dianora Poletti Giovanni Sartor Filippo Satta Paola Severino Pietro Sirena Antonello Soro Giorgio Spangher Paolo Stella Richter Luigi Carlo Ubertazzi Romano Vaccarella Daniela Valentino Giovanni Ziccardi Andrea Zoppini
Diritto di INTERNET
Digital Copyright e Data Protection RIVISTA TRIMESTRALE
2020 23 1 IN EVIDENZA
• Perimetro di Sicurezza Nazionale Cibernetica • Esecuzione di un ordine di acquisto via internet • Quantificazione del danno da diffamazione online • Pluralismo politico online. La vicenda Casapound • Revoca del consenso per la pubblicazione di immagini su Facebook
• Adwords e concorrenza sleale • Sulla ricondivisione degli hashtag “vietati” • Falso curriculum su Linkedin • Web harvesting, banche dati e Antitrust • Clausola vessatoria su Booking • Riconoscimento fotografico mediante immagine tratta da un social network
• Hackeraggio etico • Foto acquisite tramite Google Earth e valore probatorio
• Financial Cybercrime • Guerre cibernetiche Pacini
DIRITTO DI INTERNET • ANNO II
SOMMARIO ■ SAGGI IL SIGNIFICATO DI PERSONA, AI TEMPI DI INTERNET di Renato Clarizia
3
CYBERSECURITY: QUID NOVI? di Lorenzo Picotti
11
IL PERIMETRO DI SICUREZZA NAZIONALE CIBERNETICA di Stefano Mele
15
■ GIURISPRUDENZA EUROPEA RIGHT TO BE FORGOTTEN ONLINE E IL DISCUTIBILE RUOLO DEI GESTORI DEI MOTORI DI RICERCA Corte di Giustizia UE (grande sezione); sentenza 24 settembre 2019; causa C - 507/17 Corte di Giustizia UE (grande sezione); sentenza 24 settembre 2019; causa C - 136/17 commento di Maria Astone
27 28
CIVILE LA NATURA IMPERATIVA DEI PRINCIPI DI PROTEZIONE DEI DATI PERSONALI: CONSEGUENZE IN AMBITO BANCARIO Corte di Cassazione; sezione I civile; ordinanza 21 ottobre 2019, n. 26778 commento di Giulia Fatano
35
ORDINE DI INVESTIMENTO ON-LINE OLTRE IL LIMITE DI PROVVISTA E RESPONSABILITÀ DELL’INTERMEDIARIO Corte di Cassazione; sezione VI civile; ordinanza 15 ottobre 2019, n. 26077 commento di Ludovica Molinario
45
APPLICAZIONE DEI PARAMETRI ADOTTATI DALLE TABELLE DI MILANO PER IL RISARCIMENTO DEL DANNO DA DIFFAMAZIONE TRAMITE FACEBOOK Corte d’Appello dell’Aquila; sezione civile; sentenza 13 novembre 2019, n. 1888 commento di Sabrina Peron
38
46 53 56
PLURALISMO POLITICO E DIBATTITO PUBBLICO ALLA PROVA DEI SOCIAL NETWORK Tribunale di Roma; sez. spec. imprese; ordinanza 12 dicembre 2019 n. 59264 commento di Andrea Venanzoni
63
ADWORDS E CONCORRENZA SLEALE Tribunale di Milano; sez. spec. imprese; sentenza 8 novembre 2019, n. 10130 commento di Alessandro La Rosa
73
CONSENSO E TUTELA DEL DIRITTO ALL’IMMAGINE DEL MINORE: TRA DIRITTO DELLA PERSONALITÀ E PROTEZIONE DEI DATI PERSONALI Tribunale di Bari; sezione II civile; ordinanza 7 novembre 2019 commento di Michela Maggi SIGARETTE ELETTRONICHE, PUBBLICITÀ ONLINE E LICEITÀ DELLA RICONDIVISIONE DEI C.D. USER GENERATED CONTENTS “VIETATI” Tribunale di Roma; sez. spec. imprese; ordinanza 5 novembre 2019 commento di Michele Papa
65
79 87 88 93 98
DIRITTO DI INTERNET N. 1/2020
1
DIRITTO DI INTERNET • ANNO II SELEZIONE PER IL RECLUTAMENTO DEL PERSONALE DELLE SOCIETÀ PUBBLICHE E FALSO CURRICULUM SU LINKEDIN Tribunale di Trapani; sezione lavoro; sentenza 2 ottobre 2019, n. 522 commento di Claudia Serrapica WEB HARVESTING, SCRAPING OR DATA EXTRACTION, TUTELA DELLE BANCHE DATI SECONDO LA LEGGE SUL DIRITTO D’AUTORE E PRINCIPI DI DIRITTO ANTITRUST Tribunale di Roma; sez. spec. imprese; ordinanza 5 settembre 2019, n. 34006 commento di Bruno Tassone e Marco Barbone DISDETTA ALBERGHIERA E CLAUSOLA VESSATORIA SU BOOKING Giudice di Pace di Trapani; sezione civile; sentenza 14 ottobre 2019 commento di Alessandro Torroni
105 108 113 117 127 127
PENALE DELLA RILEVANZA PENALE DELLA CREAZIONE ABUSIVA DELL’ACCOUNT E DEL SUCCESSIVO INSERIMENTO DI DATI PERSONALI ALTRUI SU UN SOCIAL NETWORK Corte di Cassazione; sezione III penale; sentenza 17 ottobre 2019, n. 42565 commento di Andrea De Lia LA “DEBOLE” RILEVANZA PENALE DELLO SPAMMING, TRA CONSENSO IMPLICITO AL TRATTAMENTO E INSUSSISTENZA DEL NOCUMENTO Corte di Cassazione; sezione III penale; sentenza 10 ottobre 2019, n. 41604 commento di Pasqualino Silvestre “RICOGNIZIONI INFORMALI 2.0”: IL RICONOSCIMENTO FOTOGRAFICO MEDIANTE IMMAGINE TRATTA DA UN SOCIAL NETWORK Corte di Cassazione; sezione II penale; sentenza 12 settembre 2019, n. 42315 commento di Federica Centorame IL DIRITTO PENALE ALLA PROVA DELL’HANDS-ON DELL’ETHICAL HACKING Tribunale di Catania; giudice per le indagini preliminari; decreto di archiviazione 15 luglio 2019 commento di Roberto Flor
135 137 143 146 155 157 165 165
AMMINISTRATIVA VALORE PROBATORIO DELLE FOTO ACQUISITE TRAMITE GOOGLE EARTH T.a.r. Sardegna; sez. I; sentenza 8 ottobre 2019, n. 779 commento di Francesco d’Amora LA SEDUCENTE PERFEZIONE DI ALGORITMI E INTELLIGENZA ARTIFICIALE NELLE PROCEDURE AMMINISTRATIVE ALLA LUCE DEI MODELLI DI RESPONSABILITÀ CIVILE T.a.r. Lazio-Roma; sezione III Bis; sentenza 13 settembre 2019, n. 10964 commento di Mariangela Ferrari
171 173 177 178
■ PRASSI
2
LE GUERRE CIBERNETICHE TRA RISCHI E DETERRENZA di Gabriele Suffia
187
IL FINANCIAL CYBERCRIME NELLA PROSPETTIVA DELLA V DIRETTIVA EUROPEA ANTIRICICLAGGIO (843/2018/UE) di Ramona Barbabietola
195
DIRITTO DI INTERNET N. 1/2020
SAGGI
Il significato di persona, ai tempi di Internet di Renato Clarizia Sommario: 1. I problemi. – 2. La persona. – 3. Riflessioni conclusive. Il presente scritto destinato agli Studi in Onore di Giuseppe Vettori costituisce una riflessione sui rapporti tra Persona e Mercato ai tempi di Internet, e prende spunto dall’Opera di Giuseppe Vettori, in particolare dalla Sua Rivista così intitolata. This essay prepared for the Studies in Honor of Giuseppe Vettori offers a reflection on the relationships between the Person and the Market in the Internet era, being inspired by the work of Giuseppe Vettori and his legal review so entitled.
1. I problemi
In pochi anni e con una evidente accelerazione in quest’ultimo periodo, la parola Persona, soprattutto in relazione alla parola Mercato ha perso quella connotazione che la caratterizzava (1). Un tempo con mercato si indicava il luogo fisico dove si ritrovano gli operatori del commercio, il complesso delle attrezzature esistenti e dei servizi posti a loro disposizione, l’insieme delle attività che in esso si svolgono e delle negoziazioni che vi hanno luogo. Mercato, insomma, riassumeva la varietà delle negoziazioni e degli operatori, collocabili in un determinato spazio fisico e temporale. Mercati all’ingrosso, ortofrutticoli, della grande distribuzione all’ingrosso, centri commerciali, centri di servizi, al dettaglio, supermercati, grandi magazzini, ipermercati. Con internet, però, una tale complessa e articolata costruzione sta crollando, con l’eliminazione di passaggi intermedi tra il produttore e l’utente finale (sia esso impresa o consumatore), per il venir meno delle dimensioni territoriali e temporali. Il mercato non ha più limitazioni territoriali, temporali, dimensionali: posso acquistare sulla piattaforma una confezione di lamette da barba così come un milione di coperte! L’ordine di acquisto si perfeziona, generalmente, - perché anche con riguardo al profilo delle modalità di pagamento la tecnologia inventa continuamente nuove modalità – con il pagamento attraverso la carta di credito. Inoltre, nell’era informatica sono le informazioni di ogni genere a costituire l’oggetto principale di scambio, sono i dati personali opportunamente trattati a formare oggetto di scambio, perché utilizzabili per ogni tipolo-
gia di interesse: economico, commerciale, finanziario e sociale (2). E qui ci agganciamo alla seconda parola, persona, che va in questo caso considerata nel suo significato di individuo o meglio soggetto di diritto, mettendo da parte per il momento – ma anche su quello ci soffermeremo in seguito – le connotazioni qualitative che riferite all’individuo portano a qualificarlo come persona. Il mercato su internet presenta vari gradi di individuazione soggettiva. Il più delle volte si risolve nella esternazione di una carta di credito che determina il perfezionamento della transazione, altre volte si avverte l’esigenza di tutela del contraente in quanto titolare dello status di consumatore o in quanto comunque soggetto bisognoso di una tutela specifica che può arrivare fino alla focalizzazione di peculiari profili che lo caratterizzano come persona. La contrattazione informatica può consentire al soggetto di “celarsi”, ma fino ad un certo punto, perché il legislatore è intervenuto in materia, regolamentando compiutamente la contrattazione a distanza con tecnologie informatiche e dall’altro ha posto il problema del rapporto che potrebbe instaurarsi tra due computer in grado di relazionarsi tra loro, provvedendo autonomamente sia al perfezionamento del contratto che alla sua esecuzione. L’intelligenza artificiale è giunta ormai ad un tale livello di sofisticazione tecnologica da consentire una completa spersonalizzazione del contratto, fino a far ritenere da taluno possibile il riconoscimento del robot quale autonomo soggetto di diritto (3).
2. La persona
Quel coinvolgimento dell’informatica così ampio e strutturato che interessa il mercato, sì da averne modifi (1) <Persona e Mercato> si intitola la Rivista diretta da Giuseppe Vettori, e le riflessioni che seguono (pubblicate altresì negli Studi in Onore ad Egli dedicati) si concentrano sul significato che al giorno d’oggi assume la parola Persona, soprattutto in relazione alla parola Mercato. Giuseppe Vettori, soprattutto attraverso la Sua Rivista, ha dato conto della trasformazione che in ragione della tecnologia informatica ha ristrutturato il Mercato e con esso il significato di Persona, alla quale non possono più essere riconosciuti taluni diritti, perché le relazioni interpersonali sono mutate e pertanto il diritto non è in grado di apprestare tutela.
(2) Sul punto cfr. la mia introduzione al testo Cassano, Catricalà, Clarizia, (a cura di), Concorrenza, mercato e diritto dei consumatori, Torino, 2018. (3) Spunti di rilievo in Contissa, Lasagni Sartor, Quando a decidere in materia penale sono (anche) algoritmi e IA: alla ricerca di un rimedio effettivo, in questa Rivista, 2019, 619.
DIRITTO DI INTERNET N. 1/2020
3
SAGGI cato, per gran parte, ogni profilo rilevante, si rivela, per così dire, totalizzante con riguardo alla persona. Tutto ciò, peraltro, si è realizzato nel giro di un trentennio, con il progresso tecnologico nel campo dell’informatica che ha rivoluzionato il concetto di persona. Trattamento dei dati personali, imputabilità della dichiarazione informatica, tutela della persona sul web, il robot. Sono questi, in estrema sintesi, i maggiori problemi che dal punto di vista socio giuridico interessano la persona e che l’incessante e continuo sviluppo della tecnologia informatica rende complicato circoscrivere e disciplinare compiutamente. Qualunque esposizione che voglia esaltare tale progresso risulterebbe banale, ma è indubbio che trent’anni fa non si poteva neanche immaginare che la capacità elaborativa di un software potesse essere “contenuta” in un hardware di dimensioni ridotte quali quelle di un cellulare o addirittura fosse possibile navigare in internet (è ciò che avviene a partire dal 2005). E’ del 31 dicembre 1996, n. 675 la legge intitolata “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”, e nel marzo del 1997 si insedia l’Autorità Garante per la Protezione dei Dati Personali, sotto la guida illuminata per otto anni di Stefano Rodotà che di quella legge era stato il maggiore ispiratore. Con il Decreto Legislativo 30 giugno 2003, n. 196, più volte aggiornato, con le modifiche apportate recentemente dal D.L. 14 giugno 2019, n. 53, dal D.M. 15 marzo 2019 e dal Decreto di adeguamento al GDPR (Decreto Legislativo 10 agosto 2018, n. 101), si è riscritta la disciplina, tarandola alle esigenze di tutela della persona, pur consapevoli che la tecnica informatica progredisce continuamente e obbligherebbe conseguentemente ad alzare di volta in volta l’asticella delle tutele. L’approccio alle tematiche dell’incidenza dell’informatica sulla persona deve essere distinto in almeno due momenti: la persona come soggetto e la persona come oggetto. Ma anche una tale distinzione talvolta si dissolve, evidenziando come al giorno d’oggi nella materia informatica la persona è nello stesso tempo soggetto ed oggetto. Uno dei temi principali attiene alla imputabilità della dichiarazione giuridicamente rilevante resa informaticamente. Il problema che si è sempre presentato è stato quello di avere certezza che chi si palesava fosse effettivamente il soggetto dichiarante. Ma una tale certezza non si può mai ottenere, sia che il soggetto utilizzi un pin, una password, una carta magnetica, sia la stessa firma digitale: a seconda della tecnica utilizzata si potrà in maniera più o meno certa (massimamente con la firma digitale) associare quei dispositivi al soggetto al quale è stato rilasciato il certificato di firma, la tessera, il pin o la password, ma mai avere la certezza che sono utilizzati soltanto da quel soggetto. E’ evidente che, salvo che non si utilizzino tecniche biometriche per instaurare e prose-
4
DIRITTO DI INTERNET N. 1/2020
guire in una relazione informatica, una tale sicurezza non sarà mai ottenibile. Ed allora l’imputazione della dichiarazione negoziale attraverso tecniche informatiche deve necessariamente fondarsi sul principio dell’autoresponsabilità e dell’affidamento, nonché sulla valutazione della corretta custodia degli strumenti e delle “chiavi” di accesso al procedimento di creazione e comunicazione della dichiarazione informatica. D’altro canto, proprio in ragione di tale consapevolezza, l’atto pubblico informatico impone, ai fini della sua valida formazione, la presenza fisica delle parti e del notaio, anche se poi si utilizzano per la “sottoscrizione” le firme digitali. L’informatica ha indubbiamente fortemente modificato il concetto di persona intesa anche come soggetto che ha “diritto al nome”: gli articoli 6, 7 e 8 del codice civile offrono una articolata disciplina dell’uso del nome e della sua tutela. Nome che spetta ad ogni persona. Ebbene, con l’informatica si ha una sorta di spersonalizzazione soggettiva, ma nel contempo l’acquisizione di una identità digitale. Il soggetto non è più necessariamente identificato come persona, è sufficiente che lo sia nel riferimento informatico, più o meno sicuro ed immediatamente manifesto ma comunque univocamente identificativo. Saranno poi i principi di autoresponsabilità e affidamento a regolamentare i casi di utilizzazione degli strumenti identificativi da parte di soggetti diversi dagli effettivi titolari. Innanzitutto, dovrà essere possibile verificare se la loro utilizzazione sia stata o meno determinata dalla volontà del titolare, se gli strumenti identificativi siano stati da questi adeguatamente custoditi e se l’uso indebito e comunque “contro la sua volontà” sia stato tempestivamente e nei modi adeguati comunicato a chi di competenza. Si dovrà valutare compiutamente quanto ampia debba essere la tutela dell’affidamento (della controparte contrattuale e del terzo) sulla identificazione del soggetto al quale una determinata dichiarazione e azione siano imputabili. Quello della identificazione soggettiva nell’era informatica non è un problema di univoca e facile soluzione, dinanzi a orientamenti e segnali sociali di ambigua lettura. Da un lato, la spersonalizzazione che porta la persona a celarsi dietro un numero, un nome di fantasia; dall’altro, la presenza continua (e talvolta ossessiva) sui social ad esprimere opinioni e pensieri manifestando una propria identità, anche falsa e modificata nei propri caratteri sia estetici che sostanziali. Il nascondere la propria effettiva identità consente anche al soggetto di poter agire dando sfogo a dichiarazioni diffamatorie e calunniose verso altre persone, confidando su una impunità (fortunatamente non sempre realizzabile) in ragione dello scudo informatico che però sempre più si sta rilevando debole. Si assiste, insomma, ad una sorta di manifestazione selettiva, nel senso che la stessa persona
SAGGI talvolta afferma con decisione la propria identità talaltra la nasconde. Ovviamente, questo fenomeno non è nuovo, né è sorto con lo sviluppo sociale dell’informatica, ma, indubbiamente, la tecnica moderna ne ha consentito una maggiore diffusione rispetto a quella consentita dal supporto cartaceo. D’altro canto, di fronte all’incessante e talvolta pruriginosa attenzione sulla vita privata di una determinata persona, questi può trovare una valida difesa, procedendo ad una progressiva perdita della propria identità, per acquisirne altre dietro le quali celarsi. Mentre prima l’invasione della sfera privata poteva consumarsi quasi esclusivamente attraverso la carta stampata e quindi principalmente a seguito dell’attività giornalistica, oggi chiunque può, attraverso internet e i social, diffondere notizie sulla vita privata di una persona, anche raccontando senza falsità, travisamenti e critiche. E’ vero che la disciplina legislativa della privacy e gli interventi del Garante sono rivolti a (e cercano continuamente di) offrire piena tutela alla persona, ma la tecnica sicuramente sopravanza il diritto, rende difficoltoso (e anche costoso) respingere tali azioni, sicché una delle difese è rappresentata proprio dal cambio di identità informatica, utilizzando così gli stessi strumenti che disvelano l’altrui identità. Ma è tutto il fenomeno dei ccdd social (mi limito a richiamare quelli più noti: Twitter, Facebook, LinkedIn, Xing, Renren, Google+, Disqus, Pulse, Snapchat, Tumblr, Pinterest, Twoo, YouTube, Instagram, Vine, WhatsApp, vk.com, Meetup, Medium) ad aver modificato le modalità di tenuta delle relazioni sociali, sicché risulta quasi “impossibile” sottrarsi alla partecipazione in uno di essi, perché talvolta ci si trova coinvolti inconsapevolmente o – ed è ancora peggio – consapevolmente per poter ottenere determinati risultati o svolgere determinate attività. Ed ancora possiamo continuare a ritenere che internet sia comunque l’espressione più forte di democrazia? (4) Peraltro la socializzazione su alcuni dei suddetti siti può anche avvenire senza utilizzare il proprio nome, ma manifestandosi con un nome di fantasia. Strana socializzazione quella che si realizza senza svelare la propria vera identità. La navigazione sui social si presta soprattutto a violare la privacy delle persone, con una difesa limitata da parte di queste ultime. Sicché, mentre sicuramente sul punto della raccolta dei dati personali ed in particolare di quelli sensibili, l’attenzione del legislatore ha cercato, ed è in gran parte riuscita, di disciplinarne in via legislativa ed amministrativa il trattamento, nulla si può fare (o molto poco) e solo con interventi successivi rispetto alla diffusione del dato personale, quando tale “pubblicazione”
dei dati avviene appunto sui social. Si è ormai consapevoli - o forse sarebbe meglio dire rassegnati – che la persona non può evitare che i propri dati personali, raccolti talvolta in maniera occasionale, siano trattati in modo da disegnare la personalità del soggetto, conoscendone i gusti, le preferenze, le abitudini e così via. Non è più possibile invocare il diritto ad essere lasciati soli, ma tale constatazione non è neanche più in qualche modo bilanciata dal diritto a conoscere quali dati personali sono trattati ed a quali fini. E’ così sviluppata la tecnologia informatica che ormai in tempo reale vengono elaborati i dati personali in qualsiasi modo raccolti e se ne dà diffusione in rete. A questo “accerchiamento” informatico, in verità, il diritto non è in grado di apprestare adeguate difese, perché anche le eventuali iniziative giudiziarie, da parte di chi ha visto violata la propria privacy, hanno tempi tali da non consentire un effettivo ristoro, non tanto in termini economici - di eventuale risarcimento dei danni patiti, tutti da dimostrare, e non è semplice quanto di carattere sociale. Che senso ha dopo vari anni vedersi riconoscere che qualcuno non poteva utilizzare quei dati personali? Inoltre, si assiste ad un continuo altalenante atteggiamento della magistratura nei confronti del riconoscimento del diritto all’oblio, in contrapposizione al diritto di cronaca. Le Sezioni Unite della Corte di Cassazione con sentenza del 22 luglio 2019, n. 19681 (5), hanno affermato che, in tema di rapporti tra il diritto alla riservatezza (nella sua particolare connotazione del cd. diritto all’oblio) e quello alla rievocazione storica di fatti e vicende concernenti eventi del passato, il giudice di merito deve valutare la sussistenza di un “interesse pubblico”, concreto ed attuale alla diffusione di dati identificativi delle persone che di quei fatti e di quelle vicende furono protagonisti. E’ possibile rievocare quelle vicende con la menzione del nome delle persone solo se riguardi personaggi che in quel momento siano di interesse per la collettività, in ragione della loro notorietà e per il ruolo pubblico rivestito. Altrimenti, avverte la Corte, deve prevalere il diritto degli interessati alla riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell’onore e dei quali si sia ormai spenta la memoria collettiva. Il fatto è che talvolta è proprio la rievocazione dei fatti in sé a sollecitare l’”interesse pubblico” che giustifica la diffusione dei dati identificativi per rinfocolare la memoria collettiva. Si pensi ad eventi risalenti nel tempo legati a stragi, omicidi particolarmente efferati e così via dove l’”interesse pubblico” può considerarsi attuale per conoscere l’età dei protagonisti, la loro storia civile e politica. E poi,
(4) Sul punto con la solita lucidità G. Amato, Democrazia e potere dei dati. A proposito di un recente libro del garante per la protezione dei dati personali, in questa Rivista, 2019, 615.
(5) In questa Rivista, 2019, 717, con nota di Poletti e Casarosa, IL diritto all’oblio (anzi, i diritti all’oblio) secondo le Sezioni Unite.
DIRITTO DI INTERNET N. 1/2020
5
SAGGI la “dignità” e l’“onore” della persona sono valori difficilmente rivalutabili in soggetti che in passato si sono distinti per atti particolarmente gravi contro la serena e rispettosa convivenza civile. Il problema – ancora una volta – è un altro e che cioè mentre prima il supporto cartaceo consentiva una archiviazione fisica che ne limitava la memoria a quei soggetti che procedevano a quella archiviazione, oggi la notizia sul supporto elettronico può essere memorizzata da chiunque navighi su internet e addirittura può essere “recuperata” anche se si fosse proceduto alla sua eliminazione. E così come Rodotà rilevò che non fosse più attuale nell’era di internet il “diritto ad essere lasciati soli”, ma che al più questo diritto si fosse trasformato in diritto all’accesso ai propri dati personali per controllarne l’esattezza e la verità, oggi mi pare che sia proprio la “tecnica” a non consentire l’attuazione del “diritto all’oblio” e che al più il soggetto che si ritenesse cambiato rispetto a quella notizia – che egli riterrà evidentemente offensiva o quantomeno non più adeguata alla propria “identità” personale – potrà con gli stessi mezzi e strumenti evidenziare tale difformità rispetto al tempo presente. In qualche modo internet annulla la dimensione temporale sicchè non c’è un passato e un futuro, ma solo il presente vissuto nel momento in cui si naviga in quell’ambito (6). La persona autore di un efferato delitto che abbia scontato la sua pena non per questo ha annullato quel suo atto criminoso. Solo che prima se ne era data notizia sulla carta stampata e quindi – salvo casi eccezionali – non se ne rievocava la memoria nel momento in cui tornava a piede libero. Ora il mezzo informatico consente di riportare alla memoria un fatto di cronaca del passato senza particolari difficoltà di ricerca. Ma anche eventi meno traumatici possono far comprendere la differenza di situazioni che assumono rilevanza giuridica. Vari decenni fa, c’era una trasmissione televisiva intitolata “La domenica sportiva” la cui sigla finale mostrava uno spettatore che in uno stadio di calcio esultava con le braccia alzate e urlando. Ebbene quella persona diffidò la RAI a eliminare quella sigla che lo mostrava in una manifestazione emozionale in cui egli non si riconosceva più e ciò in nome del diritto alla propria identità personale. Così fu fatto e nessuno sarebbe stato in grado – salvo ovviamente la RAI e qualche spettatore che avesse proceduto alla registrazione della sigla – di risalire a quelle immagini una volta eliminate. Oggi, invece, è possibile attraverso i motori di ricerca e i social recuperare anche quelle immagini. È evidente, allora, che se la tutela dei diritti della personalità, in particolare alla propria identità personale, poteva un tempo essere attuata con piena efficacia, oggi la
(6) Rodotà, Il mondo nella rete. Quali i diritti, quali i vincoli, Bari, 2014.
6
DIRITTO DI INTERNET N. 1/2020
tecnica sopravanza le tutele giuridiche che non sono più adeguate a realizzare appieno il risultato divisato dalla persona e formalmente previsto dal diritto. L’alto numero di soggetti (infinito?) che attraverso internet potrebbero continuare a diffondere la notizia e il dato personale, che pure non avesse più alcun interesse pubblico ad essere conosciuto e che anzi potrebbe risultare di offesa alla “dignità” e all’”onore” della persona, renderebbe complesso e quanto meno scoraggerebbe quest’ultimo ad intraprendere una qualsiasi azione giudiziaria, o comunque lo porrebbe nella necessità di fare una scelta verso chi indirizzare la propria azione. La giurisprudenza comunitaria e nazionale, la dottrina, i provvedimenti del Garante hanno varie volte affrontato il tema del diritto all’oblio, imponendo la “deindicizzazione”, intervenendo direttamente sul motore di ricerca, ma non si tratta mai di risultati del tutto soddisfacenti e risolutivi. Il fatto stesso che i suddetti interventi giurisprudenziali e del Garante al fine di dare effettività al “diritto all’oblio” siano richiamati in altre pronunce o in dottrina manifesta che su quell’evento, su quella persona difficilmente cadrà l’oblio. Inoltre, la raccolta del dato personale, seppure ab origine lecitamente attuata, talvolta viene indirizzata anche a fini diversi che mano a mano possono ampliarsi e disarticolarsi, sicché ci si accorge, ma talvolta troppo tardi, che il trattamento non è rimasto nei limiti che si riteneva fossero stati dichiarati, anche perché l’uso di termini stranieri e per di più estremamente tecnici non ne consente una esatta comprensione. Sicché la persona non è neanche più proprietaria del proprio dato personale, in ragione della impossibilità (o quantomeno della forte difficoltà) ad esercitare lo ius exludendi alios che del diritto di proprietà è uno dei principali caratteri. Il dato personale, una volta immesso su internet, si distacca dal suo titolare, questi difficilmente riesce a dominarlo (la radice latina dominus ne dà pienamente il senso), a limitarne l’utilizzazione, la diffusione, il trattamento secondo il significato proprio della legge sulla privacy e banche dati. E quel dato personale comincia ad avere una propria autonoma circolazione, può diffondersi sui social, essere condiviso nella posta elettronica, essere oggetto di transazione commerciale, immesso sul mercato, e così via. Ecco allora l’importanza che il dato personale sia veritiero, corretto, aggiornato e attuale” e tale controllo non dovrebbe spettare solo al titolare (a cui è riconosciuto tale diritto) ma anche a chi lo diffonde, lo utilizza, lo mette in circolazione. Ed allora, ancora una volta, emerge la difficoltà a comprendere secondo schemi e criteri “tradizionali” il regime giuridico del dato personale nell’ambito internet. Quel dato identificativo della persona, in senso ampio, cioè non soltanto limitato al dato anagrafico, ma esteso alle competenze professionali, ad eventi della vita sociale e a quant’altro non rimane nell’esclusiva sfera di appartenenza del titolare ma è, dal
SAGGI punto di vista tecnico, di comune fruizione: sta al titolare provare che la sola utilizzazione costituisce un atto illecito e come tale sanzionabile. Ma, abbiamo già rilevato, è difficile sia dal punto di vista giuridico che tecnologico poter affermare una tale situazione e ottenere una piena soddisfazione. Ancora una volta, insomma – e ne parleremo nel paragrafo conclusivo – si manifesta l’incapacità e la limitatezza degli attuali strumenti giuridici a “comprendere” e a disciplinare il fenomeno informatico. Anche la posta elettronica si caratterizza fortemente e si distingue rispetto alla posta ordinaria. La spedizione postale era sempre individuale anche se poi quello stesso documento poteva essere replicato più volte e spedito a più soggetti diversi. Ma necessariamente i tempi di ricezione del documento spedito erano diversi tra i vari destinatari, a seconda dei luoghi da raggiungere, mentre con la posta elettronica si ha una perfetta contemporaneità di spedizione ai vari destinatari dovunque essi siano fisicamente ubicati e qualunque ne sia il numero; con la posta ordinaria si sapeva solo dopo qualche tempo se la lettera era giunta all’indirizzo del destinatario, mentre con la posta elettronica un tale riscontro è pressoché immediato. Rimane identica solo la presunzione di conoscibilità, salvo che da un lato la ricezione della posta elettronica non sia legata a caratteri biometrici del destinatario e dall’altro non sia esplicitamente indicato che il destinatario è un robot, cioè non si appalesa immediatamente una persona fisica come destinataria. E passiamo così ad un altro argomento molto interessante. L’identità informatica trova oggi il più avanzato sviluppo attraverso la cd intelligenza artificiale, gli agenti software, i robot che sono in grado – pur se creati dall’uomo – di ragionare autonomamente, di assumere decisioni, di elaborare dichiarazioni giuridicamente vincolanti, di concludere ed eseguire contratti, di manifestarsi all’esterno come se fossero dotati di una propria autonoma identità. Rispetto a quanto esposto prima, qui ci troviamo di fronte ad un cambiamento totale di prospettiva, che pone inquietanti interrogativi sociali e giuridici. Il robot – chiamiamolo così per semplificarne l’identificazione – è stato strutturato con un software che ha immagazzinato una serie innumerevole di dati e informazioni riguardanti la persona fisica, nonché informazioni diverse, dati, materiale normativo ecc., che il robot elabora, determinando così una sorta di clonazione identitaria. Il complesso dei dati riguarda le abitudini di vita, gli atti, i documenti, le relazioni espresse attraverso foto e/o video riguardanti una determinata persona, sì da poterne costruire un soggetto che può ritenersi aderente pienamente a quella determinata persona. Perciò parlavo di clonazione identitaria. Ma allo stesso modo si potrebbe creare un robot che abbia una propria identità frutto di una elaborazione di dati ed informazioni non riferibili ad una persona fisica in
particolare. L’intelligenza artificiale creando essa stessa software in grado di elaborare dati, realizza una macchina capace di pensare come un essere umano, di provare addirittura sentimenti o pseudo sentimenti, come il robot del film di Spielberg “Artificial Intelligence” del 2001, incapace però di amare. Se è vero – così come sembra abbia concluso una recente ricerca scientifica – che la coscienza sia ubicata in una determinata parte del cervello, e quindi si verrebbe così a superare la concezione filosofica di coscienza, intesa come essere, secondo l’insegnamento di Heidegger, non classificabile in modelli formali per quanto elaborati e complessi possano essere, non ritengo che le neuroscienze, però, possano dimenticare che se il “luogo” dell’identità umana è rappresentato dalla coscienza, quest’ultima indica non soltanto un complesso di neuroni ma anche una ben più complessa sintesi di reazioni originate ab externo (ambiente sociale, relazioni interpersonali, vicende personali, ecc.), non soltanto ab interno. Ed allora? Fino a che punto è possibile creare una coscienza del robot? Fino a che punto è possibile riconoscere una coscienza al robot? A mio parere ciò non è possibile e non sarà mai possibile, proprio perché, a prescindere dalle proprie credenze religiose, ognuno di noi avverte che l’uomo non è solo materia ma anche spirito: quella sintesi che magistralmente Michelangelo avverte e sintetizza nell’affresco della Cappella Sistina, rappresentando Dio e Adamo un momento prima di toccarsi, entrambi con le braccia alzate. Ecco che già la pretesa ed il tentativo stesso di riconoscere al robot anche una coscienza – proprio al fine di realizzare la piena clonazione umana – pone un enorme problema etico, che si affianca a tutti gli altri che il fenomeno informatico suscita. Ma anche dal punto di vista giuridico sono tanti e gravi i problemi che si stagliano con evidenza. Il primo proprio quello se possa riconoscersi una soggettività giuridica autonoma e, in un certo senso, fino a che punto sia delegabile ad un autonomo algoritmo una attività giuridicamente rilevante. Il T.A.R. Lazio, sez. Terza bis, 10-13 settembre 2019, n. 10964, ad esempio, ha statuito che “In una procedura amministrativa l’attività umana non può mai essere sostituita da un impersonale algoritmo anche ove rasenti la perfezione” e questo perché “…le procedure informatiche, finanche dove pervengano al loro maggior grado di precisione e addirittura alla perfezione, non possono mai soppiantare, sostituendola davvero appieno l’attività cognitiva, acquisitiva e di giudizio che solo un’istruttoria affidata ad un funzionario persona fisica è in grado di svolgere” (7). Un impersonale algoritmo non sarebbe in grado di fornire quel grado di affidabilità, soprattutto dal punto di vista della motivazione (7) In questa Rivista, 2020, 179, con nota di M. Ferrari, La seducente perfezione di algoritmi e intelligenza artificiale nelle procedure amministrative alla luce dei modelli di responsabilità civile.
DIRITTO DI INTERNET N. 1/2020
7
SAGGI dell’atto amministrativo, che solo l’essere umano può garantire. Agli strumenti informatici deve essere riservato un ruolo appunto meramente strumentale, devono limitarsi ad offrire supporto nel corso del procedimento amministrativo, ma non possono sostituire l’indispensabile attività umana. Per quanto possa svilupparsi la tecnologia, essa non potrà mai sostituire l’attività umana e la sua imprevedibilità, che la tecnologia potrà limitare ma mai eliminare del tutto. La rigidità, l’astrattezza e la rigorosità dell’Intelligenza Artificiale non potrà mai soddisfare quei caratteri dell’attività umana che manifestano un sentimento, una passione, un imprevedibile moto di “attenzione” individuale (che prima abbiamo in parte tradotto con coscienza). La stessa creatività umana non è paragonabile a quella del robot, quest’ultima, infatti, per quanto sia, è comunque il frutto di una elaborazione di dati che segue determinate logiche, per carità sicuramente intelligenti, ma proprio in quanto tali, non creative. Inoltre, al robot non ritengo possa riconoscersi soggettività giuridica, laddove non sia possibile considerarlo titolare di un autonomo patrimonio, e quindi conseguirebbe l’inapplicabilità – fra le altre – della norma dell’art. 2740 c.c.. Né potrebbe, allo stesso modo, farsi ricorso alla normativa in tema di rappresentanza, perché oltre alla inapplicabilità delle norme sulla capacità anche qui si scoprirebbe l’assenza della titolarità di un patrimonio. Con riguardo alla normativa sulla rappresentanza, peraltro, si porrebbe anche una evidente “contraddizione” logico giuridica. Infatti, l’art. 1390 c.c. commina l’annullabilità del contratto se è viziata la volontà del rappresentante (cioè del robot), salvo che il vizio riguardi elementi predeterminati dal rappresentato: nel caso degli smart contract, dei robot, dell’intelligenza artificiale, il contenuto del contratto va “imputato” direttamente a quest’ultimo oppure no? Pur nell’autonomia formativa ed esecutiva del contratto da parte del robot, permane comunque una diretta “partecipazione” del rappresentato? E così con riguardo all’applicabilità dell’art. 1391, primo comma, c.c., possono “imputarsi” al robot gli stati di “buona o di mala fede, di scienza o di ignoranza di determinate circostanze” oppure pur – ripeto - pur nell’autonomia formativa ed esecutiva del contratto da parte del robot permane comunque una diretta “partecipazione” del rappresentato e quindi sarebbero da considerare elementi predeterminati dal rappresentato? Ed anche il secondo comma dell’art. 1391 c.c. sarebbe di complicata applicazione, perché si dovrebbe ritenere plausibile uno stato di mala fede del rappresentato a fronte “dello stato di ignoranza o di buona fede del rappresentante” cioè del robot. E ancora, che dire dell’art. 1398 c.c., per l’ipotesi che, stante l’autonomia decisionale del robot, questi ecceda dai poteri rappresentativi? Nella logica dell’intelligenza artificiale è possibile pensare che il robot ecceda dai limiti rappresentativi? Ma nello stesso tempo qua-
8
DIRITTO DI INTERNET N. 1/2020
lora ciò accadesse come riuscirebbe il rappresentato a provarlo, atteso che il robot ha una propria autonomia di pensiero, di elaborazione della volontà espressa? E se anche si riuscisse a provarlo, con quale “patrimonio” il robot potrebbe risarcire il “danno che il terzo contraente ha sofferto per aver confidato senza sua colpa nella validità del contratto”? Dovrebbe valere il principio dell’autoresponsabilità in capo al rappresentato? Ma allora verrebbe meno tutta la costruzione in termini di rappresentanza. E presenta sicuramente profili problematici e di difficile soluzione anche l’applicazione della normativa in tema di errore nella contrattazione tra robot intelligenti. Già la lettera dell’art. 1429 c.c. sull’errore essenziale, al numero 3, dove si parla di “qualità della persona dell’altro contraente”, pone un evidente interrogativo laddove il o i contraenti sono dei robot, dotati in quanto tali di intelligenza che esclude ex se la possibilità di errore: si tratta necessariamente di una qualità personale che non ammette carenze, impreparazione e così via. E ancora con riguardo all’art. 1431 c. c. che tratta dell’”errore riconoscibile: L’errore si considera riconoscibile quando in relazione al contenuto, alle circostanze del contratto ovvero alla qualità dei contraenti, una persona di normale diligenza avrebbe potuto rilevarlo”. Si legge nuovamente il riferimento alla qualità dei contraenti, ma soprattutto si fa riferimento alla normale diligenza ai fini del riconoscimento dell’errore. Ebbene, proprio perché la qualità del robot dotato di intelligenza artificiale ne fa un “essere” infallibile, ne consegue l’impossibilità in astratto a ritenere manifestarsi un errore nella dichiarazione negoziale resa dal robot e riconoscibile dall’altro robot. Salvo ad ammettere che un robot è più intelligente dell’altro e che comunque esso anche sia fallibile, contraddicendo così proprio la peculiare rilevanza del robot, dell’intelligenza artificiale. Infine – ma tanti ancora potrebbero essere i profili degni di essere esaminati – il riconoscimento di una soggettività giuridica autonoma del robot, implicherebbe necessariamente una disciplina legislativa specifica che ne circoscrivesse i limiti operativi. Oppure si ritiene che gli vadano riconosciuti gli stessi diritti di una persona fisica? Gli stessi diritti della personalità? Le stesse capacità? Le stesse libertà, costituzionalmente garantite e in parte riprese nel codice civile? Se all’inizio della seconda rivoluzione industriale la produzione nella catena di montaggio – magistralmente rappresentata da Charlie Chaplin in Tempi Moderni riduceva lo stesso individuo ad uno strumento ripetitivo di atti e comportamenti che degradava la dignità del lavoratore, così oggi la società informatica (nel significato più ampio che possa assumere) sembra offrire nel contempo opportunità di crescita individuale (soprattutto dal punto di vista conoscitivo) ma anche rinunce importanti in termini di rispetto della propria dignità (gli accenni fatti prima a proposito del diritto alla privacy ne è evidente
SAGGI manifestazione) e di tutela della propria identità personale (gli accenni fatti prima ai criteri di identificazione ne sono una evidente manifestazione): la riduzione il più della volte della persona ad un numero, l’assoggettamento ad una elaborazione da parte di un robot, la necessità di dover seguire un percorso fatto di porte che si aprono con chiavi gestite da altri per ottenere servizi che ci spettano come cittadini o comunque come titolari di determinati diritti. Si realizza così una sorta di appiattimento sociale e standardizzazione operativa (peraltro non sempre di facile attuazione) che offende la dignità della persona, perlomeno per come siamo sempre stati abituati a considerare la dignità. Mi chiedo, infatti, se la circostanza che tutti noi si accetti passivamente una tale situazione non porti a dover ripensare lo stesso concetto di dignità, nel senso che, andando al di là del mero significato di non discriminazione, sicuramente le tecniche informatiche si manifestano il più delle volte in contrasto con come viene assunta la dignità umana, nella Costituzione, nello Statuto dei lavoratori, e in altri importanti Documenti. Il tema merita un approfondimento non soltanto dal punto di vista giuridico, ma vieppiù dal punto di vista sociologico e filosofico. In questa sede e nell’economia di questo lavoro, mi limito a constatare da un lato una sorta di rinuncia – non so quanto, sempre consapevole – alla propria dignità e dall’altro una sorta di erosione della dignità della persona da parte della moderna tecnologia informatica. Si assiste, insomma, ad un rassegnato compromesso tra l’inevitabile progredire della tecnologia informatica e la difesa di quel che è possibile difendere della propria dignità. La necessaria rinuncia porta, dunque, ad un nuova dimensione e significato di dignità. Tali ultime osservazioni ci introducono ad alcune riflessioni finali.
tanza. Dobbiamo essere consapevoli che così come la negoziazione informatica ha creato un nuovo mercato, così l’informatica pervadendo e espandendosi in ogni spazio della vita di relazione ha strutturato una nuova persona, addirittura una nuova nozione di dignità. Se continuiamo a ragionare secondo gli schemi tradizionali, rischiamo di non comprendere appieno il fenomeno, nel vero senso del verbo, e a non individuare le soluzioni adeguate. Comprendere significa capire e anche accogliere nella mente, afferrare il senso di qualche cosa. La circostanza che l’ambito internet è senza confini territoriali e temporali, che la persona si manifesta sotto varie forme, che i robot sostituiscono gli individui in varie manifestazioni della vita di relazione, e così via non può ritenersi comunque dominabile da parte dell’uomo attraverso un mero – per quanto complesso – intervento normativo, che peraltro – ripeto – non dovrebbe riguardare la singola nazione ma dovrebbe estendersi a livello internazionale, o meglio universale. Troppo spesso la tecnica non riesce ad essere incanalata in un percorso di liceità giuridica, sicché si assiste ad una sostanziale impotenza del legislatore (anche penale) a salvaguardare ed a tutelare la persona con efficacia e tempestività rispetto alle aggressioni sociali, economiche, finanziarie perpetrate dalle moderne tecniche informatiche. E’ necessario allora che la scuola, la famiglia assumano il compito di educare fin dalla più tenera età l’individuo all’utilizzo corretto e rispettoso degli altri di tali tecniche, in modo da formare una persona attenta al rispetto della dignità altrui, seppure secondo quella formula di compromesso a cui innanzi si faceva riferimento. La dignità propria trova conferma e riconoscimento nel rispetto della dignità altrui.
3. Riflessioni conclusive
Non c’è dubbio, l’informatica ed internet hanno cambiato e continuano a modificare la società civile e il mercato. Si modificano le abitudini di vita, sociali, le relazioni interpersonali; si modificano ed evolvono anche i problemi e per essi non sempre si individuano le soluzioni più adeguate e soddisfacenti per le persone. Ciò che a me sembra – e spero, in verità, che le precedenti riflessioni siano riuscite in qualche modo a darne conto – è che il mutamento sociale e giuridico prodotto è totale e complesso. Talune soluzioni normative ai problemi che sono stati evidenziati non possono essere date a livello esclusivamente nazionale, né si possono ricercare adattando normative e procedure vigenti ed operanti prima dell’introduzione di quel particolare sistema informatico. Quanto detto a proposito della dignità dà conto della dimensione del problema e della sua ontologica impor-
DIRITTO DI INTERNET N. 1/2020
9
SAGGI
Cybersecurity: quid novi? di Lorenzo Picotti Sommario: 1. La “sicurezza informatica” come nuovo bene giuridico. – 2. Il passaggio dai computer crime ai cybercrime e l’armonizzazione sovranazionale. – 3. Nuove frontiere della “sicurezza cibernetica” (cybersecurity). – 4. Conclusioni. Il saggio tratta dell’evoluzione della “sicurezza informatica”, che segue la trasformazione del web in un Cyberspace globale, in cui le nuove minacce, anche a diritti ed interessi fondamentali della persona e della collettività, richiedono risposte adeguate, come dimostra già il passaggio dalla ristretta categoria dei computer crime a quella ben più estesa dei cybercrime, riflessa nei corrispondenti interventi di armonizzazione sovranazionale. Oggi la nuova “sicurezza cibernetica” (cybersecurity) non è più affidata solo ai singoli titolari dei sistemi, ma è demandata a penetranti poteri delle autorità pubbliche, come ben si evince dalle norme europee e nazionali più recenti, come quelle sul “Perimetro di Sicurezza Nazionale Cibernetica” (d.l. 105/2019, conv. in l. 133/2019). The Paper deals with the evolution of cybersecurity within that of Cyberspace and the harmonization rules for cybercrime. Overcoming the idea that only the titular of each Information-system was responsible for his security, the recent European and national sources and in particular the legislative decree 105/2019 conv. by law 133/ 2019, containing “urgent provisions” on the “National Cyber Security Perimeter”, intends ensure a “high level of security of networks, information systems and IT services” giving broad powers to the public authorities. The Paper deals with the problem of the provision of harmonization rules for cybercrime, with particular reference to the legislative decree September 21, 2019, n. 105, conv. with amendments by law 18 November 2019 n. 133, containing “urgent provisions” on the “National Cyber Security Perimeter”, which intends to ensure a “high level of security of networks, information systems and IT services”.
1. La “sicurezza informatica” come nuovo bene giuridico
Di “sicurezza informatica” come nuovo bene giuridico, nato dallo sviluppo dei sistemi informatici e telematici e dalla loro crescente diffusione nelle strutture pubbliche e private, si è cominciato a parlare in Italia dalla fine degli anni Ottanta, quando è emersa, con la loro vulnerabilità, la necessità di affiancare alle misure di sicurezza tecniche, anche presidi di natura giuridico-penale, per prevenire e reprimere condotte offensive di dati, programmi, sistemi. L’ottica era sostanzialmente quella di una protezione contro le minacce dei c.d. computer crime, che crescevano parallelamente all’informatizzazione di settori sempre più importanti dell’economia e della pubblica amministrazione, da quello bancario ed assicurativo, fino alla sanità ed alla finanza, in modo da colpire anche penalmente le aggressioni alla riservatezza, all’integrità, alla disponibilità dei dati, delle informazioni e dei sistemi stessi. In altri termini, la sicurezza informatica era vista come strumentale alla tutela di altri beni giuridici “finali”, sia della persona, sia della collettività (1). Da un lato, quindi, si riconducevano ad essa le nuove fattispecie incriminatrici dei danneggiamenti informatici (vale a dire di dati, programmi e sistemi informatici: (1) Al riguardo sia consentito rinviare a Picotti, Sicurezza, informatica e diritto penale, in Donini, Pavarini (cur.), Sicurezza e diritto penale, Bologna 2011, 217 s.
nel nostro ordinamento sanzionati dagli art. 420 e 635bis c.p., quali rispettivamente modificato ed introdotto dalla legge 23 dicembre 1993, n. 547, la prima contro la criminalità informatica, poi trasfusi, con modificazioni, negli articoli da 635-bis a 635-quinquies c.p. ad opera della legge 18 marzo 2008, n. 48, di attuazione della Convenzione Cybercrime di cui si dirà), colpendo anche condotte prodromiche, quali il procurarsi ed il diffondere programmi virus con lo scopo di danneggiare sistemi, informazioni, dati o programmi (art. 615-quinquies c.p. introdotto dalla legge 547/1993 e riformulato dalla legge 48/2008) (2); dall’altro si sanzionavano penalmente le aggressioni alla “riservatezza informatica”, quale bene giuridico parimenti nuovo, nato con lo sviluppo tecnologico, e corrispondente al diritto di escludere terzi da propri spazi informatici riservati o, come si diceva, dal proprio “domicilio informatico”, colpendo l’accesso abusivo ad un sistema altrui, nonché la condotta prodromica di detenere o diffondere abusivamente codici, parole chiavi o altri mezzi di accesso (artt. 615-ter e 615-quater c.p., introdotti dalla legge 547/1993) (3).
(2) Per un quadro in argomento cfr. Salvadori, Il “microsistema” normativo concernente i danneggiamenti informatici. Un bilancio molto poco esaltante, in Riv. it. dir. proc. pen., 2012, 204 s. (3) Sulla distinzione fra “riservatezza informatica”, che trova tutela penale nel codice fra i delitti contro la persona, e disciplina anche sanzionatoria, non solo penale, dei dati personali, contenuta nel Codice privacy (ed oggi soprattutto nel Regolamento dell’Unione europea 2016/679:
DIRITTO DI INTERNET N. 1/2020
11
SAGGI La tutela penale peraltro era (come ancor oggi) subordinata all’onere di proteggere i sistemi stessi con “misure di sicurezza”, in conformità al principio di extrema ratio della sanzione penale ed in conformità alla concezione privatistica della sicurezza stessa, quale bene sostanzialmente disponibile in capo al titolare del sistema informatico (4). Per vero la nuova disciplina sulla raccolta ed il trattamento dei dati personali, vale a dire della privacy strettamente intesa, di cui alla legge 31 dicembre 1996, n. 675, presidiava penalmente l’obbligo di garantire, da parte del titolare del trattamento, la “sicurezza dei dati personali”, che potevano essere di terzi, adottando le “misure di sicurezza necessarie” quali prescritte da appositi decreti ministeriali previsti dall’art. 15, tanto da punirne l’omissione anche solo colposa (art. 36). Presidio penale sostanzialmente riprodotto nell’art. 169 del Codice privacy di cui al d.lgs. 30 giugno 2003, n. 196, che pur articolava in termini più ampi ed elastici l’obbligo della sicurezza, sanzionando penalmente la mancata adozione – seppur sempre anche solo colposa – delle “misure minime” di cui all’art. 31. Tali norme sono però state abrogate dal d.lgs. 10 agosto 2018, n. 105, di adeguamento del Codice privacy al Regolamento generale dell’Unione europea 2016/679 in materia di trattamento dei dati personali (c.d. GDPR), che ha affidato ad una diversa disciplina dinamica, basata sulla valutazione e prevenzione dei rischi specifici per i diversi trattamenti e dati che vengano in rilievo, ed a sanzioni amministrative assai incisive, la tutela della sicurezza in tale campo (5).
2. Il passaggio dai computer crime ai cybercrime e le norme di armonizzazione sovranazionale
Se è emersa, quindi, l’esigenza che la “sicurezza” perlomeno nel trattamento dei dati personali si configurasse come obbligo, penalmente e comunque fortemente sanzionato, e non più quale mero onere per la tutela penale della “propria” sfera di riservatezza informatica, stante l’evidente stretta connessione fra i due beni, il passaggio epocale è stato segnato dalla dimensione pervasiva e dal ruolo essenziale che ha assunto la rete globale, o meglio il Cyberspace, quale realtà non solo tecnologica, c.d. GDPR), sia consentito rinviare a Picotti, La tutela penale della persona e le nuove tecnologie dell’informazione, in Id. (cur.), Tutela penale della persona e nuove tecnologie, Padova 2013, 59 s.
(4) Si vedano in specie Flor, Verso una rivalutazione dell’art. 615 ter c.p.? Il reato di accesso abusivo a sistemi informatici o telematici fra la tutela di tradizionali e di nuovi diritti fondamentali nell’era di Internet, in <www.penalecontemporaneo.it> (2.5.2012); Salvadori, L’accesso abusivo ad un sistema informatico o telematico. Una fattispecie paradigmatica dei nuovi beni giuridici emergenti nel diritto penale dell’informatica, in Picotti (cur.), Tutela penale della persona, cit., 125 s. (5) Un primo quadro è stato offerto da Finocchiaro, Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna 2017.
12
DIRITTO DI INTERNET N. 1/2020
ma di assorbente interazione, scambio e comunicazione permanente, fra qualsivoglia soggetto ed ente, pubblico e privato, in cui la sicurezza – divenuta “cibernetica” – è assurta ad interesse primario e per certi aspetti totalizzante, non solo della persona, ma anche o prima di tutto della collettività. Non si tratta infatti più solo di fronteggiare nuove tipologie di singole condotte, penalmente illecite, definite oggi quali cybercrime, perché costituite da ogni genere di delitti – non solo quelli informatici strettamente intesi – che si possono realizzare in rete (o meglio nel Cyberspace) (6): dall’estorsione, al riciclaggio (7), dalle truffe e frodi nei mezzi di pagamento, al cyberstalking e cyberbullismo, fino ai più gravi attacchi del cyberterrorism, se non anche del cyberwarfare. Contro le offese più tradizionali sono stati e vengono certamente adeguati gli strumenti del diritto penale e del diritto processuale penale, come ben dimostra la lungimirante Convenzione Cybercrime adottata fin dal 2001 dal Consiglio d’Europa (8). In essa, accanto alla previsione di norme d’armonizzazione dei crimini informatici, offensivi della classica triade di beni giuridici rappresentati dalla confidenzialità, integrità e disponibilità dei dati e dei sistemi informatici (ripresi anche nella Direttiva UE 2013/40), oltre che di altri delitti cibernetici quali la pedopornografia e le più gravi violazioni dei diritti d’autore, sono state stabilite essenziali norme di adeguamento ed armonizzazione della disciplina processuale in materia di ricerca, raccolta, conservazione ed utilizzazione delle prove elettroniche, riguardanti qualsivoglia reato (art. 14, par. 2, lett. c), non solo commesso in rete o tramite mezzi informatici, al fine di garantire la massima assistenza reciproca e cooperazione internazionale fra gli Stati parte (artt. 27 segg.) nella repressione della criminalità che si realizzi o manifesti in ogni sua possibile forma nella rete.
(6) Per la distinzione fra le diverse categorie di reati commessi in rete in un quadro sistematico cfr. Picotti, Diritto penale e tecnologie informatiche: una visione d’insieme, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (cur.), Cybercrime, Milano 2019, 33 s. (7) In argomento volendo Picotti, Profili penali del Cyberlaundering: le nuove tecniche di riciclaggio, in Riv. trim. dir. pen. ec., 2018, 560 s., nonché Soana, Cripto-valute e riciclaggio. Modus operandi e tentativi regolatori, in questa Rivista, 2019, 671. (8) Sul punto volendo Picotti, La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Profili di diritto penale sostanziale, in Dir. pen. proc., 2008 n. 6, 700 s.; in generale cfr. Corasaniti, Corrias Lucente (cur.), Cybercrime, responsabilità degli enti, prova digitale. Commento alla Legge 18 marzo 2008, n. 48, Padova, 2009; Luparia (cur.), Sistema penale e criminalità informatica. Profili sostanziali e processuali nella legge attuativa della Convenzione di Budapest, Milano 2009.
SAGGI 3. Nuove frontiere della “sicurezza cibernetica” (cybersecurity)
Ma oggi la “sicurezza cibernetica” (cybersecurity) ha assunto un’importanza ed una dimensione ancor più ampie e pervasive, che si manifestano in un approccio anche giuridico radicalmente diverso (9). Si deve infatti muovere dal riconoscimento che dalle reti e dai sistemi informatici dipendono ormai funzioni e servizi essenziali, per la società, l’economia, i diritti e gli interessi pubblici e privati. L’approccio è quindi quello di assicurare, a livello generale, un elevato grado di sicurezza delle reti e dei sistemi in quanto tali, avendo essi stessi acquisito il rango di autonomi “beni giuridici”, in determinati contesti, con meccanismi quindi di “mappatura” delle infrastrutture critiche, determinazione di regole dinamiche di prevenzione e compliance, segnalazione obbligatoria di attacchi ed incidenti che mettano a rischio l’esercizio delle funzioni e dei servizi dipendenti da tali reti e sistemi. Al riguardo basti segnalare la diversa prospettiva adottata, rispetto alla Direttiva comunitaria 95/46, dal citato Regolamento UE 2016/679 (c.d. GDPR), in materia di trattamento e circolazione dei dati personali, per garantire la sicurezza in tale campo, che ormai abbraccia sempre più vaste categorie di dati e sistemi: il titolare del trattamento deve oggi adeguare dinamicamente ad essi il livello di attenzione e responsabilizzazione, secondo parametri generali di valutazione dei rischi, risposta e tracciamento (artt. 33 e 34), per prevenire e contrastare violazioni ed anche eventi accidentali (art. 4), che vanno segnalati e comunicati, nelle condizioni stabilite, anche agli interessati, per evitare più gravi conseguenze ed incidenti futuri. E le violazioni sono come detto punite da severe sanzioni amministrative, stabilite dal Regolamento, che ha efficacia diretta negli Stati membri, oltre che dalle sanzioni penali riformulate a livello nazionale dal d.lgs. 10 agosto 2018, n. 101. Di grande rilievo è soprattutto la Direttiva UE 2016/1148 sulla sicurezza delle reti e dei sistemi informatici (c.d. NIS) (10), che ha posto le basi di una più efficace cooperazione e capacità di risposta degli Stati (9) Per una panoramica sul tema v. Flor, Cybersecurity ed il contrasto ai cyber-attacks a livello europeo: dalla CIA-Triad Protection ai più recenti sviluppi, in questa Rivista, 2019, 453. (10) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. Il testo è disponibile al seguente link <https://eur-lex.europa.eu/legal-content/IT/TXT/ HTML/?uri=CELEX:32016L1148>. In Italia, la suddetta Direttiva è stata attuata attraverso il decreto legislativo 18 maggio 2018, n. 65, “Attuazione della Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”. Il testo è disponibile al seguente link <https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2018-05-18;65!vig=>.
membri in materia, stabilendo in particolare obblighi stringenti di valutazione e gestione del rischio in capo agli operatori di servizi essenziali (in particolare nei settori sanitario, bancario, finanziario, dell’energia, del trasporto, dell’acqua potabile), ed ai fornitori di servizi digitali, siano essi pubblici o privati, che devono altresì notificare i più gravi incidenti relativi alla sicurezza alle competenti autorità nazionali (c.d. CSIRT: Computer Security Incident Report Team), il cui coordinamento fa poi capo all’ENISA (l’Agenzia europea per la sicurezza informatica), istituita nel 2004 ed i cui compiti si sono via via ampliati, fino a quelli di predisporre gli schemi di certificazione della sicurezza dei prodotti, servizi e processi informatici, previsti dal Regolamento UE 2019/881 (c.d. Cybersecurity Act). In ambito nazionale, accanto alla normativa d’attuazione della Direttiva NIS, in specie ad opera del d.lgs. 18 marzo 2018, n. 65, è da ultimo intervenuto il d.l. 21 settembre 2019, n. 105, conv. con modificazioni dalla legge 18 novembre 2019 n. 133, recante “disposizioni urgenti” in materia di “Perimetro di Sicurezza Nazionale Cibernetica” (11) che intende assicurare un “livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici” ben al di là dei settori sopra indicati, applicandosi a tutte le amministrazioni pubbliche, agli enti ed agli operatori pubblici e privati, aventi una sede nel territorio nazionale, “da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale” (12). Per tale così vasto ambito di soggetti ed attività è introdotta un’articolata disciplina, che definisce in termini generali i soggetti pubblici e privati coinvolti, i vari obblighi ed adempimenti cui sono tenuti, in particolare di predisporre gli elenchi delle reti e l’analisi dei rischi, nonché le misure da adottare per fronteggiarli, sia pure con criteri di gradualità, i poteri di certificazione, controllo, ispezione, prescrizione delle autorità governative, le norme in materia di acquisizione e utilizzazione delle tecnologie rilevanti, e quant’altro, rinviando poi in gran parte le norme primarie ad atti amministrativi che dovranno essere adottati dal Presidente del Consiglio dei Ministri, con il supporto del Comitato Interministeriale
(11) Il testo è disponibile al seguente link < https://www.gazzettaufficiale.it/eli/id/2019/11/20/19G00140/sg>. Legge 18 novembre 2019, n. 133, “Conversione in legge, con modificazioni, del decreto-legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”. (12) Cfr. sul punto l’esaustivo quadro offerto da Mele, Il Perimetro di Sicurezza Nazionale Cibernetica, in questa Rivista, 2020, 15 s.
DIRITTO DI INTERNET N. 1/2020
13
SAGGI per la Sicurezza della Repubblica (CISR), entri termini prefissati (già oggetto di modifiche ad opera del d.l. 30 dicembre 2019, n. 162, c.d. milleproroghe, in corso di conversione). Nella sua architettura complessiva, il sistema prevede una competenza regolatoria della Presidenza del Consiglio nei confronti dei soggetti pubblici, nonché di soggetti che forniscano “servizi fiduciari qualificati”, di posta elettronica, di gestione dell’identità digitale, di conservatore di documenti informatici; e del Ministero dello Sviluppo Economico nei confronti degli altri soggetti privati. Per cui rispettivamente all’una o all’altro andranno indirizzati gli adempimenti degli obblighi di comunicazione, di notifica di incidenti rilevanti, di adozione delle misure di sicurezza e quant’altro previsto dalla nuova disciplina, di cui è importante sottolineare anche il ruolo attribuito al Centro di Valutazione e Certificazione Nazionale (CVCN), in particolare per elaborare le misure di sicurezza e le metodologie di verifica e valutazione del rischio, che si raccorderà come organo tecnico alle funzioni demandate dal Cybersecurity Act europeo sopra menzionato. Resta da aggiungere che la nuova normativa in materia di “Perimetro di Sicurezza Cibernetica Nazionale” è intervenuta, ampliandola ad ulteriori casi e situazioni, anche sulla disciplina dei c.d. Golden Power, ossia dei poteri speciali attribuiti al Governo in settori che toccano in generale la difesa e la sicurezza nazionali (d.l. 15 marzo 2012, n. 21 e successive modifiche, in specie ad opera del d.l. 25 marzo 2019, n. 22, conv. dalla legge 20 maggio 2019, n. 41, in materia di reti di telecomunicazione elettronica a banda larga con tecnologia 5G), in forza dei quali esso ha poteri di veto, di imporre condizioni, di opporsi all’acquisto di partecipazioni societarie da parte di soggetti esterni all’Unione europea, che possano compromettere gli interessi della difesa e della sicurezza nazionale (13).
4. Conclusioni
Dunque, può concludersi che il tema della “sicurezza”, prima informatica, ora cibernetica, è divenuto, da ambito privato e disponibile, passando ad obbligo di natura pubblica variamente articolato a seconda dei settori di interesse, le cui violazioni sono state anche penalmente sanzionate, un terreno oggi vastissimo e fondamentale, particolarmente sensibile all’esercizio dell’attività di alta amministrazione, se non della politica, interna ed estera, oltreché economica. Tale marcata evoluzione riflette certamente il parallelo pervasivo sviluppo del Cyberspace, che ha finito per assorbire o comunque intrecciarsi indistricabilmente con
(13) Cfr. sul punto ancora Mele, Il Perimetro, cit., 20 s.
14
DIRITTO DI INTERNET N. 1/2020
ogni dimensione della società odierna, compresa quella amministrativa, economica, politica. Il rischio, tuttavia, è evidente, se non c’è il parallelo presidio, attento ed efficace, di una legittimazione e di un controllo democratici e trasparenti, che nell’indefinito campo delle categorie “aperte” della sicurezza e della difesa nazionale, sappiano garantire il nucleo essenziale del rispetto dei diritti e delle libertà fondamentali delle persone, a partire dalle libertà economiche, di espressione, di informazione, di accesso alla rete, che fanno capo a ciascuno, persona fisica od ente. La sicurezza cibernetica è oggi, certamente, la condizione per l’esercizio anche di questi diritti, oltre che dei servizi e delle funzioni essenziali nella società globale. E tutti i soggetti coinvolti devono (poter) parteciparvi. Ma proprio per questo, il ruolo del diritto penale non può essere relegato al ruolo “meramente sanzionatorio” di punire (con la reclusione da 1 a 3 anni) le più diverse violazioni della disciplina extrapenale, in gran parte stabilita a livello amministrativo, secondo la tecnica della norma penale in bianco, come è sostanzialmente quella di cui all’art. 1, comma 11, del d.l. 105/2019: delitto che a sua volta rientra ora, quale reato presupposto, nella sfera di responsabilità degli enti, ai sensi del d.lgs. 8 giugno 2001, n. 231, il cui art. 24-bis è stato a tal fine esteso, accanto ad un complesso di sanzioni amministrative assai incisive, previste dal comma 9 dell’art. 1 citato, non solo di natura pecuniaria (varianti fra minimi da 200.000 a 300.000 Euro e massimi da 1.200.000 e 1.800.000 Euro), ma anche di natura interdittiva. Infatti, nel quadro strategico, non solo europeo, che mira a rafforzare incisivamente e strutturalmente la tutela della cybersecurity, i così penetranti poteri preventivi, prescrittivi e sanzionatori delle Autorità governative dovranno essere accompagnati dal contrappeso di una forte vigilanza, prevenzione e se del caso repressione di qualsiasi abuso, uso improprio o anche solo strumentale di quei poteri e dell’ampia sfera di discrezionalità che vi è connessa, al fine di salvaguardare le condizioni basilari dello Stato democratico di diritto, che non può divenire esso stesso vittima delle minacce alla sicurezza cibernetica.
SAGGI
Il Perimetro di Sicurezza Nazionale Cibernetica di Stefano Mele Sommario: 1. Il Perimetro di Sicurezza Nazionale Cibernetica. – 2. Gli obblighi per gli operatori nazionali pubblici e privati inseriti nel Perimetro di Sicurezza Nazionale Cibernetica. – 3. Perimetro di Sicurezza Nazionale Cibernetica e “Golden Power”. – 3.1 Modifiche ai poteri speciali nei settori della difesa e della sicurezza nazionale. – 3.2 Modifiche ai poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G. – 3.3 Modifiche ai poteri speciali inerenti agli attivi strategici nei settori dell’energia, dei trasporti e delle comunicazioni. – 4. I poteri del Presidente del Consiglio in caso di crisi di natura cibernetica. – 5. Le sanzioni previste dal Perimetro di Sicurezza Nazionale Cibernetica. La normativa che introduce il cosiddetto ‘Perimetro di Sicurezza Nazionale Cibernetica’ mira ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di tutti quegli operatori pubblici o privati, aventi una sede nel territorio nazionale e che risultino essenziali per la sicurezza nazionale italiana. Il legislatore prova a raggiungere questo obiettivo garantendo al governo un ampio (ma discrezionale) potere di intervento attraverso la riforma del “Golden Power”, oltre che tessendo un ampio e intricato sistema di adempimenti e verifiche, che avranno un notevole impatto sulle società private e sulle pubbliche amministrazioni tanto sul piano operativo, quanto su quello economico e di compliance. The regulation that establish the so-called ‘Perimetro di Sicurezza Nazionale Cibernetica’ (National Cybersecurity Perimeter) aims to ensure a high security level of networks, information systems and computer services of all those public and private operators, having an office in the national territory and which are essential for the Italian national security. The lawmaker tries to achieve this goal guaranteeing a broad (but discretionary) power of intervention to the Italian government through the “Golden Power” reform, as well as weaving a wide and complex scheme of obligations and verifications, which will have a considerable impact on private companies and public administrations on the operational, economical and compliance level.
1. Il Perimetro di Sicurezza Nazionale Cibernetica
Il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, reca “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica” (1) (meglio noto come Perimetro di Sicurezza Nazionale Cibernetica). Attraverso questo intervento normativo, entrato in vigore il 21 novembre 2019, il legislatore mira ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati, aventi una sede nel territorio nazionale, da cui dipenda l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento o interruzione, anche parziali, ovvero
(1) Legge 18 novembre 2019, n. 133, “Conversione in legge, con modificazioni, del decreto-legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”. Il testo è disponibile al seguente link < https://www.gazzettaufficiale.it/ eli/id/2019/11/20/19G00140/sg>.
dall’utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale. In via preliminare occorre fin da subito evidenziare come l’intento della normativa in esame non sia quello di estendere l’applicazione del Perimetro di Sicurezza Nazionale Cibernetica ad ogni operatore pubblico o privato, bensì di sensibilizzare verso una cultura della gestione del rischio cibernetico e di garantire la segnalazione degli incidenti informatici solo nei confronti di quei soggetti: • che abbiano una sede nel territorio nazionale; • da cui dipenda l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato; e, all’interno di questo alveo, solo nel caso in cui: • dal malfunzionamento o interruzione (anche parziali), ovvero dall’utilizzo improprio delle loro reti, dei sistemi informativi e dei servizi informatici possa derivare un pregiudizio per la sicurezza nazionale. Appare fin da subito chiaro, allora, come il Perimetro di Sicurezza Nazionale Cibernetica sia complementare e
DIRITTO DI INTERNET N. 1/2020
15
SAGGI integrativo rispetto al contenuto della Direttiva NIS (2) dell’Unione europea, che si pone quale cornice normativa sovranazionale tesa anch’essa a stabilire misure volte a conseguire un livello comune elevato di sicurezza della rete e dei sistemi informativi nell’Unione, al fine di migliorare il funzionamento del mercato interno. A tal proposito – per completezza – giova ricordare come la norma europea focalizzi, però, la sua attenzione esclusivamente sulla sicurezza della rete e dei sistemi informativi degli “Operatori di Servizi Essenziali”, ovvero di quei soggetti pubblici o privati che erogano servizi nel settore sanitario, bancario, dell’energia, del trasporto, della fornitura e distribuzione di acqua potabile, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, così come sui “Fornitori di Servizi Digitali”, ovvero coloro che erogano servizi per il mercato online, motori di ricerca online e servizi nella nuvola (cloud computing). Dunque, il Perimetro di Sicurezza Nazionale Cibernetica – opportunamente e in maniera lungimirante – da una parte mira a sensibilizzare verso una cultura della gestione del rischio cibernetico e a richiedere la segnalazione degli incidenti informatici a tutti quegli operatori pubblici o privati che, seppur non ricompresi nell’ambito di applicazione della Direttiva NIS, risultino comunque essenziali per la sicurezza nazionale italiana, dall’altra anticipa – come si vedrà successivamente – quanto richiesto dal Cybersecurity Act (3) dell’Unione europea in materia di certificazione della sicurezza cibernetica di prodotti e servizi. Approfondendo il dettato normativo, anche alla luce delle modifiche apportate dall’art. 27 del decreto-legge 30 dicembre 2019, n. 162, recante “Disposizioni urgenti in materia di proroga di termini legislativi, di organizzazione delle pubbliche amministrazioni, nonché di innovazione tecnologica” (il cosiddetto Decreto Milleproroghe), le modalità e i criteri procedurali di individuazione degli operatori
(2) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. Il testo è disponibile al seguente link <https://eur-lex.europa.eu/legal-content/IT/TXT/ HTML/?uri=CELEX:32016L1148>. In Italia, la suddetta Direttiva è stata attuata attraverso il decreto legislativo 18 maggio 2018, n. 65, “Attuazione della Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”. Il testo è disponibile al seguente link <https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2018-05-18;65!vig=>. (3) Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il Regolamento (UE) n. 526/2013 («Regolamento sulla cibersicurezza»). Il testo è disponibile al seguente link <https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32019R0881>.
16
DIRITTO DI INTERNET N. 1/2020
nazionali inclusi nel Perimetro di Sicurezza Nazionale Cibernetica saranno definiti con decreto del Presidente del Consiglio dei ministri, su proposta del Comitato Interministeriale per la Sicurezza della Repubblica (CISR) e previo parere delle competenti Commissioni parlamentari, entro 4 mesi dalla data di entrata in vigore della legge di conversione del decreto-legge (quindi, entro il 21 marzo 2020). Come detto in precedenza, i criteri di fondo utilizzati per l’individuazione di tali soggetti saranno inevitabilmente i seguenti: • l’avere una sede all’interno del territorio nazionale; • l’esercitare una funzione essenziale dello Stato, ovvero l’assicurare un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato; • l’esercizio di tale funzione o la prestazione di tale servizio deve dipendere da reti, sistemi informativi e servizi informatici; • dal malfunzionamento o interruzione (anche parziali), ovvero dall’utilizzo improprio di queste reti, sistemi informativi e servizi informatici potrebbe derivare un pregiudizio per la sicurezza nazionale. Inoltre, alla luce dell’art. 2-bis del Perimetro di Sicurezza Nazionale Cibernetica, introdotto dal Decreto Milleproroghe, la pubblicazione dell’elenco di detti soggetti sarà contenuto in un atto amministrativo – sempre adottato dal Presidente del Consiglio dei ministri su proposta del CISR – pubblicato entro 30 giorni dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri contenente le modalità e i criteri procedurali di individuazione dei soggetti pubblici e privati coinvolti in questa nuova normativa (quindi, entro il 21 aprile 2020). Inoltre, come già avvenuto in precedenza in Italia per l’elenco degli “Operatori di Servizi Essenziali” previsti dalla Direttiva NIS, anche a quest’atto amministrativo verrà applicata una classifica di segretezza e, pertanto, saranno esclusi sia la pubblicazione che il diritto di accesso. Quindi, ad ogni soggetto incluso nel Perimetro di Sicurezza Nazionale Cibernetica verrà data una specifica comunicazione dell’avvenuta iscrizione all’interno dell’elenco in maniera diretta e separata dagli altri. Occorre notare, inoltre, che la predisposizione dell’elenco dei soggetti, delle reti e dei sistemi avverrà sulla base di un criterio di gradualità, tenuto conto delle peculiarità dei diversi settori di attività degli operatori inclusi nel Perimento di Sicurezza Nazionale Cibernetica e dell’entità del pregiudizio per la sicurezza nazionale che potrà derivare dal malfunzionamento, dall’interruzione (anche parziali), ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici. Questa circostanza, unita alla previsione di aggiornamento almeno biennale dell’elenco, fa presagire, in maniera chiara una lenta estensione nel corso del tempo
SAGGI del Perimento di Sicurezza Nazionale Cibernetica a sempre più soggetti pubblici e privati. L’unica eccezione a quanto finora evidenziato riguarda le reti, i sistemi informativi e i servizi informatici deputati alla gestione delle informazioni classificate, ai quali – per espressa previsione – si continuerà ad applicare quanto previsto dal decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5, recante “Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva” (4), così come modificato e integrato dal decreto del Presidente del Consiglio dei ministri 2 ottobre 2017, n. 3.
2. Gli obblighi per gli operatori nazionali pubblici e privati inseriti nel Perimetro di Sicurezza Nazionale Cibernetica
L’inserimento all’interno del Perimetro di Sicurezza Nazionale Cibernetica comporterà per gli operatori nazionali pubblici e privati l’obbligo di ottemperare alle seguenti richieste: 1. Predisporre e aggiornare con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di pertinenza, comprensivi della relativa architettura e componentistica. Il medesimo decreto del Presidente del Consiglio dei ministri che identificherà gli operatori pubblici e privati inseriti nel Perimento di Sicurezza Nazionale Cibernetica conterrà anche i criteri secondo i quali, sulla base di un’analisi del rischio e con un criterio di gradualità, questi soggetti dovranno predisporre e aggiornare con cadenza almeno annuale l’elenco delle reti, dei sistemi informativi e dei servizi informatici di pertinenza, comprensivo della relativa architettura e componentistica. Criteri che saranno elaborati dall’organismo tecnico di supporto al Comitato Interministeriale per la Sicurezza della Repubblica (CISR), integrato con un rappresentante della Presidenza del Consiglio dei ministri. Entro sei mesi dall’entrata in vigore di questi criteri, gli elenchi dovranno essere inviati: • alla Presidenza del Consiglio dei ministri, in caso di soggetti pubblici e in caso di soggetti che intendano fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata o di gestore dell’identità digitale, così come in caso di soggetti che intendano svolgere
(4) Decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5, “Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva”. Il testo, coordinato con le disposizioni contenute nel Decreto del Presidente del Consiglio dei ministri 2 ottobre 2017, n. 3, è disponibile al seguente link <https:// www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2016/07/ dpcm-5-2015-coordinato-2017.pdf>.
l’attività di conservatore di documenti informatici, rispettivamente qualificati ovvero accreditati dall’AgID (si tratta dei soggetti individuati dall’art. 29 del Codice dell’Amministrazione Digitale, di cui al decreto legislativo n. 82 del 2005); • al Ministero dello Sviluppo Economico, in caso di soggetti privati. Successivamente, la Presidenza del Consiglio dei ministri e il Ministero dello Sviluppo Economico inoltreranno i rispettivi elenchi sia al Dipartimento delle Informazioni per la Sicurezza (DIS), nella sua veste di organo incaricato a livello nazionale di coordinare i temi della sicurezza delle reti e dei sistemi informativi e della cooperazione transfrontaliera a livello europeo, sia all’organo del Ministero dell’Interno per la sicurezza e la regolarità dei servizi di telecomunicazione, il quale assicura i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale individuate con il Decreto del Ministro dell’Interno 9 gennaio 2008 (5). 2. Notificare al CSIRT italiano gli incidenti aventi un impatto sulle reti, sui sistemi informativi e sui servizi informatici rientranti nel Perimetro di Sicurezza Nazionale Cibernetica. Entro 10 mesi dalla data di entrata in vigore della legge di conversione del decreto-legge (quindi, entro il 21 settembre 2020), un ulteriore decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato Interministeriale per la Sicurezza della Repubblica (CISR) e previo parere delle competenti Commissioni parlamentari, disciplinerà le procedure, i termini e le modalità attuative degli obblighi di notifica degli incidenti informatici. Il CSIRT italiano (6), acquisita la notizia dell’incidente, procederà ad inoltrarla tempestivamente al (5) Ministero dell’Interno – Decreto 9 gennaio 2008, “Individuazione delle infrastrutture critiche informatiche di interesse nazionale”. Il testo è disponibile al seguente link <https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2008-04-30&atto.codiceRedazionale=08A02684>. (6) CSIRT è l’acronimo di Computer Security Incident Response Team, tradotto all’interno della normativa italiana vigente con “Gruppo di intervento per la sicurezza informatica in caso di incidente”. Infatti, l’art. 8 del decreto legislativo n. 65 del 2018, attuativo della Direttiva NIS, istituisce presso la Presidenza del Consiglio dei ministri un nuovo organismo, il CSIRT italiano, al quale sono attribuite le funzioni spettanti al CERT nazionale (acronimo di Computer Emergency Response Team, operante presso il Ministero per lo Sviluppo Economico) e del CERT-PA (operante presso l’Agenzia per l’Italia digitale-AGID). Il CSIRT italiano è stato ufficialmente costituito attraverso il decreto del Presidente del Consiglio dei ministri 8 agosto 2019, recante “Disposizioni sull’organizzazione e il funzionamento del Computer security incident response team – CSIRT italiano”, pubblicato in Gazzetta Ufficiale, Serie Generale, n. 262, del 08 novembre 2019. Il testo è disponibile al seguente link <https://www. gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/origina-
DIRITTO DI INTERNET N. 1/2020
17
SAGGI Dipartimento delle Informazioni per la Sicurezza (DIS), che, a sua volta, avrà il compito di trasmetterla all’organo del Ministero dell’Interno preposto alla sicurezza e regolarità dei servizi di telecomunicazioni, nonché alla Presidenza del Consiglio dei ministri (se le notifiche degli incidenti giungeranno da un soggetto pubblico, oppure da un soggetto fornitore di servizi fiduciari qualificati o che svolga l’attività di gestore di posta elettronica certificata o di gestore dell’identità digitale, ai sensi dell’art. 29 del Codice dell’amministrazione digitale, di cui al decreto legislativo n. 82 del 2005), ovvero al Ministero dello Sviluppo Economico (se le notifiche proverranno da un soggetto privato). Inoltre, al fine di semplificare gli adempimenti, il legislatore nazionale ha opportunamente previsto che l’assolvimento dell’obbligo di notifica al CSIRT italiano costituisca anche adempimento degli obblighi di notifica previsti dalla normativa nazionale di attuazione della Direttiva NIS, se applicabili all’operatore nazionale. In questo caso, quindi, sarà compito del CSIRT italiano inoltrare la notifica ricevuta anche all’Autorità competente NIS di riferimento. Le procedure di notifica degli incidenti saranno aggiornate con cadenza almeno biennale. 3. Adottare le misure di sicurezza volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei sistemi informatici rientranti nel Perimetro di Sicurezza Nazionale Cibernetica. Tali misure di sicurezza, elaborate dalla Presidenza del Consiglio dei ministri e dal Ministero dello Sviluppo Economico secondo gli ambiti di competenza finora delineati, saranno definite con decreto del Presidente del Consiglio dei ministri, su proposta del Comitato Interministeriale per la Sicurezza della Repubblica (CISR) e previo parere delle competenti Commissioni parlamentari, entro 10 mesi dall’entrata in vigore della legge di conversione del decreto-legge (quindi, entro il 21 settembre 2020). Tenendo conto degli standard definiti a livello internazionale ed europeo, esse riguarderanno (1) la struttura organizzativa preposta alla gestione della sicurezza, nonché le politiche di sicurezza e di gestione del rischio; (2) la mitigazione e gestione degli incidenti e la loro prevenzione, anche attraverso interventi su apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza; (3) la protezione fisica e logica e dei dati; (4) l’integrità delle reti e dei sistemi informativi; (5) la gestione operativa, ivi compresa la continuità del servizio; (6) il monitoraggio,
rio?atto.dataPubblicazioneGazzetta=2019-11-08&atto.codiceRedazionale=19A06940>.
18
DIRITTO DI INTERNET N. 1/2020
test e controllo; (7) la formazione e consapevolezza; (8) l’affidamento di forniture di beni, sistemi e servizi ICT, anche mediante definizione di caratteristiche e requisiti di carattere generale, di standard e di eventuali limiti. Tali misure di sicurezza saranno aggiornate con cadenza almeno biennale. Nel merito dell’individuazione e attuazione di tali obblighi di sicurezza, occorre tuttavia precisare come lo stesso Perimetro di Sicurezza Nazionale Cibernetica specifichi in maniera chiara che gli “Operatori di Servizi Essenziali”, i “Fornitori di Servizi Digitali” (così come individuati dal decreto legislativo n. 65 del 2018, attuativo della Direttiva NIS) e le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico (così come individuati dagli artt. 16-bis e 16-ter, comma 2, del decreto legislativo n. 259 del 2003, recante il Codice delle Comunicazioni Elettroniche), possono osservare le misure di sicurezza previste dai predetti Decreti legislativi, allorché esse siano – si cita – “di livello almeno equivalente” a quelle adottate dal suddetto decreto del Presidente del Consiglio dei ministri. Qualora non si riscontri equivalenza nel livello di sicurezza, le eventuali misure aggiuntive necessarie al fine di assicurare i livelli di sicurezza previsti dal Perimetro di Sicurezza Nazionale Cibernetica saranno definite dalla Presidenza del Consiglio dei ministri e dal Ministero dello Sviluppo Economico. In tale contesto, però, appare quantomeno auspicabile che, almeno nel caso degli “Operatori di Servizi Essenziali” e dei “Fornitori di Servizi Digitali”, il legislatore, al momento d’individuare gli obblighi di sicurezza, non si voglia discostare dal contenuto delle linee guida emanate dalle Autorità competenti NIS. Ciò, al fine non solo di mantenere una giusta e fondamentale coerenza nelle richieste di adeguamento tra normativa interna del Perimetro e normativa europea della Direttiva NIS (le cui linee guida in materia di sicurezza sono state predisposte in tempi recenti proprio dai principali Ministeri italiani), ma anche per evitare ulteriori – e a questo punto ingiustificabili – sforzi di compliance per queste tipologie di operatori. Contestualmente, il legislatore dovrà tenere in debito conto anche l’altro lato della medaglia, ovvero tutta quella galassia di piccole e medie imprese rilevanti per la nostra sicurezza nazionale – e quindi prima o poi ricomprese all’interno del Perimetro di Sicurezza Nazionale Cibernetica –, ma che non hanno la struttura e la capacità economica di sopportare sforzi titanici di compliance in questo settore. Tuttavia, data la necessità e l’imprescindibilità di elevare
SAGGI comunque il livello di sicurezza delle informazioni anche in questo vastissimo settore, l’auspicio è che il legislatore si adoperi non solo nell’individuazione di regole coerenti con le effettive capacità di questi soggetti, ma anche e soprattutto che metta in campo misure di supporto sul piano economico e di defiscalizzazione degli investimenti in cybersecurity, al fine di sostenere realmente l’attuazione di questi processi e il raggiungimento dell’obiettivo. 4. Comunicare al Centro di Valutazione e Certificazione Nazionale (CVCN) l’intenzione di voler provvedere all’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici rientranti nel Perimetro di Sicurezza Nazionale Cibernetica. Entro 10 mesi dalla data di entrata in vigore della legge di conversione del decreto-legge (quindi, entro il 21 settembre 2020), un regolamento – da emanarsi con decreto del Presidente del Consiglio dei ministri – avrà il compito di definire le procedure, le modalità e i termini a cui devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali pubblici e privati inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, così come le centrali di committenza alle quali essi fanno ricorso (Consip S.p.A. o i soggetti aggregatori, ivi comprese le centrali di committenza regionali), ogni qual volta intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello Sviluppo Economico. L’individuazione delle categorie di beni, sistemi e servizi ICT oggetto di questa previsione normativa avverrà – sulla base di specifici criteri tecnici – attraverso un ulteriore decreto del Presidente del Consiglio dei ministri, emanato entro 10 mesi dall’entrata in vigore della legge di conversione del decreto-legge (quindi, ancora una volta, entro il 21 settembre 2020). Un ruolo centrale all’interno di questo importantissimo meccanismo di verifica dei livelli di sicurezza delle summenzionate forniture di beni, sistemi e servizi ICT è demandato al Centro di Valutazione e Certificazione Nazionale (CVCN). Questo centro è stato istituito presso l’Istituto Superiore delle comunicazioni e tecnologie dell’informazione (ISCTI) attraverso il decreto del Ministro dello Sviluppo Economico del 15 febbraio 2019. Il 19 aprile 2019, inoltre, è stato firmato il decreto direttoriale che ne descrive il suo modello di funzionamento, l’organizzazione e il piano di sviluppo.
Il Perimetro di Sicurezza Nazionale Cibernetica affida al CVCN il compito di: • contribuire all’elaborazione delle misure di sicurezza per ciò che concerne l’affidamento di forniture di beni, sistemi e servizi ICT; • definire le metodologie di verifica e di test, nonché svolgere attività di valutazione del rischio e di verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità note, anche in relazione all’ambito di impiego, dettando, se del caso, prescrizioni di utilizzo al committente. Per queste attività il CVCN può avvalersi anche di laboratori dallo stesso accreditati secondo i criteri stabiliti da un decreto del Presidente del Consiglio dei ministri, adottato entro 10 mesi dalla data di entrata in vigore della legge di conversione del decreto-legge (quindi, sempre entro il 21 settembre 2020); • elaborare e adottare (previo conforme avviso dell’organismo tecnico di supporto al Comitato Interministeriale per la Sicurezza della Repubblica – CISR) schemi di certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale ed europeo, qualora gli schemi di certificazione esistenti non siano ritenuti, per ragioni di sicurezza nazionale, adeguati rispetto alle esigenze di tutela previste dalla normativa. Previsione, questa, che dev’essere letta in raccordo con quanto previsto dal Cybersecurity Act (7) dell’Unione europea in materia di certificazione della sicurezza cibernetica di prodotti (8). Proprio alla luce di questi compiti, quindi, il Perimetro di Sicurezza Nazionale Cibernetica prevede che il CVCN potrà decidere di effettuare, entro 45 giorni dalla ricezione della comunicazione da parte dell’operatore che vi è obbligato (termine prorogabile di 15 giorni, una volta sola, in caso di particolare complessità), una valutazione del rischio associato all’oggetto della fornitura e all’ambito d’impiego, valutando conseguentemente l’imposizione di condizioni e test sull’hardware e sul software secondo un approccio gradualmente crescente nelle verifiche di sicurezza. In quest’ultimo caso, i relativi bandi di gara e contratti dovranno essere integrati con clausole che
(7) Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il Regolamento (UE) n. 526/2013 («Regolamento sulla cibersicurezza»). Il testo è disponibile al seguente link <https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32019R0881>. (8) Per approfondire, cfr. nota 3 e in particolare, nella normativa indicata, gli artt. da 46 a 65.
DIRITTO DI INTERNET N. 1/2020
19
SAGGI subordinino, sospensivamente o risolutivamente, il contratto al rispetto delle condizioni e all’esito favorevole dei test disposti dal CVCN. I test dovranno concludersi entro 60 giorni. Decorso tale termine senza che il CVCN si sia pronunciato, i soggetti che hanno effettuato la comunicazione potranno proseguire nella procedura di affidamento, trovando applicazione, quindi, il principio del silenzio assenso. Invece, per le forniture di beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici del Ministero dell’Interno e del Ministero della Difesa, si potrà procedere attraverso la verifica da parte del Centro di valutazione dello specifico Dicastero (ovvero, il Ce.Va. Difesa e il neo-costituendo Ce.Va. Interno). Detti Centri di valutazione, una volta accreditatisi presso il CVCN, dovranno però non solo utilizzare le metodologie di verifica e di test da questo definite, ma anche comunicare i relativi risultati. In questa complessa architettura tesa alla valutazione del rischio, alla verifica delle condizioni di sicurezza e all’assenza di vulnerabilità note, i fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici inclusi nel Perimetro di Sicurezza Nazionale Cibernetica sono inevitabilmente obbligati anche ad assicurare al CVCN e, limitatamente agli ambiti di specifica competenza, ai Centri di valutazione operanti presso il Ministero della Difesa e il Ministero dell’Interno, la propria collaborazione per l’effettuazione delle attività di test, sostenendone gli oneri. Peraltro, l’eventuale mancanza di collaborazione sarà comunicata dal CVCN alla Presidenza del Consiglio dei ministri e al Ministero dello Sviluppo Economico, a seconda della specifica competenza. Invece, sono esclusi da quest’obbligo di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi ICT destinati alle reti, ai sistemi informativi e ai servizi informatici utili allo svolgimento delle attività di prevenzione, accertamento e repressione dei reati, nonché nei casi di deroga stabiliti dal regolamento quando per le suddette forniture sia indispensabile procedere in sede estera. Ciò, fermo restando – in entrambi i casi – l’utilizzo di beni, sistemi e servizi ICT conformi ai livelli di sicurezza delineati dalla presente normativa e salvo motivate esigenze connesse agli specifici impieghi cui essi sono destinati. Le attività di ispezione e verifica sono demandate alla Presidenza del Consiglio dei ministri e al Ministero dello Sviluppo Economico, secondo la ripartizione di competenza finora indicata, i quali hanno il potere, se necessario, di impartire specifiche prescrizioni. Dette attività, però, non potranno comportare
20
DIRITTO DI INTERNET N. 1/2020
l’accesso a dati o metadati personali e amministrativi. Per le reti, i sistemi informativi e i servizi informatici ricompresi nel Perimetro di Sicurezza Nazionale Cibernetica, ma connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato, le attività di ispezione e verifica – qualora espressamente previste per legge – sono svolte dalle strutture specializzate in tema di protezione di reti e sistemi, nonché in tema di prevenzione e di contrasto del crimine informatico, delle amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti alla Presidenza del Consiglio dei ministri per i profili di competenza.
3. Perimetro di Sicurezza Nazionale Cibernetica e “Golden Power”
Al fine di salvaguardare gli asset pregiati delle imprese operanti in settori ritenuti strategici e di interesse nazionale, già da tempo il decreto-legge 15 marzo 2012, n. 21 (9), convertito con modificazioni dalla legge 11 maggio 2012, n. 56, ha disciplinato la materia dei poteri speciali esercitabili dal Governo italiano (il cosiddetto “Golden Power”) nei settori della difesa e della sicurezza nazionale, nonché in alcuni ambiti ritenuti di rilevanza strategica nei settori dell’energia, dei trasporti e delle comunicazioni. Poteri che, attraverso l’art. 14 del decreto-legge 16 ottobre 2017, n. 148 (10), convertito con modificazioni dalla legge 4 dicembre 2017, n. 172, sono stati estesi anche ai settori cosiddetti ad alta intensità tecnologica. Quest’impianto normativo si concretizza nella possibilità per il Governo di esercitare – nei settori poc’anzi indicati – il potere di veto all’adozione di delibere societarie o all’acquisto di partecipazioni, così come di imporre specifiche prescrizioni o condizioni per tutti quei contratti o accordi dai quali possa discendere un grave pregiudizio per gli interessi pubblici. In tal senso, giova ricordare seppure sinteticamente come, al fine dell’eventuale esercizio dei poteri speciali da parte del Governo, il dettato dell’articolo 1–bis del decreto-legge 15 marzo 2012, n. 21 (introdotto dall’art. 1, comma 1, del decreto-legge 25 marzo 2019, n. 22, e convertito con (9) Decreto-legge 15 marzo 2012, n. 21, “Norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell’energia, dei trasporti e delle comunicazioni”. Il testo è disponibile al seguente link <https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2012-03-15;21!vig=>. (10) Decreto-legge 16 ottobre 2017, n. 148, “Disposizioni urgenti in materia finanziaria e per esigenze indifferibili”. Il testo è disponibile al seguente link <https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2017-10-16;148>.
SAGGI modificazioni dalla legge 20 maggio 2019, n. 41) abbia già previsto l’assoggettamento a notifica dei contratti o degli accordi – conclusi con soggetti esterni all’Unione europea – che abbiano ad oggetto l’acquisizione a qualsiasi titolo di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G. Tale articolo prevede, altresì, l’obbligo di notifica anche nel caso di acquisizioni a qualsiasi titolo di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione. Attività, queste, che si andranno ad approfondire più avanti all’interno dei prossimi capitoli. Tuttavia, com’è fin da ora facilmente intuibile, uno degli elementi cardine della costruzione normativa del legislatore è che il soggetto sia esterno all’Unione europea, ovvero che sia una: 1. persona fisica o persona giuridica che non abbia la residenza, la dimora abituale, la sede legale o dell’amministrazione ovvero il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo o che non sia comunque ivi stabilito; 2. persona giuridica che abbia stabilito la sede legale o dell’amministrazione o il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo o che sia comunque ivi stabilito, e che risulti controllato direttamente o indirettamente da una persona fisica o da una persona giuridica di cui al n. 1) precedente; 3. persona fisica o persona giuridica che abbia stabilito la residenza, la dimora abituale, la sede legale o dell’amministrazione o il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo o che sia comunque ivi stabilito, al fine di eludere l’applicazione della disciplina della nuova norma introdotta. Nell’alveo finora tracciato, il Perimetro di Sicurezza Nazionale Cibernetica si preoccupa, dunque, di dettare alcune disposizioni di raccordo con questa normativa quando l’oggetto del contratto o dell’accordo siano i servizi di comunicazione a banda larga basati sulla tecnologia 5G. In particolare, il legislatore stabilisce anzitutto che, fatta eccezione per quanto previsto in materia di procurement dall’articolo 1, comma 6, lettera a), le disposizioni sul Golden Power si applicano ai soggetti ricompresi all’interno del Perimetro di Sicurezza Nazionale Cibernetica anche nei casi in cui questi siano tenuti a notificare al Governo attività ricomprese nell’articolo 1–bis del decreto-legge in materia di poteri speciali. Inoltre, dalla data di entrata in vigore del regolamento su procedure, modalità e termini per l’affidamento di forniture di beni e servizi ICT (previsto dall’articolo 1,
comma 6, del Perimetro di Sicurezza Nazionale Cibernetica), i poteri speciali del Governo sono esercitati previa valutazione degli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano. A questa attività provvedono, a seconda delle rispettive competenze, il Centro di Valutazione e Certificazione Nazionale (CVCN) o i Centri di valutazione del Ministero dell’Interno e del Ministero della Difesa. Altrettanto rilevante – e potenzialmente di notevole impatto – risulta essere anche la possibilità, di modificare o integrare con misure aggiuntive, tese ad assicurare livelli di sicurezza equivalenti a quelli previsti dal Perimetro di Sicurezza Nazionale Cibernetica, le condizioni o le prescrizioni relative ai beni e servizi acquistati con contratti precedentemente autorizzati da un decreto del Presidente del Consiglio dei ministri adottato sulla base della normativa sui poteri speciali. Tuttavia, ciò può avvenire purché si verifichino le seguenti tre condizioni: 1. entro 60 giorni dalla data di entrata in vigore del regolamento poc’anzi menzionato (previsto dall’articolo 1, comma 6, del Perimetro di Sicurezza Nazionale Cibernetica); 2. purché i contratti siano stati autorizzati in data anteriore alla data di entrata in vigore del regolamento; 3. qualora questi contratti riguardino reti, sistemi informativi e servizi informatici degli operatori nazionali inseriti all’interno del Perimetro di Sicurezza Nazionale Cibernetica. Sul piano attuativo, il legislatore descrive anche quali siano i presupposti sulla base dei quali è possibile intervenire sugli approvvigionamenti di materiali necessari alle reti 5G già autorizzati in sede di esercizio dei poteri speciali. Il Perimetro di Sicurezza Nazionale Cibernetica dispone, infatti, che qualora, a seguito delle valutazioni svolte dai Centri di valutazione, emergano elementi indicanti fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano, possono essere disposte misure aggiuntive. Tali misure possono arrivare anche a prescrivere la sostituzione di apparati e di prodotti, qualora ciò risulti indispensabile per risolvere le vulnerabilità accertate.
3.1. Modifiche ai poteri speciali nei settori della difesa e della sicurezza nazionale
Oltre a quanto finora analizzato, occorre evidenziare, altresì, come la normativa in materia di Perimetro di Sicurezza Nazionale Cibernetica non si soffermi solo sull’attività di raccordo con quanto previsto in materia di poteri speciali per i servizi di comunicazione a banda larga basati sulla tecnologia 5G, ma si ponga come punto di riferimento di un complessivo riordino di tutto il dettato normativo in materia di Golden Power.
DIRITTO DI INTERNET N. 1/2020
21
SAGGI Infatti, il Perimetro di Sicurezza Nazionale Cibernetica va a novellare anzitutto l’articolo 1 del decreto-legge 15 marzo 2012, n. 21, che disciplina i poteri speciali nei settori della difesa e della sicurezza nazionale. I poteri speciali del Governo in questo settore sono i seguenti: • esercitare il veto all’adozione di specifiche delibere dell’assemblea o degli organi di amministrazione. Il Perimetro di Sicurezza Nazionale Cibernetica estende la possibilità di esercitare il veto anche con riferimento all’adozione di atti o operazioni da parte dell’assemblea o degli organi di amministrazione. L’oggetto delle delibere, degli atti o delle operazioni soggetti all’esercizio del veto riguarda la fusione, la scissione o il trasferimento dell’azienda o di rami di essa, il trasferimento all’estero della sede sociale, nonché la modifica dell’oggetto sociale, lo scioglimento della società, la modifica di specifiche clausole statutarie, le cessioni di diritti reali o di utilizzo relative a beni materiali o immateriali o l’assunzione di vincoli che ne condizionino l’impiego. Con riferimento a tali vincoli, il Perimetro di Sicurezza Nazionale Cibernetica specifica che gli stessi possono sussistere anche in ragione della sottoposizione dell’impresa a procedure concorsuali; • imporre specifiche condizioni nel caso di acquisto di partecipazioni. Le condizioni fanno riferimento alla sicurezza di approvvigionamenti e informazioni, ai trasferimenti tecnologici e al controllo delle esportazioni; • opporsi all’acquisto di partecipazioni da parte di un soggetto diverso dallo Stato italiano, enti pubblici italiani o soggetti da questi controllati, qualora l’acquirente venga a detenere un livello della partecipazione al capitale con diritto di voto in grado di compromettere nel caso specifico gli interessi della difesa e della sicurezza nazionale. Per evitare comportamenti elusivi rispetto all’attivazione di tale potere speciale, la disposizione specifica che gli acquisti possono essere effettuati direttamente o indirettamente, anche attraverso operazioni successive, per interposta persona o tramite soggetti altrimenti collegati. Ai fini dell’esercizio del potere speciale viene, quindi, considerata la partecipazione detenuta da terzi con i quali l’acquirente ha stipulato un patto parasociale volto a disciplinare l’esercizio del diritto di voto e, in generale, la stabilizzazione degli assetti proprietari o il governo della società. In tal senso, al fine di meglio valutare la minaccia di grave pregiudizio per gli interessi essenziali della difesa e della sicurezza nazionale, il Perimetro di Sicurezza Nazionale Cibernetica non solo estende l’esercizio del diritto di veto, oltre che alle delibere, anche agli atti e alle operazioni, ma soprattutto prevede ulteriori e nuove circostanze che il Governo può tenere in considerazione
22
DIRITTO DI INTERNET N. 1/2020
per l’esercizio dei propri poteri speciali nel caso in cui l’acquirente di partecipazioni sia un soggetto esterno all’Unione europea, ovvero: • l’acquirente sia direttamente o indirettamente controllato dall’amministrazione pubblica, inclusi organismi statali o forze armate, di un paese esterno all’Unione europea, anche attraverso l’assetto proprietario o finanziamenti consistenti; • l’acquirente sia già stato coinvolto in attività che incidono sulla sicurezza o sull’ordine pubblico in uno Stato membro dell’Unione europea; • vi sia un grave rischio che l’acquirente intraprenda attività illegali o criminali. Anche sul tema della notifica il Perimetro di Sicurezza Nazionale Cibernetica si pone in un’ottica riformatrice. Infatti, al fine di consentire il tempestivo esercizio del potere di veto da parte del Governo, ogni impresa che svolge attività di rilevanza strategica nel settore della difesa e della sicurezza nazionale è tenuta a notificare alla Presidenza del Consiglio dei ministri una informativa completa sulla delibera o sull’atto da adottare. Tale obbligo, peraltro, viene esteso anche alle operazioni che l’impresa intende effettuare. Per di più, ricevuta la notifica, il Perimetro di Sicurezza Nazionale Cibernetica amplia da 15 a 45 giorni il termine entro il quale il Presidente del Consiglio dei ministri comunica la propria decisione sull’eventuale esercizio del potere di veto. Questo lasso di tempo, però, può essere sospeso nel caso in cui – ed è questa un’ulteriore novità – per valutare se esercitare o meno il proprio potere, il Governo abbia bisogno di formulare richieste istruttorie a soggetti terzi, le quali si vanno ad affiancare alla possibilità – già prevista – di richiedere informazioni all’impresa. In questo caso, il termine per l’esercizio del potere di veto (45 giorni) è sospeso fino al ricevimento delle informazioni richieste, che sono rese entro 20 giorni in caso di richieste istruttorie a terzi (sospensione che può operare una volta sola), oppure entro 10 giorni in caso di richieste di informazioni all’impresa. La notifica, come detto in precedenza, è soggetta ad una valutazione di completezza. Nel caso in cui risulti incompleta, il termine di 45 giorni comincerà a decorrere dal ricevimento delle informazioni o degli elementi che la integrano. Peraltro, ove l’esercizio del potere speciale non venga disposto nei termini previsti, l’operazione può essere effettuata. Al contrario, nel caso in cui venga adottato il decreto con cui si dispone l’esercizio del potere di veto, le delibere e gli atti adottati dall’impresa devono considerarsi nulli e il Governo può altresì ingiungere alla società e all’eventuale controparte di ripristinare a proprie spese la situazione anteriore. Infine, il Perimetro di Sicurezza Nazionale Cibernetica modifica e integra l’impianto sanzionatorio a tutela del
SAGGI potere speciale di veto, specificando che si applica la sanzione amministrativa pecuniaria anche per la violazione degli obblighi derivanti dal provvedimento di esercizio del potere di veto, eventualmente esercitato nella forma di imposizione di specifiche prescrizioni o condizioni, salvo che il fatto costituisca reato. In questo caso, la sanzione comminabile sarà fino al doppio del valore dell’operazione e comunque non inferiore all’1% del fatturato cumulato realizzato dalle imprese coinvolte nell’ultimo esercizio per il quale sia stato approvato il bilancio. Se questo è ciò che è per l’esercizio del diritto di veto, il Perimetro di Sicurezza Nazionale Cibernetica prende in considerazione e impone alcune modifiche anche nel caso in cui il potere esercitato dal Governo sia quello di imporre specifiche condizioni per l’acquisto di partecipazioni, nonché di opporsi al loro acquisto. In quest’ottica, chiunque acquisti una partecipazione in società ammesse alla negoziazione nei mercati regolamentati che svolgano attività di rilevanza strategica per il settore della difesa e della sicurezza nazionale è tenuto a notificare l’acquisizione alla Presidenza del Consiglio dei ministri entro 10 giorni, trasmettendo contestualmente specifici elementi informativi. In particolare, il Perimetro di Sicurezza Nazionale Cibernetica prevede che la notifica debba avvenire qualora l’acquirente venga a detenere, a seguito dell’acquisizione, una partecipazione superiore alla soglia del 3%, andando così a modificare le successive soglie al superamento delle quali scatta l’ulteriore obbligo di notifica, ovvero 5%, 10%, 15%, 20%, 25% e – altra novità – anche al superamento della soglia del 50%. Invece, nei casi in cui l’acquisizione abbia ad oggetto azioni o quote di una società non ammessa alla negoziazione nei mercati regolamentati (ovvero, non solo società per azioni, ma anche quote di società a responsabilità limitata), sussiste l’obbligo di notificare entro 10 giorni alla Presidenza del Consiglio dei ministri l’acquisizione della partecipazione al superamento delle soglie del 3%, 5%, 10%, 15%, 20%, 25% e 50% del capitale rappresentato da azioni con diritto di voto. Per quanto riguarda il termine entro cui esercitare il potere speciale di imporre specifiche condizioni nel caso di acquisto di partecipazioni o il potere di opporsi all’acquisto di partecipazioni, l’istruttoria per l’esercizio di tali poteri, i casi di sospensione dei suddetti termini anche per incompletezza della notifica, il Perimetro di Sicurezza Nazionale Cibernetica allinea la disciplina a quanto previsto – e in precedenza analizzato – per il potere del diritto di veto, a cui si rimanda.
3.2. Modifiche ai poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G
Il Perimetro di Sicurezza Nazionale Cibernetica modifica anche l’articolo 1–bis del decreto-legge 15 marzo 2012,
n. 21 (introdotto dall’art. 1, comma 1, del decreto-legge 25 marzo 2019, n. 22, e convertito con modificazioni dalla legge 20 maggio 2019, n. 41), che disciplina i poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G. La normativa vigente assoggetta al potere di veto e al potere di imporre specifiche prescrizioni o condizioni la stipula di contratti o accordi aventi ad oggetto l’acquisto di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, ovvero l’acquisizione di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione, quando posti in essere con soggetti esterni all’Unione europea, così come individuati all’interno del capitolo 3. In particolare, la novella del Perimetro di Sicurezza Nazionale Cibernetica sottopone all’obbligo di notifica anche l’acquisizione a qualsiasi titolo – in luogo del solo acquisto, precedentemente previsto – di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, ovvero l’acquisizione, a qualsiasi titolo, di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione, quando posti in essere con soggetti esterni all’Unione europea. In ragione di ciò, il Perimetro di Sicurezza Nazionale Cibernetica dispone che, entro 10 giorni dalla conclusione di un contratto o accordo avente ad oggetto l’acquisto di beni o servizi inerenti i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, posti in essere con soggetti esterni all’Unione europea, l’impresa acquirente notifichi alla Presidenza del Consiglio dei ministri una informativa completa, in modo da consentire l’eventuale esercizio del potere di veto, ovvero l’imposizione di specifiche prescrizioni o condizioni. Il Presidente del Consiglio dei ministri comunica entro 30 giorni dalla notifica l’eventuale veto, ovvero l’imposizione di specifiche prescrizioni o condizioni, decorsi i quali i poteri speciali si intendono non esercitati. Tuttavia, come per gli altri poteri, nel caso in cui la notifica risulti incompleta, il suddetto termine di 30 giorni decorre dal ricevimento delle informazioni o degli elementi che la integrano, così come, in caso di richiesta di informazioni all’impresa acquirente o di richieste istruttorie a terzi, i termini vengono sospesi e le informazioni richieste devono essere rese rispettivamente entro 10 e 20 giorni. Una volta completata l’informativa, è comunque possibile richiedere ulteriori informazioni all’impresa e a soggetti terzi, che, però, non sospendono i termini. Invece, qualora sia necessario svolgere approfondimenti riguardanti aspetti tecnici relativi alla valutazione di possibili fattori di vulnerabilità che potrebbero compromettere l’in-
DIRITTO DI INTERNET N. 1/2020
23
SAGGI tegrità e la sicurezza delle reti e dei dati che vi transitano, il termine di 30 giorni può essere prorogato fino ad altri 20 giorni, prorogabili ulteriormente di ulteriori 20 giorni, per una sola volta, in casi di particolare complessità. Ove l’impresa notificante abbia iniziato l’esecuzione del contratto o dell’accordo oggetto della notifica prima della decorrenza del termine per l’esercizio dei poteri speciali il Governo, nel provvedimento di esercizio dei predetti poteri, può ingiungere alla società e all’eventuale controparte di ripristinare a proprie spese la situazione anteriore. Invece, in caso di inosservanza degli obblighi di notifica e di quelli derivanti dall’esercizio dei poteri speciali, salvo che il fatto costituisca reato, è prevista una sanzione amministrativa pecuniaria fino al 150% del valore dell’operazione e comunque non inferiore al 25% del medesimo valore.
3.3. Modifiche ai poteri speciali inerenti agli attivi strategici nei settori dell’energia, dei trasporti e delle comunicazioni
L’ultimo settore di rilevanza strategica preso in considerazione dal Perimetro di Sicurezza Nazionale Cibernetica è quello relativo ai poteri speciali inerenti agli attivi strategici nei settori dell’energia, dei trasporti e delle comunicazioni. In questo specifico settore, il decreto-legge 15 marzo 2012, n. 21, dà la possibilità al Governo di esercitare: • il potere di veto alle delibere, atti e operazioni che abbiano per effetto modifiche della titolarità, del controllo, della disponibilità o della destinazione di attivi strategici nei settori dell’energia, dei trasporti e delle comunicazioni, dando luogo a una situazione eccezionale, non disciplinata dalla normativa nazionale ed europea di settore, di minaccia di grave pregiudizio per gli interessi pubblici relativi alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti. L’esercizio del potere è sostenuto dall’obbligo per la società di fornire al Governo una informativa completa sulla delibera, atto o operazione; • l’imposizione di condizioni e impegni diretti a garantire la tutela degli interessi essenziali dello Stato, in caso di acquisto da parte di un soggetto esterno all’Unione europea di partecipazioni in società che detengono attivi strategici nei settori dell’energia, dei trasporti e delle comunicazioni. L’esercizio del potere è sostenuto da un obbligo di notifica dell’acquisto di rilevanza tale da determinare l’insediamento stabile dell’acquirente in ragione dell’assunzione del controllo della società la cui partecipazione è oggetto dell’acquisto; • l’opposizione all’acquisto da parte di un soggetto esterno all’Unione europea di partecipazioni in società che detengono attivi strategici nei settori
24
DIRITTO DI INTERNET N. 1/2020
dell’energia, dei trasporti e delle comunicazioni in casi eccezionali di rischio per la tutela dei predetti interessi, non eliminabili attraverso l’assunzione degli impegni. L’esercizio del potere è assistito da un obbligo di notifica dell’acquisto. Per di più, tali poteri speciali sono esercitati esclusivamente sulla base di criteri oggettivi e non discriminatori, tenuto conto soprattutto di elementi quali: • la sussistenza di legami fra l’acquirente e Paesi terzi che non riconoscono i principi di democrazia o dello Stato di diritto, che non rispettano le norme del diritto internazionale o che hanno assunto comportamenti a rischio nei confronti della comunità internazionale, desunti dalla natura delle loro alleanze, o hanno rapporti con organizzazioni criminali o terroristiche o con soggetti ad esse comunque collegati; • l’idoneità dell’assetto risultante dall’atto giuridico o dall’operazione, tenuto conto anche delle modalità di finanziamento dell’acquisizione e della capacità economica, finanziaria, tecnica e organizzativa dell’acquirente, a garantire la sicurezza e la continuità degli approvvigionamenti, nonché il mantenimento, la sicurezza e l’operatività delle reti e degli impianti. Per le operazioni di acquisto di partecipazioni è valutato anche il pericolo per la sicurezza o per l’ordine pubblico. In tale alveo, il Perimetro di Sicurezza Nazionale Cibernetica novella la normativa vigente, prevedendo anzitutto la possibilità di aggiornare i regolamenti che individuano gli attivi di rilevanza strategica tramite decreti del Presidente del Consiglio dei ministri, in luogo di decreti del Presidente della Repubblica, come avvenuto finora. Inoltre, stabilisce la necessità che le Commissioni parlamentari competenti esprimano, entro 30 giorni, il loro parere. Decorso tale termine, gli atti possono essere comunque adottati. Inoltre, riceve una specifica e separata disciplina la notifica riguardante delibere, atti e operazioni relativi agli ulteriori asset di rilevanza strategica per l’interesse nazionale, al verificarsi di specifiche condizioni relative alla provenienza dell’acquirente, ovvero agli effetti delle operazioni. In particolare, tale disciplina prevede che debba essere notificato entro 10 giorni – e comunque prima che vi sia data attuazione – alla Presidenza del Consiglio dei ministri: • qualsiasi atto, delibera ovvero operazione, adottato da una impresa che detenga uno o più degli attivi strategici e che abbia per effetto la modifica della titolarità, del controllo o della disponibilità degli attivi strategici a favore di un soggetto esterno all’Unione europea, comprese le delibere dell’assemblea o degli organi di amministrazione aventi ad oggetto la fusione o la scis-
SAGGI sione della società, il trasferimento dell’azienda o di rami di essa in cui siano compresi detti attivi o l’assegnazione degli stessi a titolo di garanzia, il trasferimento di società controllate che detengono i predetti attivi, ovvero che abbia per effetto il trasferimento della sede sociale in un paese esterno all’Unione europea; • qualsiasi delibera, atto o operazione che siano idonei ad avere effetti consistenti sugli asset strategici, come, ad esempio, il cambiamento della loro destinazione, la modifica dell’oggetto sociale, lo scioglimento della società o la modifica di clausole statutarie che creino azioni con voto plurimo, ovvero che limitano il possesso azionario. Inoltre, anche in questo caso, viene sostanzialmente delineata una procedura analoga a quanto già previsto per gli altri settori in cui il Governo può esercitare i suoi poteri speciali. Infatti, il Perimetro di Sicurezza Nazionale Cibernetica prolunga da 15 a 45 giorni dalla notifica il termine entro il quale il Presidente del Consiglio dei ministri comunica l’eventuale veto, l’imposizione di condizioni e impegni o l’opposizione all’acquisto, consentendogli anche di formulare richieste istruttorie ai fini dell’esercizio del potere di veto su delibere, atti e operazioni, oltre che alla società, anche a soggetti terzi e fissando un termine rispettivamente di 10 e 20 giorni entro i quali occorre dare riscontro alle richieste formulate. Notifica che, anche per questo settore, è soggetta ad una valutazione di completezza e, pertanto, nel caso in cui risulti incompleta, il termine di 45 giorni per l’esercizio del potere decorre dal ricevimento delle informazioni o degli elementi che la integrano. Inoltre, il Perimetro di Sicurezza Nazionale Cibernetica modifica e integra i criteri per determinare se un investimento estero possa incidere sulla sicurezza o sull’ordine pubblico. In questo caso, in maniera identica a ciò che avviene per le imprese che operano nei settori della difesa e della sicurezza nazionale, invece di prevedere che sia presa in considerazione la circostanza che l’investitore straniero sia o meno controllato dal governo di un Paese terzo non appartenente all’Unione europea, si dispone che vengano prese in considerazione le seguenti circostanze, ovvero che: • l’acquirente che effettua l’investimento sia direttamente o indirettamente controllato dall’amministrazione pubblica, inclusi organismi statali o forze armate, di un Paese extra UE, anche attraverso l’assetto proprietario o finanziamenti consistenti; • l’acquirente sia già stato coinvolto in attività che incidono sulla sicurezza o sull’ordine pubblico in uno Stato membro dell’Unione europea; • vi sia un grave rischio che il soggetto acquirente intraprenda attività illegali o criminali. Infine, il Perimetro di Sicurezza Nazionale Cibernetica puntualizza che l’inosservanza degli obblighi di notifi-
ca comporta, salvo che il fatto costituisca reato e ferme le invalidità previste dalla legge, una sanzione amministrativa pecuniaria fino al doppio del valore dell’operazione e comunque non inferiore all’1% del fatturato cumulato realizzato dalle imprese coinvolte nell’ultimo esercizio per il quale sia stato approvato il bilancio.
4. I poteri del Presidente del Consiglio in caso di crisi di natura cibernetica
Il Perimetro di Sicurezza Nazionale Cibernetica prevede anche alcune attribuzioni emergenziali in presenza di un rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi informativi e servizi informatici. In particolare, su deliberazione del Comitato Interministeriale per la Sicurezza della Repubblica (CISR), il Presidente del Consiglio dei ministri, ai sensi dell’art. 5, può disporre, ove indispensabile e per il tempo strettamente necessario all’eliminazione dello specifico fattore di rischio o alla sua mitigazione, secondo un criterio di proporzionalità, la disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati. Inoltre, entro 30 giorni dall’esercizio di questo potere, il Presidente del Consiglio dei ministri deve anche informare delle misure disposte e delle attività intraprese il Comitato parlamentare per la sicurezza della Repubblica, ovvero l’organo parlamentare – istituito dall’articolo 30 della legge 3 agosto 2007, n. 124, recante “Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto” – deputato a svolgere la funzione di verifica sistematica e continuativa affinché l’attività del Sistema di Informazione per la Sicurezza (la nostra Intelligence) si svolga nel rispetto della Costituzione e delle leggi, nonché nell’esclusivo interesse e per la difesa della Repubblica e delle sue istituzioni. Come è evidente, la previsione normativa in commento appare senz’altro scarna e alquanto generica nel suo contenuto, nonostante il notevole impatto che potrebbe derivare dalla sua applicazione nei confronti delle reti, dei sistemi o dei servizi degli operatori pubblici e privati. Anche se non espressamente previsto, ciò fa presagire ulteriori interventi normativi – quasi certamente segretati – che andranno a disciplinare non solo gli elementi primari del presente articolo (come, ad esempio, il richiamo al principio di proporzionalità), ma anche e soprattutto le procedure interne da seguire per l’esercizio di questo potere (come, ad esempio, la procedura di notifica all’operatore pubblico o privato dell’immediata “disattivazione, totale o parziale, di uno o più apparati o prodotti impiegati”).
DIRITTO DI INTERNET N. 1/2020
25
SAGGI 5. Le sanzioni previste dal Perimetro di Sicurezza Nazionale Cibernetica
La normativa in esame prevede, infine, un articolato sistema sanzionatorio per i casi di violazione degli obblighi prescritti. In particolare, sul piano penale viene introdotta una nuova fattispecie complessa che punisce con la pena della reclusione da 1 a 3 anni coloro che, allo scopo di ostacolare o condizionare l’espletamento dei procedimenti di cui al comma 2, lett. b) (procedimento di compilazione e aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici) e di cui al comma 6, lett. a) (procedimenti relativi all’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi), o delle attività ispettive e di vigilanza da parte della Presidenza del Consiglio dei ministri e del Ministero dello sviluppo economico, di cui al comma 6, lett. c): • forniscono informazioni, dati o fatti non rispondenti al vero rilevanti per l’aggiornamento degli elenchi summenzionati o ai fini delle comunicazioni previste nei casi di affidamento di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, o per lo svolgimento delle attività ispettive e di vigilanza; • omettono di comunicare i predetti dati, informazioni o elementi di fatto. La normativa, quindi, introduce alcuni reati propri di falsità ideologica e un reato di omissione propria, tutti caratterizzati dal dolo specifico, le cui condotte delittuose, però, saranno verosimilmente definite in maniera compiuta nelle norme di attuazione precedentemente esplicitate. Per di più, occorre sottolineare come l’articolo contenente i reati poc’anzi menzionati sia stato inserito dal legislatore anche all’interno del catalogo dei reati presupposto, la cui commissione comporta la responsabilità amministrativa da reato dell’ente, ai sensi del decreto legislativo 8 giugno 2001, n. 231. In particolare, il legislatore li ha inseriti all’interno del ventaglio dei “delitti informatici” previsti dall’articolo 24–bis, per cui è prevista la sanzione pecuniaria fino a 400 quote. Contestualmente, nel caso di inosservanza delle prescrizioni previste dal Perimetro di Sicurezza Nazionale Cibernetica, in relazione alla gravità della condotta, gli operatori nazionali pubblici e privati saranno sottoposti alle seguenti sanzioni amministrative pecuniarie: • da € 200.000 a € 1.200.000 in conseguenza del mancato adempimento degli obblighi di predisposizione e di aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informativi; • da € 250.000 a € 1.500.000 per: - mancato adempimento dell’obbligo di notifica degli incidenti aventi impatto su reti, sistemi informativi e sistemi informatici;
26
DIRITTO DI INTERNET N. 1/2020
- inosservanza delle misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei sistemi informatici rientranti nel perimetro di sicurezza nazionale cibernetica; - mancata collaborazione per l’effettuazione delle attività di test da parte dei fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici; - mancato adempimento delle prescrizioni indicate dalla Presidenza del Consiglio dei ministri o dal Ministero dello sviluppo economico in esito alle attività di verifica e ispezione; - mancato rispetto delle prescrizioni di utilizzo dettate dal CVCN. • da € 300.000 a € 1.800.000 per: - mancata comunicazione della volontà di procedere all’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici; - l’impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici summenzionati in violazione delle condizioni o in assenza del superamento dei test imposti dal CVCN ovvero dai Centri di valutazione del Ministero dell’Interno e del Ministero della Difesa. Peraltro, appare senz’altro rilevante evidenziare anche come l’impiego di prodotti e di servizi sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici in assenza della comunicazione obbligatoria, oppure in violazione delle condizioni o in assenza del superamento dei test imposti dal CVCN ovvero dai Centri di valutazione del Ministero dell’Interno e del Ministero della Difesa, comporta, oltre alle specifiche sanzioni amministrative (di cui si è appena detto), anche l’applicazione della sanzione accessoria dell’incapacità ad assumere incarichi di direzione, amministrazione e controllo all’interno di persone giuridiche e imprese per un periodo di 3 anni a decorrere dalla data di accertamento della violazione. Anche in questo caso, infine, le autorità competenti all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste dalla normativa sono la Presidenza del Consiglio dei ministri per le amministrazioni pubbliche, gli enti e gli operatori nazionali pubblici inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, nonché per i soggetti qualificati o accreditati per fornire servizi fiduciari o attività di gestore di posta elettronica certificata o di gestore dell’identità digitale (in base all’art. 29 del decreto legislativo n. 82 del 2005), e il Ministero dello Sviluppo Economico per gli operatori nazionali privati.
GIURISPRUDENZA EUROPEA
Right to be forgotten online e il discutibile ruolo dei gestori dei motori di ricerca I Corte di Giustizia UE (Grande Sezione ); sentenza 24 settembre 2019; causa C -507/17; Pres. K. Lenaerts; Rel. M. Ilešič; Avv. Gen. M. Szpunar; Google LLC contro Commission nationale de l’informatique et des libertés (CNIL) Il gestore di un motore di ricerca, quando accoglie una domanda di deindicizzazione è tenuto ad effettuare tale deindicizzazione non in tutte le versioni del suo motore di ricerca, ma nelle versioni di tale motore corrispondenti a tutti gli Stati membri, e ciò, se necessario, in combinazione con misure che, tenendo nel contempo conto delle prescrizioni di legge, permettono effettivamente di impedire agli utenti di Internet, che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri, di avere accesso, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca, ai link oggetto di tale domanda, o quantomeno di scoraggiare seriamente tali utenti.
II Corte di Giustizia UE (G rande Sezione ); sentenza 24 settembre 2019; causa C- 136/17; Pres. K. Lenaerts; Rel. M. Ilešič; Avv. Gen. M. Szpunar; Gc E A. contro Commission Nationale De L’informatique Et Des Libertés (Cnil) L’articolo 8, paragrafo 2, lettera e), della direttiva 95/46 deve essere interpretato nel senso che, in conformità di tale articolo, un gestore del genere può rifiutarsi di accogliere una richiesta di deindicizzazione ove constati che i link controversi dirigono verso contenuti che comprendono dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafo 1, ma il cui trattamento è incluso nell’eccezione di cui all’articolo 8, paragrafo 2, lettera e), sempre che tale trattamento risponda a tutte le altre condizioni di liceità poste dalla suddetta direttiva e salvo che la persona interessata abbia, in forza dell’articolo 14, primo comma, lettera a), della medesima direttiva, il diritto di opporsi a detto trattamento per motivi preminenti e legittimi, derivanti dalla sua situazione particolare. Le disposizioni della direttiva 95/46 devono essere interpretate nel senso che il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione riguardante un link verso una pagina web nella quale sono pubblicati dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafi 1 o 5, di tale direttiva, deve – sulla base di tutti gli elementi pertinenti della fattispecie e tenuto conto della gravità dell’ingerenza nei diritti fondamentali della persona interessata al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea – verificare, alla luce dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della suddetta direttiva e nel rispetto delle condizioni previste in quest’ultima disposizione, se l’inserimento di detto link nell’elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome della persona in questione, si riveli strettamente necessario per proteggere la libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina web mediante una ricerca siffatta, libertà che è sancita all’articolo 11 della Carta.
(*) Le sentenze per esteso sono pubblicate nell’Osservatorio Privacy e Garante per la protezione dei dati personali di Bruno Inzitari con Valentina Piccinini, di questa Rivista, all’indirizzo < https://dirittodiinternet.it/privacy/ >.
DIRITTO DI INTERNET N. 1/2020
27
GIURISPRUDENZA EUROPEA
Il Commento di Maria Astone
Sommario: 1. Premessa. – 2. Le sentenza della CGE (Grande Sezione) del 24 settembre 2019 nella causa C – 507/17 nella causa C – 136-17. – 3. Attività di trattamento dati personali tra interessi della persona umana e interessi economici. – 4. Il ruolo della Corte di Giustizia Europea nella costruzione del right to be forgotten online o del diritto alla deindicizzazione. – 5. Motore di ricerca e tutela del diritto alla protezione dei dati personali e del diritto all’oblio: quali conclusioni? Il contributo analizza le recenti decisioni della Corte di Giustizia Europea riguardanti le numerose e delicate questioni connesse alla raccolta dei dati personali, all’individuazione dei soggetti responsabili per l’illecito trattamento degli stessi in rete, all’estensione territoriale del diritto alla cancellazione, con l’obiettivo di delimitare i rapporti tra i diritti degli interessati e i poteri e gli obblighi gravanti sul gestore del motore di ricerca e le relative responsabilità. Il ruolo del gestore diventa fondamentale nella tutela ex ante dei diritti in esame, sicché vi è da chiedersi quanto sia condivisibile il riconoscimento in capo a tale professionista del potere di decidere discrezionalmente sulla estensione territoriale dell’ordine di rimozione o sulla richiesta di diffusione o di oscuramento dei dati particolari di una determinata persona. The essay analyzes the recent decisions of the European Court of Justice regarding the numerous and delicate issues related to the collection of personal data, the identification of the subjects responsible for the illegal treatment of the same data on the net, the territorial extension of the right to cancellation, with the aim of defining the relationships between the rights of the interested parties and the powers and obligations imposed on the search engine manager and the related responsibilities. The role of the manager becomes fundamental in the ex ante protection of the rights in question, so one wonders how appropriate is the award to this professional of the power to decide discretionally on the territorial extension of the removal order or on the request for diffusion or obscuring the particular data of a particular person.
1. Premessa
La protezione del dato personale rappresenta una delle sfide più significative portata avanti dalla Corte di Giustizia Europea che, con due recenti pronunce, ritorna sulla questione del diritto all’oblio o alla deindicizzazione ( Causa C-136/17 e C- 507/17) nel contesto digitale (1) che, come è stato opportunamente avvertito, nulla ha a che vedere con la visione classica del diritto all’oblio (2) nei confronti dell’editoria cartacea e tradizionale, recentemente oggetto di una decisone (3) delle Sezioni Unite della Suprema Corte di Cassazione (4).
(1) Di Ciommo, Quello che il diritto non dice. Internet e oblio, in Danno e responsabilità, 2014, 1110 ss. (2) Poletti–Casarosa, Il diritto all’oblio (anzi, i diritti all’oblio) secondo le Sezioni Unite, in questa Rivista, 2019, 724; Cuffaro, Una decisione assennata sul diritto all’oblio, in Corr. Giur., 2019, 1195, il quale esprime apprezzamento alle Sezioni Unite per avere chiarito il significato da attribuire al sintagma “diritto all’oblio”; Pardolesi, Diritto all’oblio, cronaca in libertà vigilata e memoria storica a rischio, in Foro it., 2016, 2729. (3) La decisione segue a Cass. Civ., sezione III, ordinanza 5 novembre 2018, n. 28048 , con nota, Di Ciommo, Le Sezioni Unite chiamate a fare chiarezza su quando il diritto di cronaca prevale sul diritto all’oblio, in questa Rivista, 2019, 89 ss. (4) Il riferimento è a Cass. civ. sez. unite, sent. 22 luglio 2019, n. 1968, nella quale si legge espressamente che “quando si parla di diritto all’oblio ci si riferisce, in realtà, ad almeno tre differenti situazioni: quella di chi desidera non vedere nuovamente pubblicate notizie relative a vicende, in passato legittimamente diffuse, quando è trascorso un certo tempo tra la prima e la seconda pubblicazione; quella, connessa all’uso di internet ed alla reperibilità delle notizie nella rete, consistente nell’esigenza di collocare la pubblicazione, avvenuta legittimamente molti anni prima,
28
DIRITTO DI INTERNET N. 1/2020
Entrambe le decisioni della Corte Europea, sebbene in prospettiva diversa, pongono il problema di verificare il ruolo del motore di ricerca nella tutela del diritto alla protezione dei dati personali e del relativo contemperamento con il diritto all’informazione degli utenti di internet e altri diritti di natura economica, eventualmente confliggenti. Su tale diritto (5) e sulla estensione e modalità della relativa tutela, si concentra ormai da qualche anno l’attenzione della Corte di Giustizia Europea che, nel 2014 ,ha inaugurato un percorso, non ancora chiuso, per affrontare le numerose e delicate questioni connesse alla raccolta dei dati personali, all’ individuazione dei soggetti responsabili per l’illecito trattamento degli stessi in rete, all’ estensione territoriale del diritto alla cancellazione. L’obiettivo è quello di delimitare i rapporti tra i diritti degli interessati e i poteri e gli obblighi gravanti sul gestore del motore di ricerca e le relative responsabilità, sia in ordine alla esecuzione di eventuali domande di cancellazione dei dati sia in merito alla valutazione delle situazioni giuridiche che entrano in conflitto.
nel contesto attuale (è il caso della sentenza n. 5525 del 2012); e quella, infine, trattata nella citata sentenza Google Spain della Corte di giustizia dell’Unione Europea, nella quale l’interessato fa valere il diritto alla cancellazione dei dati”. (5) Soro, Oblio, identità, memoria, in questa Rivista, 2019, 3 ss., il quale avverte che il diritto all’oblio ha subito una meta– morfosi importante, arricchendo il suo contenuto e avvalendosi di strumenti di tutela diversi.
GIURISPRUDENZA EUROPEA A tali quesiti la Corte di Lussemburgo ha già fornito risposte parziali. Con una prima decisione, pronunciata nel 2014 nel caso Digital Rigts Ireland Ltd/ Land., la Corte (6) era stata chiamata a valutare la legittimità della direttiva CE n. 24 del 2006, che autorizzava in maniera generale e indiscriminata il trattamento e la conservazione dei dati generati nell’ambito della fornitura di servizi di comunicazione elettronica per ragioni di sicurezza pubblica e di difesa nazionale, ma a prescindere dalla sussistenza di qualunque indizio di reato che legittimasse tale attività. In tale circostanza la Corte, ha colto l’occasione per affrontare la più generale problematica della conservazione dei dati personali e dei limiti ad essa apposti, statuendo che la presenza di un interesse generale (nel caso de quo, quello alla tutela della sicurezza nazionale), per quanto fondamentale e importante, di per sé non può giustificare una loro raccolta senza rispettare il principio di proporzionalità, rispetto alle finalità perseguite. Secondo la Corte di Giustizia la conservazione ingiustificata di dati personali, autorizzata dalla direttiva, in assenza di preminenti diritti da tutelare e senza la previsione di una preventiva autorizzazione da parte delle autorità nazionali competenti o degli interessati, era idonea a realizzare un pregiudizio del diritto alla vita privata, tutelato dall’art 7 della Carta di Nizza; che si prestava a una possibile violazione dello stesso art. 52 della Carta di Nizza (7). In sostanza nella giurisprudenza richiamata si è riaffermato e consolidato un principio ben preciso, già fissato nella Direttiva 95/46/CE e, oggi, nell’art. 5 del Regolamento, quello secondo il quale la conservazione dei dati personali può essere consentita soltanto nella misura in cui essa serve alla realizzazione delle finalità per le quali il trattamento è stato posto in essere, con l’obbligo della loro eliminazione, una volta conseguito l’obiettivo. Proprio sul connesso diritto alla cancellazione o all’oblio, da essa declinato come diritto alla deindicizzazione, la stessa Corte interviene (8), sempre nel 2014, nel caso , ormai noto, come Google Spain (9), con una sentenza nella quale fissa almeno tre principi: il gestore di un motore di ricerca svolge anche attività di trattamento dati personali, con conseguente estensione della relati-
va disciplina; il giudice di uno Stato membro europeo è competente a decidere sull’attività di tali soggetti, solo nell’ipotesi in cui in Europa essi abbiano una filiale o uno stabilimento ulteriore , per lo svolgimento di attività di promozione o di vendita di spazi pubblicitari; infine –si ribadisce- la tutela riservata al diritto alla protezione dei dati personali non costituisce una “prerogativa” assoluta, ma deve coesistere con altri diritti della persona eventualmente confliggenti e, in particolare, con il diritto all’informazione e alla conoscenza. La soluzione resta affidata, come del resto avviene in ambito domestico, ad un bilanciamento tra l’interesse degli utenti di internet all’informazione e quello dell’interessato alla tutela dei propri dati personali e, quindi ad un giudizio di ragionevolezza, facente leva sulla natura dell’ informazione, sul carattere sensibile dei dati per la vita privata della persona che chiede la cancellazione, sull’ interesse pubblico all’ informazione. Il diritto alla cancellazione, infatti, non può essere soddisfatto tutte le volte in cui esiste un preminente interesse pubblico alla conoscenza. I principi fissati in tali sentenze restano fondamentali per comprendere gli ulteriori sviluppo a cui è approdato il giudice Europeo con le sentenze del 2019.
(6) CGE 8 aprile 2014, caso C–293–12, Digital Rigts Ireland.e Seitlinger e a.
(10) CGE 24 settembre 2019 causa C–507/17, caso Google LLC, succeduta alla Google Inc., contro Commission nationale de l’informatique et des libertés (CNIL).
(7) Secondo, infatti, l’art. 52 Carta dei diritti fondamentali: “Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà”. (8) Al riguardo cfr. Pollicino, Un digital right to privacy preso ( troppo) sul serio dai giudici di Lussemburgo? Il ruolo degli artt. 7 e 8 della Carta di Nizza nel reasoning di Google Spain, in Dir. Inf. e inf., 2014, 569 ss. (9) CGE 13 maggio 2014, Causa C–131/12 pronunciata nel caso GOOGLE SPAIN SL c/ Agencia Espanola de Protecction de Datos.
2. Le sentenza della CGE (Grande Sezione) del 24 settembre 2019 nella causa C – 507/17 e nella causa C - 136-17
Nel caso ( C 507/17) Google LLC / Commission National del l’informatique et des libertés (CNIL) (10), la Corte viene chiamata a dirimere alcune questioni giuridiche derivanti da una controversia avente ad oggetto la modalità con cui, sotto il profilo spaziale, il gestore di un motore di ricerca deve dare attuazione al diritto (11) dell’interessato di ottenere “che dall’elenco di risultati, che compare in esito a una ricerca effettuata a partire dal suo nome”, siano cancellati uno o più link a pagine web “contenenti dati personali che lo riguardano”. La Corte , a parte la questione della ammissibilità dell’esercizio del diritto alla deindicizzazione, quale species del diritto all’oblio in Internet (12), su cui richiama i principi affermati nel caso Google Spain, affronta il vero problema, quella del-
(11) Pollicino, L’“autunno caldo” della Corte di Giustizia in tema di tutela dei diritti fondamentali in rete e le sfide del costituzionalismo alle prese con i nuovi poteri privati in ambito digitale, in Federalismi, 2019, 2 ss. (12) Su tale aspetto cfr. Cuffaro, Cancellare i dati personali. Dalla damnatio memoriae al diritto all’oblio, in Persona e mercato dei dati, a cura di Zorzi Galgano, Padova, 2019, 228; D’Antonio, Oblio e cancellazione dei dati, in Sica–D’Antonio–Riccio (a cura di), La nuova disciplina europea della Privacy, Milano, 2016, 208–209 ss..
DIRITTO DI INTERNET N. 1/2020
29
GIURISPRUDENZA EUROPEA la estensione territoriale (13) dell’ordine di rimozione rivolto al gestore di un motore di ricerca. Nel caso ( C- 136/17) GC e a/ Commission National del l’informatique et des libertés (CNIL) (14), invece, la Corte risponde alla richiesta di accertare se il divieto di trattamento dei dati personali, e specificatamente dei dati sensibili , gravante sui titolari e/o responsabili di trattamento, si applichi anche al motore di ricerca , con conseguente individuazione degli obblighi e dei poteri dello stesso. In particolare, alla Corte è stato chiesto di stabilire se il gestore di un motore di ricerca possa rifiutarsi di deindicizzare pagine internet contenenti dati particolari di un soggetto, qualora ritenga la prevalenza del diritto degli utenti di essere informati e di individuare, di conseguenza, il potere discrezionale che ad esso potrà essere riservato nell’applicazione del divieto di trattamento dati particolari e delle sue eccezioni. Entrambe le decisioni dalla Corte appaiono di grande rilevanza, poiché per un verso affrontano la questione della efficacia territoriale delle richieste di deindicizzazione provenienti dall’interessato o a seguito di un ordine di una Autorità di controllo o giudiziaria, e per altro si pongono il problema dei compiti riservati al gestore del motore di ricerca in tale ambito. Per tali ragioni, appare opportuno operare qualche riflessione in ordine al sistema degli interessi in gioco, nel quale le decisioni si innestano.
3. Attività di trattamento dati personali tra interessi della persona umana e interessi economici
Le problematiche sollevate dalla CGE si inquadrano nella più generale questione della tutela dei diritti e delle libertà fondamentali, sulla quale già da tempo si è concentrata l’attenzione della dottrina e della giurisprudenza europea (15) ; rispetto alla quale le soluzioni normative esistenti appaiono inadeguate . E ciò per almeno due ragioni; una è rappresentata dalla società in cui viviamo, quella della postmodernità e della complessità sociale, che sul piano giuridico ha determinato la crisi e la frammentazione delle tradizionali categorie giuri (13) In tal senso, cfr. punto 39 Sentenza, in cui si chiede se il “gestore di un motore di ricerca, … è tenuto ad eseguire la deincidizzazione su tutti i nomi di dominio del suo motore e … ciò anche al di fuori dell’ambito di applicazione territoriale della direttiva” . (14) CGE, 24 settembre 2019, causa C–136/17, GC e a./Commission nationale de l’informatique et des libertés (CNIL). (15) Nascimbene– Anrò, La tutela dei diritti fondamentali nella giurisprudenza della corte di giustizia: nuove sfide, nuove prospettive, in. Riv. it. dir. pub. com., 2017, 323. ss., i quali rilevano come la Corte è “chiamata a confrontarsi con “nuove” questioni di diritti fondamentali, derivanti da nuovi “pericoli” creati dalle nuove tecnologie o dai nuovi social media” e in tali casi si è sempre si è “pronunciata, nei casi ricordati (ad eccezione del caso Manni), in Grande Sezione, a testimonianza della rilevanza e della novità del tema affrontato.”
30
DIRITTO DI INTERNET N. 1/2020
diche (dal soggetto alle situazioni giuridiche soggettive, alla famiglia , al contratto), determinando la necessità di una normativa commisurata alla natura degli interessi e alle modalità della loro manifestazione ; l’altra è connessa allo sviluppo tecnologico, con particolare riferimento alla rete Internet (16). Il dato personale è regolato da diverse norme europee: dall’ art. 8 della Carta dei diritti fondamentali, che riconosce ad ogni persona il diritto alla protezione dei dati di carattere personale, e prescrive che i dati devono essere trattati secondo principi di lealtà, per finalità determinate e in base al consenso della persona interessata o in presenza di una causa legittimante il trattamento; e dal Regolamento UE 679/2016 (17), che ha abrogato e sostituito la direttiva 95/46/CE, per dare attuazione ai principi contenuti nella Carta e nel suindicato art. 8. Il. GDPR regola l’attività di raccolta dei dati personali, che viene garantita e promossa , e soprattutto si sottolinea la funzione sociale (18) e si chiarisce che essa va contemperata (19), con altri diritti fondamentali (20), non essendo una “ prerogativa assoluta” (21), come la stessa CGE ha sempre ribadito. L’ obiettivo è quello di realizzare , attraverso l’uniformazione (22) normativa della materia (23), una più adeguata coesistenza tra il diritto alla protezione dei dati perso-
(16) Rodotà, Il mondo della rete. Quali diritti, quali vincoli, Roma–Bari, 2014. Rodotà, Il diritto di avere diritti, Bari, 2012, 378 ss. (17) Per approfondimenti sul Regolamento cfr. Mantelero–Poletti (a cura di) Regolare la tecnologia:il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, Pisa 2018. (18) Per un approfondimento di tali questioni cfr., da ultimo, Zorzi Galgano Le due anime del GDPR e la tutela del diritto alla privacy, in Zorzi Galgano (a cura di) Persona e mercato dei dati. Riflessioni sul GDPR, cit. (19) La raccolta di dati personali di ciascuna persona, nella prospettiva del Regolamento è strumento della strategia di crescita delle imprese, che tuttavia nella sua attuazione non può prescindere da una precisa esigenza, che è quella di assicurare protezione ai valori della persona umana e di salvaguardia della dignità umana “nucleo essenziale” di ogni diritto riservato all’uomo al diritto al rispetto della vita privata , tutelato dall’Art. 7 della Carta di Nizza. Su tali aspetti cfr. Scalisi, L’ermeneutica della dignità, Milano 2018, 3 ss.; Id., Ermeneutica dei diritti fondamentali e principio “personalista” in Italia e nell’Unione Europea, in Riv. dir. civ., 2010, 155 e ora in Id., Fonti–Teoria– Metodo, Alla ricerca della “regola giuridica” nell’epoca della postmodernità, Milano, 2012, 419 e 420. (20) Gambino, Diritti fondamentali e Cybersecurity, in Bianca–Gambino– Messinetti, Libertà di manifestazione del pensiero e diritti fondamentali, Milano, 2016, 21 ss. (21) Vettori, I principi comuni del diritto europeo dalla CEDU al Trattato di Lisbona, in Riv. dir. civ., 2010, 115 ss., spec. 123 (22) Piraino, Il Regolamento generale sulla protezione dei dati personali e i diritti dell’interessato, in NLCC, 2017, 372 ss.; (23) Sica, Verso l’unificazione del diritto europeo alla tutela dei dati personali?, in Sica–D’Antonio–Riccio (a cura di), La nuova disciplina europea della Privacy, cit.
GIURISPRUDENZA EUROPEA nali e diritto alla libera circolazione dei dati (24) con la libertà di impresa e l’iniziativa economica privata. (25). La questione – come evidente- non è nuova nell’ambito del diritto interno e sovranazionale (26) essendo essa al centro del dibattito scientifico riguardante i rapporti tra diritti e libertà fondamentali di natura personale con quelli di natura patrimoniale; ma soprattutto è alla base del diritto e della giurisprudenza europea che dopo aver fatto proprio il principio personalista, a partire dal Trattato di Maastricht sino al Trattato di Lisbona che ha riconosciuto il valore giuridico dei Trattati alla Carta dei diritti fondamentali dell’Unione Europea, hanno sempre ragionato in una logica di composizione degli interessi in gioco. Pur non entrando nel merito del Regolamento che subordina - come è noto - il trattamento dei dati personali al consenso dell’interessato, al quale riconosce numerosi diritti sia a carattere preventivo ( per es. rettifica dei dati, cancellazione ) sia di tipo risarcitorio, va ricordato che i dati personali devono essere trattati in maniera corretta, trasparente, nel rispetto del principio di adeguatezza e pertinenza con le finalità che si vogliono perseguire. La rete telematica (27), tuttavia, costituisce luogo di produzione di fatti illeciti e di violazione di diritti fondamentali della persona, tra i quali quello alla protezione dei dati personali. Ne consegue che tutte le volte in cui si registra il pregiudizio di tale diritto, l’interessato può rivolgersi direttamente al gestore del motore di ricerca per chiedere l’oscuramento più che l’ eliminazione del dato .
4. Il ruolo della Corte di Giustizia Europea nella costruzione del diritto alla deindicizzazione
In questo contesto si inseriscono i principi affermati dalla Corte di Giustizia Europea, le cui scelte appaiono sempre più il frutto di una valutazione politica degli interessi in gioco, poiché appare evidente che il diritto al rispetto della vita privata e quello alla protezione dei dati personali devono coesistere non solo con il diritto all’informazione degli utenti della rete telematica, ma anche con il diritto alla libera iniziativa economica privata. (24) Libertà che come dice l’art. 1 , par. 3, del Regolamento non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche (come emerge dai cons. 4 e 7). (25) E ciò allo scopo anche di favorire lo sviluppo dell’economia digitale: in tal senso cons. 7 GDPR. (26) Resta, Diritti fondamentali e diritto privato nel contesto digitale: un inventario di problemi, in Navarretta (a cura di), Effettività e drittwirkung: idee a confronto, Torino, 2017. (27) Cfr. M. Astone, La società dell’informazione tra regole e tutele, in Vaccaro–Rizzuto–Brancato, La Comunicazione alla sfida della (dis)informazione, Canteraro ( RM), 2019, 59 ss.
Ciò viene evidenziato dalla stessa Grande Sezione, che, nel dire che ormai il fondamento normativo del diritto alla deindicizzazione è costituito dall’art. 17, precisa che in tale disposizione è stato fissato un “ bilanciamento .. per quanto concerne la portata di una deindicizzazione solo all’interno dell’Unione (28). Sicchè in presenza di una domanda di oscuramento del sito “il gestore di un motore di ricerca, quando accoglie una domanda di deindicizzazione, è tenuto ad effettuare tale deindicizzazione non in tutte le versioni del suo motore di ricerca, ma nelle versioni di tale motore corrispondenti a tutti gli Stati membri”. La sentenza , quindi, sviluppa e porta ad ulteriore svolgimento un orientamento già in parte presente nelle precedenti decisioni, statuendo però espressamente che la tutela del diritto all’oblio on line incontra, per i cittadini europei, il limite della territorialità; e ciò sul discutibile presupposto che molti Stati terzi non regolano il diritto alla protezione dei dati personali , né sussistono “strumenti o meccanismi di cooperazione “ diretti a estendere la cancellazione al di fuori dell’Unione Europea. In ogni caso nel percorso argomentativo portato avanti dalla Corte resta ferma la possibilità per il gestore di estendere, volontariamente e spontaneamente, la deindicizzazione a tutte le versioni del suo motore di ricerca. Resta sullo sfondo e non sufficientemente affrontata la questione della effettività della tutela dei diritti fondamentali della persona, che meriterebbero una tutela globale e non limitata, come peraltro la stessa Corte ha affermato in una quasi contestuale decisione nel caso Glawischnig-Piesczek c. Facebook Ireland Limited (29), riguardante una controversia insorta nei confronti di un social network che ha diffuso , attraverso le pagine di un utente , informazioni, già dichiarate illecite , lesive del diritto all’onore del ricorrente. In tale fattispecie la Corte ha affermato la necessità di una efficacia mondiale dell’ordine di rimozione dell’informazione illecita. La posizione della Corte, nel caso Google LLC c. (CNIL), rappresenta un sicuro passo indietro nella tutela effettiva del diritto non solo alla protezione dei dati personali, ma anche della vita privata, soprattutto a fronte del fatto che nel Regolamento è presente l’esigenza di garantire il livello di protezione delle persone fisiche fissato dal Regolamento anche fuori dall’Unione Europea; ma anche perché i fatti illeciti commessi attra-
(28) Punto n. 61 della Sentenza ove si legge “Orbene, pur se il legislatore dell’Unione, nell’articolo 17, paragrafo 3, lettera a), del regolamento 2016/679, ha effettuato un bilanciamento tra tale diritto e tale libertà per quanto concerne l’Unione …. si deve necessariamente constatare che, d’altro lato, esso non ha, allo stato attuale, proceduto a tale bilanciamento per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione”. (29) CGE, terza sezione, 3 ottobre 2019, Causa C–18/08, Glawischnig– Piesczek c. Facebook Ireland Limited.
DIRITTO DI INTERNET N. 1/2020
31
GIURISPRUDENZA EUROPEA verso il mezzo telematico non incontrano limiti territoriali di efficacia (30). Sotto questo profilo, emerge dalla sentenza una esigenza di protezione del motore di ricerca e degli interessi di cui esso risulta portatore. In effetti la Corte di Giustizia Europea , quando decide del diritto alla protezione dei dati personali in rete, è chiamata ad un difficile bilanciamento, nel senso che la tutela dei dati della persona incontra il limite della libertà di informazione, ma sullo sfondo restano inevitabilmente presenti gli interessi dei grandi motori di ricerca e dei social network, che trattano i dati per fini economici (31) e dai quali non si può prescindere se non si vuole compromettere la realizzazione del mercato digitale. Il problema allora è quello di evitare che già nella fase ex ante i fondamentali diritti alla protezione del dato personale e al rispetto della vita privata vengano violati da logiche prettamente mercantili. Nel percorso portato avanti dalla Corte Europea ancora più delicata appare la posizione assunta con riguardo al trattamento delle categorie di dati particolari, non tanto per la riconosciuta eccezione al divieto, che trova fondamento nelle regole della direttiva, prima, e del Regolamento oggi, ma per il ruolo che al gestore viene affidato. Il caso, infatti, oggetto della decisione C 136- 17 era quello di alcuni cittadini francesi che hanno chiesto la “deindicizzazione di link che rinviavano ad articoli di giornale contenti notizie su procedimenti penali e al altri articoli di giornale, “nei quali si faceva riferimento all’udienza penale” nel corso della quale uno dei ricorrenti “è stato condannato a una pena di sette anni di reclusione e a una pena accessoria di dieci anni di sorveglianza socio-giudiziaria per fatti di violenza sessuale su minori di quindici anni”. Si trattava di verificare se l’operatore del motore di ricerca fosse obbligato ad applicare la normativa sulla protezione dei dati personali e se di fronte a una richiesta di deindicizzazione, lo stesso, quale titolare dell’attività di trattamento, fosse obbligato a darne seguito o se , in alternativa, potesse, alla luce delle finalità connesse alla raccolta e degli interessi in gioco ,adottare una soluzione diversa. Le posizioni della Corte sono in linea con gli orientamenti precedentemente assunti secondo cui il trattamento di dati personali effettuato nell’ambito dell’attività di un motore di ricerca, si aggiunge a quello effettuato dagli editori di siti web.
32
Tale assunto consente alla Corte di affermare che anche il gestore di tale motore di ricerca, è tenuto all’osservanza delle regole contenute nella direttiva e nel Regolamento; sicchè deve accogliere qualunque richiesta diretta a evitare di indirizzare gli utenti su una pagina internet contenente informazione su dati particolari non più attuali. Se questa è la regola, ciò non impedisce alla Corte stessa di richiamare l’eccezione, affidando allo stesso gestore il compito di dare esecuzione alle norme contenute nella direttiva e nei vigenti articoli 9 e 10 del Regolamento, laddove prevedono la possibilità che in alcune circostanze anche i dati particolari possono essere trattati, tra cui quelli inclusi nell’eccezione di cui all’articolo 8, paragrafo 2, lettera e).” In tale circostanza la richiesta formulata dall’interessato può non trovare accoglimento. Infatti al gestore resta riservato il compito di valutare le situazioni giuridiche rilevanti nella fattispecie concreta (32)e, in presenza di una eccezione al divieto, nonché degli altri presupposti previsti dal Regolamento, tra cui la tutela della libertà di espressione e informazione, può rigettare la richiesta (33) , dopo aver valutato “ gli interessi in conflitto e determinato quale sia l’interesse prevalente”, con l’obiettivo di garantire una tutela efficace e completa delle persone interessate.
5. Motore di ricerca e tutela del diritto alla protezione dei dati personali e del diritto all’oblio: quali conclusioni?
Il ruolo del gestore diventa fondamentale nella tutela ex ante dei diritti in esame, sicchè è lecito interrogarsi sulla opportunità di una decisione che affida all’autonoma e discrezionale valutazione di tale soggetto il compito di verificare se sia possibile l’inserimento di un link verso una pagina Internet, in cui sono presenti dati sensibili, del cui contenuto in ogni caso esso non risponde (34); e (32) Su tale aspetto cfr. Punto 66 della Sentenza, laddove si dice che”il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione ……, deve – sulla base di tutte le circostanze pertinenti della fattispecie e tenuto conto della gravità dell’ingerenza nei diritti fondamentali della persona interessata al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta – verificare, …….se l’inserimento di detto link nell’elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome della persona in questione, si riveli strettamente necessario per proteggere la libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina web mediante una ricerca siffatta, libertà sancita all’articolo 11 della Carta.
(30) Sul rapporto tra diritto e globalizzazione cfr. Ferrarese, Prima lezione di diritto globale, Bari, 2012, 6 ss, che si pone il dubbio. se esiste un diritto globale,
(33) Punto 60. È alla luce di tali considerazioni che è necessario esaminare a quali condizioni il gestore di un motore di ricerca sia tenuto ad accogliere una richiesta di deindicizzazione e quindi a cancellare dall’elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome dell’interessato, il link verso una pagina web contenente dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafi 1 e 5, della direttiva 95/46.
(31) Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, in Dir. Inf. e inf., 2018, 689. Catalano, Il diritto alla portabilità dei dati tra interessi individuali e prospettiva concorrenziale, in Europa e dir. Priv., 2019, 833 ss.
(34) Cfr. Punto 46 Sentenza : “il gestore di un motore di ricerca è responsabile non del fatto che i dati personali rientranti in tali disposizioni compaiono su una pagina web pubblicata da terzi, ma dell’indicizzazione di tale pagina e, in particolare, della visualizzazione del link verso di essa ……, potendo una visualiz-
DIRITTO DI INTERNET N. 1/2020
GIURISPRUDENZA EUROPEA , conseguentemente vi è da chiedersi quanto sia condivisibile il riconoscimento in capo a tale professionista del potere di decidere discrezionalmente sulla richiesta di diffusione o di oscuramento dei dati particolari di una determinata persona, senza necessità di rivolgersi preventivamente quanto meno ad una Autorità indipendente e, in particolare, al Garante Privacy o all’Autorità garante per le comunicazioni che ha il compito di sorvegliare le reti di comunicazione (35). E’ pur vero che l’interessato potrà opporsi alla decisione del motore di ricerca , ma in presenza di un errore valutativo del gestore, potrà ottenere una protezione successiva, a illecito ormai consumato, e non più preventiva , come sarebbe auspicabile quando in gioco sono diritti fondamentali della persona umana. Resta ferma, in ogni caso, quando il pregiudizio si è prodotto, la possibilità di ricorrere alla disciplina sulla responsabilità del prestatore dei servizi informatici, richiamata dall’art. 2 comma 4 del Regolamento UE 2016/679 il quale prevede l’applicazione degli articoli da 12 a 15 della direttiva 2000/31/CE pure nei confronti del titolare e/o del responsabile del trattamento dei dati personali.
zazione siffatta del link in questione in tale elenco incidere significativamente sui diritti fondamentali della persona considerata al rispetto della sua vita privata e alla protezione dei suoi dati personali”. (35) Su tali temi cfr. M. Astone, Protezione dei dai personali e il (possibile) ruolo dell’Autorità garante per le comunicazioni, in Nuovo dir. civ., 2019, 247 ss.
DIRITTO DI INTERNET N. 1/2020
33
GIURISPRUDENZA CIVILE
La natura imperativa dei principi di protezione dei dati personali: conseguenze in ambito bancario Corte di Cassazione ; sezione I civile; ordinanza 21 ottobre 2019, n. 26778; Pres. Sambito; Rel. Fidanzia; E.L. (Avv. Minotti) c. Deutsche Bank Spa (Avv. Volpe). La clausola del contratto di conto corrente bancario secondo cui è necessario il consenso al trattamento dei dati personali particolari del cliente è nulla per violazione di norma imperativa (principi generali e ratio legis del d.lgs. 196/2003 in materia di protezione di dati personali).
…Omissis… Con sentenza depositata il 18 ottobre 2014 la Corte d’Appello di Genova ha confermato la sentenza di primo grado con cui il Tribunale di Chiavari ha rigettato tutte le domande proposte da E.L. finalizzate a far accertare in capo alla Deutsche Bank s.p.a. la responsabilità contrattuale e/o extra contrattuale e/o violazione di legge, con conseguente condanna al risarcimento dei danni patrimoniali e non patrimoniali, per aver “bloccato” l’operatività del conto corrente bancario e del deposito titoli, nella titolarità del cliente, dai primi giorni di marzo 2008 come conseguenza del fatto che quest’ultimo non aveva inteso autorizzare l’istituto di credito al trattamento dei suoi dati sensibili. La Corte d’Appello di Genova ha condiviso l’impostazione giuridica del giudice di primo grado secondo cui la banca, quale titolare del trattamento dei dati, nell’ambito della propria autonomia gestionale e contrattuale, non soggetta a particolari limitazioni di legge, avesse legittimamente ritenuto necessario, per una completa e migliore gestione dei rapporti con la clientela, acquisire anche i dati sensibili. Né l’istituto di credito era incorso in violazioni della legge sulla privacy o in inadempimenti contrattuali, avendo espressamente comunicato al sig. E., a norma del D.Lgs. n. 196 del 2003, art. 13, all’atto della sottoscrizione del contratto, che in caso di mancata autorizzazione al trattamento dei dati sensibili, la banca non avrebbe potuto dar corso alle operazioni richieste dal correntista, e, nonostante ciò, tali condizioni contrattuali furono liberamente sottoscritte dal cliente. Avverso questa sentenza ha proposto ricorso per cassazione E.L., affidandolo a sette motivi. La Deutsche Bank si è costituita in giudizio con controricorso eccependo la genericità del ricorso e l’inammissibilità dello stesso ex art. 360 bis c.p.c.. Entrambe le parti hanno depositato le memorie ex art. 180 bis.1 c.p.c..
Motivi della decisione 1. Prima di illustrare i motivi del ricorso del sig. E. vanno disattese le eccezioni di inammissibilità del ricorso sollevate dalla controricorrente. In primo luogo, il ricorrente non propone affatto una diversa lettura delle risultanze processuali concentrando le proprie censure soprattutto sulle violazioni di legge (art. 1322 c.c. e legge sulla privacy). Peraltro, tale eccezione è palesemente generica, non facendo alcun riferimento alla vicenda concreta per cui è procedimento. Palesemente inconferente è, inoltre, il richiamo all’art. 360 bis c.p.c., non avendo i giudici di merito affatto esaminato questioni di diritto su cui la giurisprudenza ha deciso in modo conforme. 2. Con il primo motivo E.L. ha dedotto la violazione e la falsa applicazione dell’art. 360 c.p.c., comma 1, n. 3. in relazione all’art. 1322 c.c. e art. 41 Cost.. Lamenta il ricorrente che l’autonomia contrattuale non può essere esercitata senza limiti, quale quello previsto dal D.Lgs. n. 196 del 2003, art. 23, secondo cui il consenso al trattamento dei dati personali è validamente prestato solo se espresso liberamente. Obbligare il cliente a rilasciare il consenso al trattamento dei dati sensibili con la prospettazione di bloccare, in caso contrario, il conto corrente o il deposito titoli, rientra nelle forme di pressione non consentite dall’autonomia contrattuale, incidendo sul libero discernimento, e ciò in contrasto anche con svariate norme della Costituzione, tra cui gli artt. 2, 41 e 47 3. Con il secondo motivo è stata dedotta la violazione e la falsa applicazione del D.Lgs. n. 196 del 2003, art. 13, art. 23, comma 3 e art. 24. Ribadisce il ricorrente che non è conforme alla legge sulla privacy obbligare l’altro contraente a rilasciare il consenso ai dati sensibili, senza che ciò corrisponda ad alcun bisogno, prospettando, diversamente, la mancata esecuzione delle operazioni bancarie. Le linee guida in tema di trattamento di dati
DIRITTO DI INTERNET N. 1/2020
35
GIURISPRUDENZA CIVILE personali della clientela in ambito bancario emanate dal Garante della Privacy ribadiscono i principi di pertinenza e di non eccedenza espressi dal D.Lgs. n. 196 del 2003, art. 11, comma 1, lett. d). 4. Con il terzo motivo è stata dedotta la falsa applicazione della clausola 8.1. del contratto. Lamenta il ricorrente che il capitolo 5, clausola 8.1. del contratto uniforme indicava come necessario solo il consenso relativo ai dati personali 5. Con il quarto motivo è stata dedotta la nullità della sentenza e del procedimento per violazione del principio del contraddittorio, di cui all’art. 101 c.p.c., comma 2 e artt. 24 e 111 Cost. Lamenta il ricorrente che il giudice d’appello ha posto a fondamento della propria decisione tre eccezioni rilevate d’ufficio, quali quelle relative al principio di specificità dei motivi, all’erronea applicazione dell’art. 115 c.p.c. e alla doglianza sulla liquidazione delle spese del giudizio di primo grado. 6. Con il quinto motivo è stata dedotta la violazione del principio di specificità, secondo la formulazione dell’art. 342 comma 1 c.p.c. previgente. Lamenta il ricorrente di aver dedotto dettagliatamente ed analiticamente tutte le ragioni della erroneità della sentenza di primo grado, osservando che, in ogni caso, l’art. 342 c.p.c., comma 1 previgente non richiedeva una rigorosa e formalistica enunciazione delle ragioni invocate a sostegno dell’appello 7. Con il sesto motivo è stata dedotta violazione di legge in relazione all’art. 113 c.p.c., artt. 24, 54, 101 e 111 Cost. Lamenta il ricorrente di non aver mai sostenuto la subordinazione delle fonti normative a quelle contrattuali. 8. Con il settimo motivo è stata censurata la statuizione della sentenza d’appello d’appello nella parte in cui ha dichiarato inammissibile per difetto di specificità la doglianza sulla liquidazione delle spese. Lamenta il ricorrente che il giudice di primo grado aveva disposto una condanna omnicomprensiva senza la possibilità di controllare analiticamente la correttezza della liquidazione con le tabelle in vigore al tempo. 9. I primi tre motivi, da esaminare unitariamente in relazione alla stretta connessione delle questioni trattate, sono fondati. Va osservato che non è contestato tra le parti che la banca controricorrente, all’atto della stipula del contratto di conto corrente, con relativa apertura del deposito titoli, abbia sottoposto all’attenzione del cliente, con comunicazione controfirmata da quest’ultimo, la clausola che, in mancanza del consenso al trattamento dei dati sensibili, l’istituto di credito non avrebbe potuto dare corso alle operazioni ed ai servizi richiesti. Proprio in virtù della circostanza che il cliente, con la predetta informativa, era stato pienamente reso edotto delle conseguenze previste dalla banca in caso di rifiuto a rilasciare il consenso al trattamento dei dati sensibili
36
DIRITTO DI INTERNET N. 1/2020
(e nonostante ciò, il cliente avesse comunque sottoscritto il contratto), entrambi i giudici di merito hanno ritenuto che l’istituto di credito non sia incorso in nessun inadempimento contrattuale, né nella violazione della legge sulla privacy, avendo la banca stabilito una tale regolamentazione nell’esercizio della propria autonomia contrattuale e gestionale, non soggetta a particolari limitazioni di legge, ai fini di una completa e migliore gestione dei rapporti con la clientela. Questo Collegio non condivide l’impostazione giuridica della sentenza impugnata. Va, in primo luogo, osservato che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubitabilmente con i principi informatori della legge sulla privacy, la quale ha natura di norma imperativa, contenendo tale normativa precetti che non possono essere derogati dall’autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. In particolare, tale principio è ben espresso dal D.Lgs. n. 196 del 2003, art. 3, recante il titolo “principio di necessità nel trattamento dei dati”, dall’art. 11, lett. d) legge cit., che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5, lett. c) del regolamento Europeo sulla protezione dei dati personali 2016/679. Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, intendendo per tali, a norma del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. d), quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Nel caso di specie, la banca ha apoditticamente giustificato la necessità di un consenso obbligatorio del cliente al rilascio dell’autorizzazione al trattamento dei dati sensibili con la propria “policy” aziendale, ai fini di una imprecisata completa e migliore gestione dei rapporti con la clientela, precisando, anche secondo la ricostruzione dei giudici di merito, di ritenere necessario acquisire i
GIURISPRUDENZA CIVILE dati sensibili, non nel senso “che la banca necessiti di avere a disposizione i dati c.d. sensibili per poter operare, ma nel senso che potendo tali dati venire a conoscenza dell’istituto di Credito, in via di cautela la banca vuole ottenere il consenso al loro trattamento” (pag. 6 sentenza impugnata). Tale affermazione non ha una giustificazione plausibile. La stessa banca ha dato atto - e non poteva fare diversamente in considerazione della precisa nozione di dati sensibili, evincibile del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. d) - di non aver bisogno di tali dati per operare. E’ quindi evidente che il fondare, a scopo cautelativo, la richiesta obbligatoria al cliente di rilascio dell’autorizzazione al trattamento dei dati sensibili sulla eventuale (alquanto remota) possibilità che la Banca ne venga a conoscenza nel corso della sua attività assume la connotazione di un mero pretesto. La Banca ha dunque richiesto obbligatoriamente - prospettando, diversamente, l’impossibilità di poter dar corso alle operazioni ed ai servizi richiesti - il consenso al trattamento di dati sensibili non pertinenti, non indispensabili (tali sono quelli relativi all’origine razziale, etnica del cliente, alla sua salute, alla vita sessuale, etc.) eccedenti in modo evidente le finalità per cui tali dati sono trattati e raccolti. Né potrebbe neppure giustificarsi l’illegittima richiesta di autorizzazione al trattamento dei dati sensibili con il rilievo che nella nozione di “trattamento”, a norma dell’art. 4, comma 1 legge cit., rientra qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, e quindi non solo la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione di dati, anche se non registrati in una banca di dati, ma anche la cancellazione e la distruzione dei medesimi. In proposito, è evidente che se la Banca fosse stata realmente mossa dall’unico intento di provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse
eventualmente venuta a conoscenza per pura casualità, non sarebbe stato necessario imporre il consenso preventivo e generico al loro “trattamento” (che è comprensivo di tutte le operazioni di utilizzo sopra enunciate), potendo richiedere una tantum il consenso alla distruzione e cancellazione di tali dati, una volta eventualmente manifestatasi l’esigenza. In conclusione, la clausola con cui la banca ha subordinato il dar corso alle operazioni richieste dal cliente al consenso al trattamento dei dati sensibili è affetta da nullità in quanto contraria a norme imperative, a norma dell’art. 1418 c.c.. Ne consegue che la condotta con cui lo stesso istituto di credito ha successivamente provveduto al “blocco” del conto corrente e del deposito titoli, proprio perché trova il proprio titolo in una clausola nulla dalla stessa inserita, non lo esonera da responsabilità per inadempimento contrattuale. Peraltro, la Banca, avendo sottoposto l’informativa più volte citata, all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente (e del conto titoli). Deve pertanto cassarsi la sentenza impugnata con rinvio alla Corte d’Appello di Genova, in diversa composizione, per nuovo esame e per provvedere sulle spese del giudizio di legittimità. …Omissis… P.Q.M. Accoglie i primi tre motivi, assorbiti gli altri e rinvia alla Corte d’Appello di Genova, in diversa composizione, per nuovo esame e per provvedere sulle spese del giudizio di legittimità. …Omissis…
DIRITTO DI INTERNET N. 1/2020
37
GIURISPRUDENZA CIVILE
IL COMMENTO di Giulia Fatano
Sommario: 1. La natura imperativa della “legge sulla privacy” – 2. Il consenso al trattamento dei dati personali tra evoluzione normativa e giurisprudenziale – 3. I principi sottesi al consenso per il trattamento dei dati particolari – 4. Il consenso al trattamento dei dati in ambito bancario. Con la decisione in commento, la Cassazione si esprime sulla natura imperativa della c.d. legge sulla privacy: il diritto alla protezione dei dati personali dell’interessato prevale sulla libertà contrattuale dell’operatore economico, nella misura in cui una policy aziendale non può stabilire un trattamento dei dati personali che non sia ispirato al principio di minimizzazione. With the above decision, the Supreme Court decides that “the privacy act” is a mandatory rule. The right to data protection of a person prevails on the contractual freedom of an economic subject: so a private policy has to be coherent with the principle of data minimization.
1. La natura imperativa della “legge sulla privacy”
La sentenza in epigrafe risulta di particolare interesse poiché sancisce la natura imperativa delle disposizioni in materia di protezione dei dati personali. Tale affermazione di diritto avviene nell’ambito dell’impugnazione della sentenza firmata dalla Corte di Appello di Genova che ritiene legittimo il trattamento di raccolta dei dati personali sensibili (dati particolari, n.d.r.) operato da una banca nei confronti dei propri clienti, in quanto espressione della propria libertà contrattuale non ostacolata da disposizioni normative di settore o del codice civile. Al contrario la Suprema Corte, accogliendo i primi tre motivi di ricorso, sancisce la natura imperativa della c.d. legge sulla privacy (d.lgs. 196/2003) poiché volta a tutelare interessi generali, valori morali e sociali strettamente collegati ai diritti e alle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale e la protezione dei dati personali. La Suprema Corte valorizza in particolar modo la violazione del principio di minimizzazione poiché nel caso di specie emerge che la banca ha richiesto obbligatoriamente dati non necessari per lo svolgimento dell’attività contrattuale ed ha subordinato la fornitura dei propri servizi al consenso per il trattamento dei dati sensibili che risultano essere non pertinenti, non indispensabili ed eccedenti le finalità contrattuali. Ne consegue la nullità per violazione di norma imperativa della clausola contrattuale che ha reso possibile il blocco del conto corrente e del deposito titoli per non aver prestato il consenso al trattamento dei propri dati sensibili ed il rinvio alla Corte d’appello di Genova in diversa composizione. Oggetto principale dell’analisi dei giudici della Suprema Corte è soprattutto la natura imperativa delle disposizioni normative contenute nella legge sulla privacy che rappresenta la chiave di volta della decisione giudiziaria; tuttavia strettamente correlate al tema e soltanto cennati nella decisione sono i temi del consenso per il trattamento dei dati sensibili ed i principi del trattamento dei dati personali che si inseriscono in un quadro normativo in evoluzione.
38
DIRITTO DI INTERNET N. 1/2020
2. Il consenso al trattamento dei dati personali tra evoluzione normativa e giurisprudenziale
La nozione di consenso al trattamento dei dati personali è mutata seguendo un immaginario fil rouge, parallelamente alla diversa tecnica normativa adottata (1) nel corso del tempo (2), per regolare l’ambito del data protection ed alle sempre più veloci evoluzioni tecnologiche che caratterizzano il mondo moderno (3). E’ interessante osservare come la nozione del consenso si è evoluta nel corso del tempo, a partire dal d.lgs. 196/2003, nella versione vigente prima della novella operata dal d.lgs. 101/2018, passando per il Reg. Ue 679/2016 e per gli interventi giurisprudenziali e dell’Autorità Garante per la protezione dei dati personali ritenuti più rilevanti. I principi informatori per l’acquisizione del consenso al trattamento dei dati personali sono rimasti immutati (4),
(1) Cfr. Iuliani, Note minime in tema di trattamento dei dati personali, in Europa e Diritto Privato, 1, 2018, 293: “Proprio l’utilizzo di un regolamento, in luogo della direttiva, è significativo del mutamento di approccio da parte del legislatore europeo il quale ha avvertito la necessità di sostituire l’obiettivo originario dell’armonizzazione con quello assai più pervasivo e ambizioso dell’uniformazione sebbene non manchino incisivi rinvii ai legislatori nazionali, i quali, stando al considerando n. 10 « dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione del presente regolamento », anche al fine di determinare « con maggiore precisione le condizioni alle quali il trattamento dei dati personali è lecito » ”. (2) Si pensi che in seguito all’abrogazione degli articoli 23 e ss. del c.d. codice della privacy (d.lgs. 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali”), il principale punto di riferimento è dato dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (c.d. GDPR) che fornisce una definizione del consenso all’articolo 4 e ne tratteggia i caratteri fondamentali ai §§ 6 e 7. (3) Ne sono testimonianza le modalità con le quali viene raccolto il consenso e le nuove esigenze di tutela degli interessati che si manifestano. (4) Anche se è opportuno fin da subito sottolineare come con l’abrogazione dell’articolo 23 non è più richiesto che sia espresso per iscritto poiché il Regolamento UE richiede solo che la manifestazione di volontà alla base del consenso sia inequivocabile (art. all’art. 4, § 1, n. 11 GDPR,
GIURISPRUDENZA CIVILE nonostante l’abrogazione degli articoli 13, 23 e ss. del d.lgs. 196/2003: il consenso, quale presupposto di liceità del trattamento, deve essere libero, specifico, informato ed inequivocabile. Ciascuno di questi requisiti assume un preciso significato e trova un preciso riscontro. Il principio della libertà del consenso può essere declinato in una pluralità di modi differenti (5). La libertà del consenso (6) è un elemento sempre più valorizzato anche dalla giurisprudenza: un consenso libero è un consenso non condizionato. I condizionamenti che potrebbero rendere non libero il consenso sono legati alla stretta relazione tra l’autorizzazione al trattamento e la fruizione di un servizio: in altri termini costituisce una forma di pressione non consentita chiedere il consenso al trattamento dei dati personali come condizione per ricevere un servizio. Tale principio è spesso richiamato per verificare la legittimità (e più spesso per accertare l’illegittimità) di un trattamento dei dati; per quanto le fattispecie in cui viene applicato tale principio siano tra loro molto diverse, si rileva come un ampio filone riguarda spesso trattamenti con finalità di marketing, indipendentemente dal settore economico di riferimento. Più nel dettaglio, con specifico riferimento al consenso per il marketing, nella più recente giurisprudenza (7) emerge un criterio per distinguere un consenso libero da uno condizionato: la fungibilità del servizio e la reperibilità dello stesso. Per quanto nel caso in commento non rile-
vino finalità di marketing e non sia stato utilizzato il filtro della fungibilità e della reperibilità del servizio (8), invero anche nella fattispecie annotata il titolare del trattamento richiedeva il consenso per il trattamento dei dati (9) come un requisito indispensabile per godere dei servizi di conto corrente bancario e deposito titoli precedentemente contrattualizzati. Nella sentenza in commento il requisito della libertà del consenso è considerato con grande rigore e serietà, tanto che il comportamento del titolare del trattamento è stato considerato in contrasto con svariate disposizioni costituzionali, come gli articoli 2, 41 e 47 (10). Il richiamo all’articolo 2 Cost. sembra ricordare il rango assegnato alla tutela dei dati personali ed in particolare il diritto inviolabile alla riservatezza ed alla protezione della vita privata nonché il valore del consenso, nella misura in cui consente di disporre di un diritto di tale levatura e di esprimere la propria personalità (11). Il riferimento agli articoli 41 e 47, riguardanti rispettivamente la libertà economica e l’esercizio del credito, ricorda che nonostante il rango costituzionale è necessario effettuare un bilanciamento (12) con le preminenti garanzie di cui all’articolo 2 Cost. In altri termini, l’accoglimento del motivo di ricorso contenente i predetti riferimenti costituzionali sembra funzionale a sancire la natura impe-
ove per consenso dell’interessato si intende qualsiasi manifestazione della volontà, che sia libera, specifica, informata e inequivocabile, con cui, mediante una dichiarazione o un’azione positiva inequivocabile, viene espresso il proprio assenso al trattamento dei propri dati personali).
(9) Nel caso di specie il consenso per il trattamento dei dati c.d. sensibili.
(5) Infatti vi sono delle significative intersezioni anche con le teorie civilistiche riguardanti la disponibilità dei diritti della personalità, la volontà negoziale ed i vizi del consenso in ambito contrattuale in parte mutuate (o comunque mutuabili) anche rispetto al consenso per il trattamento dei dati personali. Per un ricco contributo su questi aspetti, confronta Thobani, La libertà del consenso al trattamento dei dati personali e lo sfruttamento economico dei diritti della personalità, in Europa e Diritto Privato, 2016, 513. (6) Cfr. considerando n. 43 GDPR che appare essere il punto di partenza per l’interpretazione giurisprudenziale: “Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione.”. (7) Cfr. Thobani, nota a Cass. Civ. 2 luglio 2018 n. 17278 in Giur. It.,2019, 530; annotano la stessa sentenza anche Zanovello, Consenso libero e specifico alle e-mail promozionali, in Nuova giur. civ. comm., 2018, 1778; Ruggeri, Sulla nozione di consenso nella nuova disciplina privacy: alcune prime considerazioni in <GiustiziaCivile.com>, 21 marzo 2019.
(8) Per quanto sarebbe interessante indagare se per i servizi di conto corrente e deposito titoli vengano raccolti dati particolari, per quali finalità e la base giuridica del trattamento.
(10) Si tratta del primo motivo di ricorso, accolto dalla Corte di Cassazione; per quanto la Corte non approfondisca il rapporto tra libertà del consenso e contrasto con singoli articoli della Costituzione, accoglie i motivi di ricorso del ricorrente e sottolinea la valenza di norma primaria con natura imperativa della disciplina a tutela dei dati personali. (11) Il concetto è ben espresso da Rodotà, Discorso del Presidente. Relazione per l’anno 1997, all’indirizzo <https://www.garanteprivacy.it/web/ guest/home/docweb/-/docweb-display/docweb/3528995>: “Quella che si può continuare a chiamare tutela della privacy, allora, si presenta come condizione per il libero stabilirsi di relazioni sociali. E questo è ancora più vero quando le opinioni inducono all’adesione ad una qualsiasi forma associativa, perché questa scelta costituisce una “relazione” sociale formalizzata e, nella gran parte dei casi, la premessa di ulteriore “azione” sociale, perseguita appunto attraverso una struttura collettiva. Nella ricostruzione sistematica della tutela dei dati personali, in conclusione, devono essere tenuti presenti il momento della libera costruzione della personalità e quello dello stabilirsi del legame sociale, in una dimensione che vede congiunto il profilo della dignità (da intendere anche come dignità “sociale”, secondo l’esplicita indicazione dell´art.3 della Costituzione) e quello dell’eguaglianza”. (12) Cfr. Rodotà, cit.:”Naturalmente, il fatto che non ci si limiti a mettere l´accento sulla riservatezza, ma si dilati l´orizzonte con il riferimento all´intero quadro dei diritti e delle libertà fondamentali, pone problemi di bilanciamento tra i diversi valori sui quali diritti e libertà si fondano, e che possono trovarsi in contrasto con un diritto all´autodeterminazione informativa che pretendesse l´assolutezza. Il Garante ha già sperimentato questa difficoltà in relazione alla libertà della ricerca (art.33 Cost.) e a quella di iniziativa economica privata (art.41 Cost.)”.
DIRITTO DI INTERNET N. 1/2020
39
GIURISPRUDENZA CIVILE rativa delle disposizioni e protezione dei dati personali. È interessante notare come la sentenza in commento individua la violazione del principio di libertà del consenso nel fatto che l’autorizzazione al trattamento dei dati particolari è obbligatoria pur in assenza di un obbligo di legge. In modo riassuntivo ed efficace viene quindi declinato un corollario del principio di libertà che, peraltro, gode di rinnovata attenzione anche grazie all’articolo 7 §4 del Reg. Ue 679/2016, che nel valutare se il consenso sia stato liberamente prestato prescrive di tenere “nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto” . La fattispecie in analisi richiama alla mente anche il considerando n. 15 dello stesso Reg. Ue 679/2016 che accorda protezione al trattamento sia automatizzato che manuale di dati personali, se contenuti o destinati a essere contenuti in un archivio. In altri termini vi è un esplicito monito al titolare del trattamento (come un istituto bancario) rispetto ai trattamenti di dati in massa. Infatti, per quanto non si tratti della sede per approfondire questo tema, non v’è dubbio che il trattamento dei dati in massa, peraltro sempre più diffuso, richiede un’attenzione rafforzata (13). Il secondo requisito, quello della specificità del consenso, è strettamente legato alla libertà, tanto da potersi considerare la specificità del consenso come parte della libertà (14). Infatti solo se la volontà dell’interessato viene espressa in maniera specifica (15) può dirsi veramente libera. A tal proposito sono particolarmente esemplificative alcune fattispecie in materia di consenso con finalità di marketing: infatti, come facilmente rinvenibile anche nelle linee guida del Garante (16), è necessario un consenso specifico per la diverse attività che possono rientrare nella finalità di marketing che può spaziare, ad esempio, dal mero invio di comunicazioni promozionali dirette, da parte di soggetti terzi rispetto al titolare del trattamento fornitori oppure può dar luogo ad una vera e propria pro-
(13) E tale soglia di attenzione si alza ulteriormente quando il consenso ha ad oggetto un servizio infungibile, riguardante la sfera personale, con il consenso raccolto con modalità non tradizionali. (14) I due requisiti sembrando intrinsecamente legati fin dal dettato dell’articolo 23 c.3 d.lgs. 196/2003. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato”. (15) Da intendersi sia rispetto ai dati oggetto di trattamento sia rispetto alle finalità di trattamento, come sarà ulteriormente evidente rispetto alla necessità che il consenso sia informato. (16) All’indirizzo < https://www.garanteprivacy.it/web/guest/home/ docweb/-/docweb-display/docweb/2542348> Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio 2013 ed all’indirizzo < https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3881513> Linee guida in materia di trattamento di dati personali per profilazione on line - 19 marzo 2015 .
40
DIRITTO DI INTERNET N. 1/2020
filazione del cliente – eventualmente anche con l’utilizzo di dati provenienti da diverse fonti e magari con l’ausilio di strumenti meccanizzati, per proporre beni o servizi che potrebbero essere di gradimento dell’interessato. In tal modo si comprende come un consenso specifico influisce sulla libertà dello stesso: libertà e consapevolezza di amministrare i propri dati personali. Mutatis mutandis, lo stesso si può dire per la finalità contrattuale. In linea generale ed in base a considerazioni empiriche si può osservare che il trattamento di alcuni dati personali è spesso necessario per la realizzazione della c.d. finalità contrattuale ma quasi mai lo è il trattamento di dati particolari. Naturalmente ogni titolare del trattamento deve conoscere quali dati (17) intende trattare e per quali finalità. Peraltro non è sufficiente affermare che dati personali e particolari sono oggetto di trattamento per finalità contrattuale. Infatti, se nell’ambito di un rapporto bancario si può comprendere che i dati personali, indipendentemente dalla base giuridica prescelta, siano necessari per il raggiungimento di finalità contrattuali meno comprensibile (18) è la necessità di trattare dati particolari. Né tale finalità contrattuale può ritenersi spiegata attraverso un riferimento ad una “policy” aziendale volta ad una migliore gestione dei rapporti con la clientela (19). L’importanza del principio di specificità del consenso – ossia del consenso prestato per specifiche finalità – appare essere sempre crescente anche in considerazione della moltiplicazione di servizi gratuiti erogati con “solo” il consenso al trattamento dei dati personali. Si tratta di un modello di business sempre più diffuso nella data society che necessita sempre di più attenzione sia da parte dell’utente che da parte dell’Autorità (20). Il terzo requisito, quello del consenso informato, trova forma nel principale obbligo rivolto nei confronti dell’interessato: l’informativa per il trattamento dei dati personali. L’articolo 13 del codice privacy è stato ormai abrogato, la guida sicura in materia di informativa è data dagli articoli 13 e 14 del GDPR. La ratio sottostante all’obbligo di informativa (e conseguentemente del consenso informato) si rinviene nel principio di trasparenza in riferimento all’informazione ed all’accesso ai dati. Sono corollari del principio di trasparenza la facile accessibilità (17) Si noti come il titolare deve stabilire quali dati acquisire e per quali finalità pur potendo informare l’interessato soltanto della categoria di dati che saranno trattati; tuttavia la finalità del trattamento deve essere chiaramente comunicata in relazione a ciascuna categoria di dati. Naturalmente, l’interessato può richiedere in qualsiasi momento quali siano i dati personali oggetto di trattamento da parte del titolare. (18) Anche dal punto di vista dell’interessato – beneficiario delle tutele. (19) Ciò determinando, come si avrà modo di chiarire in seguito, la violazione di altri principi, in primis il principio di minimizzazione. (20) Da cui ci sia aspetta strumenti di tipo informativo, preventivo, regolatorio ed ove occorra dissuasivo e sanzionatorio.
GIURISPRUDENZA CIVILE delle informazioni, la comprensibilità, la semplicità e la chiarezza del linguaggio (21). L’obiettivo è duplice: da un lato rendere consapevole l’interessato dei rischi e delle garanzie nel trattamento dei dati; dall’altro informare efficacemente l’interessato sulle finalità del trattamento per poter valutare la coerenza con le modalità di trattamento adottate. Il quarto requisito, quello dell’inequivocabilità del consenso, non era espressamente previsto dal codice della privacy – per quanto facilmente ricavabile in via interpretativa- ma è stato formalizzato dal GDPR fin dalle definizioni (articolo 4 §1.11 (22) GDPR). Inequivocabilità significa certezza del consenso, sia riguardo al fatto che sia stato effettivamente prestato, sia riguardo al contenuto dello stesso. L’inequivocabilità dipende dalla combinazione di vari elementi di contesto e di formulazione, declinata quest’ultima sia nel senso di distinguibilità e limpidezza della richiesta di consenso sia nel senso di equilibrio tra le opzioni di scelta (23). Ne consegue che non può essere considerato inequivocabile un consenso acquisito a seguito di un’azione posta in essere automaticamente dall’utente o per ragioni diverse da quelle per cui il titolare del trattamento lo acquisisce. Per tale ragione la richiesta di consenso deve essere chiaramente indicata e l’azione di accettazione o rifiuto devono essere poste sullo stesso livello. Allo stesso modo l’azione positiva inequivocabile richiesta per esprimere il consenso è incompatibile con l’inattività che si concreta nel continuare ad usufruire di un servizio o nel proseguire la navigazione su un sito web (24).
3. I principi sottesi al consenso per il trattamento dei dati particolari
Ai quattro principi sopra richiamati in materia di consenso se ne aggiunge un quinto, specificamente riguardante i dati particolari. Si tratta del consenso esplicito, così come
(21) Si tratta di caratteristiche non nuove all’ordinamento poiché già sperimentate nell’ambito della disciplina consumeristica caratterizzata, similmente a quella per la protezione dei dati personali, da un’asimmetria informativa e da una posizione di debolezza del destinatario della tutela. (22) Richiama l’inequivocabilità ben due volte: “11) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;”. Lo stesso avviene nel considerando n.32, sostanzialmente dallo stesso tenore.
richiesto dall’articolo 9 §2 lettera a) del GDPR (25). Il codice privacy richiedeva il consenso scritto per il trattamento dei dati sensibili (26) in luogo dell’odierno consenso esplicito che ben può essere rappresentato anche da un consenso verbale. Attualmente il consenso esplicito si affianca al consenso espresso (27) e si contrappone al consenso implicito, ossia quello reso attraverso fatti concludenti. In sintesi, pur restando immutate le ragioni della speciale attenzione per i dati sensibili (28), il quomodo per l’espressione del consenso è attualmente meno stingente poiché non deve avere necessariamente forma scritta. Invero è mutata anche la prospettiva del trattamento: i dati sensibili potevano essere trattati con il consenso dell’interessato mentre l’articolo 9 GDPR vieta il trattamento dei dati personali salvo nei casi espressamente indicati nei §§2 e 4. La prima ipotesi in cui è “eccezionalmente” ammesso il trattamento dei dati particolari è costituita proprio dal consenso esplicito dell’interessato per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al §1. Nulla aggiunge il GDPR relativamente alla deroga costituita dal consenso, neppure in rapporto alle altre ipotesi previste nello stesso articolo (29). Oltre al consenso scritto dell’interessato, l’articolo 26 richiedeva un’autorizzazione preventiva al trattamento rilasciata dal Garante per la protezione dei dati personali. Dopo le prime incertezze sulla sopravvivenza delle autorizzazioni generali del Garante a seguito dell’entrata in vigore del GDPR, prima il d.lgs. 101/2018 e poi il provvedimento del Garante per la protezione dei dati
(25) Ed invero previsto anche in due ulteriori ipotesi: l’articolo 22 §2 riguardante la decisione unicamente basata sul trattamento automatizzato e l’articolo 49§1 lett.a) riguardante il trasferimento dei dati personali verso Paesi terzi o organizzazioni internazionali non adeguati. (26) Si noti come la prima differenza è proprio nella mutata dizione: dai dati sensibili del codice della privacy ai dati particolari del GDPR. Oltre al nome è lievemente mutata l’estensione oggettiva della categoria; ad esempio tra i dati particolari rientrano i anche i dati riguardanti l’orientamento sessuale che si aggiungono ai dati riguardanti la vita sessuale. (27) Utilizzando la terminologia del considerando n.32 del GDPR nella parte in cui recita “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale”.
(23) Cfr. letteralmente Pelino, Diritti di controllo, in Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, 218 ss..
(28) Come si desume dall’incipit del considerando n. 51 del GDPR: “Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali”.
(24) Cfr. Giovannangeli, L’informativa agli interessati e il consenso al trattamento in Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento UE n. 679/2016 e al d.lgs. n. 101/2018, Milano, 2019, 135ss..
(29) Ad esempio se è possibile acquisire il consenso al trattamento dei dati particolari in una delle ipotesi previste dalle altre lettere di cui al §2; neppure i considerando 51 e 52 si occupano in alcun modo del trattamento dei dati particolari fondato sul consenso dell’interessato.
DIRITTO DI INTERNET N. 1/2020
41
GIURISPRUDENZA CIVILE personali hanno chiarito quali di questi provvedimenti hanno superato l’esame di compatibilità con la nuova normativa (30).
4. Il consenso al trattamento dei dati in ambito bancario
Tanto premesso sul trattamento dei dati, anche particolari, con il consenso dell’interessato, si può ulteriormente approfondire il tema rispetto all’ambito bancario. Il settore bancario è stato interessato da diversi provvedimenti del Garante a cominciare dalle linee guida in tema di trattamento di dati personali della clientela (31) fino ai provvedimenti generali riguardanti banca, credito e finanza (32). Le linee guida, risalenti al 2007, trattano principi ancora attuali quali liceità, pertinenza e trasparenza. In particolare i dati personali, purché pertinenti e non eccedenti, possono essere trattati dalla banca solo per perseguire finalità legittime (quali, ad esempio, l’esecuzione del contratto in essere o l’adempimento obblighi derivanti dalla legge), osservando le disposizioni della di-
(30) Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali nn.1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice - 13 dicembre 2018, disponibile all’ indirizzo < https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9068972>. (31) Linee guida per trattamenti dati relativi al rapporto banca clientela - 25 ottobre 2007 disponibili all’indirizzo < https://www.garanteprivacy. it/web/guest/home/docweb/-/docweb-display/docweb/1457247>. (32) In particolare, Quando identificare e fotocopiare i documenti di riconoscimento dei clienti - 27 ottobre 2005 disponibili all’indirizzo < https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1189435>; Liceità, correttezza e pertinenza nell´attività di recupero crediti - 30 novembre 2005 disponibili all’indirizzo <https:// www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/ docweb/1213644>; Misure relative alle comunicazioni fra intermediari finanziari appartenenti al medesimo gruppo in materia di antiriciclaggio - 10 settembre 2009 disponibili all’indirizzo <https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1664492>; Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011 disponibili all’indirizzo <https://www.garanteprivacy.it/web/guest/ home/docweb/-/docweb-display/docweb/1813953>; Chiarimenti in ordine alla delibera n. 192/2011 in tema di circolazione delle informazioni riferite a clienti all´interno dei gruppi bancari e ´tracciabilità´ delle operazioni bancarie; proroga del termine per completare l´attuazione delle misure originariamente prescritte - 18 luglio 2013 disponibili all’indirizzo <https://www.garanteprivacy.it/web/guest/home/docweb/-/ docweb-display/docweb/2573636>; Provvedimento generale in materia di trattamento dei dati personali nell´ambito dei servizi di mobile remote payment - 22 maggio 2014 disponibili all’indirizzo <https:// www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/ docweb/3161560>; all’indirizzo<https://www.garanteprivacy.it/web/ guest/home/docweb/-/docweb-display/docweb/4349760> Costituzione di una banca dati relativa a morosità intenzionali della clientela del settore telefonico (S.I.Mo.I.Tel) - 8 ottobre 2015; Provvedimento interpretativo di alcune disposizioni del Codice SIC - 26 ottobre 2017 disponibile all’indirizzo <https://www.garanteprivacy.it/web/guest/home/ docweb/-/docweb-display/docweb/7221677>.
42
DIRITTO DI INTERNET N. 1/2020
sciplina in materia di protezione dei dati personali. Tra le disposizioni codicistiche di rilievo, ex ceteris, si possono ricordare, i presidi organizzativi (33), il rispetto dei princìpi di necessità e di qualità dei dati (34), il rispetto delle prescrizioni contenute nelle autorizzazioni generali nel caso in cui si trattino dati sensibili o giudiziari, l’informativa per l’interessato e le misure di sicurezza idonee a prevenire alcuni eventi di rilevanza civile e penale. Degna di nota appare la raccomandazione di raccogliere il consenso del cliente solo quando non sia possibile prescindere dallo stesso. Volgendo lo sguardo alla giurisprudenza, di recente le Sezioni Unite della Corte di Cassazione (35) hanno risolto un contrasto interpretativo riguardante una causale di pagamento da cui emergeva lo stato di salute dell’intestatario del conto corrente (36): è necessario un consenso ad hoc (37) relativo al trattamento
(33) Il trattamento può avvenire “solo da parte di incaricati (nonché, se designati, dei responsabili) del trattamento e limitatamente alle istruzioni loro impartite”. (34) Ad esempio, con riferimento all’esattezza e all’aggiornamento (artt. 3 e 11). (35) Cfr. Ricci, in Giur. It., 2018, 2639 nota a Cass. civile, sez. unite, 27 dicembre 2017, n. 30981 hanno enunciato il principio di diritto: “I dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l’interessato. Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all’osservanza delle predette cautele nel trattamento dei dati in questione”. (36) A tal proposito, cfr. Bianchi, Privacy, banche e dati sanitari. Il consenso del correntista non basta. Necessari crittografia e autorizzazione specifica scritta, in Diritto & Giustizia, V, 2018, 2 “L’Autorizzazione n. 5/2009 sulle modalità di trattamento dei dati sensibili da parte delle banche per l’attuazione dei contratti assunti stabilisce che oltre all’ottenimento del consenso scritto ad hoc «prima di iniziare o proseguire il trattamento, i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, in conformità all’art. 3 del codice».”. (37) “Non si può ritenere, di conseguenza, che l’interessato abbia, con le richieste inoltrate all’ente pubblico ed alla banca, autorizzato, in modo implicito, la comunicazione o la diffusione dei propri dati in quanto funzionale all’esercizio del diritto all’indennità e alla concreta erogazione del beneficio. Il rapporto giuridicamente qualificato sussistente tra soggetto titolare del diritto alla protezione dei propri dati sensibili e titolare del trattamento dei dati stessi è del tutto autonomo rispetto al vincolo legale o contrattuale che avvince, per ciò che concerne il diritto e l’erogazione dell’indennità, i soggetti obbligati e beneficiario. L’uno non confluisce nell’altro, mantenendo ciascuno di essi il proprio regime giuridico. Ci sono due relazioni produttive di effetti giuridici, l’una riguardante il beneficio accordato dalla L. n. 210 del 1992, l’altra la tutela del diritto fondamentale alla riservatezza in ordine ai dati personali relativi alla salute. Per questa seconda relazione giuridicamente qualificata che ha ad esclusivo oggetto il trattamento dei dati, la fonte di regolazione non può in alcun modo desumersi dal regime normativo e contrattuale dell’altra perché si tratta di diritti e beni giuridici diversi e non sovrapponibili.”.
GIURISPRUDENZA CIVILE dei dati sensibili contenuti nella causale di pagamento, poiché la prestazione indennitaria ex L. n. 210 del 1992 è estranea all’esecuzione degli obblighi contrattuali derivanti dal rapporto di conto corrente. La fattispecie trattata non consente alla Suprema Corte di soffermarsi sulle modalità per richiedere il consenso “aggiuntivo” al trattamento dei dati particolari, al contrario di quanto emerge nella sentenza in commento ove la banca raccoglie il consenso (peraltro viziato) al trattamento dei dati particolari poiché potrebbe accadere che si trovi a trattarli, pur affermando che non sono necessari per la realizzazione delle finalità contrattuali. In altri termini la banca raccoglie un consenso preventivo per il trattamento di dati sensibili che eccedono le finalità contrattuali, in palese violazione dei principi informatori del consenso sopra richiamati e del principio di minimizzazione (38). Nell’economia della sentenza ampio spazio viene dato al principio di minimizzazione che rappresenta un punto cardine della decisione. Infatti, come si legge in controluce nella decisione, il titolare del trattamento nella pianificazione dello stesso deve prendere in considerazione il principio di minimizzazione ossia deve domandarsi se i dati che intende trattare siano indispensabili, pertinenti e limitati alla finalità che intende perseguire (39). Solo se sono soddisfatte queste condizioni, è possibile scegliere la base giuridica del trattamento e procedere alle ulteriori operazioni di design (nel caso di specie la predisposizione del consenso per il trattamento dei dati sensibili, solo quando necessario). Il principio di minimizzazione trova espresso riconoscimento nell’articolo 5 §1 lett. c) GDPR (40): i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Il principio di minimizzazione è poi espressamente richiamato dall’articolo 25 GDPR rubricato “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” meglio noto come privacy by design e by de (38) “La Banca ha dunque richiesto obbligatoriamente - prospettando, diversamente, l’impossibilità di poter dar corso alle operazioni ed ai servizi richiesti - il consenso al trattamento di dati sensibili non pertinenti, non indispensabili (tali sono quelli relativi alle origine razziale, etnica del cliente, alla sua salute, alla vita sessuale, etc.) eccedenti in modo evidente le finalità per cui tali dati sono trattati e raccolti”. (39) “Tra i principi che regolano la tutela della c.d. privacy rientra a pieno titolo quello di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.” (40) Come sottolineato dalla Cassazione, era già presente in nuce nel codice privacy “In particolare, tale principio è ben espresso dal D.Lgs. n. 196 del 2003, art. 3, recante il titolo “principio di necessità nel trattamento dei dati”, dall’art. 11, lett. d) legge cit., che richiede la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5, lett. c) del regolamento Europeo sulla protezione dei dati personali 2016/679.”.
faut. Il principio di privacy by design impone di tenere conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, dei diversi rischi per i diritti e le libertà delle persone fisiche per attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione e la predisposizione delle garanzie previste dal regolamento a tutela dei diritti degli interessati. In verità, la relazione tra l’articolo 5 e l’articolo 25 del GDPR è esplicitamente annunciata già dal considerando 78 ove si prevede che “Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza.”. A bene vedere si tratta dello stesso ragionamento effettuato dalla Cassazione: la banca, tenendo a mente il principio di minimizzazione dei dati, deve pianificare il trattamento in base alla fattispecie concreta. Ciò è a maggior ragione vero in quanto si tratta di dati sensibili (41). Una policy aziendale che preveda il trattamento dei dati sensibili per una imprecisata migliore gestione dei rapporti con la clientela non è certamente sufficiente ad integrare la progettazione del trattamento; così come non è possibile raccogliere dati personali, comuni o sensibili, in via cautelativa, potendo tali dati venire a conoscenza della banca (42).
(41) Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, intendendo per tali, a norma del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. d), quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. (42) In aggiunta “è evidente che se la Banca fosse stata realmente mossa dall’unico intento di provvedere alla mera cancellazione e distruzione dei dati sensibili di cui fosse eventualmente venuta a conoscenza per pura casualità, non sarebbe stato necessario imporre il consenso preventivo e generico al loro “trattamento” (che è comprensivo di tutte le operazioni di utilizzo sopra enunciate), potendo richiedere una tantum il consenso alla distruzione e cancellazione di tali dati, una volta eventualmente manifestatasi l’esigenza. (…) Peraltro, la Banca, avendo sottoposto l’informativa più volte citata, all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto + essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo tempo, salvo poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente (e del conto titoli).”.
DIRITTO DI INTERNET N. 1/2020
43
GIURISPRUDENZA CIVILE
Ordine di investimento on-line oltre il limite di provvista e responsabilità dell’intermediario Corte di Cassazione ; sezione VI civile; ordinanza 15 ottobre 2019, n. 26077; Pres. Dott. Frasca; Rel. Dott. Dell’Utri; M.P. (Avv.ti Amatore, J. Quadri e G. Quadri) c. Intesa San Paolo Spa (Avv. Grassi) Se la banca sbaglia nell’esecuzione dell’ordine di acquisto via internet, non rispettando il limite massimo della provvista sul conto corrente, il risarcimento è comunque limitato al danno subito e non si estende all’intera somma investita perché l’operazione resta valida.
Fatto RILEVATO che con sentenza resa in data 22/9/2017, la Corte d’appello di Milano, in accoglimento per quanto di ragione dell’appello proposto da M.P., e in parziale riforma della decisione del primo giudice, ha condannato la Intesa Sanpaolo s.p.a. al risarcimento, in favore del M., del danno dallo stesso sofferto a seguito dell’inesatto adempimento, da parte della banca convenuta, di un ordine di acquisto azionario inoltrato a mezzo Internet; che, a fondamento della decisione assunta, la corte territoriale ha evidenziato come la banca convenuta avesse eseguito l’ordine di acquisto azionario inoltrato dal M. oltre i limiti della provvista finanziaria disponibile sul relativo conto corrente bancario, nonostante le pattuizioni contrattuali intercorse tra le parti limitassero all’importo della provvista disponibile l’eseguibilità degli ordini di acquisto; che, ciò posto, il giudice d’appello ha rideterminato l’importo a titolo di risarcimento del danno in favore del M., commisurandolo alla differenza tra la somma complessivamente investita e la provvista bancaria disponibile, al netto del controvalore delle azioni successivamente conseguito dall’investitore; che, avverso la sentenza d’appello, M.P. propone ricorso per cassazione sulla base di due motivi d’impugnazione; che la Intesa Sanpaolo s.p.a. resiste con controricorso; che, a seguito della fissazione della Camera di consiglio, sulla proposta di definizione del relatore emessa ai sensi dell’art. 380-bis c.p.c., le parti hanno presentato memoria. Diritto CONSIDERATO che, con il primo motivo, il ricorrente censura la sentenza impugnata per violazione dell’art. 1223 c.c. (in relazione all’art. 360 c.p.c., n. 3), per avere la corte territoriale erroneamente limitato il risarcimento del danno sofferto dal M. a una parte soltanto dell’addebito
in conto corrente, non estendendolo anche all’importo ulteriore, rispetto alla provvista disponibile, che lo stesso M. fu costretto a versare sul proprio conto corrente al fine di ripianare il passivo illegittimamente creato dall’inesatta esecuzione contrattuale della banca avversaria; che, con il secondo motivo, il ricorrente censura la sentenza impugnata per violazione dell’art. 1711 c.c. (in relazione all’art. 360 c.p.c., n. 3), per avere la corte territoriale erroneamente limitato il risarcimento del danno sofferto dal M. a una parte soltanto dell’addebito in conto corrente, nonostante i giudici del merito avessero correttamente rilevato l’inadempimento contrattuale in cui era incorsa la banca avversaria nell’esecuzione di un ordine non eseguibile; che entrambi i motivi – congiuntamente esaminabili in ragione dell’intima connessione delle questioni dedotte – sono in parte manifestamente infondati, in parte inammissibili; che, al riguardo, osserva il Collegio come il giudice d’appello abbia espressamente individuato la natura dell’inesatto adempimento contrattuale addebitabile ad Intesa Sanpaolo s.p.a., identificandolo nell’estensione dell’esecuzione dell’ordine impartito via Internet dal M. oltre i limiti della provvista finanziaria disponibile sul relativo conto corrente bancario; che, in particolare, la corte territoriale ha espressamente affermato di condividere l’esegesi della clausola 6.5 delle condizioni generali di contratto svolta dal primo giudice (cfr. pagg. 4-5 della sentenza impugnata); che, sulla base dell’interpretazione delle pattuizioni contrattuali così richiamata dal giudice a quo (interpretazione sul punto non censurata dall’odierno ricorrente), la sottrazione della banca convenuta agli obblighi contrattuali sulla stessa incombenti fu, pertanto, limitata alla sola estensione dell’ordine di acquisto oltre i limiti consentiti dalla provvista bancaria del M., rimanendo, conseguentemente, ferma la valutazione di legittimità
DIRITTO DI INTERNET N. 1/2020
45
GIURISPRUDENZA CIVILE dell’esecuzione dell’ordine di acquisto entro i ridetti limiti della provvista; che, ciò posto, una volta qualificato in tali termini l’inesatto adempimento da parte della banca convenuta, del tutto coerentemente il giudice d’appello ha individuato il danno subito dal M. nell’importo differenziale tra il complessivo investimento eseguito e l’entità della provvista bancaria disponibile al momento di esecuzione dell’ordine, da essa correttamente detraendo, infine, l’importo comunque conseguito dal M. a seguito del rimborso del valore delle azioni acquistate; che, pertanto – fermo il carattere assorbente del rilievo concernente l’inammissibilità del secondo motivo di ricorso, in ragione della novità della questione prospettata – nessuna violazione dei parametri normativi in questa sede invocati dal M. può ritenersi ascrivibile alla decisione del giudice a quo, avendo quest’ultimo correttamente provveduto – una volta individuata la natura e la specifica entità dell’inesatto adempimento contrattuale della banca convenuta – alla determinazione delle corrispondenti conseguenze dannose effettivamente subite dal M., atteso che un eventuale risarcimento esteso all’intero valore dell’investimento azionario avrebbe presupposto una diversa identificazione dell’entità dell’inadempimento della banca (in ipotesi consistente nella illegittimità dell’intero investimento, e non già della sola quota superiore all’importo della provvista disponibile), in contrasto con l’interpretazione delle pattuizioni contrattuali fatta propria dal giudice d’appello, in questa
sede non specificamente e adeguatamente censurata dall’odierno ricorrente; che, conseguentemente, sulla base di tali premesse, rilevata la complessiva manifesta infondatezza delle censure esaminate, dev’essere pronunciato il rigetto del ricorso, cui segue la condanna del ricorrente al rimborso, in favore della società controricorrente, delle spese del presente giudizio, secondo la liquidazione di cui al dispositivo, oltre l’attestazione della sussistenza dei presupposti per il pagamento del doppio contributo, ai sensi del D.P.R. n. 115 del 2002, art. 13, comma 1 quater. P.Q.M. Rigetta il ricorso e condanna il ricorrente al rimborso, in favore della controricorrente, delle spese del giudizio di legittimità, liquidate in Euro 6.000,00, oltre alle spese forfettarie nella misura del 15%, agli esborsi liquidati in Euro 200,00, e agli accessori come per legge. Ai sensi del D.P.R. n. 115 del 2002, art. 13, comma 1 quater, dà atto della sussistenza dei presupposti per il versamento, da parte del ricorrente, dell’ulteriore importo a titolo di contributo unificato pari a quello dovuto per il ricorso, a norma dello stesso art. 13, comma 1-bis. In caso di diffusione del presente provvedimento si omettano le generalità e gli altri dati identificativi, a norma del D.Lgs. n. 196 del 2003, art. 52. Così deciso in Roma, nella Camera di consiglio della Sezione Sesta Civile – 3, della Corte Suprema di Cassazione, il 16 maggio 2019.
IL COMMENTO
di Ludovica Molinario Sommario: 1. La vicenda giudiziale – 2. – Regole di condotta e regole di validità – 3.– Ordini di investimento e intelligenza artificiale. 4. Le nullità selettive. Con la decisione in commento, la Cassazione sancisce che se la banca sbaglia nell’esecuzione dell’ordine di acquisto via internet, non rispettando il limite massimo della provvista sul conto corrente, il risarcimento è comunque limitato al danno subito e non si estende all’intera somma investita perché l’operazione resta valida. With the above decision, the Supreme Court decides that if the bank makes a mistake in the execution of the purchase order online, not respecting the maximum limit of the bank account funding, the compensation is in any case limited to the damage suffered and does not encompass the entire amount invested because the operation remains valid.
1. La vicenda giudiziale
La sentenza della Suprema Corte di Cassazione n. 26077 del 2019 riguarda un tema che negli ultimi anni è stato ampiamente esplorato dalla dottrina e dalla giurisprudenza più recente, ossia il rapporto tra il contratto quadro e l’ordine di investimento effettuato dal cliente per mezzo dell’intermediario finanziario.
46
DIRITTO DI INTERNET N. 1/2020
Nel caso di specie, all’attenzione della Corte viene portata una sentenza di merito che aveva riconosciuto a favore dal ricorrente il risarcimento del danno sofferto a seguito dell’inesatto adempimento, da parte della banca convenuta, di un ordine di acquisto azionario inoltrato a mezzo Internet. Sennonché, ed è questa la ragione per cui viene inoltrato il ricorso alla Suprema Corte, il
GIURISPRUDENZA CIVILE Giudice d’appello, pur riconoscendo che la banca aveva eseguito l’ordine di acquisto azionario oltre i limiti della provvista finanziaria disponibile sul relativo conto corrente bancario, nonostante le pattuizioni contrattuali intercorse tra le parti limitassero l’eseguibilità dell’ordine all’importo della provvista disponibile, aveva limitato il risarcimento a favore dell’investitore nei limiti del danno differenziale, cioè della differenza tra la somma complessivamente investita e la provvista disponibile, al netto del controvalore delle azioni successivamente conseguito dall’investitore. Il ricorso si basa su due motivi che censurano l’operato della Corte d’Appello per avere, giustappunto, questa limitato il risarcimento del danno conseguente all’accertato inadempimento contrattuale della banca. Sotto tale profilo, la Cassazione ritiene, però, che l’operato dei giudici di merito sia esente da vizi, in quanto, «una volta qualificato in tali termini l’inesatto adempimento da parte della banca convenuta, del tutto coerentemente il giudice d’appello ha individuato il danno subito dal M. nell’importo differenziale tra il complessivo investimento eseguito e l’entità della provvista bancaria disponibile al momento di esecuzione dell’ordine, da essa correttamente detraendo, infine, l’importo comunque conseguito dal M. a seguito del rimborso del valore delle azioni acquistate». L’estensione del risarcimento all’intero importo investito, e dunque a quanto oggetto dell’ordine di acquisto, senza differenza tra la provvista esistente sul conto e l’ulteriore somma investita, avrebbe presupposto – come condivisibilmente puntualizza la Corte di Cassazione – «una diversa identificazione dell’entità dell’inadempimento della banca (in ipotesi consistente nella illegittimità dell’intero investimento, e non già della sola quota superiore all’importo della provvista disponibile), in contrasto con l’interpretazione delle pattuizioni contrattuali fatta propria dal giudice d’appello». Sennonché, il ricorrente ha omesso di formulare specificamente e adeguatamente rilievi a questo riguardo, e dunque la Suprema Corte non ha potuto svolgere alcun intervento sul punto. Peccato, perché la vicenda avrebbe rivelato, sul piano squisitamente giuridico, il meglio di sé proprio se i giudici di legittimità fossero stati chiamati ad esprimersi sulla qualificazione della condotta della banca che, come detto, ha eseguito un ordine di investimento in violazione di una norma contrattuale che regola il rapporto tra la stessa e l’investitore. In sostanza, il dubbio concerne la natura della clausola contrattuale che imponeva alla banca di rispettare il limite della provvista. Trattasi, cioè, di regola di condotta, ma che – in una diversa prospettiva e valorizzando l’insegnamento della Suprema Corte sentenza 19/12/2007
n° 26724 (1) potrebbe anche qualificarsi come regola validità. In questo secondo caso, come noto, l’inadempimento, o meglio l’attuazione di un comportamento contrario alla regola juris, comporta l’invalidità, o comunque la inefficacia dell’atto esecutivo, nel secondo caso, invece, la violazione di una regola di condotta o di responsabilità comporta quale conseguenza, non l’inefficacia dell’atto esecutivo, ma il risarcimento del danno patito.
2. Regole di condotta e regole di validità
Come noto, le regole di responsabilità e di validità sono poste a tutela dell’intero ‘procedimento contrattuale’ inteso come procedimento di perfezionamento ed esecuzione del contratto. Occorre, al riguardo, per prima cosa rilevare che le due categorie di norme presentano notevoli differenze in ordine ai relativi contenuti e soprattutto alle conseguenze. Le regole di validità vengono classificate come ‘regole di struttura’ e sono precostituite in quanto espressamente codificate dal legislatore (si pensi ad esempio al rilievo che il codice assegna liceità della causa). Le regole di condotta, invece, non godono di una predeterminazione legislativa e, infatti, la già citata celeberrima pronuncia delle SS.UU. del 2007 ne ha sottolineato l’irrimediabile indefinibilità ex ante. Esse, secondo i Supremi Giudici, acquistano valore soltanto ex post attraverso l’attività ermeneutica della magistratura e quindi tramite un’interpretazione che deve essere espletata, in giudizio, necessariamente caso per caso, in quanto deve tener conto del contesto e deve ricavare dai principi normativi i canoni di condotta rilevanti nella concreta fattispecie oggetto di indagine. Pregnanti profili differenziali attengono alle conseguenze derivanti dalla violazione di tali regole. Difatti, mentre il mancato rispetto delle regole di validità può dar vita a nullità o annullabilità del contratto o dell’ordine di acquisto, l’inosservanza delle regole di condotta determina il sorgere dell’obbligo di risarcimento del danno, fermo restando il diritto alla risoluzione del contratto stesso, o dell’ordine di acquisto compiuto sulla base del contratto quadro, e sempre che le regole di condotta non riguardino doveri di informazione e non risultino violate nella fase precedente o coincidente con la stipulazione del contratto di intermediazione destinato a regolare i successivi rapporti tra le parti, visto che in tal caso si avrebbe solo responsabilità risarcitoria. Più precisamente, secondo la Suprema Corte di Cassazione, la violazione dei doveri di informazione del cliente e del divieto di effettuare operazioni in conflitto di interesse o inadeguate al profilo patrimoniale del cliente
(1) Cass. 19 dicembre 2007, n. 26724, in Foro it., 2008, I, 784.
DIRITTO DI INTERNET N. 1/2020
47
GIURISPRUDENZA CIVILE stesso, posti dalla legge a carico dei soggetti autorizzati alla prestazione dei servizi di investimento finanziario, non dà luogo a nullità del contratto di intermediazione finanziaria per violazione di norme imperative, bensì, se realizzata nella fase precedente o coincidente con la stipulazione del contratto, darebbe invece luogo a responsabilità precontrattuale, con conseguente obbligo di risarcimento del danno. Diversamente, ove detta violazione riguardasse le operazioni di investimento o disinvestimento compiute in esecuzione del contratto, essa darebbe luogo a responsabilità contrattuale per inadempimento (o inesatto adempimento), con la conseguente possibilità di risoluzione del contratto stesso, oltre agli obblighi risarcitori secondo i principi generali in tema di inadempimento. Tuttavia, in via di eccezione può accadere che le regole di condotta siano elevate a regole di validità (con le relative conseguenze), ma ciò solo se sia espressamente previsto dal legislatore. Nella sentenza in epigrafe, come premesso, la regola contrattuale violata consiste in un limite quantitativo, pattiziamente imposto, alla possibilità per la banca di dar corso ad ordini di acquisto del cliente. Si tratta, dunque, di una regola destinata ad incidere sull’esecuzione del rapporto contrattuale e non sui doveri informativi ai quali l’intermediario deve assolvere prima della conclusione del contratto quadro di investimento. La violazione di una tale regola, da parte dell’intermediario, e dunque l’esecuzione di un ordine del cliente che superi il limite contrattualmente fissato, può comportare, secondo la prospettiva sopra tratteggiata, il sorgere di un obbligo di risarcimento a carico del primo e a favore del secondo oltre che il diritto, sempre per l’investitore, di chiedere la risoluzione dell’ordine che abbia superato il limite o anche, in determinati casi, dell’intero contratto quadro di investimento. Nel caso di specie, tutta questa problematica non viene trattata dalla Corte perché l’investitore ricorrente non ha ritenuto di sottoporre ai giudici di legittimità dubbi circa la natura della clausola contrattuale in questione e, per conseguenza, circa la natura dell’inadempimento della banca. Coerentemente, non si è posto in giudizio un problema di risoluzione degli ordini di acquisto impartiti dal cliente o di risoluzione del contratto quadro di investimento.
3. Ordini di investimento e intelligenza artificiale
Il rapporto tra investitori e mercati mobiliari è, da sempre, un rapporto complesso. Negli ultimi lustri, tuttavia, tale complessità risulta esponenzialmente aumentata in considerazione del fatto che il contesto fattuale di riferimento è mutato radicalmente. Si sono, infatti, imposti nel mercato prodotti finanziari sempre più ingegnerizza-
48
DIRITTO DI INTERNET N. 1/2020
ti e, dunque, più difficili da comprendere, nel loro meccanismo di funzionamento, non solo per gli investitori disinformati, ma anche per quelli più esperti e consapevoli, e finanche per gli investitori c.d. istituzionali. Ciò ha determinato l’esigenza, sempre più diffusa, per gli investitori di far ricorso a servizi di consulenza finanziaria, e dunque di essere affiancati nelle loro scelte di acquisto e vendita da professionisti in grado di, in qualche modo, orientare il cliente. In aggiunta a questo dato, che comunque risulta di particolare rilievo laddove si indaga la posizione dell’investitore rispetto ai risultati raggiunti all’esito degli investimenti, deve ulteriormente sottolinearsi come, al giorno di oggi, sempre più vengono eseguite e concluse, per via telematica, e quindi attraverso il cyberspace, operazioni economiche gestite esclusivamente tramite l’impiego di software (quindi, mediante algoritmi (2)) e dunque senza l’intervento umano. Il fenomeno si spiega in quanto, al fine di rendere più efficienti, rapide e performanti le scelte negoziali operate nei mercati finanziari, prima i grandi operatori, ma adesso anche gli operatori medi o finanche quelli piccoli ma con ambizioni di veloce crescita, si sono dotati di infrastrutture informatiche in grado di acquisire e analizzare, istante per istante, quantità gigantesche di dati e di assumere, sulla base di tale analisi e quindi in forza della c.d. intelligenza artificiale, le scelte di mercato ritenute più profittevoli che lo stesso software poi esegue inoltrando il relativo ordine, tramite reti telematiche, nel mercato di riferimento. Si parla, a questo riguardo, oramai da almeno due decenni, di high frequency trading, e cioè trading finanziario ad alta frequenza, o anche solo di trading algoritmico. Secondo le stime più attendibili, attraverso questi sistemi vengono decise e concluse l’80% delle transazioni finanziarie ogni giorno realizzate nel mondo. Sul versante civilistico, l’uso di software per operare scelte negoziali, o anche solo per eseguirle, viene, dalla dottrina, normalmente, negli ultimi anni, e non solo in Europa, ricondotto nella categoria delle operazioni denominate “smart contract” (i.e. contratti intelligenti) (3). In vero, come è stato notato, la categoria in questione (se di categoria si può parlare) comprende sia contratti
(2) Per una sintetica e chiara riflessione su cosa sono e quanto siano importanti gli algoritmi nella società digitale, cfr. Italiano, Dixit algorithmi. Breve Storia del nostro futuro, disponibile on-line all’indirizzo <http:// open.luiss.it/2019/01/23/dixit-algorithmi/>. (3) Comunemente si ritiene che l’espressione sia stata coniata da Szabo nel suo Smart Contracts: Building Blocks for digital market, 1996, disponibile on-line all’indirizzo <http://www.fon.hum.uva.nl/rob/Courses/InformationInSpeech/ CDROM/Literature/LOTwinterschool2006/szabo.best.vwh. net/smart _contracts_2.html.>. Per una riflessione critica circa la possibilità di definire compiutamente il fenomento, v. Mik, Smart Contracts: Terminology, Technical Limitations and Real World Complexity, 9 Law, Innovation & Technology, 269 (2017).
GIURISPRUDENZA CIVILE veri e propri, che vengono decisi, perfezionati e eseguiti senza l’intervento dell’uomo e unicamente con sistemi automatizzati, sia singole fasi di una operazione contrattuale o di una operazione economica i cui effetti si producono a prescindere dall’intervento umano. In vero, in Europa, ma soprattutto in Italia, la realizzazione di operazioni e transazioni finanziarie mediante software appare ancora limitata, seppur in crescita (4). Diversamente, invece, negli Stati Uniti le transazioni gestite tramite algoritmi e caratterizzate dalla rapidità di esecuzione ha riscontrato notevole successo, soprattutto perché mediante tale sistema è possibile immettere numerosi ordini e transazioni simili nel medesimo momento (5). Non è difficile, tuttavia, prevedere che il fenomeno continuerà a crescere di importanza e ad acquisire ulteriori spazi di mercato, e questo anche in Europa e nelle economie emergenti. Ciò premesso, va chiarito che tanto che la scelta di investimento sia effettuata realmente da un cliente, magari con l’ausilio di un consulente finanziario, tanto che la scelta di investimento sia realizzata da un software, normalmente l’ordine di acquisto di un cliente che non sia un investitore istituzionale viene inoltrato al mercato da un intermediario che svolge il servizio di esecuzione di ordini per conto dei clienti. L’intermediario, ricevuto l’ordine di acquisto o vendita di un titolo, lo esegue (comunemente si dice che negozia il titolo) scegliendo fra più sedi di negoziazione: mercati regolamentati; sistemi multilaterali di negoziazione; internalizzazione dell’ordine. Egli deve avere come obiettivo quello di perseguire nel miglior modo l’interesse del cliente, avendo riguardo ai seguenti fattori: prezzo del titolo che si acquista o si vende, costi di esecuzione dell’ordine, rapidità e probabilità di esecuzione, nonché dimensione e natura dell’ordine. Se l’ordine proviene da un comune risparmiatore (e non da una banca, compagnia di assicurazione o altro), l’intermediario deve privilegiare il prezzo del titolo e i costi di negoziazione, trovando la soluzione che assicuri al cliente il corrispettivo totale (prezzo + costi)
(4) Secondo alcuni, i robot trader gestiscono il 66% dei volumi globali negoziati sui mercati finanziari di tutto il mondo. Cfr. Carlini, Borse, come il robot trader «cavalca» il populismo e sfrutta lo spread, in Il Sole24 Ore, 5 ottobre 2018, disponibile on-line all’indirizzo <https://www.ilsole24ore. com/art/finanza-e-mercati/2018-10-02/-borse-comerobot-trader-cavalca-il-populismo--212907.shtml?uuid=AEIR0KFG>. (5) Cfr. Di Ciommo, Smart contract e (non-)diritto: il caso dei mercati finanziari, in Nuovo dir. civ., 2019, 257; nonché Id., Smart Contract and (Non-) Law. The case of the Financial Markets, in Law and economics yearly review, 2018, 291; e ancora Id., Smart contract, robo advisor e mercati finanziari, in Annali del CERSIG, a cura di P. Stanzione, M. Proto e P. Matera, Anni II – 2018, Roma, 2019, 189; e Id., Blockchain, smart contract, intelligenza artificiale (AI) e trading algoritmico: ovvero, del regno del non diritto, in Riv. degli infortuni e delle malattie professionali, 2019, 1.
più vantaggioso. Per ottenere il miglior risultato l’intermediario, come già detto, ha a disposizione più sedi di negoziazione. La scelta deve essere effettuata sulla base di criteri precisi e predeterminati che costituiscono la sua strategia di esecuzione degli ordini. La strategia di esecuzione determina per ciascuna categoria di strumenti finanziari le sedi di negoziazione che, secondo l’intermediario, permettono di ottenere in maniera duratura (e, pertanto, non episodica) il miglior risultato possibile. La strategia contiene poi i criteri che, di volta in volta, in relazione al singolo ordine, orienteranno la scelta della specifica sede. L’intermediario deve informare il cliente, su supporto duraturo o tramite sito internet, dei tratti principali della propria strategia. Anche le successive modifiche, se rilevanti, dovranno essergli comunicate. Il cliente può anche dare istruzioni specifiche circa le sue preferenze anche in ordine alla strategia da adottare. In questo caso l’intermediario, esclusivamente per gli aspetti connessi alle istruzioni ricevute, è sollevato dall’obbligo di rispettare la strategia che ha comunicato al cliente in quanto quest’ultimo, sostanzialmente, dando le sue istruzioni, rinuncia ad affidare tale compito all’intermediario. Il cliente può conferire l’ordine con le modalità indicate nel contratto. Potranno così esserci ordini scritti, verbali, telefonici o via internet. Prima di eseguire un ordine di acquisto, l’intermediario deve comunque informare il cliente sulle caratteristiche della tipologia di strumento finanziario che gli sta chiedendo di acquistare e sui relativi rischi. L’intermediario deve anche valutare che l’operazione sia appropriata per il cliente. A questo fine, deve informarsi sul grado di esperienza e conoscenza del cliente relativamente al tipo di strumento finanziario chiesto o proposto e, in particolare, deve tenere conto: della sua familiarità con il tipo di operazione chiesta o proposta; del volume, della frequenza, della natura delle operazioni realizzate in passato, del suo livello di istruzione e della sua professione. Infine, dopo aver eseguito l’ordine, l’intermediario deve inviare al cliente una comunicazione, su supporto duraturo, dove conferma l’esecuzione e indica: il giorno e l’ora di esecuzione, la tipologia dell’ordine, la sede di esecuzione, lo strumento finanziario oggetto di negoziazione, il quantitativo di strumenti finanziari scambiati, il loro prezzo unitario e il corrispettivo pagato in totale, la somma totale delle competenze e degli oneri pagati e, se il cliente lo richiede, la scomposizione della somma per le singole voci, gli eventuali adempimenti a carico del cliente per poter “regolare” l’operazione (ad esempio, la consegna dei titoli venduti o del controvalore monetario per quelli acquistati), nonchè la circostanza che il cliente abbia avuto come controparte lo stesso
DIRITTO DI INTERNET N. 1/2020
49
GIURISPRUDENZA CIVILE intermediario, un’impresa appartenente al suo stesso gruppo oppure un altro cliente dell’intermediario. Come evidente, per svolgere al meglio i compiti che la normativa di settore gli assegna, ed adempiere i relativi obblighi, l’intermediario dovrà dotarsi di un sistema informativo adeguato, e cioè idoneo a consentirgli di gestire le informazioni di cui ha bisogno e quelli che egli deve dar cliente, in modo rapido, preciso, completo e dunque efficiente. Anche in ragione di ciò, si spiega la fortuna che l’informatica ha avuto nel settore finanziario e più ancora nell’ambito della gestione dei rapporti tra intermediario e cliente. La legge stabilisce la forma scritta per la validità del c.d. contratto-quadro ex art. 23 T.U.F con il quale l’intermediario si obbliga a prestare il servizio di negoziazione di strumenti finanziari in favore del cliente. Infatti, tale articolo stabilisce espressamente che i contratti relativi alla prestazione dei servizi d’investimento sono redatti per iscritto e che, nei casi d’inosservanza della forma prescritta, il contratto è nullo. L’art. 39 della direttiva n. 2006/73/CE fa obbligo agli Stati membri di subordinare la prestazione dei servizi d’investimento (diversi dalla consulenza) alla conclusione, tra l’intermediario ed un “nuovo” cliente al dettaglio, di “un accordo di base scritto su carta o altro supporto durevole, dal quale risultino i diritti e gli obblighi essenziali dei contraenti. Prescrizione che è stata recepita nell’ordinamento nazionale, per l’appunto, dall’art. 23 del T.U.F., d.lgs. n. 58/1998 (“I contratti relativi alla prestazione dei servizi di investimento…, e, se previsto, i contratti relativi alla prestazione dei servizi accessori sono redatti per iscritto e un esemplare è consegnato ai clienti. La CONSOB, sentita la Banca d’Italia, può prevedere con regolamento che, per motivate ragioni [tecniche] o in relazione alla natura professionale dei contraenti, particolari tipi di contratto possano o debbano essere stipulati in altra forma. Nei casi di inosservanza della forma prescritta, il contratto è nullo”). A riguardo, non può tacersi come con la sentenza n. 898 del 16/01/2018 (6) la Cassazione abbia ritenuto, a Sezioni unite, e dunque risolvendo un contrasto pretorio emerso negli ultimi anni, che rispetta l’obbligo di legge della forma scritta anche un contratto sottoscritto dal solo cliente/investitore, c.d. contratto monofirma. A prescindere da questa precisazione, va qui chiarito un tale obbligo di forma non è previsto, invece, per gli ordini di investimento, che – come sopra accennato – devono solo rispettare la forma concordata tra le parti nel contratto quadro.
(6) Cass. civile, SS.UU., 16 gennaio 2018 n. 898, tra l’altro in Foro it., 2018, I, 928, nonché in <GiustiziaCivile.com> 9 maggio 2019, nota di Bologna.
50
DIRITTO DI INTERNET N. 1/2020
A quest’ultimo proposito, giova segnalare che la Suprema Corte, con sentenza n. 3087 dell’8 febbraio 2018 (7) con riferimento al dettato normativo del citato art. 23 d.lgs. n. 58/98, ha precisato che sono validi gli ordini di acquisto di strumenti finanziari impartiti telefonicamente, anche se non registrati; infatti, la documentazione, attraverso la registrazione, degli ordini dati oralmente dal cliente, non costituisce un requisito di forma degli ordini suddetti ma si esaurisce in uno strumento atto a facilitare la prova dell’avvenuta richiesta di negoziazione dei valori. Secondo la Cassazione, infatti, la previsione del requisito di forma di cui all’art.23 si riferisce esclusivamente al contratto-quadro tra risparmiatore e cliente, non anche alle singole operazioni specificate in detto contratto generale, come ad esempio gli ordini d’acquisto impartiti telefonicamente, salvo che nel contratto-quadro non sia stabilito il requisito della forma scritta anche per questi ultimi. Anche tale principio, come evidente, consente una vasta utilizzazione dei sistemi elettronici informatici per comunicare tra intermediario e cliente.
4. Nullità selettive
La differenza disciplinare e fenomenologica, sopra cennata, tra contratti quadro e ordini di acquisto, ha determinato nella prassi situazioni in cui, malgrado il contratto quadro risulti invalido, o addirittura inesistente, il cliente ha dato, magari per anni, ordini di investimento all’intermediario e quest’ultimo gli ha eseguiti. Tale vicenda ha determinato il sorgere di criticità presto pervenute all’attenzione dei giudici, e l’emersione di un dibattito, anche dottrinale, condotto sotto l’etichetta delle c.d. nullità c.d. selettive. Infatti, nella prassi accade non di rado che un risparmiatore agisca in giudizio per fare dichiarare la nullità di un contratto quadro di investimento per difetto di forma ex articolo 23 del D.Lgs. 58/1998, ma, piuttosto che chiedere anche l’accertamento della conseguente invalidità di tutti ordini di acquisto collegati al contratto quadro, egli si limita a contestare la validità di alcuni ordini di acquisto, cioè quelli rivelatisi infruttuosi, al fine di richiedere all’intermediario la restituzione delle somme investite. Si dibatte, quindi, sulla possibilità per l’investitore di utilizzare il rimedio della nullità sostanzialmente a sua discrezione, operando così una selezione degli ordini in base al proprio interesse. Si valuta, altresì, la possibilità di accordare all’intermediario qualche forma di tutela a fronte di eventuali atteggiamenti opportunistici del
(7) Cass. 8 febbraio 2018 n. 3087, in Banca Borsa Titoli di Credito, 2019, 2, II, 164.
GIURISPRUDENZA CIVILE risparmiatore. Quest’ultimo potrebbe, infatti, agire in mala fede e richiedere la restituzione delle somme investite anche a distanza di molti anni dalla conclusione del contratto quadro nullo, nella piena consapevolezza della sua invalidità per l’intera esecuzione del rapporto. La prima sezione civile della Cassazione, con l’ordinanza n. 23927 del 2.10.2018 (8), in ragione del conflitto giurisprudenziale che si è aperto sulle questioni in parola, ha investito le Sezioni Unite della responsabilità di ricercare “un punto di equilibrio tra le opposte esigenze di garanzie degli investimenti operati dai privati con i loro risparmi (articolo 47 Cost.) e di tutela dell’intermediario, anche in relazione alla certezza dei mercati in materia di investimenti finanziari”. In linea generale, infatti, negli ultimi anni sono emersi tre principali orientamenti pretori, il primo dei quali ammette senza problemi la possibilità per l’investitore di selezionare gli ordini di investimento per la cui invalidità agire in giudizio (9), laddove, al contrario, il secondo consente all’intermediario di opporsi alla pretesa dell’investitore attraverso l’exceptio doli generalis o eccependo la convalida del contratto quadro (10), e il terzo (c.d. orientamento mediano) ammette la legittimità dell’azione che abbia ad oggetto l’accertamento dell’invalidità solo di alcuni ordini di investimento, ma concede contestualmente all’intermediario la possibilità di eccepire la compensazione legale ex art. 1243 Codice Civile in relazione ai vantaggi patrimoniali ricevuti dall’investitore in considerazione degli altri ordini di acquisto eseguiti in forza del medesimo contratto quadro nullo (11). In relazione al primo orientamento, giova segnalare la sentenza Cass., I Sez., n. 8395 del 27.4.2016 (12)con la quale la Corte afferma che: “l’uso selettivo della nullità è coerente con il peculiare regime giuridico delle nullità di protezione. L’investitore che non può interferire nella formazione del (8) Cass. 2 ottobre 2018 n.23927 in Foro it. 2019, 3, I, 975 con note di Palmieri e Pagliantini. (9) Cass. 27 aprile 2016 n. 8395, in Corriere giur., 2016, 1110, con nota di Tucci, nonché in Contratti, 2016, 1094, con nota di Giuliani, e in Guida al diritto, 2016, 31, 70. (10) Cass. 17 maggio 2017, sentenze n. 12388, n. 12389 e n.12390, in Società, 2017, 1248, con nota di Afferni. (11) Cass. 24 aprile 2018, n. 10116, in Mass., rv. 648894-01, la quale afferma che: “in materia di intermediazione finanziaria, allorché le singole operazioni di investimento abbiano avuto esecuzione in mancanza della stipulazione del contratto quadro, previsto dal Decreto Legislativo. 24 febbraio 1998, n. 58, articolo 23, all’investitore, che chiede che ne sia dichiarata la nullità solo di alcune di esse, non sono opponibili l’eccezione di dolo generale fondata sull’uso selettivo della nullità e, in ragione della protrazione nel tempo del rapporto, l’intervenuta sanatoria del negozio nullo per rinuncia a valersi della nullità o per convalida di esso, l’una e l’altra essendo prospettabili solo in relazione ad un contratto quadro formalmente esistente”. (12) Cass. 26 aprile 2016 n. 8395, cit.
contratto a causa dell’asimmetria negoziale che ne costituisce una delle principali caratteristiche, è libero di decidere di avvalersi dell’eccezione di nullità e di limitarne gli effetti restitutori senza travolgere per intero gli investimenti eseguiti”. Sennonché, gli avversatori di tale orientamento sostengono (certo a ragione) che il risparmiatore potrebbe utilizzare il rimedio al solo scopo di caducare gli ordini di investimento rivelatisi, per lui, fallimentari. In questo modo, l’ampia tutela accordata all’investitore nei rapporti di intermediazione da parte del legislatore con la nullità di protezione avallerebbe comportamenti opportunistici a danno degli intermediari e del sistema di esercizio del credito. Ed è per questo che una parte della giurisprudenza ha concesso agli intermediari la possibilità di sollevare l’eccezione di dolo a fronte delle richieste del cliente risparmiatore. L’exceptio doli generalis sarebbe, infatti, uno strumento finalizzato, secondo l’ordinanza di rimessione n. 23927, a “ottenere la disapplicazione delle norme positive nei casi in cui la rigorosa applicazione delle stesse risulterebbe – in ragione di una condotta abusiva – sostanzialmente iniqua”. Il principio di buona fede oggettiva di cui all’articolo 1375 Codice Civile, attraverso l’eccezione di dolo, potrebbe impedire, così, l’esercizio di un diritto astrattamente previsto da una norma. Nell’ambito dell’orientamento restrittivo, e cioè sostanzialmente contrario alla c.d. nullità selettiva, come detto vi sono anche sentenze, soprattutto di merito, che consentono all’intermediario di opporre all’investitore la sanatoria o la convalida del contratto nullo. Ad esempio, una sentenza del Tribunale di Pavia del 26.1.2013 ha evidenziato come la nullità di cui all’articolo 23 TUF, essendo una nullità di protezione, sia sottoposta a un regime giuridico spurio, solo in parte assimilabile a quello della nullità tradizionale, e invece per molti versi più vicino al regime codicistico dell’annullabilità. La nullità di protezione opererebbe, secondo tale pronuncia, a tutela di un interesse particolare e, pertanto, sarebbe sottoposta alle regole in tema di annullabilità, tra cui la prescrizione quinquiennale e la possibilità di convalida. Un terzo e ultimo orientamento, come detto, ammette la nullità selettiva ma, a favore dell’intermediario, consente l’opponibilità di eccezione di compensazione con riguardo all’intero credito restitutorio che sorge dall’intera operazione negoziale. La soluzione in esame è stata accolta di recente da una pronuncia della Corte di Cassazione (13). Va ulteriormente segnalato che nel 2018 è emerso in Cassazione addirittura un quarto orientamento. Ed in-
(13) Cass. 16 marzo 2018 n.6664, in Foro it. 2018, 10, I, 3246, con nota di Paone.
DIRITTO DI INTERNET N. 1/2020
51
GIURISPRUDENZA CIVILE fatti la Suprema Corte con la sentenza Cass., I Sez., n. 10116 del 24.4.2018 (14), volendo distinguere tra il caso in cui il contratto quadro sia nullo e il caso in cui sia inesistente. ha affermato che: “in materia di intermediazione finanziaria, allorché le singole operazioni di investimento abbiano avuto esecuzione in mancanza della stipulazione del contratto quadro, previsto dal Decreto Legislativo. 24 febbraio 1998, n. 58, articolo 23, all’investitore, che chiede che ne sia dichiarata la nullità solo di alcune di esse, non sono opponibili l’eccezione di dolo generale fondata sull’uso selettivo della nullità e, in ragione della protrazione nel tempo del rapporto, l’intervenuta sanatoria del negozio nullo per rinuncia a valersi della nullità o per convalida di esso, l’una e l’altra essendo prospettabili solo in relazione ad un contratto quadro formalmente esistente”. Sollecitate dalla citata ordinanza di remissione della prima Sezione civile, le Sezioni Unite della Suprema, corte con la pronuncia del 4 novembre 2019 n. 28314 (15) , sono recentemente intervenute per mettere ordine rispetto ai diversi orientamenti pretori citati e, dunque, per offrire risposta all’interrogativo concernente i limiti entro cui - previo accertamento della nullità del contratto quadro per la prestazione dei servizi di investimento - è possibile per l’investitore agire nei confronti dell’intermediario al fine di ottenere la declaratoria di nullità solo di alcuni, e non tutti, gli atti con cui siano state disposte operazioni di investimento. In estrema sintesi, secondo tale sentenza, se il cliente ha certamente la legittimazione esclusiva - proprio perché la nullità contrattuale ha funzione protettiva della sua sfera giuridica - a selezionare tra i diversi investimenti compiuti a valere sul contratto quadro solo quelli pregiudizievoli per farli dichiarare nulli o comunque non efficaci nei suoi confronti (secondo una logica che viene ricondotta tradizionalmente alla nullità derivata), pur tuttavia, appunto in ossequio ai principi sopra richiamati, l’intermediario può vantare «un’eccezione qualificabile come di buona fede idonea a paralizzare gli effetti restitutori dell’azione di nullità selettiva». Un’eccezione opponibile nei «limiti del petitum azionato, come conseguenza dell’azione di nullità, ove gli investimenti, relativi agli ordini non coinvolti dall’azione, abbiano prodotto vantaggi economici per l’investitore». In vero, e senza possibilità di approfondire qui le diverse questioni che vengono in rilievo, la sensazione è che il recente arresto dell’Organo nomofilattico non sia del tutto idoneo a placare il conflitto pretorio in atto, e ciò anche perché esso prende in considerazione il solo caso del contratto quadro nullo per difetto di forma, mentre
(14) Cass. 24 aprile 2018, n. 10116, cit. (15) Cass. civile, SS.UU, 4 novembre 2019, n. 28314, in Foro it., Rep. 2019, voce Intermediazione finanziaria, n. 134.
52
DIRITTO DI INTERNET N. 1/2020
altre e diverse questioni si pongono, come si è avuto modo accennare nel paragrafo precedente.
GIURISPRUDENZA CIVILE
Applicazione dei parametri adottati dalle Tabelle di Milano per il risarcimento del danno da diffamazione tramite Facebook Corte d ’A ppello dell ’A quila ; sezione civile; sentenza 13 novembre 2019, n. 1888; Pres Buzzelli; Cons. rel. Iachini Bellisarli; C.B. (avv. Alfredo Altobelli) c. F.E. (avv. Mario Briolini) Devono considerarsi offensive della reputazione e del decoro le espressioni postate sulla bacheca Facebook usate allo scopo di denigrare la persona sul piano professionale e personale. Le espressioni di portata diffamatoria sul social Facebook devono considerarsi produttive di sofferenze morali che comportano il diritto al risarcimento del danno alla reputazione, di natura non patrimoniale, potendosi, ai fine della quantificazione del danno, utilizzare le Tabelle dell’Osservatorio sulla Giustizia Civile di Milano, aggiornate al 2018.
(Omissis) Il 01.08.2011, sulle pagine del social network Facebook del sig. CS, già candidato consigliere al Comune di V. S. M., fu indetto un “concorso” con la pubblicazione delle seguenti frasi: “qualche intruso si sta avviando ad una brillante carriera artistica ahahah.... trova l’intruso, ricchi premi a chi indovina”, accompagnate, da una foto ritraente tutti i candidati del Movimento Futura alle elezioni amministrative dell’anno 2001, nel periodo cui tra CM, FE e il suddetto CS vi era comunanza di orientamenti politici. Alla richiesta avanzata dal CS, FE rispondeva a mezzo web, sulla pagina Facebook: “.... è facile. L’uomo in carriera è l’agorafobico imbianchino”. Il FE aggiungeva in seguito: “non basta devi cominciare a scarabocchiare .... l’ex incorruttibile rosso, apprendista Modigliani, già pluridecorato ritrattista rionale, sale di grado: capo cerimoniere del new deal. Al suo fianco si fa largo Lingua Felpata, al secolo Giuda Panciuto, apprendista della qualunque. Lo spettacolo abbia inizio. A scanso di equivoci, assicuro le mie prestazioni professionali video fotografiche fino, al massimo, secondo antipasto, poi a ddò skoppa skopp. Se però vuoi la garanzia per un servizio con i fiocchi conosco un professionista che è un mago e all’occorrenza puoi farti pure una statua commemorativa. Cautelati però con ansiolitici e vasenecol quest’ultima per sentir l’addor de la vill”. Il CM, riconoscendosi nel personaggio indicato da tali espressioni, presentò denuncia querela presso la Procura della Repubblica presso il Tribunale di Lanciano nei confronti dei pretesi autori della pubblicazione delle frasi sopra richiamate, ovvero FE e CS, per poi costituirsi parte civile nel giudizio celebratosi contro costoro. Con sentenza del 10.2.2013, il tribunale penale ritenne che : “ ciò che integra gli estremi della diffamazione è l’espresso riferimento alla patologia del CM e che non è consentito il
ricorso alla terminologia in quanto non giustificata da alcuna tematica di interesse pubblico e non ravvisabile alcun diritto alla divulgazione di tale notizia che costituisce un dettaglio assolutamente trascurabile e che si percepisce volto a sminuire la valenza della persona cui è riferito”. Quindi, con sentenza n. 60/2013 così decise: “letti gli articoli 530 CPP assolve CS dal reato ascritto per non averlo commesso, visti gli articoli 533 e 535 cpp, dichiara FE colpevole del reato ascritto e lo condanna, concesse le attenuanti generiche alla pena di € 400,00 di multa, oltre al pagamento delle spese processuali, visti gli articoli 539 541 condanna FE al risarcimento dei danni in favore della parte civile da liquidarsi in separata sede e alla rifusione delle spese di costituzione in giudizio che liquida in € 1200,00 oltre CPA ed IVA se dovuta”. Avverso tale sentenza di condanna il FE presentò appello. Questa Corte d’Appello con sentenza n. 85/2016 depositata il 09.02.2016 così decise: “visto l’articolo 605 c.p.p., in riforma della sentenza in data 10 maggio 2013 del Tribunale di Lanciano, sezione distaccata di Atessa, appellata dall’imputato FE, assolve il medesimo dal reato ascritto perché il fatto non sussiste”. Il tutto rilevando come non vi fossero prove che il FE avesse diretto le sue frasi su Facebook al CM piuttosto che a tale C.. CM, in qualità di parte civile, propose ricorso per cassazione avverso detta sentenza assolutoria. La V Sez. Pen. della Suprema Corte con sentenza n. 21679/2018, depositata in cancelleria il 16.3.2018, ritenendo fondate le doglianze di parte ricorrente, accoglieva il ricorso, rinviando al giudice civile e reputando quanto segue. “La sentenza di primo grado, dopo aver collocato la vicenda in un ambito di antagonismo politico, aveva dato atto dei
DIRITTO DI INTERNET N. 1/2020
53
GIURISPRUDENZA CIVILE molteplici riferimenti, contenuti nelle frasi incriminate, univocamente convergenti nella individuazione dei CM, anche grazie alla presenza di una foto che lo ritraeva, diffusa sul social network nel medesimo contesto. La motivazione del primo giudice, inoltre pur limitando la portata diffamatoria solo una delle frasi indicate nel capo di imputazione - ha espressamente indicato le ragioni per le quali dovesse escludersi la possibilità di individuare altro soggetto, ossia il C., sottolineando la circostanza che solo il CM soffrisse di agorafobia, che la terminologia utilizzata (imbianchino, scarabocchiare, novello Bernini) apparisse più coerente con riferimento alla persona offesa, considerata la sua dedizione alla pittura ed alla scultura. La motivazione della Corte territoriale non ha in alcun modo affrontato dette argomentazioni, per confutarle in maniera criticamente articolata e, come tale, appare indiscutibilmente carente e lacunosa. Ne discende, pertanto, l’annullamento della sentenza impugnata agli effetti civili, con rinvio al giudice civile competente in grado di appello che, all’esito del giudizio, provvederà anche in merito alle spese di parte civile”. Con tempestiva citazione il CM, già parte civile, ha riassunto la causa nei confronti di FE chiedendo il ristoro dei danni patiti a causa della sua condotta. ristoro dei danni patiti a causa della sua condotta. Ha allegato che la sentenza di primo grado con la pronuncia della S.C. è passata in cosa giudicata e di conseguenza resta salvo, con il riconoscimento della colpevolezza a carico di FE, il diritto al risarcimento, da parte del CM, a vedersi riconosciute le sue pretese risarcitorie. Con la conseguenza per la quale questa Corte sarebbe chiamata non ad appurare l’an, perché oramai è acclarato che la responsabilità del fatto illecito è in capo al convenuto FE, quanto piuttosto a stabilire esclusivamente del quantum. Ha asserito che il danno che ne deriva è quello da lesione della reputazione e che, in quanto relativo ai valori della persona, presenta natura non patrimoniale e la pronuncia che lo liquida deve ispirarsi ad equità. A tal proposito ha richiamato le tabelle approntate dall’Osservatorio sulla Giustizia Civile di Milano, le tengono conto di alcuni elementi idonei alla quantificazione del danno: notorietà del diffamato e del diffamante; natura della condotta diffamatoria; collocazione dell’articolo e dei titoli e mezzo utilizzato per la diffamazione; risonanza mediatica della notizia; eventuale rettifica successiva. Ha quindi concluso che, in ragione del fatto di specie, graduando l’intensità della diffamazione e attribuendo il giusto peso alla condotta lesiva, sarebbe equo determinare la liquidazione sulla base di un valore indicativo di € 20.000,00 per ipotesi di diffamazione di media gravità, in considerazione dell’esistenza dei parametri di cui sopra, tra di loro concorrenti. Il convenuto in riassunzione, costituitosi, resisteva alla pretesa nell’an e nel quantum. Quindi, all’udienza del 26.6.2019, la causa è stata riservata in decisione, con concessione dei termini ex art.
54
DIRITTO DI INTERNET N. 1/2020
190 c.p.c.; essa viene decisa all’odierna camera di consiglio. La Corte premette che, diversamente da quanto sostenuto dall’attore in riassunzione, nessun giudicato si è formato sulla colpevolezza del FE in ordine al reato di diffamazione ai suoi danni. E’ vero il contrario, volta che la sentenza della Corte d’Appello che ebbe ad assolverlo con formula piena è stata cassata ai soli effetti civili, derivandone il suo passaggio in giudicato quanto agli effetti penali, che sono assolutori. Ne deriva come questo Collegio non può certo limitarsi a stabilire il quantum della pretesa risarcitoria, ma deve previamente accertare se in concreto la condotta del FE sia stata idonea a ledere l’onore e/o la reputazione del CM, soggetto sul quale incombe ancor oggi l’onere della prova in tal senso. Tanto premesso, la Corte Suprema ebbe a cassare la pronuncia della Corte Distrettuale Penale reputando che questa ebbe erroneamente ad assolvere FE sul non condivisibile rilievo per il quale nel dibattimento di primo grado non era emerso con certezza chi fosse l’effettivo destinatario delle frasi pubblicate su Facebook dall’imputato; in particolare perché tre testimoni ritennero che le frasi fossero indirizzate a tale FC, laddove il solo CM si identificò come destinatario delle frasi incriminate. La cassazione con rinvio, quindi, si è avuta perché le frasi sopra riportate non potevano che essere indirizzate ad un pittore, quale il CM. La Corte rileva che il FE nel presente giudizio non ha contestato detto principio, ossia ha implicitamente riconosciuto di avere rivolto le frasi al CM e si è difeso nel merito, sicché non resta che passare al merito della vicenda. In particolare, questa Corte deve dare congrua motivazione in ordine all’an del risarcimento, tenendo conto delle circostanze di fatto in detta prospettiva considerabili al fine di accertare se e quali fossero state le concrete conseguenze pregiudizievoli della pubblicazione delle frasi per l’odierno attore. Ciò posto, questo Collegio reputa offensive della reputazione e del decoro dell’attore (incontestatamente pittore) le espressioni “agorafobico imbianchino, ex incorruttibile rosso, apprendista Modigliani, già pluridecorato ritrattista rionale” usate dal FE all’evidente scopo di denigrarne la figura sul piano professionale e anche personale, dati i riferimenti alla sua passata incorruttibilità, evidentemente messa in dubbio su Facebook subito dopo che il nuovo Sindaco del paese, tale Paolini (avversario dei FE) con delibera del 10.6.2011 conferì al CM la carica di consulente per la gestione degli apparati informatici comunali e per l’aspetto estetico da conferire all’arredo urbano del centro storico, con ampia facoltà di accesso agli apparati informatici ed alle strutture pubbliche del Comune.
GIURISPRUDENZA CIVILE Il tutto come allegato in citazione, senza smentite. Quanto alla diffamazione della figura professionale non c’è dubbio sulla portata oggettivamente offensiva delle espressioni “imbianchino” e “ritrattista rionale”, soprattutto la prima, ove riferite, come avvenuto, ad un pittore di professione. L’espressione “agorafobico” è invece quella che meno offende la figura dell’attore, che non ha fatto mistero di soffrire di detta patologia. Ciò posto, la domanda risarcitoria va accolta, dovendo questo Collegio occuparsi di ogni espressione usata, non solo della parola imbianchino, comunque essa sola di per sé lesiva e come tale produttiva di sofferenze morali al CM, ingiustamente e gratuitamente paragonato a chi usa la vernice per affrescare abitazioni. L’attore ha, quindi, diritto al risarcimento del danno alla reputazione, di natura non patrimoniale e come tale richiesto, non essendo dubitabile la portata diffamatoria della pubblicazione sul social Facebook delle suddette espressioni lesive. In tal senso la Corte reputa di fare governo di quanto contenuto nelle Tabelle dell’Osservatorio sulla Giustizia Civile di Milano, aggiornate al 2018, per la liquidazione di siffatta tipologia di danno ove la diffamazione sia avvenuta a mezzo stampa e con altri mezzi di comunicazione di massa, tra questi ultimi figurando evidentemente il social Facebook. Le suddette tabelle fanno riferimento a parametri determinati, che la Corte esamina partitamente. Notorietà del diffamante: FE è descritto come fratello dell’ex sindaco FE, quest’ultimo già legato al CM, salvo sopravvenuti dissapori. In assenza di altri dati, la notorietà è da ritenersi limitata al territorio comunale, quindi scarsa, dato che V*** S*** M*** (dato Wilkipedia) ha solo 1300 abitanti. Carica pubblica, ruolo istituzionale o professionale del diffamato: l’attore ha incontestatamente allegato di essere pittore, scultore, fotografo, esperto e studioso di lotto (quest’ultimo, invero, appare pregio da cui prescindere); che la propria valenza artistica è riconosciuta a livello nazionale perché le sue opere pittoriche, scultoriche e fotografiche sono state premiate in moltissime occasioni, con il proprio nome inserito nel Dizionario Enciclopedico Internazionale d’Arte Contemporanea; che una sua opera, “(Omissis)” è stata raffigurata sulla copertina del Manuale di Sociologia “(Omissis)”, a cura di C.C. ed. F.A.; che sue opere che sono state oggetto di critiche e recensioni da parte di numerosi critici d’arte; che la sua terra è stata destinataria del dono, ad opera dell’Associazione (Omissis), di una delle sue maggiori
opere scultoree, il Monumento (Omissis). Ha aggiunto di essere stato l’autore di opera di restauro di una pala d’altare della Chiesa di M*** in B*** e di avere donato al Comune di V*** S*** M*** ben nove sue opere pittoriche; ha anche asserito che numerose sono anche le sue sculture e numerose le battaglie condotte in difesa del territorio e dell’ambiente della Valle di Sangro, oggetto di articoli giornalistici. Tutte le asserzioni, non smentite da controparte, sono state comprovate da produzioni documentali. Se ne ricava l’evidente notorietà del personaggio in ambito che trascende il territorio comunale. Reiterazione della condotta: inesistente. Gravità dell’offesa nel contesto fattuale di riferimento: si può parlare di offesa non grave, bensì tenue, in quanto limitata a tre espressioni: imbianchino, ex incorruttibile e ritrattista rionale, sicché l’offesa è da considerarsi tenue nel limitato contesto di V*** S*** M*** dato che, comunque, è presumibile che nella zona tutti conoscessero il CM e non tutti abbiano condiviso gli epiteti. Diffusione del testo diffamatorio: deve reputarsi minima poiché non è dato sapere quanti abbiano condiviso il post, di certo non molti poiché è evidente che non tutti gli abitanti del paese in questione potessero essere su Facebook nel 2011. Spazio delle frasi diffamatorie: limitatissimo. Risonanza mediatica: assente siccome non dimostrata. Intensità dell’elemento soggettivo: modesta, trattandosi di condotta dolosamente posta in essere solo allorché il CM divenne collaboratore del Sindaco eletto in contrapposizione al fratello del FE, ispirata, quindi, da contingenti ragioni di risentimento politico. Alla luce di dette considerazioni la Corte reputa la diffamazione di tenue gravità e, tenuto conto di una liquidabilità del danno in misura oscillante tra mille e diecimila euro, reputa equo riconoscere all’attore la somma di € 3000,00, data più che altro la notorietà del diffamato, ché, altrimenti, non vi sarebbe stata ragione per discostarsi dal minimo di cui alle suddette tabelle. Ne deriva, alla luce del principio di diritto secondo cui «nella diffamazione a mezzo stampa, il danno alla reputazione, di cui si invoca il risarcimento, non é “in re ipsa”, ma richiede che ne sia data prova, anche a mezzo di presunzioni semplici» (Cass. Sez. 3, Sentenza n. 24474 del 2014; Cass. Sez. 1, Sentenza n. 8807/2017), che nel caso esaminato sono state indicate sul piano presuntivo sofferenze risarcibili in misura decisamente inferiore a quella richiesta, per cui l’esito complessivo della vicenda e l’accoglimento in minima parte delle pretese risarcitorie del CM giustificano la compensazione integrale delle spese di lite di tutti i gradi di giudizio.
DIRITTO DI INTERNET N. 1/2020
55
GIURISPRUDENZA CIVILE
Il Commento di Sabrina Peron
Sommario: 1. I fatti di causa; 2. L’illecito diffamatorio nei social network; 3. Sulla liquidazione dei danni risarcibili La Corte d’Appello dell’Aquila nel riconoscere il risarcimento del danno da diffamazione commessa tramite Facebook, liquida i danni non patrimoniali facendo applicazione dei parametri contenuti nelle Tabelle 2018 elaborate dall’Osservatorio sulla Giustizia Civile di Milano. The Court of Appeal of L’Aquila, recognizing compensation for defamation damage committed through Facebook, determines the amount of non-pecuniary damages by applying the parameters provided by the 2018 Tables prepared by the Observatory on Civil Justice of Milan.
1. I fatti di causa
In occasione di una polemica di politica circoscritta ad un ambito locale ed espressa attraverso Facebook sulla bacheca dell’attore in riassunzione, veniva postato un commento del seguente tenore: “non basta devi cominciare a scarabocchiare .... l’ex incorruttibile rosso, apprendista Modigliani, già pluridecorato ritrattista rionale, sale di grado: capo cerimoniere del new deal. Al suo fianco si fa largo Lingua Felpata, al secolo Giuda Panciuto, apprendista della qualunque. Lo spettacolo abbia inizio. A scanso di equivoci, assicuro le mie prestazioni professionali video fotografiche fino, al massimo, secondo antipasto, poi a ddò skoppa skopp. Se però vuoi la garanzia per un servizio con i fiocchi conosco un professionista che è un mago e all’occorrenza puoi farti pure una statua commemorativa. Cautelati però con ansiolitici e vasenecol quest’ultima per sentir l’addor de la vill”. Pur essendo il commento privo di indicazione nominativa, l’attore si riconosceva nel soggetto preso di mira e, pertanto, querelava presso la locale Procura della Repubblica l’autore del commento. L’esito del giudizio di primo grado – che si concludeva con una condanna per diffamazione - veniva riformato in sede d’appello, che pronunciava invece sentenza di assoluzione. Contro tale decisione ricorreva in cassazione la parte civile e la Corte di Cassazione, con successiva sentenza n. 21679/2018, depositata il 16.3.2018, accoglieva il ricorso, rinviando al giudice civile con la seguente motivazione: “la sentenza di primo grado, dopo aver collocato la vicenda in un ambito di antagonismo politico, aveva dato atto dei molteplici riferimenti, contenuti nelle frasi incriminate, univocamente convergenti nella individuazione dei CM, anche grazie alla presenza di una foto che lo ritraeva, diffusa sul social network nel medesimo contesto. La motivazione del primo giudice, inoltre pur limitando la portata diffamatoria solo una delle frasi indicate nel capo di imputazione - ha espressamente indicato le ragioni per le quali dovesse escludersi la possibilità di individuare altro soggetto, ossia il C., sottolineando la circostanza che solo il CM soffrisse di agorafobia, che la terminologia utilizzata (imbianchino, scarabocchiare, novello Bernini) apparisse più coerente con riferimento alla persona offesa, considerata la sua dedizione alla pittura ed alla scultura. La motivazione della
56
DIRITTO DI INTERNET N. 1/2020
Corte territoriale non ha in alcun modo affrontato dette argomentazioni, per confutarle in maniera criticamente articolata e, come tale, appare indiscutibilmente carente e lacunosa. Ne discende, pertanto, l’annullamento della sentenza impugnata agli effetti civili, con rinvio al giudice civile competente in grado di appello che, all’esito del giudizio, provvederà anche in merito alle spese di parte civile”. Riassunto quindi il giudizio avanti alla Corte d’Appello dell’Aquila, sezione civile, quest’ultima nella sentenza qui in commento, così statuiva: - in primo luogo, riteneva di non dover limitare il proprio giudizio al solo quantum, dovendo estendere l’esame anche alla sussistenza – o meno - dell’an: difatti, poiché la sentenza assolutoria della Corte d’Appello era stata cassata ai soli effetti civili, ne era derivato il passaggio in giudicato degli effetti assolutori penali; - in secondo luogo, accertata la sussistenza dell’an, procedeva alla liquidazione del danno non patrimoniale, secondo i noti criteri equitativi. In particolare, la Corte d’Appello, nell’esaminare la valenza illecita delle espressioni critiche postate nel social network, ha ritenuto oggettivamente offensive, le seguenti frasi: “ex incorruttibile rosso”, “apprendista Modigliani”, “imbianchino” e “ritrattista rionale”, in quanto dirette a colpire un “pittore di professione” e, quindi, volte a screditarne la figura personale e professionale. I danni non patrimoniali, invece, sono stati individuati in via equitativa facendo applicazione dei criteri indicati nelle Tabelle (aggiornate al 2018) elaborate dall’Osservatorio sulla Giustizia Civile di Milano. Facendo applicazione di tali criteri, la Corte, considerata la tenuità dell’offesa e la sua limitata diffusione, ha liquidati i danni in via equitativa nella misura di € 3.000,00.
2. L’illecito diffamatorio nei social network
Con le parole del noto sociologo Zygmut Bauman internet ha reso possibili «cose che prima erano impossibili», dando potenzialmente un comodo accesso a tutti ad una sterminata quantità di informazioni: «oggi abbiamo il mondo a portata di un dito. In più la Rete permette
GIURISPRUDENZA CIVILE a chiunque di pubblicare un suo pensiero senza chiedere il permesso a nessuno: ciascuno è editore di sé stesso, una cosa impensabile fino a pochi anni fa» (1). La duttilità - anzi, citando Bauman, la liquidità - di internet, accessibile non più solo con il computer ma, altrettanto e forse più facilmente, con altre tecnologie (tablet, smartphone) permette a chiunque di utilizzare la Rete, in maniera semplicissima, in ogni luogo ed in ogni momento. In tale modo, la rete viene utilizzata dagli utenti come strumento per interconnettersi, vivere e utilizzare nuove forme di comunicazione, di socialità, di intrattenimento, di mobilitazione politica e/o sociale. In “virtù” della capacità di internet, in generale, e dei social network, più in particolare, di raggiungere un numero indeterminato di soggetti, secondo giurisprudenza consolidata, non vi è dubbio che l’utilizzo di un sito web per la diffusione di immagini o scritti atti ad offendere un soggetto è un’azione idonea a ledere l’onore e la reputazione, integrante la fattispecie della diffamazione aggravata ex art. 595, 3 comma, c.p.: ossia la diffamazione commessa “con qualsiasi altro mezzo di pubblicità” (2). Quanto alla prova della conoscenza da parte di una pluralità di soggetti dei messaggi diffamatori, questa può presumersi tutte le volte in cui le «espressioni siano inserite in un sito internet, che è per sua natura destinato ad essere normalmente visitato da un numero indeterminato di soggetti, analogamente a quanto si presume nel caso di un tradizionale giornale a stampa, nulla rilevando l’astratta possibilità che la sua conoscenza sfugga a tutti o a determinati soggetti» (3). Con riguardo, invece, all’individuazione del soggetto responsabile dei contenuti illeciti posti in rete - ferma restando la responsabilità dell’autore che ha materialmente commesso l’illecito – è pacifico oramai che la responsabilità del provider è limitata al caso in cui per le «informazioni oggetto di hosting (memorizzazione durevole) sia effettivamente venuto a conoscenza del fatto che l’informazione è illecita e non si sia attivato per impedire l’ulteriore diffusione della stessa e ciò in assenza di un generale obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite, né potendo ritenersi integrata alcuna posizione di ga-
(1) Bauman, È il carnevale della democrazia, intervista rilasciata a Alessandro Giglioli e pubblicata da L’Espresso, 15.02.2016, reperibile all’indirizzo: <http://espresso.repubblica.it/visioni/cultura/2016/02/12/ news/zygmunt-bauman-siamo-al-carnevale-della-democrazia-1.250232 >. (2) Cass. 23 gennaio 2017, n. 8482, in Ius Explorer Giuffrè, nonché Cass. 17 novembre 2000, n. 4741, in Dir. informatica, 2001, 21; T. Pavia 14 marzo 2019, n. 468, in Ius Explorer Giuffrè. (3) Cass. 8 novembre 2018, n.12546, Cass., 22 aprile 2010, n. 34916 e Cass. 4 aprile 2008, n. 16262, tutte in Ius Explorer Giuffrè. In senso conforme si veda anche, Cass. 21 giugno 2006, in Foro it., 2007, II, 486, con nota redazionale di Di Fresco.
ranzia, in assenza di norme che radichino la responsabilità oggettiva e di posizione del provider o l’esistenza in capo allo stesso di un obbligo di controllo» (4). Peraltro, in linea con tale impostazione, secondo il più recente orientamento giurisprudenziale i blogger sono esenti da responsabilità quando - una volta resi edotti dell’offensività di un post di soggetti terzi sul loro blog, provvedono a rimuovere prontamente il post offensivo (ferma restando ovviamente la responsabilità per quanto dagli stessi direttamente diffuso) (5). Da ultimo, e venendo al caso in commento, con riguardo a alla diffamazione commessa tramite Facebook, essendo questo un mezzo che per sua stessa natura è idoneo a «coinvolgere e raggiungere una vasta platea di soggetti», ad avviso della giurisprudenza ciò parallelamente comporta le possibilità di ampliamento ed aggravamento della «capacità diffusiva del messaggio lesivo della reputazione della persona offesa, come si verifica ordinariamente attraverso le bacheche dei social network, destinate per comune esperienza ad essere consultate da un numero potenzialmente indeterminato di persone, secondo la logica e la funzione propria dello strumento di comunicazione e condivisione telematica, che è quella di incentivare la frequentazione della bacheca da parte degli utenti, allargandone il numero a uno spettro di persone sempre più esteso, attratte dal relativo effetto socializzante» (6). Peraltro, la circostanza per la quale l’accesso al social network richieda all’utente una procedura di registrazione, non vale ad escludere la natura di altro mezzo di pubblicità richiesta dalla norma penale per l’integrazione dell’aggravante, la quale discende dalla «potenzialità
(4) App. Roma 19 febbraio 2018, n.1065, in Ius Explorer Giuffrè. (5) Cass. 8 novembre 2018, n.12546, in Ius Explorer Giuffrè. (6) Così, ex multis, tra le più recenti: Cass. 18 novembre 2018, n. 9385 e Cass. 23 gennaio 2017, n. 8482, entrambe in Ius Explorer Giuffrè. Si vedano anche: Cass. 28 aprile 2015, n. 24431, in Foro it., 2015, II, 691, secondo la quale la pubblicazione di un commento ingiurioso sulla bacheca Facebook «è idoneo a determinare la circolazione del messaggio tra un gruppo di persone apprezzabile per composizione numerica, rendendo così configurabile l’aggravante dell’aver recato offesa col mezzo della stampa o con qualsiasi altro mezzo di pubblicità»; Cass., 19 marzo 2015, n. 41276, in Ius Explorer Giuffrè, la quale ha ritenuto integrante il «reato di diffamazione la condivisione sulla rete internet di filmati riproducenti scene di atti sessuali, descritti come riferiti alla persona offesa, mediante il programma informatico di condivisione peer to peer, dotato di potenzialità diffusiva e idoneo a propagare i contenuti dei files video ad un numero indeterminato di destinatari, a partire dalla prima condivisione»; Cass. 25 agosto 2014, n. 18174, in Ius Explorer Giuffrè, secondo cui «l’inserimento in internet di informazioni lesive dell’onore e della reputazione altrui costituisce diffamazione aggravata, ai sensi dell’art. 595, comma 3, c.p., commessa con altro mezzo di pubblicità rispetto alla stampa, sicché anche in questo caso trovano applicazione gli stessi limiti derivanti dal bilanciamento tra il diritto di critica o di cronaca e quello all’onore e alla reputazione, quali la verità obiettiva delle informazioni (verità anche solo putativa, purché frutto di un serio e diligente lavoro di ricerca), la continenza delle espressioni usate e l’interesse pubblico all’informazione (cosiddetta pertinenza)».
DIRITTO DI INTERNET N. 1/2020
57
GIURISPRUDENZA CIVILE diffusiva dello strumento di comunicazione telematica utilizzato per veicolare il messaggio diffamatorio, e non dall’indiscriminata libertà di accesso al contenitore della notizia» (7). A sostegno di quanto esposto, in materia di diffamazione a mezzo social network, anche la giurisprudenza di merito si è mostrata concorde nel ritenere che «il messaggio pubblicato sulla bacheca di un iscritto è ben visibile anche da numerosi altri utenti e può essere incontrollabilmente diffuso a seguito di tagging. Gli utenti del social network sono dunque ben consapevoli che molti altri iscritti potranno prendere visione delle informazioni inserite in rete, anche a prescindere dal proprio consenso: per tale motivo, ove dette informazioni abbiano carattere lesivo della reputazione, dell’onore e del decoro altrui, l’autore dell’illecito sarà obbligato a risarcire il danno morale cagionato» (8). Facendo applicazione di tali principi, ad esempio, recentemente la Corte di Cassazione ha statuito che a parola “mafioso” rivolta all’ex sindaco di un comune siciliano e postata su una bacheca Facebook, «assume carattere offensivo e infamante e, laddove comunicata a più persone per definire il comportamento di taluno, in assenza di qualsiasi elemento che ne suffraghi la veridicità, integra il delitto di diffamazione, sostanziandosi nella mera aggressione verbale del soggetto criticato» (9). Fermo restando che non possono porsi a carico di un soggetto che pubblica un post su Facebook «oneri informativi (manifestazione del pensiero argomentata e fondata su elementi concreti così da lasciare al pubblico dei lettori la possibilità di apprezzare il fatto) analoghi a quelli gravanti su di un giornalista professionista, senza tener conto della profonda diversità tra le due figure per ruolo, funzione, formazione, capacità espressive, spazio divulgativo e relativo contesto» (10). A tale riguardo peraltro si ricorda che le sezioni unite (sia civili che penali) hanno ritenuto di poter ricondurre alla nozione di stampa possono r sia i giornali tradizionali che quelli telematici, laddove anche quest’ultimi siano caratterizzati: «da una testata, dalla diffusione regolare, dall’organizzazione in una struttura
con un direttore responsabile che sia giornalista professionista o pubblicista, una redazione ed un editore registrato presso il registro degli operatori della comunicazione, dalla finalizzazione all’attività professionale di informazione diretta al pubblico, per tale intendendosi quella di raccolta e commento di notizie di attualità e di informazioni da parte di soggetti professionalmente qualificati» (11). Con la conseguenza che anche la «testata giornalistica telematica, funzionalmente assimilabile a quella tradizionale in formato cartaceo, rientra nella nozione di “stampa” di cui alla l. 8 febbraio 1948, n. 47, art. 1 e, pertanto, non può essere oggetto di sequestro preventivo in caso di commissione del reato di diffamazione a mezzo stampa, in quanto si tratta di prodotto editoriale sottoposto alla normativa di rango costituzionale e di livello ordinario, che disciplina l’attività di informazione professionale diretta al pubblico» (12). Le sezioni unite civili hanno altresì precisato che soltanto la stampa che presenti caratteristiche, in «teoria idonee ad offrire una divulgazione di informazione responsabile e professionale, possono meritare anche, da un lato, un sovvenzionamento pubblico e, dall’altro, la tutela preventiva dal sequestro». Ragion per cui, laddove questi «connotati strutturali e funzionali siano posseduti dal giornale pubblicato, non importa se in tutto o in parte, col mezzo telematico, a prescindere anche dall’equipollenza dei metodi impiegati […], si giustifica allora la riconduzione di tale giornale nel concetto di “stampa” rilevante ai fini dell’art. 21, 3° comma, Cost. e quindi ai fini dell’esclusione del sequestro od altra forma di controllo preventivo» (13).
3. Sulla liquidazione dei danni risarcibili
Alla luce di quanto sin qui esposto, è dunque pacifico la diffusione messaggi diffamatori attraverso una bacheca Facebook determinano una lesione dell’integrità fisica e dell’onore del soggetto destinatario di tali messaggi (11) Cass. SS.UU. Civ. 18 novembre 2016, n. 23469, in Ius Explorer Giuffrè.
(7) T. Pavia 14 marzo 2019, n. 468, cit. (8) Cfr. T. Monza 2 marzo 2010 n. 770, e T. Livorno 26 febbraio 2018, n. 243, entrambe in Ius Explorer Giuffrè. In particolare, il Tribunale di Livorno ha affermato che l’uso di «espressioni di valenza denigratoria e lesiva della reputazione del profilo professionale della parte civile integra sicuramente gli estremi della diffamazione alla luce del detto carattere pubblico del contesto in cui quelle espressioni sono manifestate, della sua conoscenza da parte di più persone e della possibile sua incontrollata diffusione tra i partecipanti alla rete del social network. Lo specifico episodio in trattazione va più esattamente qualificato come delitto di diffamazione aggravato dall’aver arrecato l’offesa con un mezzo di pubblicità (fattispecie considerata dal comma terzo dell’art. 595 c.p. ed equiparata, sotto il profilo sanzionatorio, alla diffamazione commessa con il mezzo della stampa)». (9) Cass. 29 maggio 2019, n. 39047, in Ius Explorer Giuffrè. (10) Cass., 19 novembre 2018, n.3148, in Ius Explorer Giuffrè.
58
DIRITTO DI INTERNET N. 1/2020
(12) Cass. SS.UU. Pen. 29 gennaio 2015, n. 31022, in Ius Explorer Giuffrè. (13) Cass. SS.UU. civ. 18 novembre 2016, n. 23469, cit., la quale precisa che la «periodicità, talvolta richiesta dalla normativa in esame ed in ogni caso imposta per la qualificazione di una pubblicazione come giornale o periodico, sta nella non occasionalità o nella non episodicità o nella non unicità dell’edizione o pubblicazione: cosa che può riscontrarsi in una regolarità di pubblicazione di nuove edizioni (o numeri), unificate dall’identità o perlomeno dalla costanza degli altri elementi sopra descritti; e che, nella stampa telematica periodica, strutturalmente articolata su di un sito tendenzialmente permanente, può risolversi — ai fini che qui interessano e sempre con la vista premessa di grande approssimazione, funzionale all’applicazione di concetti originariamente modellati su realtà fattuali non ancora evolute — anche nel consueto «aggiornamento» delle relative pagine: ciò che, per mantenere un parallelismo meramente descrittivo con la stampa tradizionale, può equipararsi alla lontana ad una “edizione” di un certo giorno o di una certa ora».
GIURISPRUDENZA CIVILE e sono quindi idonei a «fondare da parte del soggetto offeso la richiesta di una somma di denaro per il perturbamento psichico, per il danno alla reputazione e per il danno biologico, conseguiti a seguito di tali comportamenti, in ragione della lesione di diritti costituzionalmente protetti» (14). Peraltro, come nel caso di cui alla sentenza in commento, «non è necessario che il soggetto passivo sia precisamente e specificamente nominato, ma la sua individuazione deve avvenire, in assenza di un esplicito e nominativo richiamo, attraverso gli elementi della fattispecie concreta, quali la natura e portata dell’offesa, le circostanze narrate, oggettive e soggettive, i riferimenti personali e temporali e simili, i quali devono, unitamente agli altri elementi che la vicenda offre, essere valutati complessivamente, di guisa che possa desumersi, con ragionevole certezza, l’inequivoca individuazione dell’offeso» (15). Attualmente il nostro sistema risarcitorio da fatto illecito - comprensivo quindi del risarcimento in sede civile del danno da lesione all’onore, alla reputazione, all’immagine e ad altri diritti della personalità - non può prescindere dalla storica decisione resa dalle Sezioni Unite della Suprema Corte di cassazione in data 11 novembre 2008, n. 26972 (di contenuto identico ad altre tre sentenze, tutte depositate contestualmente) (16), che ha rivisto i presupposti ed il contenuto della nozione di «danno non patrimoniale» di cui all’art. 2059 c.c. In conformità a tale insegnamento, quest’ultimo, oggi viene interpretato come una categoria ampia ed omnicomprensiva, all’interno della quale non è possibile ritagliare ulteriori sottocategorie, se non con valenza meramente descrittiva e nel quale confluiscono tutte le voci afferenti la dimensione personale dell’individuo. In proposito il principio costantemente ribadito dalla giurisprudenza è quello secondo cui il «danno non patrimoniale, anche quando sia determinato dalla lesione di diritti inviolabili della persona, costituisce danno-conseguenza che deve essere (14) T. Firenze 27 maggio 2019, n.1651, in Ius Explorer Giuffrè. (15) Si vedano in proposito: Cass. 28 settembre 2012 n. 16543; Cass. 6 agosto 2007, n. 17180; Cass. 11 marzo 2005 n. 15643, tutte in Ius Explorer Giuffrè. (16) Le pronunzie le Sezioni Unite sono state variamente annotate, ex multis da Monateri, Il pregiudizio esistenziale come voce del danno non patrimoniale; Navarretta, Il valore della persona nei diritti inviolabili e la complessità dei danni non patrimoniali; D. Poletti, La dualità del sistema risarcitorio e l’unicità della categoria dei danni non patrimoniali; Ziviz, Il danno non patrimoniale: istruzioni per l’uso, in Resp. civ. e prev., 2009, 56 ss.; M. Franzoni, Cosa è successo al 2059 c.c.?; Bilotta, I pregiudizi esistenziali: il cuore del danno non patrimoniale dopo le Sezioni Unite del 2008, in Resp. civ., 2009, 20 ss.; Busnelli, Le Sezioni Unite e il danno non patrimoniale, in Riv. dir. civ., 2009, II, 97 ss.; Cendon, L’urlo e la furia, in Nuova giur. civ. comm., 2009, II, 71 ss.; Di Marzio, Danno non patrimoniale: la messa a punto delle sezioni unite, ibidem, 117 ss.; Ponzanelli, La prevista esclusione del danno esistenziale e il principio di integrale riparazione del danno: verso un nuovo sistema di riparazione del danno alla persona, ibidem, II, 90.
allegato e provato ed attenendo il pregiudizio (non biologico) ad un bene immateriale, per cui il ricorso alla prova presuntiva è destinato ad assumere particolare rilievo, e potrà costituire anche l’unica fonte per la formazione del convincimento del giudice, non trattandosi di mezzo di prova di rango inferiore agli altri» (17). Il secondo leit motiv giurisprudenziale è la risarcibilità del danno non patrimoniale nei soli casi previsti dalla legge, i quali possono così suddividersi: a) i casi in cui la risarcibilità è espressamente prevista dalla legge (come, ad esempio, tutti i casi in cui il fatto illecito integra gli estremi di un reato); b) i casi in cui la risarcibilità del danno, pur non essendo espressamente prevista da una legge ad hoc, deve riconoscersi in forza dell’interpretazione costituzionalmente orientata all’art. 2059 c.c., per avere il fatto illecito vulnerato in modo grave un diritto della persona direttamente tutelato dalla Costituzione. In virtù dell’applicazione di tali principi, anche la lesione dei c.d. diritti della personalità – nel novero dei quali appartengono il diritto all’onore, alla reputazione, all’immagine, all’identità personale, etc. - «fa sorgere in capo all’offeso il diritto al risarcimento del danno, a prescindere dalla circostanza che il fatto lesivo integri o meno un reato, sicché, ai fini risarcitori, è del tutto irrilevante che il fatto sia stato commesso con dolo o con colpa» (18). In proposito si noti come la lesione dei diritti della personalità, una volta accertata dia luogo, per lo più, ad un risarcimento del danno sotto un profilo non patrimoniale (19) e tale profilo di danno, soprattutto sotto il profilo legato alla diffamazione: - viene riconosciuto limitatamente al «danno morale soggettivo, inteso come sofferenza interiore (turbamento, disagio, imbarazzo, ancorché transitorio) pa-
(17) Cass. 28 marzo 2018, n. 7594; Cass. 13 ottobre 2016, n. 20643; Cass. 12 giugno 2015, n. 12225; Cass. 21 novembre 2014, n. 24474; Cass. 7 ottobre 2011, n.20609, tutte in Ius Explorer Giuffrè. Tra le sentenze di merito si segnalano: T. Palermo 7 maggio 2019, n. 2259; T. Palmi 21 novembre 2018, n.1134; T. Milano 21 agosto 2018, n. 8738; T. Trento 27 novembre 2015, n. 1142; T. Parma, 23 giugno 2015, n.1043, tutte in Ius Explorer Giuffrè. (18) Cass. 16 giugno 2018, n. 15742, in Ius Explorer Giuffrè; T. Roma, 1 giugno 2017, n. 11103, in Ius Explorer Giuffrè. Cass. 14 ottobre 2008, n. 25157, in Jus Explorer Giuffre: «ogni qualvolta risulti integrata la fattispecie normativa di cui all’art. 2043 c.c., e quindi anche fondata sulla sola colpa (ed addirittura una delle fattispecie specifiche di responsabilità oggettiva, ad esempio artt. 2049, 2051, art. 2054 c.c.), se l’evento lesivo attiene ad un valore della persona costituzionalmente tutelato, il danno-conseguenza non patrimoniale, di cui all’art. 2059 c.c., è risarcibile, anche se tale fatto o non è proprio previsto dalla legge come reato o non integra reato». (19) Difatti, quanto ai danni patrimoniali, sono rari i casi in cui viene provata l’esistenza di un danno emergente o di un lucro cessante, eziologicamente connesso alla diffusione della notizia lesiva.
DIRITTO DI INTERNET N. 1/2020
59
GIURISPRUDENZA CIVILE tita a seguito della diffusione dello scritto diffamatorio» (20); - la sua prova si «risolve nella dimostrazione di due condizioni, cioè l’esistenza di un fatto produttivo di conseguenze pregiudizievoli e l’idoneità del medesimo ad ingenerare una ripercussione “dolorosa” nella sfera personale del soggetto leso» (21). Peraltro, tale secondo presupposto può ritenersi provato con il ricorso al notorio e tramite presunzioni semplici (22); - la liquidazione avviene sempre «in via equitativa, ai sensi dell’art. 1226 c.c., e nella loro unitarietà, evitando duplicazioni di voci» (23). Peraltro, si ricorda che se criteri applicati sono stati enunciati in motivazione e non sono manifestamente incongrui rispetto al caso concreto, la liquidazione equitativa non è censurabile in Cassazione. Ovviamente è fatta salva l’ipotesi che i criteri applicati siano «radicalmente contraddittori, o macroscopicamente contrari a dati di comune esperienza, ovvero l’esito della loro applicazione risulti particolarmente sproporzionato per eccesso o per difetto» (24). Data questa premessa doverosa d’ordine generale, ritornando nella sentenza in commento, la Corte d’Appello dell’Aquila: - da un lato ha ritenute offensive alcune delle espressioni utilizzate e, segnatamente, «imbianchino, ex incorruttibile e ritrattista rionale», perché miranti unicamente a denigrare la figura del diffamato sul piano professionale e anche personale. In proposito si osserva come questo sia il classico l’argomento ad personam, cioè un argomento svolto come un «attacco contro la persona dell’avversario, mirante essenzialmente a squalificarlo» (25); - dall’altro lato, ha ritenuto di liquidare il danno non patrimoniale sofferto dall’attore facendo «governo (20) T. Roma 3 agosto 2017, n. 15743, in Ius Explorer Giuffrè. (21) T. Milano 21 agosto 2018, n. 8738, in Ius Explorer Giuffrè. (22) Cass., 26 ottobre 2017, n. 25420 e Cass. 25 maggio 2017, n. 13153, entrambe in Ius Explorer Giuffrè. (23) T. Roma, 21 marzo 2018, n. 6052, in Ius Explorer Giuffrè. (24) Cass. 25 maggio 2017, n. 13153, cit. Cass. 27 giugno 2018, n. 16908, in Ius Explorer Giuffrè: «la liquidazione equitativa del danno sia inevitabilmente sottratta – nella presente materia – alla necessità di una giustificazione puntuale dei valori economici liquidati, la Corte di merito non avrebbe potuto limitarsi a sottolineare l’esigenza di una “parità di trattamento” e a richiamare genericamente “i criteri equitativi usualmente utilizzati da questa Corte nelle ipotesi della diffamazione” da “adottare, seppure solo quali linee guida”, senza precisare in quali termini l’importo liquidato fosse conforme agli anzidetti criteri e tale da assicurare la parità di trattamento (anche alla luce della peculiarità del caso, non riconducibile propriamente ad un danno da diffamazione): al riguardo la motivazione risulta pertanto apparente e, come tale, non idonea a palesare le ragioni che la sostengono». (25) Perelman – Olbrechts Tyteca, Trattato dell’argomentazione, Torino, 1966, 117-118.
60
DIRITTO DI INTERNET N. 1/2020
di quanto contenuto nelle Tabelle dell’Osservatorio sulla Giustizia Civile di Milano, aggiornate al 2018, per la liquidazione di siffatta tipologia di danno ove la diffamazione sia avvenuta a mezzo stampa e con altri mezzi di comunicazione di massa, tra questi ultimi figurando evidentemente il social Facebook». Sul punto si noti come la Corte d’Appello abbia accolto il suggerimento della difesa del diffamato che aveva richiamato le suddette Tabella nella quantificazione dei danni richiesti. Le sopracitate Tabelle sono state elaborate e proposte dall’Osservatorio sulla Giustizia Civile di Milano a seguito di un approfondito esame di 89 sentenze emesse, nel quadriennio 2014 – 2017 da vari tribunali in materia di diffamazione (26), così da offrire agli operatori del diritto uno strumento per applicare criteri di orientamento omogenei nella liquidazione equitativa del danno da diffamazione (27). Difatti, così si legge nelle premesse alle Tabelle: gli «elaborati sono il risultato di una riflessione comune svolta negli anni dal 2015 al 2017, riflessione partita dall’analisi della giurisprudenza al fine di proporre criteri omogenei utilizzabili in via equitativa anche per questi particolari casi di liquidazione di danno non patrimoniale: i vari gruppi di lavoro dell’Osservatorio milanese si sono confrontati in decine di riunioni, alle quali hanno partecipato oltre 120 componenti, avvocati, giudici togati e onorari, medici legali, professori universitari, tirocinanti, cultori della materia. Le proposte dell’Osservatorio milanese sono state poi sottoposte all’esame di tutti gli Osservatori di altre sedi, in particolare nelle Assemblee nazionali degli Osservatori sulla giustizia civile (2016 Milano, 2017 Roma) ed hanno trovato sostanziale condivisione da parte degli Osservatori di Bologna, Catania, Firenze, Genova, Reggio Calabria, Reggio Emilia, Rimini, Roma, Salerno, Torino e Verona. Le “Tabelle Edizione 2018” e gli altri elaborati sono in corso di trasmissione ai magistrati del Tribunale e del Distretto e agli Ordini professionali del Distretto da parte del Presidente del Tribunale di Milano e da parte della Presidente della Corte d’appello di Milano» In particolare le Tabelle, nel proporre dei parametri di liquidazione fanno riferimento ai seguenti indici: - notorietà, o meno, del diffamante; - carica pubblica, ruolo istituzionale o ruolo professionale del diffamato; - risonanza mediatica della notizia; - natura e entità delle conseguenze sulla professione e/o sulla vita del diffamato;
(26) Il campione ha riguardo per di più i tribunali di Milano (41 sentenze analizzate) e Roma (26 sentenze analizzate). Le restanti 22 sentenze analizzate, sono state emesse dai tribunali di Bologna, Monza, Firenze, Brescia, Asti, Livorno, Cagliari, Padova, Salerno, Taranto, Bari e Ferrara. (27) Le Tabelle sono reperibili al seguente indirizzo: <http://milanosservatorio.it/pubblichiamo-le-tabelle-la-liquidazione-del-danno-non-patrimoniale-derivante-lesione-alla-integrita-psico-fisica-dalla-perdita-grave-lesione-del-rapporto-parentale-relativi-c/. >.
GIURISPRUDENZA CIVILE - riconoscibilità del diffamato ad una cerchia ristretta di persone; - reputazione del diffamato eventualmente già compromessa; - lasso di tempo trascorso tra il fatto e la domanda risarcitoria; - pubblicazione di una rettifica o comunque concessione al diffamato di uno spazio per chiarire le proprie posizioni; - rifiuto del diffamato a rilasciare dichiarazioni; - intensità dell’elemento psicologico, natura della condotta diffamatoria (ad esempio utilizzo di espressioni denigratorie, dequalificanti, turpiloquio, possibile rilievo penale delle espressioni), reiterazione della condotta lesiva; - mezzo utilizzato per la diffamazione: mass-media tradizionali, social network; diffusione nazionale o locale; diffusione anche (o solo) on-line; Dopodiché in base alla presenza o meno di tali indici, le Tabelle propongono i seguenti scaglioni risarcitori: 1) Per le diffamazioni di tenue gravità, viene proposta una condanna in via equitativa al pagamento di una somma parametrabile tra € 1.000,00 e € 10.000,00 La diffamazione di tenue entità viene ravvisata dalla presenza dei seguenti indici: - limitata / assente notorietà del diffamante; - tenuità dell’offesa considerata nel contesto fattuale di riferimento; - minima/limitata diffusione del mezzo diffamatorio; - minimo/limitato spazio della notizia diffamatoria; - assente risonanza mediatica; - tenue intensità elemento soggettivo; - intervento riparatorio / rettifica del convenuto. 2) Per le diffamazioni di diffamazioni di modesta gravità, viene proposta una condanna in via equitativa al pagamento di una somma parametrabile tra € 11.000,00 e € 20.000,00 La diffamazione di modesta entità viene ravvisata dalla presenza dei seguenti indici: - limitata/modesta notorietà del diffamante; - limitata diffusione del mezzo diffamatorio (ad esempio un solo episodio diffamatorio a diffusione limitata); - modesto spazio della notizia diffamatoria; - modesta/assente risonanza mediatica; - modesta intensità elemento soggettivo. 3) Per le diffamazioni di diffamazioni di media gravità, viene proposta una condanna in via equitativa al pagamento di una somma parametrabile tra € 21.000,00 e € 30.000,00 La diffamazione di media entità viene ravvisata individuabile dalla presenza dei seguenti indici: - media notorietà del diffamante;
- significativa gravità delle offese attribuite al diffamato sul piano personale e/o professionale; - uno o più episodi diffamatori; - media/significativa diffusione del mezzo diffamatorio (diffusione a livello nazionale/significativa diffusione nell’ambiente locale di riferimento); - eventuale pregiudizio al diffamato sotto il profilo personale e professionale; - natura eventuale del dolo. 4) Per le diffamazioni di diffamazioni di elevata gravità, viene proposta una condanna in via equitativa al pagamento di una somma parametrabile tra € 31.000,00 e € 50.000,00 La diffamazione di elevata entità, viene ravvisata dalla presenza dei seguenti indici: - elevata notorietà del diffamante; - uno o più episodi diffamatori di ampia diffusione (diffusione su quotidiano/trasmissione a diffusione nazionale); - notevole gravità del discredito e eventuale rilevanza penale/disciplinare dei fatti attribuiti al diffamato; - eventuale utilizzo di espressioni dequalificanti/denigratorie/ingiuriose; - elevato pregiudizio al diffamato sotto il profilo personale, professionale e istituzionale; - risonanza mediatica della notizia diffamatoria; - elevata intensità elemento soggettivo. 5) Infine, per le diffamazioni di diffamazioni di eccezionale gravità: l’Osservatorio propone una condanna in via equitativa al pagamento di una somma in misura superiore a € 50.000,00. Facendo applicazione di tali Tabelle, la Corte d’appello dell’Aquila, ha così espresso la sua valutazione: - quanto alla notorietà del diffamante: la Corte l’ha giudicata “scarsa”, avendo il diffamante una notorietà limitata al territorio di un piccolo comune di appena 1.300 abitanti; - quanto al ruolo professionale del diffamato: la Corte l’ha ritenuto di un “certo spessore” essendo egli un artista riconosciuto anche al di fuori del territorio comunale; - quanto alla reiterazione della condotta lesiva: la Corte ha accertato che non ve ne era stata alcuna; - quanto alla gravità dell’offesa: la Corte l’ha giudicata “tenue”, sia in quanto limitata a sole tre espressioni (imbianchino, ex incorruttibile e ritrattista rionale), sia in quanto circoscritta al limitato contesto comunale; sia, infine, perché ha ritenuto presumibile che nella zona tutti conoscessero il diffamato ma non tutti ne avessero condiviso gli epiteti; - quanto alla diffusione del testo diffamatorio: secondo la Corte è stata “minima”, soprattutto in assenza di prove di condivisione del post diffamatorio;
DIRITTO DI INTERNET N. 1/2020
61
GIURISPRUDENZA CIVILE - quanto allo spazio delle frasi diffamatorie: la Corte ha accertato come questo sia stato “estremamente limitato”; - quanto alla risonanza mediatica: la Corte ne ha rilevato l’assenza, (anche per carenza di dimostrazioni concrete da parte del diffamato); - quanto all’intensità dell’elemento soggettivo: la Corte l’ha giudicata “modesta”, in quanto ispirata da contingenti ragioni di risentimento politico di ambito locale. Alla luce di dette considerazioni, contrariamente alla domanda attorea che aveva prospettato una diffamazione di “media gravità” per la quale richiedeva un via risarcitoria il pagamento di € 20.000,00, la Corte - invece - ha ritenuto che l’illecito diffamatorio rivestisse i caratteri di una diffamazione di “tenue gravità” e, tenuto conto della liquidabilità del danno proposta nelle Tabelle in misura oscillante tra un minimo di € 1.000,000 e un massimo di € 10.000,00, ha giudicato equo riconoscere all’attore la somma di € 3.000,00. In particolare nel discostarsi dall’importo minimo proposto dalle Tabelle, la Corte ha così motivato la suddetta liquidazione dalla “notorietà del diffamato, chè, altrimenti, non vi sarebbe stata ragione per discostarsi dal minimo di cui alle suddette tabelle”. Insomma, considerati i tre gradi di giudizio penale ed uno di giudizio civile, che tale vicenda ha comportato parafrasando la nota opera di Shakespeare, viene da dire: tanto rumore per (quasi) nulla. E ciò anche considerato anche che la Corte, sul presupposto di un accertamento del danno in misura minima e «decisamente inferiore a quella richiesta», ha ritenuto giustificata la compensazione integrale delle spese di lite di tutti i gradi di giudizio.
62
DIRITTO DI INTERNET N. 1/2020
GIURISPRUDENZA CIVILE
Pluralismo politico e dibattito pubblico alla prova dei social network Tribunale Civile di Roma ; sez. spec. imprese; ordinanza 12 dicembre 2019 n. 59264; Giud. Garrisi; Associazione di promozione sociale CasaPound e D.D.S. (Avvocati Sinagra, Colaiacovo) c. Facebook Ireland ltd (Avvocati Montanari, Lucenti, Frigerio). Data la preminenza rivestita da Facebook nel dibattito politico complessivo, la eliminazione della pagina istituzionale di una formazione politica è senz’altro produttiva di un pregiudizio non suscettibile di riparazione per equivalente (o non integralmente riparabile) specie in termini di danno all’immagine.
…Omissis… Con ricorso ex art. 700 c.p.c. l’Associazione di Promozione sociale CasaPound Italia e D.D.S., quale dirigente nazionale della stessa e abilitato ad utilizzare la pagina Facebook dell’Associazione, hanno agito in via cautelare chiedendo al Tribunale di: “I) ordinare a Facebook Ireland Ltd, in persona del legale rappresentante pro tempore, l’immediata riattivazione della pagina Facebook dell’Associazione di Promozione Sociale CasaPound Italia - denominata CasaPound Italia e corrente all’indirizzo https://www.facebook.com/casapounditalia/ - e del profilo personale di D.D.S., quale amministratore della pagina; II) in subordine, ordini a Facebook Ireland Ltd., in persona del legale rappresentante pro tempore, di restituire a CasaPound Italia, in persona del legale rap-presentante pro tempore, i contenuti della pagina Facebook dell’Associazione di Promozione Sociale CasaPound Italia e di restituire a D.D.S. i contenuti del profilo personale; III) in ogni caso, con fissazione della somma che, ai sensi dell’art. 614-bis c.p.c., Facebook Ireland Ltd., in persona del legale rappresentante pro tempore, è tenuta a corrispondere a CasaPound Italia, in persona del legale rappresentante pro tem-pore, per ogni violazione o inosservanza successiva dell’ordine impartito ovvero per ogni ritardo nell’esecuzione del provvedimento; IV) in ogni caso, con condanna della convenuta al pagamento delle spese di causa”. Nel dettaglio hanno dedotto i ricorrenti che: - l’Associazione agiva sul social network Facebook attraverso la “pagina” denominata CasaPound Italia (https://www.facebook.com/casapounditalia/); - in data 9/9/2019 Facebook Ireland senza alcun preavviso e senza fornire alcuna motivazione disattivava la “pagina” dell’Associazione di Promozione Sociale CasaPound Italia e le pagine di rappresentanti e simpatizzanti dell’associazione stessa; - in data 10/9/2019 gli stessi ricorrenti diffidavano la resistente a riattivare immediatamente la pagina, evidenziando il rispetto da parte dell’Associazione delle
“Condizioni d’uso” del social network e rappresentando il gravissimo pregiudizio, sotto una pluralità di aspetti, derivante da tale condotta; - Facebook Ireland non riscontrava in alcun modo la diffida dei ricorrenti. Ritenuta la sussistenza degli estremi per la concessione della misura cautelare invocata insistevano i ricorrenti nelle conclusioni indicate sottolineando, quanto al fumus boni iuris, la violazione delle regole contrattuali da parte di Facebook Ireland Limited e, con riferimento al periculum in mora, il grave ed irreparabile pregiudizio legato all’illegittima condotta della resistente anche in termini di danno all’immagine. …Omissis… 2. Come noto, la tutela cautelare svolge la funzione di assicurare, in via provvisoria, gli effetti del futuro giudizio di merito quando sussistano particolari e gravi esigenze d’urgenza che renderebbero inutile la tutela ottenuta nell’ambito di quest’ultimo. ll fumus boni iuris e il periculum in mora sono ad un tempo condizioni della domanda cautelare nonché requisiti fondamentali perché possa essere concesso un provvedimento d’urgenza. Il primo consiste nell’apparenza del diritto a salvaguardia del quale si intende richiedere la tutela, la cui sussistenza deve apparire come verosimile e probabile alla luce degli elementi di prova esistenti prima facie. Il secondo consiste nel possibile pregiudizio che possa derivare al suddetto diritto nelle more del giudizio ordinario e, nel caso dei provvedimenti d’urgenza, viene identificato nel fondato timore che, in dette more, il diritto sia esposto ad un pericolo imminente ed irreparabile. 3. Nel caso di specie e compatibilmente con una delibazione necessariamente sommaria propria dell’odierna fase cautelare, il Tribunale ritiene che la domanda proposta sia dotata di entrambi i presupposti richiesti dalla legge per l’emissione del provvedimento di urgenza. Come noto Facebook è un servizio online mediante il quale gli utenti di tutto il mondo possono entrare in contatto,
DIRITTO DI INTERNET N. 1/2020
63
GIURISPRUDENZA CIVILE condividere informazioni e discuterne tra loro nell’ottica, dichiarata dalla stessa Facebook, della libertà di espressione del pensiero (cfr. Standard della Community, all. 6 al ricorso). La resistente evidenzia altresì che il servizio Facebook è utilizzato da oltre 2,8 miliardi di utenti in tutto il mondo ed è accessibile tramite diversi canali, tra i quali il sito web www.facebook.com e le applicazioni per dispositivi mobili e tablet: nessun dubbio pertanto può sussistere sul ruolo centrale e di primaria importanza ricoperto dal servizio di Facebook nell’ambito dei social network e sulla speciale posizione ricoperta dal gestore del servizio che, in Europa, è la resistente Facebook Ireland ltd. Il servizio opera attraverso speciali Condizioni d’Uso che ne disciplinano i termini di utilizzo e regolano il rapporto tra ciascun utente italiano e Facebook Ireland e che ciascun utente, al momento della sottoscrizione del servizio tramite registrazione, si impegna ad accettare, utilizzare e rispettare (cfr. allegato 5 al ricorso): costituiscono parte integrante delle Condizioni i c.d. Standard della Community che descrivono “[…] gli standard in merito ai contenuti pubblicati su Facebook dall’utente e alle attività dell’utente su Facebook e sugli altri Prodotti di Facebook” (art. 5 Condizioni d’Uso) e che hanno la funzione di garantire la sicurezza e la salvaguardia del Servizio Facebook e della sua comunità in quanto esprimono i comportamenti consentiti e quelli non consentiti nell’ambito del servizio. Il complesso delle regole derivanti dalle Condizioni d’Uso e dagli Standard della Community rappresentano quindi il regolamento contrattuale che l’utente, al momento della registrazione al servizio di Facebook, è tenuto ad accettare e rispettare. In caso di violazione delle regole pattizie da parte dell’utente il suddetto regolamento contrattuale prevede l’irrogazione di misure qualificabili latu sensu quali sanzionatorie rappresentate (in ordine di crescente gravità) dalla rimozione di contenuti, dalla sospensione dall’utilizzo del Servizio Facebook e nei casi più gravi viene prevista la disabilitazione dell’account (sia temporanea che definitiva). In particolare, merita segnalare un estratto dall’introduzione agli Standard della Comunità secondo cui “Le conseguenze per la violazione degli Standard della community dipendono dalla gravità della violazione e dai precedenti della persona sulla piattaforma. Ad esempio, nel caso della prima violazione, potremmo solo avvertire la persona, ma se continua a violare le nostre normative, potremmo limitare la sua capacità di pubblicare su Facebook o disabilitare il suo profilo” (cfr. allegato 6 al ricorso). Ciò premesso in termini generali in ordine all’inquadramento della fattispecie sottesa all’odierna domanda cautelare, nel caso di specie sussiste il fumus boni iuris della domanda. È infatti evidente il rilievo preminente assunto dal servizio di Facebook (o di altri social network ad esso collegati) con riferimento all’attuazione di principi cardine essenziali
64
DIRITTO DI INTERNET N. 1/2020
dell’ordinamento come quello del pluralismo dei partiti politici (49 Cost.), al punto che il soggetto che non è presente su Facebook è di fatto escluso (o fortemente limitato) dal dibattito politico italiano, come testimoniato dal fatto che la quasi totalità degli esponenti politici italiani quotidianamente affida alla propria pagina Facebook i messaggi politici e la diffusione delle idee del proprio movimento. Ne deriva che il rapporto tra Facebook e l’utente che intenda registrarsi al servizio (o con l’utente già abilitato al servizio come nel caso in esame) non è assimilabile al rapporto tra due soggetti privati qualsiasi in quanto una delle parti, appunto Facebook, ricopre una speciale posizione: tale speciale posizione comporta che Facebook, nella contrattazione con gli utenti, debba strettamente attenersi al rispetto dei principi costituzionali e ordinamentali finchè non si dimostri (con accertamento da compiere attraverso una fase a cognizione piena) la loro violazione da parte dell’utente. Il rispetto dei principi costituzionali e ordinamentali costituisce per il soggetto Facebook ad un tempo condizione e limite nel rapporto con gli utenti che chiedano l’accesso al proprio servizio. Conseguentemente ai principi sopra esposti, l’esclusione dei ricorrenti da Facebook si pone in contrasto con il diritto al pluralismo di cui si è detto, eliminando o fortemente comprimendo la possibilità per l’Associazione ricorrente, attiva nel panorama politico italiano dal 2009, di esprimere i propri messaggi politici. Sotto altro profilo Facebook ha inoltre sostenuto di avere legittimamente adottato la misura della disabilitazione della pagina dell’Associazione e del suo amministratore perché essi, in violazione delle Condizioni d’Uso e degli Standard della Community (che vietano espressamente le organizzazioni che incitano all’odio), avrebbero divulgato contenuti di incitazione all’odio e alla violenza attraverso la promozione, nella pagine di Casapound, degli scopi e delle finalità dell’Associazione stessa (cfr. memoria Facebook pag. 12). In relazione a tale profilo il Tribunale osserva che non è possibile affermare la violazione delle regole contrattuali da parte dell’Associazione ricorrente solo perché dalla propria pagina sono stati promossi gli scopi dell’Associazione stessa, che opera legittimamente nel panorama politico italiano dal 2009. La resistente a supporto della sua tesi evidenzia poi nella propria memoria di costituzione una serie di episodi connotati da atteggiamenti di odio contro le minoranze o violenza, che hanno visto quali protagonisti membri di CasaPound i cui contenuti però non hanno trovato ingresso nella pagina Facebook di CasaPound ma sono stati tratti da articoli comparsi su quotidiani anche on line o da siti di informazione, comunque esterni a Facebook. Sotto altro aspetto è appena il caso di osservare che non è possibile sostenere che la responsabilità (sotto il profilo ci-
GIURISPRUDENZA CIVILE vilistico) di eventi e di comportamenti (anche) penalmente illeciti da parte di aderenti all’associazione possa ricadere in modo automatico sull’Associazione stessa (che dovrebbe così farsene carico) e che per ciò solo ad essa possa essere interdetta la libera espressione del pensiero politico su una piattaforma così rilevante come quella di Facebook. Non vi è dubbio infatti che le ipotesi di responsabilità oggettiva o “da posizione” nell’ordinamento italiano vadano interpretate restrittivamente. Non possono inoltre essere considerate come violazioni dirette da parte dell’Associazione gli episodi citati dalla resistente nella memoria e riferiti a contenuti riguardanti la c.d. croce celtica o altri simboli, episodi che singolarmente non paiono infrangere il limite di cui si è parlato sopra e che infatti non hanno generato la disabilitazione dell’intera pagina ma la rimozione di singoli contenuti ritenuti non accettabili. Né sono pertinenti i richiami alla giurisprudenza straniera effettuati da Facebook atteso che dalla stessa prospettazione della resistente emerge che si è trattato di casi in cui la pagina veniva usata per promuovere un partito che
perseguiva scopi contrari alla Costituzione, valutazione di merito che è senz’altro preclusa all’odierna resistente e che esula altresì dalla cognizione cautelare della presente fase. Quanto al profilo relativo all’omesso avviso di disabilitazione della pagina, esso non è previsto in via preventiva dagli Standard della Community: il mancato riscontro della diffida dei ricorrenti può quindi al più rilevare nell’ottica della buona fede ma tale accertamento non rileva rispetto alla misure cautelari invocate in questa sede. Con riferimento al periculum in mora, il preminente e rilevante ruolo assunto da Facebook nell’ambito dei social network, anche per quanto riguarda l’attuazione del pluralismo politico rende l’esclusione dalla comunità senz’altro produttiva di un pregiudizio non suscettibile di riparazione per equivalente (o non integralmente riparabile) specie in termini di danno all’immagine. …Omissis… P.Q.M. In conclusione il ricorso va accolto …Omissis…
Il Commento
di Andrea Venanzoni Sommario: 1. Partiti politici e social network. – 2. La tutela del pluralismo politico nella società digitale tra content moderation e censura privata: una lettura evolutiva dell’articolo 49 Cost. – 3. La public forum doctrine e il valore costituzionale del dibattito pubblico. – 4. Un Custode digitale della Costituzione? Odio online e garanzia dei diritti fondamentali. Per la prima volta la giurisprudenza si trova ad affrontare il rilievo intrinsecamente politico, tale da impattare sul pluralismo partitico e quindi indirettamente sulla forma di governo, mediante un richiamo espresso all’articolo 49 Cost., delle piattaforme digitali social, a seguito della cancellazione non motivata dei profili istituzionali di un movimento politico per asserito contrasto con le condizioni di uso del social network. Viene quindi riconosciuta la piena giustiziabilità delle decisioni di content moderation quando esse finiscono per incidere sulla libertà politica e sul pluralismo partitico. For the very first time Italian courts deal with the intrinsically political criterion of the article 49 of the Italian Constitution, regarding political pluralism and its impact on the Italian form of government, in the age of digital social platforms. The case focuses on a notorious social media which, with no strictly motivated decision, cancelled and erased all the pages of a political movement. The court acknowledges the judicial protection of fundamental rights when the social media decisions impact on political and fundamental issues.
1. Partiti politici e social network
L’incidenza delle piattaforme social nella formazione e nella modulazione della opinione pubblica e del consenso politico è dato pacifico e non revocabile in dubbio (1).
(1) Giacomini, Potere digitale. Come internet sta cambiando la sfera pubblica e la democrazia, Milano, 2018, 42, il quale parla, anche in termini di strutturazione partitica, di un sistema eminentemente ibrido.
Sempre più spesso, anzi, i partiti finiscono per embricare la loro dimensione classica di partito di massa con le liquide, performative dinamiche della Rete e con la razionalità intrinseca dei social media: alla classica narrazione politica della sezione territoriale, del programma elettorale strutturato, del comizio di piazza o del manifesto di propaganda si sostituisce la spesso evanescente ma mobilitante dimensione della polarizzazione da social media. Tutti i maggiori esponenti politici, e i loro partiti di riferimento, hanno costruito non solo e non tanto la loro
DIRITTO DI INTERNET N. 1/2020
65
GIURISPRUDENZA CIVILE immagine, quanto la fisionomia stessa del proprium della loro caratterizzazione politica mediante l’utilizzo continuo (2) e mobilitante delle piattaforme social, le quali in molti casi diventano parte essenziale ed estensione dell’orizzonte complessivo del partito stesso, sostituendo come già rilevato il comizio di piazza o l’affissione pubblicitaria (3)o l’apparizione sugli schermi televisivi. Questa mobilitazione totale digitale (4) finisce con l’ingenerare anzi un individualismo in rete, come terza modalità di sintesi relazionale rispetto alle ricostruzioni classiche che erano solite distinguere tra comunità e pubblico. L’individualismo in rete nei fatti opera come fattore di sintesi di una vasta quantità di opportunità e scelte abilitate, e in certa misura intermediate, dai media digitali e dalle piattaforme social (5). L’esorbitanza delle istanze sociali dalla finitezza spaziale (6) delle aule parlamentari per altro finisce per innervare una dimensione nuova alla attorialità della forma espressiva del partito: in questa misura il flusso delle istanze da proceduralizzare non passa più solo attraverso il meccanismo classico del temperamento parlamentare, vera e autentica sintesi del gioco relazionale tra sovranità popolare, società e costruzione di limiti al potere sovrano che in assenza degli stessi limiti tenderebbe a rendersi esorbitante e totale, ma per una sorta di dibattito pubblico ciclico e permanente. In questo senso, se pur il Parlamento permane nella sua funzione di governo (7) razionale della complessità (2) Bentivegna, A colpi di tweet. La politica in prima persona, Bologna, 2015, 28, sottolinea la immediatezza della comunicazione digitale la quale finisce per ingenerare meccanismi di percezione interattiva e partecipativa diretta da parte dei cittadini-utenti-follower. In questo modo, la comunicazione in tempo reale dei politici non ha più carattere statico ma diviene dinamica, un flusso dentro cui il cittadino ha la sensazione di potersi inserire. (3) Cavallo – Spadoni, I social network. Come internet cambia la comunicazione, Milano, 2010, 32, per la interpretazione relazionale degli elementi, mediante la costituzione in rete della società e la sua sussunzione all’interno di un ecosistema digitale governato da una logica parziale differenziata rispetto a quella esterna e che è destinata in certa misura a colonizzare l’ambiente esterno stesso attraverso un processo di simbiosi culturale e relazionale con il singolo individuo partecipante al social. (4) Mutuo l’espressione da Ferraris, Mobilitazione totale, Milano, 2015, il quale rileva come i meccanismi polarizzanti dei dispositivi tecnologici, sempre più interattivi, ci rendano parte di un tutto organico, ciclico, continuo, di cui spesso facciamo parte senza averne piena consapevolezza. L’arrivo di una email con tanto di notifica dalla apposita app del nostro smartphone finisce per mobilitarci, per farci tornare nella dimensione del lavoro, delle relazioni sociali, umane, ma con l’aura e nella cornice del linguaggio digitale spesso modellato ex ante dagli sviluppatori della data applicazione che stiamo utilizzando. (5) Arvidsson – Delfanti, Introduzione ai media digitali, Bologna, 2013, 70. (6) Luhmann, Illuminismo sociologico, Milano, 1971, 179. (7) Ridola, Democrazia rappresentativa e parlamentarismo, Torino, 2011, 12.
66
DIRITTO DI INTERNET N. 1/2020
sociale, la quale se lasciata incontrollata finirebbe per travolgere lo schema assiologico rappresentativo (8), è evidente che la partecipazione al momento social della vita politica diviene un cardine essenziale, necessitato: è il proprium dell’esserci non solo mediatico ma ontologico-rappresentativo, della forma politica. Chi recede, chi scompare da queste modalità di rappresentazione è condannato non solo alla irrilevanza politica del proprio messaggio e delle istanze promananti dal proprio elettorato, ma molto più semplicemente evapora dalla catena dei messaggi e dalla piena soggettività politica. In questo senso pertanto l’ordinanza in commento presenta notevolissimi elementi di interesse: da un lato infatti essa, per la prima volta, sia pure nella fisionomia che connota un giudizio sommario, va a riguardare il peso specifico della narrazione politica all’epoca dei social media, esulando in certa misura dal riferimento all’articolo 21 Cost. (9), dato per pacifico e acquisito, e incidendo invece, in maniera innovativa e rilevante e più capillare, sulla nuova realtà sociale con una interpretazione evolutiva dell’articolo 49 Cost. Fino ad oggi la giurisprudenza italiana aveva avuto modo di focalizzare la propria attenzione principalmente sulle situazioni e sulle vicende che in certa misura potessero essere ricondotte sotto l’usbergo dell’articolo 21 Cost.; ed invero si era assistito a un certo grado, crescente, di esternalizzazione delle funzioni di controllo e garanzia della libertà di manifestazione del pensiero, da bilanciarsi con il controllo appunto dei discorsi di odio e con i tipici reati come la diffamazione o il cyber-bullismo, le quali funzioni sulla base dei termini e delle condizioni di uso erano state spesso lasciate in mano alle piattaforme digitali. Proprio la lamentata esternalizzazione della censura, con un bilanciamento di diritti a rilevanza costituzionale lasciati nelle mani di soggetti privati, aveva finito per opporre le piattaforme social a singoli cittadini, come di recente avvenuto, sempre in sede cautelare, a Pordenone (10). (8) Sono note ad esempio, in questa prospettiva, le critiche mosse da Bobbio, Il futuro della democrazia, Torino, 1994, 13, il quale osserva come una consultazione permanente digitale finisca per svilire e dequotare il senso stesso della democrazia rappresentativa e delle sue caratterizzazioni cognitive, posto che il popolo consultato e sollecitato praticamente ogni singolo giorno non avrebbe alcuna idea concreta di cosa stia decidendo e su cosa si stia esprimendo. (9) Per la ricostruzione dell’importanza dell’articolo 21 Cost. nel generale quadro di edificazione dell’ecosistema digitale in chiave costituzionale e politica, Bazzoni, La libertà di informazione e di espressione del pensiero nell’era della democrazia virtuale e dei global social media, in questa Rivista, 2019, 635 ss. (10) Il riferimento è al decreto 2139 del 10 Dicembre 2018, con cui il Tribunale di Pordenone, sez. Civile ha condannato Facebook alla riattivazione del profilo privato del cittadino ricorrente che se lo era visto cancellare per presunta violazione delle condizioni d’uso della piattaforma stessa.
GIURISPRUDENZA CIVILE Si trattava invero da un lato di ricorsi che muovevano dalla direttrice concettuale e dall’alveo della protezione offerta dall’articolo 21 Cost., dall’altro di singoli giudizi che pur affrontando la pervasività crescente, la natura di forum pubblico e in certa misura politico delle piattaforme finivano per riguardare molto più semplicemente la sfera individuale. L’ordinanza in commento al contrario investiga la matrice politica e di forum pubblico delle piattaforme social, rappresentando in questo senso la prima pronuncia nell’ordinamento italiano che finisce per dare una declinazione evolutiva, aggiornata all’epoca tecnologica della comunicazione in rete, dei presupposti ontologici e costitutivi dell’articolo 49 della Costituzione. Come noto, il 9 Settembre 2019 Facebook, senza fornire spiegazioni dettagliate e che prescindessero dalle usuali formule standard e seriali di violazione delle condizioni di uso disattivava centinaia di profili istituzionali dell’Associazione CasaPound Italia, partito politico con una propria rappresentanza istituzionale nelle autonomie territoriali; tanto profili di singoli quadri, dirigenti, militanti e simpatizzanti quanto le pagine istituzionali, locali e nazionale, del movimento. L’associazione ricorrente, in data 10 Settembre 2019, procedeva a diffidare legalmente Facebook Ireland ltd, chiedendo l’immediato ripristino delle pagine cancellate ed eccependo che nessuna violazione delle condizioni d’uso era stata in precedenza rilevata dalla piattaforma social. A detta diffida, Facebook non dava riscontro alcuno, né motivava in maniera analitica, ovvero focalizzandosi sul caso concreto, quali fossero le violazioni che avevano portato alla drastica decisione di realizzare una autentica tabula rasa del movimento politico in oggetto dalla piattaforma. Il Tribunale civile, quindi, pronunciandosi sul ricorso ex articolo 700 c.p.c., ravvisava la sussistenza tanto del fumus boni iuris quanto del periculum in mora. E ravvisava soprattutto la centralità nella vita politica della presenza dei e sui social media.
2. La tutela del pluralismo politico nella società digitale tra content moderation e censura privata: una lettura evolutiva dell’articolo 49 Cost.
L’articolo 49 Cost. evocato nella ordinanza e che costituisce la pietra angolare del ragionamento del giudicante rappresenta una delle norme fondamentali in tema di pluralismo politico e partitico (11): la sua importanza, anche nella ricontestualizzazione e nell’aggiornamento al mutare degli assetti istituzionali e organizzativi dei (11) Curreri, Art. 49, in La costituzione italiana. Commento articolo per articolo, a cura di Clementi – Cuocolo – Rosa –Vigevani, Bologna, 2018, I, 312.
partiti, segna la linea concettuale della evoluzione (12) di una società che da mono-classe si rende, nella vitalità della partecipazione dei cittadini alla vita politica per il tramite o all’interno dei partiti (13), pluri-classe. Una società più ricca di sfumature, istanze, conflitti dialettici e opposte tensioni capaci, nella architettura costituzionale, di bilanciarsi e di produrre ricchezza culturale e politica. Ed è proprio in ordine al fumus boni iuris a registrarsi una delle prese di posizione più interessanti dell’intera architettura concettuale che sorregge il provvedimento cautelare; si legge “è infatti evidente il rilievo preminente assunto dal servizio di Facebook (o di altri social network ad esso collegati) con riferimento all’attuazione di principi cardine essenziali dell’ordinamento come quello del pluralismo dei partiti politici (49 Cost.), al punto che il soggetto che non è presente su Facebook è di fatto escluso (o fortemente limitato) dal dibattito politico italiano, come testimoniato dal fatto che la quasi totalità degli esponenti politici italiani quotidianamente affida alla propria pagina Facebook i messaggi politici e la diffusione delle idee del proprio movimento”. Una lettura costituzionalmente orientata delle condizioni d’uso della piattaforma social, in particolare in aperta connessione con i postulati dell’articolo 49 Cost. e quindi del pluralismo partitico e politico che connota una matura democrazia rappresentativa, porta inevitabilmente a rilevare la patente embricazione tra dimensione contrattuale, con le sue regole autonormate e i suoi postulati autoregolatori, e spazio pubblico di dibattito come momento di incontro tra distinte polarità concettuali e di tensione dialettica delle varie sfumature che connotano l’orizzonte politico della Repubblica. In questo senso, la moderazione dei contenuti, fino ad oggi l’arma concettuale più in apparenza potente offerta dai social media come connotazione di (auto)democratizzazione e di rispondenza garantistica ai postulati costituzionali, appare uno strumento decisamente inadeguato, soprattutto se lasciata alla piena, inespressa discrezionalità delle piattaforme stesse: la content moderation rappresenta senza dubbio, come è stato rilevato (14), un meccanismo di governance che attua e cesella la architettura partecipativa a un media digitale, ne è in certa misura strutturalmente consustanziale, cercando di replicare (12) Non può certo obliarsi come questo processo di evoluzione divenne talmente evidente e rilevante da aver spinto Costantino Mortati a rivedere la sua originaria posizione in tema di regolazione pubblica della fisionomia e della vita associativa dei partiti, Mortati, Note introduttive a uno studio sui partiti politici nell’ordinamento italiano, in Scritti in memoria di V.E. Orlando, Padova, 1957, II, 141. (13) Crisafulli, Stato, popolo, governo, Milano, 1985, 210. (14) Grimmelmann, The Virtues of Moderation, in Yale Journal of Law and Technology , 2015, 47.
DIRITTO DI INTERNET N. 1/2020
67
GIURISPRUDENZA CIVILE meccanismi autoregolatori tipologicamente ascrivibili al linguaggio della società digitale. Molto spesso vi è però una dispercezione palese del valore essenziale, e costituzionale, dell’esercizio della moderazione dei contenuti, la quale, originando spesso da una mescolanza di decisioni algoritmiche e decisioni umane, finisce per impattare su libertà e diritti costituzionalmente garantiti (15). La libertà di manifestazione del pensiero, certo, ma anche come nel caso in oggetto la partecipazione alla vita politica mediante il riconoscimento, e la garanzia, del pieno pluralismo politico. La tendenziale mancanza di trasparenza nelle decisioni di moderazione dei contenuti quando essi finiscono per concernere partiti politici e quindi per involgere lo spazio dinamico della rappresentanza politica distorce e disallinea, rispetto ai meccanismi previsti dalla nostra Carta costituzionale, la parità delle armi, il pluralismo inteso come manifestazione pluristrutturata e poliedrica di visioni, anche opposte, del mondo, la rappresentanza stessa nella sua forma di estrinsecazione di sovranità popolare quando incidenti sulle attività ad esempio di un parlamentare o di un consigliere regionale o comunale: la assenza di trasparenza negli incombenti motivazionali rende virtualmente irresponsabile il soggetto che ha assunto la decisione di moderazione, facendo rifluire la dimensione di moderazione nell’alveo della censura e della distorsione della narrazione politica.
3. La public forum doctrine e il valore costituzionale del dibattito pubblico
In questo senso, come rilevato da tempo da una parte della dottrina americana che opina per l’applicabilità della public forum doctrine (16) anche alla edificanda società digitale (17), particolarmente degli spazi social (15) In questo senso, ampiamente, Gillespie, Custodians of the Internet. Platforms, Content Moderation, and The Hidden Decisions that Shape Social Media, Yale, 2018, 21. (16) Secondo la dottrina del forum pubblico, sviluppatasi grazie a una giurisprudenza evolutiva della Corte Suprema nella stagione dei diritti civili e passata attraverso la contestazione alla guerra del Vietnam, è del tutto evidente come anche alcuni spazi privati (si pensi ai parcheggi dei grandi centri commerciali cittadini, agli spiazzi dei company towns, e via dicendo) finiscano, nel caso di volantinaggi, comizi, espressione di opinioni rivolte a una pluralità di cittadini, per incardinarsi in una narrazione dal valore squisitamente pubblico. In questo caso pertanto le selezioni arbitrarie decise dai privati proprietari finirebbero per incidere sulla strutturazione del dibattito pubblico e sulla libertà di espressione, dovendosi al contempo garantire piena applicabilità del I Emendamento anche in questi spazi. Per una ampia ricostruzione della State Action Doctrine e della Public Forum Doctrine, Peters, The Sovereigns of Cyberspace and State Action: The First Amendment’s Application – or Lack Thereof – To Third-Party Platforms, in Berkeley Tech L. J., 2017, 989 ss. (17) L’applicabilità del riconoscimento del concetto stesso di forum pubblico a Internet, sulla base della considerazione degli assetti proprietari schiettamente privati, è decisamente negata dalla giurisprudenza statuni-
68
DIRITTO DI INTERNET N. 1/2020
di dibattito, non può ritenersi che la esternalizzazione delle funzioni di garanzia e di presidio dei diritti costituzionalmente garantiti possa portare al paradosso di soggetti privati, come Facebook, messi in condizione di esercitare il monopolio della regolazione, anche di ordine costituzionale, quando le situazioni soggettive e i diritti potenzialmente lesi finiscano per rientrare nell’alveo di situazioni, diritti o interessi costituzionalmente rilevanti. Come ben ebbe a riconoscere David A. Ardia (18), il paradosso del più grande spazio di dibattito politico e di formazione della opinione pubblica è che esso è, nei fatti, una piattaforma a base societaria del tutto privata. Il che però non significa e non può significare immaginare uno spazio cieco e vuoto di garanzie costituzionali. In questo senso, la motivazione della ordinanza riconosce la ibridazione tra dinamica contrattualistica, e in certa misura di soft law (standard, terms of use) che tanto contraddistingue lo spazio della società digitale transnazionale, riconducibile alla autonomia dei privati, e tutela costituzionale, rilevando come la autoregolazione della piattaforma non possa spingersi fino al punto di comprimere e dimidiare diritti di rango costituzionale. In particolare, nel caso di specie e come rilevato supra, a venire in oggetto è la dimensione di pluralismo politico connotante un ordinamento democratico, da cui il riferimento espresso all’articolo 49 Cost.: riconosce il Tribunale civile che un movimento che si trova ad operare con piena copertura costituzionale ed entro i confini della dialettica democratica e istituzionale non può, con una decisione tendenzialmente immotivata e lasciata alla “giurisdizione privata” (19) della medesima
tense maggioritaria, tanto di merito quanto della Corte Suprema. Paradigmatico il caso United States v. American Library Ass’n, 539 U.S. 194, 2003, il quale riguardava anche le porzioni di Web a dominio pubblico, come quelle riferibili al sistema bibliotecario statunitense. In dottrina in realtà sono molte le voci che propendono per una estensione ermeneutica e per la applicabilità delle garanzie previste dal I Emendamento anche agli spazi del Web connotati intrinsecamente dalla dimensione del valore pubblico, in questo senso Briggs, The Freedom of Tweets: The Intersection of Government Use of Social Media and Public Forum Doctrine, in Columbia Journal of Law and Social Problems, 2018, 25, Balkin, Digital Speech and Democratic Culture: A Theory of Freedom of Expression of the Information Society, in New York University Law Review, 2004, 1. Può comunque segnalarsi in giurisprudenza una qualche prima timida apertura al riconoscimento delle piattaforme social come forum di discussione pubblica, ad esempio US District Court Southern District of New York, Knight v. Trump, 17 Civ. 5205 (NRB), 23 maggio 2018, con la quale il giudice ha ordinato al Presidente Trump di non censurare, bloccare o bannare gli utenti critici nei suoi confronti, laddove la critica fosse motivata e non integrasse estremi denigratori. (18) Ardia, Free Speech Savior or Shield for Scoundrels: An Empirical Study of Intermediary Immunity under Section 230 of the Communications Decency Act, in Loyola Law Review, 2010, 377. (19) Sulla rilevanza in termini di incidenza sulla stessa complessiva sovranità statale della emersione della giurisdizione privata interna alle
GIURISPRUDENZA CIVILE piattaforma social, essere estromesso dal dibattito politico (20), alla luce della non secondaria considerazione secondo cui avendo tutti i movimenti politici e gli esponenti politici una loro rappresentanza social ne risulta come il dibattito sui social stessi integri a tutti gli effetti una sfumatura della opinione pubblica e della partecipazione alla vita politica. Opinione pubblica che finisce per integrare una funzione di critica e di controllo del dominio, quindi un contro-potere che strutturalmente si situa fuori dalla narrazione istituzionale e pertanto viene ad assumere una fisionomia asimmetricamente più debole rispetto al potere (21) e abbisognante proprio per questo di una protezione più estesa. In questo senso essa è una ricchezza da preservarsi (22) e da mantenersi il più possibile libera e scevra di ingerenze di poteri tanto pubblici quanto privati. piattaforme digitali, diffusamente Monti, Privatizzazione della censura e Internet platforms: la libertà d’espressione e i nuovi censori dell’agorà digitale, in Inf. dir., 2019, pp. 36 e ss. Bassini, Private Enforcement of Fundamental Rights, in European Law Journal, 2019, 198 , mette invece in luce la rilevanza dell’enforcement privato in una modulazione di bilanciamento tra diritti fondamentali, rimessi in sostanza all’esercizio delle piattaforme digitali medesime. Non può stupire che nella complessiva narrazione di Facebook, il lancio di un Oversight Body interno per appellare le decisioni censorie di primo livello venga accompagnato dalla suggestiva ma pericolosa definizione di Corte Suprema. Non può sfuggire, se le parole sono azioni, e certamente lo sono, come il salto di qualità semantico e concettuale di Facebook involga ormai consapevolmente la sfera dei diritti fondamentali. (20) Boccia Artieri, Stati di connessione. Pubblici, cittadini e consumatori nella (Social) Network Society, Milano, 2012, 145, rileva il legame fondativo, nella modernità, tra opinione pubblica e spazio tecnologico-comunicativo, per definire, scolpire e cesellare i lineamenti della sfera pubblica. (21) Sulla importanza del dibattito pubblico nella giurisprudenza costituzionale italiana, nel generale quadro della modellazione della società digitale egemonizzata dalle piattaforme digitali, Monti, Le Internet platforms, il discorso pubblico e la democrazia, in Quaderni Cost., 4, 2019, 811 ss. (22) La Corte Costituzionale, con una giurisprudenza risalente ma consolidata e che ha abbracciato anche una fase storica molto delicata della Repubblica quale quella degli anni settanta e della emergenza del terrorismo interno, ha senza dubbio dimostrato di voler avallare una idea di società in cui il dibattito concettuale e politico debba essere aperto pluralisticamente a tutte le opinioni, anche a quelle più radicali, comprese quelle lato sensu definibili quali fasciste, in questo senso si vedano ad esempio Corte Cost. sent. 25 novembre 1958, n. 74, sent. 14. Febbraio 1973, n. 15 e sent. 16. Gennaio 1957, n. 1. Su opinioni di massimalismo comunista, Corte Cost. sent. 5. Aprile 1974, n. 108, mentre sulla apologia di reati si segnala sent. 23. Aprile 1970, n. 65. Nonostante l’ordinamento abbia conosciuto nel corso degli anni norme che sembrano voler incidere negativamente sulla espressione di alcune precise opinioni, si pensi alla istigazione all’odio razziale o alla aggravante del negazionismo, il discorso portato avanti dalla Corte Costituzionale conserva stringente attualità: fino a quando l’opinione espressa non finisca con l’integrare una precisa fattispecie di reato, ledendo pertanto i diritti di un altro individuo o di un dato gruppo, essa per quanto possa apparire sgradevole deve poter essere espressa. E di certo non può essere un soggetto privato quale una piattaforma digitale a stabilire e determinare questo delicatissimo bilanciamento.
L’opinione pubblica non può sostituirsi al potere costituito, infatti, non può domandare e ottenere integralmente, poiché non ha ontologicamente il portato della causa e dell’effetto: essa al contrario si modula attorno alla dimensione della struttura e del processo, e come tale diviene un momento di proceduralizzazione della selezione, selezione di istanze singole e specifiche (23). In termini di dibattito pubblico, essa si situa come semi–soggetto all’interno della arena della formazione delle decisioni. Se i social venissero lasciati liberi di decidere arbitrariamente quali opinioni poter veicolare, quali istanze promuovere e quali al contrario occultare, è evidente che ne risentirebbe la stessa forma di governo. Non a caso, come rilevato da Pierre Bourdieu (24), se da un lato ogni posizionamento di una problematica è in fondo strutturalmente interessato da chi lo pone, nel caso dei sondaggi di opinione che costruiscono ed edificano l’opinione pubblica nel suo complesso divengono strumento autoconfermativo e intrinsecamente plebiscitario del potere. Si scorge cioè una certa qual fisionomia tra la modellazione e la veicolazione del messaggio sui social media e la funzione del sondaggio che diventerà un canone plebiscitario; i social diverrebbero soggetti egemoni nella formazione o almeno nella modulazione della opinione pubblica in chiave politica, con una patente distorsione dei processi di pluralismo politico e di libero esercizio della sovranità popolare.
4. Un Custode digitale della Costituzione? Odio online e garanzia dei diritti fondamentali
Il Tribunale svolge quindi una disamina sul necessitato bilanciamento tra pluralismo politico, e partitico, e ipotizzate espressioni di hate speech (25): eccepiva infatti (23) Luhmann, Opinione pubblica, Napoli, 1978, 128. (24) Bourdieu, L’opinione pubblica non esiste, in Problemi dell’informazione, 1976, 74. (25) Sui discorsi di odio online, senza alcuna pretesa di esaustività, AbIl ruolo dei social network nella lotta all’hate speech; un’analisi comparata fra la esperienza statunitense e quella europea, in Social media e diritti. Diritto e social media, a cura di Conti – Pietrangelo – Romano, Napoli, 2017, 42 ss., Ziccardi, L’odio online. Violenza verbale e ossessioni in rete, Milano, 2016, Ziccardi, Le espressioni d’odio online, in Tecnologia e diritto, a cura di Ziccardi – Perri, Milano, 2019, III, 153 ss. Si può ricordare come il 17 Aprile 2019, il Parlamento europeo abbia adottato una risoluzione, (COM(2018)0640 – C8-0405/2018 – 2018/0331(COD), finalizzata al contrasto dei contenuti terroristici propagandati mediante l’uso delle piattaforme digitali. Ma già in precedenza la Commissione aveva adottato una Comunicazione, documento on Tackling Illegal Content Online, Towards an enhanced responsibility of online platforms, COM(2017) 555, e la Raccomandazione del 1 Marzo 2018 on measures to effectively tackle illegal content online (C(2018) 1177. Sui profili di democratizzazione e di responsabilizzazione delle piattaforme digitali con specifico riguardo al contrasto alle dichiarazioni di odio, da bilanciarsi con le libertà costituzionali, De Gregorio, From Constitutional Freedoms to bondante,
DIRITTO DI INTERNET N. 1/2020
69
GIURISPRUDENZA CIVILE parte resistente come la motivazione della cancellazione delle pagine sarebbe originata da comportamenti integranti dichiarazioni di odio da parte di singoli esponenti o militanti dell’associazione CasaPound. In realtà, rileva correttamente il Tribunale, la doglianza della resistente finisce per riguardare alcuni specifici casi senza che gli stessi possano riverberarsi, in base a presunti e apodittici automatismi generalizzanti, sul movimento nella sua interezza. Infatti la pagina istituzionale del movimento si presentava come mero elemento di risonanza di comunicati ufficiali, di iniziative politiche sui territori, di rilancio di comunicati stampa, in maniera conforme tanto ai dettami dell’ordinamento italiano quanto delle condizioni di uso di Facebook (26). Nella memoria depositata da Facebook, a pagina 12 si ipotizza una sorta di incompatibilità ontologica e assiologica tra la associazione CasaPound e le condizioni d’uso di Facebook, con una inferenza logica che sembrerebbe però attrarre e metabolizzare il dato costituzionale nella formula autoregolatoria privatistica: detto in altri termini, la asserita incompatibilità ontologica e assiologica venendo (auto)riconosciuta per tale dalla stessa piattaforma social sulla base delle sue condizioni di uso finirebbe per implicare una valutazione di ordine costituzionale esercitata da Facebook, che si ritroverebbe così auto–insignito di una funzione di garanzia costituzionale. Rileva invece correttamente il Tribunale come operando CasaPound legittimamente dal 2009 all’interno dei confini e dei limiti posti dall’ordinamento italiano, senza che l’ordinamento abbia dovuto reagire eccependo la presunta e pretesa non conformità dei paradigmi assiologici del movimento alle regole basilari dell’ordinamento stesso, non possa essere Facebook ad avventurarsi su un terreno tanto delicato e potenzialmente pericoloso per le libertà costituzionalmente garantite (27). the Power of the Platforms: Protecting Fundamental Rights Online in the Algorithmic Society, in European Journal of Legal Studies, 2019, 65. (26) E in effetti fino alla avvenuta cancellazione, la pagina del movimento non risultava essere stata oggetto di significativi procedimenti di content moderation. Non si erano cioè registrate in precedenza delle cancellazioni di singoli post o avvertimenti che configurano secondo le condizioni di uso della piattaforma una sorta di gradualità sanzionatoria, per cui la comminazione della sanzione più grave, quella della cancellazione, arriva all’esito di pregresse sanzioni, più lievi, irrogate in precedenza. (27) È il caso di ricordare come anche in una ottica mercatoria le scelte di moderazione delle varie piattaforme social vengano considerate come potenzialmente lesive di diritti di rilevanza costituzionale; in questo senso ad esempio il considerando 46 della Direttiva sull’e-commerce 2000/31/CE a cui l’Italia ha dato attuazione con il d. lgs. 9 aprile 2003, n. 70 rileva come certamente le piattaforme possano disattivare profili o censurare singoli post se questi dovessero violare la loro policy ma sempre in evidente rispetto della libertà di espressione e nel rispetto delle procedure previste dagli ordinamenti nazionali, a cui può aggiungersi la
70
DIRITTO DI INTERNET N. 1/2020
In certa misura, avallando l’idea di una piena autoregolazione (28) anche su diritti costituzionalmente garantiti si finirebbe, specialmente quando questa autoregolazione vada a concernere movimenti politici, con lo sfociare in una modulated democracy (29), ovvero in una forma rappresentativa modellata a monte dalle scelte, innominate, spesso non motivate in maniera cristallina e soddisfacente, adottate da organismi invisibili e non accountable, prese dalle piattaforme digitali, le quali così facendo si sostituirebbero al flusso decisionale del popolo, detentore della sovranità, e al tempo stesso si sostituirebbero anche ai limiti di esercizio finendo cioè con l’incidere sui processi elettorali e sulle modalità di composizione del Parlamento e degli organi rappresentativi di vario livello. Difatti, prosegue il Tribunale, i casi richiamati da Facebook a sostegno della propria scelta di cancellazione generalizzata dei profili di CasaPound finirebbero per configurare a tutti gli effetti una sorta di responsabilità oggettiva o da posizione, in quanto la violazione delle condizioni di uso da parte di un singolo militante sulla propria pagina privata, violazione mai avallata in alcun modo dalla pagina istituzionale del movimento, non può finire per riverberarsi sul movimento nel suo complesso, senza che si sia palesata una qualche, consapevole compartecipazione nella violazione da parte di CasaPound Italia. Ed è sempre la preminenza rivestita da Facebook nel dibattito politico complessivo a integrare il periculum in mora, difatti la eliminazione della pagina istituzionale di CasaPound è “senz’altro produttiva di un pregiudizio non suscettibile di riparazione per equivalente (o non integralmente riparabile) specie in termini di danno all’immagine”. In una certa misura, le piattaforme social sembrano volersi ergere a custodi della società digitale, anche dei
Raccomandazione CM/Rec (2014)6, del Comitato dei Ministri, recante la Guida dei diritti umani per gli utenti di Internet, a mente della quale pur avendo diritto le piattaforme di procedere a content moderation le stesse devono farlo in accordo con i principi giuridici di rango costituzionale degli Stati, al fine di non ledere la libertà di espressione e i diritti costituzionalmente garantiti. (28) Pasquale, Platform Neutrality: Enhancing Freedom of Expression in Spheres of Private Power, 2016, in Theoretical Inquiries in Law, 2016, 497, sottolinea la ambivalenza strategica delle piattaforme digitali le quali hanno sapientemente utilizzato a loro favore le richieste di non intromissione dei poteri pubblici nello spazio transnazionale digitale, facendosi ora scudo della libertà garantita dal I Emendamento della Costituzione americana, e successivamente sfruttando la loro posizione monopolistica e di ritenzione della circolazione delle informazioni e della comunicazione per limitare la concorrenza, dimidiando la innovazione e successivamente sviluppando una loro agenda politica. (29) Gori, Social media ed elezioni. I limiti del diritto e il rischio di una modulated democracy, in Social media e diritti. Diritto e social media, a cura di Conti – Pietrangelo – Romano, Napoli, 2017, 211.
GIURISPRUDENZA CIVILE valori e principi riguardabili sotto la lente del livello costituzionale, e lo fanno in assenza di una Costituzione digitale (30); esse cioè operano la traslazione dei canoni costituzionali analogici nell’ecosistema digitale, li plasmano, adattandoli sull’immaginario letto di Procuste della lingua e della narrazione digitale, per poi farli ricadere nella società reale, una volta trasformati. Il drammatico problema della incidenza della moderazione dei contenuti sulla forma di governo, sul pluralismo politico e sulla qualità della vita dei cittadini è talmente ben presente che le stesse forze germinate dalla complessità sociotecnica della Rete e che per anni hanno caldeggiato ipotesi autoregolatorie, come la Electronic Frontier Foundation, hanno più di recente avvertito la esigenza di modellare delle carte contenenti linee guida e principi sulla content moderation (31).
(30) In questa chiave di lettura non può certo essere riguardata una condizione di uso autonomamente stabilita dalla piattaforma digitale al pari di una Carta costituzionale, nonostante senza alcun dubbio i terms of use finiscano per incidere in maniera severa e organica su libertà di rango costituzionale: in una certa misura la Lex digitalis posta in maniera auto-normata dalla piattaforma diviene una sorta di normazione neo-feudale, assoluta, priva di una qualche giustiziabilità che prescinda dalla decisione in se stessa. È piuttosto evidente come in un sistema transnazionale di capitalismo delle piattaforme, che tende ad assommare elementi reputazionali, informativi, dati privati, logica di profitto, la piattaforma digitale non sia fisiologicamente interessata al rispetto dei precetti costituzionali; essa al contrario finirà per bilanciare tra precetti costituzionali facendo prevalere quello più conforme al proprio interesse privato, mediante una logica di attrazione o di repulsione degli utenti. In questo senso quindi le piattaforme hanno sviluppato la loro agenda intrinsecamente politica che finisce per collimare con l’interesse economico; maggiore sarà la percepita incidenza quantitativa di una data opinione tra gli utenti, maggiore sarà la possibilità che il social schermi e protegga quella opinione semplicemente per attrarre ulteriori utenti con analoghe posizioni, mentre al contrario in presenza di opinioni minoritarie o controverse, ancorché politicamente legittime in un sistema costituzionale, il social tenderà a considerarle pericolose per la propria tenuta economica, potenzialmente foriere di una rottura della narrazione interna al social stesso e capaci di allontanare potenziali ulteriori utenti. In questo senso ad esempio è piuttosto evidente come Facebook abbia mutato la propria policy non tanto e non solo dopo lo scandalo Cambridge Analytica quanto dopo alcuni episodi di terrorismo legato al suprematismo bianco, dai fatti di Charlottesville al massacro della Moschea di Christchurch in Nuova Zelanda, finendo però per attuare un giro di vite non tanto contro il white suprematism quanto contro le pagine fatte forzatamente rientrare in quell’alveo, compresi quindi conservatori, sovranisti e altri soggetti legittimamente presenti nei Parlamenti nazionali. Questa caratterizzazione non è passata inosservata ad esempio alla Presidenza americana la quale per bocca del Presidente Trump ha annunciato ad Agosto 2019 la redazione di un executive order per verificare che le piattaforme social non avessero e non perseguissero una agenda politica contro i conservatori. (31) Manila Principles on Intermediary Liability, del 2017. La Carta è stata poi seguita l’anno successivo dalla ulteriore Carta Santa Clara Principles on Transparency and Accountability in Content Moderation. I principi sottesi ad entrambe le carte rappresentano a modo loro una assoluta novità per il linguaggio complessivo del mondo digitale, un mondo che fino ad oggi aveva ritenuto che le intromissioni dei pubblici poteri nella infosfera fossero da rigettarsi. Dalla pionieristica Dichiarazione di Indipendenza del Cyberspazio di John Perry Barlow, del 1996, la vasta maggioranza delle associazioni e delle organizzazioni attive nel Web avevano confidato nei
La connotazione di queste carte, le quali rimangono uno straordinario sforzo di auto-normazione spontanea e su base reputazionale ma privo come non si farà fatica ad immaginare di precettività normativa, è ispirata a una ricerca della trasparenza e della accountability dei decisori; non sappiamo nulla di chi decida, di quali parametri vengano assunti alla base della decisione, non conosciamo nulla dei percorsi decisionali e di come essi possano essere embricati tra decisione umana e decisione algoritmica, a differenza di quanto avviene nei processi democratici legislativi, nell’esercizio della funzione giurisdizionale o nella adozione di un provvedimento amministrativo. È quindi evidente come una piattaforma, nella generalizzata esigenza di una regolazione sovra-nazionale che sta iniziando a prendere avvio, sia pure in modo frammentario, grazie all’opera dell’Unione Europea, non possa andare esente da uno scrutinio giudiziale e dalla piena rispondenza ai parametri costituzionali che tutelano il cittadino, come singolo o come individuo compartecipante di una formazione sociale, su cui la scelta censoria del social finisca per impattare. Ciò a fortiori se la scelta della piattaforma digitale si connoti e si colori di una valenza politica o di valutazioni politiche, capaci di distorcere il proprium della forma di governo.
poteri auto-regolatori e nelle spinte e nelle contro-spinte della società digitale, capaci in certa misura di equilibrarsi tra loro. L’emersione sempre più prepotente dei Titani del Web ha cambiato le carte in tavola. Resta comunque evidente come già sottolineato che trattasi di Carte prive di valenza normativa e che come tali non possono vincolare se non per mera auto-adesione reputazionale. Ad avere piena valenza normativa ad oggi si situano solo pochi atti normativi di organismi come l’Unione Europea, ad esempio alcune delle previsioni contenute nella Direttiva Copyright, Direttiva 2019/790 del 17 Aprile 2019. Si veda in particolare l’articolo 17 della citata direttiva, il quale prevede la necessità di responsabilizzazione delle piattaforme digitali le quali dovranno rendere il più possibili trasparenti i criteri di content moderation ed elaborare sistemi che permettano anche una tutela extra-giurisdizionale degli utilizzatori delle piattaforme. Va dato infatti atto agli stessi promotori della logica intrinseca della auto-regolazione di aver criticamente rivisto le loro posizioni alla luce dell’emergente potere degli Over the Top, lo stesso Barlow rivide la Dichiarazione di indipendenza, nel 2004, criticando il suo stesso ottimismo e asserendo che col tempo si diventa più vecchi e più saggi, citato in Morrison, An impossible future: John Perry Barlow’s Declaration of the Independence of Cyberspace, in New Media & Society, 2009, 53 ss.
DIRITTO DI INTERNET N. 1/2020
71
GIURISPRUDENZA CIVILE
Adwords e concorrenza sleale Tribunale di M ilano; sez. spec. imprese, sentenza 8 novembre 2019, n. 10130; Pres. Dott.ssa Bellesi; Rel. Dott. ssa Zana; a latere dott. Tarantola. Qualora due imprese operino nello stesso mercato, non è lecito inserire nella propria ditta una parola che già faccia parte di un marchio di cui sia titolare altro imprenditore, il quale usi una ditta ovvero una denominazione sociale in cui sia presente la stessa parola, non consentendosi, altresì, usare quella parola anche come marchio, in funzione di presentazione immediata o mediata attraverso forme di pubblicità dei prodotti o servizi offerti. Qualora un annuncio su Internet, pur non adombrando l’esistenza di un collegamento economico, sia talmente vago sull’origine dei prodotti o dei servizi in questione che un utente di Internet normalmente informato e ragionevolmente attento non sia in grado di sapere, sulla base del link promozionale e del messaggio commerciale ad esso allegato, se l’inserzionista sia un terzo rispetto al titolare del marchio o, al contrario, sia economicamente collegato a quest’ultimo, deve affermarsi la violazione della funzione del marchio.
1. Le vicende processuali La presente controversia è stata introdotta all’esito di una fase cautelare ante causam introdotta in data 6 settembre 2016 da JEUNESSE GLOBAL HOLDINGS LLC - società statunitense operativa nel settore della produzione e della commercializzazione di prodotti anti-age, integratori alimentari e cosmetici- e dalla sua controllata italiana JEUNESSE GLOBAL ITALY s.r.l. - società che gestisce la rete di vendita a domicilio sul territorio nazionale dei prodotti della controllante- nei confronti dì …Omissis…in proprio ed in qualità di titolare dell’impresa individuale JEUNESSE ITALIA di … Omissis… Nella fase urgente Jeunesse ha premesso di commercializzare prodotti cosmetici realizzati dalla Casa-Madre contraddistinti dall’omonimo marchio di fatto “Jeunesse”, nonché dai segni “Instantly Agelless”, “Luminesce” e da un marchio figurativo raffigurante una fontana. Ha lamentato che l’odierna convenuta, fino al 15.3.2013 appartenente alla propria rete di vendita, aveva continuato a commercializzare i propri prodotti, originali ma d’ignota provenienza. E ciò utilizzando illecitamente i propri marchi ed in particolare il segno “Jeunesse”, impiegato anche all’interno del domain name del sito di e-commerce (www.jeunesseitalia.com), degli indirizzi email sia ordinaria che certificata …Omissis… della ditta e quale keyword. Di tali condotte ha invocato la tutela urgente. Il resistente non si è costituito ed il procedimento urgente si è concluso a favore di Jeunesse con ordine inibitorio assistito da penale e da pubblicazione. Ciò premesso, in questa sede le attrici invocano la conferma dei provvedimenti urgenti, di cui lamentano la violazione del convenuto, ed il risarcimento del danno. Parte convenuta si è costituita, negando l’illecito e sostenendo di essersi comunque adeguata ai provvedimenti urgenti del Tribunale.
Il giudice istruttore ha ordinato al convenuto ed al terzo Paypal l’esibizione delle scritture contabili: l’ordine non è stato adempiuto dal terzo. Il convenuto ha invece provveduto al deposito di documentazione contabile, ritenuta tuttavia incompleta dalle attrici. All’esito, la causa è stata trattenuta in decisione previa assegnazione dei termini di legge per il deposito degli scritti difensivi finali. 2.1. Il segno di fatto “Jeunesse” Le attrici azionano in questa sede alcuni segni di titolarità dalla Casa statunitense, utilizzati sul territorio italiano dalla controllata “JEUNESSE GLOBAL ITALY”. Il segno “Jeunesse” è il cuore della denominazione sociale di entrambe le attrici nonché del domain name del sito ufficiale (www.jeunesseglobal.com). Tale brand, registrato in altre giurisdizioni, contraddistingue i prodotti cosmetici dell’omonima Casa. Jeunesse nel territorio interno aziona il segno quale marchio di fatto, sottolineandone l’uso sul territorio italiano fino alla costituzione della società italiana, avvenuta nel 2014, tramite la controllata europea GLOBAL EUROPE LDT e, quantomeno dal 2010, tramite il sito internet ufficiale. Va premesso che il logo utilizzato come segno distintivo dell’attività di un’impresa è considerato valido marchio di fatto, qualora sia riscontrato: 1. il suo carattere distintivo, occorrendo verificare la sussistenza di un sufficiente carattere individualizzante, idoneo ad indicare l’origine imprenditoriale dei beni o servizi offerti dalla titolare; 2. l’uso effettivo e continuo (né precario, né occasionale), indice dell’intenzione di destinare detto segno a marchio per i prodotti e servizi dalla stessa offerti; 3. la notorietà non puramente locale, dalla quale si desuma la conoscenza effettiva del segno da parte della clientela interessata, derivante dalla rilevante ed apprezzabile diffusione nel segmento di mercato di riferimen-
DIRITTO DI INTERNET N. 1/2020
73
GIURISPRUDENZA CIVILE to (Trib. Torino, 19.12.2002), anche grazie ad iniziative pubblicitarie che abbiano contribuito a rafforzare la sua diffusione e la sua notorietà. Solo la verificata sussistenza di tutti i requisiti costitutivi del diritto sul marchio fa scattare, dunque, tutte le tutele ed i rimedi preposti alla difesa del marchio registrato, in virtù delle disposizioni di cui agli artt. 2571 c.c. e art. 2, comma 4, c.p.i., che garantiscono protezione qualitativamente identica al marchio registrato e a quello di fatto. Ciò premesso seppure in sede incidentale ed in sede di cognizione sommaria tali requisiti sono qu riscontrati, giacché: il segno “Jeunesse” può considerarsi dotato di autonomo carattere distintivo che ne consente il monopolio. Infatti, la semplice allusione ad una delle finalità che le creme -anti-age-commercializzate con tale logo intendono perseguire non ne esclude l’autonoma capacità individualizzante; le attrici hanno provato di avere utilizzato il segno: a. quale denominazione sociale della controllata italiana sin dalla iscrizione nel registro delle imprese, risalente all’aprile 2014 (cfr. doc. 2 delle attrici); b. quale domain name ufficiale, www.jeunesseqlobal. com, registrato in altro Stato ma visibile e fruibile anche dal territorio nazionale attraverso la sezione italiana, www.jeunesseglobal.com/it-IT/, quantomeno dal 2010 (cfr. doc. 10 delle attrici); c. quale brand dei propri prodotti, quantomeno dal 2010 (cfr. docc. 10 e 7 delle attrici). L’uso continuativo per un arco temporale importante e su tutto il territorio nazionale, attraverso uno strumento di comunicazione di massa, fa presumere allo stato e salve diverse risultanze in sede di merito, la validità quale segno di fatto. 2.2. Il marchio denominativo di fatto “Instantly Ageless” Analoghe considerazioni valgono per il segno “Instantly Ageless”. Richiamate le osservazioni sopra svolte sul marchio di fatto, quanto al suo carattere distintivo va considerato quanto segue. Sebbene sotto il profilo concettuale il logo, alludendo in modo iperbolico al risultato che i prodotti delle attrici intendono perseguire, richiami il settore di riferimento (della cosmetica), tuttavia esso non è in grado di stabilire un immediato ed univoco collegamento concettuale con i singoli prodotti contraddistinti. Le attrici hanno altresì dimostrato di commercializzare attualmente attraverso la sezione italiana del sito internet i prodotti contraddistinti da tale marchio (cfr. doc. 7 delle attrici). 2.3. Il marchio figurativo composto da una fontana stilizzata
74
DIRITTO DI INTERNET N. 1/2020
Quanto al marchio figurativo di fatto che raffigura una fontana stilizzata la sua peculiare configurazione grafica solo molto lontanamente richiama il settore di riferimento, evocando concetti di vitalità e freschezza che possono essere -anche, ma non necessariamente- associati alla cura della pelle. Il marchio deve dunque allo stato considerarsi dotato di forte carattere distintivo che ne consente senz’altro il monopolio. Anche di tale segno è provato l’uso sul sito internet ufficiale a partire dal 2010 (cfr. docc. 10 e 7 delle attrici). 2.4. Il marchio denominativo “Luminesce” Il marchio “Luminesce” è stato depositato da Jeunesse in data 26.2.2016 con domanda di registrazione in sede europea ed è in attesa di concessione {cfr. domanda n. 015156011, doc. 9 delle attrici). Il segno gode di presunzione di validità ed in attesa di registrazione la titolare può invocare la tutela cautelare, in attesa della sua concessione. Peraltro le attrici hanno allegato e documentato la commercializzazione on- line di prodotti a marchio “Luminesce’’, quantomeno dal 2010 sul territorio nazionale (cfr. doc. 10 delle attrici). 3. Interferenza Com’è noto, l’art. 21 c.p.i. (già art. 1 bis L.M., di recepimento della direttiva 89/104/CEE) traccia i limiti dei diritti attribuiti dalla privativa del segno definendo -alla luce del generale obbligo di lealtà commerciale- una serie di legittime utilizzazioni da parte dei non titolari. In particolare, la disposizione prevede che non possa essere impedito l’uso del marchio nell’attività d’impresa a terzi: a) per indicare la destinazione di un prodotto o dì un servizio, alla duplice condizione che ciò risulti necessario (e cioè non altrimenti sostituibile) al fine di descrivere, appunto, la destinazione del prodotto o del servizio; b) in ogni caso l’utilizzazione del segno sia conforme ai principi della correttezza professionale. Ove l’impiego del segno crei la possibilità di un collegamento dell’impresa terza con il marchio registrato, l’uso non è consentito, tornando a prevalere il regime di esclusiva accordato dalla legge titolare del marchio (cfr. Cass. 15096/05). Il giudizio di liceità dell’uso passa dunque attraverso il discrimen tra impiego del marchio altrui rappresentato come tale -come non proprio- in funzione cioè atipica definita descrittiva (della destinazione), rispetto all’utilizzo nella funzione tipica “distintiva” (della provenienza) del prodotto o del servizio (cfr. Cass. 144/00). Tale criterio è peraltro richiamato sovente anche in sede comunitaria, ove si è precisato, ad esempio, che l’uso del marchio da parte di un terzo che non è titolare è legittimo, se necessario per indicare la destinazione del prodotto messo in commercio, quando cioè tale uso costituisca il solo mezzo per fornire al pubblico l’informa-
GIURISPRUDENZA CIVILE zione completa e comprensibile su tale destinazione al fine di preservare il sistema di concorrenza non falsato sul mercato di tale prodotto (cfr. sentenza Corte di Giustizia, sentenza 17.3.2005, in proc. 228/03, Gillette). Esso va contemperato con i diritti di privativa del titolare, i quali tutelano oltre -che la tradizionale funzione d’indicatore di origine del marchio- anche il ruolo pubblicitario, quale veicolo di informazioni sull’immagine, sulla qualità e reputazione d’impresa. 3.1. Quanto alla ditta del convenuto È principio pacifico che, qualora due imprese operino nello stesso mercato, non è lecito inserire nella propria ditta una parola che già faccia parte di un marchio di cui sia titolare altro imprenditore, il quale usi una ditta ovvero una denominazione sociale in cui si presente la stessa parola. Non è invece consentito usare quella parola anche come marchio, in funzione di presentazione immediata o mediata attraverso forme di pubblicità dei prodotti o servizi offerti (Cass. da ultimo 21.5.2008 n. 13076). Nel caso in esame, è provato l’illecito utilizzo sino al 2016 nella ditta del convenuto del segno “Jeunesse” (cfr. docc.5, 13 e 18 delle attrici del fascicolo della fase cautelare). In particolare, la denominazione sociale “Jeunesse Global Italy” dell’attrice italiana, iscritta nel registro delle imprese dall’aprile 2014, era composta dalla denominazione della controllante “Jeunesse Global” con l’aggiunta dell’indicazione territoriale “Italy” (cfr. doc. 2 delle attrici). La ditta del convenuto “Jeunesse Italia” …Omissis… attività risulta avviata nel settembre 2015 (cfr. doc. 5), pur priva del termine “Global”, era composta dalla parola “Jeunesse”, cuore del segno e dall’indicazione territoriale, “Italia” (anziché “Italy” utilizzato dalla attrice). L’aggiunta del nominativo del titolare, peraltro necessario, trattandosi di ditta individuale, …Omissis…, non costituiva un elemento di sufficiente differenziazione, giacché il cuore del segno è ravvisato proprio in “Jeunesse”. La ditta del convenuto risultava pertanto carente del presupposto della novità, con conseguente necessità della sua modificazione ai sensi dell’art. 2564 c.c.. Come accennato, a seguito del provvedimento interdittivo della fase cautelare, tale denominazione interferente è stata trasformata da “Jeunesse Italia” di …Omissis… Va dunque confermato il giudizio d’illiceità della condotta fino al 2016, con conseguente diritto al risarcimento del danno a favore delle titolari per l’arco temporale in cui l’illecito è stato acclarato. 3.2. Quanto al nome a dominio e agli indirizzi di posta elettronica Le attrici hanno documentato 1’avvenuta registrazione del domain name www.jeunesseitalia.com da parte del convenuto (cfr. doc. 11 delle attrici) nonché l’utilizzo de-
gli indirizzi info@jeunesseitalia.com (cfr. docc. 13 e 18 delle resistenti) e …Omissis…(cfr. doc. 5 delle resistenti). Tali usi - mediante l’indebita inclusione del segno distintivo “Jeunesse” - erano contraffattori: il loro impiego è cessato solo a partire dal mese di novembre 2016, quando il convenuto ha aperto un nuovo sito, magicproducts.it, al quale il pubblico è reindirizzato. Ferma dunque l’illiceità della peculiare declinazione della condotta come sopra descritta fino all’ordine cautelare, parte attrice ha censurato l’illiceità altresì del nuovo sito di controparte. In proposito, va osservato che quest’ultimo nella prima pagina, nella parte superiore, reca la locuzione “Instantly Ageless e Luminesce - Magic Products” (doc. 31 di parte attrice) : essa è ancora idonea a creare un indebito ed univoco agganciamento con le attività imprenditoriali di Jeunesse. Tale collegamento infatti: a) non è giustificato da necessità descrittive; b) non è neutralizzato dal claim riportato nello stesso sito, ove è invece sottolineata la mancanza di collegamento con Jeunesse. L’illiceità della condotta, seppure diversamente modulata, permane. 3.3. Quanto alla keyword 1. Le attrici lamentano altresì che il convenuto si sia avvalso del servizio di sponsorizzazione online Google AdWords per le parole ‘’Jeunesse” e “Jeunesse Italia”, con il risultato che il suo sito compare in posizione privilegiata nella lista dei risultati rispetto a quello ufficiale, utilizzando il motore di ricerca Google (cfr. pag. 7 ricorso e dee. 16 delle attrici). 2. Come noto, grazie al servizio di posizionamento a pagamento «AdWords» di Google, qualsiasi operatore economico può, sempre mediante la scelta di una o più parole chiave, far apparire un link promozionale che rinvia al proprio sito. Il predetto link promozionale, come ricorda la Corte di Giustizia CE (sentenza 22/10/11 in C-323/09, Interflora) è accompagnato da un breve messaggio commerciale. Congiuntamente, il link e il messaggio compongono l›annuncio visualizzato nel suddetto spazio dedicato. Va premesso che questo Tribunale ha profondamente riconsiderato i propri orientamenti in materia alla luce dei nuovi orientamenti della Corte di Giustizia, già espressi in recenti controversie del tutto analoga. E ciò considerando che: - “il titolare del marchio non può opporsi all’uso quale parola chiave di un segno identico al suo marchio qualora non ricorrano tutte le condizioni previste a tal fine dagli artt. 5 della direttiva 89/104 e 9 del regolamento n. 40/94, nonché dalla giurisprudenza pertinente”, vale a dire se l’uso stesso possa compromettere una delle funzioni del marchio” (sentenze Google France e Google, cit. sopra; v., del pari, sentenze 18 giugno 2009, causa
DIRITTO DI INTERNET N. 1/2020
75
GIURISPRUDENZA CIVILE C-487/07, L’Oréal e a., Racc. pag. 1-5185, punto 60, nonché 2 luglio 2010, causa C-558/08, Portakabin); - la giurisprudenza comunitaria, quindi, non considera di per sé illecito l’uso del marchio altrui quale parola chiave nel servizio AdWords (o anche come keyword-metatag), ma solo ove ricorrano specifiche condizioni. “(..) Per quanto importante essa possa essere, la protezione offerta dall’art. 5, n. 1, lett. a), della direttiva mira solo a consentire al titolare del marchio d’impresa di tutelare i propri interessi specifici in quanto titolare di quest’ultimo, ossia garantire che il marchio possa adempiere le sue proprie funzioni. L’esercizio del diritto esclusivo conferito dal marchio deve essere riservato ai casi in cui l’uso del marchio da parte di un terzo pregiudichi o possa pregiudicare le funzioni del marchio e, in particolare, la sua funzione essenziale di garantire ai consumatori la provenienza del prodotto” (così nella sentenza 22/9/11 in C- 323/09 Interflora, citando la sentenza 12 novembre 2002, causa C-206/01, Arsenal Football Club), “oppure di una delle altre funzioni di quest’ultimo, quali quelle consistenti nel garantire la qualità di detto prodotto o servizio, oppure di comunicazione, investimento o pubblicità” (ibidem, con riferimento alla sentenze già citate L’Oréal e a. nonché Google France e Google); - in relazione alla violazione della fondamentale funzione d’indicatore di origine la Corte ha più volte ribadito che allorché, a partire da una parola chiave identica a detto marchio, è mostrato agli utenti di Internet un annuncio pubblicitario di un terzo, quale un concorrente del titolare del marchio, la sussistenza o meno della violazione dipende in particolare dal modo in cui tale annuncio è presentato. Sussiste violazione quando l’annuncio non consente o consente soltanto difficilmente all’utente di Internet normalmente informato e ragionevolmente attento di sapere se i prodotti o i servizi a cui 1’annuncio si riferisce provengano dal titolare del marchio o da un’impresa economicamente collegata a quest’ultimo oppure, al contrario, da un terzo (sentenza Google France e Google, cit., punti 83 e 84, nonché Portakabin, cit., punto 34). - qualora 1’annuncio del terzo adombri 1’esistenza di un collegamento economico tra tale terzo e il titolare del marchio, si dovrà concludere che sussiste una violazione della funzione di indicazione d’origine di detto marchio (sentenza Google France e Google, cit., punti 89 e 90, nonché Portakabin, cit., punto 35, cosi sempre sentenza Interflora); - “nella maggior parte dei casi, inserendo il nome di un marchio quale parola da ricercare, l’utente di Internet si prefigge di trovare informazioni od offerte sui prodotti o sui servizi di tale marchio. Pertanto, quando sono visualizzati, sopra o a lato dei risultati naturali della ricerca, link pubblicitari verso siti che offrono prodotti o servizi di concorrenti del titolare di detto marchio, l’utente
76
DIRITTO DI INTERNET N. 1/2020
di Internet, se non esclude subito tali link in quanto non pertinenti e non li confonde con quelli del titolare del marchio, può percepire che detti link offrano un’alternativa rispetto ai prodotti o ai servizi del titolare del marchio” (sentenza 23/3/10 cit.). Le considerazioni della Corte, essenziali anche ove non direttamente vincolanti) al fine di pervenire ad un’uniforme regolazione del mercato comunitario anche dal punto di vista interpretativo, impongono al giudice nazionale investito della controversia di esaminare l’annuncio che compare tra i link sponsorizzati, facendo proprio il punto di vista dell’utente informato di Internet (Gandolfi, 11.6.2015), 4. Venendo al caso concreto, l’annuncio del convenuto, visualizzato all’esito del servizio di posizionamento AdWords -rappresentato dall’insieme del link pubblicitario e del breve messaggio commerciale sottostante- è così concepito “Jeunesse, ringiovanire è possibile” (pag. 7 del ricorso cautelare). Pare al Tribunale che, nella necessaria sintesi degli annunci in questione, l’utente possa erroneamente identificare l’esistenza di collegamento, rectius, di un’identità tra la titolare ed il convenuto. La pubblicità su Internet a partire da parole chiave corrispondenti al marchio Jeunesse non ha dunque meramente lo scopo di proporre agli utenti di Internet alternative rispetto ai prodotti o ai servizi dei titolari di detti marchi (v., in proposito, sentenza Google France e Google, cit., punto 69)” (così sentenza 22/9/11 Interflora cit.): essa infatti, anche attraverso l’invio ad una sito del tutto analogo a quello delle attrici, che accentua l’impressione di una perfetta sovrapposizione tra le ricorrenti e la resistente. Si verte infatti nell’ipotesi in cui “l’annuncio del terzo adombri l’esistenza di un collegamento economico tra tale terzo e il titolare del marchio, si dovrà concludere che sussiste una violazione della funzione di indicazione d’origine di detto marchio. Qualora l’annuncio, pur non adombrando l’esistenza di un collegamento economico, sia talmente vago sull’origine dei prodotti o dei servizi in questione che un utente di Internet normalmente informato e ragionevolmente attento non sia in grado di sapere, sulla base del link promozionale e del messaggio commerciale ad esso allegato, se l’inserzionista sia un terzo rispetto al titolare del marchio o, al contrario, sia economicamente collegato a quest’ultimo, si deve parimenti concludere che sussiste violazione della funzione del marchio (sentenze Google France e Google, cit., punti 89 e 90, nonché Fortakabin, cit., punto 35, così sempre sentenza Interflora). La doglianza di parte attrice era dunque fondata. 5. La condotta censurata è cessata tale circostanza occorre tenere conto in sede risarcitoria. 3.4. La commercializzazione da parte del convenuto dei prodotti a marchio “Jeunesse”.
GIURISPRUDENZA CIVILE 1. Con specifico riferimento alla commercializzazione dei prodotti “Jeunesse”, le attrici hanno lamentato la vendita a cura del convenuto in Italia del prodotto “Eye Firming Gel” della linea “Instantly Ageless”, res non introdotta dalla titolare nello Spazio Europeo, con conseguente mancato esaurimento ex art. 5 c.p.i.. Sul punto, va solo ricordato che, secondo l’interpretazione costante, l’onere di provare che i prodotti protetti da un diritto di proprietà industriale siano stati introdotti nel Mercato Comune dal titolare o con il suo consenso grava su colui che solleva tale eccezione, secondo la regola generale di cui all’art. 2967 c.c. e, dunque, sul preteso contraffattore (cfr., ad esempio, Cass. n.14982/2009) . Parte convenuta non ha provato il fatto estintivo, documentando l’acquisto delle res litigiose nello spazio SEE. In proposito, le sole due ricevute d’acquisto depositate dal convenuto (cfr. doc. 2, datate rispettivamente aprile e maggio 2016, per un importo complessivo di circa € 1.600,00): • non consentono di provare l’intera catena degli acquisti, a ritroso, fino al titolare dei diritti (non si tratta infatti di fatture emesse dal venditore, ma di ricevute dell’intermediario che gestisce il pagamento online, Paypal) ; • non documentano il primo acquisto dalla titolare o con il suo consenso nello spazio SEE (essi riportano in fondo la quantificazione separata dei “costi d’importazione” e la scritta “Un pagamento separato è stato inviato alla società di spedizioni per spedire il tuo pacco e sdoganarlo”, indicativa di un acquisto fuori dal spazio europeo. La commercializzazione del convenuto non è dunque lecita. 2. Quanto agli altri prodotti “Jeunesse”, viene in questa sede ribadita comunque 1’illiceità della vendita- previo acquisto da canali ignoti- sul territorio nazionale, in quanto avvenuta con modalità tali da recare pregiudizio alla titolare del segno. Con conseguente inapplicabilità del principio dell’esaurimento di cui all’art. 5 c.p.i. sussistendo il motivo legittimo della titolare per opporsi all’ulteriore commercializzazione. In effetti, le modalità di promozione già sopra descritte (attraverso lo sfruttamento dei segni distintivi altrui quali veicoli promozionali, si veda appunto la locuzione nella prima pagina del sito del convenuto) creano l’impressione che esista un nesso economico tra il titolare del marchio e il convenuto, facendo credere che sussista un legame tra la prima ed il secondo, in realtà insussistente (cfr. Corte di Giustizia, sentenza 8 luglio 2010, causa C-558/08, Portakabin, punti 79 e 80; sentenza 14 luglio 2011, causa C-46/10, Viking Gas, punti 37 e 38) . 3. L’eccezione sollevata dalla difesa del convenuto, secondo cui si verterebbe in un’ipotesi di distribuzione selettiva -con conseguente ribaltamento dell’onere della
prova a carico della titolare in ordine al rischio di compartimentazione dei mercato- è infondata. Invero, nel caso in esame non vi sono riscontri che Jeunesse operi sul mercato attraverso un criterio di distribuzione selettiva. Il contratto standard depositato dall’attrice (cfr. doc.34), manca dei requisiti per ricondurlo a tale sistema, secondo la disciplina di cui al Regolamento (UE) n. 330/2010. Correttamente la difesa degli attori ha osservato che i propri incaricati alle vendite a domicilio (“I.V.D.”) non operano quali “distributori”, non rivendono cioè i prodotti acquistati, limitandosi a promuovere - direttamente o indirettamente - la raccolta di ordinativi di acquisto presso privati consumatori per conto di imprese esercenti la vendita diretta a domicilio (Jeunesse). Inoltre gli I.V.D. non vengono scelti sulla base di criteri specificati; e manca il divieto di vendita a rivenditori non autorizzati nel territorio. Infine, non vi è prevista alcuna esclusività territoriale in capo all’I.V.D. e la riserva del fornitore/Jeunesse dì vendere direttamente anche nei luoghi ove 1’I.V.D. scelga autonomamente di operare. Il rapporto degli oneri probatori è dunque quello ordinario, con conseguente rigetto dell’eccezione del convenuto. 4. Le condotte di concorrenza sleale Le attrici lamentano che le condotte complessivamente poste in essere dal convenuto, oltre a costituire contraffazione dei segni distintivi, come sopra, costituirebbero atti di concorrenza sleale ex art. 2598 nn. 1 e 3 c.c. . Nel caso in esame, in assenza dell’ allegazione di profili altri e diversi rispetto a quelli della lamentata interferenza tra segni distintivi, non sono ravvisabili residue ed ulteriori condotte cantra ius che non siano già state censurate per pretesa contraffazione di segni distintivi. Infarti, i rimedi anche reali apprestati attraverso la protezione degli stessi assorbono quelli di cui all’art. 2598 c.c.. 5. Il risarcimento del danno La condotta sindacata nel suo complesso -considerato l’uso combinato del marchio “Jeunesse” e dell’indicazione territoriale “Italia” nella ditta, negli indirizzi e-mail, nel domain name del sito internet e, più in generale, l’utilizzo che è fatto dal convenuto dei marchi delle attrici nella sua attività commerciale- ha senz’altro cagionato pregiudizio alle attrici, creando confusione nel consumatore, portandolo a credere di interfacciarsi con una società comunque appartenente o legata al gruppo Jeunesse e di acquistare dal sito ufficiale. Va in proposito considerato: • il lasso temporale nel quale le condotte illecite si sono articolate, a partire dal 2011 fino all’attualità quanto alla commercializzazione dei prodotti e fino al 2016 quanto alla keyword, alla ditta, al nome a dominio e all’indirizzo di posta elettronica (doc. 38 di parte attrice);
DIRITTO DI INTERNET N. 1/2020
77
GIURISPRUDENZA CIVILE • le modalità della condotta, particolarmente diffusive, trattandosi di promozione e vendita via web, dunque destinata ad un pubblico potenzialmente illimitato; • le lesioni sono state plurime, considerata la lesione di tre diversi segni distintivi nei diversi contesti, anche telematici, nonché l’introduzione nello spazio SEE di prodotti di parte attrice senza il suo consenso; • va rammentato che gli utili conseguiti dall’autore dell’illecito possono essere valutati quale parametro per quantificare il danno. In proposito, le produzioni documentali del convenuto, a prescindere dalla loro ritenuta incompletezza ed incongruenza- attestano un fatturato per € 38.000,00 circa derivato dalla vendita di prodotti Jeunesse. Procedendo dunque ad una liquidazione necessariamente equitativa ritiene l’Ufficio che, a titolo dì risarcimento del danno, la somma di € 30.000,00, già liquidata in moneta attuale, sia congrua rispetto alla pluralità delle lesioni poste in essere dal convenuto. Su tale somma decorrono gli interessi legali dalla pronuncia al saldo. 6. Il comando giudiziale Va dunque confermato il provvedimento inibitorio adottato in sede cautelare che, in virtù del principio di unitarietà dei segni distintivi, si estende all’utilizzo del marchio “Jeunesse” in qualunque contesto, ossia quale ditta, domain name, indirizzo di posta elettronica, anche a fini pubblicitari. Va altresì confermata l’inibizione all’uso dei segni della attrice - “Jeunesse”, “Luminesce”, “Instantly Ageless” e del marchio figurativo rappresentante una fontananell’attività di commercializzazione e offerta in vendita dei prodotti litigiosi con le modalità interferenti indicate in narrativa. E ciò ad eccezione del prodotto “Eye Firming Gel” della linea “Instantly Ageless”, del quale va inibita, tout court la commercializzazione, giacché non introdotto nello spazio SEE dalle titolari. Va invero rammentato che, seppure alcune delle condotte censurate siano cessate, si tratta di scelte commerciali che possono essere riprese in futuro in qualunque momento, con conseguente interesse concreto ed attuale delle attrice alla conferma dell’ordine interdittivo. Tale rimedio è assistito da astreinte, quantificata come da dispositivo e decorrente a partire dal trenta giorni dalla comunicazione della presente sentenza, essendo stato concesso un ampio arco temporale al convenuto per adeguarsi al comando cautelare, del tutto conforme a quello adottato in questa sede. Va altresì concessa la pubblicazione, rimedio a vocazione anche preventiva da effettuare, a cura e spese della
78
DIRITTO DI INTERNET N. 1/2020
convenuto, sul sito www. www.magicproducts.it, nonché sul Corriere della Sera, secondo le modalità indicate in dispositivo. Occorre infine provvedere in ordine alle spese di lite a carico di parte convenuto, liquidate come da dispositivo tenuto conto del valore della causa, dell’importo liquidato a titolo risarcitorio. P.Q.M. Il Tribunale di Milano, definitivamente pronunciando sulle domande svolte Da Jeunesse Global Holdings Llc e Jeunesse Global Italy S.r.l. con atto di citazione notificato in data 2.2.2017 contro …Omissis… ogni altra domanda diversamente disattesa e rigettata cosi provvede: 1) inibisce a …Omissis…: a. l’utilizzo del marchio “JEUNESSE” quale ditta, domain name, indirizzo di posta elettronica e keyword, in qualunque contesto, in contraffazione con il segno di titolarità delle ricorrenti; b. l’utilizzo, dei marchi JEUNESSE, LUMINESCE, INSTANLY AGELESS nonché del segno figurativo “fontana” meglio indicato in narrativa, in qualunque contesto, anche telematico, e anche mediante promozione, offerta in vendita di prodotti contrassegnati da tali segni con le modalità indicate in narrativa, interferenti con i marchi di titolarità delle attrici; c. la commercializzazione del prodotto “Eye Firming Gel” della linea “Instantly Ageless” con qualunque modalità di vendita ed in qualunque contesto; 2) dispone a carico del convenuto una penale pari all’importo di € 500,00 per ogni giorno di ritardo nell’adempimento di cui ai punti a) b) c), a partire dal trentesimo giorno dalla comunicazione della presente sentenza; 3) dispone la pubblicazione del dispositivo della presente sentenza a cura ed a spese del convenuto sull’home page del sito internet del convenuto sul sito www.magicproducts.it, nonché, a cura delle attrici e spese del convenuto, sul quotidiano “Il Corriere della Sera” (inclusa la sua versione digitale); pubblicazioni da effettuarsi a caratteri doppi del normale non oltre 30 giorni dalla comunicazione della sentenza alle parti e, quanto alla seconda, in caso di inottemperanza, a cura e spese delle attrici, con diritto a ripeterne le spese presso il convenuto; 4) condanna il convenuto al risarcimento del danno a favore delle attrici in solido, liquidato in S 30.000,00 in moneta attuale, oltre interessi legali dalla pronuncia al saldo; 5) condanna il convenuto a rifondere a favore delle attrici le spese di lite, liquidate in complessivi € 10.000,00 di cu € 1.000,00 per spese ed il residuo dei compensi, oltre IVA CPA e spese di registrazione e 15% per spese forfettarie.
GIURISPRUDENZA CIVILE
Il Commento
di Alessandro La Rosa Sommario: 1. Svolgimento della causa e motivazione della decisione della Sezione Specializzata in materia d’Impresa “A” del Tribunale di Milano. – 2. Il marchio e le sue funzioni quali elemento essenziale per la valutazione di liceità. – 3. “AdWords”: il servizio di posizionamento a pagamento di Google. -4. La conoscenza dell’illecito ed il contributo causale del prestatore del servizio di posizionamento. Il commento analizza i profili di legittimità concernenti l’utilizzo – da parte di terzi – di marchi non registrati, denominativi e figurativi, nell’ambito di attività promozionali online che sfruttino lo strumento del keyword advertising. In particolare, la decisione si concentra sull’illiceità dell’utilizzo di un nome a dominio composto dalla denominazione sociale di altra società, legato alla commercializzazione di prodotti apparentemente originali seppure in mancanza di apposita licenza di distribuzione. Come si avrà modo di rilevare, la valutazione tratterà del riconoscimento dello status di marchi di fatto proteggibili ex artt. 2571 c.c. e art. 2, comma 4, c.p.i. ai segni denominativi e figurativi di carattere intrinsecamente distintivo, e dell’impiego del servizio di sponsorizzazione Google AdWords per le ricerche fatte usando il marchio d’azienda come parola chiave. The comment focuses on the legitimacy of the use – by third parties – of unregistered trademarks, both word and figurative, in the context of online promotional activities that exploit the tool of keyword advertising. In particular, the decision focuses on the unlawfulness of the use of a domain name composed of the company name of another company, linked to the marketing of apparently original products even though there is not a specific distribution license. As will be pointed out, the assessment will deal with the recognition of the status of trademarks that can in fact be protected pursuant to Articles 2571 of the Italian Civil Code and Article 2, paragraph 4, of the Italian Intellectual Property Code to word and figurative signs of an intrinsically distinctive character, and the use of the Google AdWords sponsorship service for searches made using the company trademark as a keyword.
1. Svolgimento della causa e motivazione della decisione della Sezione Specializzata in materia d’Impresa “A” del Tribunale di Milano
La controversia è stata introdotta all’esito di una fase cautelare ante causam sorta in data 6 settembre 2016 su impulso della Jeunesse Global Holdings Llc – società statunitense operativa nel settore della produzione e della commercializzazione di prodotti anti-età, integratori alimentari e cosmetici – e dalla sua controllata italiana Jeunesse Global Italy s.r.l. – società che gestisce la rete di vendita a domicilio sul territorio nazionale dei prodotti della controllante – nei confronti del titolare dell’impresa individuale Jeunesse Italia. In tale fase, la ricorrente ha premesso di commercializzare prodotti cosmetici realizzati dalla casa-madre contraddistinti dall’omonimo marchio di fatto “Jeunesse”, nonché dai segni “Instantly Agelless”, “Luminesce” e da un marchio figurativo raffigurante una fontana. La ricorrente lamentava che la resistente, fino al 15.3.2013 appartenente alla propria rete di vendita, aveva continuato a commercializzare i propri prodotti originali seppure d’ignota provenienza. E ciò utilizzando illecitamente i propri marchi e, in particolare, il segno distintivo “Jeunesse”, impiegato anche all’interno del nome a dominio del sito di e-commerce (www.jeunesseitalia.com), oltreché degli indirizzi e-mail sia ordinaria che certificata della ditta e quale keyword. A causa di tali condotte, la ricorrente ha invocato la tutela urgente del Tribunale di Milano. La parte resistente non si è costituita ed il procedimento urgente si è
concluso a favore della ricorrente con ordine inibitorio assistito da penale e da pubblicazione. Ciò premesso, conseguentemente, le società attrici hanno invocato la conferma dei provvedimenti ottenuti in sede d’urgenza, oltre al risarcimento del danno; richieste entrambe accolte dal Tribunale meneghino, per le motivazioni di seguito argomentate, e in considerazione anche del fatto che “seppure alcune delle condotte censurate siano cessate, si tratta di scelte commerciali che possono essere riprese in futuro in qualunque momento, con conseguente interesse concreto ed attuale delle attrici alla conferma dell’ordine interdittivo”.
2. Il marchio e le sue funzioni quali elemento essenziale per la valutazione di liceità
Nel caso qui esaminato, le attrici hanno azionato alcuni segni di titolarità dalla casa madre statunitense, utilizzati sul territorio italiano dalla controllata Jeunesse Global Italy s.r.l. Il segno “Jeunesse” è il cuore della denominazione sociale di entrambe le attrici nonché il nome a dominio del loro sito ufficiale (www.jeunesseglobal.com). Tale brand, registrato in altre giurisdizioni, contraddistingue i prodotti cosmetici dell’omonima casa madre. In Italia, tale marchio costituisce un marchio di fatto, il cui uso sul territorio italiano risale al 2014, tramite la controllata europea Global Europe Ldt e, quantomeno dal 2010, tramite il sito internet ufficiale. È noto, e ribadito dalla sentenza qui commentata, come il logo utilizzato quale segno distintivo dell’attività di
DIRITTO DI INTERNET N. 1/2020
79
GIURISPRUDENZA CIVILE un’impresa è considerato valido marchio di fatto, qualora sia riscontrato: 1. il suo carattere distintivo, occorrendo verificare la sussistenza di un sufficiente carattere individualizzante, idoneo ad indicare l’origine imprenditoriale dei beni o servizi offerti dalla titolare; 2. l’uso effettivo e continuo (né precario, né occasionale), indice dell’intenzione di destinare detto segno a marchio per i prodotti e servizi dalla stessa offerti; 3. la notorietà non puramente locale, dalla quale si desuma la conoscenza effettiva del segno da parte della clientela interessata, derivante dalla rilevante ed apprezzabile diffusione nel segmento di mercato di riferimento, anche grazie ad iniziative pubblicitarie che abbiano contribuito a rafforzare la sua diffusione. Solo la verificata sussistenza di tutti i requisiti costitutivi del diritto sul marchio fa scattare, dunque, tutte le tutele ed i rimedi preposti alla difesa del marchio registrato, in virtù delle disposizioni di cui agli artt. 2571 c.c. e art. 2, comma 4, c.p.i., che garantiscono protezione qualitativamente identica al marchio registrato e a quello di fatto. Per quanto attiene al caso di specie e, quindi, al segno di fatto “Jeunesse”, ai marchi denominativi di fatto “Instantly Ageless” e “Luminesce” e al marchio figurativo composto da una fontana stilizzata, il Tribunale di Milano ha statuito che “l’uso continuativo per un arco temporale importante e su tutto il territorio nazionale, attraverso uno strumento di comunicazione di massa, fa presumere allo stato e salve diverse risultanze in sede di merito, la validità quale segno di fatto”. L’art. 21 c.p.i. traccia i limiti dei diritti attribuiti dalla privativa del segno definendo -alla luce del generale obbligo di lealtà commerciale- una serie di legittime utilizzazioni da parte dei non titolari. In particolare, la disposizione prevede che non possa essere impedito l’uso del marchio nell’attività d’impresa a terzi: per indicare la destinazione di un prodotto o dì un servizio, alla duplice condizione che ciò risulti necessario (e cioè non altrimenti sostituibile) al fine di descrivere, appunto, la destinazione del prodotto o del servizio; in ogni caso l’utilizzazione del segno sia conforme ai principi della correttezza professionale. Ove l’impiego del segno crei la possibilità di un collegamento dell’impresa terza con il marchio registrato, l’uso non è consentito, tornando a prevalere il regime di esclusiva accordato dalla legge al titolare del marchio. Torna a ribadire il Tribunale di Milano che “il giudizio di liceità dell’uso passa dunque attraverso il discrimen tra impiego del marchio altrui rappresentato come tale -come non proprio- in funzione cioè atipica definita descrittiva (della destinazione), rispetto all’utilizzo nella funzione tipica “distintiva” (della provenienza) del prodotto o del servizio”.
80
DIRITTO DI INTERNET N. 1/2020
Tale criterio è peraltro richiamato sovente anche in sede comunitaria, ove si è precisato, ad esempio, che l’uso del marchio da parte di un terzo che non è titolare è legittimo, se necessario per indicare la destinazione del prodotto messo in commercio, quando cioè tale uso costituisca il solo mezzo per fornire al pubblico l’informazione completa e comprensibile su tale destinazione al fine di preservare il sistema di concorrenza non falsato sul mercato di tale prodotto (1). Esso va contemperato con i diritti di privativa del titolare, i quali tutelano oltre -che la tradizionale funzione d’indicatore di origine del marchio- anche il ruolo pubblicitario, quale veicolo di informazioni sull’immagine, sulla qualità e reputazione d’impresa.
3. “AdWords”: il servizio di posizionamento a pagamento di Google
Come già esposto, la condotta illecita qui esaminata trae origine dall’abusivo utilizzo di parole chiave (o keywords) sul motore di ricerca di Google. Pertanto, vale la pena ricordare che per ogni parola chiave inserita in un motore di ricerca vengono generalmente forniti due tipi di risultati: 1) i risultati c.d. naturali, ossia una serie di siti ritenuti pertinenti alla parola chiave, forniti in base a criteri determinati dal motore di ricerca (nel caso di specie, individuati da Google); 2) gli annunci pubblicitari relativi a taluni siti, che compaiono in quanto gli inserzionisti pagano affinché, in risposta a determinate parole chiave, vengano presentati i riferimenti ai loro siti (2). Nel caso di Google, come anticipato, si tratta degli annunci pubblicitari resi possibili grazie al servizio di posizionamento a pagamento denominato “AdWords” (3), che consente a qualsiasi inserzionista di selezionare una o più parole chiave al fine di far apparire, fra i risultati di una ricerca comprendente tali keywords, un link pub (1) Corte di Giustizia UE, sentenza 17 marzo 2005, in C- 228/03, Gillette e a.. (2) Una prima fattispecie illecita attiene ai casi in cui gli hyperlink siano incorporati in segni idonei a confondere il pubblico sull’origine imprenditoriale dei beni o dei servizi offerti sulla pagina cui il collegamento indirizza. nel caso in cui tale collegamento ipertestuale riproduca un marchio altrui, l’utente medio di internet può essere portato a ritenere che la sua attivazione sia idonea a indirizzare verso una pagina internet gestita dal titolare del marchio, dove quest’ultimo offre i suoi beni o servizi. anche nel caso in cui la pagina cui il link rinvia contiene elementi idonei a escludere la confusione, quindi, il collocamento del link integra di per sé un uso illecito del marchio effettuato nella comunicazione commerciale. uso che il titolare ha senz’altro il diritto di vietare in virtù dei poteri di esclusiva garantitigli dal diritto di marchio.42. Una prima decisione, in tal senso, è quella adottata dal Tribunale di Milano il 7 marzo 2000, in Dir. inf. e inf., 2000, 494 con nota di Cassano. (3) La descrizione del servizio AdWords è rinvenibile all’URL <https://ads.google.com/intl/it_it/home/a>.
GIURISPRUDENZA CIVILE blicitario che appare nella rubrica “link sponsorizzati”, visualizzato sia sul lato destro dello schermo, ossia a destra dei risultati naturali, sia nella parte superiore, ossia sopra i risultati naturali. Tale link pubblicitario è accompagnato da un breve messaggio commerciale che, insieme al link, costituisce l’annuncio che appare nella summenzionata rubrica. L’inserzionista, ossia colui che vuole comparire fra i risultati dell’operazione di ricerca attivata dall’utente, pagherà a Google tale servizio di posizionamento per ogni selezione (c.d. click) del proprio link pubblicitario (c.d. pay per click). La stessa parola chiave può essere selezionata da più inserzionisti, in tal caso l’ordine di visualizzazione dei diversi link è determinato in base al prezzo massimo per click, da quante volte i detti link sono stati selezionati in precedenza e dalla qualità e pertinenza dell’annuncio in base alle valutazioni di Google. Nel caso di specie, Google avrebbe potuto certamente considerare che la keyword delle società attrici, oltreché parola chiave, corrisponde altresì alla denominazione dell’azienda e che, pertanto, mettendo a disposizione tale stessa parola chiave a soggetti che svolgono la medesima attività, si sarebbe potuto creare –come in effetti è accaduto- un rischio di confusione tra i due soggetti. La selezione di parole chiave e la relativa creazione di annunci avviene attraverso un processo automatizzato creato da Google, mediante il quale gli inserzionisti selezionano le parole chiave, redigono il messaggio commerciale e inseriscono il link al loro sito internet (4). In linea di principio, l’uso del marchio altrui come parola chiave nel contesto delle attività di keyword advertising è un’attività lecita. La condotta in questione, tuttavia, diventa illecita nella misura in cui viola una delle funzioni del marchio, prima tra tutte quella di indicatore d’origine. Come si vedrà, l’annuncio sponsorizzato è illecito anche nel caso in cui uno o più elementi in esso contenuti, inclusi i collegamenti ipertestuali, siano predisposti in modo vago e generico, sì da non consentire all’utente medio di internet di comprendere la reale identità dell’advertiser o, nel caso in cui il marchio scelto come keyword sia rinomato, da rendere confusa la natura dei rapporti tra l’advertiser e il titolare di quel marchio. In entrambe le situazioni, e prescindere dal contenuto del sito cui il link rinvia, la fornitura del collegamento ipertestuale equivale ad “agganciare il sito” cui il link rinvia
“al marchio altrui e a sfruttare la notorietà del segno” oggetto della parola chiave (5). L’impiego del link in questa tipologia di comunicazione commerciale, quindi, onera l’inserzionista di obblighi di chiarezza e di buona fede nella formulazione stessa del collegamento: proprio alla luce dell’idoneità dell’hyperlink di collegare un testo alla pagina pubblicizzata, l’inserzionista è chiamato ad adottare tutte le cautele possibili affinché il collegamento non si traduca in un agganciamento illecito all’indicazione d’origine o alla reputazione dell’altrui marchio (6). Va premesso che il Tribunale di Milano, con la sentenza qui commentata, ha profondamente riconsiderato i propri orientamenti nella materia de qua alla luce delle nuove posizioni della Corte di Giustizia, che di seguito verranno illustrate, secondo cui “il titolare del marchio non può opporsi all’uso quale parola chiave di un segno identico al suo marchio qualora non ricorrano tutte le condizioni previste a tal fine dagli artt. 5 della direttiva 89/104 e 9 del regolamento n. 40/94, nonché dalla giurisprudenza pertinente, vale a dire se l’uso stesso possa compromettere una delle funzioni del marchio” (7). La giurisprudenza comunitaria, quindi, non considera di per sé illecito l’uso del marchio altrui quale parola chiave nel servizio AdWords (o anche come keyword), ma solo ove ricorrano specifiche condizioni: “per quanto importante essa possa essere, la protezione offerta dall’art. 5, n. 1, lett. a), della direttiva mira solo a consentire al titolare del marchio d’impresa di tutelare i propri interessi specifici in quanto titolare di quest’ultimo, ossia garantire che il marchio possa adempiere le sue proprie funzioni. L’esercizio del diritto esclusivo conferito dal marchio deve essere riservato ai casi in cui l’uso del segno da parte di un terzo pregiudichi o possa pregiudicare le funzioni del marchio e, in particolare, la sua funzione essenziale di garantire ai consumatori la provenienza del prodotto” (8).
(5) Tribunale di Milano, sentenza 11 marzo 2009, in Giur. Ann. Dir. Ind., 2009, pp. 769 e ss.; Tribunale di Milano, sentenza 20 ottobre 2010; Tribunale di Milano, sentenza 23 ottobre 2010; Tribunale di Bologna, sentenza 1 luglio 2011; Tribunale di Milano, sentenza 23 novembre 2012, in banca dati Darts IP; Tribunale di Milano, sentenza 23 aprile 2013 e Tribunale di Palermo, sentenza 7 giugno 2013, in Giurisprudenza Commerciale, 2015, 179 e ss., con nota di Guardì, La responsabilità dell’inserzionista e del service provider nell’ambito del keyword advertising; Tribunale di Milano, sentenza 22 aprile 2016, in Foro it. 2016, 2944 e ss. (6) Bellan, Linking e comunicazione al pubblico nel sistema della Corte di Giustizia dell’Unione Europea, 2016, tesi di dottorato disponibile su < https://air.unimi.it/handle/2434/465777#.XiNWuW5FzbI>.
(4) Corte di Giustizia UE, Prima Sezione, sentenza del 22 settembre 2011, Interflora Inc. e Interflora British Unit contro Marks & Spencer plc e Flowers Direct Online Ltd. (punti 9-13), sentenza del 23 marzo 2010, Google France SARL e Google Inc. contro Louis Vuitton Malletier SA (punti 22-27).
(7) Corte di Giustizia UE, sentenze Google France e Google, cit. sopra; sentenze 18 giugno 2009, causa C-487/07, L’Oréal e a., punto 60; sentenza 2 luglio 2010, causa C-558/08, Portakabin. (8) Corte di Giustizia UE, sentenza 22 settembre 2011, in C- 323/09, Interflora, citando la sentenza 12 novembre 2002, causa C-206/01, Arsenal Football Club.
DIRITTO DI INTERNET N. 1/2020
81
GIURISPRUDENZA CIVILE Allorché, a partire da una parola chiave identica ad un marchio, è mostrato agli utenti di Internet un annuncio pubblicitario di un terzo, quale un concorrente del titolare del marchio, la sussistenza o meno della violazione dipende in particolare dal modo in cui tale annuncio è presentato. Qualora l’annuncio del terzo adombri l’esistenza di un collegamento economico tra tale terzo e il titolare del marchio, si dovrà concludere che sussiste una violazione della funzione di indicazione d’origine di detto marchio (9). Nella maggior parte dei casi, inserendo il nome di un marchio quale parola da ricercare, l’utente di Internet si prefigge di trovare informazioni od offerte sui prodotti o sui servizi di tale marchio. Pertanto, quando sono visualizzati, sopra o a lato dei risultati naturali della ricerca, link pubblicitari verso siti che offrono prodotti o servizi di concorrenti del titolare di detto marchio, l’utente di Internet, se non esclude subito tali link in quanto non pertinenti e non li confonde con quelli del titolare del marchio, può percepire che detti link offrano un’alternativa rispetto ai prodotti o ai servizi del titolare del marchio. Non può sussistere allora alcun dubbio in ordine al fatto che l’attività della convenuta si ponga in diretta concorrenza con l’attività della società attrice (la prima infatti utilizza la stessa parola chiave corrispondente al marchio, agganciandosi all’attività dell’attrice e traendone indebito profitto) ed è dunque certamente configurabile nel caso di specie la fattispecie concorrenziale di cui all’art. 2598 nn. 1 e 3 c.c. L’art. 2598 c.c., rubricato “Atti di concorrenza sleale”, stabilisce che: “Ferme le disposizioni che concernono la tutela dei segni distintivi e dei diritti di brevetto, compie atti di concorrenza sleale chiunque: 1) usa nomi o segni distintivi idonei a produrre confusione con i nomi o i segni distintivi legittimamente usati da altri, o imita servilmente i prodotti di un concorrente, o compie con qualsiasi altro mezzo atti idonei a creare confusione con i prodotti e con l’attività di un concorrente; 2) diffonde notizie e apprezzamenti sui prodotti e sull’attività di un concorrente, idonei a determinarne il discredito, o si appropria di pregi dei prodotti o dell’impresa di un concorrente; 3) si vale direttamente o indirettamente di ogni altro mezzo non conforme ai principi della correttezza professionale e idoneo a danneggiare l’altrui azienda”. Come è noto, elementi costitutivi della fattispecie delineata dalla norma sopra trascritta sono (a) l’esercizio di una attività imprenditoriale da parte del soggetto che agisce per far valere l’illecito; (b) la sussistenza di un (9) Corte di Giustizia UE, sentenze Google France e Google, cit. sopra; sentenze 18 giugno 2009, causa C-487/07, L’Oréal e a., punto 60; sentenza 2 luglio 2010, causa C-558/08, Portakabin. cit., punto 35.
82
DIRITTO DI INTERNET N. 1/2020
rapporto concorrenziale tra i soggetti coinvolti nonché (c) il comportamento anticoncorrenziale posto in essere dal soggetto passivo dell’azione; esso può consistere tanto nell’utilizzo confusorio dei segni e marchi altrui (come nel caso che ci occupa) o nell’imitazione servile dei prodotti del concorrente (art. 2598 n. 1 c.c.) quanto, più in generale, nell’utilizzo di qualsiasi altro mezzo non conforme ai principi di correttezza professionale astrattamente idoneo a ledere l’attività commerciale altrui (art. 2598 n. 3 c.c.). La giurisprudenza ha desunto, dal dettato normativo della disposizione in parola, una particolare fattispecie concorrenziale qualificata come concorrenza parassitaria, perfettamente riconducibile al caso di specie. In particolare, la Sezione Impresa del Tribunale di Roma ha stabilito che: “l’attività di un’impresa, volta ad appropriarsi illegittimamente dello spazio di mercato ovvero della clientela dei concorrenti, sfruttando gli sforzi organizzativi e gli investimenti di carattere pubblicitario da costoro realizzati e senza sostenere alcuno di tali oneri economici, costituisce concorrenza parassitaria contraria alle regole di correttezza professionale” (10); e ancora che “deve ritenersi prevalente l’esigenza, tutelata dall’ordinamento e segnatamente dall’art. 2598 comma 3 c.c., che ciascun imprenditore nella lotta con i concorrenti per l’acquisizione di più favorevoli posizioni di mercato, si avvalga dimezzi propri e non tragga invece vantaggio in maniera parassitaria dall’effetto di agganciamento ai risultati dei mezzi impiegati da altri” (11). Il marchio, infatti, assume sul mercato la chiara funzione di consentire alle imprese un incentivo per offrire beni di qualità, essendo gli stessi beni contrassegnati dal marchio che funge da “garanzia qualitativa”. Il consumatore, in questo caso l’utente che intende acquistare online i prodotti della società attrice, individua il marchio di un’impresa differenziandolo da quello delle aziende concorrenti, orientando la propria scelta e instaurando così un legame di riconoscibilità e fiducia nei confronti dell’azienda presente sul mercato. Per tale motivo, nulla quaestio in ordine al diritto del titolare di imporre a terzi il divieto di utilizzare un segno suscettibile ogni qualvolta si presenti il rischio di confusione sull’origine dei prodotti. Il ruolo determinante nella valutazione globale del rischio di confusione è da ricondursi alla percezione dei marchi operata dal consumatore medio del prodotto. Il rischio di confusione dell’utente medio appare ancor di più evidente una volta accertato che l’acquisto della parola chiave corrispondente al marchio ha fatto sì che dall’utilizzo di detta keyword si ottengano dei risultati di
(10) Tribunale Roma, sentenza 16 gennaio 2006, in Giur. it., 2006, 1430. (11) Tribunale di Roma, sentenza 18 gennaio 2001, in Dir. economia assicur., 2001, 835.
GIURISPRUDENZA CIVILE ricerca quasi totalmente sovrapponibili tra la convenuta e l’attrice. Nel richiamato caso Interflora contro Marks & Spencer (12), la Corte sovranazionale ha chiarito che “il titolare di un marchio che gode di notorietà ha il diritto di vietare ad un concorrente di fare pubblicità a partire da una parola chiave corrispondente a tale marchio che il suddetto concorrente, senza il consenso del titolare del marchio, ha scelto nell’ambito di un servizio di posizionamento su Internet, qualora detto concorrente tragga così indebitamente vantaggio dal carattere distintivo o dalla notorietà del marchio (parassitismo)”. Secondo quanto indicato dalla Corte, un tale uso: a) viola la funzione di indicazione d’origine del marchio allorché la pubblicità che compare a partire dalla suddetta parola chiave non consente o consente solo difficilmente all’utente di Internet normalmente informato e ragionevolmente attento di sapere se i prodotti o i servizi menzionati nell’annuncio provengano dal titolare del marchio o da un’impresa economicamente collegata a quest’ultimo oppure, al contrario, da un terzo; b) viola la funzione di investimento del marchio ove intralci l’utilizzo, da parte del titolare in questione, del proprio marchio per acquisire o mantenere una reputazione idonea ad attirare i consumatori e a renderli fedeli. Il Giudice europeo, segnala poi che “il titolare di un marchio che gode di notorietà ha il diritto di vietare ad un concorrente di fare pubblicità a partire da una parola chiave corrispondente a tale marchio che il suddetto concorrente, senza il consenso del titolare del marchio, ha scelto nell’ambito di un servizio di posizionamento su Internet, qualora detto concorrente tragga così indebitamente vantaggio dal carattere distintivo o dalla notorietà del marchio (parassitismo) oppure qualora tale pubblicità arrechi pregiudizio a detto carattere distintivo (diluizione) o a detta notorietà (corrosione)” (13). In particolare, l’Autorità ha condannato la società resistente richiamando il diritto del titolare di un marchio notorio di vietare ad un concorrente di fare pubblicità a partire da una parola chiave corrispondente a tale marchio che il suddetto concorrente, senza il consenso del titolare del marchio, ha scelto nell’ambito di un servizio di posizionamento su Internet. Quanto nello specifico al keyword advertising, la base normativa di riferimento per determinare la sussistenza della violazione dei diritti di esclusiva del titolare del marchio da parte dell’inserzionista che – senza il con-
(12) Corte di Giustizia UE, sentenza 22 settembre 2011, caso Interflora contro Marks & Spencer, C-323/09. (13) Ad analoghe conclusioni è giunto il Giudice olandese circa l’azione giudiziaria intrapresa da Fleurop Interflora, società licenziataria del marchio “Interflora” in Olanda, nei confronti di una società che anch’essa si occupava di vendita e consegna di fiori a domicilio per l’acquisto abusivo di parole chiave corrispondenti al Marchio nell’ambito di annunci pubblicitari online.
senso del titolare – ha utilizzato una parola chiave coincidente sono, come anticipato, l’art. 5, n. 1 e 2, della Direttiva n. 2008/95/CE e l’art. 9 del Regolamento CE n. 40/94, oltre agli artt. 20 e 21, del Codice di Proprietà Industriale (14). Tali norme, come si è visto, autorizzano i titolari di marchi a vietare a terzi l’uso di segni identici o simili per prodotti identici o simili a quelli per i quali tali marchi sono stati registrati. Sul punto, si è espressa ripetutamente la Corte di Giustizia dell’Unione Europea, riaffermando i medesimi principi (15): - l’inserzionista che sceglie, come parola chiave in un servizio di posizionamento, una keyword identica al marchio di un concorrente che ha per oggetto e per effetto la visualizzazione di un link pubblicitario verso il sito sul quale l’inserzionista mette in vendita i propri prodotti, “fa uso del segno identico al marchio nel commercio se si colloca nel contesto di un’attività commerciale finalizzata a un vantaggio economico e non nell’ambito privato” (16); - l’uso “commerciale”, come sopra inteso, vi è anche nel caso in cui, attraverso l’uso del segno identico al marchio come parola chiave, l’inserzionista “non miri a presentare i propri beni agli utenti di internet come un’alternativa rispetto ai beni del titolare del marchio ma, al contrario, intenda indurre in errore gli utenti di Internet (14) La norma stabilisce che: “i diritti del titolare del marchio d’impresa registrato consistono nella facoltà di fare uso esclusivo del marchio” e nel diritto “di vietare ai terzi, salvo proprio consenso, di usare nell’attività economica: a) un segno identico al marchio per prodotti o servizi identici a quelli per cui esso è stato registrato; b) un segno identico o simile al marchio registrato, per prodotti o servizi identici o affini, se a causa dell’identità o somiglianza fra i segni e dell’identità o affinità fra i prodotti o servizi, possa determinarsi un rischio di confusione per il pubblico, che può consistere anche in un rischio di associazione fra i due segni; c) un segno identico o simile al marchio registrato per prodotti o servizi anche non affini, se il marchio registrato goda nello stato di rinomanza e se l’uso del segno senza giusto motivo consente di trarre indebitamente vantaggio dal carattere distintivo o dalla rinomanza del marchio o reca pregiudizio agli stessi”. Il secondo comma dell’art. 21 sancisce poi il divieto di “usare il marchio in modo contrario alla legge, né, in specie, in modo da ingenerare un rischio di confusione sul mercato con altri segni conosciuti come distintivi di imprese, prodotti o servizi altrui, o da indurre comunque in inganno il pubblico, in particolare circa la natura, qualità o provenienza prodotti o servizi, a causa del modo e del contesto in cui viene utilizzato, o da ledere un altrui diritto di autore, di proprietà industriale, o altro diritto esclusivo di terzi”. (15) Corte di Giustizia UE, sentenza 23 marzo 2010; Google France SARL e Google Inc. contro Louis Vuitton Malletier SA (C-236/08), sentenza 22 settembre 2011, Interflora Inc. e Interflora British Unit contro Marks & Spencer plc e Flowers Direct Online Ltd.; sentenza 12 novembre 2002; Arsenal Football Club (C‑206/01), sentenza 18 giugno 2009, causa C‑487/07, L’Oréal e a. (C-487/07), sentenza 11 settembre 2007, causa C-17/06, Céline e a.. (16) Corte di Giustizia CE, Sez. Grande, sentenza 23 marzo 2010; sentenze C-236/08 e C-238/08, punto 52 (cause riunite Google France SARL e Google Inc. c. Louis Vuitton Malletier SA (C-236/08), Google France SARL c. Viaticum SA e Luteciel SARL (C-237/08), Google France SARL c. Centre national de recherche en relations humaines (CNRRH) e altri (C-238/08).
DIRITTO DI INTERNET N. 1/2020
83
GIURISPRUDENZA CIVILE sull’origine dei propri prodotti e servizi, lasciando loro credere che gli stessi provengano dal titolare del marchio o da un’impresa economicamente legata a quest’ultimo” (17); - sussiste una violazione “quando l’annuncio non consente o consente soltanto difficilmente all’utente di internet normalmente informato e ragionevolmente attento di sapere se i prodotti o i servizi a cui l’annuncio si riferisce provengano dal titolare del marchio o da un terzo” (18); - è indebito il vantaggio ricavato da terzi che si inseriscono nella scia di un marchio che gode di notorietà “al fine di beneficiare del suo potere attrattivo, nonché al fine di sfruttare, senza qualsivoglia compensazione economica, lo sforzo commerciale effettuato dal titolare del marchio per creare e mantenere l’immagine di detto marchio (c.d. parassitismo)” (19). Il titolare del marchio può opporsi all’uso di un segno identico al marchio se tale uso è “idoneo a compromettere una delle funzioni del marchio in questione” e fra dette funzioni “è da annoverare non solo la funzione essenziale del marchio consistente nel garantire ai consumatori l’origine del prodotto o del servizio (la «funzione di indicazione di origine»), ma anche le altre funzioni del marchio, segnatamente quella di garantire la qualità del prodotto o del servizio di cui trattasi, o quelle di comunicazione, investimento o pubblicità” (20). Anche la giurisprudenza nazionale è intervenuta in questioni relative all’utilizzo di marchi altrui come keywords del servizio AdWords, ritenendo, in generale, che l’uso del marchio di un terzo come parola chiave nell’ambito di un servizio di posizionamento su Internet costituisce violazione del marchio se ne compromette una delle funzioni tipiche del marchio stesso e generi confusione nella clientela (21). In particolare, il Tribunale di Genova, con ordinanza del 5 settembre 2018, ha dichiarato che “l’uso di una parola chiave identica al marchio altrui è vietato quando comporti, a carico dell’utente “medio”, una situazione di confusione circa la provenienza dei beni o dei servizi pubblicizzati nell’annuncio a pagamento” poiché “nel caso di produttori particolarmente popolari la presenza di un marchio piuttosto che di un altro rende assolutamente evidente, anche nel contesto (17) Corte di Giustizia CE, Sez. Grande, sentenza 23 marzo 2010, sentenze C-236/08 a C-238/08, punto 72 (cfr. doc. 22); Corte di Giustizia CE, sentenza 11 settembre 2007, causa C-17/06, Céline e a., punto 23. (18) Cfr. nota precedente. (19) Corte di Giustizia CE, Sez. Grande, sentenza 23 marzo 2010, sentenze C-236/08 e C-238/08, punto 102; sentenza 18 giugno 2009, L’Oréal e a. (C- 487/07) punto 49. (20) Corte di Giustizia CE, Sez. Grande; sentenza 23 marzo 2010; sentenze C-236/08 a C-238/08, punto 102; sentenza 18.6.2009, L’Oréal e a. (C- 487/07) punto 58. (21) Tribunale di Milano, Sezione Specializzata in materia di Impresa, sentenza 11 marzo 2009; Tribunale di Milano, Sezione Specializzata in materia di Impresa; sentenza 22 aprile 2016.
84
DIRITTO DI INTERNET N. 1/2020
della singola riga che compare tra i risultati del motore di ricerca, che si ha a che fare con un determinato operatore commerciale” (22). L’Autorità giudiziaria ligure, fa riferimento a “l’utente di internet normalmente informato e ragionevolmente attento”, così escludendo che l’annuncio sia valutato “con riguardo alle capacità di un utente particolarmente competente o per converso a quella del più sprovveduto”: l’utente “medio” “non deve essere identificato con riguardo alla universale popolazione di coloro che accedono a internet, bensì facendo riferimento all’insieme dei soggetti interessati alla ricerca compiuta con l’impiego delle parole chiave di cui si tratta”. In tale materia, è altresì intervenuta l’ Autorità per le Garanzie nelle Comunicazioni (AGCOM) esprimendosi sul caso di utilizzo di marchi altrui come parole chiave di Adwords. In particolare, l’Autorità, con provvedimento n. 25349/2015, ha ritenuto che la condotta posta in essere dalla società inserzionista fosse ingannevole e determinasse confusione tra i consumatori, così configurando un’ipotesi di pratica commerciale scorretta, ai sensi degli artt. 20, comma 2, e 21, comma 1, lettere a) ed f), e comma 2, lettera a), del Codice del Consumo (23). Pertanto, la violazione dei diritti di esclusiva del titolare del marchio da parte dell’inserzionista, si avrà nel caso in cui: 1) l’annuncio del terzo lasci intendere l’esistenza di un collegamento economico in realtà insussistente tra tale terzo e il titolare del marchio; 2) l’annuncio, pur non suggerendo esplicitamente l’esistenza di un collegamento economico, sia così vago sull’origine dei beni in questione che un utente di Internet normalmente informato e attento non sia (22) Tribunale di Genova, ordinanza del 5 settembre 2018. (23) L’art. 20, comma 2, stabilisce che “una pratica commerciale è scorretta se è contraria alla diligenza professionale, ed è falsa o idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio che essa raggiunge o al quale è diretta o del membro medio di un gruppo qualora la pratica commerciale sia diretta a un determinato gruppo di consumatori”. L’art. 21, comma 1, lettere a) ed f), e comma 2, lettera a), sancisce che: “è considerata ingannevole una pratica commerciale che contiene informazioni non rispondenti al vero o, seppure di fatto corretta, in qualsiasi modo, anche nella sua presentazione complessiva, induce o è idonea ad indurre in errore il consumatore medio riguardo ad uno o più dei seguenti elementi e, in ogni caso, lo induce o è idonea a indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso: a) l’esistenza o la natura del prodotto; f) la natura, le qualifiche e i diritti del professionista o del suo agente, quali l’identità, il patrimonio, le capacità, lo status, il riconoscimento, l’affiliazione o i collegamenti e i diritti di proprietà industriale, commerciale o intellettuale o i premi e i riconoscimenti” e che “2. è altresì considerata ingannevole una pratica commerciale che, nella fattispecie concreta, tenuto conto di tutte le caratteristiche e circostanze del caso, induce o è idonea ad indurre il consumatore medio ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso e comporti: a) una qualsivoglia attività di commercializzazione del prodotto che ingenera confusione con i prodotti, i marchi, la denominazione sociale e altri segni distintivi di un concorrente, ivi compresa la pubblicità comparativa illecita”.
GIURISPRUDENZA CIVILE in grado di sapere, sulla base del link pubblicitario e del messaggio commerciale allegato, se l’inserzionista rappresenti un terzo rispetto al titolare del marchio o, al contrario, sia economicamente legata a quest’ultimo. In conclusione, si è in presenza di un rischio di confusione, quando sussiste il rischio che il pubblico possa credere che i prodotti o i servizi di cui si tratta provengano dalla stessa impresa o, eventualmente, da imprese economicamente collegate (24). L’uso indebito del marchio altrui, ponendo il consumatore in uno stato di confusione o comunque di mancata chiarezza circa la titolarità del segno distintivo, costituisce una violazione del diritto dell’impresa titolare di fare uso esclusivo del proprio marchio: attività manifestamente illecita in ambito civilistico poiché evidentemente anticoncorrenziale ex art. 2598 c.c.
4. La conoscenza dell’illecito ed il contributo causale del prestatore del servizio di posizionamento
Occorre a questo punto delineare la responsabilità del prestatore di un servizio di posizionamento su internet, che memorizza come parola chiave un segno identico ad un marchio registrato e organizza, a partire dalla stessa parola chiave, la visualizzazione di annunci riconducibili ad aziende concorrenti. Alla luce di quanto finora esposto, appare evidente come nella fattispecie sussistano tutti gli elementi necessari affinché possa configurarsi, sotto diversi profili, una grave violazione dei diritti della ricorrente e della sua immagine commerciale ex art. 2598 c.c.. In tale contesto è dunque possibile affermare anche la corresponsabilità del fornitore del servizio in questione, sebbene i propri Termini di Servizio (25) vietino la pubblicazione di contenuti illeciti o lesivi dei diritti di soggetti terzi, e esso si riservi il diritto di sospendere la fornitura di ogni servizio nei confronti degli utenti che violino le dette regole. Sul punto, è da tempo intervenuta anche la Corte di Giustizia UE (26) stabilendo che “al fine di verificare se la responsabilità del prestatore del servizio di posizionamento possa essere limitata ai sensi dell’art. 14 della direttiva 2000/31/ CE (27), occorre esaminare se il ruolo svolto da detto presta (24) Corte di Giustizia UE, sentenze Lloyd Schuhfabrik Meyer del 22 giugno 1999, Medion del 22 ottobre 2015, adidas AG e adidas Benelux del 23 ottobre 2003. (25) <https://policies.google.com/terms?hl=it>. (26) Corte di Giustizia UE, procedimenti riuniti C-236/08, C-237/08 e C238/08; caso Google France SARL e Google Inc. contro Louis Vuitton Malletier SA. (27) Tale norma sancisce che: “1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del
tore sia neutro, in quanto il suo comportamento è meramente tecnico, automatico e passivo, comportante una mancanza di conoscenza o di controllo dei dati che esso memorizza”. Nel rispondere a tale quesito, la Corte UE ha ritenuto rilevante, al fine di determinare se la fornitura del servizio “AdWords” comportasse la conoscenza dei dati memorizzati, “il ruolo svolto dalla Google nella redazione del messaggio commerciale che accompagna il link pubblicitario o nella determinazione o selezione di tali parole chiave”. L’Avvocato Generale presso la Corte di Giustizia, nel rassegnare le proprie conclusioni sul caso su citato, ha evidenziato che, per le sue concrete modalità operative, “AdWords non è più un veicolo neutro di informazioni […] pertanto, l’esenzione di responsabilità per gli host di cui all’art. 14 della direttiva 2000/31 non va applicata al contenuto presentato nell’AdWords. La questione se sussista tale responsabilità deve essere risolta, come si è rilevato, in primo luogo in base alla legge nazionale” (28). Conformemente al dettato normativo del legislatore eurounitario, la Corte di Giustizia ha ritenuto che –a prescindere dal ruolo (meramente neutro o meno) concretamente assunto dal fornitore del servizio pubblicitario- lo stesso debba essere in ogni caso ritenuto responsabile nell’ipotesi in cui “essendo venuto a conoscenza della natura illecita di tali dati o di attività di tale inserzionista, egli abbia omesso di prontamente rimuovere tali dati o disabilitare l’accesso agli stessi”. Di conseguenza, seppure tale ipotesi non corrisponda a quanto accaduto nello specifico caso qui commentato, in termini ipotetici e subordinatamente al ricorrere delle condizioni sopra indicate, ben potrebbe riconoscersi in astratto anche la responsabilità concorrente del fornitore del servizio di Keyword Advertising, se il comportamento concretamente assunto può configurarsi come agevolatore nella causazione dell’illecito.
servizio, il prestatore non sia responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore: a) non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione; b) non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso. … 3. Il presente articolo lascia impregiudicata la possibilità, per un organo giurisdizionale o un’autorità amministrativa, in conformità agli ordinamenti giuridici degli Stati membri, di esigere che il prestatore ponga fine ad una violazione o la impedisca nonché la possibilità, per gli Stati membri, di definire procedure per la rimozione delle informazioni o la disabilitazione dell’accesso alle medesime”. (28) Cfr. punti 145 e 146 delle conclusioni rassegnate il 22.9.2009; <http://curia.europa.eu/juris/document/document.jsf;jsessionid=CA8C416AE43973B51D0EFDABD90A2BA6?text=&docid=73281&pageIndex=0&doclang=it&mode=lst&dir=&occ=first&part=1&cid=824278>.
DIRITTO DI INTERNET N. 1/2020
85
GIURISPRUDENZA CIVILE
Consenso e tutela del diritto all’immagine del minore: tra diritto della personalità e protezione dei dati personali Tribunale
di
Bari ; sezione II; ordinanza 7 novembre 2019; Giudice Pinto; C.B. c P.F..
La pubblicazione di una fotografia ritraente una persona su un social network rientra nell’ambito di applicazione del Regolamento UE 2016/679 sulla protezione dei dati personali, in quanto le sopracitate circostanze costituiscono una forma di trattamento di dati personali, subordinato alla manifestazione del consenso da parte della persona ritratta.
Fatto e diritto. Rilevato che… 1. Il ricorrente proponeva ricorso ex art. 702 bis c.c. innanzi il Tribunale di Bari, domandando la cessazione della condotta della convenuta, la quale abusava della di lui immagine e di quella dei suoi figli, perpetrando la pubblicazione di circa mille fotografie sul proprio profilo Facebook. 2. La convenuta veniva dichiarata contumace. 3. Il Tribunale di Bari, a scioglimento della riserva assunta, ha ritenuto la domanda del ricorrente meritevole di accoglimento osservando che in punto di fatto vi è prova sufficiente delle circostanze lamentate. Motivi della decisione. 1. In primo luogo vi è prova della pubblicazione sul profilo Facebook della convenuta di numerose fotografie ritraenti il ricorrente e i di lui figli. Vi è prova documentale di trentasei album fotografici estratti dal profilo social della convenuta e contenenti per lo più raffigurazioni contestuali delle parti in persona, talvolta anche unitamente ai figli minori del ricorrente. Inoltre, la prova orale ha confermato la pubblicazione effettiva delle suddette foto, sia per il tramite delle dichiarazioni conformi rese dai due testimoni escussi nel corso del giudizio sia per il tramite della conferma della circostanza di fatto che deve desumersi dal comportamento processuale della convenuta: quest’ultima infatti, nonostante la notifica del verbale con cui è stata chiamata a rendere interrogatorio formale, non si è presentata in udienza né ha fatto pervenire idonea giustificazione. Sicché non può revocarsi in dubbio che sul profilo Facebook di P.F. risultano pubblicate le numerose fotografie di cui vi è prova documentale in atti. 2. In secondo luogo, in atti vi è anche prova documentale della spedizione in data 05.12.2016 di una raccomandata con cui, tramite il proprio difensore, il ricorrente ha manifestato inequivocabilmente il proprio dissenso
alla persistenza della pubblicazione delle foto sul profilo social della convenuta. 3. Ciò chiarito in punto di fatto, deve ritenersi che la condotta della convenuta integra un abuso dell’immagine altrui con conseguente diritto del ricorrente ad ottenere la cessazione della condotta abusiva e, dunque, la cancellazione dal profilo Facebook di P.F. delle fotografie che ritraggono lui ed i suoi figli minori. Infatti, deve affermarsi in linea generale che la pubblicazione di una fotografia ritraente una persona umana è subordinata alla manifestazione, esplicita o implicita, del consenso da parte della persona ritratta. Tale condizione è prevista sia dalle disposizioni normative a tutela del diritto all’immagine (art. 10 c.c. et art. 96 legge 633/1941) sia da quelle a tutela del diritto alla riservatezza (art. 6 Regolamento UE 2016/679) poiché l’altrui pubblicazione di una propria immagine fotografica costituisce in ogni caso (e a prescindere dall’applicabilità o meno della normativa di tutela di riferimento) una forma di trattamento di un dato personale. Nel caso di specie, il consenso del ricorrente risulta espressamente negato; o, comunque, ne risulta comunicata la cessazione almeno a far data dal 05.12.2016. La differenza tra negazione e cessazione non è rilevante ai fini che qui occupano poiché il consenso è invero suscettibile di revoca in qualsiasi momento: infatti, i diritti assoluti coinvolti (immagine e riservatezza) hanno natura strettamente personale e, pertanto, non possono soffrire compromissione se non alla luce della continua persistenza ed attualità del consenso, sempre suscettibile di revoca con produzione di effetti ex nunc. Salvi, beninteso, i casi in cui la pubblicazione è consentita comunque dalla legge. Pertanto, nel caso di specie, la condotta della convenuta deve considerarsi del tutto illecita poiché, a fronte della conoscenza dell’espresso dissenso dell’interessato, l’omessa cancellazione delle foto dal proprio profilo Facebook realizza un abuso dell’immagine altrui.
DIRITTO DI INTERNET N. 1/2020
87
GIURISPRUDENZA CIVILE 4. In definitiva, deve essere ordinata la cessazione dell’abuso da parte della convenuta che sarà pertanto tenuta a cancellare dal proprio profilo Facebook ogni fotografia ritraente la persona del ricorrente e dei di lui figli. 5. A fronte dell’espressa domanda del convenuto, deve anche essere prevista una misura di coercizione indiretta dell’adempimento dell’obbligo, da disporsi a norma dell’art. 614-bis c.p.c.. In ragione della natura della causa, del rapporto anche pregresso tra le parti e della tenuità dell’illecito, può stimarsi congruo stabilire che la convenuta è tenuta a corrispondere la somma di due euro per ogni giorno di ritardo nell’esecuzione dell’ordine di cancellazione, a far data dalla notifica del presente provvedimento. …Omissis… P.Q.M.
il Tribunale di Bari, in composizione monocratica, definitivamente pronunciando sulle domande proposte nell’ambito del giudizio R.G. 6359/2017 introdotto da C.B., con ricorso del 10.04.2017 nei confronti di P.F., ogni altra istanza disattesa, così provvede: 1) ACCOGLIE la domanda e, per l’effetto, ORDINA a P.F. di rimuovere immediatamente dal proprio profilo Facebook ogni fotografia ritraente C.B e i di lui figli; 2) DISPONE a carico di P.F. l’obbligo di corrispondere a C.B. la somma di € 2,00 (due/00) per ogni giorno di ritardo nell’esecuzione dell’ordine di rimozione; con decorrenza a far data dalla notifica del presente provvedimento da eseguirsi a cura della parte interessata. …Omissis…
Il Commento
di Michela Maggi Sommario: 1. Il caso – 2. Il quadro normativo di riferimento: profili civilistici e della privacy – 3. Il panorama giurisprudenziale – 4. Profili processuali – 5. Conclusioni. L’utilizzo di Internet, l’evoluzione di nuovi sistemi di diffusione delle immagini legate allo sviluppo del web, e il conseguente aumento di pubblicazioni di immagini ritraenti minori sui social network ha richiamato gli interpreti alla necessità di proteggere il minore da un’esposizione o sovraesposizione, operando un equo bilanciamento dei diritti fondamentali e degli interessi dei minori stessi con altri diritti ed interessi. Con ordinanza emessa inaudita altera parte, il Tribunale di Bari è intervenuto riaffermando la preminente tutela della vita privata e dell’immagine del minore rispetto al contrapposto interesse dei genitori. The pervasive use of the Internet, the evolution of new image diffusion systems related to the web evolution, and the consequent increase of images of minors on social networks, have reminded interpreters to protect minors from exposure or overexposure, balancing their fundamental rights and interests with other rights and interests. With an order issued without the other party, the Court of Bari preferring the preeminent protection of the child’s private life and image to the parents’ opposing interests.
1. Il caso
Con ordinanza emessa inaudita altera parte, il 7 novembre 2019, il Tribunale di Bari si è pronunciato nel merito ordinando alla resistente, ex compagna del ricorrente, di rimuovere immediatamente dal proprio profilo del noto social network Facebook ogni fotografia ritraente lo stesso e i suoi figli, in quanto l’omessa cancellazione delle foto, a fronte della conoscenza dell’inequivocabile dissenso dell’interessato alla persistenza delle immagini sul profilo social della resistente, realizza un abuso dell’immagine altrui. Il Tribunale di Bari ha altresì disposto a carico della resistente l’obbligo di corrispondere al ricorrente la somma di € 2,00 (due/00) per ogni giorno di ritardo nell’esecuzione dell’ordine di rimozione. Nel caso di specie, il ricorrente contestava la condotta della convenuta, la quale abusava della di lui immagine e di quella dei suoi figli mediante la pubblicazione di circa mille fotografie sul proprio profilo Facebook,
88
DIRITTO DI INTERNET N. 1/2020
e per l’effetto domandava non solo la cessazione della condotta, ma anche una misura di coercizione indiretta dell’adempimento dell’obbligo, come il pagamento di penali, da disporsi a norma dell’art. 614-bis c.p.c.. Il ricorso veniva accolto dal Giudice del Tribunale di Bari, il quale rinveniva nella condotta della convenuta plurime violazioni. La prima riguardava l’abuso del diritto all’immagine ex art. 10 c.c. et art. 96 legge 633/1941, la seconda afferiva alla violazione delle disposizioni a tutela del diritto alla riservatezza altrui, poiché la pubblicazione di un’altrui immagine fotografica costituisce una forma di trattamento dei dati personali e, come noto, presuppone necessariamente il rilascio del consenso da parte dell’interessato al trattamento dei suoi dati personali ai sensi dell’art. 6 Regolamento UE 2016/679. Invero, nel caso in oggetto, il consenso risultava esplicitamente negato o comunque revocato con comunicazione trasmessa ben due anni prima dal ricorrente.
GIURISPRUDENZA CIVILE Quanto alla misura di coercizione richiesta, il Giudice, tenendo conto della natura della causa, del rapporto anche pregresso tra le parti e della tenuità dell’illecito, ha ritenuto congruo stabilire, a carico della convenuta, il pagamento di un’astreinte di Euro 2,00 per ogni giorno di ritardo nell’esecuzione dell’ordine di cancellazione. Le argomentazioni, invero sintetiche, sviluppate nella motivazione del provvedimento in esame, meritano senza dubbio un approfondimento.
2. Il quadro normativo di riferimento: profili civilistici e di protezione dei dati personali
Il continuo e rapido progresso delle nuove tecnologie ha portato alla creazione di nuove forme di comunicazione di massa che permettono a chiunque di diffondere immagini in rete, accompagnandole da commenti ed osservazioni, aumentando così il rischio di trovarsi dinanzi ad informazioni, soprattutto sotto forma di immagini, spesso prive di alcun tipo di filtro. In diritto, vi sono una serie di norme rivolte alla tutela dei diritti della personalità, tra le quali il diritto all’immagine ed alla riservatezza, ivi compreso il c.d. diritto all’oblio. Tra le fonti dei diritti della personalità si deve annoverare, come noto, la Costituzione che, agli artt. 2 e 3, garantisce i diritti inviolabili dell’uomo sia come singolo che nelle formazioni sociali in cui si svolge la sua personalità. Oltre alla Carta fondamentale, i diritti della personalità sono regolamentati principalmente nel codice civile che, all’art. 10, dispone l’illiceità dell’esposizione o della pubblicazione dell’immagine di una persona al di fuori dei casi consentiti dalle legge o, comunque, con pregiudizio al suo decoro o alla sua reputazione, imponendo il risarcimento dei danni e la cessazione dell’abuso da parte di colui che espone o pubblica l’immagine; nella legge sul diritto d’autore che, agli artt. 96 e 97, disciplina il diritto d’immagine, precisando che il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa, salvo che la riproduzione appaia giustificata dai motivi previsti dalla legge stessa. Ancora, a livello sovranazionale sono regolamentati nella Carta dei diritti fondamentali dell’Unione Europea (la c.d. Carta di Nizza) e nella Convenzione europea dei diritti dell’uomo. Occorre altresì precisare che, con l’entrata in vigore della normativa sulla tutela dei dati personali (D.lgs. 30 giugno 2003, n. 196, e in seguito Regolamento UE n. 679/2016), l’immagine gode di una tutela rafforzata posto che essa deve essere considerata un dato personale (1) (si veda anche Considerando 55 del Regolamento UE n. 679/2016). (1) Cass., sez. II, 5 luglio 2016, n. 13663, in Giur. It., 2016, 2342 e ss., secondo cui “l’immagine di una persona costituisce dato personale, rilevante ai sensi del D. Lgs. n. 196 del 2003, art. 4, comma 1, lett. b),
Con particolare riferimento alla tutela dei minori, vi sono ulteriori fonti normative: la Convenzione internazionale sui diritti dell’infanzia (art. 16 L. n. 176/1991), secondo cui nessun fanciullo può essere sottoposto ad interferenze arbitrarie o illegali nella sua vita privata, nella sua famiglia, nella sua casa o nella sua corrispondenza, né a lesioni illecite del suo onore e della sua reputazione e, pertanto, deve essere adeguatamente tutelato (2); l’art. 7 del Codice Deontologico dei giornalisti che sancisce il primario diritto del minore alla riservatezza rispetto al diritto di critica e di cronaca (e rinvia alla nota Carta di Treviso) (3); l’art. 8 Regolamento UE n. 679/2016, che considera lecito il trattamento di dati personali del minore solo nei casi in cui il minore, che abbia compiuto almeno i 16 anni d’età, abbia prestato valido consenso. Prima di tale momento, il trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Da ultimo, il Considerando n. 38 del Regolamento UE n. 679/2016 dispone che: «i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali […]». Al riguardo, giova precisare che la necessità di alzare sensibilmente il livello di protezione dei dati personali del minore si rivela fondamentale nei casi in cui questi vengano pubblicati/diffusi in rete. Il web, ed in particolare i social network, difatti, consentono la diffusione di dati personali, comprese le immagini, ad alta rapidità. Ne consegue che l’inserimento di foto di minori sui social network deve considerarsi un’attività in sé pregiudizievole proprio in ragione delle summenzionate caratteristiche della rete internet (4). In questo senso, la più (cd. codice della privacy), trattandosi di dato immediatamente idoneo a identificare una persona a prescindere dalla sua notorietà”. (2) Ai sensi della Convenzione, si intende per fanciullo ogni essere umano avente un’età inferiore a diciott’anni, salvo che abbia raggiunto prima la maturità in virtù della legislazione applicabile (art. 1). Cfr. Cassano, La tutela del minore nelle recenti Convenzioni internazionali, in Famiglia e diritto, 2002, 205. (3) La Carta di Treviso è stata adottata dall’Ordine dei giornalisti e dalla Federazione nazionale della Stampa italiana il 5 ottobre 1990. Successivamente è stata integrata con il Vademecum del 1995 ed è stata di recente aggiornata con decisione del Consiglio nazionale dell’Ordine dei giornalisti del 30 marzo 2006 e delibera del Garante per la protezione dei dati personali n. 49 del 26 ottobre 2006. L’applicabilità della Carta di Treviso è stata estesa al giornalismo on-line e multimediale “che utilizzino innovativi strumenti tecnologici per i quali dovrà essere tenuta in considerazione la loro prolungata disponibilità nel tempo”. (4) Tribunale di Roma, sez. I, ordinanza del 23 dicembre 2017, in Fam. e dir., 2018, 380 ss; in Resp. Civ. Prev., 2018, 582 in senso conforme, Tribunale di Mantova, ordinanza 19 settembre 2017, in Fam. e dir., 2018, 380 ss., che ha ritenuto di impartire immediatamente l’ordine di inibitoria
DIRITTO DI INTERNET N. 1/2020
89
GIURISPRUDENZA CIVILE recente giurisprudenza ha evidenziato che «l’inserimento di foto di minori sui social network costituisce comportamento potenzialmente pregiudizievole per essi in quanto ciò determina la diffusione delle immagini fra un numero indeterminato di persone, conosciute […], non potendo inoltre andare sottaciuto l’ulteriore pericolo costituito dalla condotta di soggetti che “taggano” le foto on-line dei minori e, con procedimenti di fotomontaggio, ne traggono materiale pedopornografico da far circolare fra gli interessati […] il pregiudizio per il minore è dunque insito nella diffusione della sua immagine sui social network» (5) Nei confronti dei minori ha assunto una posizione netta anche il Garante per la Protezione dei Dati Personali. Le pronunce, in linea con il quadro normativo sopra delineato, confermano la necessità di un’adeguata tutela dei minori dai pericoli ingenerati non solo dall’estrema diffusività della divulgazione su internet, ma anche dalla natura potenzialmente “aperta” dei social network che aggravano notevolmente, rispetto a qualsiasi altro mezzo, la violazione dei diritti dell’interessato (peraltro in molti casi appunto ancora minore di età) anche perché le eventuali “regole” privacy possono non essere applicate correttamente dall´utente o aggirate da navigatori esperti. Con un recente provvedimento, il Garante ha ritenuto che il comportamento di una madre concretizzatosi nella pubblicazione sul suo profilo Facebook di due sentenze nelle quali sono trattati aspetti riguardanti l’intimità della vita familiare concernenti, in particolare la figlia, identificabile dal provvedimento, integrasse una violazione del diritto alla riservatezza della figlia minore ex artt. 50 e 52, co. 5 D. Lgs. 196/2003 , e, per l’effetto, ha intimato alla signora l’immediata rimozione dai social network di tutte le foto pubblicate (Garante per la Protezione dei Dati Personali, provvedimento 23 febbraio 2017 n. 75).
3. Il panorama giurisprudenziale
Alla luce delle suesposte considerazioni, si può oggi ritenere che le foto ritraenti persone fisiche riguardano aspetti dell’identità che ineriscono al diritto all’immagine e, quindi, a tutte le informazioni personali che un individuo può legittimamente aspettarsi non vengano pubblicate senza il suo consenso. Pertanto, costituendo un’invasione della vita privata di una determinata persona, ancorché pubblica, la pubblicazione di una foto deve essere subordinata al consenso della persona ritrat-
e rimozione dal momento che il pregiudizio per il minore deve essere considerato insito nella diffusione della sua immagine sui social network. (5) Tribunale di Rieti; sezione civile; ordinanza 7 marzo 2019, in questa Rivista, 2019, 303, con nota di Cavo e Scalera, Foto di minori e autorizzazione dei due genitori.
90
DIRITTO DI INTERNET N. 1/2020
ta e, nel caso di minori, degli esercenti la responsabilità genitoriale. In merito, si è espressa la recente giurisprudenza con due provvedimenti, rispettivamente del Tribunale di Mantova e del Tribunale di Roma, vale a dire i primi casi giudiziari in cui le immagini dei figli sono state divulgate, mediante social network, per opera degli stessi genitori. Con entrambe le pronunce, i giudici di merito hanno inibito ad uno dei due genitori (la madre) di diffondere le foto dei minori: nel caso deciso dal Tribunale di Mantova, la richiesta proveniva dal padre a tutela dei figli dal momento che la madre si era resa inadempiente all’obbligo assunto di non pubblicare più foto dei medesimi sui social network e di rimuovere quelle già postate; anche nel caso deciso dal Tribunale di Roma, si riscontrava una condotta illecita da parte della madre anche essa inadempiente all’ordine posto a suo carico di non pubblicare foto del figlio sui social, ma, diversamente dal primo caso, la domanda proveniva direttamente dal figlio sedicenne, il quale chiedeva al giudice di far cessare la continua diffusione, perpetrata dalla stessa, di informazioni sulla sua situazione e sulla vicenda familiare. In quest’ultima importante decisione, al fine di tutelare la riservatezza del minore, il Tribunale non ha unicamente ordinato l’immediata cessazione della diffusione da parte della madre di immagini, notizie e dettagli relativi i dati personali e la vicenda giudiziaria inerente al figlio sul social network, e la rimozione di quanto già postato in passato, ma ha altresì autorizzato il tutore a procedere alla richiesta di deindicizzazione dai motori di ricerca e a diffidare soggetti terzi ad astenersi dalla diffusione e di procedere alla cancellazione dai social network delle immagini, delle informazioni e di ogni dato relativo al minore (6). A tal riguardo si ricorda che il gestore del motore di ricerca, vale a dire la società «cui fa diretto riferimento la gestione del sito e che non si limita a fornire unicamente spazio virtuale nella rete per contenuti realizzati e diffusi da terzi», deve essere considerato a tutti gli effetti di legge quale titolare del trattamento e, per l’effetto, responsabile in caso di trattamento illecito dei dati personali (7). È quanto ha statuito la Prima Sezione della Corte di Cas (6) Tribunale di Roma, sez. I, ordinanza del 23 dicembre 2017, cit. (7) Corte di Giustizia UE, sez. grande, sentenza 13/05/2014 n° C-131/12 Google Spain slc , Google inc./contro Agencia Espagnola del Proteccion de Datos e Mario Costeja Gonzales. Più in generale sui criteri di interpretazione della Direttiva 95/46 si veda anche Finocchiaro, La giurisprudenza della corte di giustizia in materia di dati personali da Google Spain a Schrems, in Dir. inf e inform., 2015, 779 ed il Paper curato da Cassano, Il diritto all’oblio e la presunta responsabilità del motore di ricerca. Dispensa ad uso dei corsisti del Corso di Alta Formazione in DIRITTO DELL’INTERNET della European School of Economics, Roma, 2015/2016.
GIURISPRUDENZA CIVILE sazione con sentenza del 23 maggio 2018, n. 12855, la quale confermando la sentenza del Tribunale di Milano, ha affermato la responsabilità di un motore di ricerca per aver violato il diritto all’immagine e alla riservatezza di una minorenne a seguito della pubblicazione di alcune fotografie che la ritraevano insieme alla sua famiglia mentre faceva shopping per le vie di Milano. Nessun rilievo nel giudizio ha avuto la circostanza che la minore già «era esposta ai media ed ha sempre gestito con piena consapevolezza la sua immagine, pubblicando centinaia di fotografie sui social networks cui è iscritta, nelle quali essa si ritrae in atteggiamenti assai più delicati ed intimi» rispetto a quelli della fotografia contestata. . Più di recente, il Tribunale di Rieti ha affrontato un’altra questione di rilievo: le condizioni per la lecita pubblicazione sui sociali network delle immagini ritraenti persone minori di età. La decisione è rilevante sia sotto il profilo processuale che sostanziale. Sotto il primo profilo, perché è la prima che estende lo strumento utilizzabile a tutela dei diritti dei minori anche nei casi in cui il fatto asseritamente lesivo sia commesso non da uno dei due genitori, ma da un terzo; sotto il profilo sostanziale perché è la prima decisione successiva all’entrata in vigore del c.d. GDPR (Regolamento Europeo 679/2016) che ha cristallizzato il principio per cui il trattamento dei dati personali del soggetto minorenne (per l’Italia infraquattordicenne) è sempre subordinato al consenso di chi esercita la responsabilità genitoriale, autorizzazione che non rientra nelle decisioni di ordinaria amministrazione per cui è sufficiente il consenso di un solo genitore, ma in quelle maggiormente rilevanti di straordinaria amministrazione per cui è, invece, necessario il consenso di entrambi, sia in caso di affidamento condiviso sia in caso di affidamento esclusivo ordinario.
condanna ex art. 614-bis c.p.c. formulata dal ricorrente giacché «funzionale a favorire la conformazione a diritto della condotta della parte inadempiente e di qui ad evitare la produzione del danno, ovvero a ridurre l’entità del possibile pregiudizio[…]»; in altre parole, l’applicazione dell’astreinte è pienamente giustificata dall’esigenza di tutelare l’integrità dei minori e dall’interesse ad evitare la diffusione delle sue immagini a mezzo web, riducendo così l’entità del pregiudizio (8). In senso conforme, il Tribunale di Roma ha disposto autonomamente l’istituto dell’astreinte di cui all’art. 614bis c.p.c. al fine di favorire la conformazione a diritti della parte contro cui è disposta, nonché ad evitare la produzione di ulteriori danni, precisando che la concessione di questa misure non si limita unicamente alle pronunce giudiziali di natura ordinaria rese al termine di controversia, essendo «consentita la condanna a misure di coercizione indiretta, anche in sede cautelare, tutte le volte in cui la soddisfazione dell’interesse del ricorrente non possa prescindere dalla volontà e fattiva collaborazione dell’obbligato» (9).
5. Conclusioni
Alla luce di quanto sopra, è possibile affermare che l’ordinanza del Tribunale di Bari rientra tra le decisioni che ampliano la portata della tutela dei minori anche ai casi in cui la condotta illecita sia perpetrata non da un genitore, bensì da un terzo. In altre parole, in coerenza con il recente orientamento giurisprudenziale, il Giudice ritenendo illecita la condotta della convenuta, ha ampliato e consolidato in maniera esplicita le regole per la tutela dell’immagine e dell’identità digitale dei minori nei casi di esposizione mediatica tramite pubblicazione online.
4. Profili processuali
Chiariti gli aspetti sostanziali, occorre fare cenno ad alcuni aspetti processuali di fondamentale importanza sviluppati e trattati in recenti pronunce della giurisprudenza di merito. Sotto il primo profilo, il Tribunale di Rieti è il primo che definisce, in maniera condivisibile, lo strumento utilizzabile a tutela dei diritti dei minori, allorquando il fatto asseritamente lesivo sia commesso non da uno dei due genitori (in questo caso lo strumento è il ricorso ex art. 709-ter c.p.c.) ma da un terzo e lo individua, in assenza di altre possibilità, nel ricorso ex art. 700 c.p.c. all’interno del quale può essere formulata anche una domanda ex art. 614-bis c.p.c. . Il secondo aspetto riguarda, per l’appunto, l’eventuale associazione di un provvedimento ex art. 614 bis c.p.c. come la richiesta di penali all’emissione di un ordine di rimozione e cancellazione. In merito, il Giudice laziale ha ritenuto meritevole di accoglimento la richiesta di
(8) Tribunale di Rieti; sezione civile; ordinanza 7 marzo 2019, in questa Rivista, cit. (9) Tribunale di Roma, sez. I, ordinanza del 23 dicembre 2017, cit.
DIRITTO DI INTERNET N. 1/2020
91
GIURISPRUDENZA CIVILE
Sigarette elettroniche, pubblicità online e liceità della ricondivisione dei c.d. user generated contents “vietati” Tribunale di R oma ; sez. spec. imprese; ordinanza 5 novembre 2019; Giud. Basile; Asso-Consum Onlus, Associazione dei Consumatori (Avv.ti Mattarelli, Cruciani) c. Imperial Tobacco Italia S.r.l. (Avv.ti Romano, Scapellato) e altri. In tema di pubblicità, la Direttiva n. 2014/40/UE, recepita con il d.lgs. 12 gennaio 2016, n. 6, vieta la pubblicità delle sigarette elettroniche al fine di assicurare un elevato livello della salute umana, come espressamente indicato dal Considerando n. 43. Quindi, massicce campagne pubblicitarie poste in essere sia attraverso mezzi di diffusione online (su siti web e tramite i social network) che attraverso canali tradizionali (flyer e cartellonistica destinata alla pubblica affissione) si pongono in contrasto con le finalità della citata Direttiva, dal momento che tali comunicazioni commerciali, avendo la finalità o comunque ottenendo l’effetto, diretto o indiretto, di promuovere la vendita di sigarette elettroniche, mettono in pericolo la salute dei (potenziali) consumatori destinatari di tali forme di pubblicità. L’attività di ricondivisione e il richiamo sui social network di contenuti autonomamente generati da terzi (c.d. generated user contents) da parte di soggetti produttori/distributori di beni e/o servizi cui tali contenuti si riferiscono costituiscono – ove tali contenuti non abbiano natura meramente informativa – forme di pubblicità indiretta e in quanto tali devono ritenersi vietati quando la pubblicizzazione dei beni e/o servizi interessati sia vietata dall’ordinamento, come nel caso delle sigarette elettroniche.
…Omissis… Motivi della decisione. La prima legge che ha introdotto in Italia il divieto di propaganda pubblicitaria dei prodotti da tabacco risale all’anno 1962. Si tratta dell’articolo unico della legge n. 165/1962, tuttora in vigore (l’articolo 8 del D.L. n. 4/1983, convertito nella legge n. 52/1983 ha modificato soltanto le sanzioni e non il divieto) dispone: “La propaganda pubblicitaria di qualsiasi prodotto da fumo, nazionale od estero, è vietata”. In tema di lavorazione, presentazione e vendita dei prodotti del tabacco è poi intervenuta la Direttiva 5.6.2001, n. 2001/37/CE, recepita in Italia con il d.lgs. n. 184/2003, abrogata dalla nuova Direttiva 3.4.2014, n. 2014/40/UE “sul ravvicinamento delle disposizioni legislative, regolamentari e amministrative degli Stati membri relative alla lavorazione, alla presentazione e alla vendita dei prodotti del tabacco e dei prodotti correlati”. Tale Direttiva è stata recepita dal d.lgs. 12.1.2016, n. 6 che ha abrogato il precedente d.lgs. n. 184/2003. La Direttiva n. 2014/40/UE e il Decreto n. 6/2016 disciplinano non solo la lavorazione, la presentazione e la vendita dei tradizionali prodotti del tabacco, ma anche quella dei “prodotti correlati”, in primo luogo le sigarette elettroniche e i contenitori di liquido di ricarica. Senza entrare nel vasto campo delle disposizioni che negli ultimi anni hanno regolamentato, in maniera spesso mutevole, la disciplina sulla circolazione e la vendita,
anche a distanza sul web, di sigarette elettroniche e liquidi di ricarica, ciò che rileva in questa sede è il divieto di comunicazioni commerciali che promuovono, direttamente o indirettamente, le sigarette elettroniche e i liquidi di ricarica, previsto, rispettivamente, dall’art. 20 della Direttiva e dall’art. 21 del Decreto di recepimento da ultimo citati. Il tema della pubblicità commerciale dei prodotti del tabacco e di quelli correlati è affrontato in maniera diretta dalla Direttiva n. 2014/40/UE, la quale al Considerando n. 7 prevede che “L’intervento legislativo a livello dell’Unione è necessario anche per dare attuazione alla convenzione quadro dell’OMS per la lotta al tabagismo [“FCTC”], del maggio del 2003, le cui disposizioni sono vincolanti per l’Unione e i suoi Stati membri. Le disposizioni della FCTC sulla regolamentazione della composizione dei prodotti del tabacco, sulla regolamentazione delle informazioni che devono figurare sui prodotti del tabacco, sul confezionamento e l’etichettatura dei prodotti del tabacco, sulla pubblicità e sul commercio illecito dei prodotti del tabacco sono particolarmente rilevanti”. Con particolare riferimento alla pubblicità delle sigarette elettroniche, il Considerando n. 43 della Direttiva, afferma che “Le disparità tra le normative e le pratiche nazionali in materia di pubblicità e di sponsorizzazione in relazione alle sigarette elettroniche costituiscono un ostacolo per la libera circolazione delle merci e la libera prestazione di servizi, e creano un rischio significativo di distorsione della concorrenza. Senza un’ulteriore azione a livello dell’Unione, tali disparità
DIRITTO DI INTERNET N. 1/2020
93
GIURISPRUDENZA CIVILE rischiano di accentuarsi nei prossimi anni, tenendo conto anche dell’espansione del mercato delle sigarette elettroniche e dei contenitori di liquido di ricarica. È pertanto necessario ravvicinare le disposizioni nazionali in materia di pubblicità e sponsorizzazione di tali prodotti aventi effetti transfrontalieri, basandosi su un livello elevato di protezione della salute umana. Le sigarette elettroniche possono diventare un prodotto di passaggio verso la dipendenza dalla nicotina e, in ultima istanza, il consumo di tabacco tradizionale, in quanto imitano e rendono normale l’atto di fumare. Per questo motivo è opportuno adottare un approccio restrittivo alla pubblicità delle sigarette elettroniche e dei contenitori di liquido di ricarica”. A tale fine, quindi, l’art. 20, par. 5, ha introdotto l’obbligo per gli Stati membri di vietare le comunicazioni commerciali delle sigarette elettroniche e dei liquidi di ricarica. Il contenuto di tale divieto è stato pedissequamente recepito nell’Ordinamento interno dall’art. 21, comma 10, del Decreto n. 6/2016, che così testualmente recita: “10. Sono vietate: a] le comunicazioni commerciali nei servizi della società dell’informazione, sulla stampa e altre pubblicazioni stampate, aventi lo scopo o l’effetto diretto o indiretto di promuovere le sigarette elettroniche e i contenitori di liquido di ricarica, ad eccezione delle pubblicazioni destinate esclusivamente ai professionisti del commercio delle sigarette elettroniche e dei contenitori di liquido di ricarica e delle pubblicazioni stampate e edite in paesi terzi, se tali pubblicazioni non sono destinate principalmente al mercato dell’Unione europea; b] le comunicazioni commerciali via radio aventi lo scopo o l’effetto diretto o indiretto di promuovere le sigarette elettroniche e i contenitori di liquido di ricarica; c] qualunque forma di contributo pubblico o privato a programmi radiofonici aventi lo scopo o l’effetto diretto o indiretto di promuovere le sigarette elettroniche e i contenitori di liquido di ricarica; d] qualunque forma di contributo pubblico o privato a eventi, attività o persone singole aventi lo scopo o l’effetto diretto o indiretto di promuovere le sigarette elettroniche e i contenitori di liquido di ricarica e a cui partecipino o che si svolgano in vari Stati membri o che comunque abbiano ripercussioni transfrontaliere; e] per le sigarette elettroniche e i contenitori di liquido di ricarica le comunicazioni commerciali audiovisive a cui si applica la direttiva 2010/13/UE del Parlamento europeo e del Consiglio”. Il paragrafo 9 del medesimo articolo disciplina, invece, la presentazione delle confezioni delle sigarette elettroniche e dei liquidi di ricarica, richiamando le prescrizioni previste per i prodotti da tabacco dall’art. 14 lettere a) e c) del medesimo decreto. La lettera a) dell’art. 14 stabilisce, infatti, che l’etichettatura delle confezioni unitarie e dell’eventuale imballaggio esterno e il prodotto del tabacco in sé non devono includere alcun elemento o caratteristica che: “a) pro-
94
DIRITTO DI INTERNET N. 1/2020
muova un prodotto o ne incoraggi il consumo dando un’impressione errata quanto alle caratteristiche, agli effetti sulla salute, ai rischi o alle emissioni; le etichette non contengono alcuna informazione riguardo al contenuto di nicotina, catrame o monossido di carbonio del prodotto del tabacco [...] c] richiami un gusto, un odore, un aroma o altri additivi o la loro assenza”. A fronte del suddetto divieto (di fonte comunitaria e nazionale) di pubblicità commerciale delle sigarette elettroniche e dei liquidi di ricarica, l’Associazione ricorrente ha chiesto l’inibitoria d’urgenza della campagna pubblicitaria del …Omissis… che assume essere stata posta in essere illecitamente dalle società resistenti. Queste ultime non hanno contestato la realtà materiale delle attività denunciate dalla ricorrente, ma hanno sostenuto la liceità di tali condotte alla stregua delle disposizioni vigenti in tema di divieto di pubblicità commerciale delle sigarette elettroniche. Sul punto, la difesa delle resistenti utilizza due argomentazioni: per un verso, le attività denunciate come campagna pubblicitaria non si configurerebbero come messaggi pubblicitari/promozionali, ma piuttosto come mere informazioni e notizie relative alle caratteristiche del prodotto; mentre, per altro verso, si tratterebbe di comunicazioni commerciali che non rientrerebbero tra le “pubblicazioni stampate” a cui si applicherebbe il divieto di pubblicità in questione. Innanzitutto, non appare fondata la assertiva contestazione, da parte delle resistenti, della possibilità di utilizzare le definizioni di “comunicazioni commerciali” e di “servizi della società dell’informazione” contenute nella Direttiva 2000/31/CE, recepita dal d.lgs. n. 70/2003, relativa “a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico”, anche in relazione alla pubblicità dei prodotti da fumo regolata da altra Direttiva e altro Decreto di recepimento. Ai sensi dell’art. 2, co. 1, lett. f) del d.lgs. n. 70/2003, per “comunicazioni commerciali” si intendono “tutte le forme di comunicazione destinate, in modo diretto o indiretto, a promuovere beni, servizi o l’immagine di un’impresa, di un’organizzazione o di un soggetto che esercita un’attività agricola, commerciale, industriale, artigianale o una libera professione. Non sono di per sé comunicazioni commerciali: 1) le informazioni che consentono un accesso diretto all’attività dell’impresa, del soggetto o dell’organizzazione, come un nome di dominio, o un indirizzo di posta elettronica; 2) le comunicazioni relative a beni, servizi o all’immagine di tale impresa, soggetto o organizzazione, elaborate in modo indipendente, in particolare senza alcun corrispettivo”. In relazione alla definizione di “comunicazioni commerciali”, ciò che rileva non è tanto il fatto che il citato d.lgs. n. 70/2003 circoscriva la sua efficacia “ai fini del presente decreto”, quanto piuttosto che si tratta di una definizione sufficientemente ampia, che descrive in maniera precisa
GIURISPRUDENZA CIVILE il contenuto e le finalità della pubblicità commerciale, sicché essa può essere utilizzata estensivamente anche in settori, come quello dei prodotti da fumo, diversi dal commercio elettronico. Essa, inoltre, non differisce significativamente dalla definizione tradizionale di “pubblicità” contenuta nell’art. 2 co. 1, lett. a) del d.lgs. n. 74/1992, secondo il quale per “pubblicità” si intendeva “qualsiasi forma di messaggio che sia diffuso, in qualsiasi modo, nell’esercizio di un’attività commerciale, industriale, artigianale o professionale allo scopo di promuovere la vendita di beni mobili o immobili, la costituzione o il trasferimento di diritti ed obblighi su di essi oppure la prestazione di opere o di servizi”. Tale legge è stata abrogata nell’anno 2005 dal Codice del Consumo che però, non a caso, non ha sentito l’esigenza di riproporre tale definizione, essendo oramai superata dalla nozione di “comunicazione commerciale” contenuta nel d.lgs. n. 70/2003. In buona sostanza, qualunque definizione si voglia utilizzare, per “comunicazione commerciale” si deve intendere qualsiasi forma di messaggio a contenuto commerciale che ha lo scopo, diretto o indiretto, di promuovere la vendita di beni o servizi presso i consumatori. Quanto alla definizione di “servizi della società dell’informazione” di cui all’art. 2, co. 1, lett. a) del d.lgs. n. 70/2003, intesa quale “attività economiche svolte in linea – online – nonché i servizi definiti dall’articolo 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317”, le resistenti non hanno fornito alcun valido argomento interpretativo per affermare che a siffatta locuzione, laddove utilizzata anche dall’art. 21 del d.lgs. n. 6/2016, vada attribuito un significato diverso da quello appena indicato. Ciò posto, e tenuto presente l’approccio restrittivo alla pubblicità delle sigarette elettroniche e dei contenitori di liquido di ricarica “finalizzato alla realizzazione di “un livello elevato di protezione della salute umana”, chiaramente enunciato dal Considerando 43 dalla Direttiva n. 2014/40/UE, va innanzitutto scartata la tesi difensiva di parte resistente, secondo cui il sito ufficiale … Omissis… e le pagine dei canali social (come Facebook e Instagram) di titolarità delle società resistenti non andrebbero ricompresi nell’ambito dei servizi della società dell’informazione in cui sono vietate le comunicazioni commerciali aventi lo scopo, diretto o indiretto, di promuovere la vendita delle sigarette elettroniche. A detta di parte resistente, il sito ufficiale …Omissis… dovrebbe essere considerato come un vero e proprio negozio online, del tutto equiparato ad un negozio fisico, nel quale soltanto un cliente dichiaratosi maggiorenne può accedere volontariamente per ottenere informazioni sui prezzi e sulle offerte dei prodotti posti in vendita, con la possibilità di acquistare il prodotto che gli interessa. Anche per l’accesso alle pagine e ai canali social delle resistenti vi sarebbe lo sbarramento all’accesso per i
minorenni e l’intenzionalità da parte di coloro che vi accedono. Inoltre, costituirebbe una pratica del tutto consueta e lecita, il rinvio (link) alla pagina di acquisto del sito ufficiale, presente nei post pubblicati sui social. Orbene, la circostanza che sul sito ufficiale …Omissis… gli utenti dichiaratisi maggiorenni possano acquistare sigarette elettroniche e liquidi di ricarica come in un qualsiasi negozio fisico, non sta anche a significare che si tratti di un luogo virtuale ad accesso volontario di soggetti maggiorenni in cui possano essere consentiti i messaggi pubblicitari o le comunicazioni commerciali altrimenti vietati sulla rete internet. Anche sul sito ufficiale appena citato, o in ogni altro sito di titolarità delle resistenti, deve ritenersi vietata la pubblicità delle sigarette elettroniche e dei liquidi di ricarica, a meno che non si tratti di comunicazioni commerciali, bensì di vere e proprie informazioni, descrizioni e istruzioni sull’utilizzo dei prodotti. Difatti, la Direttiva n. 2014/40/UE e il Decreto n. 6/2016 vietano la promozione, diretta o indiretta, delle sigarette elettroniche, ma non impediscono ai rivenditori o ai produttori di fornire informazioni su un prodotto, indipendentemente da una richiesta del consumatore. Tuttavia, le informazioni sui prezzi e sulle caratteristiche tecniche dei prodotti (istruzioni per l’uso, ingredienti, gusto, contenuto di nicotina, descrizione dei componenti del prodotto compreso, ove applicabile, il meccanismo di apertura e ricarica) devono essere fornite in modo corretto e non con finalità promozionale. A tale stregua, devono ritenersi consentite le riproduzioni delle immagini delle sigarette elettroniche e dei contenitori dei liquidi di ricarica sulle pagine del siti web dei produttori e/o dei rivenditori al solo fine di consentire al consumatore di individuare e scegliere il prodotto da acquistare online, nonché al fine di descriverne le caratteristiche tecniche e nei manuali di istruzione, non altri tipi di immagini il cui scopo o il cui effetto, diretto o indiretto è quello di promuovere la vendita dei prodotti. Oltre alle pagine contenenti le informazioni, le descrizioni e le caratteristiche tecniche dei vari tipi di sigaretta elettronica e di liquidi di ricarica, può ritenersi consentita la presenza di una immagine del prodotto sulla home page del sito …Omissis… al fine di ragguagliare immediatamente il consumatore del fatto che ha effettuato l’accesso sul sito ufficiale dell’azienda che produce e/o commercializza quel determinato tipo di sigaretta elettronica. Pertanto, a tutte le altre immagini che riproducono sigarette elettroniche, da sole o con persone e/o cose, che non possono attribuirsi le caratteristiche descrittive/informative appena indicate e vanno considerate messaggi pubblicitari finalizzati alla promozione della vendita di tali prodotti, vietate, in quanto tali, dall’art. 21, co. 10, lett. a) del d.lgs. n. 6/2016.
DIRITTO DI INTERNET N. 1/2020
95
GIURISPRUDENZA CIVILE Neppure vale ad escludere la connotazione pubblicitaria di tali immagini il fatto che il consumatore accede volontariamente e consapevolmente al sito web che contiene siffatte comunicazioni commerciali, soltanto se dichiara di essere maggiorenne, e che non subisce passivamente tale pubblicità attraverso messaggi o mail a lui direttamente indirizzati. Difatti, la norma in esame, nel vietare le comunicazioni commerciali nei servizi della società dell’informazione aventi lo scopo o l’effetto, diretto o indiretto di promuovere le sigarette elettroniche, non fa alcuna distinzione tra i messaggi pubblicitari che si trovano sulle pagine dei siti ai quali il consumatore accede volontariamente e quelli che gli vengono inviati, con o senza il suo consenso. Le considerazioni appena svolte per il sito ufficiale o per analoghi siti internet valgono anche per le pagine dei canali social riconducibili alle società resistenti. Anche in questo caso, la circostanza che per accedere occorre dichiarare di essere maggiorenni e che l’accesso presuppone un atto volontario del consumatore, non escludono la finalità e/o l’effetto, diretto o indiretto, di promozione delle sigarette elettroniche da parte delle immagini ivi pubblicate, laddove esse riproducono uomini e donne in atteggiamenti di soddisfazione o di piacere mentre utilizzano o in presenza di sigarette elettroniche. Tali immagini, in quanto contenenti messaggi pubblicitari vietati diretti a promuovere la diffusione dell’utilizzo e, quindi, in ultima analisi, la vendita di sigarette elettroniche dovranno essere rimosse dai canali social di titolarità oppure riconducibili alle società resistenti. Ciò non comporta, per le società che producono e/o commercializzano sigarette elettroniche e liquidi di ricarica, anche il divieto di essere titolari di canali social (account e pagine Facebook, Instagram, ecc.), ma soltanto quello di utilizzare e sfruttare tali canali per veicolare nei confronti del pubblico messaggi pubblicitari che hanno lo scopo o l’effetto, diretto o indiretto, di diffondere l’uso e, quindi, di promuovere la vendita di tali prodotti. In caso di immagini realizzate e pubblicate da terzi indipendenti e senza alcun tipo di corrispettivo (c.d. user generated contents), con hashtag che richiamano un modello o un marchio di sigaretta elettronica (come ad esempio, la …Omissis…, sebbene le resistenti non possano essere considerate responsabili per tali attività altrui, in ogni caso esse non possono ripubblicare o richiamare – anche mediante link – sui propri canali social le medesime immagini, qualora riproducano le sigarette elettroniche da sole o con cose e/o persone in atteggiamenti di soddisfazione o di piacere, in presenza o grazie all’utilizzo del prodotto. Anche in questo caso, infatti, si tratta di immagini finalizzate o che hanno come effetto, diretto o indiretto, quello di invogliare i consumatori o anche i
96
DIRITTO DI INTERNET N. 1/2020
potenziali consumatori ad utilizzare la sigaretta elettronica, promuovendone così la vendita. Quanto alla liceità dell’affissione dei cartelloni pubblicitari del …Omissis… a Roma e a Milano (doc. 17 ricorrente), nonché sui mezzi pubblici a Roma (doc. 18 ricorrente), le resistenti non contestano la loro indubbia connotazione promozionale (è infatti riprodotta l’immagine di un uomo e di una donna in stato di rilassatezza e piacevolezza mentre utilizzano sigarette elettroniche), ma piuttosto affermano che si tratti di un tipo di supporto non rientrante tra le “altre pubblicazioni stampate” attraverso le quali la Direttiva e il Decreto più volte citati vietano di effettuare comunicazioni commerciali “aventi lo scopo o l’effetto diretto o indiretto di promuovere le sigarette elettroniche”. A tal proposito, contestano la definizione di “pubblicazioni stampate” contenuta nella Legge sulla stampa n. 43/1948 e richiamano le linee guida delle Autorità governative del Regno Unito che, nel puntualizzare l’ambito di applicazione del divieto di pubblicità posto dalla Direttiva 2014/40/UE, hanno espressamente consentito i manifesti all’aperto e sui lati degli autobus, sul presupposto che si trattasse di una tipologia di supporti esclusi dal divieto di pubblicità di cui all’art. 20, par. 5, della Direttiva. Anche in questo caso, la tesi difensiva di parte resistente, sia pure nella valutazione sommaria che presiede la fase cautelare, non appare fondata, sicché tali supporti, contenenti espliciti messaggi pubblicitari finalizzati alla promozione della vendita delle sigarette elettronica, vanno considerati vietati ai sensi dell’art. 21, comma 10, lett. a) del Decreto n. 6/2016. In effetti, indipendentemente dalla definizione di “stampe o stampati” contenuta nella Legge n. 43/1948, è evidente che con la locuzione “altre pubblicazioni stampate” subito dopo il sostantivo “stampa”, il legislatore non può che aver voluto fare riferimento a qualsiasi tipo di riproduzione tipografica o fotografica destinata alla pubblicazione su supporti diversi dalla c.d. carta stampata (giornali, quotidiani, periodici, magazine, ecc.). Non appare pertanto possibile ritenere – come fa parte resistente – che i manifesti e i cartelloni pubblicitari affissi all’aperto, in luoghi pubblici o aperti al pubblico (strade, piazze, stazioni ferroviarie o della metropolitana, ecc.) o sui mezzi pubblici possano essere considerati supporti diversi dalle “pubblicazioni stampate”. Quanto alla scelta delle linee guida britanniche di consentire la pubblicazione di tale tipo di supporto, essa oltre a non essere in alcun modo vincolante in questa sede, neppure risultano supportate da una valida motivazione, atta a far ritenere che la Direttiva 2014/40/UE consenta tali forme di messaggi pubblicitari non ricomprendendole nel divieto di cui trattasi.
GIURISPRUDENZA CIVILE Anzi, mentre la Direttiva si propone (come innanzi detto) di “adottare un approccio restrittivo alla pubblicità delle sigarette elettroniche e dei contenitori di liquido di ricarica” per raggiungere un “un livello elevato di protezione della salute umana” (Considerando n. 43), le linee guida britanniche affermano espressamente che “Il Dipartimento della sanità ha adottato un approccio minimo all’attuazione dell’articolo 20, paragrafo 5”. Di conseguenza, le affissioni pubblicitarie di cui trattasi vanno considerate comunicazioni commerciali mediante pubblicazioni stampate aventi lo scopo di promuovere la sigaretta elettronica, in quanto tali vietate dall’art. 21, co. 10, lett. a) d.lgs. n. 6/2016. In ordine alla valutazione se rientrano o meno nell’ambito di applicazione del divieto di pubblicità in esame anche gli “opuscoli informativi” (flyer) depositati dalla ricorrente (docc. 3 e 19), va dato atto che essi presentano un contenuto complesso, in parte indirizzato ai clienti, in parte “ai professionisti del commercio delle sigarette elettroniche”. La Direttiva e il Decreto, tuttavia, ritengono lecite le comunicazioni pubblicazioni contenenti messaggi pubblicitari delle sigarette elettroniche soltanto nel caso in cui esse sia destinate “esclusivamente” ai commercianti e non anche quando, come nel caso di specie, appaiono destinate ad entrambe le categorie di soggetti. Tuttavia, tenuto conto del particolare contenuto del documento n. 13, non appare possibile stabilire attraverso la valutazione sommaria propria della fase cautelare se tale genere di pubblicazioni abbia un contenuto meramente descrittivo e informativo delle caratteristiche del prodotto o se la sua finalità o il suo effetto sia anche quello di promuovere la vendita delle sigarette elettroniche. Pertanto, ogni ulteriore valutazione al riguardo su tale tipo di supporto andrà rimandata alla eventuale causa di merito. In questa sede va solo sottolineato che il richiamo alle prescrizioni contenute nell’art. 14 del Decreto (a cui rinvia l’art. 21, co. 9, anche per le sigarette elettroniche) in materia di presentazione del prodotto, non appaiono prima facie applicabili anche alle pubblicazioni di cui si discute, trattandosi di disposizioni riguardanti il confezionamento e l’etichettatura delle sigarette elettroniche e dei contenitori del liquido da ricarica. Con riferimento, invece, ai video pubblicati sul canale YouTube, le resistenti hanno dedotto di aver rimosso o destinato ad uso meramente interno una serie di contenuti audiovisivi meglio descritti a pagina 13 della memoria difensiva. Non avendo la ricorrente contestato tale allegazione e non essendo possibile accertare nel presente procedimento cautelare la persistente presenza di tali contenuti sul canale YouTube delle resistenti, anche in questo caso
ogni ulteriore valutazione sul punto andrà rimessa all’eventuale giudizio di merito. Sussiste, infine, il requisito del periculum in mora richiesto dall’art. 140, co. 8, del Codice del Consumo affinché le associazioni dei consumatori e degli utenti interessati possano agire in via cautelare d’urgenza per chiedere l’inibizione di atti e comportamenti lesivi degli interessi dei consumatori. Considerato, infatti, che la Direttiva n. 2014/40/UE vieta la pubblicità delle sigarette elettroniche al fine di assicurare un elevato livello della salute umana, appare chiaro come massicce campagne pubblicitarie come quella realizzate dalle resistenti per il soprattutto attraverso le affissioni nelle città di Roma e di Milano, nonché sui mezzi pubblici di Roma, si pongano in contrasto con le finalità della citata Direttiva, mettendo in pericolo la salute dei consumatori o dei potenziali consumatori destinatari di tali forme di pubblicità, atteso che – come afferma sempre il Considerando n. 43 – “le sigarette elettroniche possono diventare un prodotto di passaggio verso la dipendenza dalla nicotina e, in ultima istanza, il consumo di tabacco tradizionale, in quanto imitano e rendono normale l’atto di fumare”. Stante, dunque, il pericolo per la salute umana che può derivare dall’utilizzo dei prodotti di cui ne è vietata la pubblicità commerciale, si ritiene che sussistano i giusti motivi di urgenza per inibire, in via cautelare di urgenza, le comunicazioni commerciali innanzi indicate che hanno la finalità od ottengono l’effetto, diretto o indiretto, di promuovere la vendita delle sigarette elettroniche e dei contenitori di liquido di ricarica. D’altro canto, qualora la tutela inibitoria di atti e comportamenti vietati in quanto potenzialmente lesivi della salute dei consumatori venisse adottata soltanto all’esito del giudizio ordinario di cognizione, gli effetti nocivi della campagna pubblicitaria in atto, avente ad oggetto il …Omissis… si sarebbero completamente esauriti e l’inibitoria dei comportamenti vietati sarebbe inutiliter data. In conclusione, sussistendo tutti i requisiti di legge, il ricorso cautelare proposto dall’Associazione va accolto nei limiti innanzi indicati e, conseguentemente, va ordinato alle resistenti la rimozione, entro il termine di giorni 15 dalla comunicazione della presente ordinanza, delle comunicazioni commerciali aventi ad oggetto o simili prodotti, ritenute illecite in quanto vietate dall’art. 21, co. 10, lett. a) del d.lgs. n. 6/2016. Segnatamente, le resistenti dovranno rimuovere dai siti internet e dai canali social ad esse riconducibili, le immagini, anche attraverso la ripubblicazione di contenuti creati da terzi indipendenti, ritenute in motivazione in contrasto con il divieto di pubblicità delle sigarette elettroniche e dei liquidi di ricarica, nonché le affissioni pubblicitarie tramite manifesti, poster, cartelloni, e quant’altro istallati all’aperto in luoghi pubblici o aperti
DIRITTO DI INTERNET N. 1/2020
97
GIURISPRUDENZA CIVILE al pubblico o sui mezzi pubblici che promuovono la sigaretta elettronica denominata e i contenitori di ricarica denominati …Omissis… o prodotti simili. Al fine di assicurare l’effettività dell’inibitoria e tenuto conto della gravità dei fatti per cui è causa, va altresì fissata una penale nella misura di € 500,00 per ogni violazione accertata e per ogni giorno di ritardo nell’esecuzione della presente ordinanza. Le spese processuali seguono la soccombenza e vanno poste a carico di parte resistente, nella misura liquidata in dispositivo, secondo i parametri stabiliti dal D.M. n. 55/2014. P.Q.M. Visti gli artt. dall’art. 21, co. 10, lett. a) del d.lgs. n. 6/2016, 140 d.lgs. n. 206/2005 e 669-
a) ordina a …Omissis… la rimozione, entro il termine di giorni 15 dalla comunicazione della presente ordinanza, delle comunicazioni commerciali di sigarette elettroniche e liquidi di ricarica ritenute illecite nella parte motiva della presente ordinanza; b) fissa una penale nella misura di € 500,00 per ogni violazione accertata e per ogni giorno di ritardo nell’esecuzione di quanto previsto alla lettera a); c) condanna in solido tra di loro, alla rifusione delle spese processuali in favore di …Omissis… che liquida in € 6.000,00 per compenso professionale, oltre al rimborso forfettario delle spese generali, IVA e CPA. Così deciso in Roma, il 4 novembre 2019
Il Commento di Michele Papa
Sommario: 1. Il caso di specie – 2. La normativa sull’illiceità della pubblicità riguardante prodotti da fumo e la nozione della c.d. pubblicità indiretta – 3. Comunicazione commerciale e servizi della società dell’informazione – 4. Effetti pubblicitari della ricondivisione dei c.d. user generated contents. L’ordinanza qui commentata stabilisce che le pubblicazioni di informazioni e immagini volte a promuovere il consumo di sigarette elettroniche e contenitori di ricariche liquide su siti web e social network da parte delle società produttrici/distributrici di questi stessi prodotti, costituendo “comunicazioni commerciali nei servizi della società dell’informazione”, sono da ritenersi vietate ai sensi del d.lgs. 12 gennaio 2016, n. 6 (che ha recepito la direttiva 2014/40/UE), essendo a tal fine rilevante esclusivamente il loro effetto promozionale e non il fatto che queste abbiano anche natura informativa e che gli utenti accedano spontaneamente ai siti web e alle pagine social in cui queste compaiono. Secondo tale provvedimento, inoltre, anche la mera attività di ricondivisione/richiamo da parte delle società produttrici/distributrici di informazioni e immagini riguardanti le sigarette elettroniche e le relative ricariche autonomamente create da soggetti terzi (c.d. user generated contents) è allo stesso modo vietata, trattandosi di una forma di pubblicità c.d. indiretta. The herein commented order states that the publications of information and images aimed at promoting the use of electronic cigarettes and liquid refill containers on websites and social networks by the manufacturers/distributors of these goods are “commercial communications in Information Society services” and, thus, are forbidden by Italian Legislative Decree no. 6 of 12 January 2016 (which transposed Directive 2014/40/EU), since only the promotional effect of such publications is relevant to this purpose, but not the fact that such publications have also an informative nature and that users spontaneously access the websites and social pages where they appear. According to this order, moreover, also the mere sharing/linking activity by the manufacturers/distributors of information and images relating to electronic cigarettes and relevant refills independently created by third parties (i.e. so-called user generated contents) is likewise forbidden, since it is a form of indirect advertising.
1. Il caso di specie
La controversia in materia pubblicitaria decisa dall’ordinanza capitolina qui in commento ha visto contrapposte, quale ricorrente, un’associazione nazionale di consumatori e, quali resistenti, alcune società attive nel settore della commercializzazione di prodotti da fumo. Nello specifico, secondo la prima, le resistenti avrebbero realizzato una massiccia campagna pubblicitaria riguardante una sigaretta elettronica e i relativi liquidi di ricarica, violando il divieto espressamente previsto dall’ordinamento – europeo e nazionale – di porre in essere comunicazioni commerciali volte alla promozione di prodotti da fumo (incluse le sigarette elettroniche)
98
DIRITTO DI INTERNET N. 1/2020
e prodotti affini. Campagna di cui, quindi, l’associazione chiedeva in via d’urgenza l’inibitoria ai sensi dell’art. 140 del d.lgs. 6 settembre 2005, n. 206, c.d. Codice del Consumo, e artt. 669-bis e ss. c.p.c. In particolare, tale attività, asseritamente pubblicitaria, si sostanziava – per quanto qui rileva – nella pubblicazione online di testi e immagini inerenti i suddetti prodotti sul sito Internet delle resistenti e sui loro profili Instagram, Facebook e YouTube, anche tramite la ricondivisione o comunque il rinvio a contenuti spontaneamente creati da terzi (c.d. user generated contents) e identificati da hashtag corrispondenti al modello e/o al marchio dei prodotti delle stesse
GIURISPRUDENZA CIVILE resistenti. L’associazione contestava, altresì, lo sfruttamento di materiale promozionale “analogico” (nello specifico, cartellonistica stradale e flyer), sponsorizzazioni di eventi e collaborazioni con personaggi famosi. Le resistenti sostenevano, invece, la piena liceità della propria attività, con conseguente rigetto del ricorso avversario, sostenendo, in primo luogo, che la loro attività non si sarebbe dovuta qualificare come pubblicitaria, avendo ad oggetto indicazioni oggettive di carattere informativo/descrittivo delle caratteristiche proprie della sigaretta elettronica e delle relative ricariche. In secondo luogo, precisavano che tali informazioni comparivano all’interno del proprio sito ufficiale e dei propri profili social istituzionali, cui gli utenti sarebbero acceduti in maniera intenzionale e previa dichiarazione di possedere la maggiore età necessaria, e che, per quanto riguarda i contenuti identificati dagli hashtag, poi ri-condivisi/ richiamati, questi erano stati appunto generati da terzi, indipendentemente dal volere delle stesse resistenti, con conseguente loro intrinseca mancanza di natura pubblicitaria. Infine, le resistenti evidenziavano che nemmeno l’uso del materiale cartellonistico contestato e dei flyer – questo sì pacificamente promozionale – sarebbe stato vietato in quanto il primo non sarebbe stato parte della nozione di “pubblicazioni stampate” cui fa rifermento la normativa applicabile (ossia il d.lgs. 12 gennaio 2016, n. 6, in particolare, all’art. 21, comma 10, lett. a) e i secondi sarebbero, invece, stati nella disponibilità dei soli distributori (1). Il Tribunale di Roma si è pronunciato per l’accoglimento delle richieste dell’associazione ricorrente, non avendo (condivisibilmente) ritenuto fondate le eccezioni sollevate dalle controparti. Per il Giudice, infatti, le indicazioni da queste rese accessibili al pubblico non possono che essere considerate quali comunicazioni commerciali aventi lo scopo e/o l’effetto, anche solo indiretto, di promuovere la vendita di sigarette elettroniche e delle relative ricariche e che quindi sono vietate dall’ordinamento posto che riguardano prodotti potenzialmente lesivi della salute dei consumatori (2). E tale (1) Si segnala, ttuttavia, come queste tesi siano state disattese dall’ordinanza qui commentata per via del fatto che, da un lato, la stessa normativa parla esplicitamente non solo di “stampa”, ma anche di “altre pubblicazioni stampate” – categoria cui ragionevolmente devono farsi rientrare anche i materiali cartacei di cui alla fattispecie – e, dall’altro, i flyer avevano un contenuto rivolto non solo ai distributori, ma anche ai clienti, laddove la citata normativa ne consente l’uso solo quando il messaggio promozionale sia destinato “esclusivamente” ai commercianti. (2) A tal proposito si veda il Considerando n. 43 della dir. 2014/40/ UE – peraltro richiamato dallo stesso Tribunale capitolino – secondo cui “le sigarette elettroniche possono diventare un prodotto di passaggio verso la dipendenza dalla nicotina e, in ultima istanza, il consumo di tabacco tradizionale, in quanto imitano e rendono normale l’atto di fumare” cosicché è necessario adottare “un approccio restrittivo alla pubblicità delle sigarette elettroniche e dei contenitori di liquido di ricarica”.
circostanza non può mutare per il fatto che: i) oggetto della campagna di cui alla fattispecie fossero state anche informazioni sui prezzi e sulle caratteristiche tecniche della sigaretta elettronica e delle ricariche, essendo state queste comunque accompagnate da informazioni e immagini aventi finalità eccentriche alla mera descrizione oggettiva di tali prodotti; ii) il consumatore accedesse ai canali ufficiali online delle resistenti volontariamente, dichiarando di essere maggiorenne, dal momento che quel che rileva ai fini della normativa applicabile è esclusivamente lo scopo o l’effetto delle informazioni e non anche l’elemento soggettivo con cui il consumatore ne venga a conoscenza; iii) i contenuti condivisi/richiamati fossero stati generati sui social network da terzi in via indipendente, posto che tale ricondivisione/richiamo realizzava pur sempre un effetto pubblicitario (indiretto). Da qui l’ordine di rimozione di tutte informazioni/immagini pubblicitarie realizzate in violazione del divieto sia dal sito Internet che dai profili social delle resistenti, con previsione di una penale in caso di sua inosservanza o ritardo nel suo adempimento.
2. La normativa sull’illiceità della pubblicità riguardante prodotti da fumo e la nozione della c.d. pubblicità indiretta
Prima di analizzare le questioni nodali affrontate dalla decisione qui in commento è necessario prendere brevemente in rassegna la normativa applicabile in materia di pubblicità di prodotti da fumo e, segnatamente, di sigarette elettroniche e relative ricariche liquide. A tal riguardo si deve considerare che il generale divieto di compiere attività promo-pubblicitarie riguardanti prodotti da fumo è stato introdotto per la prima volta nel nostro ordinamento già dalla legge 10 aprile 1962, n. 165, articolo unico, – tutt’oggi in vigore così come modificata, mediante l’inasprimento del regime sanzionatorio, dalla legge n. 22 febbraio 1983, n. 52 – in forza della quale, per l’appunto, “La propaganda pubblicitaria di qualsiasi prodotto da fumo, nazionale od estero, è vietata”, a pena di sanzioni amministrative pecuniarie, che oggi vanno da € 2.582 a € 25.823 per ogni singolo annuncio e/o comunicato diffuso. Più di recente, è intervenuta l’Unione Europea – con la Direttiva del 3 aprile 2014, n. 2014/40/UE, recepita dal d.lgs. n. 6/2016 (3) – che, al fine di eliminare le differenze legislative esistenti tra gli Stati Membri in materia di lavorazione, presentazione e vendita di prodotti del tabacco e di prodotti ad essi correlati, idonee a ostacolare la libera commercializzazione di questi stessi prodotti nell’Unione, ha vietato le comunicazioni commerciali (3) Provvedimento che ha abrogato la precedente dir. 2001/37/CE, recepita in Italia dal d.lgs. n. 184/2003, che riguardava la lavorazione, presentazione e vendita dei soli prodotti del tabacco.
DIRITTO DI INTERNET N. 1/2020
99
GIURISPRUDENZA CIVILE volte a promuovere, anche indirettamente, i prodotti del tabacco e, tra questi, le sigarette elettroniche e le relative ricariche. In particolare, l’art. 20, paragrafo 5, lett. a, della sopracitata Direttiva ha imposto agli Stati Membri di provvedere affinché fossero “vietate le comunicazioni commerciali nei servizi della società dell’informazione, sulla stampa e altre pubblicazioni stampate, aventi lo scopo o l’effetto diretto o indiretto di promuovere le sigarette elettroniche e i contenitori di liquido di ricarica, ad eccezione delle pubblicazioni destinate esclusivamente ai professionisti del commercio delle sigarette elettroniche e dei contenitori di liquido di ricarica e delle pubblicazioni stampate e edite in paesi terzi, se tali pubblicazioni non sono destinate principalmente al mercato dell’Unione”; divieto questo che è stato recepito in modo conforme nel nostro ordinamento dall’art. 21, comma 10, lett. a, del citato d.lgs. n. 6/2016. Oggi, quindi, in linea di principio, è pacificamente vietata tanto la pubblicità in senso stretto di prodotti da tabacco e affini (pubblicità per così dire diretta), quanto la loro promozione indiretta, ossia la diffusione di messaggi pubblicitari o la realizzazione di attività promozionali che abbiano come “scopo o effetto (…) indiretto” quello “di promuovere” prodotti da fumo. Ciò trova, peraltro, conferma sia nella giurisprudenza di legittimità che da una lettura coordinata della normativa rilevante in materia di pubblicità nel settore audiovisivo. Già a partire dai primi anni ’90, infatti, sovvertendo un precedente opposto suo orientamento (4), la Corte di Cassazione ha avuto modo di stabilire come qualunque comportamento rivolto al pubblico in grado di invitarlo all’acquisto e al consumo di prodotti da fumo costituisce pubblicità vietata, con la conseguenza che contravvengono al divieto “sia forme direttamente evocative dei prodotti da fumo con effetto propagandistico, sia forme il cui effetto sia conseguito con modalità indirette ed occulte” (5). Ancora, in tempi più recenti, la stessa Suprema Corte ha stabilito come costituisca “attività pubblicitaria in senso tecnico”, e quindi sia vietata, persino la sponsorizzazione di un prodotto da fumo, dal momento che questa “si concreta (…) nella promozione ovvero nell’incentivazione della penetrazione commerciale” del prodotto sponsorizzato (6). Ad ulteriore riprova di quanto affermato, si consideri, poi, il dettato dell’art. 36-bis, comma 1, lett. d del d.lgs. (4) Ci si riferisce alle decisioni Cass. 27 aprile 1990, n. 3545, in Foro it., 1990, 1885 e ss. e Cass. 29 luglio 1987, n. 6547, in Rep. Foro it., 1988, voce Marchio, con le quali inizialmente la Corte di legittimità stabilì che il divieto previsto dalla legge riguardasse esclusivamente la propaganda pubblicitaria di prodotti da fumo e non anche l’uso dei marchi ad essi relativi su prodotti diversi (come ad esempio su oggetti di merchandising e/o scaffalature) o per altre attività. (5) Così Cass. S.U., 6 ottobre 1995, n. 10508, in Foro it., 1995, 3457 e ss. (6) Cfr. Cass., 14 settembre 2004, n. 18431, in Foro it., 2005, 1099 e ss.
100
DIRITTO DI INTERNET N. 1/2020
31 luglio 2005, n. 177 e s.m.i., c.d. Testo unico della radiotelevisione, in forza del quale – come è noto – “è vietata qualsiasi forma di comunicazione commerciale audiovisiva per le sigarette e gli altri prodotti a base di tabacco; le comunicazioni commerciali audiovisive sono vietate anche se effettuate in forma indiretta mediante utilizzazione di nomi, marchi, simboli o di altri elementi caratteristici di prodotti del tabacco o di aziende la cui attività principale consiste nella produzione o nella vendita di tali prodotti, quando per forme, modalità e mezzi impiegati ovvero in base a qualsiasi altro univoco elemento tale utilizzazione sia idonea a perseguire una finalità pubblicitaria dei prodotti stessi”.
3. Comunicazione commerciale e servizi della società dell’informazione
Come si è visto, la norma di cui il Tribunale di Roma ha accertato la violazione prevede il divieto di “comunicazioni commerciali”, veicolate attraverso “servizi della società dell’informazione”, idonee a promuovere, anche solo indirettamente, sigarette elettroniche e le relative ricariche liquide. Non a caso le resistenti hanno tentato di affermare che l’attività di comunicazione posta da loro in essere online, da un lato, non fosse qualificabile come “commerciale” (ma solo come meramente informativo-descrittiva dei prodotti) e che, dall’altro, per quanto attiene al sito Internet e ai profili social (inclusi gli user generated contents identificati da appostiti hashtag ivi ricondivisi), questa non sarebbe in ogni caso avvenuta attraverso “servizi della società dell’informazione”. A sostegno di tale tesi le resistenti hanno, tra l’altro, contestato la possibilità di fare rifermento, ai fini dell’interpretazione del d.lgs. n. 6/2016, alle definizioni di “comunicazione commerciale” e di “servizi della società dell’informazione” contenute nella Direttiva dell’8 giugno 2000, n. 200/31/CE, recepita dal d.lgs. del 9 aprile 2003, n. 70, sul commercio elettronico, c.d. Direttiva InfoSoc, posto che una simile soluzione si porrebbe in contrasto con le specificità del settore per cui detta normativa è stata prevista. Ai sensi del d.lgs. n. 70/2003, infatti, sono comunicazioni di natura commerciale “tutte le forme di comunicazione destinate, in modo diretto o indiretto, a promuovere beni, servizi o l’immagine di un’impresa, di un’organizzazione o di un soggetto che esercita un’attività agricola, commerciale, industriale, artigianale o una libera professione” con la sola esclusione delle “informazioni che consentono un accesso diretto all’attività dell’impresa, del soggetto o dell’organizzazione, come un nome di dominio, o un indirizzo di posta elettronica” e delle “comunicazioni relative a beni, servizi o all’immagine di tale impresa, soggetto o organizzazione, elaborate in modo indipendente, in particolare senza alcun corrispettivo”. Sempre in base alla stessa disciplina per “servizi della società dell’informazione” devono intendersi “le attività economiche svolte in online” ed essenzialmente i servizi prestati a distanza per via elettronica a richiesta.
GIURISPRUDENZA CIVILE A questo specifico riguardo il Tribunale si è limitato ad affermare, quanto alla prima, come si tratti di una “definizione sufficientemente ampia, che descrive in maniera precisa il contenuto e le finalità della pubblicità commerciale, sicché può essere utilizzata estensivamente anche in settori (…) diversi dal commercio elettronico” e, quanto invece alla necessità di riferirsi alla seconda, che il fatto che le resistenti non avessero fornito argomenti interpretativi per affermare che il divieto di cui al d.lgs. 6/2016 contemplasse una nozione diversa di “servizi della società dell’informazione” doveva far propendere per la condivisone di quella prevista nelle norme che regolano il commercio elettronico. Ora, per quanto appaiano piuttosto apodittiche, le conclusioni del Giudice capitolino sembrano essere comunque ragionevolmente condivisibili nella loro sostanza. Infatti, se si dà una lettura coordinata della normativa rilevante, si avrà modo di constatare come questa – per quanto in maniera disorganica e non perfettamente univoca – offra una definizione giuridica comune del fenomeno pubblicitario sostanzialmente corrispondente a quella adottata dal Tribunale. Viene al riguardo in considerazione la definizione indicata dall’allora art. 2, comma 1, lett. a del d.lgs. 25 maggio 1992, n. 74, che recepì la Direttiva del Consiglio del 10 settembre 1984, n. 84/450/CEE in materia di pubblicità ingannevole, poi confluito – senza invero la riproposizione della definizione in questione, con ogni probabilità ritenuta non più necessaria – nel Codice del Consumo vigente, a mente del quale per pubblicità s’intende “qualsiasi forma di messaggio che sia diffuso, in qualsiasi modo, nell’esercizio di un’attività commerciale, industriale, artigianale o professionale allo scopo di promuovere la vendita di beni mobili o immobili, la costituzione o il trasferimento di diritti ed obblighi su di essi oppure la prestazione di opere o di servizi”, di cui anche il Tribunale di Roma ha dato atto. Allo stesso modo assume rilievo la definizione contenuta nel già citato t.u.r.t., all’art. 2, comma 1, lett. u, secondo cui è pubblicità “ogni forma di messaggio televisivo o radiofonico trasmesso a pagamento o dietro altro compenso da un’impresa pubblica o privata nell’ambito di un’attività commerciale, industriale, artigianale o di una libera professione, allo scopo di promuovere la fornitura, dietro compenso, di beni o servizi, compresi i beni immobili, i diritti e le obbligazioni”. Infine, appare utile fare riferimento anche alla definizione di “comunicazione commerciale” contenuta nel Codice di autodisciplina pubblicitaria, in particolare all’interno delle norme preliminari, alla lettera e, che “comprende la pubblicità e ogni altra forma di comunicazione, anche istituzionale, diretta a promuovere la vendita di beni o servizi quali che siano le modalità utilizzate, nonché le forme di comunicazione (…)”, dunque, incluso Internet (7). (7) Proprio con riferimento alla pubblicità online e, segnatamente, alle più recenti forme di pubblicità c.d. atipiche realizzate attraverso i social network, l’Istituto di Autodisciplina Pubblicitaria “IAP”, con effetto
Del resto, ormai da tempo, anche la dottrina sembra essere concorde sulla (estremamente ampia) definizione giuridica da attribuire al fenomeno della pubblicità/comunicazione commerciale, individuandola in “qualsiasi comunicazione d’impresa”, a prescindere dalla “forma del messaggio” proprio di quest’ultima e dal “mezzo usato” per diffonderla, allorquando questa presenti quattro elementi: i) una comunicazione, per l’appunto; ii) il fatto che questa sia diffusa; iii) la sua provenienza da una realtà imprenditoriale/professionale; e iv) il suo fine promozionale (8). Ne discende che anche la comunicazione commerciale c.d. atipica – categoria cui appartengono ormai pacificamente anche i messaggi commerciali diffusi online e, quindi, anche quelli presenti sui social network (9) – dev’essere qualificata come pubblicità a tut-
dall’aprile 2019, ha predisposto uno specifico regolamento autodisciplinare, c.d. Regolamento Digital Chart, il cui testo è disponibile al seguente link <https://www.iap.it/codice-e-altre-fonti/regolamenti-autodisciplinari/digital-chart/>, che detta norme precise sulle misure da adottare per la riconoscibilità agli utenti delle comunicazioni commerciali diffuse attraverso Internet. (8) Così, per tutti, Fusi - Testa, Diritto e Pubblicità, Milano, 2006, 35 e ss. (9) Si segnala che, fin dall’inizio degli anni 2000, la comunicazione commerciale online è stata pacificamente considerata quale pubblicità, atipica anche dall’Autorità Garante della Concorrenza e del Mercato “AGCM”, rispettivamente nei provvedimenti del 27 marzo 1997, n. 4820 in materia di pubblicità illecita su pagine web, disponibile al seguente link <https://www.agcm.it/dotcmsDOC/bollettini/13-97.pdf>, 86 e del 11 aprile 2002, n. 10648 in materia di banner pubblicitari illeciti, disponibile al seguente link <https://www.agcm.it/dotcmsDOC/bollettini/15-02.PDF>, 57. Allo stesso modo, oggi, anche le comunicazioni commerciali diffuse via social network sono pacificamente considerate pubblicità a tutti gli effetti sia dalla case-law dell’AGCM che dalla giurisprudenza: cfr., per tutti, il provvedimento AGCM del 27 marzo 2019, n. 27612, in materia di pubblicità all’interno di gruppi segreti su Facebook, disponibile al seguente link <https://www.agcm.it/dotcmsdoc/bollettini/2019/15-19.pdf>, 22 e Trib. Milano, ordinanza del 19 giugno 2017, disponibile sulla banca dati De Jure all’indirizzo <https://dejure.it/>, in cui, seppur nell’ambito della diversa materia dell’abuso di posizione dominante, si è avuto modo di stabilire che proprio il divieto di pubblicità (indiretta) di sigarette elettroniche e relative ricariche comprende anche comunicazioni commerciali riguardanti tali prodotti presenti sui social network – nel caso di specie su Facebook. E anche la migliore dottrina è di questo stesso avviso. Per tutti, si vedano Pedrali Kindler, Introduzione al commento al Codice di autodisciplina della comunicazione commerciali, in Commentario breve alle leggi su proprietà intellettuale e concorrenza, a cura di Ubertazzi, Padova, 2019, 2633, secondo la quale i principi in materia di pubblicità (ingannevole) devono applicarsi anche ai messaggi pubblicitari diffusi online, tra le altre cose, in forza della definizione di pubblicità contenuta in un’altra fonte ordinaria, ossia l’art. 2, lett. a) del d.lgs. 2 agosto 2007, n. 145 in materia di pubblicità (ingannevole), che la definisce quale “qualsiasi forma” di messaggio pubblicitario che sia diffuso “in qualsiasi modo” e Galli, Social Media, segni distintivi e lealtà della concorrenza, tra Influencers, Trend Setters, Fake News e pubblicità, in Il dir. ind, 2019, 124, in cui si riconosce che l’uso di Internet e dei social network per offrire servizi di marketing mirati online è un’attività pacificamente pubblicitaria. Infine, va segnalato come persino la giurisprudenza di legittimità in materia penale abbia affermato, sebbene riguardo al diverso tema della configurabilità del reato di diffamazione, che le nuove piattaforme di comunicazione online, tra cui naturalmente vi sono i social network, rien-
DIRITTO DI INTERNET N. 1/2020
101
GIURISPRUDENZA CIVILE ti gli effetti, con conseguente applicabilità della normativa prevista in materia pubblicitaria, ivi incluse, quindi, le norme di cui al d.lgs. n. 6/2016. Ciò, sul presupposto che tale tipo di comunicazione, atipica per via del mezzo impiegato, abbia natura promozionale e non (solo) informativa, come le resistenti hanno provato a sostenere per i messaggi di cui alla fattispecie (10). Proprio sulla finalità promozionale del messaggio è, quindi, opportuno soffermarsi, data l’importanza cruciale che questa riveste in generale e, soprattutto, ha avuto nel caso deciso dall’ordinanza qui in commento. In merito a questa, la dottrina e la “giurisprudenza” del Giurì della pubblicità – seppur nel differente ambito della pubblicità occulta – hanno nel tempo individuato utili criteri per distinguere i casi in cui una comunicazione ha natura (anche) commerciale da quelli, invece, in cui questa è unicamente volta a descrivere le caratteristiche di un determinato bene o servizio, risultando, in questa diversa ipotesi, semplice esercizio della libertà di espressione individuale. Tale distinguo – come si è accennato – è funzionale alla repressione di eventuali inganni pubblicitari compiuti attraverso l’occultamento dello scopo promozionale di una comunicazione dietro ad una forma apparentemente non commerciale, che finirebbe per eludere le difese che il fruitore adotta naturalmente verso ciò che è, invece, promozionale in modo manifesto (11); non si vedono, però, ragioni per non poterlo utilizzare anche per il diverso scopo di individuare quando una comunicazione sia da considerare, in generale, come informativa ovvero promozionale e, dunque, vietata nel caso riguardi prodotti quali i prodotti da fumo. A tal proposito, si deve rilevare che non tutte le comunicazioni relative a beni o servizi che esprimano apprezzamento nei confronti di questi sono necessariamente da considerare come pubblicitarie, ma lo sono solo nella misura in cui queste siano riconducibili al rapporto tra il soggetto che ne beneficia e il mezzo di diffusione trano a pieno titolo nella nozione di mezzi di pubblicità, come, tra l’altro, rilevato anche da Guercia, Responsabilità del blogger per fatto illecito altrui: la Suprema Corte percorre la “via” della pluralità di reati, in questa Rivista, 2019, 577. (10) A dimostrazione di quanto sia complesso in alcuni casi individuare tale natura, va rilevato che è lo stesso IAP, nelle premesse al Regolamento Digital Chart, a riconoscere che Internet costituisce mezzo di comunicazione “complesso”, che “per le sue caratteristiche e, in particolare, per la sua interattività (…) consente una condivisione di opinioni, commenti sia tra i consumatori tra di loro, sia tra i consumatori e le aziende, sicché di frequente profili promozionali risultano convivere con contenuti non promozionali”. (11) Cfr. Floridia, AIDA, 1994, 5 e ss. e, con riguardo al diverso tema dell’uso di marchi online in funzione pubblicitaria in contesti informativi tale da escluderne la decettività, Davola, Motori di ricerca, parole chiave e pubblicità illecita online: il Bundesgerichtshof tedesco condanna Amazon per utilizzo ingannevole di un marchio al fine di deviare le ricerche degli utenti verso prodotti concorrenti, in questa Rivista, 2019, 702.
102
DIRITTO DI INTERNET N. 1/2020
impiegato – senza però che tale rapporto debba necessariamente qualificarsi come rapporto di committenza tra utente e mezzo di comunicazione – (c.d. elemento soggettivo) e quando il loro contenuto e la loro forma espositiva siano oggettivamente promozionali, ossia tutte le volte in cui siano incompatibili con l’esercizio obiettivo e disinteressato del diritto di informazione (c.d. elemento oggettivo) (12). Si deve evidenziare come, allo scopo di agevolare l’accertamento di questi due elementi, il Giurì della pubblicità adotti da tempo un ulteriore principio orientativo, il c.d. principio dell’apparenza pubblicitaria, in applicazione del quale ha natura pubblicitaria qualsiasi comunicazione che per contenuto e forma sia manifestamente promozionale agli occhi del consumatore, essendo irrilevanti l’intento meramente informativo e l’autonomia di scelta dell’autore della comunicazione considerata (13). In altre parole, ciò che conta ai fini della sussistenza dello scopo promozionale di una comunicazione non è l’intenzione con cui questa è stata posta in essere, quanto il suo concreto effetto pubblicitario. Alla luce di quanto sopra, appare allora condivisibile che il Tribunale capitolino, da un lato, abbia “scartato la tesi (…) secondo cui il sito ufficiale (…) e le pagine dei canali social (…) di titolarità delle società resistenti non andrebbero ricompresi nell’ambito dei servizi della società dell’informazione in cui sono vietate le comunicazioni commerciali aventi lo scopo, diretto o indiretto, di promuovere la vendita delle sigarette elettroniche”, essendo i servizi relativi ai social, e più in generale a Internet, pacificamente “servizi della società dell’informazione”, e, dall’altro, abbia stabilito che “la circostanza che sul sito ufficiale (…) gli utenti dichiaratisi maggiorenni possano acquistare sigarette elettroniche e liquidi di ricarica come in un qualsiasi negozio fisico, non sta anche a significare che si tratti di un luogo virtuale ad accesso volontario (14) di soggetti maggiorenni in cui possano essere consentiti i messaggi pubblicitari o le comunicazioni commerciali altrimenti vietati sulla rete Internet”; categoria cui senz’altro appartengono anche le immagini di cui alla fattispecie, dal momento che riproducono persone in atteggiamenti di soddisfazione o piacere derivanti dall’uso delle sigarette elettroniche e delle relative ricariche, che non possono, quindi, essere considerate semplicemente come
(12) Così Cottafavi, Art. 7 del Codice di Autodisciplina pubblicitaria, in Commentario breve alle leggi su proprietà intellettuale e concorrenza, a cura di Ubertazzi, cit., 2692 e, in senso conforme, Guglielmetti, in Riv. dir. ind., 1990, 394 e ss. e Testa, AIDA, 1994, 730 e ss. Tra le decisioni del Giurì della pubblicità, invece, si segnalano le decisioni n. 92/1990, n. 45/1989, n. 60/1987, 73/1984 e n. 11/1980. (13) Cfr. Giurì della pubblicità, decisioni n. 40/1999 e n. 83/1993. (14) Aspetto questo di per sé irrilevante, rilevando – come si è visto – unicamente l’effetto pubblicitario o meno delle comunicazioni pubblicate; effetto presente nel caso di specie.
GIURISPRUDENZA CIVILE “vere e proprie informazioni, descrizioni e istruzioni sull’utilizzo” di queste ultime. Senza poi contare che, a differenza di quanto avviene in un punto vendita fisico, un sito di e-commerce è rivolto per sua natura ad un pubblico indiscriminato, che può essere composto anche da non fumatori, ben più facilmente rispetto a quanto avviene con la clientela di un punto vendita fisico di prodotti da fumo. Cosa diversa, invece, sarebbe stata – aggiunge il Giudice – se le resistenti avessero adottato “riproduzioni delle immagini delle sigarette elettroniche e dei contenitori di liquidi di ricarica sulle pagine del sito web (...) al solo fine di consentire al consumatore di individuare e scegliere il prodotto da acquistare online, nonché al fine di descriverne le caratteristiche tecniche e nei manuali di istruzione” e “una (sola) immagine del prodotto sulla home page (…) al fine di ragguagliare immediatamente il consumatore del fatto che ha effettuato l’accesso sul sito ufficiale dell’azienda che produce e/o commercializza quel determinato tipo di sigaretta elettronica”. Tali comunicazioni di per sé non possono, infatti, ritenersi vietate dall’ordinamento in quanto non possiedono scopi e/o effetti promozionali, nemmeno in via residuale. Le medesime considerazioni sono poi state, condivisibilmente, formulate dal Tribunale capitolino anche con riferimento a quanto pubblicato dalle resistenti sui rispettivi profili social ufficiali, pur avendo, al contempo, precisato come ciò non si traduca in un divieto assoluto per gli operatori del settore dei prodotti da fumo di essere titolari di account sui social network, ma solo nell’impossibilità per tali soggetti, anche in tale contesto, di “sfruttare tali canali per veicolare nei confronti del pubblico messaggi pubblicitari che hanno lo scopo o l’effetto, diretto o indiretto, di diffondere l’uso, e quindi, di promuovere la vendita” di questi stessi prodotti.
4. Effetti pubblicitari della ricondivisione dei c.d. user generated contents
Nonostante costituiscano sempre comunicazioni via social, merita, infine, di essere approfondita autonomamente la questione inerente alla ricondivisione e/o al richiamo da parte delle resistenti di contenuti (nello specifico post, immagini, video o file di altra natura) riproducenti le proprie sigarette elettroniche e le relative ricariche, autonomamente realizzati da terzi e identificati mediante l’uso di appositi hashtag. Contrariamente alle altre comunicazioni promozionali pubblicate sui siti e sui canali social ufficiali delle resistenti, in effetti, per il Tribunale questi diversi contenuti di per sé non avevano natura pubblicitaria, dal momento che – quanto meno stando a quanto si evince dalla ricostruzione fattuale formulata all’interno dell’ordinanza in commento – non erano stati realizzati dalle resistenti. In altre parole, rispetto a queste comunicazioni mancherebbe in radice il c.d. elemento soggettivo
perché possano essere considerate come pubblicitarie, nella misura in cui, essendo tali contenuti stati generati indipendentemente dalle resistenti, non possono essere imputati al rapporto tra queste (ossia i soggetti che se ne avvantaggiano) e il canale di diffusione. Ne consegue che le resistenti – come riconosciuto anche dallo stesso Tribunale – “non possono essere considerate responsabili per (…) attività altrui”. Opinando in modo diverso si finirebbe, infatti, per imporre necessariamente in capo ai produttori/distributori di prodotti da fumo ingiustificabili obblighi di monitoraggio generalizzato di qualsiasi messaggio online potenzialmente promozionale e di successiva attivazione affinché i terzi autori dei messaggi promozionali individuati provvedano alla loro rimozione. Tuttavia, ogni volta che i produttori/distributori di beni e/o servizi “si appropriano” di user generated contents che si riferiscano ai propri beni e/o servizi, mediante ricondivisione o richiamo sui propri canali, o anche con altre modalità, risulta irrilevante l’originaria mancata efficacia e, dunque, finalità pubblicitaria di tali contenuti, essendo sufficiente a questo scopo il solo fatto che essi siano oggetto di successiva “appropriazione” da parte dei soggetti che traggano vantaggio commerciale da tale operazione. Tant’è che l’elemento della finalità commerciale, la cui sussistenza è necessaria perché si possa parlare di comunicazione promozionale, viene individuato dalla migliore dottrina nel fatto che la comunicazione sia diretta a “incentivare la domanda di beni o servizi”, potendo tale incentivo derivare “non necessariamente (…) direttamente dalla comunicazione (…), ma può anche essere mediato o indiretto” (15). È, quindi, evidente che l’attività di “appropriazione”, operata attraverso le pagine social ufficiali, di user generated contents da parte dei soggetti produttori/distributori dei beni e/o servizi cui tali contenuti si riferiscono costituisce una forma mediata o comunque indiretta di comunicazione dotata di finalità promozionale – nonché pubblicità atipica, essendo questa posta in essere sfruttando mezzi di comunicazione non tradizionali – con la conseguenza che, in quanto tale, questa è pienamente assoggettabile alla normativa in materia pubblicitaria, ivi incluso il divieto di attività promozionale relativa a sigarette elettroniche e alle relative ricariche. Anche sotto questo profilo, dunque, l’ordinanza capitolina in commento appare condivisibile quando stabilisce, sebbene sulla base di una stringatissima motivazione, che le resistenti “non possono ripubblicare o richiamare – anche mediante link – sui propri canali social le medesime immagini (user generated contents n.d.r.), qualora riproducano le sigarette elettroniche da sole o con cose e/o persone in atteggia-
(15) Fusi - Testa, Diritto e Pubblicità, cit., 41.
DIRITTO DI INTERNET N. 1/2020
103
GIURISPRUDENZA CIVILE menti di soddisfazione o di piacere”, trattandosi “di immagini finalizzate o che hanno come effetto, diretto o indiretto, quello di invogliare i consumatori o anche i potenziali consumatori ad utilizzare la sigaretta elettronica, promuovendone così la vendita”. Da ultimo, dev’essere rilevato che – come anche un altro autore ha giustamente evidenziato (16) – il Giudice non si è occupato dell’eventualità che gli user generated contents ricondivisi/richiamati fossero stati realizzati sì da terzi, ma su commissione o comunque previo contatto con le resistenti. Ciò, con ogni probabilità, si suppone, è dovuto al fatto che le evidenze fattuali di cui alla fattispecie non contemplavano tale diverso caso, in realtà piuttosto ricorrente nella prassi commerciale attuale. Si pensi, cioè, al caso in cui i soggetti terzi creatori dei contenuti relativi alle sigarette elettroniche e alle relative ricariche fossero stati influencer, ambassador o supporter sollecitati da donazioni, che avessero creato questi stessi contenuti in accordo o in forza di contratti specifici con le resistenti. In tale ipotesi, nel caso di ricondivisione/richiamo da parte delle resistenti dei contenuti, nulla cambierebbe rispetto a quanto già affermato con riferimento a quelli generati da terzi privi di legami con queste ultime: si sarebbe né più né meno in presenza di pubblicità indiretta e, dunque, vietata. Ma anche laddove non fossero stati oggetto di successiva “appropriazione” da parte delle resistenti mediante la ricondivisione o altra attività, sembra ragionevole ritenere che tali user generated contents di terzi legati alle resistenti da previ accordi contrattuali, sarebbero comunque da considerare di per sé comunicazioni pubblicitarie indirette (17) – sussistendo in questo caso l’elemento soggettivo, invece, mancante nei contenuti realizzati del tutto autonomamente da soggetti terzi – con conseguente possibilità di pretendere dalle resistenti la rimozione dei contenuti in questione (ove vietati), dal momento che, sebbene direttamente realizzati da terzi, questi sarebbero stati al contempo realizzati mediatamente dalle stesse ricorrenti, loro committenti. In questo senso l’opinione di chi scrive sembra porsi in parziale contrasto rispetto a quella sostenuta dall’autore da ultimo citato, secondo cui, in questo caso, si dovreb-
(16) Riva, Sigarette elettroniche: anche per loro pubblicità andata in fumo?, in FAIRPLAY antitrust, consumatori, privacy, disponibile al seguente link <https://sistemafairplay.it/notizie/angolo-del-professionista/normativa-europea/giurisprudenza-delle-imprese/notizie/angolo-del-professionista/13961-sigarette-elettroniche-anche-per-loro-pubblicita-andata-in-fumo.html>, 2019. (17) Cfr. Galli, Social Media, segni distintivi e lealtà della concorrenza, tra Influencers, Trend Setters, Fake News e pubblicità, in Il dir. ind,, cit., 126, in cui, condivisibilmente, si afferma che l’attività posta in essere da celebrity, influencer e blogger, persino anche quando questa sia prestata gratuitamente, possiede “un’implicita finalità promozionale da parte del produttore/ prestatore” dei beni o servizi cui tale attività si riferisce.
104
DIRITTO DI INTERNET N. 1/2020
bero applicare le norme in materia di pubblicità occulta – ai sensi delle quali rileva l’intento pubblicitario (da rendere manifesto tramite l’uso di elementi oggettivi quali quelli tra l’altro previsti proprio per gli user generated contents dal citato Regolamento Digital Chart; vale a dire l’impiego di diciture e/o hashtag all’interno del contenuto interessati come, ad esempio, “pubblicità/ promosso da/in collaborazione con/prodotto inviato da”) e non anche quelle in tema di pubblicità indiretta, per cui, invece, rileva solo l’effetto pubblicitario della comunicazione. Pare, infatti, ragionevole affermare che se, quanto alla posizione dei terzi, in tali casi vengono senz’altro in gioco le norme relative alla pubblicità occulta, è altrettanto vero che tale circostanza non implica, però, che con riferimento alla diversa posizione dei produttori/distributori dei beni e/o servizi (con cui detti terzi hanno stretto accordi commerciali e a cui i contenuti si riferiscono) non rilevi, allo stesso tempo, anche la normativa sulla pubblicità indiretta e, dunque, con riferimento ai prodotti di cui al caso di specie, sull’attività promozionale vietata.
GIURISPRUDENZA CIVILE
Selezione per il reclutamento del personale delle società pubbliche e falso curriculum su LinkedIn Tribunale di Trapani ; sezione lavoro; sentenza 2 ottobre 2019, n. 522; Giud. Petrusa; D.P. (Avv. Omissis) c. A. S.p.A. (Avv. Omissis). È responsabile il lavoratore che dichiara il possesso dei requisiti di ammissione alla selezione indetta dalla società pubblica, pur essendo privo dei titoli necessari per parteciparvi. La condotta del lavoratore che mente circa il suo curriculum incide sulla violazione del dovere di correttezza e buona fede durante le trattative finalizzate alla assunzione.
Svolgimento del processo. Con ricorso ritualmente notificato la parte ricorrente indicata in epigrafe ha adito questo Tribunale esponendo: - di aver partecipato alla selezione indetta nel 2018 dalla società H.V., per conto della odierna resistente, per il reperimento di un Direttore Generale. - Che, della selezione, venne data pubblicità su un sito internet, ove venivano indicati i seguenti requisiti di partecipazione: “laurea magistrale in ingegneria, economia e commercio, economia e management aeronautico e giurisprudenza; master e/o corsi di specializzazione e perfezionamento di settore; esperienza di almeno 5 anni in attività di direzione, con la qualifica di dirigente o equivalente posizione apicale, di società private, partecipate e/o controllate pubbliche; settori di provenienza: gestione aeroportuale, compagnie aeree, altri operatori del settore trasporto aereo e/o di altri settori di trasporto; conoscenza fluente scritta e parlata della lingua inglese”. - Di aver sottoscritto “apposita autocertificazione sui requisiti per partecipazione alla selezione, addì 13 aprile 2018”. - Di essere risultato vittorioso e, quindi, che “il 14 giugno 2018 ... veniva assunto con contratto di lavoro a tempo determinato per la durata di anni tre, a far data dal 18 giugno 2018 fino al 17 giugno 2021”. - Che il 2 agosto 2018, dopo quasi due mesi, la società odierna resistente comunicò l’avvio del procedimento volto all’annullamento d’ufficio della delibera consiliare 4 giugno 2018, “stante il mancato possesso, da parte del D.P. del requisito richiesto, a pena di esclusione, dall’art. 2 lett. b punto a) dell’Avviso, avendo costui conseguito la laurea in lingue, non contemplata tra i titoli necessari per la partecipazione alla procedura di selezione”. - Che il 9 agosto 2018 venne definito il procedimento con la preannunciata revoca della delibera suddetta.
Dopo aver impugnato in via stragiudiziale il recesso datoriale, il D.P. ha incardinato il presente giudizio chiedendo il ristoro del danno subito, nella misura del lucro cessante, pari alle retribuzioni che sarebbero state percepite per l’intera durata del rapporto (Euro 400.000), e del danno emergente (rappresentato dalle spese di trasloco, Euro 2.562,00) oltre al risarcimento del danno non patrimoniale per danni all’immagine (quantificato in Euro 10.000). A seguito di memoria integrativa autorizzata ex art. 164 c.p.c. (tesa ad ovviare alla nullità del ricorso per cumulo di domande risarcitorie tra loro inconciliabili, come chiarito con ordinanza del 5.7.2019), il ricorrente ha rinunziato alla domanda di ristoro per lesione dell’interesse negativo, insistendo nelle due domande risarcitorie relative all’interesse positivo. Si è costituita in giudizio la società resistente la quale ha chiesto il rigetto del ricorso. Sul contraddittorio così costituito, senza necessità di svolgere attività istruttoria, la causa è stata decisa. Motivi della decisione. Preliminarmente va detto che, sotto il profilo della natura giuridica dell’atto impugnato, si deve condividere la prospettiva data dal ricorrente e si deve ritenere che la cessazione del rapporto sia scaturita da un vero e proprio atto di licenziamento. Non appare cioè condivisibile il ragionamento operato dalla resistente a pagg. 6-9 della memoria difensiva, secondo il quale l’A., in quanto organismo di diritto pubblico tenuto a delineare previamente i criteri di scelta dei candidati, avrebbe posto in essere una procedura viziata e, quindi, suscettibile di annullamento d’ufficio in via di autotutela, con conseguente nullità derivata del contratto di lavoro “a valle”, come previsto dall’art. 19, c. 4 del D.Lgs. n. 175 del 2016.
DIRITTO DI INTERNET N. 1/2020
105
GIURISPRUDENZA CIVILE Tale disposizione, infatti, concerne le assunzioni effettuate senza la previa individuazione dei criteri selettivi (criteri necessari alla luce del 2° comma del medesimo articolo 19). Nel caso di specie, però, la procedura si è svolta correttamente, in quanto i criteri selettivi erano stati ben delineati, quindi, non era possibile caducarla in autotutela. Piuttosto, vi è stata una violazione dei detti criteri al momento della stipula del contratto. I rimedi a disposizione della società non potevano tangere quindi l’intera procedura di gara, ma avrebbero dovuto riguardare solo il contratto di lavoro stipulato col D.P.. In particolare, la società, avvedutasi del proprio errore, avrebbe potuto chiedere l’annullamento (giurisdizionale) del contratto per errore su un elemento essenziale del soggetto contraente, attesa la evidente riconoscibilità dello stesso; in alternativa, entro il 18.12.2018 avrebbe potuto caducare stragiudizialmente il rapporto in virtù del patto di prova (posto che, certamente, il lavoratore non aveva i requisiti richiesti al momento dell’assunzione, quindi, la prova non avrebbe potuto dirsi superata). Da ciò consegue l’illegittimità dell’atto di annullamento d’ufficio della selezione (quindi, la disapplicazione dello stesso) e, in ordine al provvedimento espulsivo a valle, escluso che possa ravvisarsi una nullità derivata, non si può che ravvisare un vero e proprio negozio di licenziamento. In tale ottica, non essendo ravvisabili né una giusta causa, né un giustificato motivo, non si può che riscontrare un vizio di tale atto. Venendo alle conseguenze dell’illegittimità del recesso datoriale, va ricordato che (come insegna la consolidata giurisprudenza) nel caso di illegittimo recesso anzitempo dal contratto di lavoro a tempo determinato, non si può fare applicazione della tutela reintegratoria (oggi sostituita dalle tutele crescenti di cui al D.Lgs. n. 23 del 2015), ma bisogna fare applicazione degli strumenti di matrice risarcitoria conosciuti dal diritto civile. In altri termini, la giurisprudenza ha fatto applicazione del principio del “danno effettivo” ritenendo che il lavoratore a tempo determinato ingiustamente licenziato non possa ottenere né il ripristino dello stesso, né l’indennità sostitutiva della reintegra, ma che possa al massimo chiedere il ristoro del lucro cessante, quantificato nella misura delle retribuzioni che sarebbero maturate fino alla naturale scadenza del rapporto. Alla luce di quanto precede, si deve ritenere che, dall’invalidità del recesso datoriale, non possa scaturire in modo “automatico” la condanna alla corresponsione di un emolumento (come nel caso di rapporto a tempo indeterminato), ma si debba verificare se, effettivamente, nella sfera del lavoratore si sia determinato un danno emergente o un lucro cessante. Nel caso di specie, è dirimente la circostanza che l’assunzione del ricorrente era avvenuta con contratto a tempo
106
DIRITTO DI INTERNET N. 1/2020
determinato nel quale era stato previsto un periodo di prova di 6 mesi. Quindi, fino alla data del 18.12.2018, la società datrice di lavoro era libera di esercitare ad nutum il diritto di recesso dal rapporto di lavoro. Ciò rende destituita di fondamento ogni pretesa risarcitoria ancorata alla circostanza che il rapporto si sarebbe dovuto protrarre fino al 2021; l’alternativa rispetto all’annullamento in autotutela del contratto, in sostanza, non era la protrazione del rapporto sino alla sua naturale scadenza, ma l’estinzione del medesimo per recesso del datore di lavoro in virtù del patto di prova. Lo scrivente non ignora che la dottrina civilistica e la giurisprudenza non hanno mai preso in modo nitido una posizione definita circa il problema della c.d. causa alternativa ipotetica (un’apertura è ravvisabile in Cass. 15991/2011) e che, probabilmente, l’opinione prevalente tende ad escluderne la rilevanza (ciò sulla scorta del fatto che nell’ordinamento civile manca una disposizione analoga a quella contenuta nell’art. 41 co. 2 del codice penale, in forza del quale, se l’evento infausto si sarebbe comunque verificato in forza di una causa alternativa da sola sufficiente a produrlo, l’imputato non può rispondere delle conseguenze del reato). Tuttavia, nel caso di specie occorre evidenziare che la causa alternativa ipotetica (la cessazione del rapporto in virtù di un recesso ad nutum del datore di lavoro, anziché per annullamento in via di autotutela della procedura selettiva) è costituita dall’esercizio di un diritto potestativo datoriale, non da fattori esogeni. Appare quindi logico ritenere che il patrimonio del ricorrente, laddove non vi fosse stata la perdita economica scaturita dall’annullamento in autotutela della procedura selettiva, si sarebbe comunque verificata (e questa volta senza possibilità per il giudice di sindacare la scelta discrezionale del datore di lavoro) in virtù dell’esercizio del potere di recesso correlato al patto di prova. Quanto precede è troncante e comporta di per sé il rigetto del ricorso. Per completezza si può comunque procedere ad una analisi della vicenda sotto altra angolazione. In questa ottica la vicenda è piuttosto chiara, dal momento che entrambe le parti ne hanno riferito in modo sostanzialmente congruente i punti essenziali. In estrema sintesi: è certo che la società convenuta ha incaricato l’agenzia E. S. & S. di selezionare uno o più candidati, in possesso di taluni requisiti, al fine di ricoprire una posizione dirigenziale. È pure certo che, fra i requisiti richiesti, vi era il possesso di un diploma di laurea in talune materie ben specificate nell’avviso pubblicato mediante internet: “economia, ingegneria, economia e management aereonautico o giurisprudenza” (fatto incontestato fra le parti e, comunque, documentalmente comprovato sia dal doc. 1 fasc. ric., che dall’avviso di selezione -doc. 5 fasc. ric.-, punto 2.b.a.).
GIURISPRUDENZA CIVILE È poi certo che il ricorrente non sia in possesso di alcuno di detti titoli; piuttosto, è probabile che lo stesso possieda un diploma di laurea in lingue e letteratura (tale circostanza è riferita dal ricorrente nel curriculum vitae allegato al ricorso, ma non è stato provato in modo specifico, ad ogni modo, si tratta di un fatto irrilevante). È altrettanto certo che il ricorrente sapeva che, per partecipare alla selezione, era necessario il possesso dei titoli in questione; infatti, è lo stesso ricorrente che, a pag. 2 del ricorso, riferisce di aver appreso della procedura “in data 05 aprile 2018 ... tramite il sito web del social Network LinkedIn, che la società H.V.”. Dal momento che, come detto, il detto sito web menzionava espressamente il requisito in oggetto (doc. 1 fasc. ric.), è evidente che il D.P. era pienamente a conoscenza del fatto di non possedere i titoli per prendere parte alla selezione; ciononostante, in data 5.4.2018, ha avviato le pratiche per la partecipazione. È irrilevante il fatto (anch’esso valorizzato in ricorso) che l’avviso di selezione non prevedeva i detti requisiti “a pena di esclusione”. Dall’annuncio pubblicato, infatti, si poteva comprendere senza possibilità di errore il fatto che la procedura era aperta solo ai possessori dei titoli menzionati. Del resto, sarebbe privo di senso ipotizzare un requisito di partecipazione che, però, non sia necessario per la partecipazione alla gara. Un requisito non necessario non è un vero requisito. Ancora: è certo che il ricorrente, il 13.4.2018, ha trasmesso alla H.V. (e su invito di quest’ultima), una “autocertificazione” avente ad oggetto il possesso dei requisiti per la partecipazione alla gara, e che in tale autocertificazione non era espressamente menzionato il possesso di una delle lauree di cui all’avviso. Tale profilo, che per il ricorrente assume rilevanza, è invece inconferente. L’oggetto del presente giudizio, infatti, non concerne la falsità o meno dell’autocertificazione, bensì, la sussistenza o meno di un pregiudizio ingiusto nella sfera del ricorrente causato dal licenziamento illegittimo intimato dalla società datrice di lavoro. Quindi, posto che il D.P. non ha autocertificato alcunché di falso, ci si deve chiedere se la perdita delle retribuzioni che il ricorrente avrebbe conseguito fino al 2021 sia o meno scaturita dalla condotta datoriale. L’analisi va condotta facendo applicazione delle disposizioni civilistiche in tema di risarcimento del danno. Infatti, come già detto, la giurisprudenza formatasi prima del D.Lgs. n. 23 del 2015 ha più volte ritenuto che, laddove col licenziamento illegittimo sia stato fatto
cessare anzitempo un rapporto a tempo determinato, il lavoratore non può chiedere la tutela reintegratoria (oggi, l’applicazione delle “tutele crescenti”), ma solo il risarcimento del danno parametrato alla retribuzione che sarebbe stata percepita laddove il rapporto si fosse svolto fino alla scadenza originariamente pattuita. La giurisprudenza ha quindi fatto applicazione del principio del “danno effettivo”, propria del rimedio risarcitorio. Tale circostanza induce a ritenere che debbano trovare applicazione tutti gli istituti del diritto civile deputati ad assicurare che il ristoro sia parametrato al danno-conseguenza patito (senza locupletazioni e senza decurtazioni); fra questi rientra anche l’art. 1227 cc., il quale stabilisce che “se il fatto colposo del creditore ha concorso a cagionare il danno, il risarcimento è diminuito secondo la gravità della colpa e l’entità delle conseguenze che ne sono derivate. Il risarcimento non è dovuto per i danni che il creditore avrebbe potuto evitare usando l’ordinaria diligenza”. Quanto detto ha piena rilevanza nel caso di specie, in quanto è evidente che l’intero pregiudizio patito dal D.P. promana dal fatto che costui abbia scientemente partecipato, senza averne i requisiti, ad una procedura selettiva rivolta ad altri soggetti. Il ricorrente, cioè, sin dall’inizio sapeva di non avere i titoli necessari per partecipare alla selezione bandita dall’A., quindi, non può aver riposto alcun affidamento nell’esito (temporaneamente) favorevole della gara; egli pertanto, non può avanzare alcuna pretesa risarcitoria, in quanto l’intero danno di cui oggi si duole, è scaturito da una sua condotta che, sebbene non illegittima, rappresenta comunque una violazione del dovere di correttezza e buona fede durante le trattative. In sostanza: se si decurta dall’entità del risarcimento tutto l’ammontare di danno che sarebbe stato evitato se il ricorrente, comportandosi diligentemente e in modo corretto, avesse rispettato l’avviso di selezione (astenendosi dal partecipare a una gara che, palesemente, era rivolta ad altri soggetti, ovvero, facendo emergere sin da subito la mancanza del requisito richiesto nell’avviso), si giunge ad elidere completamente l’emolumento risarcitorio. In conclusione, il ricorso va rigettato. Le spese di lite vanno compensate posto che, comunque, il licenziamento intimato era effettivamente invalido, come sostenuto dal ricorrente. P.Q.M. - Rigetta il ricorso; - Compensa le spese di lite. Così deciso in Trapani, il 2 ottobre 2019.
DIRITTO DI INTERNET N. 1/2020
107
GIURISPRUDENZA CIVILE
Il Commento
di Claudia Serrapica Sommario: 1. Recesso datoriale per mancato possesso dei titoli richiesti dall’avviso di selezione. - 2. I rimedi a disposizione della società pubblica, prospettati dal Tribunale: l’annullamento del contratto per errore o, in alternativa, l’esercizio del potere di recesso in virtù del patto di prova - 3. La possibile rilevanza disciplinare della condotta del lavoratore ai fini dell’integrazione della giusta causa di licenziamento. Tra le diverse questioni giuridiche sottese alla fattispecie in esame, giova evidenziare, con specifico riferimento ai profili di carattere giuslavoristico, quella attinente al rispetto dei vincoli procedurali imposti alle società pubbliche in tema di assunzione del personale dipendente, ai sensi dell’art. 19, d. lgs. n. 175/2016. L’adozione dei provvedimenti e delle procedure relative al reclutamento del personale condiziona, infatti, anche sulla scorta dell’orientamento di legittimità maggioritario, la validità del contratto di lavoro, con conseguente nullità dello stesso, nel caso di omissione dei suddetti provvedimenti e procedure. Pertanto, mere irregolarità che esulano dalla violazione sopra delineata non comportano la nullità del contratto di lavoro, prevista espressamente dal quarto comma della norma citata. Al fine di invalidare il singolo rapporto di lavoro, vari sono i rimedi offerti in proposito dall’ordinamento, senza necessità di ricorrere al potere di autotutela, che presuppone la natura amministrativa del provvedimento adottato e l’esercizio di poteri autoritativi. Nel caso di specie, la società aveva correttamente espletato la selezione, pubblicando il relativo avviso tramite il sito web del social network LinkedIn. In tale avviso erano stati ben delineati i requisiti per la partecipazione alla selezione, dei quali il lavoratore aveva dichiarato il possesso sottoscrivendo apposita autocertificazione, anche se privo del titolo di studio richiesto. Among the several judicial issues underlying the case under assessment, it is worth highlighting, with specific reference to issues of employment law, in line with the procedural requirements imposed to public companies for the hiring of staff personnel, in accordance to the article 19 of legislative decree no.175/2016. The adoption of measures and relative procedures for the recruitment of staff affects, indeed, also according to the Supreme Court main case-law, the validity of the work contract, with the consequential nullity in case of omission of the aforementioned provisions and procedures. Thus a mere irregularity that go beyond the violation outlined above, doesn’t cause the annulment of the work contract, expressly foreseen in the fourth paragraph of the rule cited. In order to annul a working relationship there are various remedies offered by the legal system, without necessity to apply the power of self-help that presupposes the administrative nature of the adopted provision and the exercise of authoritative powers. In the present case, the company had correctly executed the selection process, publishing the appropriate callthrough the website of the social network LinkedIn. In such call the requesites were well outlined for the participation of selection, of which the worker has declared the possession subscribing a specific self-certification, even if lacking the requested title of study.
1. Recesso datoriale per mancato possesso dei titoli richiesti dall’avviso di selezione
Il Tribunale di Trapani, con la decisione in commento, nel rigettare le pretese risarcitorie avanzate dal lavoratore, in qualità di ricorrente, ha tuttavia condiviso la prospettiva data dallo stesso in riferimento alla natura giuridica dell’atto impugnato, ritenendo che la cessazione del rapporto di lavoro fosse ‹‹scaturita da un vero e proprio atto di licenziamento». La società datrice di lavoro, una volta avvedutasi del mancato possesso da parte del lavoratore dei titoli richiesti dall’avviso di selezione, aveva infatti risolto il rapporto di lavoro a tempo determinato, in conseguenza dell’annullamento d’ufficio della delibera consiliare inerente alla procedura di selezione per il conferimento dell’incarico dirigenziale di direttore generale. In particolare, in relazione alle argomentazioni formulate dalla società, da tale annullamento ne sarebbe scaturita, ai sensi dell’art. 19, comma 4, d. lgs. n. 175/2016, la nullità del contratto individuale di lavoro per il venir meno della selezione che costituisce inderogabile presupposto dell’assunzione.
108
DIRITTO DI INTERNET N. 1/2020
Tuttavia, la disposizione sopra citata disciplina espressamente le conseguenze sanzionatorie derivanti dall’eventuale violazione dei vincoli procedurali gravanti sulle società pubbliche, a fronte della mancata adozione dei provvedimenti (regolamenti) a mezzo dei quali le medesime società stabiliscono criteri e modalità per il reclutamento del personale, nonché dell’omesso espletamento delle procedure di selezione (1). Le regole dettate dal citato articolo 19, rappresentando “regole di validità” dell’atto, ossia del contratto di lavoro, fanno sì che la violazione dei suddetti vincoli, intesa nei termini di cui sopra e non come mera irregolarità, si traduca in un vizio genetico del contratto affetto, pertanto, da nullità. Come evidenziato anche da autorevole dottrina, ‹‹la nullità opera soltanto in caso di omissione del provvedimento generale che avrebbe dovuto regolare le assunzioni oppure quando la ScP [società a controllo pubblico] non
(1) L’art. 19, comma 4, d. lgs. n. 175/2016, dispone che ‹‹salvo quanto previsto dall’articolo 2126 del codice civile, ai fini retributivi, i contratti di lavoro stipulati in assenza dei provvedimenti o delle procedure di cui al comma 2, sono nulli. Resta ferma la giurisdizione ordinaria sulla validità dei provvedimenti e delle procedure di reclutamento del personale››.
GIURISPRUDENZA CIVILE ha attivato – pur in presenza di tale provvedimento – la specifica procedura selettiva prodromica all’assunzione. Quindi la procedura espletata in modo non conforme alle prescrizioni del regolamento delle assunzioni, ma anche le carenze (salvo quelle radicali) di tale regolamento, non comportano la nullità del contratto di lavoro›› (2). Nel caso di specie, come peraltro sottolineato dal Tribunale, la procedura aveva avuto regolare esecuzione, con conseguente impossibilità di ricondurre l’asserita violazione dei criteri selettivi – consistente nel mancato possesso da parte del lavoratore dei requisiti richiesti dall’avviso di selezione – nell’ambito di applicazione della norma sopra richiamata. Il Tribunale ha, dunque, ritenuto illegittimo l’atto di annullamento in via di autotutela adottato dalla società avendo, da un lato, riscontrato l’insussistenza del vizio fatto valere dalla stessa e, dall’altro, ravvisato – in conseguenza di ciò – un vero e proprio licenziamento, anch’esso qualificato come illegittimo, in quanto non sorretto da una giusta causa (con riferimento alla rilevanza della condotta del lavoratore ai fini dell’integrazione della giusta causa di licenziamento, si rinvia al successivo paragrafo n. 3). Peraltro, come di recente precisato dalla Corte di Cassazione, seppure con specifico riguardo ai rapporti di lavoro stipulati dalla Pubblica Amministrazione, la natura privatistica degli atti di gestione di detti rapporti non consente al datore di lavoro di esercitare il potere di autotutela, che presuppone la natura amministrativa del provvedimento e l’esercizio di poteri autoritativi (3). Il potere amministrativo di autotutela, esercitato dalla società nel caso in esame, sarebbe dunque inconcepibile rispetto ad atti di diritto privato, con la conseguenza che lo stesso ‹‹si trasforma in potere privato che si esercita mediante atti di natura negoziale» (4), da valutarsi alla stregua dei principi civilistici in ordine all’inadempimento delle obbligazioni. In ogni caso, anche per quanto riguarda il pubblico impiego, in materia di procedure pubbliche concorsuali, l’ambito riservato al procedimento amministrativo e all’attività autoritativa dell’amministrazione si esaurisce con l’approvazione della graduatoria, con l’effetto che i comportamenti della P.A. vanno poi ricondotti nell’am-
(2) Maresca, Il lavoro alle dipendenze delle società a controllo pubblico, in Riv. dir. pubbl. it. comp. eur., 2018, 17, 13 ss. Al riguardo, si veda anche Maresca - Romei, Il rapporto di lavoro nelle società a controllo pubblico, Milano, 2019. (3) Cass., Ord., 7 giugno 2019, n. 15506, all’indirizzo <pluris-cedam. utetgiuridica.it/main.html>. (4) Cass. 4 febbraio 2014, n. 2396, all’indirizzo <pluris-cedam.utetgiuridica.it/main.html>.
bito privatistico, come espressione del potere negoziale dalla stessa esercitato nella veste di datrice di lavoro (5).
2. I rimedi a disposizione della società pubblica, prospettati dal Tribunale: l’annullamento del contratto per errore o, in alternativa, l’esercizio del potere di recesso in virtù del patto di prova
A fronte delle precedenti considerazioni e di quanto statuito dalla sentenza annotata, ‹‹i rimedi a disposizione della società avrebbero dovuto riguardare solo il contratto di lavoro stipulato con il lavoratore. [Essa] in particolare, avvedutasi del proprio errore, avrebbe potuto chiedere l’annullamento (giurisdizionale) del contratto per errore su un elemento essenziale del soggetto contraente, attesa la evidente riconoscibilità dello stesso». Pertanto, fatta salva la procedura di selezione regolarmente esperita secondo le modalità prescritte dal legislatore per l’individuazione del contraente, così come previsto ai sensi dell’art. 19, d. lgs. n. 175/2016, la società avrebbe, dunque, potuto invalidare il singolo rapporto di lavoro ricorrendo ai principi civilistici in materia di contratto, esercitando azione giudiziale di annullamento dello stesso, ai sensi del combinato disposto di cui agli articoli 1428 e 1431 c.c.. Nel caso in esame, infatti, la società, a causa dell’autocertificazione resa dal dipendente sui requisiti per la partecipazione alla selezione, era caduta in errore circa la sussistenza di una qualità essenziale del soggetto contraente – determinante ai fini della conclusione del contratto – ossia di un presupposto di fatto, consistente nel possesso di una delle lauree di cui all’avviso di selezione, rivelatosi poi insussistente. Il difetto di tale elemento non poteva non essere noto al lavoratore, il quale, secondo quanto stabilito dal Giudice nel ritenere comunque ‹‹non illegittima» la sua condotta e nel rigettare al contempo ogni pretesa risarcitoria, era tuttavia consapevole ‹‹di non avere i titoli necessari per partecipare alla selezione» e, pertanto, nessun affidamento poteva riporre nell’esito favorevole della stessa, conseguito sulla base dell’anzidetto erroneo presupposto. L’errore di cui trattasi, indotto dallo stesso ricorrente a mezzo di una sua dichiarazione, presentando sia il carattere dell’“essenzialità” che quello della “riconoscibilità
(5) Con riferimento al potere di annullamento in autotutela riservato alla P.A., si evidenzia che lo stesso può essere esercitato soltanto sulla base delle condizioni previste dall’art. 21-nonies della legge 7 agosto 1990, n. 241, recante la disciplina in materia di “Annullamento d’ufficio” del ‹‹provvedimento amministrativo illegittimo ai sensi dell’articolo 21-octies››, ossia ‹‹adottato in violazione di legge o viziato da eccesso di potere o da incompetenza››. Le disposizioni di cui alla legge n. 241/1990, comprese pertanto quelle inerenti al potere di autotutela, ai sensi dell’art. 29, comma 1 della legge medesima – che ne definisce l’ambito di applicazione – ‹‹si applicano a tutte le amministrazioni pubbliche››.
DIRITTO DI INTERNET N. 1/2020
109
GIURISPRUDENZA CIVILE
110
dall’altro contraente” – condizioni cui è subordinato l’effetto invalidante dell’errore – avrebbe potuto assumere rilevanza quale causa di annullamento del contratto. Non appare invece del tutto condivisibile l’orientamento secondo il quale, in alternativa alla domanda di annullamento del contratto, parte resistente ‹‹avrebbe potuto caducare stragiudizialmente il rapporto in virtù del patto di prova (posto che, certamente, il lavoratore non aveva i requisiti al momento dell’assunzione, quindi, la prova non avrebbe potuto dirsi superata)». Ciò in quanto, la facoltà di recesso durante il periodo di prova prevista dal terzo comma dell’art. 2096 c.c., pur rientrando nell’area della recedibilità acausale, senza obbligo di preavviso o di indennità, né tantomeno di motivazione alcuna circa il mancato superamento della prova, non può tuttavia essere esercitata arbitrariamente dal datore di lavoro, dovendo invece rappresentare la conseguenza dell’esito negativo dell’esperimento oggetto del patto di prova. Difatti, anche sulla scorta dei consolidati principi affermati dalla giurisprudenza di legittimità, l’esercizio del potere di recesso nel corso del periodo di prova, nonostante la natura discrezionale dello stesso, ‹‹deve essere coerente con la causa del patto di prova che va individuata nella tutela dell’interesse comune alle due parti del rapporto, in quanto diretto ad attuare un esperimento mediante il quale sia il datore di lavoro che il lavoratore possono verificare la reciproca convenienza del contratto, accertando il primo le capacità del lavoratore. Pertanto, non è configurabile un esito negativo della prova ed un valido recesso qualora le modalità dell’esperimento non risultino adeguate ad accertare la capacità lavorativa del prestatore di lavoro. Parimenti invalido è il recesso qualora risulti il perseguimento di finalità illecite» (6). A quest’ultimo riguardo e per quanto viene in rilievo ai fini della fattispecie in commento, la Corte di Cassazione ha, inoltre, precisato che ‹‹al motivo illecito si affianca quello estraneo all’esperimento lavorativo, pure idoneo ad inficiare il recesso». Da quanto sopra brevemente riportato, si deduce chiaramente che il recesso del datore di lavoro durante il periodo di prova non può essere legato a ragioni estranee all’esito dell’esperimento. Pertanto, il mancato possesso da parte del lavoratore dei requisiti richiesti per la partecipazione alla selezione, soltanto se tale da determinare l’esito negativo della prova, avrebbe consentito di ritenere legittimo l’eventuale recesso esercitato dalla società, poiché giustificato dall’effettiva valutazione (negativa) delle sue capacità e qualità professionali.
3. La possibile rilevanza disciplinare della condotta del lavoratore ai fini dell’integrazione della giusta causa di licenziamento
(6) Cass. 22 ottobre 2018, n. 26679, all’indirizzo <pluris-cedam.utetgiuridica.it/main.html>.
(7) Cass. 23 marzo 2016, n. 5762, all’indirizzo <pluris-cedam.utetgiuridica.it/main.html>.
DIRITTO DI INTERNET N. 1/2020
Tra le varie argomentazioni formulate dal Tribunale, lo stesso è giunto ad affermare l’illegittimità del recesso anzitempo dal contratto di lavoro a tempo determinato instaurato con il lavoratore, non ritenendo ravvisabile nel caso di specie una giusta causa di licenziamento. Inoltre, al fine di statuire in merito al profilo risarcitorio, il Giudice ha poi precisato che il ricorrente ‹‹era pienamente a conoscenza del fatto di non possedere i titoli per prendere parte alla selezione [e] ciononostante ha avviato le pratiche per la partecipazione››, stabilendo altresì che ‹‹l’intero pregiudizio patito dal D.P. promana dal fatto che costui abbia scientemente partecipato, senza averne i requisiti, ad una procedura selettiva rivolta ad altri soggetti. Egli pertanto, non può avanzare alcuna pretesa risarcitoria, in quanto l’intero danno di cui si duole, è scaturito da una sua condotta che, sebbene non illegittima, rappresenta comunque una violazione del dovere di correttezza e buona fede durante le trattative››. Al riguardo, appare opportuno esaminare la condotta del lavoratore attuata in violazione dei suddetti doveri, che avrebbero ragionevolmente imposto allo stesso di informare la società in ordine al mancato possesso del requisito richiesto dall’avviso di selezione, trattandosi di un fatto rilevante ai fini del conferimento dell’incarico di direttore generale, incarico rispetto al quale l’elemento fiduciario è peraltro massimo. La norma prevista dall’art. 1337 c.c., la cui rubrica è intitolata “Trattative e responsabilità precontrattuale”, essendo improntata ai principi di correttezza e buona fede in riferimento alla fase dello svolgimento delle trattative contrattuali, assume valore di clausola generale. In particolare, essa ‹‹implica il dovere di trattare in modo leale, astenendosi da comportamenti maliziosi o reticenti e fornendo alla controparte ogni dato rilevante, conosciuto o conoscibile con l’ordinaria diligenza, ai fini della stipulazione del contratto. Ne consegue che la violazione dell’obbligo di comportarsi secondo buona fede nello svolgimento delle trattative e nella formazione del contratto assume rilievo anche nel caso in cui il contratto concluso sia valido e, tuttavia, risulti pregiudizievole per la parte vittima dell’altrui comportamento scorretto. Pertanto, la circostanza che il contratto sia stato validamente concluso non è di per sé decisiva per escludere la responsabilità della parte, qualora a questa sia imputabile l’omissione di informazioni rilevanti nel corso delle trattative, le quali avrebbero altrimenti, con un giudizio probabilistico, indotto ad una diversa conformazione del contenuto del contratto›› (7).
GIURISPRUDENZA CIVILE La condotta del dipendente, seppure valutata dal Giudice al fine di escludere il risarcimento del danno lamentato – quantificato per costante giurisprudenza nella misura delle retribuzioni che sarebbero maturate fino alla naturale scadenza del rapporto – non può non assumere, a mio avviso, anche rilevanza disciplinare (8). Lo stesso Tribunale ha, infatti, escluso che il ricorrente si sia comportato diligentemente ed in modo corretto rispettando l’avviso di selezione e, in particolare, ‹‹astenendosi dal partecipare a una gara che, palesemente, era rivolta ad altri soggetti, ovvero, facendo emergere sin da subito la mancanza del requisito richiesto nell’avviso››. Per le ragioni sopra esposte, la società avrebbe dunque potuto avviare specifico procedimento disciplinare sino ad irrogare la sanzione espulsiva del licenziamento per giusta causa, in relazione alla condotta tenuta dal dirigente in epoca antecedente all’instaurazione del rapporto di lavoro o, meglio, nella fase precontrattuale. In proposito, la Cassazione ha chiarito che le condotte idonee ad ‹‹assumere rilievo ai fini dell’integrazione della giusta causa non devono essere necessariamente successive all’instaurazione del rapporto, sempre che si tratti di comportamenti appresi dal datore dopo la conclusione del contratto e non compatibili con il grado di affidamento richiesto dalle mansioni assegnate al dipendente e dal ruolo da quest’ultimo rivestito nell’organizzazione aziendale›› (9). Secondo detto orientamento di legittimità, è, infatti, ravvisabile una giusta causa di licenziamento ‹‹ogniqualvolta venga irrimediabilmente leso il vincolo fiduciario che è alla base del rapporto. La fiducia può essere compromessa, non solo in conseguenza di specifici inadempimenti contrattuali, ma anche in ragione di condotte [che] abbiano un riflesso sulla funzionalità del rapporto, in relazione a specifiche mansioni o alla particolare attività››. Con riferimento alla fattispecie in oggetto, la giusta causa di licenziamento quale fatto ‹‹che non consenta la prosecuzione, anche provvisoria, del rapporto» sarebbe stata integrata non già da un inadempimento agli obblighi contrattuali connessi all’esecuzione della prestazione lavorativa, bensì dalla condotta tenuta dal lavoratore nel corso delle trattative in violazione dei doveri di cui all’art. 1337 c.c., con conseguente responsabilità precontrattuale dello stesso.
(8) Nei suddetti termini, si rinvia a D’Avanzo, È legittimo il licenziamento del lavoratore selezionato su Linkedin senza averne i requisiti?, in Quotidiano giuridico, all’indirizzo <http://www.quotidianogiuridico.it>. (9) Cass. 10 gennaio 2019, n. 428, all’indirizzo <pluris-cedam.utetgiuridica.it/main.html>.
DIRITTO DI INTERNET N. 1/2020
111
GIURISPRUDENZA CIVILE
Web harvesting, scraping or data extraction, tutela delle banche dati secondo la legge sul diritto d’autore e principi di diritto antitrust Tribunale di R oma ; sez. spec. imprese; ordinanza 5 settembre 2019, n. 34006; G.U. Andrea Postiglione; Trenitalia S.p.a. c. GoBright Media L.t.d. Qualora il costitutore di una banca dati protetta con il diritto c.d. sui generis previsto dagli artt. 102-bis ss. della legge 22 aprile 1941, n. 633, renda la banca dati medesima pubblica nel suo complesso, sono consentite tutte le attività di estrazione, riproduzione e rielaborazione dei dati contenuti nella banca dati stessa da parte di tutti gli utenti legittimi, siano essi soggetti fisici o soggetti imprenditoriali, a condizione che la riutilizzazione e il reimpiego non riguardino la totalità o una parte sostanziale dei dati ai sensi dell’art. 102-bis, comma 3, da valutarsi – in tale secondo caso – in termini sia qualitativi sia quantitativi secondo i criteri di cui al comma 3 dell’art. 102-ter (nella specie, è stata ritenuta legittima l’attività di estrazione posta in essere dalla società resistente per offrire servizi di informazione tramite una propria applicazione volta a consentire agli utenti dei servizi di trasporto ferroviario della società ricorrente di conoscere orari, binari di partenza, arrivo dei treni nelle varie stazioni italiane, ritardi, mappe e percorsi, tramite l’acquisizione dei dati presenti sul sito della medesima società ricorrente che detti servizi di informazione pure forniva, sebbene svolta in modo costante e tale da realizzare circa il 30% degli accessi giornalieri al sito della medesima società ricorrente, in quanto ritenuta di natura selettiva, parcellizzata e non massiva, nonché tale da non comportare una spoliazione periodica e sistematica della banca dati). Sono vietate le attività di estrazione, riproduzione e rielaborazione dei dati contenuti in una banca dati da parte di tutti i suoi utenti legittimi, sebbene non concernenti la totalità o una parte sostanziale del suo contenuto ai sensi dell’art. 102-bis, comma 3, e dell’art. 102-ter, della legge 22 aprile 1941, n. 633, qualora l’estrazione o il reimpiego ripetuti e sistematici di esso comporti un “pregiudizio ingiustificato” al costitutore della banca dati stessa ai sensi dell’art. 102-bis, comma 9, di detta legge, che non può ritenersi sussistente solo per il fatto che l’attività è volta alla comparazione dei prezzi dei principali concorrenti su un dato mercato, come quello della fornitura di informazioni relative ai servizi di trasporto ferroviario, e deve essere valutato anche alla luce della natura pro-concorrenziale dell’attività medesima. I requisiti della totalità o parte sostanziale dei dati contenuti in una banca dati ai sensi dell’art. 102-bis, comma 3, e 102-ter, della legge 22 aprile 1941, n. 633, nonché del “pregiudizio ingiustificato” derivante al costitutore dalla estrazione o reimpiego ripetuti e sistematici di parti non sostanziali della medesima banca dati ai sensi dell’art. 102-bis, comma 9, di detta legge, devono essere reinterpretati, qualora riguardino operatori di un servizio pubblico ai sensi dell’art. 2 del Regolamento UE 1370/2007 come quello attinente al trasporto di passeggeri di interesse economico generale, alla luce dei Considerando 24 e 25 nonché dell’art. 1 della Direttiva UE 2014/2019 del 20 giugno 2019, per cui – quando la estrazione, il reimpiego ovvero la rielaborazione riguardino la banca dati di un soggetto al quale la disciplina comunitaria impone la massima divulgazione dei dati in proprio possesso – il concetto di “parte sostanziale” del prelievo deve essere inteso e applicato sovrapponendo il concetto di “totalità” e quello di “parte sostanziale”, per cui solo la prova stringente di una sottrazione di una banca dati complessiva può fondare il rilascio di un provvedimento cautelare.
Motivi della decisione Il giudice, a scioglimento della riserva assunta in data 21 agosto 2019 osserva quanto segue. Con ricorso ai sensi dell’articolo 163 LDA e 131 CPI la società TRENITALIA S.p.A. ha chiesto di ordinare alla società GoBright Media Ltd l’immediata cessazione dell’attività di estrazione, riproduzione e diffusione delle informazioni contenute nella banca dati TRENITALIA S.p.A., con particolare riferimento alla rielaborazione che di tali informazioni veniva effettuata dalla società resistente mediante l’applicativo informatico denominato TRENÌT.
La società TRENITALIA premetteva che si erano svolte lunghe ed articolate trattative tra le parti aventi ad oggetto l’integrazione della società resistente nel sistema di vendite e distribuzione dei biglietti di TRENITALIA e che, nell’ambito di tale accordo preliminare, erano state fornite alla società resistente le credenziali per l’abilitazione ai servizi IP; la società ricorrente lamentava quindi, da un lato, la mancata stipula dell’accordo commerciale, e dall’altro lato, danni da manipolazione dei propri dati estratti dalle banche dati nei portali www. trenitalia.it e www.viaggiatreno.it e segnatamente dati relativi a orari, binari di partenza, arrivo dei treni nel-
DIRITTO DI INTERNET N. 1/2020
113
GIURISPRUDENZA CIVILE le varie stazioni italiane, ritardi, mappe e percorsi, tutti manipolati da controparte al fine di promuovere una propria applicazione (TRENIT), la quale oltre a fornire i dati che erano nella esclusiva disponibilità della società ricorrente, operava dei profili comparativi con i servizi offerti dalle principali società concorrenti. La società ricorrente aggiungeva di avere inviato una prima diffida alla società britannica e di essere costretta ad agire per l’inibitoria dell’estrazione dei dati sulla base dell’articolo 102 bis e ss LDA, avendo peraltro investito notevoli risorse per aggiornare, integrare e costituire una propria banca dati comprendente la gestione del traffico ferroviario. Questo Tribunale emetteva in data 26 giugno 2019 decreto inaudita altera parte per mezzo del quale ordinava alla società resistente la cessazione di ogni attività di estrazione, reimpiego, diffusione delle informazioni contenute nelle banche dati della società ricorrente e fissava una penale di € 100 per ogni violazione accertata e di euro 10.000 al giorno per ogni giorno di ritardo nell’esecuzione del provvedimento, riservandosi all’esito dell’instaurando contraddittorio, ogni esame in relazione alle ulteriori misure cautelari richieste dalla ricorrente. Una volta che la società resistente è stata attinta dalla notifica del decreto ha chiesto l’anticipazione dell’udienza già fissata dal giudice per il mese di settembre 2019, sicché l’udienza è stata tenuta nel periodo feriale davanti a diverso giudice. Nel corso di tale udienza la società resistente dava atto di avere pienamente adempiuto all’ordine giudiziale, sospendendo l’attività dell’applicativo TRENÌT, chiedeva in ogni modo la revoca del provvedimento giudiziale, allegando in via preliminare che la natura di soggetto pubblico di controparte lo impegnava alla pubblicazione dei dati sensibili di cui era depositario e precisando di svolgere un’attività non automatizzata di estrazione dati; sottolineava al contempo come l’estrazione dei dati del sito e/o dei siti della società ricorrente avveniva esclusivamente nel momento in cui vi era una richiesta (query) da parte di un potenziale utente, sicché l’estrazione e il reimpiego non avveniva in via automatizzata, bensì volta per volta in relazione ai singoli accessi. GoBright sottolineava inoltre la sussistenza di profili di concorrenza fra le due società coinvolte nel giudizio cautelare: la ricorrente, attiva nella vendita di servizi di trasporto, per i quali era necessaria una vasta e capillare informazione sugli interessi e sugli orari dei treni, la resistente principalmente attiva nell’ambito dell’informazione sui servizi ferroviari in generale. La società britannica quindi invocava la violazione dell’articolo 102 TFUE oltre che della normativa nazionale introdotta dal decreto legislativo n. 287/90 paventando come l’inibitoria richiesta da controparte fosse esclusivamente
114
DIRITTO DI INTERNET N. 1/2020
finalizzata a limitare l’accesso per il consumatore ai dati comparativi da lei elaborati. Indiscutibile poi, ad avviso della resistente, era la posizione dominante di TRENITALIA nel settore dei trasporti ferroviari. GoBright definiva quindi perfettamente legittima la propria attività di “scraping” (detto anche web harvesting o web data extraction) consistente in una tecnica informatica di estrazione di dati da un sito web per mezzo di appositi software. TRENITALIA replicava come, al contrario, l’attività di estrazione dati da parte della società ricorrente fosse massiccia e prevedeva dei picchi fino a 800.000 accessi al giorno che rappresentavano il 30% di tutti gli accessi effettuati dagli utenti sui propri siti, lamentava inoltre un rallentamento della funzionalità dei propri server e rivendicava comunque, legge alla mano, la necessità di una licenza di uso per l’utilizzazione della propria banca dati. Negava infine di rivestire le caratteristiche di soggetto pubblico. Il provvedimento interinale deve essere revocato. L’articolo 102 bis della legge 22 aprile 1941 n. 633 contempla i diritti del costitutore di una banca dati, intendendosi per “costitutore” il soggetto che “effettua investimenti rilevanti per la creazione di una banca di dati, per la sua verifica o la sua presentazione impegnando a tal fine mezzi finanziari tempo o lavoro”. E non vi è dubbio alcuno che nel caso di specie, Trenitalia possa essere definito come costitutore di una banca dati ai sensi della legge precitata, né, per la verità, tale circostanza viene contestata neppure da parte resistente. Ai sensi del terzo comma dell’articolo 102 bis LDA il costitutore di una banca dati avente sede sociale e/o amministrazione centrale all’interno dell’unione europea (comma 5), indipendentemente dalla tutelabilità della banca dati a norma del diritto d’autore, profilo questo estraneo al giudizio che ci occupa, ha il diritto per la durata e alle condizioni stabilite dalla legge di vietare le operazioni di estrazione, reimpiego dei dati contenuti nella banca, sia esso “totale” che “sostanziale”. Tale diritto di uso esclusivo dei dati di una propria banca viene meno temporalmente trascorsi 15 anni dall’anno successivo alla data del completamento della banca dati (Comma 6). Tali disposizioni sono state correttamente valutate da parte del giudice che ha emesso il provvedimento interinale. Va qui solo precisato come la legge richieda la licenza solo per un’estrazione totale ovvero di una parte sostanziale della banca dati, ritenendosi quindi sempre implicitamente ammissibile un’estrazione limitata o parziale della banca dati intesa in senso qualitativo o quantitativo. Il giudice della tutela interinale ha poi valorizzato il comma 9) dell’articolo 102 bis il quale prevede testualmente
GIURISPRUDENZA CIVILE “non sono consentiti l’estrazione o reimpiego ripetuti e sistematici di parti non sostanziali del contenuto della banca di dati qualora presuppongano operazioni contrarie alla normale gestione della banca o arrechino un pregiudizio ingiustificato al costitutore della banca dati”. Il pregiudizio è stato valutato da parte del giudice in relazione all’elevato numero di accessi che sono stati effettuati giornalmente da parte della società resistente (circa 800.000). Il precedente giudicante non ha fatto applicazione di tale norma, configurando quindi il prelievo come “sostanziale”. Anche nel corso dell’udienza del 21 agosto 2019 parte ricorrente ha enfatizzato tale elemento, accentuando il numero degli accessi effettuati da parte resistente e parlando genericamente di un sovraccarico dei server e di un danno, per la verità di cui non si fa alcuna menzione nel ricorso originario, relativo alla pubblicazione di informazioni non veritiere in ordine all’effettivo costo dei biglietti e alla mancata pubblicizzazione dei servizi accessori che differenziano l’attività commerciale di Trenitalia rispetto a quella del principale concorrente sul mercato oltre che ad un danno per mancato pagamento delle licenze d’uso. Tale ultima allegazione non appare però convincente all’esito di un’analisi più approfondita della questione, posto che il pregiudizio previsto dal comma 9) dell’art. 102 bis LDA deve manifestarsi in un danno che si matura nella sfera giuridica del titolare della banca dati e che non può essere qualificato come il danno economico che derivi dal mancato pagamento della licenza relativa all’uso dei dati, dovendosi preventivamente verificare se vi sia la necessità di una licenza di sfruttamento. Né può affermarsi l’esistenza di una bozza di accordo commerciale relativa alla licenza d’uso dei dati. Le pregresse trattative delle parti avevano difatti documentatamente ad oggetto esclusivamente la possibilità che la società Gobright Ltd divenisse possibile rivenditore dei servizi di Trenitalia; non vi è traccia nel fascicolo ad un pre-accordo documentale relativo alla gestione dei dati di traffico. Le disposizioni di cui all’art. 102 bis LDA (diniego di estrazione totale o sostanziale (comma III) ovvero di estrazione solo parziale in caso di danno o abuso (comma IX) devono essere lette in una con quanto sancito dall’art. 102 ter LDA il quale al terzo comma prevede espressamente “non sono soggette all’autorizzazione del costitutore della banca dati messa per qualsiasi motivo a disposizione del pubblico le attività di estrazione o reimpiego di parti non sostanziali valutate in termini qualitativi e quantitativi del contenuto della banca dati per qualsivoglia fine effettuate dall’utente legittimo”. È chiaro qui il riferimento al solo comma 9) dell’art. 102 bis LDA, collegandosi tale articolo alla sola estrazione di parti non sostanziali della banca dati, sicché quanto
sancito dall’art. 102 bis LDA deve essere integrato con quanto previsto nell’articolo successivo, desumendosi il principio per cui, una volta che una banca dati per qualsiasi ragione sia stata messa a disposizione del pubblico, tutti i dati già pubblicizzati possono essere liberamente estratti e reimpiegati (purché in misura non sostanziale) da parte degli utenti legittimi nei limiti del rispetto del diritto d’autore e di ogni altro diritto connesso alle opere contenute nella banca dati (comma 1) e nell’ulteriore limite dell’ingiustificato pregiudizio al costitutore della banca dati (comma n. 2 art. 102 ter LDA). La scelta quindi da parte del titolare della banca dati di aprire la stessa all’accesso del pubblico, anche per lo svolgimento delle proprie specifiche attività imprenditoriali (così come avviene per la società TRENITALIA la quale diffonde i dati del proprio traffico passeggeri comprensivi di orari, prezzi, ritardi, servizi accessori ai fini della vendita dei propri prodotti commerciali) comporta la possibilità per qualsiasi utente di estrarre legittimamente tali dati in misura non sostanziale e di utilizzarli nelle forme che ritiene più opportune, anche in forma commerciale. Fatta questa dovuta premessa e ragionando ulteriormente su quanto normativamente previsto dall’articolo 102 ter LDA, necessita di interpretazione l’elemento quantitativo che viene peraltro espressamente valorizzato dal comma III dell’articolo 102 ter proprio perché la norma fa riferimento al reimpiego di parti “non sostanziali valutati in termini qualitativi e quantitativi”. Si vuole quindi nell’ottica di un generale principio di utilizzabilità dei dati già divulgati da parte del costitutore, tutelare lo stesso in relazione alla sottrazione della banca dati ed evitare, che la pressoché interezza della banca dati venga estratta e riutilizzata in violazione delle norme precedentemente riferite. Il principio stabilito dall’articolo 102 ter III comma si coniuga, come accennato, perfettamente con quanto stabilito dal terzo comma dell’articolo 102 bis che pone in capo al titolare della banca dati il diritto di vietare le operazioni di reimpiego “della totalità o di una parte sostanziale della stessa”. In sintesi, una volta che la banca dati sia stata resa pubblica nel suo complesso, sono consentite ad avviso di questo giudice tutte le attività di estrazione, riproduzione e rielaborazione dei dati contenuti nella banca da parte di tutti gli utenti legittimi, siano essi soggetti fisici o soggetti imprenditoriali a condizione che la riutilizzazione e reimpiego dei dati non avvenga in maniera massiccia e riguardi “la totalità della banca dati, una parte sostanziale della stessa” (art. 102 bis) ovvero “il reimpiego di parti sostanziali valutati in termini qualitativi e quantitativi (art. 102 ter LDA)”. Il limite quindi dello jus prohibendi da parte del titolare della banca dati appare strutturato da un lato sull’ipotesi dell’estrazione totale o pressoché totale dei dati e,
DIRITTO DI INTERNET N. 1/2020
115
GIURISPRUDENZA CIVILE dall’altro dall’estrazione parziale “intesa in senso quantitativo o qualitativo”, congiunta con la sussistenza di un “pregiudizio ingiustificato”, categorie queste necessariamente bisognevoli di un’interpretazione e delimitazione di carattere pretorio che stabilisca, da un lato, che cosa sia la “parte sostanziale” della banca dati presi in esame e dall’altro lato quale pregiudizio sia “ingiustificato”. Per quanto concerne il caso concretamente sottoposto all’attenzione del presente giudice, TRENITALIA ha allegato una sottrazione “sostanziale” della banca dati da intendersi sotto il profilo esclusivamente quantitativo, derivante dal fatto per cui parte resistente operi mediante il sistematico accesso ed estrazione automatizzata dei dati contenuti nelle proprie banche dati e sottoponga quindi ai clienti delle alternative derivanti dalla pressoché integrale acquisizione dei dati da TRENITALIA ed i loro stoccaggio provvisorio sui propri server. Parte resistente invece ha allegato che l’acquisizione dei dati avviene volta per volta sui propri server mediante il sistema dello “scraping” e che vi è un’acquisizione continuativa nel tempo e selettiva da parte del proprio applicativo dei dati utili al singolo utente che ne fa contestuale richiesta. In termini semplificati i server della società resistente acquisiscono i soli dati utili alla configurazione della richiesta del singolo utente. Questa difformità di allegazione assume un rilievo essenziale alla luce della ricostruzione dell’istituto come effettuata precedentemente, poiché nel primo caso si darebbe luogo a quella acquisizione massiccia e pressoché totale dei dati presenti in una banca dati che fonderebbe correttamente lo jus prohibendi esercitato giudizialmente dalla società Trenitalia; al contrario, se fossero corrette le allegazioni di parte resistente, l’operazione di estrazione dati avverrebbe in maniera selettiva e senza una spoliazione periodica e sistematica della banca dati della società ricorrente. I dati che sono stati forniti in giudizio dalla società TRENITALIA, e che sono stati riversati nella fase cautelare, non appaiono sufficientemente convincenti per poter dare una risposta alla questione precedentemente sottolineata, in quanto il numero, per la verità non impressionante (30% degli accessi sulla totalità degli accessi giornalieri di TRENITALIA peraltro suddivisi nelle ventiquattr’ore) dello scraping effettuato sulla piattaforma della società ricorrente potrebbe essere interpretato come una periodica e selettiva acquisizione di dati da parte del server di GoBright. Non vi è quindi evidenza di una manifesta e di inequivoca sottrazione della banca dati da parte della società resistente. Il numero aritmetico degli accessi riscontrati da TRENITALIA si pone poi in logico contrasto con un sistematico download dei dati da parte dei server della società GoBright Media Ltd, la quale non avrebbe bisogno di effettuare un così alto e capillare numero di accessi se
116
DIRITTO DI INTERNET N. 1/2020
procedesse al download sistematico dei dati TRENITALIA sui propri server. L’acquisizione parcellizzata e non massiva dei dati, considerate anche le prestazioni svolte dalla società, è piuttosto sintomatica di un uso contingente (ogniqualvolta l’utente ne faccia richiesta), circostanza questa che affievolisce significativamente il fumus cautelare evidenziato dal giudice della tutela interinale. Una volta qualificato il prelievo di dati come “parziale” e “non sostanziale” non vi sono elementi a suffragio di un “pregiudizio ingiustificato” della ricorrente. Non può essere pregiudizievole l’attività di comparazione posta in essere dalla Go Bright Ltd con i prezzi dei maggiori competitori, in ragione dell’assenza di evidenza sul fatto che le informazioni fornite siano non veritiere. Appare invece convincente quanto affermato dalla resistente in relazione alla possibile natura anticoncorrenziale dell’iniziativa svolta dalla ricorrente: entrambi i soggetti operano nel medesimo settore commerciale da identificarsi nello specifico mercato della fornitura di informazioni relative ai prodotti ferroviari. Come precedentemente affermato tale specifico settore di mercato appare essenziale, soprattutto nell’ottica dell’esistenza di diversi competitori concorrenti, ai fini della vendita di prodotti da parte dell’operatore dei trasporti. I criteri generali utilizzabili per perimetrare un mercato, geografico e merceologico appaiono qui sovrapponibili. In tale ottica il diniego da parte di Trenitalia della comparazione dei dati sui propri servizi di rispetto a quelli dei principali concorrenti potrebbe effettivamente derivare dalla volontà di impedire profili di comparazione con la principale concorrenza, con effetti distorsivi del mercato dei trasporti. Non appare altrimenti giustificabile l’atteggiamento della società ricorrente, posto che la società TRENITALIA opera come oligopolistica in un mercato estremamente ristretto e quindi beneficia più degli altri operatori commerciali della divulgazione dei dati che viene effettuata da parte della società resistente. Il principio del pregiudizio “ingiustificato” deve essere elaborato anche alla luce della recentissima Direttiva UE 2014-2019 del 20.06.2019, la quale, all’art. 1, promuove la diffusione ed il riutilizzo dei documenti e dei dati in possesso delle imprese pubbliche, in particolare di quelle che agiscono in qualità di operatori di servizio pubblico ai sensi dell’art. 2 del Regolamento 1370-07 (Art. 2: i servizi di trasporto di passeggeri di interesse economico generale offerti al pubblico senza discriminazione e in maniera continuativa). Ai sensi dell’articolo 2) della direttiva, TRENITALIA può ben essere qualificato organismo di diritto pubblico essendo società interamente finanziata dallo Stato e soggetta al controllo dello Stato mediante il ministero dei trasporti, che ne nomina anche gli amministratori.
GIURISPRUDENZA CIVILE Particolarmente significativi appaiono poi i Considerando 24 e 25 i quali, partendo dal presupposto che le imprese pubbliche di servizi di trasporto pubblico sono sottratte all’ambito applicativo della direttiva 98/2003 propugnano la modifica di tale direttiva per garantire che le sue disposizioni possano essere applicate dalle società che svolgono le attività di cui al Reg. 2014/25 o dalle imprese pubbliche che agiscono in qualità di operatori di servizio pubblico a norma dell’articolo due del regolamento 1370/2007. Quando si parla quindi di estrazione, reimpiego ovvero rielaborazione di un quantitativo di dati provenienti da soggetto a cui la disciplina comunitaria impone la massima divulgazione dei dati in proprio possesso, il concetto
di “parte sostanziale” del prelievo deve essere interpretato ed applicato in conformità alla volontà del legislatore comunitario in un’ottica di sostanziale sovrapposizione fra il concetto di “totalità” e quello di “parte sostanziale”. Quindi solo la prova stringente di una sottrazione di una banca dati complessiva può fondare il rilascio di un provvedimento interdittivo. Né vi è oggi evidenza di un effettivo pregiudizio all’attività economica della società ricorrente. Si impone quindi la revoca del provvedimento cautelare emesso inaudita altera parte con integrale compensazione delle spese di lite fra le parti in ragione della estrema complessità e del tecnicismo della materia. …Omissis…
Il Commento
di Bruno Tassone e Marco Barbone* Sommario: 1. Il caso di specie. – 2. Profili di diritto d’autore. – 3. Profili di tutela ai sensi del comma 3 dell’art. 102-bis ss. lda (l’uso della totalità o di una parte sostanziale della banca dati). – 4. (segue:) Ulteriori riflessioni sull’interpretazione del comma 3 dell’art. 102-bis ss. lda. –5. Profili di tutela ai sensi del comma 9 dell’art. 102-bis ss. lda (l’uso di una parte non sostanziale della banca dati in modo pregiudizievole) . – 6. Profili di diritto euro-unitario e normativa antitrust. Il presente contributo ha ad oggetto una decisione del Tribunale delle Imprese di Roma resa con riferimento all’attività di estrazione, acquisizione e reimpiego dei dati pubblicati sul sito di una primaria società attiva nella fornitura di servizi di trasporto ferroviario da parte di altra società attiva nella fornitura di servizi di informazione in tale settore. Gli Autori, in particolare, esaminano le condotte di web harvesting, scraping or data extraction poste in essere dalla società resistente alla luce della legge italiana sul diritto d’autore del 22 aprile 1941, n. 633, del diritto antitrust italiano ed euro-unitario, nonché della Direttiva UE 2019/1024 del Parlamento europeo e del Consiglio del 20 giugno 2019 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico, svolgendo varie considerazioni sul modo in cui tali normative interagiscono fra loro ai fini della definizione del regime di tutela delle banche dati effettivamente vigente. The essay deals with a recent decision of the Company Tribunal of Rome about the activities of extraction, acquisition and re-use of data made public on the website of a major company active in the field of the rail transportation services by another company active in the field of the information services in such a sector. The Authors examine the conducts of “web harvesting, scraping or data extraction” carried out by the respondent in the light of the Italian copyright law of April 22, 1941, no. 633, of the Italian and European antitrust law and of the EU Directive 2019/1024 of the European Parliament and of the Council of 20 June 2019 on open data and the re-use of public sector information, in order to offer several considerations on how the recalled regulations interact and the regime of protection of data-bases is consequently defined.
1. Il caso di specie
La decisione che si annota è di particolare interesse intanto perché essa offre notevoli spunti interpretativi con riguardo alle (assai “tecniche” e specifiche) disposizioni che la legge sul diritto d’autore (cioè la n. 633 del 22 aprile 1941, di seguito “lda”) appronta rispetto alla tutela del diritto c.d. sui generis del costitutore di una banca dati: considerate sia di per sé, sia rispetto alle operazioni che avvengono in rete. Inoltre, la pronuncia svolge la propria attività ermeneutica tenendo presenti (*) Sebbene il contributo sia dovuto all’opera inscindibile dei due Autori, i Paragrafi 1, 2 e 3 vanno attributi a Marco Barbone, mentre i Paragrafi 4, 5 e 6 a Bruno Tassone.
tanto i principi del diritto antitrust (italiano ed euro-unitario), quando la recentissima Direttiva UE 1024/2019 del Parlamento europeo e del Consiglio del 20 giugno 2019 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico. Per meglio comprendere le statuizioni dell’ordinanza cautelare di cui si tratta è opportuno, come sempre, partire dalla fattispecie concreta. Con ricorso ex artt. 163 ss. lda e 131 ss. del Codice della Proprietà Industriale (d.lgs. 30/2005) la società Trenitalia S.p.A. chiedeva al Tribunale delle Imprese di Roma di ordinare alla società GoBright Media Ltd. l’immediata cessazione dell’attività di estrazione, riproduzione e diffusione delle informazioni contenute nella banca dati
DIRITTO DI INTERNET N. 1/2020
117
GIURISPRUDENZA CIVILE della prima accessibile tramite due siti dalla medesima gestiti, poi fornite da GoBright agli utenti mediante il proprio applicativo informatico denominato TRENÌT. In specie, Trenitalia premetteva che le trattative volte a trovare un’intesa tra le parti circa l’uso della banca dati da essa costituita – attraverso la quale venivano fornite agli utenti informazioni su orari, binari di partenza, arrivo dei treni nelle varie stazioni italiane, ritardi, mappe e percorsi – erano state lunghe e articolate, senza però sfociare nella conclusione di alcun accordo di natura commerciale. Trenitalia, dunque, contestava la liceità della descritta attività di estrazione e manipolazione delle informazioni effettuate da GoBright, in un primo tempo diffidando la stessa in via stragiudiziale e, in un secondo tempo, agendo in via cautelare ai fini dell’inibitoria dall’estrazione dei dati sui servizi di trasporto ferroviario ai sensi dell’art. 102 bis ss. lda, ritenendo ciò necessario a tutelare l’investimento effettuato per aggiornare, integrare e costituire detta banca dati. In data 26 giugno 2019 il Tribunale di Roma emetteva un decreto inaudita altera parte con il quale ordinava a GoBright la cessazione di ogni attività di estrazione, reimpiego, diffusione delle informazioni contenute nella banca dati di Trenitalia, fissando una penale per ogni violazione accertata e per ogni giorno di ritardo nell’esecuzione del provvedimento, riservando al prosieguo ogni decisione sulle ulteriori misure cautelari richieste dalla ricorrente. Notificato il decreto alla resistente, la medesima si costituiva in giudizio contestando integralmente la domanda cautelare e chiedendo – oltre alla revoca del ridetto provvedimento – l’anticipazione dell’udienza di trattazione, così ri-fissata in periodo feriale e con conseguente assegnazione del procedimento ad altro giudice della medesima Sezione Specializzata per l’Impresa (cioè la Sezione XVI) del Tribunale Civile di Roma. Nella specie GoBright evidenziava che la natura di soggetto pubblico di Trenitalia le avrebbe imposto, a monte, di procedere alla pubblicazione dei dati e a consentire un libero accesso agli stessi; che l’attività di estrazione non poteva dirsi comunque automatizzata e pertanto illecita, a valle, in quanto la raccolta delle informazioni avveniva solo sulla base delle singole richieste provenienti di volta in volta dagli utenti; che l’inibitoria domandata da Trenitalia pregiudicava in ogni caso il libero accesso del consumatore alle informazioni de quibus, rafforzando la posizione dominante detenuta dalla medesima Trenitalia sul mercato del trasporto ferroviario. A sua volta Trenitalia – negata la propria natura di soggetto pubblico – replicava che l’attività di estrazione dati di cui si tratta doveva invece considerarsi massiccia in considerazione del numero di accessi effettuato dalla resistente, pari al 30% del flusso giornaliero totale; aggiungeva che l’attività della resistente aveva peraltro
118
DIRITTO DI INTERNET N. 1/2020
portato ad un rallentamento del servizio informativo da essa ricorrente fornito per via del sovraccarico provocato sui server e aveva avuto luogo anche tramite la propalazione di informazioni non veritiere o parziali (ad esempio, non menzionando alcuni servizi accessori erogati dalla stessa Trenitalia, bensì e solo i prezzi dei biglietti), sì da arrecarle pregiudizio; infine, includeva fra i fatti costitutivi del proprio diritto il rifiuto di GoBright di concludere una licenza d’uso per l’utilizzo della banca dati e, dunque, di farsi carico dei relativi oneri. Il Tribunale adito, una volta instaurato il contraddittorio, rigettava tuttavia la domanda. A parere del giudice della cautela la documentazione addotta a sostegno dei fatti prodotta da Trenitalia non dimostrava l’esistenza una trattativa relativa alla licenza d’uso (ma solo alla possibile distribuzione dei biglietti della ricorrente), né risultavano dimostrate le conseguenze pregiudizievoli in tesi derivanti dall’attività della resistente di cui sopra, sicché occorreva in primo luogo stabilire se GoBright avesse o no utilizzato la banca in modo legittimo. Il Tribunale – come meglio si vedrà in appresso – giunge alla conclusione per cui, nel caso di specie, non si riscontrava né l’uso di una parte sostanziale della banca dati in questione ai sensi del comma 3 dell’art 102-bis lda, né l’uso di una parte sostanziale ovvero di una parte da non ritenersi tale ma in modo pregiudizievole per il costitutore ai sensi del comma 9, proprio sulla scorta della interpretazione data alle norme di cui in apertura. Prima di trattarne, tuttavia, occorre meglio definire la portata della pronuncia chiarendo che essa si occupa solo del diritto c.d. sui generis contemplato dai Capi I e II del Titolo II-bis della lda in parola e non anche della protezione che la medesima fornisce ai sensi del Capo III del Titolo I alle banche dati ove considerate quali opere dell’ingegno.
2. Profili di diritto d’autore
Prima di approfondire i limiti che l’ordinamento pone all’attività di estrazione e reimpiego di dati contenuti in una banca dati altrui – anche attraverso la tecnica del web haervesting, scraping or data extraction (de seguito e per brevità menzionato solo come “scraping”) – in ragione della tutela riconosciuta al suo costitutore per via dell’investimento effettuato per crearla, è necessario distinguere la duplice regolamentazione che la legge sul diritto d’autore detta in materia: definendo quali banche dati proteggibili ex art. 2, n. 9, quelle aventi carattere creativo, intese come “raccolte di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti ed individualmente accessibili grazie a mezzi elettronici o in altro modo”, laddove le banche dati proteggibili solo ex art. 102 bis – perché non aventi carattere creativo – sono quelle risultanti dall’impiego
GIURISPRUDENZA CIVILE di un “investimento rilevante, in termini finanziari, di tempo e di lavoro”, in linea con una delle principali rationes che, in generale, spiega perché sono tutelati i c.d. diritti connessi (e che appare comune al diritto in parola, nonostante i dibattiti dottrinari circa la sua corretta qualificazione e l’opzione a suo tempo prescelta dal legislatore comunitario nel senso di non includerlo, appunto, fra tali diritti) (1). Ebbene, dalla ordinanza in commento emerge chiaramente come nel caso de quo non ricorra la prima ipotesi, nonostante gli orientamenti della Suprema Corte intervenuti in materia, a tenore dei quali il riconoscimento dei requisiti necessari per la tutela autorale – ovvero la creatività e l’originalità – possono sussistere anche quando una banca dati sia composta da idee e nozioni semplici, purché formulate ed organizzate in modo autonomo rispetto alle precedenti (2). In effetti, i criteri di selezione, combinazione e confronto, nonché le modalità con cui erano disposti i dati nella banca dati di Trenitalia, non sembrano presentare quel quid di autonomia e di apporto personale rispetto all’insieme di dati già esistente in quanto discendente dal servizio di trasporto offerto, sì da non integrare quei criteri di creatività e originalità richiesti anche dai Considerando 15 e 16 della Direttiva 96/9/CE, oltre che dai principi su cui si fonda la legge speciale su diritto d’autore (3). Dunque, le caratteristiche proprie della banca dati della ricorrente lascerebbero ragionevolmente intendere che la protezione garantita dal diritto d’autore sia in tal caso preclusa, dovendo considerarsi peraltro assai raro il caso in cui un database di informazioni per i viaggiatori (contenente, ad esempio, la mera raccolta di orari di partenza e di arrivi) possa ritenersi dotato di un carattere creativo avuto riguardo alla selezione e alla diposizione delle informazioni. Di contro, la banca data oggetto della pronuncia in commento pare possa giustamente godere del citato diritto (1) Per un più ampio commento alle disposizioni sopra citate, nonché per ampia citazione di dottrina e giurisprudenza circa il più generale tema dell’inquadramento dei diritti connessi e del diritto del costitutore di una banca dati, per tutti e da ultimo, Ubertazzi, Commentario breve alle leggi su proprietà intellettuale concorrenza, Padova, 2019, 2111 ss. (2) Si vedano Cass. 13 giugno 2014, n. 13524, reperibile all’indirizzo <https://sentenze.laleggepertutti.it/>, Cass. 27 ottobre 2005, n. 20925, in banca dati “Sprint – Sistema Proprietà Intellettuale”, reperibile all’indirizzo <https://sistemaproprietaintellettuale.it/>, e ancora Cass. 2 febbraio 1993, n. 11953, in Riv. dir. ind., 1994, II, 157 ss. (3) In specie, i Considerando 15 e 16 della Direttiva di cui nel testo definiscono i criteri affinché ad una banca dati possa essere accordata tutela autorale, in specie con riferimento alla sua struttura, dovendosi valutare se la scelta o la disposizione del contenuto della stessa sia frutto della creazione intellettuale dell’autore e, a prescindere dal valore estetico o dalla qualità della banca dati, se possa ritenersi soddisfatto il citato requisito della originalità, seppur minima.
c.d. sui generis (ex art. 102 bis lda), cioè della tutela secondaria e minore (rispetto all’apparato dei diritti patrimoniali e morali d’autore di cui agli artt. 12 ss. lda) definita dalle norme fra un attimo commentate, riscontrandosi comunque una scelta e organizzazione espositiva di dati informativi, seppur non creativa, derivante da un investimento rilevante, come richiesto anche dalla suddetta Direttiva 96/9 con i Considerando 40 e 41. In proposito, è pacifico che la fattispecie costitutiva del diritto “sui generis” sia rappresentata dall’investimento affrontato per il conseguimento, la verifica e la presentazione del contenuto della banca dati, il quale deve mostrarsi come rilevante sotto il profilo quantitativo o qualitativo; e – ove la costituzione della banca dati sia un sottoprodotto dell’attività principale del costitutore –, dovrà essere ben distinto dagli investimenti volti invece alla produzione o erogazione dei beni o servizi forniti, secondo un aspetto sul quale si avrà modo di tornare (ad altri fini) nel prosieguo (4).
3. Profili di tutela ai sensi del comma 3 dell’art. 102-bis ss. lda (l’uso della totalità o di una parte sostanziale della banca dati)
Come si è anticipato in premessa, il primo problema che il Tribunale di Roma deve affrontare attiene all’interpretazione del comma 3 dell’art. 102-bis lda, a tenore del quale “[i]ndipendentemente dalla tutelabilità della banca di dati a norma del diritto d’autore o di altri diritti e senza pregiudizio dei diritti sul contenuto o parti di esso, il costitutore di una banca di dati ha il diritto, per la durata e alle condizioni stabilite dal presente Capo, di vietare le operazioni di estrazione ovvero reimpiego della totalità o di una parte sostanziale della stessa”. Solo se l’utilizzo non riguarda la totalità o una parte sostanziale del contenuto della banca dati – precisa il giudice capitolino –, viene in considerazione il comma 9 della medesima norma, secondo cui “[n]on sono consentiti l’estrazione o il reimpiego ripetuti e sistematici di parti non sostanziali del contenuto della banca di dati, qualora presuppongano operazioni contrarie alla normale gestione della banca di dati o arrechino un pregiudizio ingiustificato al costitutore della banca di dati”. Tuttavia – ecco un elemento di interesse –, si afferma che entrambe le disposizioni devono essere oggetto di una lettura sistematica la quale contempli la prima parte del comma 3 dell’art. 102-ter lda per il quale “[n]on sono soggette all’autorizzazione del costitutore della banca di dati messa per qualsiasi motivo a disposizione del pubblico le attività di estrazione o reimpiego di parti non sostanziali, valutate in termini qualitativi e quantitativi,
(4) Sul punto ancora Ubertazzi, Commentario breve, cit., 2112 ss.
DIRITTO DI INTERNET N. 1/2020
119
GIURISPRUDENZA CIVILE del contenuto della banca di dati per qualsivoglia fine effettuate dall’utente legittimo”. Or bene, dalla considerazione del combinato disposto delle norme di cui si tratta il Tribunale delle Imprese di Roma trae la regola per cui, una volta che la banca dati sia posta a disposizione del pubblico, devono considerarsi ammesse tutte quelle attività di estrazione, riproduzione e rielaborazione dei contenuti da parte di tutti gli utenti legittimi – fra i quali non si collocano i soli potenziali passeggeri, ma anche società come la resistente che le usa per offrire propri servizi –a condizione che la riutilizzazione e il reimpiego dei dati non avvengano in maniera massiccia, cioè non riguardino una parte sostanziale della banca dati: la quale va valutata – ecco il risultato dell’interpretazione sistematica di cui sopra – in termini qualitativi e quantitativi secondo i parametri tratti dal comma 3 dell’art. 102-ter lda, con soluzione la quale è del resto in linea con quella adottata da altre decisioni (5). In proposito, si è visto che Trenitalia rivendicava una sottrazione “sostanziale” delle informazioni, tuttavia definendola esclusivamente sotto il profilo quantitativo: rispetto alla quale GoBright si difendeva facendo presente che la propria attività di “scraping” consisteva in una acquisizione parcellizzata e selettiva dei dati in considerazione delle modalità di funzionamento dell’applicazione TRENIT, che operava sì in base ad uno specifico software, ma solo su richiesta dei singoli utenti. A parere del Tribunale una tale forma di “scraping” portava allora ad una “spoliazione” meramente occasionale e non sistematica, dacché l’acquisizione dei dati da parte di GoBright non avveniva per così dire in via preventiva, ma solo quando un viaggiatore chiedeva l’estrazione di specifiche informazioni. Inoltre, appurata la natura del prelievo di dati come “parziale” e “non sostanziale”, il Tribunale – come si vedrà fra breve – non riscontrava nemmeno la ricorrenza del “pregiudizio ingiustificato” paventato da Trenitalia ai sensi del comma 9 dell’art. 102-bis lda, sicché l’attività di estrazione dati di GoBright doveva ritenersi lecita, ovvero compiuta entro i limiti di ciò che è consentito all’utente legittimo ai sensi della Direttiva 96/9/CE oltre che degli stessi artt. 102-bis e 102 ter LDA (6). (5) Si vedano Trib. Milano, Sez. Spec. Prop. Ind. e Int., 4 giugno 2013, n.7825, in banca dati DeJure, disponibile presso <https://dejure.it>, e Trib. Milano, Sez. Spec. Prop. Ind. e Ind. ,4 giugno 2013, n.7808, ibid., cui aggiungere CGUE 9 novembre 2004, C-203/02, consultabile presso <https://curia.europa.eu/jcms/jcms/j_6/it/>, nonché – da ultimo – CGUE 5 marzo 2009, C-545/07, reperibile presso <https://eur-lex. europa.eu/homepage.html?locale=it>. (6) Quanto alla direttiva di cui nel testo va ricordato che essa demanda agli Stati membri dell’Unione di consentire al costitutore della banca di dati di vietare operazioni di estrazione e/o reimpiego della totalità o di parte sostanziale delle informazioni contenute, avuto riguardo all’ele-
120
DIRITTO DI INTERNET N. 1/2020
Ebbene, prima di tornare sul secondo aspetto affrontato (sebbene più rapidamente) dal Tribunale di Roma – cioè quello afferente al pregiudizio derivante dall’uso di una parte non sostanziale della banca dati –, il modo in cui è stato definitivamente deciso il primo merita quale ulteriore considerazione.
4. (segue:) Ulteriori riflessioni sull’interpretazione del comma 3 dell’art. 102bis ss. lda
Guardando più da vicino alla fattispecie oggetto dell’ordinanza in commento, le ragioni per cui l’estrazione e il reimpiego dei dati posti in essere da GoBright non si ritengono riguardare una parte sostanziale della banca dati di Trenitalia sollecitano alcuni interrogativi, che appare utile affrontare anche per meglio definire la portata della norma sul piano generale. Un primo interrogativo è legato al fatto che l’estrazione dei dati dai due siti della società ricorrente viene ritenuta parziale perché – come detto – essa aveva luogo esclusivamente quando era formulata una specifica query da parte di un potenziale utente: il che avrebbe richiesto, tuttavia, di chiarire – in relazione alla interpretazione norma di cui in epigrafe – cosa si intendeva laddove si sosteneva che ciò avveniva, in modo lecito, solo “nel momento in cui vi è una richiesta” e/o “ogniqualvolta l’utente ne faccia richiesta”. La definizione di tale aspetto è assai rilevante per stabilire se la acquisizione sia o no sostanziale, in considerazione del fatto che – come pure si è detto – il criterio da applicare in materia è sia quantitativo sia qualitativo, come affermano la decisione in commento e la giurisprudenza sopra citata. Ebbene, è chiaro che sotto il primo profilo il riferimento è al volume dei dati estratti e/o reimpiegati in relazione al volume del contenuto totale della banca dati. Se un utente estrae e/o reimpiega una parte quantitativamente rilevante del contenuto di una banca dati, la cui costituzione ha richiesto l’impiego di mezzi rilevanti, l’investimento relativo alla parte estratta e/o reimpiegata è, proporzionalmente, parimenti rilevante. Ne deriva che la parola “ogniqualvolta” usata dalla decisione dà vita ad un parametro di riferimento temporale in parte incerto, non definendo essa un confine chiaro
mento quantitativo ovvero qualitativo, ed in quanto tali dati si traducano in un investimento rilevante sotto il profilo quantitativo o qualitativo. A tale disposizione, contenuta all’art. 7, paragrafo 1 della stessa, si aggiunge quanto disposto al successivo paragrafo 5 secondo cui “non sono consentiti l’estrazione e/o il reimpiego ripetuti e sistematici di parti non sostanziai del contenuto della banca di dati che presuppongono operazioni contrarie alla normale gestione della banca dati o che arrechino un pregiudizio ingiustificato ai legittimi interessi del costitutore della banca dati”.
GIURISPRUDENZA CIVILE e, inoltre, potendo legittimare un accesso continuo ad una banca dati al fine di estrarre quantitativi sostanziali. In altri termini, una tecnologia la quale permetta di interrogare una baca dati in maniera sistematica, ogniqualvolta l’utente ne faccia richiesta, può consentire operazioni di estrazione e/o di reimpiego di una sua parte sostanziale o persino della sua totalità: per cui non si poteva escludere che, a seconda del lasso di tempo considerato, le costanti queries effettuate dal sistema TRENIT su richiesta degli utenti, pur operando su singoli dati quantitativamente e qualitativamente delimitati, potessero consentire, nel loro complesso, di estrarre e reimpiegare una parte sostanziale delle informazioni contenute nel database di Trenitalia. In proposito si deve ricordare che secondo la Corte di Giustizia UE – le cui decisioni hanno carattere sovraordinato alla stessa normativa interna (nel momento in cui interpretano quella euro-unitaria, alla quale la seconda si deve conformare per via della immediata sua disapplicazione in caso di conflitto o, comunque, per via interpretativa) – che secondo una decisione in materia “il divieto di cui all’art. 7, n. 5 della direttiva 96/9 riguarda le operazioni non autorizzate di estrazione e/o reimpiego che, mediante il loro effetto cumulativo, mirano a ricostituire e/o a mettere a disposizione del pubblico, senza l’autorizzazione del costitutore della banca dati, la totalità o una parte sostanziale del contenuto della detta banca dati, e che pregiudicano pertanto gravemente l’investimento di tale soggetto” (7). Dunque, nel caso che ci occupa si potrebbe ritenere che pur operando su singoli dati quantitativamente e qualitativamente marginali e solo temporaneamente trasferiti su altro supporto, le costanti interrogazioni effettuate dal sistema di GoBright avrebbero potuto mettere a disposizione degli utenti di esso (quindi “reimpiegare”) una parte sostanziale della banca dati della ricorrente. In senso contrario si potrebbero però formulare alcune obiezioni – facendo sorgere ulteriori interrogativi – rispetto al dato per cui gli accessi degli utenti per così dire “veicolati” da GoBright erano pari, come visto, al 30% di quelli totali: laddove la percentuale appena citata è però e di per sé “muta” rispetto al suo rapporto con la percentuale di dati estratti. Si potrebbe ad esempio ipotizzare che GoBright (o, più in generale, un soggetto che gestisce un simile servizio) abbia preventivamente archiviato gli orari che Trenitalia diffonde periodicamente e che rimangono “fissi” per un certo numero di mesi, per cui gli accessi degli utenti intercettano solo quelli dotati di un vero “valore aggiunto” in quanto “variabili”, perché inerenti – ad esempio – a ritardi o mutamenti di percorsi.
Di contro, se – per ipotesi, sebbene di scuola – il 30% degli accessi ha ad oggetto sempre e solo un singolo dato sulle centinaia di migliaia o milioni presenti nella banca dati, è chiaro che esso porta all’estrazione di una informazione di carattere veramente marginale e assai lontana dalle quantità che possono farla definire come “sostanziale”. Pertanto, è soprattutto in base ad una duplice considerazione di carattere processuale che la decisione del Tribunale di Roma può considerarsi corretta rispetto all’accertamento dell’elemento quantitativo: per un verso la natura cautelare del giudizio non consentiva ovviamente un accertamento dotato della profondità che caratterizza la cognizione ordinaria (evidentemente più adeguata a sciogliere gli interrogativi posti), per l’altro verso l’onere della prova spettava certamente al costitutore, sicché – in assenza di maggiori elementi dallo stesso forniti – la statuizione sulla domanda cautelare non poteva che essere di netto rigetto. Venendo al secondo profilo, quello qualitativo, sempre la giurisprudenza della Corte di Giustizia fa riferimento al valore di mercato delle informazioni contenute nella banca dati e, dunque, all’ingente investimento collegato al conseguimento, alla verifica o alla presentazione dei singoli dati oggetto di estrazione e/o di reimpiego, indipendentemente dal fatto che essi rappresentino una parte quantitativamente sostanziale del contenuto generale della banca di dati tutelata (8). Ne deriva che anche una parte quantitativamente trascurabile del contenuto di una banca di dati può corrispondere in termini di conseguimento, di verifica o di presentazione, ad un considerevole investimento umano, tecnico o finanziario, nonché ad un elevato valore commerciale delle informazioni di cui si tratta. Peraltro, ai fini di una valutazione obiettiva della “sostanzialità” sempre la Corte di Giustizia UE precisa che – come sopra accennato – essa deve essere rapportata proprio all’investimento specifico effettuato dal costitutore ossia quello profuso autonomamente e direttamente rispetto alla banca dati e non anche per un’attività diversa di cui la banca dati sia il mero “risultato” (come sembra essere per lo più accaduto nella vicenda in questione): solo nel primo caso ha infatti una maggiore ragion d’essere la pretesa del costitutore di salvaguardare “la retribuzione del suo investimento” e di tutelare la banca dati contro l’appropriazione non autorizzata dell’intera banca dati e/o di una parte sostanziale della stessa ad opera di un utente o un concorrente ad un
(7) Il richiamo è ancora a CGUE 9 novembre 2004, C-338/02, cit.
(8) Si veda nuovo CGUE 9 novembre 2004, C-338/02, cit.
DIRITTO DI INTERNET N. 1/2020
121
GIURISPRUDENZA CIVILE costo molto inferiore a quello necessario per una costituzione autonoma (9). Pertanto, ai fini della valutazione della rilevanza dell’investimento si dovrebbe operare una distinzione tra quegli investimenti necessari alla creazione dei dati stessi, cioè alla generazione dell’informazione sulla base di determinati parametri (ad esempio la data, la disponibilità dei posti, etc.) e quelli invece necessari alla sola loro raccolta e presentazione (10). E tale criterio è del resto in linea con l’insegnamento dei giudici di Lussemburgo per cui la “valutazione quantitativa […] fa riferimento a mezzi quantificabili numericamente e la valutazione qualitativa a sforzi non quantificabili, quali uno sforzo intellettuale o un dispendio di energie, come risulta dal settimo, trentanovesimo e quarantesimo Considerando della direttiva di riferimento” (11). Anche sotto l’aspetto appena indicato è chiaro che – secondo quanto si apprende dalla decisione – Trenitalia non ha svolto alcuna efficace attività probatoria e, ancor prima, di allegazione, sicché le regole sull’onus probandi giustificavano pienamente, ancora una volta, la decisione in commento: la quale si è correttamente appuntata sul dato solo quantitativo, con le conseguenze sopra viste. In proposito, vale poi la pena di sollevare un terzo e ultimo interrogativo. Secondo il Tribunale il picco di accessi giornaliero era pari ad 800.000 circa, quale un numero che indica le richieste ricevute da GoBright per così dire “ribaltate” in via automatica sui due siti di Trenitalia tramite la piattaforma TRENIT: sicché è fondamentale stabilire, sotto il profilo sostanziale e cioè ai fini della valutazione della condotta della resistente, se davvero tali accessi fossero “imputabili” alla stessa società resistente, sì da generare l’effetto cumulativo di cui sopra o se, invece, non andassero attribuiti a ogni singola persona fisica e/o giuridica che ne ha fatto richiesta. Orbene, la risposta è assai chiara sotto il profilo “tecnico” e materiale – nel senso che si tratta di accessi della resistente – anche perché resi possibili dal software dalla medesima usato e anche perché la nozione giuridica di “estrazione” include pure il trasferimento temporaneo. Tuttavia, il fatto che l’attività descritta consenta al soggetto che la organizza di conseguire lauti profitti o che, (9) In tali termini sempre CGUE 9 novembre 2004, C-338/02, cit., con riferimento alla nozione di investimento collegato al conseguimento, alla verifica o alla presentazione del contenuto di una banca di dati. (10) Il richiamo è Trib. Milano, Sez. Spec. Prop Ind. e Int., 4 giugno 2013, n. 7808, cit. (11) Sulla stessa linea CGUE 9 novembre 2004, C-338/02, cit., con riferimento alla nozione di investimento collegato al conseguimento, alla verifica o alla presentazione del contenuto di una banca di dati.
122
DIRITTO DI INTERNET N. 1/2020
invece, ne derivino conseguenze socialmente desiderabili non può non incidere – almeno di fatto e nonostante l’affermazione della Corte di Giustizia a tenore della quale l’obiettivo perseguito dall’operazione di trasferimento è irrilevante per definire la ridetta nozione di “estrazione” di per sé considerata – sulla valutazione che il criterio qualitativo richiama, oltre che sulla interpretazione del comma 9: al quale ora si rivolgerà l’attenzione, con riserva di tornare in chiusura sugli aspetti appena evocati (12).
5. Profili di tutela ai sensi del comma 9 dell’art. 102-bis ss. lda (l’uso di una parte non sostanziale della banca dati in modo pregiudizievole)
Come pure si è anticipato, il Tribunale capitolino si sofferma assai rapidamente sul profilo attinente al pregiudizio derivante dell’uso non sostanziale della banca dati di cui si tratta, soprattutto per via delle carenze istruttorie che di nuovo caratterizzano la azione della ricorrente, cui se ne aggiungono altre di natura assertiva. È infatti evidente che l’affermazione per cui il danno derivava dal non aver concluso la resistente una licenza d’uso rispetto al contenuto della banca dati è viziata da circolarità: dovendosi chiaramente provare che l’attività era illecita – in base ad altri presupposti – prima di poter pretendere la conclusione di una licenza. E – ancora – è chiaro che va nella medesima direzione la mancata prova del rallentamento del servizio dovuto al sovraccarico dei server, così come quella del carattere non veritiero o parziale delle informazioni fornite. Per quanto l’affermazione della liceità dell’attività della resistente anche ai sensi del comma 9 appaia dunque scontata, le brevi considerazioni portate all’attenzione del lettore valgono però a chiarire che il pregiudizio di cui parla la norma non dovrebbe essere identificato con il beneficio che l’utilizzatore consegue a scapito dell’investimento del costitutore: il quale rileva – per così dire – iuris et de iure solo quando la “spoliazione” (per usare le parole della decisione in commento) è totale e va invece valutato su altre basi, come detto, quanto essa è solo sostanziale. Infine, quando l’uso non riguarda nemmeno una parte sostanziale la valutazione del pregiudizio potrà ancor di più giovarsi di considerazioni che non riguardano la semplice appropriazione del contenuto e dell’investimento di per sé considerati, come dimostra l’ulteriore allegazione di Trenitalia che, a veder bene, si trasforma in un boomerang e che ci conduce alle considerazioni conclusive: quella con cui la medesima lamentava che GoBright “oltre a fornire i dati che erano nella esclusiva
(12) Sul punto di nuovo Ubertazzi, Commentario breve, cit., 2112 ss.
GIURISPRUDENZA CIVILE disponibilità della società ricorrente, operava dei profili comparativi con i servizi offerti dalle principali società concorrenti”.
6. Profili di diritto euro-unitario e normativa antitrust
Gli aspetti più interessanti della decisione si rinvengono, probabilmente, nella sua parte finale, ove il Tribunale di Roma fa entrare nel bilanciamento di interessi che le citate norme consentono di operare varie considerazioni orientate ad una lettura pro-concorrenziale della disciplina. Invero, l’ordinanza è assai chiara nel sottolineare “la possibile natura anticoncorrenziale dell’iniziativa svolta dalla ricorrente”, dacché “entrambi i soggetti operano nel medesimo settore commerciale da identificarsi nello specifico mercato della fornitura di informazioni relative ai prodotti ferroviari” e “tale specifico settore di mercato appare essenziale, soprattutto nell’ottica dell’esistenza di diversi competitori concorrenti, ai fini della vendita di prodotti da parte dell’operatore dei trasporti”, cui aggiungere che “il diniego da parte di Trenitalia della comparazione dei dati sui propri servizi di rispetto a quelli dei principali concorrenti potrebbe effettivamente derivare dalla volontà di impedire profili di comparazione con la principale concorrenza, con effetti distorsivi del mercato dei trasporti”: sicché non “appare altrimenti giustificabile l’atteggiamento della società ricorrente, posto che la società Trenitalia opera come oligopolistica in un mercato estremamente ristretto e quindi beneficia più degli altri operatori commerciali della divulgazione dei dati che viene effettuata da parte della società resistente”. Premesso che non constano precedenti in termini su tale specifico aspetto, le considerazioni del giudice capitolino richiamano quelle più generali svolte dalla dottrina e dalla giurisprudenza circa il problematico rapporto fra proprietà intellettuale e concorrenza, che in almeno una assai rilevante occasione coinvolge le banche dati, come emerge considerando la elaborazione intervenuta sulla essential facility doctrine. In effetti, pur se non è questa la sede per tornare diffusamente sul tema, è noto che i primi casi tramite i quali tale doctrine è stata elaborata risalgono all’inizio degli anni ’90 e riguardano strutture portuali nonché aeroportuali, sicché si inizia a delineare una fattispecie di abuso attorno al diniego di consentire l’accesso ad una risorsa ritenuta indispensabile per l’esercizio dell’attività dell’impresa di chi chiede di poterla condividere (13). Ma di lì a poco, con il caso Oscar Bronner, essa (13) Per più ampie riflessioni sia permesso il richiamo a Tassone, DRM e rifiuto di licenza nel caso Virgin v. Apple: questione di FairPlay?, in Annali Italiani del Diritto D’Autore, 2005, 376 ss., ove anche vari riferimenti che
si confronta con il settore della distribuzione su scala nazionale dei quotidiani, per poi compiere un salto al settore della proprietà intellettuale nel caso Magill con riferimento al rifiuto di tre emittenti via etere irlandesi di concedere ad una impresa editoriale il diritto di pubblicare i propri palinsesti (protetti dal diritto d’autore) per impedirle di stampare e commercializzare una guida onnicomprensiva settimanale dei programmi televisivi (che avrebbe evidentemente soppiantato le singole guide pubblicate dalle tre emittenti) (14). E così si arriva al caso IMS in cui, dopo una pronuncia cautelare di segno diverso della Commissione (poi sospesa dal Tribunale di Primo Grado, con successivo ritiro del provvedimento da parte della prima), si afferma che non costituisce una essential facility un sistema (protetto dal diritto d’autore quale banca dati, appunto) per la raccolta di dati statistici relativi alle vendite regionali di prodotti farmaceutici e basato su una suddivisione del territorio tedesco in 1860 aree («bricks») (15). Ebbene, una volta rilevato che – in verità – la doctrine stenta ad avere una reale ragion d’essere e appare in molti casi un “sinonimo” rispetto all’abuso di una posizione di dominanza, i brevi richiami appena effettuati rendono ancora più chiara la preoccupazione che giustamente anima l’estensore della odierna decisione (16): quella per cui un incontrollato esercizio del diritto a struttura proprietaria che caratterizza anche la posizione del costitutore di una banca dati da parte di un soggetto in posizione di preminenza sul mercato si possa tradurre in un abuso il quale impedisce il positivo dispiegarsi della concorrenza. E in proposito non si può non ricordare – sul piano fenomenologico – come sia noto che i servizi di informazione che consentono la comparazione dei prezzi dei
ora possono essere aggiornati con quelli contenuti ancora una volta con Ubertazzi, Commentario breve, cit., 3015 ss. e passim. (14) Per il primo caso il riferimento è a CGCE 26 novembre 1998, causa C-7/97, in Raccolta, 1998, 7791 ss., per il secondo CGCE 6 aprile 1995, cause riunite C-241/91 e C-242/91, in Raccolta, 1995, 743 ss. Si noti che le tre emittenti avevano concesso licenze parziali ai quotidiani e ad altre riviste per la pubblicazione della programmazione giornaliera e in taluni casi anche – ma solo per “estratti” riguardanti i prodotti più appetibili – di quella settimanale. (15) CGUE 29 aprile 2004, causa C-418/01, in Foro it., 2004, IV, 359, con nota di Bastianon, Il caso «IMS»: abuso di posizione dominante o legittimo esercizio del diritto d’autore?. La decisione è altresì commentata, fra gli altri, da Arezzo, Competition policy and Ipr’s: an open debate over an ever-green issue, in Dir. aut., 2004, 315 ss. (16) Nel senso che è “possibile riclassificare tutte le condizioni (di sapore regolatorio) normalmente richieste per l’applicazione della nozione di EF (condivisibilità, essenzialità e non duplicabilità dell’asset) come altrettanti requisiti per definire il mercato rilevante (che si intende aprire) e applicare la nozione di abuso di posizione dominante”, già Polo, Commento a Durante - Moglia - Nicita, La nozione di Essential Facility tra regolamentazione e antitrust, in Mercato concorr. reg., 2001, 294 ss.
DIRITTO DI INTERNET N. 1/2020
123
GIURISPRUDENZA CIVILE servizi nel settore dei trasporti, non solo ferroviari, sono assai diffusi e permettono ai consumatori un confronto immediato (e, a volte, anche l’acquisto diretto dei titoli di viaggio, con conseguente abbattimento dei costi di transazione) fra le prestazioni offerte dai vari operatori, spesso senza alcun onere per i consumatori medesimi. Del resto, che il richiamato tema afferente al rapporto fra proprietà intellettuale e concorrenza venga in rilievo anche rispetto alla disciplina delle banche dati, lo confermano pure l’art. 16 e il Considerando 47 della Direttiva 96/9, secondo i quali la protezione del diritto sui generis non deve essere esercitata in modo da favorire gli abusi di posizione dominante: dovendosi al contrario incentivare la creazione e diffusione di nuovi prodotti e servizi a valore aggiunto di ordine intellettuale, documentale, tecnico, economico e commerciale, così rimanendo impregiudicata l’applicazione delle regole sulla concorrenza, nazionale e comunitaria (17). Viene ancora una volta confermato, dunque, che anche un diritto assoluto di proprietà intellettuale deve essere esercitato per le finalità per cui l’ordinamento lo riconosce, quale premio degli sforzi di investimento e innovazione compiuti dal titolare, non per creare artificiali ripartizioni del mercato o pregiudicare la concorrenza nella Comunità (18). E la decisone in parola sembra condurre tale principio fino a consentire un approccio per così dire “open source” alle banche dati tramite la tecnica dello “scraping” ove occorra evitare effetti distorsivi sul mercato e per garantire, come già detto, una libera e proficua circolazione delle informazioni. Infine, un ultimo aspetto di particolare interesse – il quale dimostra come le valutazioni di cui al precedente paragrafo possano e anzi debbano essere basate su una pluralità di fattori – riguarda poi il fatto che la condotta della resistente è stata ritenuta lecita anche in base alla Direttiva UE 2019/1024 (19): il cui art. 1 promuove, nel rispetto dei diritti d’autore e del diritto sui generis dei legittimi titolari, la diffusione ed il riutilizzo dei documenti e dei dati in possesso delle imprese pubbliche, ivi incluse quelle che agiscono in qualità di operatori di ser (17) Proprio in tal senso il considerando 47 della direttiva citata dispone che “considerando che, al fine di favorire la concorrenza fra i fornitori di prodotti e servizi nel settore del mercato dell’informazione, la protezione sulla base del diritto <sui generis> non deve essere esercitata in modo tale da favorire gli abusi di posizione dominante, con particolare riguardo alla creazione e diffusione di nuovi prodotti e servizi a valore aggiunto di ordine intellettuale, documentale, tecnico, economico o commerciale; che, pertanto, le disposizioni della presente direttiva lasciano impregiudicata l’applicazione delle regole di concorrenza, siano esse comunitarie o nazionali”. (18) In argomento già CGCE 6 aprile 1995, cit. (19) Si veda appunto l’art.1 della direttiva (UE) 2019/1024, relativa all’apertura dei dati e al riutilizzo dell’informazione del settore.
124
DIRITTO DI INTERNET N. 1/2020
vizio pubblico e di trasporto di passeggeri, ritenendosi che Trenitalia rientri in tale categoria (20). Premesso che anche su tale aspetto non constano precedenti in termini, il Tribunale delle Imprese di Roma giunge alla originale conclusione a tenore della quale “[q]uando si parla quindi di estrazione, reimpiego ovvero rielaborazione di un quantitativo di dati provenienti da soggetto a cui la disciplina comunitaria impone la massima divulgazione dei dati in proprio possesso, il concetto di «parte sostanziale» del prelievo deve essere interpretato ed applicato in conformità alla volontà del legislatore comunitario in un’ottica di sostanziale sovrapposizione fra il concetto di «totalità» e quello di «parte sostanziale»”, sicché “solo la prova stringente di una sottrazione di una banca dati complessiva può fondare il rilascio di un provvedimento interdittivo”. E la stessa costituisce certamente una incisiva implementazione della regola generale per cui una direttiva non può di per sé creare obblighi a carico di un singolo e non può quindi essere fatta valere in quanto tale nei suoi confronti (fatte salve le eccezioni inerenti ai c.d. “rapporti verticali”) (21): ma i giudici nazionali, nell’applicare il diritto interno, sono tenuti ad interpretarlo quanto più possibile alla luce del testo e dello scopo della direttiva che viene in rilievo (22). Peraltro, il riferimento alla Direttiva UE 2014/2019 potrebbe trovare supporto anche nell’art. 102-ter LDA laddove la norma detta i criteri volti ad individuare l’utente legittimo (23): specialmente rispetto ai limiti che la norma e la direttiva che ha portato alla sua adozione
(20) Come disposto dall’art. 2, del reg. (CE) 1370/2007 sui servizi di pubblico trasporto di passeggeri su strada e per ferrovia, che ha abrogato i Regolamenti (CEE) 1191/69 e 1107/70. (21) In merito, si rimanda al punto 20 della decisione della CGCE 14 luglio 1994, C-91/92, disponibile al sito <https://eur-lex.europa.eu/homepage.html?locale=it>, e a CGUE 19 gennaio 2010, C-555/07, punto 46, reperibile sul sito <https://curia.europa.eu/jcms/jcms/j_6/it/>, e ancora a CGUE 24 gennaio 2012, C-282/10, al punto 37, consultabile all’indirizzo <https://curia.europa.eu/jcms/jcms/j_6/it/>. (22) Tra le decisioni di maggiore rilievo, CGUE 5 ottobre 2004, cause riunite da C-397/01 a C-403/01, al punto 114, consultabile all’indirizzo <https://curia.europa.eu/jcms/jcms/j_6/it/>, e CGCE 14 luglio 1994, C-91/92, disponibile presso il sito <https://eur- lex.europa.eu/homepage.html?locale=it>, e CGUE 19 gennaio 2010, C-555/07, al punto 48, reperibile sul sito <https://curia.europa.eu/jcms/jcms/j_6/it/>, e ancora CGUE 24 gennaio 2012, C-282/10, al punto 24, consultabile all’indirizzo <https://curia.europa.eu/jcms/jcms/j_6/it/> . (23) In ossequio all’art. 102-ter, comma 3, della legge speciale d’autore, anche l’art. 8 della direttiva citata dispone “[I]l costitutore di una banca di dati messa in qualsiasi modo a disposizione del pubblico non può impedire all’utente legittimo della stessa di estrarre e reimpiegare parti non sostanziali, valutate in termini qualitativi o quantitativi, del contenuto di tale banca di dati per qualsivoglia fine. Se l’utente legittimo è autorizzato a estrarre e/o reimpiegare soltanto una parte della banca di dati, il presente paragrafo si applica solo a detta parte”.
GIURISPRUDENZA CIVILE pongono con riferimento alle banche dati costituite dagli enti pubblici (24). E solo per completezza, davvero in ultimo, si deve poi ricordare che l’esercizio del web scapring - consentendo di estrarre informazioni rilevanti dai siti internet attraverso specifici software - deve tenere in debito conto non solo i limiti imposti dalle leggi in tema di proprietà intellettuale e concorrenza, ma anche quelli se del caso imposti dalla lex contractus. Invero, una sentenza della Corte di Giustizia abbastanza recente ha precisato i siti che detengono database liberamente accessibili ai potenziali clienti possono circoscrivere le condizioni d’uso dei dati, dunque imporre limitazioni su base contrattuale (25). In tale prospettiva, dunque, l’utilizzo della tecnica dello scraping per il recupero sistematico di dati e informazioni potrebbe dar vita ad azioni le quali scaricherebbero una parte dei problemi evocati sulla validità ed efficacia delle stesse clausole che contribuiscono a limitare attività come quelle oggetto della odierna decisione. E se a tale considerazione si aggiunge quella per cui la violazione delle norme della lda ampiamente commentate è suscettibile anche di sanzione penale ai sensi degli artt. 171 ss., si deve riconoscere che la materia è ben più complessa di quanto a prima non si potrebbe pensare: sicché va ulteriormente valorizzato il contributo che comunque ha dato, nel chiarire alcuni importanti aspetti, la decisione in commento.
(24) Il diritto del costitutore di una banca di dati, ex art. 7, paragrafo 1, della direttiva 96/9/CE, non può essere esercitato dagli enti pubblici al fine di impedire il riutilizzo di documenti o di limitare il riutilizzo oltre i limiti stabiliti dalla direttiva stessa. (25) CGUE 15 gennaio 2015, C-30/14, reperibile presso il sito <https://eur-lex.europa.eu/homepage.html?locale=it>, resa nel famoso caso Ryanair Ltd c PR Aviation BV, nella quale si legge che “[d]irective 96/9/ EC of the European Parliament and of the Council of 11 March 1996 on the legal protection of databases must be interpreted as meaning that it is not applicable to a database which is not protected either by copyright or by the sui generis right under that directive, so that Articles 6(1), 8 and 15 of that directive do not preclude the author of such a database from laying down contractual limitations on its use by third parties, without prejudice to the applicable national law”.
DIRITTO DI INTERNET N. 1/2020
125
GIURISPRUDENZA CIVILE
Disdetta alberghiera e clausola vessatoria su Booking Giudice di P ace di Trapani ; sezione civile; sentenza 14 ottobre 2019; Giud. Vitale; D.C.G. (Avv. Federico) c. P.M. (contumace). Le clausole che impongono il pagamento di una penale in caso di disdetta, ovvero che indicano l’adesione all’offerta alberghiera come “non rimborsabile” sono, a tutti gli effetti, delle clausole vessatorie, efficaci solo se firmate dal cliente; con la conseguenza che, quando si prenota on-line, l’eventuale spunta della casella delle condizioni generali di contratto non sostituisce la firma e la clausola relativa al pagamento della penale non ha alcun effetto giuridico se non viene approvata separatamente e per iscritto.
Fatto e Diritto Con atto di citazione del 9 settembre 2019, il sig. D.C. G. citava in giudizio il sig. P.M. al fine di ottenere il rimborso di quanto per errore corrisposto al convenuto, titolare della struttura alberghiera …Omissis… A tale riguardo, precisava di avere prenotato sul sito Booking.com un soggiorno, tramite click sul pc, ma, essendosi accorto dell’errore, provvedeva a cancellare la detta prenotazione. Parte convenuta negava tuttavia ogni rimborso, atteso che l’offerta era indicata come “non rimborsabile”. Va precisato che le clausole che impongono il pagamento di una penale in caso di disdetta, ovvero che indicano l’adesione all’offerta alberghiera come “non rimborsabile” sono, a tutti gli effetti, delle clausole vessatorie, efficaci solo se firmate dal cliente; con la conseguenza che, quando si prenota on-line, l’eventuale spunta della casella delle condizioni generali di contratto non sostituisce la firma e la clausola relativa al pagamento della penale non ha alcun effetto giuridico se non specificamente approvata.
Secondo il disposto dell’art. 1341 c.c., infatti, le clausole contrattuali predisposte da uno dei contraenti che comportano oneri particolarmente gravosi per la parte “debole” del contratto devono essere approvate separatamente per iscritto: sul punto, unanime è la giurisprudenza della Suprema Corte (cfr. Cass. 11/11/2015, n. 22984). Alla luce delle suesposte considerazioni, dichiarata la vessatorietà della clausola “non rimborsabile” nel contratto d’albergo per cui è causa, si ritiene legittimo riconoscere all’attore – come dovuto – il rimborso dell’importo di € 364,50, cui vanno calcolati gli interessi legali dalla data del fatto all’effettivo soddisfo. …Omissis… P. Q. M. In accoglimento della domanda attorea, proposta in data 9 settembre 2019 da D.C.G., condanna il convenuto contumace P.M. al rimborso della somma di € 364,50. oltre interessi. …Omissis…
Il Commento
di Alessandro Torroni Sommario: 1. Brevi cenni introduttivi. L’inquadramento della fattispecie nell’ambito dei cc.dd. contratti per adesione conclusi a distanza. – 2. Vessatorietà e recupero delle trattative. – 3. Le modalità di approvazione per iscritto delle clausole vessatorie. La modalità point and click nei contratti conclusi telematicamente. Nell’era dell’Internet, nella quale indiscutibilmente viviamo, le relazioni interpersonali, le transazioni e le attività in generale si svolgono, o possono svolgersi, attraverso l’avvalimento di nuove tecniche informatiche, il cui lento ma inesorabile ingresso nell’ambito delle negoziazioni utilizzate nella prassi ha imposto una maggior tutela della sicurezza e dell’auto-responsabilità, specie nei c.d. contratti con causa di consumo. La sentenza in commento s’introduce all’interno del filone giurisprudenziale secondo il quale, nei contratti c.d. telematici o informatici, le clausole considerate vessatorie contenute all’interno delle condizioni generali di contratto devono essere specificamente approvate per iscritto e separatamente per poter rilevare. Lo studio che segue, dopo un’attenta analisi circa l’individuazione delle ragioni della vessatorietà di tali clausole, si propone di individuare le diverse tecniche di sottoscrizione telematica che siano consentite a tal fine, con specifico riguardo alla tecnica del c.d. point and click.
DIRITTO DI INTERNET N. 1/2020
127
GIURISPRUDENZA CIVILE In the age of internet, which we are undeniably living, the interpersonal relationships, transactions, and many other activities happens or might happen through new informatic technologies; the slow but relentless use of informatic procedures into negotiations warranted for increased attention in safety and self-responsibility matters, especially in consumer transactions. The reviewed judgment refers to the jurisdiction that regulates the informatic and telematic contracts by ruling that the unfair clauses within the contract must be specifically endorsed in writing and separately to be valid. After an accurate analysis to identify the principles of the unfair nature of such clauses, the present study aims to identify different methods of telematic subscription, with particular regard to the so called point-and-click technique.
1. Brevi cenni introduttivi. L’inquadramento della fattispecie nell’ambito dei cc.dd. contratti per adesione conclusi a distanza
Due sono le questioni meritevoli di approfondimento di cui si occupa la pronunzia in esame: da un lato la vessatorietà della clausola “non rimborsabile” e dall’altro la non conformità della mera spunta on-line - e la sua conseguente insostituibilità alla firma del contraente - per l’approvazione delle condizioni generali di contratto. Preliminarmente è opportuno specificare che il caso sotteso alla sentenza in epigrafe prende spunto da un negozio ricompreso tra i cc.dd. contratti per adesione, così chiamati poiché le clausole contrattuali sono già predisposte dal proponente, per cui al destinatario non è data altra facoltà se non quella di aderirvi (1).
(1) In materia di contratti per adesione rimangono ancora necessari punti di riferimento gli studi di Alpa - Rapisarda, Il controllo dei contratti per adesione, in Riv. dir. comm., 1989, I, 531; Di Pace, Il negozio di adesione nel diritto privato, in Riv. dir. comm., 1941, I, 34; Gabrielli, Clausola compromissoria e contratti per adesione, in Riv. dir. civ., 1993, I, 555; Maggiolo, Il contratto predisposto, Padova, 1996; Mazzoni, Contratti di massa e controlli nel diritto privato, Napoli, 1975; Nuzzo, Predisposizione di clausole e procedimento di formazione del contratto, in Studi Santoro Passarelli, Napoli, 1972, III, 563; Salandra, I contratti di adesione, in Riv. dir. comm., 1928, I, 408; Scognamiglio, Il contratto per adesione e l’art. 1341 c.c., in Banca, borsa e tit. cred., 1954, I, 776; Simoncelli - Scialoja, Il c.d. contratto per adesione e gli art. 1341 e 1342 c.c., in Foro it., 1949, IV, 39; Tullio, Il contratto per adesione tra il diritto comune dei contratti e la novella sui contratti dei consumatori, Milano, 1997. Per la dottrina più recente cfr. Camardi, Il contratto dei consumatori, in Diritto privato a cura di Patti, Milano, 2019, 712; Diener, Il contratto in generale, Milano, 2015, 270; Franceschelli, Diritto privato, Milano, 2018, 427 ss.; Guerinoni, Il contratto asimmetrico B2C, in Il Contratto a cura di Buffone - De Giovanni - Natali, Padova 2013, 2259 ss. Copiosa è la giurisprudenza sul tema, la quale non ha mancato di sottolineare che possono qualificarsi contratti per adesione, rispetto ai quali sussiste l’esigenza della specifica approvazione scritta delle clausole vessatorie, soltanto quelle strutture negoziali destinate a regolare una serie indefinita di rapporti, tanto dal punto di vista sostanziale (se, cioè, predisposte da un contraente che esplichi attività contrattuale all’indirizzo di una pluralità indifferenziata di soggetti), quanto dal punto di vista formale (ove, cioè, predeterminate nel contenuto a mezzo di moduli o formulari utilizzabili in serie), mentre esulano da tale categoria i contratti predisposti da uno solo dei contraenti in previsione e con riferimento ad una singola, specifica, vicenda negoziale, rispetto ai quali l’altro contraente può del tutto legittimamente richiedere e apportare le necessarie modifiche dopo averne liberamente apprezzato il contenuto, nonché, a maggior ragione, quelli in cui il negozio sia stato concluso a seguito e per effetto di trattative tra le parti. Così: Cass. 28 febbraio 2019, n. 5971, in Guida al dir., 2019, 30. Ma cfr. anche, ex plurimis, Cass. 19 marzo 2018, n. 6753, in Dir. giust., 2018, 20, con nota di Tarantino; Cass. 15 aprile 2015, n. 7605, in Dir. e giust., 2015; Cass. 30 gennaio 2008, n. 2110; Cass.
128
DIRITTO DI INTERNET N. 1/2020
Un tale metodo di conclusione del contratto non deve ritenersi illegittimo soltanto perché costringe una delle parti ad accettare patti predisposti, ma anzi la sua sempre più frequente adozione nelle attuali pratiche commerciali è espressione dell’evidente acceleramento degli scambi ed in generale del fenomeno produttivo. Il sistema di tutela, come chiarito dalla giurisprudenza di legittimità (2), si fonda sull’idea che il consumatore si trovi in una situazione di inferiorità rispetto al professionista, tale per cui sia indotto ad aderire passivamente alle condizioni da quest’ultimo imposte senza che gli sia riconosciuta alcuna possibilità di incidere sul contenuto delle stesse. Secondo la richiamata pronunzia della Corte di Cassazione, la specifica disciplina dettata dal Codice del consumo rispetto ai contratti con i consumatori riguarda le particolari ipotesi di vessatorietà generate dall’unilaterale predisposizione del contenuto contrattuale da parte del professionista per il singolo affare. L’art. 1341 c.c. troverebbe, invece, applicazione nelle ipotesi di contrattazione mediante moduli o formulari da impiegare in una serie indefinita di rapporti in cui non rilevi la specifica connotazione soggettiva delle parti come consumatore e professionista. In entrambi i casi comunque, l’autonomia contrattuale viene di fatto sacrificata, nella misura in cui ad una delle parti, destinatario consumatore o destinatario non consumatore che sia, è sostanzialmente imposto uno schema negoziale a fronte del quale egli è soltanto legittimato ad aderire, esprimendo il proprio consenso. La debolezza sul piano economico si traduce in una mera accettazione delle condizioni unilateralmente predisposte dal professionista, e dunque in un’alterazione delle posizioni contrattuali. In particolare poi, il contratto de quo è stato stipulato telematicamente (3) e come tale è assoggettabile alla di-
19 maggio 2006, n. 11757, in Giust. civ. mass., 2006, 5; Cass. 15 febbraio 2002, n. 2208, in Giust. civ. mass., 2002, 247. (2) Cfr. in particolare Cass. 20 marzo 2010, n. 6802, in Obbligazioni e contratti 2011, 271 e ss. con nota di Trombetti, L’ulteriore elaborazione della nozione di consumatore. (3) Già da tempo si parla di contratti telematici o informatici, così definiti in ragione della specifica forma con cui essi sono stipulati. Per la dottrina cfr. Bianca, Diritto civile, 3, Milano 2000, 301 ss. Questo A. definisce i contratti telematici come quei contratti stipulati mediante l’uso di un elaboratore economico o un computer. Dal punto di vista legislativo, particolare
GIURISPRUDENZA CIVILE sciplina dei cc.dd. contratti a distanza di cui al D.lgs. 6 settembre 2005, n. 206 (Codice del consumo) (4). Le fonti normative di origine comunitaria (5) in materia di contratti a distanza si pongono quale precipue
rilevanza è da attribuire all’art. 15 co. 2 l. 15 marzo 1997, n. 59, il quale sancisce espressamente che gli atti, dati e documenti forniti dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge. Prima di tale normativa il problema della equiparabilità degli atti telematici alle scritture private era stato studiato in dottrina, con opposte soluzioni, da Clarizia, Informatica e conclusione del contratto, Milano, 1985, 99; Parisi, Il contratto concluso mediante computer, Padova, 1987, 68; Orlandi, La paternità delle scritture. Sottoscrizione e forme equipollenti, Milano, 1996, 484; Franceschelli, Computer, documento elettronico e prova civile, in Giur. it., 1988, IV, 314 ss. I contratti informatici non sono frutto di un accordo fra le parti, quanto piuttosto un mezzo attraverso il quale il soggetto più forte vincola il soggetto più debole, con la conseguenza che risulta indispensabile in ogni ordinamento apprestare strumenti che consentano un controllo sostanziale ed un maggior equilibrio degli interessi contrapposti. Così Cassano, Condizioni generali di contratto e tutela del consumatore nell’era di Internet, in Dir. Internet, 2007, 5 ss. Sul contratto telematico in generale si vedano: Albertini, Osservazioni sulla conclusione del contratto tramite computers e sull’accettazione di un’offerta in internet, in Giust. civ., 1997, II, 21; Gentili, Documento informatico e tutela dell’affidamento, in Riv. dir. civ., 1998, II, 163 ss.; Grisi, La frontiera telematica della contrattazione a distanza, in Enc. Dir. 1998, 875; Giannantonio, Manuale di diritto dell’informatica, Padova, 1997; Patti, L’efficacia probatoria del documento informatico, in Riv. dir. priv., 2000, 60 ss.; Tosi, I contratti di informatica, Milano, 1993. Per la dottrina più recente, si vedano i contributi di Clarizia (a cura di), I contratti informatici, in Trattato dei contratti diretto da Rescigno - Gabrielli, Torino, 2007; Delfini, Contratto telematico e commercio elettronico, Milano, 2002; Bortuzzi, Forma telematica, in Digesto, 2003; Cassano, Commercio elettronico e tutela del consumatore, Milano, 2003; Finocchiaro, Il contratto informatico, in Diritto privato a cura di Patti, Milano, 2019, 716 ss.; Rossello - Finocchiaro - Tosi, Commercio elettronico, in Trattato di diritto commerciale diretto da Bessone, Torino, 2007; Gallo, Il contratto telematico, in Trattato del contratto. La formazione, Milano, 2010, 841 ss.; Sacco, Il contratto telematico e la firma digitale, in Trattato di diritto privato diretto da Rescigno, Milano, 2018, 294 ss. Anche la dottrina straniera si è diffusamente occupata della materia dei contratti telematici o informatici, si vedano in particolare le monografie di Jaccard, La conclusion de contracts par ordinateur, Berna, 1996, con recensione di Patti, in Riv. dir. civ., 1998, I, 637; Barral - Vignalis, La seguridad en la contratacion on-line, in Studi Palazzo, Torino, 2009, III, 51. (4) L’art. 45 lett. g) del Codice del consumo definisce “a distanza” qualsiasi contratto concluso tra il professionista e il consumatore nel quadro di un regime organizzato di vendita o di prestazione di servizi a distanza senza la presenza fisica e simultanea del professionista e del consumatore, mediante l’uso esclusivo di uno o più mezzi di comunicazione a distanza fino alla conclusione del contratto, compresa la conclusione del contratto stesso. L’ampiezza e la genericità di tale definizione consente di ritenere con assoluta certezza configurabile il riferimento alla Rete: Internet costituisce senza dubbio la tecnica di comunicazione a distanza per eccellenza. In questi termini si esprimeva già Falletti, E uno, e due, e tre! Aggiudicato! eBay: contratto di vendita concluso a distanza e non asta on line, in Dir. Internet, 2005, 140. (5) Il susseguirsi di direttive da parte del legislatore comunitario è stato reso necessario soprattutto dal repentino e costante evolversi dello scenario tecnologico, di cui s’è fatto cenno. In particolare il riferimento è alla Direttiva comunitaria n. 97/7/CE adottata dal Parlamento europeo e dal Consiglio delle Comunità europee il 20 maggio 1997, in G.U.C.E. l. 4 giugno 1997, n. 144, 19 ss. Detta Direttiva è stata recepita nell’ordinamento giuridico italiano con il d.lgs. 22 maggio 1999, n. 185, abrogato in seguito all’introduzione, nel 2005, del Codice del consumo.
finalità la tutela del buon funzionamento e della libera concorrenza nel mercato interno, nonché la realizzazione di una più incisiva protezione del consumatore. In quest’ottica, è stato evidenziato (6) come la mancanza della presenza fisica e simultanea delle parti contrattuali, la quale giustifica la definizione di questi particolari negozi in termini di contratti inter absentes, accentua la posizione di debolezza del consumatore, impedendogli di formare una scelta consapevole e adeguatamente ponderata. Da qui l’esigenza di una maggior tutela sotto tre distinti profili, e precisamente: l’informazione, il recesso e l’impiego delle tecnologie che operano a distanza, limitando quelle più insidiose (7).
2. Vessatorietà e recupero delle trattative
L’art. 1341 co. 2 c.c. elenca una serie di clausole contrattuali reputate vessatorie, come tali inefficaci se non vengono specificamente approvate per iscritto (8). Il concetto di vessatorietà si rinviene nel Codice del consumo, e precisamente all’art. 33 il quale espressamente stabilisce che “nel contratto concluso tra il consumatore ed il professionista si considerano vessatorie le clausole che, malgrado la buona fede, determinano un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto” (9). E’ pacifico in dottrina (10) che lo squilibrio di cui parla la norma
(6) Simone, Commento al Titolo III, Capo I, Sezione II, Contratti a distanza, sub art. 50, in Commentario del Codice del consumo a cura di Alpa e Rossi Carleo, Napoli, 2005, 375 ss.; ma cfr. anche Battelli, Codice del consumo, commentario del D.lgs. 6 settembre 2005, n. 206 a cura di Tripodi e Belli, Santarcangelo di Romagna 2008, 296 ss. (7) Così Di Donna, Obblighi informativi precontrattuali, in Temi di diritto privato, I – La tutela del consumatore, collana diretta da Alpa, Milano 2008, 100. Per una più approfondita analisi cfr. anche Alpa, Contratti a distanza. Prime considerazioni, in I contratti, 1999. (8) Discussa è stata in dottrina la natura dell’elenco di cui all’art. 1341 co. 2 c.c., se cioè esso abbia carattere tassativo o meramente esemplificativo. Tale ultima tesi prevalse in un primo momento sulla base dei lavori preparatori e della stessa Relazione al codice, dove si parla di “elencazione non tassativa” (n. 78). Successivamente l’opinione di dottrina e giurisprudenza si è consolidata nel senso opposto, di tal ché ad oggi si ritiene pacificamente che l’elenco de quo sia tassativo. Per la dottrina più risalente cfr. Bianca, voce Condizioni generali di contratto, 1) Diritto civile, in Enc. giur. Treccani, Roma, 1988, 5; Alpa, Condizioni generali di contratto, in Nuova Giur. civ. comm., 1988, II, 33; Patti - Patti, Le clausole vessatorie, in Commentario al Codice civile diretto da Schlesinger – Responsabilità precontrattuale e contratti standard – Artt. 1337-1342, Milano, 1993, 370 ss. (9) De Nova, Le clausole vessatorie nei contratti con i consumatori, in Trattato di diritto privato diretto da Rescigno, cit., 141. Questo A. scrive che le clausole vessatorie possono essere raggruppate in due distinti gruppi: le deroghe al principio secondo cui il contratto ha forza di legge tra le parti da un lato, e i limiti all’autotutela del professionista e la garanzia del diritto di difesa del consumatore dall’altro. Per una recente analisi dei diversi orientamenti giurisprudenziali in materia di clausole vessatorie cfr. Liccardo, Recenti orientamenti della Corte di cassazione sul giudizio di vessatorietà e nuovi strumenti interpretativi, in Riv. dir. priv., 2018. (10) Sul punto cfr. in particolare Diener, op. cit., 286, la quale richiama altresì Ramero - Delle Valle, La nuova disciplina dei diritti del consumatore,
DIRITTO DI INTERNET N. 1/2020
129
GIURISPRUDENZA CIVILE ha carattere normativo e non economico. In altri termini, il bilanciamento tra le parti contrattuali deve essere valutato in relazione ai reciproci diritti ed obblighi nascenti dal contratto, senza che in alcun modo gli aspetti meramente economici del rapporto negoziale possano inficiare l’efficacia o la validità delle singole clausole. A dire il vero la direttiva 2011/83/UE sui diritti del consumatore sembra lasciare spazio ad interventi legislativi interni più incisivi, volti cioè ad ammettere la censura di vessatorietà anche riguardo ai profili economici dello scambio, e segnatamente dell’adeguatezza del prezzo; tuttavia mancano ad oggi, nel nostro ordinamento giuridico, regole che possano prospettare l’ammissibilità di un tale controllo al di fuori del diverso controllo sul rispetto del sinallagma contrattuale (11). A riconferma di ciò, l’art. 34 co. 2 Cod. cons. precisa che “la valutazione del carattere vessatorio della clausola non attiene alla determinazione dell’oggetto del contratto, né all’adeguatezza del corrispettivo dei beni e dei servizi, purché tali elementi siano individuati in modo chiaro e comprensibile”. Ciò detto, occorre qui evidenziare la portata innovativa della sentenza in commento, la quale postula la vessatorietà della clausola “non rimborsabile” contenuta nelle condizioni generali di contratto, in quanto trattasi di clausola che stabilisce, a favore di chi l’ha predisposta, un onere particolarmente gravoso per il contraente debole (12).
Milano, 1999, 26; nonché Capobianco, La nuova disciplina delle clausole vessatorie nei contratti con i consumatori (artt. 1469 bis – 1469 sexies c.c.), in Vita not., 1996, 1152. Per la giurisprudenza cfr. Trib. Arezzo 17 febbraio 2012, il quale ha stabilito che deve ritenersi vessatoria la clausola contrattuale unilateralmente predisposta e volta ad imporre una penale pecuniaria manifestamente eccessiva in caso di risoluzione anticipata, stante il significativo squilibrio tra le prestazioni, inteso come squilibrio normativo (riferito cioè ai diritti e agli obblighi reciproci derivanti dalle clausole) e non economico, non attenendo pertanto alla valutazione della vessatorietà l’eventuale sproporzione tra prezzo pattuito e valore effettivo del bene o del servizio. (11) In questi termini Alessi, La disciplina generale del contratto, Torino, 2017, 395. (12) Si presume vessatoria la clausola che ha per oggetto o per effetto di consentire al professionista di trattenere una somma di denaro versata dal consumatore se quest’ultimo non conclude il contratto o ne recede, senza prevedere il diritto del consumatore di esigere dal professionista il doppio della somma corrisposta se è quest’ultimo a non concludere il contratto oppure a recedere. E’ qui palese l’applicazione del criterio della bilateralità: la clausola non è vessatoria se si prevede che, così come il consumatore perde quanto ha versato, il professionista versa altrettanto (oltre a restituire quanto ha ricevuto). Così De Nova, op. cit., 147 ss. Ci si deve chiedere peraltro se la vessatorietà, e quindi l’inefficacia, comporti che il professionista non ha diritto di trattenere la somma o invece che tale diritto permane, ma si aggiunge – ex lege – un diritto del consumatore ad esigere il doppio. Per quest’interpretazione propende Cian, Il nuovo Capo XIV-bis (titolo II libro IV) del Codice civile, sulla disciplina dei contratti con i consumatori, in Studium Juris, 1996, 422.
130
DIRITTO DI INTERNET N. 1/2020
Conseguentemente, come anche sancito a livello giurisprudenziale (13), l’esigenza di tutela codificata nell’art. 1341 c.c. risulta rispettata, quando l’attenzione del contraente ai cui danni la clausola è stata predisposta, sia stata adeguatamente sollecitata e la sua sottoscrizione in modo consapevole rivolta specificamente anche a tale contenuto a lui sfavorevole. Siffatte clausole sono pertanto prive di efficacia qualora non siano specificamente approvate per iscritto dal contraente aderente, e ciò anche quando presentano i caratteri della reciprocità e della bilateralità. La specifica approvazione per iscritto svolge il fondamentale ruolo di recuperare l’alterazione delle posizioni contrattuali derivante dallo squilibrio giuridico imposto da uno dei contraenti unilateralmente all’altro. Si parla, in proposito, di “recupero delle trattative” le quali tuttavia, per esser idonee a superare l’empasse, debbono presentare i requisiti dell’individualità, della serietà e dell’effettività (14). Per individualità s’intende la necessità di porre l’accento su quelle clausole (o su specifici elementi delle stesse) che si presumono vessatorie fino a prova contraria ma che le parti decidono di sottoscrivere in vista di interessi sottesi al contratto. Il carattere della individualità è dunque presupposto rispetto al quale verificare la presenza dello squilibrio contrattuale di cui si è detto, valutando in tal modo l’eventuale vessatorietà della clausola (15). La serietà ha riguardo, invece, al comportamento che le parti assumono per conseguire il risultato cui la trattativa è diretta, ed i parametri di valutazione sono gli artt. 1337 e 1375 c.c., i quali prescrivono, tanto nelle trattative quanto nell’esecuzione del negozio, l’obbligo per le parti di tenere una condotta secondo buona fede. Da ultimo, la trattativa deve presentare il requisito dell’effettività, con ciò intendendosi la possibilità, per il consumatore, di giocare un ruolo attivo nella determinazione del contenuto contrattuale: quando, cioè, egli sia messo in condizione di negoziare le condizioni con-
(13) Cfr. Cass. 11 novembre 2015, n. 22984. Il testo integrale è disponibile al seguente link: <http://www.studiomiotto.com/wp-content/uploads/2015/11/Cass.-civ.-n.-22984-del-2015.pdf>. (14) Trombetti, L’ulteriore elaborazione della nozione di consumatore, cit. (15) In tal senso cfr. Cass. 20 agosto 2010, n. 18785, in Foro it., 2010, 64. Uno dei Principi di diritto sanciti da codesta pronunzia stabilisce infatti che l’esclusione dell’applicazione della disciplina di protezione in questione (ovvero l’applicabilità degli artt. 33 e ss. del D.lgs. 6 settembre 2005, n. 206, anche conosciuto come Codice del consumo) è consentita con riferimento alle sole clausole che siano state individualmente negoziate, che abbiano cioè costituito singolarmente oggetto di specifica trattativa, seria ed effettiva, non essendo al riguardo sufficiente la considerazione e la codeterminazione del tenore solamente di una o più clausole, e a fortiori solo di alcuni punti specifici delle medesime (elementi di clausola), sicché alla parte del contratto che non ha costituito oggetto di trattativa si applica la disciplina di tutela del consumatore.
GIURISPRUDENZA CIVILE trattuali, pur non essendo avvenuta una reale modifica delle stesse (16).
3. Le modalità di approvazione per iscritto delle clausole vessatorie. La modalità point and click nei contratti conclusi telematicamente
Una volta chiarito che la formalità della espressa e specifica sottoscrizione è indispensabile perché le clausole vessatorie possano produrre effetto, non potendo ritenersi sufficiente un’unica sottoscrizione in calce al contratto, pare opportuno ora indagare sulle diverse modalità con cui tale requisito possa dirsi esaudito. A tal proposito la giurisprudenza (17) ha avuto modo di chiarire che l’esigenza di specificità e separatezza imposta dall’art. 1341 c.c. non può ritenersi soddisfatta mediante il richiamo cumulativo numerico e la distinta sottoscrizione di gran parte delle condizioni generali di contratto, effettuato con modalità tali da rendere difficoltosa la selezione e la conoscenza di quelle a contenuto vessatorio, in quanto la norma richiede non solo la sottoscrizione separata ma anche la scelta di una tecnica redazionale idonea a suscitare l’attenzione del sottoscrittore sul significato delle clausole specificamente approvate. In termini diversi, si ritiene ammissibile la sottoscrizione in blocco di tutte le condizioni generali di contratto o di gran parte di esse, comprese quelle prive di carattere vessatorio, purché il richiamo numerico delle singole clausole da approvare separatamente sia accompagnato dall’indicazione, ancorché sommaria, del loro contenuto, in modo tale da renderne edotto il contraente chiamato ad approvarle specificamente. Peraltro, le firme poste a margine del testo contrattuale non sono idonee all’accettazione separata e distinta delle condizioni generali di contratto, salvo che sussistano elementi idonei a far desumere una diretta manifestazione di volontà in tal senso (18). Nell’ambito del commercio elettronico, la modalità tipica di conclusione dei contratti è quella del c.d. point and
(16) Sulla necessità dell’effettiva sussistenza di una trattativa tra professionista e consumatore cfr. Giud. pace Taranto, 8 agosto 2009, con nota di Guerinoni, Clausole vessatorie e trattativa: la semplice sottoscrizione non basta, in Giudice di Pace, 2010, 249 ss. (17) Il riferimento è a Trib. Reggio Emilia, 24 aprile 2018, n. 623. Ma cfr. anche Cass. 9 luglio 2018, n. 17939. Conformi: Cass. 11 novembre 2015, n. 22984, cit; Cass. 5 giugno 2014, n. 12708; Cass. 11 giugno 2012, n. 9492. (18) Cass. 24 agosto 2018, n. 21185, in Foro it. 2018, I, 3933; ma cfr. anche Cass. 17 dicembre 2004, n. 23560, nella quale si evidenzia che la firma per la specifica approvazione di una clausola vessatoria può essere apposta anche a margine purché il giudice, in ragione della mancanza dello spazio sufficiente per l’apposizione della firma in calce alla dichiarazione, o per rilievi di tipo diverso, abbia la certezza in ordine alla riferibilità del contenuto della dichiarazione al soggetto che ha apposto la firma.
click (19), per la quale l’approvazione delle condizioni contrattuali consegue alla mera spunta (il click appunto) di un box. Il Codice dell’amministrazione digitale (20) all’art. 21 co. 1, riferisce tale modalità all’espressione di volontà contrattuale della parte debole e come tale la ritiene sufficiente per concludere validamente un contratto. Un separato e distinto discorso tuttavia deve farsi per quanto riguarda le clausole vessatorie contenute tra le condizioni generali di contratto, come appunto la clausola “non rimborsabile” nelle prenotazioni on line. La giurisprudenza chiamata ad esprimersi sul punto (21), ha già da tempo evidenziato che la conclusione di un contratto di vendita tramite internet non comporta accettazione incondizionata delle clausole contenute nelle condizioni generali pubblicate sul web. Secondo il giudice infatti, gli obblighi imposti dalle norme imperative sulle clausole vessatorie potrebbero essere astrattamente perfezionati solamente con i mezzi tradizionali, materialmente sottoscrivibili dal destinatario, ovvero direttamente con l’utilizzo del computer e, in questo caso, mediante la manifestazione di un doppio assenso ai fini della approvazione specifica delle clausole vessatorie. Tale doppia approvazione, nella contrattazione on line, si concretizzerebbe nell’utilizzo della firma digitale, oppure nella effettuazione – da parte dell’aderente alla proposta contrattuale predisposta sul sito web – di un doppio click di accettazione: un primo sul tasto relativo all’adesione all’intero regolamento contrattuale, ed un secondo sul tasto relativo all’approvazione specifica delle clausole vessatorie ivi inserite. Criticità a tale soluzione sono state avanzate in dottrina: se infatti è vero che la firma digitale potrebbe essere individuata quale mezzo astrattamente idoneo a soddisfare l’adempimento della doppia sottoscrizione (22), non (19) Tosi, La conclusione dei contratti on line, in I problemi giuridici di Internet a cura di Tosi, Milano, 1999, 17 ss. il quale ha parlato di tasto negoziale virtuale, mutuando l’espressione di tasto virtuale da Franceschelli, adattandola alla contrattazione on line. Si tratta della qualificazione giuridica di quel meccanismo secondo il quale la digitazione od un click sulla schermata di un particolare tasto virtuale («order», «accetto», «confermo») serve a chiudere il procedimento di negoziazione ed inviare il modulo d’ordine, completo di tutti gli elementi richiesti. In questo senso Tosi, Contrattazione telematica e conclusione del contratto virtuale, commercio elettronico, documento informatico e firma digitale (la nuova disciplina), a cura di Rossello - Finocchiaro - Tosi, Torino, 2003, 125 ss. (20) D.lgs. 7 marzo 2005, n. 82, come modificato in ultimo dalla l. 27 dicembre 2013, n. 147. (21) Il riferimento è alla nota sentenza del Giud. pace di Partanna 1° febbraio 2002, n. 15, con nota di Cassano - Cimino, Contratto via Internet e tutela della parte debole, in I Contratti, 2002, 869 ss. (22) In particolare il riferimento è a Cassano, Le condizioni generali di contratto, in I contratti informatici a cura di Clarizia, cit., 305 ss. il quale peraltro scrive che il riempimento di una form di accettazione specifica della clausola vessatoria da parte del cybernauta, non può, comunque, ritenersi
DIRITTO DI INTERNET N. 1/2020
131
GIURISPRUDENZA CIVILE è men vero che il consumatore, quale parte debole del rapporto contrattuale, non è in grado, se non richiamato, di ponderare il contenuto delle clausole vessatorie. Peraltro, si è evidenziato (23) che il meccanismo della firma digitale, pur impiegato ormai di consueto nel commercio elettronico, non è semplice, e un consumatore medio potrebbe non essere in grado di utilizzarlo; in tali ipotesi verrebbe frustrata e di fatto vanificata quella tutela tanto a cuore del legislatore. Al fine di ovviare a tali criticità, la dottrina occupatasi del problema, riteneva opportuno integrare il regolamento negoziale in precedenza accettato on line, in un momento successivo del rapporto, introducendo nel medesimo regolamento quelle clausole che – necessitando di una specifica sottoscrizione al fine di poter rilevare – non possono essere inserite nel contratto telematico (24). Per contro, l’orientamento giurisprudenziale originario è stato successivamente confermato da un’ordinanza del Tribunale di Catanzaro (25), la quale ha ritenuto che le
sufficiente ad integrare i requisiti richiesti dalla legge e consistenti nella specifica approvazione per iscritto di cui all’art. 1341 c.c. Non potendosi (ovviamente) sottoscrivere un formulario proposto on line con firma autografa, sarà, pertanto, necessario avvalersi a tal fine della firma digitale. (23) Di Amato, La qualificazione delle transazioni in etere come contratti di massa e i diritti dei consumatori: le clausole vessatorie, in Il commercio via internet. Aspetti giuridici, fiscali, tributari, comunitari, sociali, filosofici, normativi, a cura di Cassano, Piacenza, 2001, 51. Ma cfr. anche Cassano, Condizioni generali di contratto e tutela del consumatore nell’era di Internet, cit., 15 ss., il quale scrive che la difficoltà di accesso alle caratteristiche tecniche di un sistema informatico costituisce fonte di squilibrio tra le parti negoziali. In questo senso vedasi inoltre Picaro, Contratti ad oggetto informatico, in Diritto dei consumatori e nuove tecnologie a cura di Bocchini, Torino, 2004, 98. (24) L’effetto che produce l’accettazione on line, mediante il procedimento point and click, è quello di ingenerare l’affidamento della controparte nel negozio concluso. In termini diversi, il cybernauta che accetti specificamente la clausola vessatoria contenuta in una form singolarmente approvata mediante click, ingenera nella propria controparte il fondato convincimento che la medesima clausola verrà in seguito sottoscritta dall’aderente stesso, nell’identico documento contrattuale riprodotto su supporto cartaceo. Nel caso di mancata sottoscrizione, da parte dell’aderente, dell’esemplare cartaceo del medesimo regolamento contrattuale previamente accettato on line, potrebbe, pertanto, individuarsi una peculiare ipotesi di responsabilità che la dottrina non ha mancato di qualificare come precontrattuale. In tal senso: Cassano, Le condizioni generali di contratto, cit., 309 ss., ma cfr. anche De Nova, Informazione e contratto: il regolamento contrattuale, in Riv. trim. dir. proc. civ., 1993, 705; Gentili, Documento informatico e tutela dell’affidamento, cit., 163. In generale sui profili di responsabilità nelle Reti telematiche cfr. AA.VV., Internet e responsabilità giuridiche a cura di Vaciago, Piacenza, 2002. (25) Il riferimento è a Trib. Catanzaro, 30 aprile 2012, in I Contratti, 2013, 45 ss., con commento di Pandolfini, Contratto on line e clausole vessatorie: quale firma (elettronica)?; ma anche in Resp. civ. e prev. 2013, 2015, con nota di De Leo, Sospensione dell’account da parte di eBay: tecniche di risoluzione, clausole vessatorie e abuso di dipendenza economica; e con nota di Aranguena, Sospensione di un account su eBay: il contratto telematico B2B tra accettazione point and click e tutela dell’accesso al mercato del commercio elettronico, in Dir. Inf. e inf., 2012, 1174.
132
DIRITTO DI INTERNET N. 1/2020
clausole vessatorie contenute in condizioni generali di contratto on line sono efficaci e vincolanti per gli utenti solo se specificamente approvate con firma digitale. Il semplice click dell’utente sul modulo on line viene ritenuto di per sé sufficiente ai fini della conclusione del contratto, ma non ai fini della specifica e separata approvazione delle clausole vessatorie, nella misura in cui tale tecnica del point and click non integra la forma scritta necessaria per tali clausole ai sensi dell’art. 1341 co. 2 c.c. In particolare la giurisprudenza richiamata sostiene che il contratto per adesione concluso telematicamente a distanza, con la modalità del c.d. point and click, pone una triplice serie di questioni in merito alla doppia sottoscrizione per iscritto delle clausole vessatorie, relative nello specifico al perfezionamento del contratto, alla conoscibilità delle condizioni generali di contratto ed al requisito formale dell’approvazione specifica delle clausole vessatorie. In ordine alla prima questione, è oramai pacifico che, vigendo nel nostro ordinamento il principio di libertà delle forme, la tecnica del point and click – utilizzata normalmente nella contrattazione telematica – è sufficiente a manifestare il consenso contrattuale e ritenere perfezionato il contratto, laddove si tratti di un contratto per il quale non sia richiesta dalla legge una particolare forma ai fini della sua validità (i c.d. contratti a forma libera). Anche relativamente alla questione della conoscibilità delle condizioni generali di contratto, è oramai incontrastato il principio secondo cui tale condizione sia soddisfatta anche quando le condizioni generali di contratto non siano riportate nel corpo del testo contrattuale, ma siano contenute in altre schermate del sito o in pagine di secondo livello (26). In tali casi peraltro, si ritiene che il richiamo alla schermata contenente le condizioni generali debba essere espresso, tale cioè da saltare all’occhio dell’utente, ed inoltre la postazione contenente la clausola richiamata deve essere accessibile mediante il relativo collegamento elettronico (c.d. link) (27). Posizioni più intransigenti affermano
(26) Così Gemma, L’accordo telematico, in I contratti informatici a cura di Clarizia, cit., 276, il quale scrive che il requisito della conoscibilità delle condizioni generali di contratto si ritiene assolto con il richiamo ipertestuale, vale a dire l’attivazione di un link che introduce ad una schermata dove sono contenute le condizioni, oppure con lo scrolling delle medesime in una schermata antecedente alla prestazione del consenso; sicché non è richiesto che le condizioni generali di contratto siano presenti sulla schermata principale e sulle successive, fino all’accettazione della proposta. (27) Anche la giurisprudenza, espressasi sul punto, ritiene che le condizioni generali contenute nei contratti telematici sono conoscibili anche qualora siano richiamate con appositi link, purché siano intellegibili, chiare e non formulate in maniera generica. In tal senso: Trib. Catanzaro
GIURISPRUDENZA CIVILE invece che per la sussistenza della conoscibilità, il sito deve essere organizzato in modo tale che non sia possibile approvare il testo contrattuale se non dopo essere passati dalla pagina contenente le clausole contrattuali ed avere confermato l’avvenuta lettura. La conoscibilità, poi, per comune opinione, richiede la intelligibilità della clausola, avuto riguardo alla sua formulazione, alla linguistica e alla presentazione grafica. Con riguardo infine alle clausole vessatorie on line, la giurisprudenza richiamata aderisce all’opinione secondo la quale non è sufficiente la sottoscrizione del testo contrattuale, ma è necessaria la specifica sottoscrizione delle singole clausole, che deve essere assolta con la firma digitale. In termini diversi, nei contratti telematici a forma libera il contratto si perfeziona mediante il tasto negoziale virtuale, ma le clausole vessatorie saranno efficaci e vincolanti solo se specificamente approvate con la firma digitale. La sentenza in commento dunque si ricollega al fil rouge giurisprudenziale originatosi per la prima volta nel 2002 e successivamente confermato nel 2007 dai giudici di merito, facendo peraltro eco ad un’altra, più recente ma contenutisticamente identica pronuncia del giudice di pace di Milano (28).
30 aprile 2012, cit. In senso conforme cfr. anche Trib. Messina 7 luglio 2010. (28) Giud. pace Milano 28 gennaio 2019, il quale ha precisato che in tema di contratti, il procedimento point and click, che è una modalità di conclusione dei contratti utilizzata nel commercio elettronico e che prevede che la volontà negoziale del contraente rispetto a un modulo negoziale on line sia espressa compilando i campi elettronici di volta in volta proposti e cliccando sul pulsante previsto per l’accettazione, pur valendo come consenso contrattuale, non è idonea a soddisfare il requisito della specifica approvazione della clausola vessatoria così come richiesta dall’art. 1341 co. 2 c.c., poiché con tale modalità non è garantita l’attenzione del contraente debole verso la clausola a lui sfavorevole, in quanto ricompresa tra le altre richiamate.
DIRITTO DI INTERNET N. 1/2020
133
GIURISPRUDENZA PENALE
Della rilevanza penale della creazione abusiva dell’account e del successivo inserimento di dati personali altrui su un social network Corte di Cassazione, sezione III penale, sentenza 17 ottobre 2019, n. 42565; Pres. Izzo; Rel. De Marzo; P.M. Epidendio Il reato di illecito trattamento dei dati personali, di cui all’art. 167 del d.lgs. 30 giugno 2003, n. 196, realizzato con la diffusione dei dati medesimi, ha natura di reato permanente, caratterizzandosi per la continuità dell’offesa arrecata dalla condotta volontaria dell’agente, il quale ha la possibilità di far cessare in ogni momento la propagazione lesiva dei dati medesimi.
Svolgimento del processo 1. Per quanto ancora rileva, con sentenza del 03 ottobre 2018 la Corte d’appello di Catania ha confermato la decisione di primo grado, che aveva condannato alla pena ritenuta di giustizia e al risarcimento dei danni L.G., avendolo ritenuto responsabile del reato di cui all’art. 81 c.p. e d.lgs. 30 giugno 2003, n. 196, art. 167, per avere utilizzato, ad insaputa di V.E., i dati personali di quest’ultima, la quale era stata iscritta, dal …Omissis…, mediante un falso profilo, sul sito del social network … Omissis…: nella stanza denominata “sesso” di tale profilo erano stati inseriti i dati della donna. 2. Nell’interesse dell’imputato è stato proposto ricorso per cassazione affidato ai seguenti motivi. 2.1. Con il primo motivo si lamentano vizi motivazionali, per avere la Corte territoriale, prima affermato che la V. era risultata iscritta dal …Omissis… al sito ricordato e poi sostenuto che la registrazione sarebbe avvenuta in data …Omissis... Aggiunge il ricorrente: a) che l’ispettore Va. della Polizia postale aveva affermato che l’unico accesso al sito in questione con la SIM dell’imputato era stato quello del …Omissis… e che non era dato conoscere quale attività fosse stata svolta durante tale accesso; b) che la persona offesa, nel corso della sua deposizione, aveva affermato che le prime conversazioni sul sito sarebbero avvenute il …Omissis…; c) che, peraltro, neppure era certo che fosse stato l’imputato ad accedere al sito, tenuto conto del fatto che egli viveva in caserma con numerosi commilitoni e che chiunque avrebbe potuto usare il telefono con condivisione della connessione, in modalità tethering; d) che illegittimamente la Corte d’appello aveva posto a carico dell’imputato l’onere di indicare nominativi di persone che potessero essere a conoscenza dell’account.
2.2. Con il secondo motivo si lamentano vizi motivazionali per avere i giudici di secondo grado omesso di esaminare la questione, dedotta con l’atto di appello, dell’assenza di riscontri esterni alle dichiarazioni della V. 2.3. Con il terzo motivo, si lamenta violazione di legge, per non avere la Corte d’appello rilevato che, a tacer delle dichiarazioni della V., quanto alle prime conversazioni, comunque la creazione dell’account sarebbe avvenuta il …Omissis…, con la conseguenza che, anche tenendo conto dei periodi di sospensione, il termine di prescrizione era spirato in data 15 settembre 2018, prima della sentenza impugnata. 2.4. Con il quarto motivo si lamentano vizi motivazionali, per avere la Corte distrettuale omesso di argomentare in ordine al chiesto beneficio della non menzione. Motivi della decisione 1. Il primo motivo è inammissibile per assenza di specificità. La Corte territoriale attribuisce esattamente alla sentenza di primo grado la affermazione che l’iscrizione sarebbe perdurata dal …Omissis…, in quanto tale ricostruzione è proprio quella che emerge dalla lettura della decisione. Però aggiunge un dato che nella sentenza del Tribunale di Ragusa non è esplicitato, ossia che l’iscrizione è avvenuta il …Omissis…, con IP riconducibile all’utenza dell’imputato. Al riguardo, si osserva: a) che la condotta contestata al capo a) riguarda non l’utilizzo dei dati per la registrazione dell’account, ossia la condotta posta in essere, secondo la Corte d’appello nell’aprile del 2010, ma, specificamente, la diffusione dei dati personali della persona offesa nella stanza denominata “sesso” del falso profilo
DIRITTO DI INTERNET N. 1/2020
135
GIURISPRUDENZA PENALE creato; b) che, pertanto, su un piano logico, non è ravvisabile alcuna contraddizione nella sentenza impugnata che, per un verso, ha valorizzato, al fine di attribuire all’imputato la diffusione illecita dei dati della persona offesa, la creazione dell’account avvenuta nell’aprile del 2010 con IP riconducibile all’utenza telefonica mobile del ricorrente e, per altro verso, ha sottolineato che i dati della persona offesa sono rimasti nella stanza sopra ricordata dal …Omissis…: trattasi, infatti, di comportamenti ontologicamente distinti; c) che il ricorrente, nel contestare l’accertamento dei fatti operato dalla sentenza impugnata, denunciando un travisamento del contenuto delle risultanze processuali, allega al ricorso le pagine 3 e 5 della deposizione dell’ispettore della polizia postale, ma non la pag. 4, con la conseguenza che non è possibile controllare la base obiettiva del dedotto travisamento della prova; d) che, infine, le ipotesi alternative prospettate sono di assoluta irragionevolezza e inverosimiglianza (commilitoni che si sarebbero connessi alla rete usando l’IP del telefono dell’imputato per creare un profilo usando i dati della persona con la quale quest’ultimo, anni prima, aveva avuto un relazione). Al riguardo, va ribadito che il ragionevole dubbio deve riposare su ricostruzioni non solo astrattamente ipotizzabili in rerum natura, ma la cui plausibilità nella fattispecie concreta risulti ancorata alle risultanze processuali, assunte nella loro oggettiva consistenza; in altre parole, deve rispondere non solo a criteri dotati di intrinseca razionalità, ma deve poter essere argomentato con ragioni verificabili alla stregua del materiale probatorio acquisito al processo (Sez. Un., n. 14800 del 21 dicembre 2017 - dep. 03 aprile 2018, Troise, Rv. 272430). In questa prospettiva, il rilievo della Corte d’appello, secondo la quale l’imputato non aveva indicato chi mai potesse essere a conoscenza dell’account da lui creato, al punto da potervi accedere ed inserire i dati della persona offesa, va inteso non come una inammissibile inversione dell’onere probatorio, ma come la puntualizzazione dell’assenza di qualunque allegazione idonea a incrinare conclusioni del tutto univoche alla stregua degli elementi concretamente emersi in esito all’istruttoria dibattimentale. 2. Il secondo motivo è inammissibile per assoluta assenza di specificità, in quanto, sin dal primo grado, i fatti lamentati dalla ricorrente e collocati nel gennaio 2010 non sono stati attribuiti all’imputato. 3. Il terzo motivo di ricorso, con il quale si assume che il reato de quo si sarebbe estinto per intervenuta prescrizione in data anteriore a quella della sentenza di secondo grado, è inammissibile per manifesta infondatezza. La Corte territoriale ha osservato: a) che, a seguito delle indagini della Polizia postale, era emersa la registrazione, con i dati personali della persona offesa, in data … Omissis…, di un account sul sito …Omissis…; la registrazio-
136
DIRITTO DI INTERNET N. 1/2020
ne era avvenuta attraverso un IP riconducibile all’utenza telefonica mobile intestata all’imputato; b) che dal … Omissis… la persona offesa era stata iscritta, mediante tale falso profilo e che, nella stanza denominata “sesso” erano stati inseriti i dati personali della prima. Ora, il capo di imputazione per il quale è intervenuta condanna (capo a) concerne proprio la comunicazione dei dati personali inseriti in tale stanza sino al 29 maggio 2010. Il d.lgs. n. 196 del 2003, art. 167, nel testo vigente ratione temporis, incriminava la condotta di chi, al fine di trarre per sé o per altri profitto o di recare ad altri un anno, procedesse al trattamento di dati personali, in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’art. 129. L’art. 4, comma 1, lett. b) del medesimo decreto legislativo nel testo allora vigente identificava il dato personale come qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili anche indirettamente; la precedente lett. a) identificava, per quanto ora rileva, il trattamento come qualunque operazione o complesso di operazioni concernenti la comunicazione e la diffusione di dati (le nozioni sono oggi rispettivamente riprodotte, in termini sostanzialmente sovrapponibili, ai fini del presente procedimento, nei numeri 1 e 2 dell’art. 4 del Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, richiamato nell’attuale d.lgs. n. 196 del 2003, art. 1). Ciò posto, l’attività di diffusione, da intendersi come la conoscenza dei dati fornita ad un numero indeterminato di soggetti (v., ora, il d.lgs. n. 196 del 2003, art. 2-ter, comma 4, lett. b); all’epoca dei fatti, la nozione era contenuta nel d.lgs. cit., art. 4, comma 1, lett. m). Secondo una distinzione da tempo recepita dalla giurisprudenza di questa Corte (v., ad es., Sez. 2, n. 4393 del 04 dicembre 2018 - dep. 29 gennaio 2019, Maniscalco Zuela, Rv. 274902) i reati istantanei sono quelli nei quali l’azione antigiuridica si compie e si realizza definitivamente col verificarsi dell’evento, cosicché in tale momento il reato stesso viene ad esaurirsi. Sono permanenti, invece, i reati in cui, nonostante il realizzarsi dell’evento, gli effetti antigiuridici non cessano, ma permangono nel tempo per l’impulso della intenzionale condotta dell’agente. Nel caso di specie, la condotta di diffusione, in quanto programmaticamente destinata a raggiungere un numero indeterminato di soggetti, si caratterizza per la continuatività dell’offesa derivante dalla persistente condotta volontaria dell’agente (che ben avrebbe potuto rimuovere i dati personali resi ostensibili ai frequentatori del social network). Ne discende che l’illecito, perfezionatosi nel momento di instaurazione della condotta offensiva, si è consumato,
GIURISPRUDENZA PENALE agli effetti di cui all’art. 158 c.p., comma 1, dal giorno in cui è cessata la permanenza, ossia dal 29 maggio 2010. Il termine di prescrizione di sette anni e mezzo, derivante dall’applicazione dell’art. 157 c.p., comma 1 e art. 161 c.p., comma 2, era pertanto destinato a spirare il 29 novembre 2017. Tuttavia, occorre considerare la sospensione del processo, per astensione della difesa …Omissis… per 322 giorni, talché si giunge al 17 ottobre 2018, epoca successiva alla data della sentenza di secondo grado. Sulle conseguenze dell’intervenuta scadenza del termine, si rinvia alle considerazioni svolte infra sub 5. 4. Il quarto motivo di ricorso è inammissibile per manifesta infondatezza, giacché è vero che la Corte tace sulla richiesta, ma questa, per come formulata in appello, era assertiva e si limitava a dedurre che ricorrevano i presupposti per la non menzione, in violazione della regola della necessaria specificità delle doglianze (Sez. Un., n.
8825 del 27 ottobre 2016 - dep. 22 febbraio 2017, Galtelli, Rv. 268822). 5. L’inammissibilità del ricorso preclude il rilievo della eventuale prescrizione maturata successivamente alla sentenza impugnata (Sez. Un., n. 32 del 22 novembre 2000, De Luca, Rv. 217266) 6. Alla pronuncia di inammissibilità consegue, ex art. 616 c.p.p., la condanna del ricorrente al pagamento delle spese processuali, nonché al versamento, in favore della Cassa delle ammende, di una somma che, in ragione delle questioni dedotte, appare equo determinare in euro 2.000,00. P.Q.M. Dichiara inammissibile il ricorso e condanna il ricorrente al pagamento delle spese processuali e della somma di euro 2.000,00 in favore della Cassa delle Ammende. Così deciso in Roma, il 28 maggio 2019. Depositato in Cancelleria il 17 ottobre 2019
Il Commento
di Andrea De Lia Sommario: 1. Premesse: la vicenda che ha originato il processo e la valutazione del caso da parte della suprema Corte. – 2. La disciplina penale del trattamento di dati personali ai fini della creazione abusiva di un account e della successiva diffusione dei dati. – 3. La questione della qualificazione del reato nella prospettiva della consumazione e del conseguente problema del calcolo della prescrizione. – 4. Conclusioni Il contributo, nel commentare la sentenza della Cassazione, si sofferma brevemente sull’analisi della condotta tipica descritta dall’art. 167 del Codice della Privacy, a seguito della riforma operata dal legislatore ai fini dell’allineamento della disciplina interna con quella eurounitaria, che mostra un’evidente discontinuità rispetto al testo antecedente, con conseguente abolitio criminis parziale. Ci si sofferma poi sul momento consumativo della condotta di “trattamento illecito”, rilevandosi che a seguito della diffusione abusiva – contrariamente a quanto rilevato dalla suprema Corte – non sussiste alcuna obbligazione in capo al soggetto attivo di rimozione della situazione antigiuridica provocata, tanto meno valorizzabile nella prospettiva della “consumazione” del reato e nell’attribuzione ad esso della qualifica di reato a “condotta permanente”, anche ai fini del calcolo dei termini di maturazione della prescrizione. The paper briefly analyzes the typical conduct described by the art. 167 of the Privacy Code, following the reform implemented by the legislator for the purpose of harmonizing the internal regulations with the European one, and shows a clear discontinuity with respect to the previous text, with consequent partial de-criminalization. It then focuses on the consumptive moment of the conduct of “unlawful treatment”, noting that following the unauthorized disclosure – contrary to the findings of the Supreme Court – there is no obligation on the part of the active subject to remove the provoked anti-juridical situation in the prospect of the “consummation” of the crime and the attribution to it of the status of a “permanent conduct” offense, also for the purpose of calculating the terms of the statute of limitation.
1. Premesse: la vicenda che ha originato il processo e la valutazione del caso da parte della suprema Corte
La sentenza in commento ha preso le mosse dalla contestazione all’imputato del reato di cui al comma 1 dell’art. 167 d.lgs. 20 giugno 2003, n. 196 (d’ora in poi, per brevità, “Codice della privacy”), per aver detto soggetto utilizzato, all’insaputa del titolare, i dati personali della vittima (ex compagna dell’imputato medesimo) al fine di creare un account su di un social network, intestato
alla persona offesa, e per aver poi diffuso sul sito i dati di quest’ultima. Avverso la sentenza di condanna confermata in sede di gravame, era stato dunque interposto ricorso per cassazione, articolato su diversi motivi di doglianza; in particolare, era stata dedotta la carenza di prova in ordine alla riferibilità del fatto all’imputato, ed in subordine l’intervenuta prescrizione del reato. La suprema Corte, allora, nel rilevare che l’iscrizione al sito era stata attivata da un host riconducibile all’im-
DIRITTO DI INTERNET N. 1/2020
137
GIURISPRUDENZA PENALE putato, attraverso l’IP identificato e correlato all’utenza mobile intestata al medesimo, in ordine alla dedotta intervenuta prescrizione del reato ha rilevato che la contestazione aveva ad oggetto condotte, rappresentate dal trattamento abusivo di dati personali (consistenti nell’inserimento di informazioni relative alla persona offesa, e nella conseguente diffusione), che avrebbero pienamente integrato l’illecito disciplinato dalla disposizione di riferimento. La figura delittuosa in disamina, a sua volta, avrebbe dovuto essere qualificata in termini di reato permanente; talché, essendo cessata la permanenza soltanto con la definitiva eliminazione dei dati all’interno del social network, la prescrizione sarebbe maturata nel caso di specie in data successiva alla pronuncia della Corte d’appello, e – attesa l’inammissibilità del ricorso per manifesta infondatezza – la Cassazione ha dunque affermato l’inoperatività della causa di estinzione del reato. La sentenza, dunque, ha affrontato due temi di particolare interesse, rappresentati dalla rilevanza, agli effetti della fattispecie contestata, della condotta di diffusione di dati personali all’interno di un social network, e dalla qualificazione in termini di reato “permanente” del delitto disciplinato dall’art. 167 del Codice della privacy, tanto da rendere opportuna in questa sede qualche breve riflessione.
2. La disciplina penale del trattamento abusivo di dati personali ai fini della creazione di un account e della successiva diffusione dei dati
Il Codice della privacy, prima delle riforme più di recente attuate dal legislatore, definiva in maniera assai poco analitica il concetto di “dato personale”, attraverso la locuzione “qualunque informazione attinente a persone fisiche” (art. 4 lett. b), e altrettanto latamente descriveva quella di “trattamento” (art. 4 lett. a). Ed è su tali basi che si innestava la figura delittuosa di cui all’art. 167 del Codice della privacy che, nella versione vigente all’epoca della realizzazione dei fatti contestati, al comma 1, prevedeva che «salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23 (1), 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazio-
(1) Che prescriveva, ai fini del trattamento, il consenso preventivo del titolare dei dati. Tale disposizione è stata abrogata dal d.lgs. 10 agosto 2018, n. 101, che peraltro ha novellato l’art. 167 del Codice della privacy espungendo il riferimento all’art. 23.
138
DIRITTO DI INTERNET N. 1/2020
ne o diffusione, con la reclusione da sei a ventiquattro mesi» (2). Vi è però da rilevare che – al di là delle definizioni di “dato personale” e di “trattamento” compendiate oggi nella normativa europea, alla quale fa richiamo quella interna – le modifiche apportate alla disposizione in disamina ad opera del d.lgs. n. 101/2018 (in vigore dal 19 settembre 2018) (3) hanno in realtà ristretto l’area del penalmente rilevante, atteso che l’attuale comma 1 opera un riferimento soltanto a condotte di trattamento illecito di dati nei casi previsti dai artt. 123 (dati relativi al traffico), 126 (dati relativi all’ubicazione), 130 (comunicazioni indesiderate) e 129 (dati personali relativi ai contraenti negli elenchi cartacei o elettronici a disposizione del pubblico) del Codice della privacy, laddove i commi successivi fanno riferimento a dati particolari [sensibili e giudiziari, di cui agli artt. 9 e 10 del Regolamento (Ue) 2916/679] e al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale. Talché si è sottolineata, da parte di alcuni studiosi, l’irrilevanza agli effetti della disposizione di riferimento nella formulazione attualmente vigente del trattamento illecito costituito dalla diffusione dell’immagine altrui (anche con riferimento alla creazione abusiva di un account), con conseguente applicabilità, a determinate condizioni, semmai dell’art. 494 c.p. (4); ad analoga considerazione, in punto di irrilevanza penale, sembra tuttavia doversi pervenire per l’ipotesi di diffusione di dati personali (a seguito dell’apertura dell’account), se non rientrante nelle speciali previsioni del Codice della privacy richiamate dall’art. 167 (5). (2) Per la ricostruzione di tale fattispecie vd. Manna – Di Florio, Riservatezza e diritto alla privacy: in particolare, la responsabilità per omissione dell’internet provider, in Cadoppi – Canestrari – Manna – Papa (a cura di), Cybercrime, Milano, 2019, 815 ss. (3) Sulle ragioni della riforma, e sul rapporto con la normativa europea vd. Manes – F. Mazzacuva, GDPR e nuove disposizioni penali del Codice privacy, in Dir. Pen. Proc., 2019, 171 ss. Vd. inoltre Bailo, Il sistema sanzionatorio, in Scagliarini (a cura di), Il “nuovo” codice in materia di protezione dei dati personali, Torino, 2019, 299 ss. (4) Crescioli, Una sentenza della Cassazione sulla sostituzione di persona on line, in Diritto penale contemporaneo, all’indirizzo <https://penalecontemporaneo.it>. In ordine alla rilevanza di tali condotte rispetto alla figura di sostituzione di persona vd. Cass. 22 giugno 2018, n. 42572. Nell’occasione, più precisamente, la Corte ha ritenuto rilevante ai fini dell’art. 494 c.p. la creazione abusiva di un account su un sito e-commerce. (5) Del resto si è trattato, come emerge dalla lettura dei lavori preparatori al d.lgs. n. 101/2018, di una scelta consapevole da parte del legislatore, finalizzata a limitare l’intervento penale alle fattispecie più gravi, e ad evitare il problema del bis in idem sanzionatorio, e cioè del cumulo con le conseguenze dell’illecito amministrativo previste dal Regolamento (Ue) 2016/679 e dall’art. 166 del Codice della privacy. Sull’abolitio criminis parziale vd. Resta, Sub art. 167, in Sciaudone – Caravà (a cura di), Il codice della privacy, Pisa, 2019, 882 ss. La giurisprudenza, in tale ambito, sta per il vero operando degli equilibrismi interpretativi, nella misura in cui – ad esempio – è stata ricondotta nell’alveo del combinato disposto degli artt.
GIURISPRUDENZA PENALE Muovendo allora l’obiettivo dell’analisi al caso affrontato dalla suprema Corte, occorre rilevare che la pronuncia ha affermato la piena continuità normativa rispetto alla vicenda scrutinata tra vecchia e nuova fattispecie, senza tuttavia specificare i motivi che hanno determinato tale conclusione, e quali dati fossero stati concretamente diffusi abusivamente dall’imputato (elemento questo invece indispensabile ai fini della valutazione di persistente tipicità) (6). Accanto a tale questione si colloca infine quella della definizione in termini di “reato permanente” delle figure disciplinate dall’art. 167 del Codice della privacy, sulla quale ci si soffermerà dunque brevemente qui di seguito.
3. La questione della qualificazione del reato nella prospettiva della consumazione e del conseguente problema del calcolo della prescrizione
Con la sentenza in commento la Cassazione ha inoltre rilevato, come anticipato, che la fattispecie disciplinata dal comma 1 dell’art. 167 del Codice della privacy costituirebbe un illecito a carattere permanente, con la conseguenza che i termini di prescrizione decorrerebbero dal momento in cui i dati, abusivamente trattati e diffusi, siano rimossi dal social network; si tratta dunque, come meglio si rileverà, di una soluzione tutt’altro che condivisibile. Come noto, la dottrina ha ben distinto la nozione di “reato a condotta permanente” da quella di “reato ad effetto permanente”; in particolare, ed in estrema sintesi, nella prima classificazione rientrano gli illeciti “di durata” (7), connotati già in astratto da una condotta che perduri per un’apprezzabile lasso di tempo unitamente
all’offesa del bene giuridico tutelato (8), e che si contrappongono ai reati c.d. “istantanei”, ove la condotta e l’offesa sono valorizzati ai fini della tipicità dal legislatore rispetto ad uno specifico punctum temporis. Alla seconda categoria, invece, sono riconducibili le figure che richiedono, ai fini della tipicità, che soltanto l’evento lesivo (id est, per l’appunto, l’effetto) si protragga per un periodo apprezzabile di tempo (9). Ciò nonostante, ed in difetto di una nozione normativamente scolpita del reato permanente (al contrario del reato continuato, art. 81 c.p., e del reato complesso, art. 84 c.p.), la giurisprudenza ha mostrato nel tempo orientamenti ondivaghi rispetto alla qualificazione giuridica di diverse fattispecie, operando in alcune occasioni delle “fughe in avanti” mosse dall’esigenza di non rendere impuniti determinati comportamenti a fronte del maturare della prescrizione (cfr. art. 158 c.p.) (10), o (seppur in minor misura) dalla necessità di evitare sperequazioni sanzionatorie altrimenti derivanti dalla disciplina del concorso di reati; valga l’esempio del furto (art. 624 c.p.), tradizionalmente qualificato in termini di reato istantaneo e interpretato invece dalla giurisprudenza in termini di reato permanente, sub specie reato “a consumazione prolungata”, nel caso della sottrazione d’energia (11). Ed ancora quello della truffa aggravata di cui all’art. 640-bis c.p. (12), e della rilevanza del pagamento delle trance nel pactum sceleris nelle fattispecie di corruzione, ove viene evocata la figura del reato “a condotta frazionata” (13).
(8) Cfr. Coppi, Reato permanente, in Dig. Disc. Pen., XI, Torino, 1996, 318 ss. Si tratta di un’accezione accolta anche dalla Consulta con la sentenza Corte cost. 8 marzo 2018, n. 53. (9) Sul tema vd. Falcinelli, Il tempo del reato, il reato nel tempo, Torino, 2011 passim; De Francesco, Diritto penale. Principi, reato, forme di manifestazione, Torino, 2018, 154 e 610.
123 e 167 comma 1 del Codice della privacy la diffusione non autorizzata del numero di utenza telefonica di un altro soggetto, dato assimilato al “traffico telefonico” (cfr. Cass. 24 ottobre 2019, n. 46376). Contra vd. Cass. 13 agosto 2019, n. 40140, che ha stabilito che «l’attuale art. 167 del Codice della privacy sanziona penalmente, ai sensi del primo comma, solo le violazioni delle disposizioni sul trattamento dei dati relativi al traffico, concernenti contraenti ed utenti trattati dal fornitore di una pubblica rete di comunicazioni, nonché quelle riguardanti il trattamento dei dati relativi all’ubicazione dei medesimi soggetti, le violazioni relative alle cd. comunicazioni indesiderate e quelle provenienti dal Garante in materia di inserimento e utilizzo di dati personali all’interno di elenchi cartacei o elettronici a disposizione del pubblico».
(10) Muscatiello, Pluralità e unità di reati. Per una microfisica del molteplice, Padova, 2002, 248 ss.
(6) Analogamente vd. Cass. 19 giugno 2019, n. 43534 che, apoditticamente prendendo le mosse dalla “continuità normativa” tra vecchia e nuova disposizione incriminatrice, ha ritenuto rilevante per l’effetto del novellato comma 1 dell’art. 167 del Codice della Privacy la realizzazione da parte dell’imputato di alcuni fotomontaggi, mediante l’uso di foto di alcune donne e la sovrapposizione con altre immagini, e la successiva diffusione su siti porno.
(13) Cfr. Cass., Sez. Un., 25 febbraio 2010, n. 15208. Sul tema vd. anche Catenacci, Reati contro la Pubblica Amministrazione e contro l’Amministrazione della Giustizia, in Trattato teorico-pratico di diritto penale diretto da Palazzo e Paliero, vol. V, 88 ss. In senso critico su tali impostazioni vd. Brunelli, Il diritto penale delle fattispecie criminose, Torino, 2013, 96–97. L’A. rileva la tensione di tali costruzioni con il principio di legalità, e sostiene che in questi casi, una volta integrato l’illecito, l’approfondimento dell’offesa e la sua implementazione costituiscano un post-factum rilevante solo agli effetti dell’art. 61 n. 8 c.p.
(7) Petrone, Reato abituale, in Nov. Dig. It., XVI, Torino, 1967, 945.
(11) Cfr. da ultimo Cass. 15 novembre 2018, n. 53456. (12) Vd. Cass. 6 agosto 2019, n. 44878, ove la Corte ha ritenuto che la “consumazione prolungata” dipendesse dal fatto che il reo sin dal principio, attraverso la condotta tipica, intendesse perseguire lo scopo del pagamento in più ratei del beneficio pubblico indebito. Su questa figura, anche per i riferimenti giurisprudenziali, sia tollerato il rinvio a De Lia, Il momento consumativo nelle fattispecie criminose in materia di agevolazioni finanziarie alle imprese, all’indirizzo <https://archiviopenale.it>.
DIRITTO DI INTERNET N. 1/2020
139
GIURISPRUDENZA PENALE Muovendo l’obiettivo dell’indagine alla sentenza in commento, si può constatare allora che la Corte sembra aver incentrato la soluzione del caso su di una sorta di natura “anfibia” della condotta di trattamento/diffusione, attribuendo alla stessa struttura bifasica, costituita da un momento inizialmente attivo (utilizzo e pubblicazione di dati personali sul sito internet) e successivamente omissivo (mancata rimozione dei dati già diffusi dal sito internet) che, sincretisticamente considerati, avrebbero fatto scaturire la natura permanente dell’illecito, ai fini del calcolo della decorrenza dei termini di prescrizione del reato. Si tratta di una impostazione che presenta però due principali criticità: in primo luogo risulta frutto di un’interpretazione artificiosa, nella misura in cui essa muove da una sorta di obbligo normativamente inespresso di rimuovere una situazione antigiuridica già creata, a valle della consumazione della fattispecie in tutti i suoi caratteri essenziali, ed in assenza di ulteriori condotte tipiche; obbligo, questo, che viene correlato evidentemente all’omissione (mancata rimozione dal sito dei dati personali altrui) (14). In secondo luogo, essa è prodotto di un vizio logico nella misura in cui la struttura permanente dell’illecito è stata ricavata dal concreto atteggiarsi della condotta realizzata dal reo, anziché, come si dovrebbe, dalla struttura della norma (15). È chiaro infatti che operando in questa maniera, anche illeciti che pacificamente sono qualificabili in termini di reati istantanei subirebbero una modifica genetica in figure di illecito permanente; così ad esempio (addirittura) la rapina, che potrebbe essere qualificata in termini di reato permanente laddove l’indisponibilità della res, sottratta con violenza e/o minaccia iniziali, perdurasse nel tempo (16), con confusione del concetto di permanenza della condotta che qualifica l’illecito, per l’appunto, come permanente con quella dell’effetto che da essa promana. Di contro, esaminando la fattispecie disciplinata dall’art. 167 del Codice della privacy, ed in particolare le condotte di trattamento illecito di cui ai primi due commi, nella formulazione vigente, emerge che la stessa ruoti attorno a due fondamentali perni oggettivi: il trat-
(14) Sul tema dell’irrilevanza del post-factum e sull’insussistenza di un obbligo giuridico generalizzato di rimozione della situazione antigiuridica provocata dal reato consumato vd. Prosdocimi, Profili penali del postfactum, Milano, 1982, 167 ss. (15) Cfr. Moro, Unità e pluralità di reati, Padova, 1954, 225 ss. (16) Su questi temi vd. anche De Santis, Gli effetti del tempo nel reato. Uno studio tra casistica e dogmatica, Milano, 2006, 400 ss.
140
DIRITTO DI INTERNET N. 1/2020
tamento illecito e il nocumento arrecato al titolare dei dati per l’effetto del suddetto trattamento (17). Alla luce di ciò, se da un lato il bene giuridico tutelato dalla norma incriminatrice può essere individuato nel diritto alla riservatezza (18), e quindi in un interesse (relazione tra il soggetto passivo ed il valore) “comprimibile”, tanto da non fornire di per sé ostacolo alla qualificazione in termini di reato permanente (19), dall’altro lato la condotta tipica, letta nella prospettiva oggettiva, si innesta sul trattamento illecito e sulla provocazione del nocumento, con la conseguenza che la fattispecie si connota in termini di reato, al più, solo “eventualmente permanente” (20), non diversamente, ad esempio, dall’ingiuria (figura ora degradata ad illecito amministrativo-civile per l’effetto del d.lgs. 15 gennaio 2016, n. 7) o dalla diffamazione (ove la fattispecie si integra con la propalazione e l’offesa della reputazione), e più in particolare con effetti “eventualmente permanenti”. In altri termini, la fattispecie descritta dall’art. 167 del Codice della privacy si consuma attraverso il trattamento illecito dei dati personali realizzato – nelle modalità e condizioni previste dalle disposizioni richiamate dallo stesso art. 167 – al fine di procurare a sé un profitto o di arrecare un danno, e laddove dalla condotta derivi (17) Che, in precedenza qualificato da alcuni studiosi in termini di condizione obiettiva di punibilità intrinseca (così Manna, Prime osservazioni sul Testo Unico in materia di protezione dei dati personali: profili penalistici, all’indirizzo <https://privacy.it>; contra però Cass. 23 novembre 2016, n. 15221: «in tema di trattamento illecito dei dati personali, il nocumento per la persona alla quale i dati illecitamente trattati si riferiscono, previsto dall’art. 167 del d.lgs. 30 giugno 2003, n. 196, costituisce – per la sua omogeneità rispetto all’interesse leso, e la sua diretta derivazione causale dalla condotta tipica – un elemento costitutivo del reato, e non una condizione oggettiva di punibilità; ne consegue che esso deve essere previsto e voluto o comunque accettato dall’agente come conseguenza della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell’azione stessa»), è ora più chiaramente identificabile come elemento costitutivo del reato. (18) Su questo tema vd. G. Finocchiaro, Privacy e protezione dei dati personali, Bologna, 2011, 9. (19) Sul concetto di “bene comprimibile” vd. Mezzetti, Diritto penale. Casi e materiali, Bologna, 2017, 264 e Rampioni, Reato permanente, in Enc. Dir., XXXVIII, Milano, 1987, 857. (20) Su questo concetto vd. Pagliaro, Il reato, in Trattato di diritto penale, diretto da Grosso – Padovani – Pagliaro, I, Milano, 2007, 336 ss. Secondo l’A. il reato è “necessariamente permanente” quando la fattispecie si integra con la realizzazione di una situazione di fatto ed il successivo suo “mantenimento” nel tempo, come nelle figure di sequestro di persona, ove il reato si consuma con il protrarsi per un tempo apprezzabile della privazione della libertà personale, e per il quale la consumazione cessa con la liberazione del soggetto passivo (o con il decesso del sequestrato); è “eventualmente permanente” (o “eventualmente istantaneo”), invece, nel caso dei reati contro l’onore, nella misura in cui la fattispecie può realizzarsi uno actu, ovvero con più azioni non intervallate da un apprezzabile lasso temporale, e quindi sostanzialmente contestuali. Sull’argomento, e sulla necessità del confronto con la struttura della fattispecie astratta, vd. anche Caraccioli, Manuale di diritto penale. Parte generale, Padova, 2005, 82.
GIURISPRUDENZA PENALE un effettivo nocumento al titolare dei dati abusivamente trattati, mentre la successiva fruibilità dei dati da parte dei terzi – in difetto della rimozione dei dati, ad opera del reo o di altri soggetti – è elemento che può certamente essere valutato ai fini della commisurazione della pena ai sensi dell’art. 133 c.p. (che autorizza il giudice a valorizzare tanto la gravità del danno cagionato alla persona offesa quanto la condotta del reo susseguente al reato), ma che non incide affatto sulla consumazione del reato, sulla sua permanenza e, in definitiva, sulla prescrizione dell’illecito (21).
4. Conclusioni
Volendo ora trarre le fila dell’analisi condotta, si può concludere con il rilevare che la Cassazione con la pronuncia annotata sia incorsa in due fondamentali errori: innanzitutto nell’affermazione della perfetta continuità normativa tra la precedente e l’attuale formulazione dell’art. 167 del Codice della Privacy che, invece, per quanto osservato, a seguito della riforma del 2018, fa registrare (anche alla luce dei lavori preparatori, e quindi dell’individuazione della ratio dell’intervento modificativo) una parziale abolitio criminis. In secondo luogo nella valorizzazione del comportamento omissivo tenuto dall’imputato che, secondo la Corte, avrebbe dovuto essere considerato nell’ottica della “permanenza” del reato, ai fini del calcolo della prescrizione. Insomma, ancora una volta, si è al cospetto di una interpretazione “giuscreativa”, che ha l’effetto di colmare (presunti) vuoti di tutela determinati da una parte dalle scelte attuate dal legislatore (22), e dall’altra parte dalle carenze strutturali del processo che conducono, attraverso la prescrizione, all’impunità: nihil sub sole novi, sol che si pensi – quanto al primo aspetto – all’interpretazione resa dalla giurisprudenza sulla disciplina delle false comunicazioni sociali, attraverso la valorizzazione in sede ermeneutica del falso valutativo, o ancora – solo in via d’esempio – a quella in ordine alla perdurante rilevanza penale di condotte di distrazione ai fini dell’integrazione del delitto di peculato (art. 314 c.p.).
Quanto poi alla disciplina della prescrizione, si è ormai alle soglie dell’entrata in vigore della riforma “spazzacorrotti”. È facile prevedere allora che – salvo ripensamenti del legislatore, invocati dalla dottrina più garantista – la “sospensione” sine die dei relativi termini spingerà la giurisprudenza ad un più rigoroso approccio alle categorie di diritto penale sostanziale e alla ricostruzione della struttura delle fattispecie, e che talune esegesi proiettate a “far giustizia” verranno verosimilmente abbandonate; considerando, tra l’altro, la mancata attuazione di opportune e pervasive riforme del processo penale (finalizzate a garantire la speditezza del procedimento), e giocoforza il profilarsi della figura “dell’eterno imputato”, si tratta però di (peraltro potenziali) effetti positivi assolutamente trascurabili rispetto alle (certe e tangibili) tensioni della nuova disciplina della prescrizione con i principi cardine sanciti a livello costituzionale, ed in particolare sulla garanzia del “giusto processo” di cui all’art. 111 Cost.
(21) Tra l’altro in questi casi sembra inapplicabile anche la circostanza aggravante di cui all’art. 61 n. 8 c.p. Contrariamente opinando, infatti, si perverrebbe comunque ad introdurre, surrettiziamente, un obbligo in capo al reo di rimuovere la situazione antigiuridica provocata attraverso la propria condotta illecita, attribuendogli una sorta di “posizione di garanzia”; ed inoltre in tal guisa si estenderebbero indebitamente le maglie della norma, che seppur attraverso una formulazione anodina, sembra finalizzata a sancire un aggravamento del trattamento sanzionatorio non tanto ancorato alla concreta estensione degli effetti lesivi della condotta, quanto ad un post-factum. In senso contrario vd. però Preziosi, Le circostanze, in Trattato di diritto penale, diretto da Cadoppi – Canestrari – Manna – Papa, Parte generale, Tomo II, Il reato, Torino, 2013, 867. (22) Su questi temi vd. diffusamente Manna, Il lato oscuro del diritto penale, Pisa, 2017.
DIRITTO DI INTERNET N. 1/2020
141
GIURISPRUDENZA PENALE
La “debole” rilevanza penale dello spamming, tra consenso implicito al trattamento e insussistenza del nocumento Corte di Cassazione ; sezione III penale; sentenza 10 ottobre 2019, n. 41604; Pres. Andreazza; Relatore Zunica Nell’attuale sistema informativo e commerciale, “nocumento” (ai sensi del combinato disposto degli articoli 167 e 130 del c.d. Codice Privacy) non può essere il solo disagio di dover cancellare pochi e occasionali messaggi non desiderati, richiedendosi, al fine di attribuire rilevanza penale al fatto, un quid pluris, consistente in un pregiudizio effettivo, che si riveli proporzionato rispetto all’invasività del comportamento di chi invia i contenuti sgraditi, restando magari indifferente a eventuali richieste di porre termine alla spedizione di una determinata tipologia di messaggi.
RITENUTO IN FATTO Con sentenza del 15 novembre 2017, la Corte di appello di Torino confermava la sentenza del 28 aprile 2015, con cui il Tribunale di Aosta aveva condannato X alla pena, condizionalmente sospesa, di mesi 6 di reclusione, in quanto ritenuto colpevole del reato di cui all’art. 167 in relazione all’art. 130 del d.lgs. n. 196 del 2003, a lui contestato per aver proceduto al trattamento illecito dei dati personali degli iscritti all’Associazione I, inviando reiteratamente agli stessi numerose e-mail provenienti dal suo indirizzo XXXXX@XXXXX.XXX, con cui pubblicizzava propri corsi di aggiornamento, in tal modo agendo al fine di procurarsi un profitto, consistito nell’ottenere la partecipazione a corsi e convegni da lui patrocinati o organizzati nel settore dell’igiene dentale, e procurando altresì agli associati un nocumento, consistente nella necessità di controllare e vagliare le numerose email inviate senza il loro consenso; fatti commessi in Aosta dal maggio al settembre 2013. Con statuizione del Tribunale confermata in secondo grado, X veniva altresì condannato al risarcimento dei danni in favore dell’Associazione I, costituitasi parte civile, da liquidare in separata sede. 2. Avverso la sentenza della Corte di appello piemontese, X, tramite il suo difensore, ha proposto ricorso per cassazione, sollevando quattro motivi. Con il primo, la difesa deduce l’illogicità e l’apparenza della motivazione della sentenza impugnata, in ordine alla ritenuta sussistenza del nocumento in capo ai destinatari delle e-mail inviate da X, osservando che a tal fine non poteva essere valorizzato il mero dato numerico dei messaggi inviati, posto che quest’ultimo deve essere rapportato all’Associazione e non a ogni singolo iscritto, nessuno dei quali, peraltro, si è costituito parte civile personalmente.
L’illogicità della motivazione in ordine al nocumento involgerebbe inoltre anche il passaggio argomentativo con cui è stato escluso il riconoscimento dell’ipotesi di cui all’art. 131 bis cod. pen., avendo la Corte di appello sostenuto che l’offesa non fosse qualificabile in termini di particolare tenuità, non già all’esito di un’indagine riferita alla singola persona offesa, ma piuttosto in base all’assioma secondo cui dalla ritenuta esistenza di un invio massivo di e -mail non autorizzate a una pluralità di soggetti, conseguirebbe che ogni singolo associato avesse patito un nocumento, pur senza alcuna personalizzazione probatoria. Con il secondo motivo, oggetto di doglianza è il travisamento del dato processuale costituito dalla documentazione prodotta dalla parte civile, posto che dallo stesso poteva desumersi che in realtà l’imputato aveva inviato 14 comunicazioni differenti a un totale di 93 indirizzi mail appartenenti ad alcuni associati della I e poi ha questi ultimi inoltrati alla medesima associazione, per cui non si era affatto in presenza dell’invio di “centinaia di comunicazioni”. In definitiva, ogni associato aveva ricevuto in genere una o due mail da X, mentre uno solo ne ha ricevuto dieci, per cui doveva escludersi che sia stato arrecato un nocumento ai singoli destinatari delle predette comunicazioni. …Omissis... CONSIDERATO IN DIRITTO Sono fondati e assorbenti i primi due motivi di ricorso, relativi al giudizio sulla sussistenza della fattispecie contestata. 1. Preliminarmente, al fine di circoscrivere l’ambito valutativo del presente giudizio, appare utile una sintetica ricostruzione dell’odierna vicenda fattuale che, almeno nei suoi passaggi essenziali, non risulta invero contesta-
DIRITTO DI INTERNET N. 1/2020
143
GIURISPRUDENZA PENALE ta, essendo invece controversa la sola qualificazione giuridica della condotta dell’imputato. Tale condotta, come emerge dalla lettura delle due conformi sentenze di merito, si inquadra nel rapporto professionale dell’avvocato X con l’Associazione I, di cui all’epoca dei fatti la moglie del ricorrente, Y, era membro del Consiglio direttivo. Per conto della Presidente dell’Associazione, Z l’avv. X aveva assunto il patrocinio legale dell’ associazione I. in almeno tre procedimenti, tra i quali uno di particolare importanza avviato nei confronti di M. s.p.a. Dopo un iniziale periodo in cui le prestazioni professionali dell’imputato avevano trovato l’apprezzamento dell’Associazione, i rapporti si incrinavano nel febbraio 2013, allorquando l’avv. X assumeva alcune iniziative non gradite dal Consiglio direttivo, come l’offerta di consulenza legale rivolta agli igienisti dentali iscritti, pubblicizzata anche mediante una pagina facebook appositamente creata, e l’organizzazione di convegni su aspetti legali di interesse della categoria, avendo inoltre il ricorrente richiesto il sostegno dell’associazione I, per un libro che intendeva pubblicizzare e per lo svolgimento di corsi aperti agli associati, ai quali venivano inviati delle e-mails con l’indicazione delle varie attività svolte. Dopo che l’Associazione aveva negato la sua disponibilità a patrocinare le iniziative personali dell’avvocato X, i rapporti conobbero una definitiva rottura durante una cena tenutasi la sera del 23 maggio 2013, allorquando la Presidente e la Segretaria Nazionale segnalavano alla Y l’inopportunità dei comportamenti del marito, il quale, almeno fino al settembre 2013, continuò tuttavia a inviare alcuni messaggi di posta elettronica agli igienisti dentali iscritti, alcuni dei quali se ne lamentarono poi con l’Associazione. Orbene, tanto premesso, deve escludersi, a differenza di quanto sostenuto dai giudici di merito, che il comportamento del ricorrente sia suscettibile di essere inquadrato nella fattispecie di cui all’art. 167 del d.lgs. n. 196 del 2003. In proposito deve premettersi che, al momento del fatto, la norma incriminatrice (rubricata “trattamento illecito di dati personali”) era così formulata: “1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11,
144
DIRITTO DI INTERNET N. 1/2020
25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”. La norma è stata di recente riformata dal d.lgs. n. 101 del 10 agosto 2018 (art. 15 comma 1 lett. b) che tuttavia non ha inciso in termini sostanziali sul contenuto della norma incriminatrice, essendo rimasto in particolare invariato l’elemento soggettivo del reato, costituito dal fine dell’agente di trarre per sé o per altri un profitto o di recare ad altri un danno mediante l’illecito trattamento. Il reato si connota pertanto come delitto a dolo specifico (così Sez. III, n. 3683 del 11 dicembre 2013, dep. 2014, Rv. 258492), la cui struttura finalistica è incompatibile con la forma del dolo eventuale, che postula l’accettazione solo in via ipotetica, seppure avverabile, del conseguimento di un determinato risultato. Parimenti immutato è rimasto il richiamo alla necessità del verificarsi di un “nocumento”, dovendosi tuttavia precisare al riguardo che nell’attuale versione normativa (“salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi”), la determinazione del nocumento si configura come un elemento costitutivo della fattispecie penale. Viceversa, nella precedente formulazione del reato, peraltro vigente al momento del fatto, è stata invece a lungo prevalente nella giurisprudenza di legittimità, anche in ragione del tenore testuale della norma (l’agente “è punito, se dal fatto deriva nocumento”) la tesi che qualificava il nocumento come una condizione obiettiva di punibilità, idonea cioè ad attualizzare l’offesa dell’interesse tutelato già realizzata dal fatto tipico (cfr. Sez. III, n. 7504 del 16 luglio 2013, dep. 2014, Rv. 259261 e Sez. V, n. 44940 del 28 settembre 2011, Rv. 251448), anche se si è poi delineata una diversa impostazione ermeneutica, invero più condivisibile, secondo la quale il nocumento per la persona alla quale i dati illecitamente trattati si riferiscono costituisce, per la sua omogeneità rispetto all’interesse leso, e la sua diretta derivazione causale dalla condotta tipica, un elemento costitutivo del reato, e non una condizione oggettiva di punibilità, con la conseguenza che esso deve essere previsto e voluto o comunque accettato dall’agente come effetto della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell’azione (Sez. III, n. 40103 del 05 febbraio 2015, Rv. 264798). Quanto poi al contenuto del nocumento, deve richiamarsi la condivisa affermazione di questa Corte (cfr. ex multis Sez. III, n. 52135 del 19 giugno 2018, Rv. 275456 e Sez. III, n. 15221 del 23 novembre 2016, dep. 2017, Rv. 270055), secondo cui il nocumento previsto dall’art. 167 del d.lgs. n. 196 del 30 giugno 2003 deve intendersi come un pregiudizio giuridicamente rilevante di qualsiasi
GIURISPRUDENZA PENALE natura, patrimoniale o non patrimoniale, subito dal soggetto cui si riferiscono i dati protetti oppure da terzi quale conseguenza dell’illecito trattamento. La nozione di nocumento, in definitiva, coerentemente con l’etimologia del termine (derivante dal verbo nuocere, ovvero arrecare un danno anche morale), evoca l’esistenza di una concreta lesione della sfera personale o patrimoniale, che, nell’ottica della fattispecie per cui si procede, deve ritenersi direttamente riconducibile a un’operazione di illecito trattamento dei dati protetti. Orbene, in applicazione di tale premessa ermeneutica, deve escludersi che nel caso di specie sia ravvisabile un “nocumento” nel senso appena indicato. Se infatti deve convenirsi circa la illegittimità del trattamento, stante la violazione dell’art. 130 del d.lgs. n. 196 del 2003, disposizione dedicata alle “comunicazioni indesiderate” (anch’essa integrata con la novella del 2018 ma senza sostanziali variazioni), che subordina al consenso dell’utente interessato la divulgazione di materiale pubblicitario mediante comunicazioni operate tra l’altro anche mediante posta elettronica, occorre tuttavia osservare che i vari destinatari delle mail inviate dall’avv. X non hanno ricevuto alcun pregiudizio giuridicamente apprezzabile, non potendosi sottacere che ciascun igienista dentale iscritto all’associazione ha in realtà ricevuto dal ricorrente un numero molto contenuto di messaggi, in media non più di tre o quattro, per cui non può affatto parlarsi di una significativa invasione del proprio spazio informatico. Né può essere ignorata la circostanza che, a parte la protesta rivolta alla moglie dell’avv. X durante una cena, dunque in maniera del tutto irrituale, non vi è mai stata alcuna formale rimostranza da parte dei singoli iscritti nei confronti del ricorrente, tale da rendere manifesta la contrarietà all’invio di quelle poche mail. Ora, non c’è dubbio che, nell’attuale contesto socio - economico, è molto diffusa la pratica del cd. spamming, ovvero dell’invio in varie forme di una pluralità di messaggi pubblicitari a una vasta platea di utenti senza il consenso di costoro; tuttavia, affinché tale condotta assuma rilievo penale, occorre che si verifichi per ciascun destinatario un effettivo “nocumento”, che non può certo esaurirsi nel semplice fastidio di dover cancellare di volta in volta le mail indesiderate, ma deve tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscettibile di essere giuridicamente apprezzato, richiedendosi in tal senso un’adeguata verifica fattuale volta ad accertare, ad esempio, se l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, l’agente abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario. Ora, nel caso di specie, nessun destinatario delle e-mails aveva manifestato all’avv. X la sua opposizione a ricevere i suoi messaggi promozionali, il cui invio peraltro è
avvenuto nel ristretto arco temporale di pochi mesi e in misura contenuta, dovendosi avere riguardo in tal senso non al numero complessivo di messaggi inviati a tutti gli iscritti all’associazione, ma all’entità dei messaggi spediti a ogni singolo associato, posto che la valutazione del nocumento non può che essere riferita alla dimensione individuale dell’utente e non a quella impersonale del gruppo associato di cui ciascuno di essi faceva parte. In quest’ottica, deve quindi escludersi che la ricezione di tre o quattro mails nell’arco di circa cinque mesi, senza alcuna diffida preventiva rivolta al mittente, possa integrare un “nocumento” idoneo a integrare la fattispecie contestata, non essendo sufficiente in tal senso qualche generica lamentela rivolta da taluno degli associati non direttamente all’avv. X, ma solo alla propria associazione. A ciò deve unicamente aggiungersi che tale soluzione interpretativa non si pone in aperto contrasto con il precedente di questa Corte richiamato nelle sentenze di merito (Sez. III, n. 23798 del 24 maggio 2012, Rv. 253632), secondo cui integra il reato di trattamento illecito di dati personali l’indebito utilizzo di un “data-base” contenente l’elenco di utenti iscritti a una “newsletter” ai quali venivano inviati messaggi pubblicitari non autorizzati provenienti da altro operatore, che traeva profitto dalla percezione di introiti commerciali e pubblicitari, con corrispondente nocumento per l’immagine del titolare della banca dati abusivamente consultata e per gli stessi utenti, costretti a cancellare i messaggi di posta indesiderata, a predisporre accorgimenti per impedire ulteriori invii e a tutelare la “privacy” dalla circolazione non autorizzata delle informazioni personali. Il caso trattato nella sentenza sopra citata, infatti, riguardava l’utilizzo in rete dei dati personali di almeno 177.090 persone, tramite l’indebita sottrazione di un “data-base” contenente più di 400.000 nominativi, per cui si era in presenza di un ben diverso livello di invasione dell’altrui sfera di libertà informatica. Al di là della indubbia diversità delle situazioni trattate, deve tuttavia evidenziarsi che anche la sentenza n. 23798 del 24 maggio 2012 ha agganciato la nozione di nocumento a quella di offensività, qualificando la fattispecie in termini di reato di pericolo concreto e non presunto, dovendosi solo ribadire, in ciò sviluppando in parte il percorso argomentativo del precedente citato, che, nell’attuale sistema informativo e commerciale, “nocumento” non può essere il solo disagio di dover cancellare pochi e occasionali messaggi non desiderati, richiedendosi, al fine di attribuire rilevanza penale al fatto, un quid pluris, consistente in un pregiudizio effettivo, che si riveli proporzionato rispetto all’invasività del comportamento di chi invia i contenuti sgraditi, restando magari indifferente a eventuali richieste di porre termine alta spedizione di una determinata tipologia di messaggi.
DIRITTO DI INTERNET N. 1/2020
145
GIURISPRUDENZA PENALE 2. In conclusione, dovendosi escludere nella vicenda oggetto di giudizio l’esistenza di un effettivo “nocumento” sia da parte dell’associazione I, sia da parte dei suoi singoli iscritti, il reato contestato non può ritenersi configurabile, e tanto a prescindere dalla qualificazione del nocumento in termini di elemento costitutivo del reato o di condizione obiettiva di punibilità. Pertanto, assorbite nell’accoglimento dei primi due motivi di ricorso sulla responsabilità le due ulteriori
doglianze sollevate dalla difesa, la sentenza impugnata deve essere annullata senza rinvio, perché il fatto non sussiste. P.Q.M. Annulla senza rinvio la sentenza impugnata perché il fatto non sussiste. Così deciso il 20 giugno 2019.
Il Commento
di Pasqualino Silvestre Sommario: 1. Il fatto. – 2. Il giudicato di legittimità. – 3. La disciplina dell’art. 167, Codice Privacy, alla luce delle modifiche intervenute mediante il d.lgs. n. 101 del 10 agosto 2018. – 4. Le principali differenze tra la versione 2003 e quella 2018 dell’art. 167: ciò che è rimasto uguale. – 4.1. L’oggetto di tutela. – 4.2. l’elemento soggettivo. Il danno, il profitto, il nocumento. – 5. Le principali differenze tra la versione 2003 e quella 2018 dell’art. 167: ciò che è mutato. – 5.1. Il soggetto attivo e la condotta. – 5.2. Il momento consumativo del reato. – 5.3. Il concetto di consenso. – 6. L’attuale disciplina dello spamming. Il reato di “trattamento illecito dei dati personali”, in relazione alla norma del Codice privacy dedicata alle comunicazioni indesiderate, (combinato disposto degli artt. 167 e 130 del d.lgs. n. 196 del 2003, oggi riformato dal d.lgs. 10 agosto 2018, n. 101), è insussistente qualora la condotta dell’agente non abbia arrecato concreto nocumento al soggetto passivo titolare dei dati personali. The crime of “unlawful processing of personal data” related with the norm concerning “unwanted communications” (art. 167 in relation with the art. 130 of the d.lgs. no. 196 of 2003, today modified by the d.lgs. n. 101 of August 10, 2018 - art. 15, subsection 1, lett. b) is groundless when the conduct of the author didn’t produce a concrete damage (in Italian called “nocumento” that is a particular kind of damage including the moral one) to the owner of personal data.
1. Il fatto
Con sentenza del 15 novembre 2017, la Corte di appello di Torino confermava il pronunciamento di primo grado con cui il Tribunale di Aosta aveva condannato un avvocato per il reato di cui agli artt. 167 e 130 del d.lgs. n. 196 del 2003 (1); delitto contestato per aver proceduto al trattamento illecito dei dati personali degli iscritti all’Associazione “I”, inviando agli stessi delle e-mails con cui pubblicizzava corsi di aggiornamento professionale. Secondo la Corte, l’imputato aveva agito a fine di profitto e procurato agli associati un nocumento; elemento, quest’ultimo, ravvisato nella necessità degli associati di controllare e vagliare le numerose e-mails inviate da parte dell’agente. Seppur non detto si evince che l’istanza di punizione nei confronti del professionista, (il reato è in realtà procedi-
(1) Per un approfondimento su tale fattispecie di reato, nella versione antecedente alla riformulazione del 2018, sia consentito rinviare a Silvestre, Diritto penale delle comunicazioni, Seconda parte, ivi, Il trattamento illecito dei dati, ex art. 167 d.lgs. n. 196 del 2003. Considerazioni introduttive, in Diritto delle Comunicazioni a cura di G. Bruno, Torino, 2019, 412 - 423.
146
DIRITTO DI INTERNET N. 1/2020
bile d’ufficio e non a querela di parte) fosse stata veicolata dal legale rappresentante dell’associazione e non da singoli iscritti alla medesima. L’illiceità del trattamento dei dati non era oggetto di contestazione. Nel giudizio di legittimità la difesa dell’imputato lamentava esclusivamente l’erroneità della qualificazione giuridica della condotta dell’agente, eccependo l’illogicità e l’apparenza della motivazione della sentenza e criticando la ritenuta sussistenza del nocumento in capo ai destinatari delle e-mails. L’offensività della condotta, infatti, non sarebbe dovuta essere vagliata in relazione all’ammontare complessivo dei messaggi inviati all’insieme degli associati, bensì al numero delle missive (non più di tre o quattro in cinque mesi) ricevute individualmente dal singolo iscritto, senza che alcuno avesse mai manifestato doglianze nei confronti dell’imputato né si fosse successivamente costituito parte civile nel processo. Con la sentenza in commento la Cassazione ha considerato fondati tali motivi di gravame, pronunciando una sentenza di assoluzione per insussistenza del fatto di reato derivante dalla ritenuta inoffensività della condotta contestata. L’azione, dunque, benché tipica, non aveva
GIURISPRUDENZA PENALE arrecato lesione all’oggetto di tutela giuridica, per assenza di alcun nocumento.
(5) Così: Cass. sezione III penale, 11 dicembre 2013, n. 368, Rv. 258492. Si veda sul tema: Silvestre, Piccole note a margine di un grande tema. Considerazioni brevi sul dolo eventuale, in Giust. Pen., luglio 2010, II, 432. L’assenza di contrasto ontologico tra dolo specifico e dolo eventuale è sostenuta, adottando quale esempio il delitto di furto, da Gallo, Appunti di Diritto Penale, II, parte seconda, con la collaborazione di Anisano, Torino, 2001, 127.
(patrimoniale o non patrimoniale) subìto dal soggetto cui si riferiscono i dati oppure da terzi, e consistente in una lesione concreta della sfera personale o patrimoniale del soggetto passivo causalmente riconducibile ad un’operazione di illecito trattamento dei dati protetti (7). Tanto premesso la Corte rileva che: “nell’attuale contesto socio - economico, è molto diffusa la pratica del cd. spamming, ovvero dell’invio in varie forme di una pluralità di messaggi pubblicitari a una vasta platea di utenti senza il consenso di costoro; tuttavia, affinché tale condotta assuma rilievo penale, occorre che si verifichi per ciascun destinatario un effettivo “nocumento”, che non può certo esaurirsi nel semplice fastidio di dover cancellare di volta in volta le mail indesiderate, ma deve tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscettibile di essere giuridicamente apprezzato, richiedendosi in tal senso un’adeguata verifica fattuale volta ad accertare, ad esempio, se l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, l’agente abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario”. Ed ancora: “nell’attuale sistema informativo e commerciale, “nocumento” non può essere il solo disagio di dover cancellare pochi e occasionali messaggi non desiderati, richiedendosi, al fine di attribuire rilevanza penale al fatto, un quid pluris, consistente in un pregiudizio effettivo, che si riveli proporzionato rispetto all’invasività del comportamento di chi invia i contenuti sgraditi, restando magari indifferente a eventuali richieste di porre termine alta spedizione di una determinata tipologia di messaggi”. Poiché nel giudizio di legittimità si controverteva solo sulla qualificazione giuridica in termini di offensività della condotta (come detto la violazione della disciplina dell’art. 130 del Codice privacy non è mai stata contestata dalla difesa) l’iter motivazionale seguito dalla sentenza si è polarizzato solo sul concetto di “nocumento” cui la disciplina dell’art. 167 faceva e fa tuttora riferimento; ribadendo che nessuno dei destinatari delle e-mails avesse subito un pregiudizio giuridicamente apprezzabile poiché il numero contenuto dei messaggi non aveva causato una significativa invasione dello spazio informatico individuale. La conclusione è che il reato di cui all’art. 167 non si perfeziona se la condotta d’illecito trattamento dei dati da parte dell’agente non cagiona il nocumento o se quest’ultimo è talmente lieve da rilevarsi sostanzialmente inoffensivo; e ciò a prescindere dal fatto che lo stesso sia configurato come evento tipico o quale condizione ex art. 44 c.p. L’art. 130 è cosi richiamato per incidens in sole due righe della sentenza, pur essendo sporadicamente presente, in alcuni passaggi logici, il riferimento all’assenza di una
(6) Per l’interpretazione giurisprudenziale della norma nella precedente formulazione, specie in relazione alla qualifica del “nocumento” quale elemento di struttura del reato o come condizione obiettiva di punibilità si veda: Cass. sezione III penale, 16 luglio 2013, n. 7504, Rv. 259261 e Cass. sezione V penale, 28 settembre 2011, n. 44940, Rv. 251448.
(7) Cfr., ex multis: Cass. sezione III penale 19 giugno 2018, n. 52135, Rv. 275456, e Cass. sezione III penale, 23 novembre 2016, n. 15221, Rv. 270055.
2. Il giudicato di legittimità
La Corte muove dal presupposto che, benché la disciplina dell’art. 167 d.lgs. n. 196 del 2003 (2) sia stata recentemente riformata da parte del d.lgs. n. 101 del 10 agosto 2018 – art. 15, comma 1, lett. b) (3) – idem dicasi per l’art. 130), la novazione non ha inciso in termini sostanziali sul contenuto della norma incriminatrice, essendone rimasti invariati gli elementi di struttura. Infatti: l’elemento soggettivo del reato permane tuttora costituito dal fine dell’agente di trarre per sé o per altri un profitto o di recare ad altri un danno mediante l’illecito trattamento. Il delitto, pertanto, continua a connotarsi come fattispecie a dolo specifico, la cui struttura finalistica (4) è incompatibile con la forma del dolo eventuale (5). Parimenti invariata è la necessità del verificarsi di un “nocumento” che oggi si configura inequivocabilmente come elemento costitutivo della fattispecie, rectius come evento, e non come condizione obiettiva di punibilità quale era apparsa nella prima giurisprudenza formatasi nella vigenza della antecedente formulazione (6). Tale elemento, secondo la Cassazione, deve intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura (2) D’ora in avanti gli articoli richiamati senza indicazione del codice di appartenenza s’intendono facenti parte del Codice privacy, come modificato dal d.lgs. 10 agosto 2018 n. 101 del. (3) Nella precedente formulazione la norma era cosi redatta: “1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Omissis. Nell’attuale versione normativa l’articolo ora dispone che: “salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi”. (4) Per una più attenta disamina in tema di dolo specifico può poi rinviarsi a Picotti, Il dolo specifico. Un’indagine sugli “elementi finalistici” delle fattispecie penali, Milano - Roma, 1993; e a Geraldi, Il dolo specifico, Padova, 1996.
DIRITTO DI INTERNET N. 1/2020
147
GIURISPRUDENZA PENALE espressa manifestazione di volontà da parte dei consociati che rendesse palese la contrarietà all’invio delle e-mails pubblicitarie; e alla mancanza di successive richieste di porre termine alla spedizione delle stesse. Per la migliore comprensione del caso, tuttavia, una più approfondita analisi della disciplina dell’art. 130 si sarebbe forse rilevata opportuna, dimostrando come lo stesso trattamento dati, forse, sarebbe potuto essere ritenuto parimenti lecito ove compiuto in virtù della sussistenza di un consenso tacito da parte dei destinatari, o presunto da parte del mittente. La questione non è oziosa. Nel caso in esame, infatti, gli edittali dell’art. 167, operano in presenza della violazione dell’art. 130, motivo per cui ove il trattamento dei dati fosse stato ritenuto legittimo, la condotta sarebbe risultata penalmente lecita anche in presenza di un nocumento (tanto economico che morale) per i soggetti passivi. Torneremo successivamente sul punto. In verità, ad una più attenta analisi, gli elementi di novità introdotti con la riforma, sono ben più consistenti di quanto non appaia prima facie, ed alcuni di essi riguardano proprio la caratterizzazione del consenso richiesto dalla disciplina dell’art. 130.
3. La disciplina dell’art. 167 Codice Privacy alla luce delle modifiche intervenute mediante il d.lgs. n. 101 del 10 agosto 2018
La sfera privata degli individui riceve nel nostro ordinamento una tutela particolarmente estesa trovando originario fondamento sia nella Costituzione (in particolare gli artt. 2, 13, 14, 15, 21), che nella Carta dei diritti fondamentali dell’Unione Europea (artt. 7, 8). Oltre che in tali fonti generali la stessa è stata disciplinata anche da plurime leggi ordinarie succedutesi nel tempo, fonti talmente frammentarie da richiedere un intervento unificatore di codifica operato dal d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali); codice, a sua volta, ripetutamente novato nel tempo, da ultimo dal d.lgs. n. 101 del 10 agosto 2018 (8). Tale ultima riforma ha completamente stravolto la preesistente formulazione del testo normativo, abrogando numerosi articoli dello stesso (divenuti superflui mediante il richiamo all’osservanza del regolamento
(8) A tale disciplina si affianca quella contenuta nel d.lgs. 9 aprile 2003, n. 70 (Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico), che all’art. 1, comma 2, alinea e), lettera b), dispone che «Non rientrano nel campo di applicazione del presente decreto: [...] b) le questioni relative al diritto alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle telecomunicazioni di cui alla legge 31 dicembre 1996, n. 675, e al decreto legislativo 13 maggio 1998, n.171, e successive modificazioni».
148
DIRITTO DI INTERNET N. 1/2020
GDPR (9) - UE 679 - 2016), e riscrivendone altri, ora titolati con numerazione romana per non alterare l’originario ordine progressivo. Tale novazione ha avuto ad oggetto anche il titolo dedicato alle sanzioni ove, abrogati gli articoli da 161 a 165, si è proceduto: alla riscrittura dell’art. 166, (criteri di applicazione delle sanzioni amministrative pecuniarie); al riassetto degli articoli da 167 a 170; e all’introduzione delle nuove fattispecie di cui agli articoli Art. 167 - bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala), e 167 - ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala). Quanto tali novazioni fossero realmente necessarie ai fini dell’efficientazione della preesistente disciplina è riflessione estranea all’economia del presente lavoro (10), vale tuttavia la pena ricordare che il ricorso all’art. 167 (norma che soppiantò la preesistente disciplina contenuta nell’art. 35 della legge 675/1996 (11)) si è rivelato assai
(9) Il Regolamento Generale sulla Protezione dei Dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 in sigla RGPD (più noto con la sigla inglese GDPR) , è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018. Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione europea, sia all’interno che all’esterno dei confini dell’Unione europea (UE), restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’UE. Il testo affronta anche il tema dell’esportazione di dati personali al di fuori dell’UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’Unione europea) che trattano dati di residenti nell’Unione europea ad osservare e adempiere agli obblighi previsti. Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (direttiva 95/46/CE) e, in Italia, ha abrogato gli articoli del codice per la protezione dei dati personali (d.lgs. n. 196/2003) con esso incompatibili. La sigla RGPD è quella adottata sia dal Garante per la Protezione dei Dati Personali: <https://www.garanteprivacy.it/regolamentoue/formazione/>; che dai Portali UE: <https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_it.htm>. (10) Per un approfondimento sul tema dell’analisi economica del diritto penale sia consentito rinviare a Silvestre: Profili sanzionatori del d.lgs. 231 del 2007, come novato con recepimento della quarta direttiva antiriciclaggio. (Nell’ottica dell’analisi economica del diritto penale), in corso di pubblicazione in Arch. pen. 2020. (11) Tra le due norme fu ritenuta esistente continuità normativa (Corte di cassazione, sezione III penale, sentenza 24 marzo 2004, n. 26680), seppur parziale, pur presentando la nuova fattispecie delle novità consistenti nell’ampliamento delle casistiche punibili e nell’innalzamento dei minimi edittali della pena. Per un approfondimento sulla precedente normativa si veda: Rodotà, La “privacy” tra individuo e collettività, in Pol. dir., 1974, 557 ss; Patrono, voce Privacy e vita privata (diritto penale), in Enc. dir., XXXV, Milano, 1986, 557 ss; Frosini, voce Telematica e informatica giuridica, in Enc. dir., XLIV, 1992, 66; Veneziani, Beni giuridici protetti e tecniche di tutela penale nella nuova legge sul trattamento dei dati personali: prime osservazioni, in Riv. trim. dir. pen. ec., 1997, 169; Giannantonio - Losano - Zencovich, La tutela dei dati personali. Commentario alla l.
GIURISPRUDENZA PENALE limitato nell’antecedente periodo di vigenza della norma. La giurisprudenza formatasi in merito a tale delitto, infatti, è stata poco significativa. Segno probabilmente di una scelta legislativa di criminalizzazione non del tutto in armonia con il principio di extrema ratio e sussidiarietà; anche perché caratterizzata da un ingiustificata procedibilità d’ufficio e dalla sovrapponibilità, al limite del ne bis in idem, degli strumenti di tutela penalistici con quelli di matrice amministrativa. Non deve stupire, dunque, che l’istituto abbia conosciuto scarse occasioni di approfondimento da parte della Corte di cassazione, ad eccezione di un caso assurto a risonanza mondiale per l’importanza della società coinvolta: la controversia tra Google e l’associazione Vividown. Vicenda in cui, paradigmaticamente, l’iniziale sentenza di condanna è stata poi demolita tanto dalla Corte di Appello di Milano quanto dalla Corte di cassazione (12), univocamente concordi nel argomentare l’insussistenza del reato. Pur condividendo con la Cassazione in commento che la novazione abbia sostanzialmente lasciato immutata la disciplina dell’art. 167 quanto ad elemento soggettivo ed alla presenza di un nocumento, non deve essere tuttavia trascurato che altre modifiche apportate al Codice privacy potrebbero influenzare l’attuale interpretazione del testo normativo, in particolar modo in relazione alla determinazione della condotta e, nel combinato con l’art. 130, alla qualificazione del requisito del consenso ivi espressamente richiamato. Si procederà dunque ad una rapida analisi delle differenze riscontrabili negli elementi di fattispecie per evidenziarne le peculiarità.
675/1996, Padova, 1999; Corrias Lucente, Profili penali della recente legge sul trattamento dei dati personali, in Studium Juris, 1998, I,1 ss. (12) Sulla sentenza di primo grado si veda: Trib. Milano, sezione IV, 12 aprile 2010, n. 1972, in Foro it., 2010, II, 279. Numerosi i contributi in argomento tra i quali, in particolare: Manna, La prima affermazione a livello giurisprudenziale della responsabilità penale dell’internet provider: spunti di riflessione fra diritto e tecnica in Giur. cost., 2010, II, 1840; Cassano, Riflessioni a margine di un convegno sul caso Google/Vividown in Riv. pen., 2010, 1017; Lotierzo, Il caso Google – Vivi Down quale emblema del difficile rapporto degli internet providers con il codice della privacy in Cass. pen. 2010, 3986; Di Ciommo, Programmi filtro e criteri di imputazione/esonero della responsabilità online. A proposito della sentenza Google/Vividown, in Diritto dell’ informazione e dell’informatica, 2010, 829; Rossello, Riflessioni De Jure Condendo In materia di responsabilità del provider, in Diritto dell’ informazione e dell’informatica, 2010, 617; Pezzella, Google Italia, diffamazione e riservatezza: il difficile compito del provider (e del giudice) in Giur. mer., 2010, 2232;. Catullo, Ai confini della responsabilità penale: che colpa attribuire a Google?, in Giur. mer., 2011, 159; Camera - Pollicino, La legge è uguale anche sul web. Dietro le quinte del caso Google - Vividown, Milano, 2010. Per l’analisi della sentenza di appello sia consentito fare rinvio a Silvestre, La sempre verde tentazione di sostituirsi al legislatore, in Giur. mer., 2013,1577; per l’indicazione di ulteriori contributi, ivi, nota n.2, 1578. In relazione alla sentenza Cass. sezione III penale, 17 dicembre 2014, n. 5107, Id., Il caso Google-Vivi Down, in Riv. pen., 2014, 509 - 513; Ingrassia, La sentenza della Cassazione sul caso Google, all’indirizzo <https://penalecontemporaneo.it>, 6 febbraio 2014, 1. Sul punto vedi ancora: Silvestre, op. loc. cit.; nonché Id., Piccole note a margine di un grande tema, cit., passim.
4. Le principali differenze tra la versione del 2003 e quella del 2018 dell’art. 167. Ciò che è rimasto uguale
Certamente immutati permangono: l’oggetto di tutela, la clausola di riserva, il soggetto attivo, l’elemento soggettivo ed il concetto di “nocumento” oggi elevato ad evento del reato.
4.1. L’oggetto di tutela
Il bene giuridico tutelato dalla norma, in base al disposto dell’art. 1 del GDPR, commi 1 e 2, è, formalmente costituito dai diritti e dalle libertà fondamentali delle persone fisiche, con particolare riferimento al diritto alla protezione dei dati personali. I diritti alla dignità, identità personale e riservatezza, pertanto, continuano a trovare protezione indiretta nella norma quali diritti fondamentali. Il concetto di privacy continua ad estendersi a tutte le macro aree di protezione della persona: dalla riservatezza, intesa come diritto alla protezione della propria vita privata dalla curiosità e delle indebite intrusioni e manipolazioni da parte di terzi, all’identità personale: come diritto ad “essere se stessi” nella propria specifica individualità. Significativa in tal senso è la sentenza Cass. sezione III penale, 17 dicembre 2013 – 3 febbraio 2014, n. 5107. Pronunciamento in cui si afferma che la privacy va intesa “nella duplice valenza, positiva e negativa quale libertà di escludere l’indiscriminato accesso di terzi ai dati personali e libertà di garantire all’interessato il controllo della correttezza e non eccedenza del trattamento al fine di salvaguardare l’identità personale”. Se però le norme penali del Codice privacy tutelassero solo i diritti individuali, una corretta politica criminale ispirata al principio di sussidiarietà avrebbe certamente dovuto valorizzare, sul piano della promovibilità dell’azione penale, la natura spiccatamente personale e disponibile di tali diritti, ricorrendo alla procedibilità a querela della persona offesa (13). Il mantenimento della procedibilità d’ufficio, al contrario, sembra confermare che la disciplina dell’art. 167, nelle intenzione del legislatore, oltre che dei beni giuridici individuali, è posta anche a tutela delle funzioni degli organismi pubblici titolari di competenze inerenti la materia, (prima tra tutte l’Autorità garante delle comunicazioni) e dell’interesse dello Stato a proteggere i dati sensibili dei cittadini. L’art. 167 è evidentemente una norma penale in bianco che, quanto alla condotta, rimanda di volta in volta alla disciplina di altri articoli che, in piena coerenza con la mediocrità del contemporaneo, disciplinano sia situazioni di portata individuale che pubblicistica e collettiva. Più precisamente, quanto alla seconda dimen-
(13) Manna, op.loc.cit.
DIRITTO DI INTERNET N. 1/2020
149
GIURISPRUDENZA PENALE sione citata, gli artt. 123 (14) (Dati relativi al traffico) e 126 (15), (Dati relativi all’ubicazione), fanno riferimento a una “rete pubblica di comunicazioni”; l’art. 130 (Comunicazioni indesiderate) postula la creazione di un registro
(14) Art. 123, Dati relativi al traffico: 1. I dati relativi al traffico riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico sono cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elettronica, fatte salve le disposizioni dei commi 2, 3 e 5. 2. Il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per il contraente, ovvero di pagamenti in caso di interconnessione, è consentito al fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l’ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale. 3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico può trattare i dati di cui al comma 2 nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, solo se il contraente o l’utente cui i dati si riferiscono hanno manifestato preliminarmente il proprio consenso, che è revocabile in ogni momento. 4. Nel fornire le informazioni di cui agli articoli 13 e 14 del Regolamento il fornitore del servizio informa il contraente o l’utente sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e sulla durata del medesimo trattamento ai fini di cui ai commi 2 e 3. 5. Il trattamento dei dati personali relativi al traffico è consentito unicamente a persone che, ai sensi dell’articolo 2 - quaterdecies, risultano autorizzate al trattamento e che operano sotto la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni e che si occupano della fatturazione o della gestione del traffico, di analisi per conto di clienti, dell’accertamento di frodi, o della commercializzazione dei servizi di comunicazione elettronica o della prestazione dei servizi a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per lo svolgimento di tali attività e deve assicurare l’identificazione della persona autorizzata che accede ai dati anche mediante un’operazione di interrogazione automatizzata. 6. L’Autorità per le garanzie nelle comunicazioni può ottenere i dati relativi alla fatturazione o al traffico necessari ai fini della risoluzione di controversie attinenti, in particolare, all’interconnessione o alla fatturazione. (15) Art. 126 - Dati relativi all’ubicazione: 1. I dati relativi all’ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o ai contraenti di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l’utente o il contraente ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto. 2. Il fornitore del servizio, prima di richiedere il consenso, informa gli utenti e i contraenti sulla natura dei dati relativi all’ubicazione diversi dai dati relativi al traffico che saranno sottoposti al trattamento, sugli scopi e sulla durata di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto. 3. L’utente e il contraente che manifestano il proprio consenso al trattamento dei dati relativi all’ubicazione, diversi dai dati relativi al traffico, conservano il diritto di richiedere, gratuitamente e mediante una funzione semplice, l’interruzione temporanea del trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione di comunicazioni. 4. Il trattamento dei dati relativi all’ubicazione diversi dai dati relativi al traffico, ai sensi dei commi 1, 2 e 3, è consentito unicamente a persone autorizzate al trattamento, ai sensi dell’articolo 2 quaterdecies, che operano, sotto la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni o del terzo che fornisce il servizio a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per la fornitura del servizio a valore aggiunto e deve assicurare l’identificazione della persona autorizzata che accede ai dati anche mediante un’operazione di interrogazione automatizzata.
150
DIRITTO DI INTERNET N. 1/2020
pubblico delle opposizioni e all’affidamento dello stesso ad un ente o organismo pubblico titolare di competenze in materia; l’art. 129 (16), (Elenco dei contraenti), prevede che il Garante individui con proprio provvedimento le modalità di inserimento ed utilizzo dei dati personali negli elenchi a disposizione del pubblico, attribuendo rilevanza penale alle violazioni del provvedimento stesso. A ben vedere, dunque, le norme citate sono connotate dalla presenza di un evidente interesse pubblicistico a che i dati sensibili della collettività siano gestiti legalmente (tanto nella prassi commerciale che ad altri fini) specie dai grandi operatori delle comunicazioni e dell’informatica, rendendo nella sostanza residuale i casi concreti in cui la tutela penale sia effettivamente relativa alla riservatezza individuale del singolo cittadino. Sintetizzando può concludersi che l’oggetto di tutela giuridica dell’art. 167, Codice privacy, è costituito tanto dal diritto alla protezione dei dati personali dei singoli quanto dall’interesse dello Stato a che i dati sensibili dei cittadini siano lecitamente gestiti da coloro che li acquisiscono. Se i dati del singolo hanno valore personale, l’insieme degli stessi, facendo capo alla collettività non personificata (17), ha connotazione indisponibile e marcatamente pubblicistica.
4.2. L’elemento soggettivo. Il danno, il profitto, il nocumento
Sull’elemento soggettivo si è già avuto modo di soffermarsi. Il delitto di cui all’art. 167 Codice privacy permane delitto a dolo specifico. Pertanto, ai fini del giudizio di colpevolezza, dovrà essere processualmente dimostrata sia la rappresentazione e la volontà della condotta da parte dell’agente che la finalizzazione della stessa a conseguire un profitto per sé o per altri, ovvero ad recare ad altri un danno. Il Danno è da intendersi latu sensu come lesione di una situazione giuridica soggettiva altrui, rilevante per l’or-
(16) Art. 129 - Elenchi dei contraenti: 1. Il Garante individua con proprio provvedimento, in cooperazione con l’Autorità per le garanzie nelle comunicazioni ai sensi dell’articolo 154, comma 4, e in conformità alla normativa dell’Unione europea, le modalità di inserimento e di successivo utilizzo dei dati personali relativi ai contraenti negli elenchi cartacei o elettronici a disposizione del pubblico. 2. Il provvedimento di cui al comma 1 individua idonee modalità per la manifestazione del consenso all’inclusione negli elenchi e, rispettivamente, all’utilizzo dei dati per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale nonché per le finalità di cui all’articolo 21, paragrafo 2, del Regolamento, in base al principio della massima semplificazione delle modalità di inclusione negli elenchi a fini di mera ricerca del contraente per comunicazioni interpersonali, e del consenso specifico ed espresso qualora il trattamento esuli da tali fini, nonché in tema di verifica, rettifica o cancellazione dei dati senza oneri. (17) L’espressione è di Mantovani, Diritto Penale, Parte generale, Padova, 2001, 263.
GIURISPRUDENZA PENALE dinamento, sia di carattere morale o affettivo che di carattere patrimoniale. Il concetto di profitto, invece, è nozione più complessa che può assorbire la nozione di lucro pur rimanendo distinguibile da tale ultimo concetto. A tal proposito è significativa la sentenza Cass. sezione III penale, 19 settembre 2001, n. 33816 (in materia di contraffazione di software), pronunciamento che ha realizzato un’efficace differenziazione tra i due concetti precisando che mentre il lucro è soltanto un vantaggio in termini meramente patrimonialistici - pecuniari, quindi un incremento del patrimonio strictu sensu inteso, il profitto è invece costituito da: “qualsiasi giovamento, vantaggio, beneficio, sia pratico, sia intellettuale o morale”. Il fine di profitto, dunque, comprende in sé quello di lucro, ma ha portata più ampia includendo tanto il guadagno che il risparmio di spesa, il contenimento di costi, e persino il giovamento intellettuale, estetico, culturale, morale, etc (18). Quanto poi al contenuto del nocumento, deve ritenersi condivisibile l’affermazione della sentenza in commento (suffragata ex multis anche da Cass. sezione III penale, 19 giugno 2018, n. 52135, Rv. 275456; e Cass. sezione III penale, 23 novembre 2016, n. 15221, Rv. 270055), secondo cui il nocumento previsto dall’art. 167 del d.lgs. n. 196 del 30 giugno 2003 deve intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dal soggetto cui si riferiscono i dati protetti, purché non consistente in un mero fastidio.
5. Le principali differenze tra la versione del 2003 e quella del 2018 dell’art. 167. Ciò che è mutato
Come già a suo tempo rilevato, la retta cognizione della disciplina dell’art. 167 richiede il previo raccordo concettuale con definizioni normative alla medesima correlate nella fonte di appartenenza, al fine di una migliore comprensione della stessa (19). Nella precedente stesura della norma, infatti, non si poteva prescindere dall’analisi degli articoli 4, 13 (20), 17, 26 (21), del d.lgs. 196 del 2003, oltre che dagli articoli 18, 19 e 23, ivi espressamente richia-
(18) Contro un concetto sì ampio di profitto è però il Mantovani, Diritto Penale, Parte speciale. Delitti contro il patrimonio, Milano, 2016, 44, VI ed. (19) Medesimo percorso argomentativo è seguito dalla sentenza Cass. sezione III penale, 17 dicembre 2013 – 3 febbraio 2014, n. 5107, cit. In argomento sia consentito rinviare a: Silvestre, Il caso Google-Vivi Down, cit. Più in dettaglio sull’accadimento da cui il pronunciamento è derivato: Id., La sempre verde tentazione di sostituirsi al legislatore, cit. (20) La violazione delle disposizioni dell’art. 13 era punita dal successivo art. 161 del Codice privacy con la sanzione amministrativa del pagamento di una somma di denaro. In argomento: Cass. sezione III penale, 17 dicembre 2013 – 3 febbraio 2014, n. 5107, cit. (21) Su tale norma si veda ancora Cass. sezione III penale, 17 dicembre 2013 – 3 febbraio 2014, n. 5107, cit.
mati per la determinazione della condotta. Tali articoli, tuttavia, sono stati abrogati nella novazione del 2018, perché in contrasto con il GDPR cui oggi il Codice privacy rinvia quale fonte sovraordinata e supplementare per la cognizione di tutti i concetti non espressamente disciplinati (22); dunque non possono più trovare applicazione né fattuale né in sede di logica interpretativa.
5.1. Il soggetto attivo e la condotta
Secondo la vecchia dizione testuale della norma il soggetto attivo del reato era chiunque procedesse al trattamento dei dati personali. Pur apparendo prima facie come reati comuni, le fattispecie determinate dal combinato disposto dell’art. 167 con le singole norme nel medesimo menzionate dovevano essere rettamente intese come reati propri, trattandosi di condotte che si concretizzavano in violazioni di obblighi specifici del solo titolare del trattamento e non di ogni altro soggetto che si trovasse ad avere a che fare con i medesimi dati senza esercitare le funzioni ed i poteri alle stesse correlati. A tali conclusioni si giungeva muovendo dall’analisi delle definizioni di “trattamento” e “titolare del trattamento” fornite dall’abrogato art. 4 del Codice privacy, ed oggi riproposte nei numeri 4 e 7 dell’art. 4 GDPR (23). Infatti, se non vi è dubbio che il concetto di “trattamento” sia comprensivo di ogni operazione che abbia ad oggetto dati personali, indipendentemente dai mezzi e dalle tecniche utilizzate, il concetto di “titolare” è, invece, assai più specifico, perché si incentra sull’esistenza di un potere decisionale in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati. Dalla definizione legislativa si desumeva, in altri termini, che titolare del trattamento non fosse chiunque svolgesse materialmente il trattamento stesso, ma solo il soggetto che ne potesse determinare gli scopi, i modi, i mezzi.
(22) Di seguito i primi due artt. del codice: art. 1: “Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”. Art. 2: “Il presente codice reca disposizioni per l’adeguamento dell’ordinamento nazionale alle disposizioni del regolamento”. riservatezza personale”; tale ultimo periodo è stato di seguito soppresso dall’art. 14, comma 1, della legge 4 novembre 2010, n. 183. (23) Art. 4 GDPR, n.4 «trattamento»: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”; 7 - «titolare del trattamento»: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
DIRITTO DI INTERNET N. 1/2020
151
GIURISPRUDENZA PENALE Dal complesso dei precetti fissati dagli abrogati artt. 13, 17, 23, 26 del Codice privacy, interpretati in combinato disposto con le norme sanzionatorie degli artt. 161 e 167 dello stesso Codice, emergeva poi che tali norme fossero dirette al titolare del trattamento, eventualmente nella persona del “responsabile”, ovvero del soggetto preposto al trattamento stesso dal titolare, ai sensi dell’articolo 4, comma 1, lettera g). Tali disposizioni, dunque, presupponevano l’esistenza di un effettivo potere decisionale circa: a) le finalità e le modalità del trattamento cui sono destinati i dati e la comunicazione eventuale dei dati stessi ad altri soggetti, anche attraverso la designazione dei responsabili (art. 13); b) la gestione dei rischi specifici «per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento» (art. 17); c) la ricezione del consenso degli interessati, nel rispetto dei divieti legge (artt. 23 e 26). Ancora sul punto Cass. sezione III penale, sentenza n. 5107, 2014, cit. (24) Tanto opportunamente ricordato deve essere evidenziato che la nuova norma, al primo comma, non reca più alcun riferimento al preesistente concetto di trattamento dei dati (trasposto nel comma 2 (25)), limitandosi a richiedere operazioni in violazione del disposto degli artt. 123, 126, 130 o del provvedimento dell’art. 129 (26). Mutatis mutandis le riflessioni che precedono sono pero tuttora condivisibili. Le fattispecie di cui all’art. 167, comma 1, pertanto, permangono reati propri dei soggetti destinatari dei precetti di cui agli articoli 123, 126, 129, e 130. Quanto alle condotte queste consistono per il primo comma, nell’operare in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’art. 129; per il secondo comma nel trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento GDPR in violazione delle disposizioni di cui agli arti-
(24) Secondo la quale dall’esame complessivo delle disposizioni riportate emerge che nessuna di esse prevede che vi sia in capo al provider, sia esso anche un hosting provider, un obbligo generale di sorveglianza dei dati immessi da terzi sul sito da lui gestito. Né sussiste in capo al provider alcun obbligo sanzionato penalmente di informare il soggetto che ha immesso i dati dell’esistenza e della necessità di fare applicazione della normativa relativa al trattamento dei dati stessi. (25) 167, comma 2: “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2 - sexies e 2 - octies, o delle misure di garanzia di cui all’articolo 2 - septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2-quinquiesdecies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni”. Art. 167, comma 3: “Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all’interessato”. (26) Vedi, sopra, note 26, 17 e 18.
152
DIRITTO DI INTERNET N. 1/2020
coli 2 - sexies e 2 - octies, o delle misure adottate ai sensi dell’articolo 2 – septies, ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2 - quinquiesdecies, arrecando nocumento all’interessato (27).
5.2. Il momento consumativo del reato
Il reato è ora configurato come delitto di evento e non più di pericolo concreto. Lo stesso, dunque, si perfeziona nel momento e nel luogo in cui si verifica il nocumento, indipendentemente dal fatto che sia stato raggiunto lo scopo ultimo che si prefiggeva l’agente (profitto, proprio o altrui, ovvero altrui danno). Espunta la configurazione quale condizione obiettiva di punibilità, il tentativo è ora astrattamente configurabile.
5.3. Il concetto di consenso
Sotto la vigenza del codice antecedente, autorevole dottrina, muovendo anche dalla polilesività e dal substrato pubblicistico sotteso alla fattispecie, era giunta alla conclusione che il consenso dell’interessato non assumesse rilevanza quale scriminante ai sensi dell’art. 50 c.p., configurandosi invece come causa di esclusione della tipicità del fatto (28). A conferma di tale interpretazione, si invocava la norma di cui all’art. 23 del Testo Unico 2003 (richiamata come parametro di liceità dall’art. 167), norma secondo la quale: “il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato, … che tale consenso, può riguardare l’intero trattamento ovvero una o più operazioni dello stesso”, e che esso si considera validamente prestato solo se “espresso liberamente e specificamente in riferimento ad un trattamento
(27) Le condotte sanzionate nella precedente versione del Codice privacy sono invece le seguenti ipotesi base: violazione dei principi sui trattamenti da parte dei soggetti pubblici (art. 18) o sul trattamento di dati diversi da quelli sensibili e giudiziari (art. 19); violazione delle disposizioni sul consenso (art. 23), violazione dei principi sul traffico di chiamate (art. 123), sull’ubicazione dell’utente (art. 126), sulle comunicazioni indesiderate (art. 130); in applicazione dell’art. 129 (elenchi di abbonati). Ipotesi aggravata prevista nella seconda parte dell’art.167, comma 1: nel caso in cui il fatto consista nella comunicazione e nella diffusione ipotesi aggravata ex art. 167, comma 2: violazione delle norme sul trattamento che presenta rischi specifici (art. 17); violazione dei principi sul trattamento dei dati sensibili (art. 20) e giudiziari (art. 21); violazione delle norme sulla divulgazione dei dati sanitari (art. 22, comma 8.) e sulla comunicazione e diffusione di dati sensibili e giudiziari ad altre persone o enti (art. 22, comma 11); violazione delle norme sulla comunicazione e diffusione vietate dal Garante o dall’autorità giudiziaria, o riguardanti dati di cui è stata ordinata la cancellazione, o conservati per un tempo necessario già trascorso, o attuate per finalità diverse da quelle dichiarate in notificazione; violazione delle garanzie per i dati sensibili (art. 26) e giudiziari (art. 27); violazione delle norme sul trasferimento dei dati all’estero (art. 45). (28) Cfr. Manna, op. loc. cit. Altra dottrina giunge altresì alle medesime conclusioni argomentando dalla presenza, all’interno della fattispecie de qua, del dolo specifico, in funzione di ulteriore selezione della rilevanza penale di condotte illecite (Fiore, voce Riservatezza (diritto alla), in Enc. giur. XXVII, Roma, 1991, 13; ovviamente in relazione agli analoghi aspetti della l. 675, rimasti invariati nel Testo Unico del 2003).
GIURISPRUDENZA PENALE chiaramente individuato, se è documentato per iscritto e se sono state rese all’interessato le informazioni di cui all’art. 13”. Si evidenziava, inoltre, come il Codice disciplinasse ipotesi nelle quali il consenso, in ragione di peculiari caratteristiche del trattamento, non era richiesto (l’art.18, comma 4; l’art. 26, comma 4, l’art. 130, comma 4). Casi ritenuti veri e propri limiti esegetici del fatto tipico di cui all’art. 167, comma 1, in relazione all’art. 23. Appariva da ultimo evidente che il punire, ai sensi del combinato disposto degli artt. 167 e 23, l’inosservanza delle modalità di documentazione del consenso, lungi dall’approntare tutela alla riservatezza individuale, comportasse, invece, la sanzionabilità della mera disobbedienza alla normativa di settore. Come già detto, abrogata la norma, il rimando all’art. 23 è oggi assente nell’ultima formulazione dell’art. 167, e con esso, il requisito che il consenso dell’interessato sia “espresso”. Non è dunque superfluo analizzare le fonti attualmente vigenti, per verificare se vi figurino norme che consentano di chiarire se il consenso possa essere manifestato anche in forma tacita. La definizione del consenso è oggi contenuta nell’art. 4, n. 11 del GDPR, che lo qualifica come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. A ben vedere la dizione utilizzata “qualsiasi manifestazione di volontà” … “mediante dichiarazione o azione positiva inequivocabile”, non si rivela sufficientemente tassativa e determinata ai fini penali, potendo indicare sia la necessità di un consenso “espresso” strictu senso inteso, sia la possibilità che lo stesso sia manifestato in forma tacita, essendo la non opposizione pur sempre una azione positiva inequivocabile di manifestazione del consenso. Nel diritto penale italiano, infatti, al consenso non è richiesta alcuna forma particolare, essendo sufficiente che la volontà sia riconoscibile all’esterno. Il consenso, dunque, può essere anche tacito, cioè implicito nel comportamento univoco del soggetto, cosi come espressa o tacita può essere anche la revoca (29). Se dunque tale è l’accezione del consenso in relazione alla scriminante di cui all’art. 50 c.p., non si vede perché il concetto debba essere diversamente considerato quando indicato quale elemento negativo del fatto tipico. A sostegno di tale interpretazione può evidenziarsi che il consenso non appare aggettivato neanche nelle altre norme della fonte comunitaria.
(29) Cosi, Mantovani, op. loc. ult. cit.
L’art. 6 GDPR, rubricato “Liceità del trattamento”, dispone infatti che: “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità ...”. L’art. 7 GDPR (30), rubricato “Condizioni per il consenso” dispone invece che il titolare del trattamento deve essere in grado di dimostrare il consenso del titolare; che il consenso, se prestato per iscritto, deve essere chiaro; che il consenso può essere revocato con la stessa facilità con cui è accordato. Tale norma, in particolare, con la dizione -“se” prestato per iscritto - riconosce implicitamente che lo stesso possa essere manifestato anche in forme differenti, comportamenti concludenti o impliciti compresi. Inoltre, la locuzione, secondo la quale la revoca debba essere della “stessa facilità con cui il consenso è accordato”, può ancora una volta legittimare l’interpretazione secondo cui il consenso possa essere tanto espresso che tacito: la “non opposizione”, infatti, è sicuramente una forma di manifestazione del consenso più facile di un’espressa e documentata manifestazione dello stesso. Più peculiare, da ultimo, si qualifica la disciplina dell’art. 129, comma 2, che verrà analizzata, ai soli fini dell’analisi del cosi detto “spamming”, nel paragrafo successivo.
6. L’attuale disciplina dello spamming
Come visto l’attuale disciplina normativa del Codice privacy non aggettivizza il consenso, rendendolo lecitamente esprimibile tanto in forma espressa che tacita. Ciò vale anche per lo spamming? L’art. 167 è norma penale in bianco e la rilevanza penale delle comunicazioni indesiderate deriva dal combinato disposto dell’art. 167 con la quello dell’art. 130, a sua volta riformato nel 2018; combinato ora non più polarizzato sull’eventuale illegalità del trattamento dati, quanto sulla violazione della disciplina dell’art. 130 stesso. Tale norma ora dispone che:
(30) Art. 7 GDPR: 1.Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. 2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante. 3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato. 4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.
DIRITTO DI INTERNET N. 1/2020
153
GIURISPRUDENZA PENALE “1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Resta in ogni caso fermo quanto previsto dall’articolo 1, comma 14, della legge 11 gennaio 2018, n. 5. 2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo. 3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 6 e 7 del Regolamento nonché ai sensi di quanto previsto dal comma 3 - bis. (1) … omissis. Come chiaramente evincibile, il consenso non è qualificato, il che, come premesso nel paragrafo precedente, legittima il riconoscimento di legittimità del consenso tacito. Indicazioni in senso contrastante, potrebbero essere ravvisate nell’art. 129, comma 2, ove si dispone con riuscita lessicale particolarmente infelice, che: “Il provvedimento di cui al comma 1 individua idonee modalità per la manifestazione del consenso (ad oggi ancora non esplicitate) all’inclusione negli elenchi e, rispettivamente, all’utilizzo dei dati per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale nonché per le finalità di cui all’articolo 21, paragrafo 2, del Regolamento, in base al principio della massima semplificazione delle modalità di inclusione negli elenchi a fini di mera ricerca del contraente per comunicazioni interpersonali, e del consenso specifico ed espresso qualora il trattamento esuli da tali fini, nonché in tema di verifica, rettifica o cancellazione dei dati senza oneri. La pessima stesura della norma non ne aiuta la retta interpretazione. Parrebbe tuttavia che il consenso “specifico ed espresso” vada riservato solo ai trattamenti dati che esulino dai fini di comunicazioni interpersonali volte a pubblicità o vendita, comunicazione commerciale e ricerche di mercato. Traendo definitivamente le somme dell’articolata ricostruzione normativa resasi necessaria, può dunque concludersi che il c.d. spamming, consista nell’inviare mediante posta elettronica, mms o sms, (del tutto anacronistico il riferimento al telefax) materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, in assenza di consenso espresso o tacito da parte del titolare dei dati protetti. Tale condotta trova punizione penale se alla stessa si associa il prodursi di un nocumento quale voce di danno patrimoniale o morale, che non consista nel mero fastidio subito dal titolare dei dati.
154
DIRITTO DI INTERNET N. 1/2020
Tali elementi emergono tra le righe della sentenza in commento, ove vecchia e nuova disciplina sono interpretativamente armonizzate, evidenziato più volte sia l’assenza di successiva opposizione al trattamento dei dati (che sottende proprio come il consenso iniziale sia configurabile come implicito) che l’inesistenza di richieste di interruzione della condotta molesta. Non a caso la Cassazione ha dichiarato di ritenere necessaria: “un’adeguata verifica fattuale volta ad accertare, ad esempio, se l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, l’agente abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario”. E precisato che: “nell’attuale sistema informativo e commerciale, “nocumento” non può essere il solo disagio di dover cancellare pochi e occasionali messaggi non desiderati, richiedendosi, al fine di attribuire rilevanza penale al fatto, un quid pluris, consistente in un pregiudizio effettivo, che si riveli proporzionato rispetto all’invasività del comportamento di chi invia i contenuti sgraditi, restando magari indifferente a eventuali richieste di porre termine alta spedizione di una determinata tipologia di messaggi”. Se tale premessa è corretta, tuttavia, deve evidenziarsi che le moderne funzioni informatiche di blocco ed eliminazione dello spam, presenti in ogni programma di gestione della posta elettronica, possono depotenziare grandemente la condotta delittuosa, essendo strumenti di autodifesa che rendono del tutto marginale e dimensionalmente irrilevante, il fastidio di “monitorare il proprio spazio informatico” da e-mails indesiderate. Oltre ad essere decisamente più economici, celeri ed efficienti di una qualsiasi azione giudiziaria. Costituisce infatti bagaglio esperienziale comune quanto la telefonata pubblicitaria ricevuta nel bel mezzo del pranzo sia più fastidiosa e molesta di qualsiasi e-mail avviata automaticamente allo spam da Outlook o da programmi analoghi (31).
(31) Ciò nonostante il comma 3 – bis, dell’art. 130 dispone che: “In deroga a quanto previsto dall’articolo 129, il trattamento dei dati di cui al comma 1 del predetto articolo, mediante l’impiego del telefono e della posta cartacea per le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all’articolo 129, comma 1, in un registro. Paradossalmente, quindi, si crea una disciplina di maggior favore proprio in relazione alle prassi commerciali maggiormente fastidiose per i cittadini, quali le telefonate ed il riempimento della casella postale con materiale pubblicitario cartaceo.
GIURISPRUDENZA PENALE
“Ricognizioni informali 2.0”: il riconoscimento fotografico mediante immagine tratta da un social network Corte di Cassazione ; sezione II; sentenza 12 settembre 2019, n. 42315; Pres. Cervadoro; Rel. Sgadari; P.M. Dall’Olio (conf.). Focalizzare il ricordo di un volto tramite una foto disponibile su un social network è attività non soggetta alle procedure di cui agli artt. 213 e 214 c.p.p
Ritenuto in fatto 1. Con la sentenza in epigrafe, la Corte di Appello di Bari, in esito a giudizio abbreviato, parzialmente riformando la sentenza del GUP del Tribunale di Bari del 7 ottobre 2016, preso atto della rinuncia – da parte degli imputati DC, GA e GC – ai motivi di appello inerenti all’affermazione di responsabilità, rideterminava le pene loro inflitte dal primo giudice in relazione ai reati di estorsione ed altro a ciascuno rispettivamente ascritti, escludendo l’aggravante di cui all’art. 7 D.L. 152/91 e riconoscendo a tutti i ricorrenti, eccezion fatta per il LN, le circostanze attenuanti generiche equivalenti alle contestate aggravanti. 2. Ricorrono per cassazione gli imputati, con distinti atti. 2.1. …omissis… 2.2. …omissis... 2.3. …omissis… 2.4 LN deduce: 1) vizio della motivazione in ordine all’affermazione di responsabilità, non essendo certa l’identificazione del ricorrente come autore della estorsione contestatagli al capo B). La motivazione sarebbe contraddittoria in ordine alla valorizzazione dell’individuazione fotografica della persona dell’imputato effettuata dalla persona offesa, per due volte fallita; 2) violazione di legge e vizio di motivazione sempre in ordine all’affermazione di responsabilità, tenuto conto delle illegittime modalità del riconoscimento fotografico del ricorrente ad opera della persona offesa e della non sovrapponibilità delle indicazioni fisiche della persona dell’estorsore, poi identificato nell’odierno imputato, fornite dalla persona offesa e dalla di lei coniuge, nonché delle indicazioni distoniche del coimputato M a proposito delle fattezze fisiche del complice; 3) omessa motivazione con riferimento all’attendibilità intrinseca della persona offesa;
4) violazione di legge e vizio di motivazione in ordine al diniego delle circostanze attenuanti generiche. …omissis… Considerato in diritto 1. …omissis … 2. …omissis… 3. È infondato il ricorso di LN. 3.1.Il ricorrente è stato condannato in entrambi i gradi di merito con conforme giudizio. La pacifica giurisprudenza di legittimità, ritiene che, in tal caso, le motivazioni della sentenza di primo grado e di appello, fondendosi, si integrino a vicenda, confluendo in un risultato organico ed inscindibile al quale occorre in ogni caso fare riferimento per giudicare della congruità della motivazione, tanto più ove i giudici dell’appello, come nel caso in esame, abbiano esaminato le censure con criteri omogenei a quelli usati dal giudice di primo grado e con frequenti riferimenti alle determinazioni ivi prese ed ai passaggi logico-giuridici della decisione, sicché le motivazioni delle sentenze dei due gradi di merito costituiscano una sola entità (Cass. pen., sez. 2^, n. 1309 del 22 novembre 1993, dep. 4 febbraio 1994, Albergamo ed altri, rv. 197250; sez. 3^, n. 13926 del 1°dicembre 2011, dep. 12 aprile 2012, Valerio, rv. 252615). 3.2. Dalla lettura delle motivazioni delle due sentenze di condanna, risulta che il ricorrente era stato individuato fotograficamente come autore della estorsione di cui al capo B) e delle lesioni di cui al capo C), tanto dalla persona offesa SR quanto per in via assolutamente autonoma, dalla moglie di quest’ultimo DC. Le differenze lamentate dal ricorrente nella descrizione somatica da parte della vittima e del coniuge dell’individuo coinvolto nel fatto – che aveva agito con alcuni degli altri coimputati – risultano implicitamente superate dalla Corte di merito, con giudizio ragionevole ed in questa sede non più rivedibile, tenuto conto della sovrapponibilità degli elementi fisici descritti e ripor-
DIRITTO DI INTERNET N. 1/2020
155
GIURISPRUDENZA PENALE tati a pag. 7 della decisione impugnata, effettivamente rispondenti alla persona dell’imputato secondo quanto precisato dalla Corte. Inoltre, è stato segnalato un ulteriore riscontro alle dichiarazioni della vittima del reato e della moglie, costituito dalle dichiarazioni del coimputato M, secondo cui all’aggressione estorsiva alla vittima aveva partecipato un soggetto a nome “XXX” (diminutivo di XXX, nome di battesimo del ricorrente), avendo la Corte superato, con valutazioni di merito specifiche e non rivedibili in questa sede, l’indicazione apparentemente distonica del colore dei capelli di tale soggetto indicato dal M. Inoltre, dalla sentenza di primo grado risulta acclarato il rapporto di frequentazione tra il ricorrente ed alcuni coimputati ed il fatto che l’esame dei tabulati telefonici avesse dimostrato che egli si trovava in luogo compatibile con quello in cui era stata commessa l’estorsione al momento di verificazione dell’evento e nel secondo incontro con la vittima presso la scuola di cui si dice in sentenza; incontro verificatosi nella stessa giornata dell’aggressione, allorquando la vittima si stava recando in ospedale con la moglie in seguito alle lesioni riportate. Anche con riguardo a tale seconda circostanza, il coniuge della persona offesa aveva autonomamente individuato l’imputato come presente alle ulteriori minacce subite dal marito, con i riferimenti espliciti degli astanti al primo episodio. Infine, la Corte ha superato, con ampia motivazione, esente da vizi logico-giuridici rilevabili in questa sede, le incertezze evidenziate dal ricorrente a proposito della mancata primigenia individuazione fotografica effettuata prima che egli avesse contezza di altra immagine ritraente l’imputato tratta dal suo profilo Facebook, postagli in visione dalla di lui figlia, come è specificato nella sentenza di primo grado (pag. 8 della sentenza del GUP). Infatti, a pag. 7 della sentenza impugnata, è stato evidenziato il processo di maggiore focalizzazione del ricordo dell’aggressore, dovuto alla visione della sua immagine tratta dal profilo Facebook.
156
DIRITTO DI INTERNET N. 1/2020
Nessuna questione può porsi, peraltro, in ordine alla procedura relativa alla individuazione fotografica ed alla valorizzazione dell’excursus ricognitivo effettuato dalla vittima, rientrante nell’alveo della valutazione della prova affidata al giudice di merito. Del resto, la scelta di definizione del giudizio con il rito abbreviato esclude che il ricorrente possa vantare la asserita sussistenza di nullità inerenti alla violazione delle regole che presiedono alla effettuazione di un atto come la ricognizione formale, mezzo di prova che, peraltro, per sua stessa volontà, non risulta essere stato effettuato, avendo egli rinunciato al processo dibattimentale. Tali regole, di cui agli artt. 213 e 214 cod. proc. pen., non si applicano alla prova atipica costituita dalla individuazione fotografica, soggetta solo ai normali canoni di valutazione di attendibilità dei quali il giudice deve dare conto, nell’ambito del più generale giudizio relativo alla affidabilità della testimonianza. I riconoscimenti fotografici effettuati durante le indagini di polizia giudiziaria, e i riconoscimenti informali dell’imputato operati dai testi in dibattimento, costituiscono accertamenti di fatto utilizzabili nel giudizio in base ai principi della non tassatività dei mezzi di prova e del libero convincimento del giudice (Sez. 6, n. 12501 del 27/01/2015, Di Stefano, Rv. 262908 – 01. Massime precedenti Conformi: N. 25721 del 2003 Rv. 225574 – 01, N. 3642 del 2005 Rv. 230781 – 01, N. 3635 del 2006 Rv. 233338 – 01, N. 17336 del 2011 Rv. 250081 – 01). Pertanto, con assorbimento di ogni altra argomentazione difensiva – anche con riferimento al contenuto della memoria depositata – risultano infondati i primi due motivi di ricorso. 3.3. …omissis… P.Q.M. …omissis…Rigetta il ricorso di LN e condanna il ricorrente al pagamento delle spese processuali. Così deciso il 12/09/2019.
GIURISPRUDENZA PENALE
Il Commento
di Federica Centorame Sommario: 1. Le questioni sul tappeto. – 2. La ricognizione informale (ancora) al crocevia tra atipicità della prova, legalità processuale e libero convincimento del giudice – 3. Riconoscimento fotografico atipico e reliability dell’immagine digitale. – 4. Residui fraintendimenti nel rapporto tra identificazione fotografica e prova testimoniale. La Corte di Cassazione torna ad occuparsi dell’annosa questione relativa all’utilizzo probatorio dei riconoscimenti fotografici del presunto autore del reato, effettuati, durante le indagini preliminari, senza l’osservanza delle formalità di procedura stabilite dal codice di rito per la ricognizione di persone. Nel ribadirne la piena spendibilità ai fini decisori, quale prova atipica, in virtù del principio di non tassatività dei mezzi di prova e del libero convincimento del giudice, il Collegio di legittimità amplia ulteriormente il novero delle ipotesi riconducibili all’identificazione fotografica, includendovi la focalizzazione del volto tramite immagine digitale reperibile su un social network. The Court of Cassation deals again with the long-standing question of the probative use of photographic recognitions of the supposed author of the crime, made, during preliminary investigations, without observing the formal rules established by the code of criminal procedure for the recognition of persons. In reaffirming the full possibility to use it for decision-making purposes, as atypical evidence, in accordance with the principle of non-exhaustiveness of the means of proof and the free conviction of the judge, the Cassation further broadens the range of hypotheses attributable to photographic identification, including the focusing of the face through digital image available on a social network.
1. Le questioni sul tappeto
Con la sentenza che si annota, la Corte di cassazione è tornata ancora una volta a fornire il proprio autorevole avallo alla piena utilizzabilità, ai fini decisori, della individuazione fotografica dell’imputato, operata nel corso delle indagini preliminari. Pur allineandosi all’ormai consolidato indirizzo interpretativo (1) secondo cui, in virtù del principio della non tassatività dei mezzi di prova, i riconoscimenti personali effettuati mediante l’esibizione di immagini fotografiche costituiscono legittima fonte di convincimento per il giudice anche in difetto di qualsivoglia formalità di procedura, la decisione in esame ha inteso ampliare ulteriormente il ventaglio della “atipicità” degli strumenti ricognitivi dell’autore del reato, includendovi la focalizzazione del volto tramite un’immagine estrapolata dai social network. Nel caso di specie, invero, le doglianze dell’imputato si erano appuntate, fra l’altro, proprio sulla irritualità di un simile atto di riconoscimento “digitale” compiuto dalla persona offesa successivamente ad una prima individuazione fotografica rivelatasi fallimentare e, per giunta, accreditato nelle due sedi processuali di merito, nonostante le difformità riscontrate, in ordine alle sembianze del ricorrente, fra le descrizioni che di esso avevano fornito la medesima persona offesa, il coniuge di quest’ultima e un coimputato. Nel rigettare le censure proposte, i giudici di legittimità hanno ribadito che le specifiche regole di forma sancite
(1) Tra le molte, cfr. Cass., Sez. IV, 13 settembre 2017, n. 47262, in C.E.D. Cass., rv. 271041; Id., Sez.VI, 27 gennaio 2015, n. 12501, ivi, rv. 262908; Id., Sez. II, 29 marzo 2011, n. 17336, ivi, rv. 250081.
dagli artt. 213 e 214 c.p.p. per l’atto tipico della ricognizione di persone non si applicano all’attività (informale) di individuazione fotografica del colpevole, la quale rappresenta un «accertamento di fatto» utilizzabile nel giudizio e «rientrante nell’alveo della libera valutazione della prova affidata al giudice di merito» (2). Aggiungendo, per inciso, che il ricorrente non avrebbe comunque potuto lamentarsi delle asserite informalità della procedura espletata ai fini ricognitivi, giacché la scelta da lui esercitata in favore del rito abbreviato equivaleva ad una rinuncia volontaria all’effettuazione della ricognizione formale, mezzo di prova tipico del processo dibattimentale.
2. La ricognizione informale (ancora) al crocevia tra atipicità della prova, legalità processuale e libero convincimento del giudice
Di molteplice ordine gli spunti di riflessione suggeriti dalla linea ermeneutica seguita dalla Corte. Anzitutto, essa rinnova l’esigenza speculativa dell’interprete in ordine al tema dei rapporti, inopportunamente adulterati in sede applicativa, fra i ben distinti piani della legalità processuale, delle prove atipiche cui allude
(2) Così, Cass., Sez. II, 12 settembre 2019, n. 42315.
DIRITTO DI INTERNET N. 1/2020
157
GIURISPRUDENZA PENALE l’art. 189 c.p.p. (3) e del libero convincimento giudiziale (4). Con particolare riferimento alla disposizione da ultimo citata, invero, non appare superfluo rammentare che il legislatore del 1988, prevedendo la possibilità in capo al giudice di ammettere al processo prove “non disciplinate dalla legge”, ha compiuto una scelta di natura dichiaratamente intermedia (5) tra i due poli della “libertà” e della “tassatività” dei mezzi istruttori. Si è, così, privilegiato un assetto sistematico di compromesso, da un lato, aperto alla inarrestabile insorgenza di nuove e imprevedibili forme di conoscenza, frutto del continuo «sviluppo tecnologico che estende le frontiere dell’investigazione» (6); da un altro lato, saldamente ancorato al canone di legalità interna alla disciplina dei singoli mezzi di prova oggetto di attuale e specifica previsione normativa (7). Ciò significa, in altri termini, che la clausola di flessibilità del sistema probatorio (8) contenuta nella disposizione in discorso è diretta soltanto a non precludere a priori l’impiego processuale di strumenti gnoseologici effettivamente innominati e, in quanto tali, ancora sprovvisti di una espressa regolamentazione legislativa, mentre «non equivale affatto a giustificare libertà (ulteriori) dell’autorità rispetto al regime delle prove già regolate dal codice» (9). Questi ultimi esperimenti probatori, piuttosto, devono svolgersi nel rigoroso rispetto
delle prescrizioni normative esistenti (10), giacché per essi il legislatore ha espressamente fissato in anticipo le forme e le modalità di assunzione funzionali al soddisfacimento della specifica esigenza probatoria cui il singolo mezzo istruttorio risulta preordinato (11). Ne deriva, quale logico corollario, che l’utilità probatoria eventualmente ottenuta senza l’osservanza delle formalità individuate come le più idonee a conseguirla (12), lungi dal potersi configurare alla stregua di una prova atipica riconducibile al paradigma dell’art. 189 c.p.p., costituisce null’altro che un dato conoscitivo irritualmente acquisito rispetto al suo modello normativo (13) e, dunque, contra legem (14). È quanto si verifica nel caso che qui più interessa, relativo al rapporto di «disformità» (15) che intercorre fra il riconoscimento fotografico del presunto autore del reato ed il paradigma tipizzato della ricognizione personale (16). Invero, l’atto del riconoscere (17) la persona dell’imputato ai fini dimostrativi della responsabilità di quest’ultimo soggiace, per espressa volontà del legislatore processuale, all’osservanza scrupolosa di un ben preciso metodo legale di acquisizione. In tale ottica, ciascun segmento della sequenza ricognitiva tipica, da quelli preliminari come la descrizione del soggetto passivo da parte di colui il quale deve eseguire il riconoscimento (art. 213 c.p.p.), allo svolgimento vero e proprio dello stesso, con la messinscena intesa a mimetizzare l’imputato fra altri individui fisicamente presenti, a lui somiglianti (art. 214 c.p.p.), è concepito in termini di essenzialità all’assolvimento della specifica funzione probatoria attribuita al
(3) In generale sull’argomento, cfr. Bozio, La prova atipica, in Ferrua-Marzaduri-Spangher (a cura di), La prova penale, Torino, 2013, 56 ss.; Conti, La prova atipica, in Tonini-Conti, Il diritto delle prove penali, Milano, 2012 p. 188; Laronga, Le prove atipiche nel processo penale, Padova, 2002; Procaccino, Prove atipiche, in Gaito (diretto da), La prova penale, vol. I, Torino, 2008, 265 ss.; Tabasco, Prove non disciplinate dalla legge. Le «prove atipiche» tra teoria e prassi, Napoli, 2011. Sotto la vigenza dell’abrogato codice di rito, v., per tutti, Zappalà, Il principio di tassatività dei mezzi di prova nel processo penale, Milano, 1982, spec., 86 ss. (4) Al riguardo, si rinvia per tutti al fondamentale contributo di Nobili, Il principio del libero convincimento del giudice, Milano, 1974.
(10) In tal senso, Ubertis, Sistema di procedura penale, I, Principi generali, Torino, 2007, 37.
(5) In tal senso, ex multis, cfr. Illuminati-Grevi, Prove, in Bargis (a cura di), Compendio di procedura penale, Milano, 2018, p. 311; sul punto, v., altresì, Garofalo, Le prove atipiche fra “apertura” e “limite” al potere giudiziale di conoscere, in Marafioti-Paolozzi (a cura di), ‘Incontri ravvicinati’ con la prova penale, Torino, 2014, 124.
(11) Cfr., ancora, Rafaraci, Ricognizione informale dell’imputato, cit., 1742.
(6) Testualmente, la Relazione al Progetto preliminare del 1988, in Conso-Grevi-Neppi Modona, Il nuovo codice di procedura penale. Dalle leggi delega ai decreti delegati, IV, Il progetto preliminare del 1988, Padova, 1990, 533.
(14) Così, Nobili, La nuova procedura penale. Lezioni agli studenti, Bologna, 1989, 120. (15) L’espressione è ancora di Nobili, Commento all’art. 189, cit., 399.
(8) Si tratta, infatti, secondo Galantini, Inosservanza di limiti probatori e conseguenze sanzionatorie, in Cass. pen., 1991, 664, di formula che evoca un principio di «tassatività temperata».
(16) A livello generale, sull’istituto, si rinvia, tra gli altri, a Bernasconi, La ricognizione di persone nel processo penale. Struttura e procedimento probatorio, Torino, 2003; Capitta, Ricognizioni e individuazioni di persone nel diritto delle prove penali, Milano, 2001; Cavini, Le ricognizioni e i confronti, Milano, 2015; Triggiani, Ricognizioni mezzo di prova nel nuovo processo penale, Milano, 1998.
(9) Così, Nobili, Commento all’art. 189, in Chiavario (coord. da), Commento al nuovo codice di procedura penale, vol. II, Torino, 1990, 399.
(17) La formula è usata da Capitta, Ricognizioni e individuazioni di persone nel diritto delle prove penali, cit., 4.
(7) Per tale rilievo, Rafaraci, Ricognizione informale dell’imputato e (pretesa) fungibilità delle forme probatorie, in Cass. pen., 1998, 1741.
158
(12) In tal senso, Rafaraci, loc. ult. cit., 1742. (13) Per tutti, Nobili, Commento all’art. 189, cit., 399.
DIRITTO DI INTERNET N. 1/2020
GIURISPRUDENZA PENALE mezzo di prova in esame (18). Garantendone, al contempo, l’attendibilità del relativo risultato probatorio (19). In diversificata prospettiva, il riconoscimento di persona operato mediante fotografia, pur rappresentando al pari della ricognizione un’attività di confronto tra il contenuto del ricordo di colui il quale è chiamato a compiere l’operazione e l’oggetto che gli viene esibito (20), difetta dei fondamentali requisiti strutturali che la legge processuale ha ipotizzato al fine di attribuire efficacia probatoria, in sede di accertamento della regiudicanda penale, alla fattispecie ricognitiva personale. Vale a dire, su tutti, la presenza fisica del soggetto da riconoscere (21) e l’esame critico-comparativo tra consimili (22). Sicché, nell’ipotesi in esame, appare incontrovertibile che l’utilizzo probatorio dell’individuazione fotografica dell’imputato – pure consentito dalla pronuncia in commento – sia il frutto di una vera e propria opera di “destrutturazione” (23) del modello normativo tipico previsto dal codice di rito, «contrabbandando per profili di atipicità aggiramenti ed elusioni delle regole probatorie legali intrise di valori garantistici» (24) e volte proprio ad impedire l’adozione di forme improvvisate di reperimento del materiale conoscitivo spendibile ai fini decisori (25). Altrimenti, neppure si spiegherebbe perché il legislatore abbia concepito expressis verbis, nell’art. 361 c.p.p., lo (18) Cfr. Rafaraci, Ricognizione informale dell’imputato, cit., 1742. Sull’esistenza di un nesso di collegamento tra la funzione della prova e la forma del procedimento, sia pure nel diritto processuale civile, v., anzitempo, Chiovenda, Sul rapporto tra le forme del procedimento e la funzione della prova. L’oralità e la prova, in Saggi di diritto processuale civile, II, Roma, 1931, spec. 225. (19) Sul punto, v., ancora, Capitta, Ricognizioni ed individuazioni di persone, cit., p. 19; Melchionda, Sub art. 213 c.p.p., in Chiavario (coord. da), Commento al nuovo codice di procedura penale, cit., 545. (20) V. Cecanese, Aspetti problematici e snodi interpretativi dell’individuazione di persone o cose, in Arch. pen., 2018, n. 1, p. 20; Toninelli, Dubbi ragionevoli sui riconoscimenti personali, in Dir. pen. proc., 2016, 906. (21) Cfr. Conso, Natura giuridica delle norme sulla prova nel processo penale, in Riv. dir. proc., 1970, 21; Tranchina, Il valore probatorio del riconoscimento di persone mediante fotografia, in Riv. it. dir. proc. pen., 1963, 1007; Pascucci, La natura controversa della ricognizione fotografica, in Riv. it. dir. proc. pen., 2017, 287; Zappalà, Il principio di tassatività, cit., 298. (22) Cfr. Toninelli, Dubbi ragionevoli sui riconoscimenti personali, cit., 910. Analogamente, sul punto, Cavini, Le ricognizioni e i confronti, cit., 15; Pignataro, L’errore imperscrutabile: ovvero la ricognizione di persona nel processo penale, in Lupária-Marafioti-Paolozzi (a cura di), Errori giudiziari e background processuale, Torino, 2017, 60. (23) Si esprime così Mazza, I diritti fondamentali dell’individuo come limite della prova nella fase di ricerca e in sede di assunzione, in Dir. pen. contemp., Riv. trim., 3/2013, 8. (24) Testualmente, ancora, Mazza, ibidem. (25) Per tale rilievo, Dean, In tema di «libertà» e «tassatività» delle forme nell’acquisizione probatoria (a proposito delle «ricognizioni fotografiche»), in Riv. it. dir. proc. pen., 1989, 832.
strumento dell’individuazione (26) di persone (anche mediante fotografia) quale specifico atto investigativo a forma libera (27), univocamente preordinato alla «immediata prosecuzione delle indagini» (28). In questo senso, cioè, l’omessa previsione di specifiche formalità di procedura, ovvero di cautele e garanzie metodologiche a tutela dell’affidabilità del risultato conoscitivo conseguibile attraverso l’individuazione (29) si fonda proprio sul presupposto che essa, nella iconografia dell’ordinamento processuale, costituisce «un puro atto di indagine, finalizzato ad orientare l’investigazione, ma non ad ottenere la prova» (30). Il che, per converso, sta a significare che, ai fini delle decisioni giurisdizionali del procedimento, il legislatore reputa, invece, imprescindibile l’osservanza di determinate forme legali probatorie (31), rendendo per ciò solo infungibili l’atto informale di individuazione, compiuto durante le indagini preliminari, e la fattispecie tipizzata dai citati artt. 213 e 214 c.p.p. Né, a giustificare una «pretesa fungibilità delle forme» (32) tra tali fenomenologie ricognitive, è possibile invocare il principio del libero convincimento del giudice, cui impropriamente si appiglia anche la sentenza annotata (33).
(26) In generale, sull’istituto, v. Gaeta, L’attività del pubblico ministero, in Marandola (a cura di), Procedura penale. Teoria e pratica del processo, Torino, 2015, 693 ss.; Manzione, L’attività del pubblico ministero, in Chiavario-Marzaduri (a cura di), Giurisprudenza sistematica di diritto processuale penale. Indagini preliminari e instaurazione del processo, Torino, 1999, 272 ss.; Paola, voce Individuazione di persone e di cose, in Dig. pen., VI, Torino, 2002, 374 ss.; Salvi, Commento all’art. 361, in Chiavario (coord. da), Commento al nuovo codice di procedura penale, cit., 210 ss. Da ultimo, Marandola, L’identificazione fotografica, in Scalfati (a cura di), Le indagini atipiche, Torino, 2019, 209 ss. (27) Al riguardo, per tutti, Cordero, Procedura penale, Milano, 2006, 823, il quale afferma che «l’indagante la allestisce come meglio ritiene». (28) Sul punto, v. Pascucci, La natura controversa della ricognizione fotografica, cit., 291. (29) La stessa previsione della facoltà di assistenza difensiva, ora stabilita in forza della modifica dell’art. 364 c.p.p. ad opera del d.lgs. n. 184 del 2016 non vale, infatti, a corroborare il valore euristico dell’individuazione fotografica compiuta in fase investigativa e, stante l’assenza di specifiche prescrizioni modali cui attenersi, neppure funge da garanzia particolarmente efficace a tutela della regolarità formale dell’atto. (30) In questi termini, Corte cost., sent. 12 giugno 1991, n. 265, in Giur. cost., 1991, 2136. (31) V. Bontempelli, La ricognizione, in Ferrua-Marzaduri-Spangher (a cura di), La prova penale, Torino, 2013, 529. (32) L’espressione è mutuata da Rafaraci, Ricognizione informale dell’imputato, cit., 1739. (33) Concorde al riguardo la dottrina sin dalla vigenza dell’abrogato codice di rito: cfr. Amodio, Libertà e legalità della prova nella disciplina della testimonianza, in Riv. it. dir. proc. pen., 1973, 310 ss.; Nobili, Il principio del libero convincimento del giudice, cit., 24 ss.; Zappalà, Il principio di tassatività, cit., 198 s.
DIRITTO DI INTERNET N. 1/2020
159
GIURISPRUDENZA PENALE Il richiamo a quest’ultimo canone in funzione di «sanatoria» (34) suscettibile di regolarizzare eventuali anomalie della fattispecie probatoria “atipica” rispetto al suo modello normativo trascura, infatti, il rilievo basilare che il regime di libertà riservato al giudice nella formazione del proprio convincimento «si sostanzia unicamente nell’assenza di vincoli nella valutazione della prova e non già nelle modalità della sua acquisizione» (35). Ciò significa, quindi, che, risolvendo sul piano (postumo) della tecnica valutativa le questioni (pregiudiziali) relative all’ammissione e assunzione di un determinato elemento conoscitivo (36), si finisce col capovolgere la stessa sequenza logico-cronologica del procedimento probatorio (37). E, in ultima analisi, col far degenerare il canone del libero convincimento giudiziale in un «mero stratagemma per legittimare l’uso di qualsiasi elemento probatorio, anche invalido» (38). Alla luce di tali considerazioni, allora, risulta assai poco calzante anche l’ulteriore rilievo, effettuato en passant dalla pronuncia in commento, in ordine alla assoluta preclusione di eventuali doglianze in punto di osservanza delle forme probatorie tipiche che, nel caso di specie, discenderebbe dalla strategia processuale prescelta dal ricorrente, «avendo egli rinunciato al processo dibattimentale» (39) in favore della celebrazione del giudizio con rito abbreviato. Per un verso, infatti, vale la pena osservare che, optando per la procedura semplificata in parola, l’imputato abdica solamente al diritto al contraddittorio nella formazione della prova, secondo lo schema derogatorio su base consensuale delineato dall’art. 111, comma 5, Cost. Mentre, la scelta difensiva in favore del giudizio a prova contratta non implica (e non può implicare) alcuna acquiescenza alla violazione del canone di legalità processuale e probatoria, il quale, in forza dell’art. 111,
(34) In senso critico, così, Pansini, Le ricognizioni nel processo penale, in Arch. pen., 1983, 682. (35) In tali esatti termini, Dean, In tema di «libertà» e «tassatività» delle forme nell’acquisizione probatoria, cit., 830. (36) Lo rileva correttamente Saponaro, Brevi riflessioni in tema di ricognizione informale: una mai sopita e dibattuta querelle, in Cass. pen., 1995, 3034. In ottica similare, Capitta, Ricognizioni e individuazioni di persone, cit., 187.
3. Riconoscimento fotografico atipico e reliability dell’immagine digitale
Ferme le precedenti obiezioni in ordine alla indebita sovrapposizione giurisprudenziale tra atipicità ed irritualità della prova, ulteriori profili critici si rinvengono raffrontando la decisione in commento con la stessa fisionomia normativa dell’art. 189 c.p.p. cui, nell’ottica privilegiata dalla Cassazione, andrebbe ricondotto anche il riconoscimento di persona mediante fotografia estrapolata da un social network. A ben vedere, in effetti, è proprio la delimitazione degli spazi operativi della prova atipica, di cui si fa carico la norma suddetta, a rendere alquanto discutibile l’opzio-
(40) Cfr. Mazza, Le insidie al primato della prova orale rappresentativa. L’uso dibattimentale di materiale probatorio precostituito, in Riv. it. dir. proc. pen., 2011, 1525 s.; Moscarini, Princìpi delle prove penali, Torino, 2014, 27. (41) Tra i molti commenti in proposito, cfr. Lavarini, Il nuovo “volto” del giudizio abbreviato tra adeguamento al diritto vivente e aporie sistematiche, in Giuliani-Orlandi (a cura di), Indagini preliminari e giudizio di primo grado. Commento alla legge 23 giugno 2017, n. 103, Torino, 2018, 161 ss.; Marzaduri, Il giudizio abbreviato: alcune riflessioni dopo la cd. Riforma Orlando, in Arch. pen., 1/2018, 527 ss. (42) In dottrina, sui divieti probatori impliciti, v., per tutti, Nobili, La nuova procedura penale, cit., 150 s.; Id., Divieti probatori e sanzioni, in Giust. pen., 1991, c. 641 ss.
(38) Così, in senso condivisibile, Pascucci, La natura controversa della ricognizione fotografica, cit., 290.
(43) Così, in senso condivisibile, Capitta, Ricognizioni e individuazioni di persone, cit., 290; nonché già, Rafaraci, Ricognizione informale dell’imputato, cit., 1739, i quali accolgono, sul punto, l’orientamento dottrinario dominante, secondo il quale la previsione generale di inutilizzabilità si riferisce pure all’inosservanza delle modalità di formazione dell’atto probatorio. Al riguardo, tra gli altri, cfr. Galantini, L’inutilizzabilità della prova nel processo penale, Milano, 1992, 102; Grifantini, voce Inutilizzabilità, in Dig. disc. pen., vol. VII, Torino, 1993, 8 e 13; Nobili, La nuova procedura penale, cit. 152.
(39) Testualmente, Cass., Sez. II, 12 settembre 2019, n. 42315, cit., in motivazione.
(44) Cass., Sez. I, 27 maggio 1994, Mazzuocolo, in Arch. nuova proc. pen., 1994, 504.
(37) Sull’ordine di priorità logico-giuridica che caratterizza le diverse fasi del procedimento probatorio, v., De Luca, Logica e metodo probatorio giudiziario, in La Scuola Positiva, 1965, 35; più di recente, cfr., altresì, Illuminati, Ammissione e acquisizione della prova nell’istruzione dibattimentale, in Ferrua-Grifantini-Illuminati-Orlandi, La prova nel dibattimento penale, IV ed., Torino, 2007, 142.
160
comma 1, Cost., è imposto come valore indisponibile e inderogabile, che deve informare qualsiasi processo giurisdizionale (40). Per altro verso, merita sottolineare che la richiesta di giudizio abbreviato, anche nella sua nuova fisionomia, delineata dal recente innesto dell’art. 438, comma 6-bis, c.p.p. (41), non impedisce affatto di rilevare eventuali inutilizzabilità «derivanti dalla violazione di un divieto probatorio», del quale appaiono senz’altro espressive – sia pure implicitamente (42) – le regole di forma previste dagli artt. 213 e 214 c.p.p. in ordine al «modus procedendi dell’atto [ricognitivo], predisposto dal legislatore a tutela dell’attendibilità dell’accertamento» (43). E una tale conclusione appare perfettamente in linea con l’assetto sistematico dell’inutilizzabilità pure privilegiato dalla giurisprudenza della Cassazione, secondo cui tale vizio ben può derivare da un divieto che possa «riconoscersi come implicito […] in relazione alla natura e all’oggetto della prova» (44).
DIRITTO DI INTERNET N. 1/2020
GIURISPRUDENZA PENALE ne ermeneutica avallata nella pronuncia in esame. In questo senso, il principale ostacolo all’inclusione del riconoscimento personale mediante immagine Facebook nel novero della prova “innominata” spendibile in sede processuale si rinviene nello stesso requisito della idoneità dell’elemento probatorio atipico «ad assicurare l’accertamento dei fatti», cui il citato art. 189 c.p.p. subordina l’esercizio del potere giudiziale di ammissione delle prove non disciplinate dalla legge. Alla stregua di un siffatto limite normativo, invero, l’ammissibilità, all’interno del processo, del mezzo istruttorio avulso dal catalogo delle prove tipiche presuppone che il giudice ne verifichi positivamente il valore dimostrativo (45), attestando, cioè, che esso sia capace di produrre conoscenze processuali veritiere (46), dotate di un sufficiente grado di persuasività ai fini della decisione sulla singola vicenda oggetto di scrutinio. Si tratta, all’evidenza, di attitudine scarsamente riscontrabile nel caso del riconoscimento fotografico, tanto più se effettuato mediante esibizione di un’immagine digitale estrapolata dal profilo Facebook del soggetto da riconoscere. Quest’ultimo canale rappresentativo del volto di una persona aggrava, infatti, ulteriormente le carenze cognitive congenite all’individuazione personale su base fotografica. Accanto al deficit oggettivo di percezione tridimensionale dell’individuo e alle risapute alterazioni somatiche ed espressive che qualsivoglia riproduzione fotografica è suscettibile di innescare in conseguenza di fattori tecnici come la stampa, la qualità della risoluzione grafica o la semplice posizione dell’obiettivo (47), l’immagine tratta da un social network, essendo non di rado caratterizzata da pose particolari, dettagli curiosi, ambientazioni scenografiche, ben può offrire una versione del soggetto raffigurato del tutto inattuale e, verosimilmente, assai poco affine alle sembianze assunte da quest’ultimo al momento del fatto (48). Sorvolando, in questa sede, sui profili di intrinseca incertezza che connotano la rete sociale Facebook, a fronte della non remota possibilità di illecite sostituzioni di
persona (49) cui può dar luogo la semplice creazione di falsi account, v’è, poi, da considerare che le raffigurazioni fotografiche caricate sui profili personali dei social network sono spesso il risultato di manipolazioni e ritocchi effettuati mediante l’utilizzo di “filtri” o di software di photo editing i quali, con estrema facilità, consentono a chiunque di “comporre” un’immagine ovvero “montare” una scena, alterandone anche fortemente i contenuti originari (50). Invero, trattandosi di documenti visivi digitali, qualsiasi utente che abbia una pur rudimentale conoscenza dei suddetti tools di fotoritocco è in grado di apportare modifiche sulla immagine web senza che le stesse siano minimamente percepibili ad occhio nudo. Per tale via, infatti, non soltanto è possibile aggiungere o, viceversa, eliminare determinati particolari indesiderati dal contenuto primitivo della foto ma risulta piuttosto agevole anche modificarne i valori originali di luminosità e colore (51). Con l’effetto, inevitabile, di compromettere autenticità, genuinità e affidabilità dell’immagine ivi raffigurata. Il tutto, nella prospettiva che qui più rileva, è sufficiente per ritenere che lo stesso richiamo, operato dalla pronuncia in commento, all’art. 189 c.p.p. quale norma di copertura per l’utilizzo probatorio dei riconoscimenti fotografici mediante immagini “virtuali”, risulti a dir poco azzardato. La «natura ontologicamente volatile, alterabile e falsificabile» (52) del dato fotografico digitale appare, infatti, refrattaria all’osservanza proprio della fondamentale condizione applicativa imposta dal predetto art. 189 c.p.p., vale a dire l’idoneità dello strumento conoscitivo atipico ad assicurare un accertamento attendibile del fatto di reato. Ciò significa, in altre parole, che nella specifica ipotesi in esame, quest’ultima condizione di ammissibilità dell’elemento estraneo all’arsenale probatorio tipizzato si intreccia altresì con le ulteriori problematiche di reliability tradizionalmente connesse all’utilizzo processuale
(45) Cfr. Dean, In tema di «libertà» e «tassatività» delle forme, cit., 838.
(49) La giurisprudenza in proposito è, del resto, pacifica nel riconoscere la configurabilità del reato di sostituzione di persona (art. 494 c.p.) nel caso della creazione di un falso profilo Facebook o anche solo nell’ipotesi di utilizzo illegittimo di un’immagine altrui. Cfr., tra le molte, Cass., Sez. V, 23 aprile 2014, n. 25774, in C.E.D. Cass., rv. 259303.
(46) Sul punto, v. Cordero, Il procedimento probatorio, in Id., Tre studi sulle prove penali, Milano, 1963, 64. (47) Di questo avviso, tra i molti, cfr. Capitta, Ricognizioni e individuazioni di persone, cit., 202; Cecanese, Aspetti problematici e snodi interpretativi dell’individuazione di persone e cose, cit., 20; Dean, loc. ult. cit., 838; Pascucci, La natura controversa della ricognizione fotografica, cit., 289; Priori, La ricognizione di persona. Cosa suggerisce la ricerca psicologica, in Dir. pen. proc., 2003, 1291; Triggiani, Ricognizioni mezzo di prova, cit., 202.
(51) Battiato-Galvan, La validità probatoria delle immagini e dei video, cit. 31.
(48) In tal senso, sia pure con riferimento alle fotografie “ordinarie”, Altavilla, Il riconoscimento e la ricognizione delle persone e delle cose, in Psicologia giudiziaria, Torino, 1955, 150; Dean, In tema di «libertà» e «tassatività» delle forme, cit., 838.
(52) Così, Lupária, La disciplina processuale e le garanzie difensive, in Lupária-Ziccardi, Investigazione penale e tecnologia informatica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali, Milano, 2007, 148.
(50) Cfr. Battiato-Galvan, La validità probatoria delle immagini e dei video, in Sicurezza e giustizia, II/MMXIII, 2013, 30.
DIRITTO DI INTERNET N. 1/2020
161
GIURISPRUDENZA PENALE di qualsivoglia evidenza elettronica (53). Si tratta, cioè, preliminarmente, di verificare che, nel singolo caso di specie, sia stata salvaguardata l’«integrità digitale» (54) dell’immagine, ricostruendosene la chain of custody (55) volta ad attestare che il contenuto primitivo della fotografia ritraente il presunto colpevole non abbia subito alterazioni o manipolazioni di sorta, le quali, di per sé sole, condizionano, inficiandola, l’idoneità probatoria e, dunque, la stessa attendibilità (56) del riconoscimento fotografico atipico effettuato tramite social network. Inconvenienti, questi ultimi, dei quali, ad onor del vero, pare essersi resa consapevole la stessa Corte di cassazione in una pronuncia di poco precedente a quella in commento (57) e che mostra una maggiore sensibilità in favore dell’esigenza di «cautela» (58) sottesa al trattamento processuale di qualsivoglia dato informatico, e dunque anche delle immagini digitali. Seppure all’interno di un obiter dictum racchiuso tra le pieghe della motivazione, i giudici di legittimità hanno, infatti, messo in guardia dal rischio che la fotografia elettronica estrapolata da un profilo Facebook ed utilizzata dalle persone offese per individuare il loro aggressore costituisca il frutto di manipolazioni da parte di altri e non rappresenti le sembianze della persona indicata (59). Rendendo, così, l’eventuale riconoscimento effettuato tramite essa inidoneo «a far conseguire le certezza nel caso concreto» (60).
4. Residui fraintendimenti nel rapporto tra identificazione fotografica e prova testimoniale
Un’ultima chiosa si impone, infine, con riferimento al rapporto di sostanziale assimilazione fra i contenuti rispettivi del riconoscimento fotografico e della prova testimoniale, cui, sulla scia di un diffuso orientamento (53) Su tale profilo, tra i molti, cfr. Marafioti, Digital evidence e processo penale, in Cass. pen., 2011, p. 4521; Pittiruti, Digital Evidence e procedimento penale, Torino, 2017, 159 ss.
interpretativo (61), allude ancora una volta pure la sentenza in analisi. Nel ribadire che l’individuazione per immagini debba essere «soggetta solo ai normali canoni di valutazione di attendibilità dei quali il giudice deve dare conto, nell’ambito del più generale giudizio relativo alla affidabilità della testimonianza» (62), il Collegio di legittimità torna, infatti, a riproporre il leitmotiv giurisprudenziale secondo il quale non vi sarebbe alcuna differenza tra il contributo rievocativo fornito dal ricognitore e quello dichiarativo richiesto al testimone (63). Cosicché, di fatto, l’efficacia probante dell’operazione ricognitiva finirebbe per dipendere non tanto dal riconoscimento in sé, ovverosia dalla verifica delle probabilità oggettive di un esito conforme dell’avvenuto ravvisamento del quid ritratto nell’immagine e originariamente percepito (64), quanto piuttosto dalla maggiore o minore credibilità attribuibile alle propalazioni del ricognitore, il quale si dichiari certo della identità fisica dell’imputato (65). L’assunto non convince, trascurando esso la ben diversa funzionalità operativa delle due fattispecie, testimoniale e ricognitiva, messe a confronto (66). Solo nella testimonianza vera e propria, infatti, la rievocazione dell’esperienza pregressa da parte del dichiarante trae impulso da un contesto dialogico in cui le domande rivolte al testimone consentono a quest’ultimo di fornire un costrutto narrativo-fattuale suscettibile di essere sottoposto ad un vaglio di attendibilità intrinseca ed estrinseca della narrazione stessa (67). Nel caso dell’atto ricognitivo, per contro, il contributo offerto dal soggetto chiamato ad effettuare il riconoscimento «si traduce probatoriamente in una mera risposta (positiva, negativa o perplessa) circa la corrispondenza tra l’oggetto dell’esperienza da rievocare e l’oggetto della percezione attuale, per sua natura refrattaria ad ogni vaglio critico sul piano logico-dialogico» (68). E, proprio per questo, ontologicamente insuscettibile di essere valutata alla stregua dei canoni di attendibilità ed affida-
(54) L’espressione è usata da Lupária, La disciplina processuale e le garanzie difensive, cit., 197. (55) V., ancora, Battiato-Galvan, La validità probatoria delle immagini e dei video, cit., 30. (56) In questo senso, sebbene da eterogenee angolazioni speculative sul tema della prova digitale, cfr. Del Coco, L’utilizzo probatorio dei dati whatsapp tra lacune normative e avanguardie giurisprudenziali, in Proc. pen. giust., 3/2018, 539; Lupária, ll caso “Vierika”: un’interessante pronuncia in materia di virus informatici e prova digitale. I profili processuali, in Dir. Internet, 2006, 153. (57) Cass., Sez. V, 27 aprile 2018, n. 32648, reperibile online, su Dejure.it (58) Si esprime così Ziccardi, L’ingresso della computer forensics nel sistema processuale italiano: alcune considerazioni informatico-giuridiche, in Lupária (a cura di), Sistema penale e criminalità informatica, Milano, 2009, 177.
162
(61) In tale ottica, tra le altre, Cass., Sez. VI, 31 ottobre 2018, n. 17103, in C.E.D. Cass., rv. 275548; Id., Sez. V, 10 febbraio 2009, n. 22612, ivi, rv. 244197; Id., Sez. IV, 4 febbraio 2004, ivi, rv. 228043. (62) Così, Cass., Sez. II, 12 settembre 2019, n. 42315, cit. (63) Cfr. Cavini, Le ricognizioni e i confronti, cit., p. 107. (64) Al riguardo, cfr. Cavini, Le ricognizioni e i confronti, cit., 107; Dean, In tema di «libertà» e «tassatività» delle forme, cit., 839; Varone, La metamorfosi inquisitoria dell’individuazione fotografica, in Giur. merito, 2008, 2941. (65) V., ancora, Dean, ibidem. (66) Sul punto, v. Rafaraci, Ricognizione informale dell’imputato, cit., 1050 s.
(59) Così, Cass., Sez. V, 27 aprile 2018, n. 32648, cit., in motivazione.
(67) In questo senso, Pascucci, La natura controversa della ricognizione fotografica, cit., 287; Rafaraci, loc. ult. cit., 1050.
(60) In questi termini, Tranchina, Il valore probatorio, cit., 1008.
(68) In tali esatti termini, ancora, Rafaraci, ibidem.
DIRITTO DI INTERNET N. 1/2020
GIURISPRUDENZA PENALE bilità della testimonianza secondo quanto (ri)affermato, invece, dalla Cassazione nella pronuncia in commento. Non solo. Traslata sui peculiari profili che connotano la vicenda scrutinata nella sentenza in esame, l’impropria assimilazione dell’atto ricognitivo alla disciplina tipica della testimonianza finisce, addirittura, per integrare gli estremi di una fattispecie normativamente vietata in materia di prova testimoniale: quella ipotizzata dall’art. 499, comma 3, c.p.p. e relativa alla formulazione di domande che tendono a suggerire le risposte. Invero, mostrando al testimone/ricognitore la sola immagine fotografica tratta dal profilo Facebook del presunto colpevole lo si induce surrettiziamente a rispondere in senso positivo al test di identificazione personale dell’imputato, con evidente violazione della regola suddetta che, in ambito testimoniale, vieta a colui il quale conduca l’escussione della fonte dichiarativa di formulare quesiti che contengano già in sé la risposta ambita. Un effetto di marcata suggestione, quest’ultimo, che nell’ipotesi in esame, appare tanto più facile da ottenere anche in considerazione del fenomeno, oggetto di speculazione in campo psicologico, della cd. “integrazione fantastica”, ovverosia la tendenza dell’individuo umano a completare il ricordo, necessariamente frammentario, di una persona, identificando gli elementi mancanti della propria reminiscenza con quelli che gli vengano propinati dagli interlocutori, interessati alla rievocazione positiva del ricordo stesso (69). Il che, oltre a smascherare definitivamente il fraintendimento interpretativo che si cela dietro l’asserita omologazione sostanziale tra la fattispecie ricognitiva e quella testimoniale, conferma una volta in più l’importanza contenutistica (70) che, in materia di riconoscimenti personali, deve essere assegnata al rispetto rigoroso e infungibile delle forme legali probatorie per essi stabilite.
(69) Sul punto, v., ancora, Varone, loc. ult. cit., 2941. (70) Parla opportunamente di «valore contenutistico» delle forme probatorie, Dinacci, L’inutilizzabilità nel processo penale. Struttura e funzione del vizio, Milano, 2008, 24.
DIRITTO DI INTERNET N. 1/2020
163
GIURISPRUDENZA PENALE
Il diritto penale alla prova dell’hands-on dell’ethical hacking Tribunale Rizza
di
Catania ; giudice per le indagini preliminari; decreto di archiviazione 15 luglio 2019; Giudice
La condotta dell’indagato che, dopo aver avuto accesso al sistema informatico senza l’autorizzazione del titolare, scopra errori e vulnerabilità, contatti l’azienda coinvolta per consentirle di porvi rimedio e, senza ricevere alcun positivo riscontro da parte di quest’ultima entro un determinato lasso di tempo, li comunichi al pubblico non integra il delitto di cui all’art. 615 ter c.p. Questa attività, infatti, costituirebbe una “divulgazione responsabile”, diretta a migliorare la sicurezza del sistema e del prodotto e ad assicurare la tutela dei consumatori.
Il Commento di Roberto Flor
Sommario: 1. Premessa. – 2. Fatto tipico e rilevanza della divulgazione responsabile. – 3. Disvalore sociale del fatto, bene giuridico protetto e tutela di interessi privati e collettivi. – 4. Ethical hacking e responsible disclosure nel prisma del diritto penale. Il reato di accesso abusivo ad un sistema informatico di cui all’art. 615 ter c.p. si configura con la violazione della voluntas domini e dello ius excludendi alios del titolare del sistema. La c.d. responsible disclosure non sembra assumere, de iure condito, alcuna valenza esimente. The illegal access constitutes the criminal offence provided by art. 615 ter p.c. when an individual knowingly accesses without permission to a computer system. De iure condito the s.c. responsible disclosure does not precluding the criminal liability.
1. Premessa
Il giudice per le indagini preliminari del Tribunale di Catania, con decreto del 15 luglio 2019, ha disposto l’archiviazione di un procedimento penale ritenendo non sussistente il reato di cui all’art. 615 ter c.p. Tale provvedimento desta interesse in quanto richiama, a giustificazione della condotta dell’indagato, il concetto di “divulgazione responsabile”. I fatti si inseriscono in un contesto di sviluppo di un progetto aziendale relativo ad un’applicazione per smartphone. Dalla lettura del provvedimento sembra che l’agente, «godendo di notevoli competenze tecniche», si fosse introdotto abusivamente nel sistema aziendale, acquisendo informazioni sull’applicativo attraverso le quali avrebbe individuato dei bugs. Dopo aver avvertito l’azienda affinché potesse porvi rimedio e dopo aver atteso invano un suo riscontro diret-
Il decreto di archiviazione è pubblicato nell’Osservatorio Cybercrime, di Lorenzo Picotti con Roberto Flor, di questa Rivista, all’indirizzo <https://dirittodiinternet.it/archiviazione-lhacker-etico-decreto-gip-catania-15-luglio-2019/>
to a risolvere le vulnerabilità del sistema, avrebbe deciso di rendere noti al pubblico tali errori tecnici. Il giudice, così descritti i fatti, ha affermato che la condotta non integra il delitto di accesso abusivo, di cui all’art. 615 ter c.p., in quanto è più correttamente da inquadrare nella «metodologia comune della divulgazione responsabile», avendo l’indagato contattato più volte il produttore al fine di rimediare agli errori di sistema. È prassi comune infatti, secondo il giudicante, comunicare ai titolari delle aziende le eventuali vulnerabilità nella sicurezza informatica per assicurare la tutela dei consumatori. Le motivazioni non consentono di comprendere né le modalità tecniche attuate per accedere abusivamente al sistema informatico – e a quale sistema – né la configurazione e la struttura di quest’ultimo, facendo solo un riferimento generico ad un «evidente hackeraggio». Non è possibile, per questi motivi, affrontare compiutamente le questioni interpretative relative agli elementi costitutivi della fattispecie incriminatrice senza accedere a tutti gli atti del procedimento. La vicenda oggetto di archiviazione solleva comunque notevoli spunti di riflessione sulla rilevanza attribuita alla sicurezza informatica ed alla c.d. divulgazione re-
DIRITTO DI INTERNET N. 1/2020
165
GIURISPRUDENZA PENALE sponsabile e consapevole, nell’ottica di un necessario bilanciamento fra esigenze di tutela di interessi di rilevanza pubblica e privata. Appare opportuno precisare che questa riflessione sarà condotta con le lenti del penalista ipotizzando lo scenario fenomenico maggiormente diffuso e tenendo conto del complesso mondo dell’underground informatico e delle distinzioni criminologiche e sociologiche fra black hat, grey hat e white hat (1). Verso la metà degli anni ’80 Levy proponeva una definizione finanche romantica dell’hacking: «L’hacker pratica l’esplorazione intellettuale a ruota libera delle più alte e profonde potenzialità dei sistemi di computer, o la decisione di rendere l’accesso alle informazioni quanto più libero e aperto possibile. Ciò implica la sentita convinzione che nei computer si possa ritrovare la bellezza, che la forma estetica di un programma perfetto possa liberare mente e spirito» (2). Levy fu forse il primo a documentare l’etica hacker, la filosofia che ha contribuito a costruire le basi di un’intera comunità, in cui un “hack” efficace doveva essere messo a disposizione degli altri utenti, affinché potesse contribuire a migliorare la tecnologia, estendendone le funzionalità e la conoscenza attraverso la condivisione non solo tra hackers, ma anche con il pubblico ed a beneficio del mondo intero (3). Mass-media ed istituzioni tendono a descrivere gli hackers come soggetti devianti e pericolosi, che trascendono le norme e i valori condivisi e accettati nel contesto sociale. Tanto che le connotazioni e le immagini dominanti destano nel pubblico una visione negativa. La loro etica, però, può essere considerata il collante di una vera e propria “controcultura”: un codice ed un sistema di valori profondi non scritti, una filosofia di socializzazione, di apertura, di decentralizzazione, che guidano il comportamento e che sono implicitamente accettati. L’hacker etico è mosso dalla necessità di conoscere e comprendere la tecnologia, senza scopi malevoli o, meglio, diretti a cagionare effetti pregiudizievoli a dati, informazioni, programmi o sistemi, o ad acquisire illecitamente tali dati e informazioni. Egli vuole scoprire (1) Si veda Viano (ed.), Cybercrime, Organized Crime and Social Responses, New York, 2017; Chiesa - Ciappi, Profilo Hacker. La scienza del Criminal Profiling applicata al mondo dell’hacking, Milano, 2007; Coleman - Golub, Hacker practice. Moral Genres and the Cultural Articulation of Liberalism, in Anthropological Theory, 8, 255-277. Cfr. altresì Sestieri, Neutralization Theory: Criminological Cues for Improved Deterrence of Hacker Crimes, in Dir. pen. cont. trim., 2, 2019, 1 ss. (2) Levy, Hackers: Heroes of the Computer Revolution, New York, 1984. (3) L’origine della cultura hacker, come oggi la conosciamo, può essere fatta risalire alla fine degli anni ’50: Levy, Hackers, cit.; Cornwall, The Hacker’s Handbook, London, 1985; cfr. Ziccardi, Resistance, Liberation Technology and Human Rights in the Digital Age, New York, 2013, 5 ss.
166
DIRITTO DI INTERNET N. 1/2020
le possibili vulnerabilità e le criticità per migliorare la cybersecurity structure e la cybersecurity governance. Si tratta di azioni o di un complesso di attività che si realizzano spesso in prossimità di un labile ed incerto confine fra rilevanza ed irrilevanza penale, tra liceità ed illiceità, a prescindere dai motivi, per quanto nobili, perseguiti dal soggetto agente.
2. Fatto tipico e rilevanza della c.d. divulgazione responsabile
L’art. 615 ter c.p. punisce sia chi «abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza», sia chi «vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo». È noto che la fattispecie è stata formulata sulla base del modello di cui all’art. 614 c.p. e, sul piano del disvalore sociale del fatto, prevede il medesimo trattamento sanzionatorio della violazione di domicilio “tradizionale”, sia nel caso della realizzazione della sola ipotesi-base, che in quello delle ipotesi aggravate. Dall’entrata in vigore della l. 23 dicembre 1993 n. 547 dottrina e giurisprudenza hanno avuto modo di pronunciarsi sui problemi interpretativi legati non solo alla formulazione della fattispecie penale, ma anche all’individuazione del bene giuridico protetto ed alla funzione, oltre che natura, delle “misure di sicurezza” poste a protezione del sistema (4). Le tesi emerse mantengono la loro rilevanza teorica e pratica, in quanto la l. 18 marzo 2008, n. 48, di ratifica della Convenzione Cybercrime, non ha apportato modifiche all’art. 615 ter c.p. (5) In particolare, permangono le difficoltà di applicare detta fattispecie penale nel caso di realizzazione della condotta alternativa di “mantenimento”, principalmente per la prova relativa all’inosservanza delle regole e dei limiti della “permanenza” stabiliti dal titolare del sistema informatico o telematico.
(4) Su tali aspetti vedi già Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, Picotti (cur.), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, 21 ss.; si consenta di rinviare, anche per gli opportuni riferimenti giurisprudenziali e dottrinali, a Flor, La condotta del pubblico ufficiale fra violazione della voluntas domini, “abuso” dei profili autorizzativi e “sviamento di potere”, in Dir. pen. e proc., 2018, 506 ss.; Flor, Art. 615 ter c.p., in Forti - Seminara - Zuccalà, Commentario breve al codice penale, VI ed., Padova, 2017 , 2129 ss.; Flor, Verso una rivalutazione dell’art. 615 ter c.p.? Il reato di accesso abusivo a sistemi informatici o telematici fra la tutela di tradizionali e di nuovi diritti fondamentali nell’era di Internet, in Dir. pen. cont. trim., 2012, 126 ss.; Flor, Art. 615 ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del reato e bene giuridico protetto, in Dir. pen. e proc., 2008, 106 e ss. (5) Dopo la legge di ratifica della Convenzione, cfr. Picotti, La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Profili di diritto penale sostanziale, in Dir. pen. e proc., 2008, 700 e ss.; Picotti, Ratifica della Convenzione Cybercrime e nuovi strumenti di contrasto contro la criminalità informatica e non solo, in Dir. Internet, 2008, 437 e ss.
GIURISPRUDENZA PENALE La duplice previsione contenuta nell’art. 615 ter c.p. non è però del tutto fuori luogo, in una prospettiva di interpretazione letterale e teleologica della fattispecie incriminatrice. Dalla lettera della norma, infatti, appare evidente che il legislatore abbia inteso sanzionare l’accesso abusivo e la mera permanenza non autorizzata nel sistema e non, invece, le attività poste in essere contestualmente, non assumendo rilevanza, ai fini della consumazione dell’illecito de quo, l’effettiva presa di conoscenza di dati o informazioni e nemmeno le motivazioni che hanno mosso il soggetto agente. La previsione, quale elemento costitutivo della fattispecie, della presenza di “misure di sicurezza” – di cui il legislatore non specifica qualità, natura o efficacia – ha la funzione non solo di selezionare i sistemi informatici meritevoli di tutela penale, ma anche di rendere manifesta la volontà del titolare dello spatium operandi et deliberandi di escludere soggetti non autorizzati. Quindi, le misure protettive hanno sì una funzione primaria nell’economia della fattispecie, ma non nel senso che la loro violazione debba costituire il mero indicatore della volontà aggressiva del reo, e neppure il momento dell’obiettiva lesione del bene protetto. Per la configurazione reato è decisiva, dunque, la violazione della voluntas domini e dello ius excludendi alios, che nella previsione dell’elemento obiettivo in parola trovano manifestazione e non, invece, la violazione o la “neutralizzazione” delle misure di sicurezza: a meno che non si ritenga ammissibile una discriminazione (di fatto) fra sistemi informatici in base a natura ed efficacia delle protezioni, che non trova però riscontro positivo nella formulazione della fattispecie legale. Questa soluzione interpretativa trova conferma proprio nella previsione della condotta di “mantenimento” (6). In questa prospettiva gioca un ruolo essenziale il requisito di illiceità speciale, che è ripetuto per ciascuna condotta alternativa: ossia l’“abusività”, che costituisce un elemento essenziale del reato e equivale alla “mancata autorizzazione”. Nel quadro sopra delineato quale ruolo può giocare la c.d. divulgazione responsabile? Anzitutto per responsible disclosure si intende una prassi, a cui aderiscono molte realtà aziendali, in base alla quale se un utente o un ricercatore scoprono una vulnerabilità di un prodotto (in questo caso tecnologico) sono invitati ad informare il produttore. Nel caso in cui decorra un
(6) Sulla condotta alternativa del mantenimento in un sistema informatico si sono pronunciate, in due recenti occasioni, le Sezioni Unite della Corte di Cassazione: Cass., S.U., 27 ottobre 2011, n. 4694; Cass., S.U., 8 settembre 2017, n. 41210. Cfr., anche per un confronto fra le due sentenze, Flor, La condotta del pubblico ufficiale, cit. Dopo tali sentenze si veda anche: Cass., sez. V, 9 novembre 2018, n. 8541.
determinato lasso di tempo senza che l’azienda abbia fornito un riscontro, essi possono sentirsi legittimati a rendere nota al pubblico la vulnerabilità individuata. Di fatto si è in presenza di un workflow utile sia ai produttori-venditori – che possono così, da un lato, trarre beneficio da testers senza investire in ulteriori e costosi security test e, dall’altro lato, migliorare il prodotto – sia per i consumatori-utenti, i quali possono acquistare prodotti qualitativamente migliori e più sicuri (7). Prescindendo da considerazioni etiche, nonché da una qualsiasi opinione relativa, più in specifico, all’ethical hacking, sul piano squisitamente penalistico la questione sembra potersi porre seguendo tre prospettive. O tale divulgazione si inserisce, influenzandone la piena configurazione, nel requisito di illeceità speciale, oppure si rinviene una scriminante non codificata o, in generale, una causa di non punibilità, se essa mira a risolvere problemi di sicurezza informatica, prevenendo dunque anche cyber incidents che potrebbero coinvolgere interessi di rilevanza pubblica. Infine, potrebbe operare sul piano dell’elemento soggettivo, quale elemento a sostegno di un’ipotesi difensiva che abbia l’obiettivo di dimostrare il difetto di dolo. Non è possibile, in questa sede, analizzare i diversi approcci alla non punibilità, o perché cause di non punibilità siano previste per determinate fattispecie e non per altre. L’ipotesi relativa al difetto di dolo, diversamente, non comporta particolari aspetti problematici, nemmeno nei casi in cui il reo cada in errore, ritenendo che l’adesione a politiche di divulgazione responsabile da parte di una realtà aziendale comporti l’accettazione implicita e tacita relativa all’accesso ai sistemi informatici o ai programmi o ai dati ivi contenuti. Con riferimento alle altre due ipotesi più peculiari, invece, per evitare equivoci, che potrebbero rischiare di confondere i piani del discorso, è bene partire dal provvedimento di archiviazione, da cui sembra emergere un accesso non autorizzato realizzato, presumibilmente, per verificare la presenza di vulnerabilità o criticità, al quale ha fatto seguito, quale post factum, la responsible disclosure ai fini di assicurare maggiori tutele, in termini di sicurezza del prodotto, ai consumatori. Si tratta di due segmenti dell’attività del soggetto agente da tenere ben distinti. In sintesi: il fatto che una realtà imprenditoriale aderisca ed incentivi la c.d. divulgazione responsabile non significa che, per attuarla, autorizzi accessi illeciti ai propri sistemi informatici, alle proprie risorse tecnologiche o ai propri prodotti.
(7) Cfr., anche sulle prospettive etiche in caso di accesso abusivo a sistemi informatici, Maurushat, Disclosure of Security Vulnerabilities: Legal and Ethical Issues, New York, 2013.
DIRITTO DI INTERNET N. 1/2020
167
GIURISPRUDENZA PENALE In modo maggiormente articolato dal punto di vista penalistico, in primo luogo, quanto al requisito dell’illeceità della condotta, esso è sinteticamente espresso con una clausola di abusività. Occorre che i fatti cagionanti l’offesa siano stati realizzati abusivamente. Sul piano della struttura del fatto tipico non vi è dubbio che tale clausola abbia il ruolo di delimitare i confini delle condotte penalmente rilevanti sulla base della loro contrarietà ad interessi extrapenali, incidendo su un elemento endopenalistico, ossia la tipicità (8). Il termine «abusivamente» deve essere letto con la locuzione, riferita alla condotta alternativa di mantenimento, «contro la volontà espressa o tacita di chi ha il diritto di escluderlo». I principi espressi da due note sentenze delle Sezioni Unite della Corte di Cassazione (9), con riferimento all’interpretazione della condotta di permanenza abusiva, pur con affermazioni fra loro parzialmente difformi, hanno avuto il pregio di valorizzare proprio la violazione oggettiva dei profili autorizzativi predisposti dal titolare del sistema, confermando l’irrilevanza delle finalità soggettive o dei motivi dell’agente o la realizzazione oggettiva di ulteriori comportamenti, che non trovano riscontro nel dato positivo. Si potrebbe ipotizzare di ricondurre la divulgazione responsabile alle scriminanti tacite o atipiche. In verità quest’ultime sono notoriamente discusse, in quanto fanno riferimento a cause di giustificazione diverse e ulteriori rispetto a quelle previste dal legislatore, che potrebbero essere riconosciute sulla base di altre fonti materiali, in quanto riguarderebbero attività socialmente utili o poste in essere per la tutela di beni di primaria importanza (10). In questa sede non è possibile affrontare le delicate questioni dogmatiche ed interpretative che hanno caratterizzato il dibattito scientifico e l’applicazione di cause di giustificazioni atipiche (11). Basti rilevare che, con riferimento al fenomeno oggetto di indagine, si assisterebbe alla pretesa di giustificare ex (8) Cfr. Pulitanò, Illiceità espressa e illiceità speciale, in Riv. it. dir. e proc. pen., 1967, 65 ss. (9) Vedi retro, nota 6. (10) Cfr. il recente lavoro di Consulich, Lo statuto penale delle scriminanti. Principio di legalità e cause di giustificazione: necessità e limiti, Torino, 2018, in cui l’Autore auspica il ricorso ad un vincolo di fonte che estenda il principio di legalità alle scriminanti, impostando la relazione tra fatto tipico e giustificazione in termini di giustiziabilità in base alla legge e alla Costituzione anche quando la causa di esclusione dell’antigiuridicità sia contenuta in una norma extralegale, rispetto a cui anche l’interprete dovrebbe essere vincolato da un principio superiore, onde evitare che, nel passaggio dalla disposizione alla norma, non vengano inserite componenti di irrazionalità e diseguaglianza. (11) Campi privilegiati, per tale dibattito, riguardano ad esempio l’attività sportiva e l’attività medica.
168
DIRITTO DI INTERNET N. 1/2020
post attacchi (rectius accessi non autorizzati) sulla base non solo dei (nobili) motivi dettati dalla volontà di individuare vulnerabilità e criticità per migliorare la stessa cybersecurity, ma anche sul raggiungimento degli obiettivi dell’attaccante e sulla loro valutazione positiva (e da parte di chi?) in termini di utilità pubblica o sociale. In caso contrario, ossia se non venissero rilevate vulnerabilità tali da giustificare l’accesso abusivo, il medesimo fatto rimarrebbe antigiuridico e, dunque, penalmente rilevante. Si tratterebbe, peraltro, di un accertamento totalmente concentrato sui motivi dell’agire e su parametri etici congenitamente indeterminati, privi di quei presupposti stringenti o di limiti predeterminati relativi all’efficacia scriminante delle cause di giustificazione. Ci troveremmo davanti ad un ossimoro, che vede il cyber-attack non autorizzato – e dunque al di fuori degli schemi di security test acconsentiti dal titolare del sistema – come il mezzo per prevenire i cyber-attacks, oppure le vulnerabilità e le criticità legate a sistemi, programmi o dati, in quanto contribuiscono a migliorare la cybersecurity governance (12). Senza però considerare che l’accesso non autorizzato ha cagionato l’offesa al bene giuridico che la disposizione vuole tutelare, a prescindere dall’utilità pubblica della successiva divulgazione responsabile. A ciò deve aggiungersi, sul piano pratico, il fatto che il legislatore ha previsto la perseguibilità a querela per l’ipotesi base di cui all’art. 615 ter c.p. Il titolare del sistema, dunque, potendo disporre del suo legittimo interesse, di fronte all’effettiva utilità delle conseguenze del reato, può decidere di non esporre denuncia-querela.
3. Disvalore sociale del fatto, bene giuridico protetto e tutela di interessi privati e collettivi
Le considerazioni fin qui svolte trovano conferma dalla definizione del bene giuridico protetto dall’art. 615 ter c.p, da tenere distinto rispetto all’area della privacy e del domicilio tradizionale, pur se legato all’espansione ideale della riservatezza di pertinenza del titolare dello ius excludendi alios. La c.d. riservatezza informatica ha ad oggetto l’interesse all’esclusività dell’accesso ad uno o più spazi informatici, a prescindere dalla natura dei programmi, dei dati e delle informazioni ivi archiviati, nonché alla loro disponibilità rispetto ad illegittime interferenze da parte di terzi soggetti. Questo approccio va oltre l’originaria contrapposizione fra la sfera individuale e quella privata, intese quali componenti del generale diritto della personalità, per la presenza di aree o “spazi informatici” che coincidono con (12) Sul concetto di cyber-attack e su quello di cybersecurity si veda Flor, Cybersecurity ed il contrasto ai cyber-attacks a livello europeo: dalla CIA-Triad Protection ai più recenti sviluppi, in questa Rivista, 2019, 453 ss.
GIURISPRUDENZA PENALE l’interesse sostanziale alla protezione di informazioni, siano esse riservate o non riservate, ed al loro controllo nello svolgimento di rapporti giuridici e personali on-line o in altri spazi informatici. Nell’attuale contesto tecnologico il sistema informatico è passato da una concezione privata o singola ad una “dimensione pubblica”. In altri termini all’interesse del singolo si affianca quello super-individuale o di natura collettiva a che l’accesso a sistemi informatici ed alla stessa rete avvenga per finalità lecite e in modo tale da essere regolare per la sicurezza degli utenti. Per cui, da un lato è innegabile che una componente di tale “area riservata” riguardi la facoltà, il potere, il diritto del titolare di gestire in modo autonomo le utilità e le risorse del sistema informatico, nonché i contenuti delle comunicazioni informatiche (o telematiche), indipendentemente dalla loro natura; dall’altro lato appare indispensabile un bilanciamento con le esigenze connesse alla “sicurezza informatica”, con quelle volte a garantire la libertà di circolazione dei dati e delle informazioni, nonché con la loro libera accessibilità e fruibilità. Tale bilanciamento risulta essere più complesso per la crescente vulnerabilità dei sistemi informatici, dei programmi, dei dati e delle informazioni in essi archiviati, dovuta a forme di aggressione sia “tradizionali” che “tecnologiche” che si evolvono con lo sviluppo delle nuove tecnologie. Oggi, tenendo in considerazione le fonti europee e sovranazionali, il concetto di cybersecurity non può che essere concepito come un comprehensive concept, che trova fondamento in tutte le “componenti” del cyberspace: computers, informazioni, ICTs, reti e ICT-based infrastructures, inglobando necessariamente computer security, information security, ICT security, network security e infrastructure protection. In linea con questo approccio “integrato”, che comprende l’information security, dunque, esso esprime anche – e forse in modo preminente – l’interesse alla protezione contro le minacce alla riservatezza, all’integrità, alla disponibilità ed all’affidabilità di dati e informazioni, nonché dei computers, di ogni device o di ogni rete o sistema attraverso cui tali dati e tali informazioni vengono trattati. Cybersecurity che, in tal senso, da un lato si distingue dalla nozione di cybersafety, la quale sembra includere i rischi connessi agli informational contents dei dati e delle informazioni trattati nel cyberspace; dall’altro lato, può essere intesa quale processo proattivo e reattivo volto proprio alla protezione ideale dell’interesse degli uomini e delle organizzazioni ad essere liberi da minacce, in specie da quelle alla c.d. CIA-Triad (la triade riservatezza, integrità e disponibilità di sistemi, programmi, dati e informazioni), cui può collegarsi l’esigenza di protezione dell’affidabilità di sistemi informa-
tici, reti, dati e informazioni ivi contenuti o tramite di essi trattati (13).
4. Ethical hacking e responsible disclosure nel prisma del diritto penale
Affrontando il ruolo dell’ethical hacking (14) e della divulgazione responsabile con le lenti del penalista, alla luce degli elementi costitutivi del reato di cui all’art. 615 ter c.p., il provvedimento di archiviazione del giudice catanese non può non sollevare stimolanti riflessioni e obiettive perplessità, pur con le riserve espresse nella premessa di questo lavoro. La dimensione del bene giuridico protetto dalla fattispecie, nel contesto della cybersecurity governance, vede nella CIA-Triad, al tempo stesso, il nucleo essenziale degli interessi meritevoli di protezione e un criterio guida per il contrasto e la prevenzione dei cyber-attacks. Il condivisibile ancoraggio effettuato dalla stessa giurisprudenza di legittimità al parametro oggettivo della violazione delle “regole” o dei “profili autorizzativi” che disciplinano l’accesso o il mantenimento in un sistema informatico, considerata la dimensione individuale e collettiva del bene protetto, appare decisivo. Ai fini della configurabilità della fattispecie incriminatrice, infatti, assume primaria rilevanza la violazione della voluntas domini e dello ius excludendi alios del titolare, a prescindere dai motivi del soggetto agente e/o dalla natura dei programmi, dei dati o delle informazioni archiviati o trattati nel sistema informatico, ovvero dai “risultati” o dalle “conseguenze” del fatto. In questo senso, l’interesse all’esclusività dell’accesso ad uno o più spazi informatici, nonché alla loro disponibilità rispetto ad illegittime interferenze da parte di terzi soggetti non legittimati, sembra anticipare la stessa protezione della cybersecurity, rispetto ad aggressioni all’integrità ed alla affidabilità di sistemi, programmi, informazioni e dati. Ciò non significa che non vi sia spazio per l’ethical hacking e per la divulgazione responsabile. De iure condito, però, tale spazio sembra essere limitato entro le maglie della condizione di procedibilità e, dunque, delle scelte del titolare del diritto di disporre del bene.
(13) Ibidem. (14) Sull’etica hacking nel nuovo millennio si rinvia al lavoro di agevole lettura di Ziccardi, Etica e informatica. Comportamenti, tecnologie e diritto, Milano, 2009.
DIRITTO DI INTERNET N. 1/2020
169
GIURISPRUDENZA AMMINISTRATIVA
Valore probatorio delle foto acquisite tramite Google Earth T.a .r. S ardegna ; sez. I; sentenza 8 ottobre 2019, n. 779; Pres. D’Alessio; Est. Manca; M. P. (Avv.ti Melis e Filigheddu) c. Comune di Pula (Avv. Melis). I rilevamenti fotografici tratti da Google Earth non assicurano con certezza la data del rilevamento. Tuttavia, non si può non riconoscere il valore quantomeno indiziario della documentazione fotografica estratta da Google Earth, anche sulla data della rilevazione. Indizio che, pertanto, insieme ad altri elementi, può assurgere a vera e propria prova del fatto ignoto.
…Omissis… - con il ricorso in esame, P. A. M. ha chiesto l’annullamento del provvedimento (prot. n. 9659 del 26.4.2018, Reg. Ord n. 44 del 19.04.2018) con il quale il Comune di Pula ha ordinato la demolizione del fabbricato di sua proprietà …Omissis… nonché la rimessione in pristino dei manufatti ricadenti nella medesima area …Omissis… ed il ripristino dello stato dei luoghi. - Secondo quanto emerge dalla lettura dell’ordinanza, il Comune ha svolto una attività di verifica sulle legittimità delle opere realizzate nell’area di proprietà del ricorrente, a seguito di un decreto di ispezione della Procura della Repubblica presso il Tribunale ordinario di Cagliari, ed ha rilevato la realizzazione delle seguenti opere, in assenza dei necessari titoli abilitativi (edilizi e paesaggistici): …Omissis… Il Comune ha poi rilevato che la costruzione …Omissis… è stata eseguita quando il termine decadenziale per l’inizio dei lavori, pari a un anno, era ormai decorso. Dagli accertamenti aerofotogrammetrici acquisiti, l’amministrazione avrebbe appurato, infatti, che i lavori sono iniziati dopo il 13 maggio 2003, quando la concessione era decaduta ai sensi dell’art. 15 del D.P.R. n. 380 del 2001. Pertanto, il Comune ha ordinato la demolizione delle opere eseguite senza titolo e la rimessione in pristino dell’area. - Avverso l’impugnata ordinanza di demolizione, parte ricorrente deduce articolate censure. - Si è costituito il Comune di Pula, chiedendo che il ricorso sia respinto. …Omissis… - Con il primo motivo, il ricorrente deduce violazione dell’art. 97 Costituzione ed eccesso di potere sotto diversi profili, in quanto il responsabile dell’Ufficio Tecnico comunale sarebbe stato di fatto obbligato dalla Procura della Repubblica ad emettere l’ordinanza di demolizione, ventilando la possibilità di avvio di un’indagine a suo carico per omissione di atti di ufficio.
- Il motivo è manifestamente infondato, ove si tenga conto che le attività di verifica sulla legittimità delle opere realizzate dal ricorrente, avviate a seguito di un decreto di ispezione della Procura della Repubblica presso il Tribunale ordinario di Cagliari, hanno evidenziato una serie di abusi, analiticamente indicati nell’ordinanza impugnata, in relazione ai quali il Comune, nell’esercizio delle sue funzioni di controllo e repressione degli illeciti edilizi, non poteva non provvedere, come ha fatto disponendo la demolizione delle opere abusivamente eseguite e la rimessione in pristino dell’area. Deve ritenersi quindi indifferente la fonte dalla quale è giunta la notizia che ha determinato l’inizio del procedimento. - Con il secondo motivo, il ricorrente denuncia la violazione dell’art. 15 del D.P.R. n. 380 del 2001, sottolineando, in relazione alla asserita decadenza della concessione edilizia del 13 maggio 2002, di aver tempestivamente presentato la dichiarazione di inizio dei lavori in data 13 maggio 2003; dichiarazione che – sebbene non decisiva al fine di impedire la decadenza – produce l’effetto di porre a carico dell’amministrazione l’onere di provare che l’inizio dei lavori non si sia verificato. Detta prova non è stata fornita dal Comune di Pula, atteso che le foto datate 13 aprile 2003 sono state scattate in un periodo precedente sia alla data di comunicazione dell’inizio dei lavori sia alla data di scadenza del termine per l’inizio dei lavori (13 maggio 2003). Tali fotografie, pertanto, non sono in grado di attestare che, entro l’ultimo mese di vigenza del titolo abilitativo, ovvero dal 13.04.2003 al 13.05.2003, i lavori non abbiano avuto effettivo inizio. Inoltre, il termine decadenziale di cui all’art. 15 comma 2, del testo unico in materia edilizia, 6 giugno 2001, n. 380, deve farsi decorrere, secondo il ricorrente, non dalla data di emanazione, ma dalla data del rilascio del titolo edilizio, ed è altamente presumibile che il rilascio possa essere avvenuto in una data successiva, facendo così slittare ancora più in là nel tempo la data di scadenza del titolo abilitativo.
DIRITTO DI INTERNET N. 1/2020
171
GIURISPRUDENZA AMMINISTRATIVA Quanto invece alla fotografia del 28 luglio 2004, acquisita da Google Earth, si rileva che essa, da sola, non può costituire la prova del mancato inizio dei lavori in quanto pacificamente priva di data certa. Il ricorrente deduce, inoltre, che il 3 novembre 2003 ha presentato una variante alla concessione edilizia, per una serie di opere che avrebbero imposto la sospensione dei lavori, pur tempestivamente iniziati. Nelle more, tali lavori (scavi e fondazioni) furono momentaneamente ricoperti, anche per evitare la fonte di pericolo che gli stessi avrebbero potuto costituire per gli animali dell’azienda. Per cui, anche per questa ragione, la foto aerea estratta da Google Earth non sarebbe comunque idonea a dimostrare il mancato tempestivo avvio dei lavori. - Il motivo è infondato. - L’amministrazione comunale ha dimostrato, in modo sufficientemente attendibile, il mancato avvio dei lavori entro il termine di un anno dal rilascio del titolo attraverso un ampio corredo di foto aeree ottenute (a parte la foto del 2004, tratta da Google Earth) interrogando l’archivio ufficiale della Regione Sardegna (disponibile anche sui siti ufficiali dell’amministrazione regionale). Pertanto, non sono pertinenti le contestazioni rivolte a inficiare il valore di prova delle foto in questione. Dalla sequenza cronologica delle foto aeree emerge come quantomeno fino al 2004 non si intravedono tracce rilevanti dei lavori che, come si è veduto, si sarebbero dovuti iniziare entro il 13 maggio 2003. Si veda, in primo luogo, la foto aerea scattata nel periodo compreso tra il 13 e il 26 aprile 2003 (doc. 18 del Comune di Pula, deposito del 27 maggio 2019), da cui si evince che sull’area oggetto della concessione nessun intervento è stato iniziato. La foto menzionata deve essere esaminata insieme all’altra foto aerea scattata il 28 luglio 2004 (cfr. doc. 10 del Comune di Pula, deposito del 27 maggio 2019), estratta da Google Earth, che mostra come, ancora fino al luglio 2004, non si riscontri traccia dei lavori di cui alla concessione in questione. Il ricorrente contesta la rilevanza probatoria del documento, richiamando l’orientamento secondo cui i rilevamenti fotografici tratti da Google Earth non assicurano con certezza la data del rilevamento. Tuttavia, a parte la considerazione che le affermazioni sulla inattendibilità dei riscontri fotografici rilevabili tramite Google Earth sono del tutto generiche, non si può non riconoscere il valore quantomeno indiziario della documentazione fotografica estratta da Google Earth (anche sulla data della rilevazione). Indizio che, pertanto, insieme ad altri elementi, può assurgere a vera e propria prova del fatto ignoto (in tal senso, difatti, anche la giurisprudenza di questo Tribunale: sez. II, 31 gennaio 2018, n. 54, nel senso che <<i rilevamenti tratti da Google Earth prodotti in giudizio non possano costituire, di per sé ed in assenza di più circostanziati elementi (che nel
172
DIRITTO DI INTERNET N. 1/2020
caso di specie l’amministrazione non ha fornito), documenti idonei allo scopo di indicare la data di realizzazione di un abuso […]>>). - Nel caso di specie, la foto del luglio 2004 non deve essere quindi valutata, sotto il profilo probatorio, in maniera isolata ma insieme alla foto del 2003, sopra richiamata, e alle foto (tratte dai siti della Regione) del 2005 (doc. 17 del Comune, in cui vi è traccia dell’inizio di esecuzione dei lavori) e del 2006 (doc. 4 del ricorrente, in cui i lavori sono ormai evidenti). La sequenza dimostra come i lavori siano stati iniziati sicuramente dopo il luglio 2004 (quasi certamente nel 2005), quando ormai la concessione era da tempo decaduta, ai sensi dell’art. 15 del T.U. in materia edilizia. Né il ricorrente ha fornito alcun elemento probatorio attestante il concreto avvio dei lavori in data antecedente il 13 maggio del 2003. - Con il terzo motivo, il ricorrente denuncia l’illegittimità dell’ordinanza di demolizione anche in quanto contrasta con la ratio sottostante alla previsione della decadenza del permesso di costruire, ossia la salvaguardia dell’effettività della pianificazione urbanistica. Nel caso di specie, in ragione dell’avvenuta ultimazione del fabbricato entro i tre anni di vigenza della concessione edilizia, è pacifico che la pianificazione urbanistica comunale è stata pienamente rispettata. - Anche l’esposta censura non coglie nel segno, considerato che l’art. 15 cit., prevedendo un termine di natura decadenziale per l’inizio dei lavori, ha determinato anche l’effetto giuridico prodotto dal decorso del termine, non lasciando all’amministrazione (e tantomeno al giudice) alcun margine di valutazione discrezionale volto a verificare se la ratio o la finalità della norma sia stata in concreto perseguita. - Con il quarto motivo, il ricorrente lamenta la violazione degli articoli 7 e ss. della legge n. 241/90, per l’omessa comunicazione di avvio del procedimento e per il mancato rispetto delle garanzie procedimentali. - Il motivo è infondato. - Sul punto è sufficiente richiamare il consolidato indirizzo giurisprudenziale che esclude dall’ambito di applicazione della norma sulla comunicazione di avvio i procedimenti volti a esercitare i poteri repressivi in materia edilizia, mediante adozione dell’ordinanza di demolizione, trattandosi di procedimenti che mettono capo a provvedimenti di contenuto vincolato (cfr., ex multis, Consiglio di Stato, sez. III, 14 maggio 2015, n. 2411; da ultimo, Sez. IV, n. 5524/2018). L’attività amministrativa è caratterizzata, in queste ipotesi, dall’accertamento di presupposti di fatto interamente tipizzati dalla norma attributiva del potere, che integrano, alla luce della disciplina urbanistico-edilizia rilevante, l’abuso; per cui, gli apporti partecipativi dei destinatari dell’ordinanza
GIURISPRUDENZA AMMINISTRATIVA non possono svolgere alcuna utile funzione al fine di orientare la decisione amministrativa, che non potrebbe avere un contenuto diverso rispetto a quello prefigurato dalla norma di repressione dell’abuso. L’orientamento ha trovato autorevole avallo nella recente pronuncia dell’Adunanza Plenaria del Consiglio di Stato, n. 9 del 2017, che ha sottolineato e ribadito quanto sopra anticipato, ossia che <<l’ordine di demolizione è un atto vincolato ancorato esclusivamente alla sussistenza di opere abusive e non richiede una specifica motivazione circa la ricorrenza del concreto interesse pubblico alla rimozione dell’abuso. In sostanza, verificata la sussistenza dei manufatti abusivi, l’Amministrazione ha il dovere di adottarlo, essendo la relativa ponderazione tra l’interesse pubblico e quello privato compiuta a monte dal legislatore. In ragione della natura vincolata dell’ordine di demolizione, non è pertanto necessaria la preventiva comunicazione di avvio del procedimento […] né un’ampia motivazione>>. - Con il quinto motivo, il ricorrente impugna l’ordinanza di demolizione nella parte in cui ha previsto anche la rimessione in pristino dei manufatti costituiti da piscina, vani tecnici, recinti per animali, in violazione degli artt. 6, 14 e 15 della L.R. n. 23 del 1985 e violazione dell’art. 146 del d.lgs. n. 42 del 2004. Secondo il ricorrente, trattandosi di opere che possono essere eseguite
previa presentazione di SCIA e per le quali non occorre autorizzazione paesaggistica, l’unica sanzione applicabile è la sanzione pecuniaria. - La doglianza deve essere disattesa. – In primo luogo, va precisato che - come risulta dalla relazione tecnica allegata alla originaria domanda di concessione edilizia del ricorrente (poi rilasciata, come si è veduto, in data 13 maggio 2002) - l’intervento ricade in area soggetta a vincolo paesaggistico (cfr. relazione tecnica di cui al doc. 8 depositato dal Comune resistente il 6 luglio 2018); e d’altronde, per la realizzazione delle opere oggetto della concessione, era stata a suo tempo richiesta e ottenuta l’autorizzazione paesaggistica. Pertanto, non può ritenersi che si tratti opere per le quali non sia necessaria l’autorizzazione paesaggistica. – In secondo luogo, la valutazione di illiceità sotto il profilo urbanistico-edilizio ha riguardato l’intero intervento progettato e autorizzato con la concessione decaduta. Pertanto, la misura della demolizione ha necessariamente coinvolto tutte le opere realizzate, anche quelle di natura pertinenziale. – Il ricorso, in conclusione, deve essere integralmente respinto. …Omissis…. ***
Il Commento
di Francesco d’Amora Sommario: 1. Il valore probatorio delle foto estratte dai motori di ricerca sul web e acquisite tramite rilevamento satellitare nel dibattito giurisprudenziale. – 2. Mezzo di prova e libero convincimento quale libera valutazione dell’attendibilità del mezzo di prova. – 3. Conclusioni. I rilevamenti fotografici tratti da Google Earth non assicurano con certezza la data del rilevamento. Tuttavia, non si può non riconoscere il valore quantomeno indiziario della documentazione fotografica estratta da Google Earth, anche sulla data della rilevazione. Indizio che, pertanto, insieme ad altri elementi, può assurgere a vera e propria prova del fatto ignoto. Un approccio analogo al sistema di authentication of evidence dei sistemi di common law potrebbe portare anche alla classificazione dei rilevamenti in questione quale mezzo di prova documentale. Photographic surveys taken from Google Earth do not guarantee the date of the survey with certainty. However, the Judge cannot fail to recognize at least a circumstantial value of the photographic documentation extracted from Google Earth, even on the date of the survey. Therefore, this clue, together with other elements, can become a full proof of the unknown fact. An approach similar to that of common law systems for authentication of evidence could eventually lead to the qualification of such surveys as documental evidence.
1. Il valore probatorio delle foto estratte dai motori di ricerca sul web e acquisite tramite rilevamento satellitare nel dibattito giurisprudenziale
La pronuncia in esame tratta dell’esecuzione di lavori edili in un periodo successivo a quello previsto dalla legge (art. 15 del D.P.R. n. 380 del 2001) al termine decadenziale (di un anno dal rilascio) della relativa con-
cessione edilizia, rilasciata dal Comune al ricorrente, in data 13 maggio 2002. Infatti, a seguito di un decreto di ispezione della competente Procura della Repubblica, il Comune ha proceduto alla verifica dell’area interessata, tramite la consultazione dell’archivio ufficiale della Regione Sardegna e l’estrazione di immagini satellitari da Google Earth. Successivamente, il Comune, con ordinanza, ha intimato al ricorrente la demolizione della
DIRITTO DI INTERNET N. 1/2020
173
GIURISPRUDENZA AMMINISTRATIVA costruzione del fabbricato realizzato nonché la rimessione in pristino dei manufatti ricadenti nella prossimità del medesimo e realizzati nella stessa occasione. Il ricorrente, tra le altre, ha mosso una contestazione (definita “generica” dalla pronuncia in esame) alla validità probatoria della fotografia del 28 luglio 2004 in quanto, da un lato, sarebbe stato l’unico rilevamento successivo alla scadenza del termine di decadenza della concessione citata e tuttavia, dall’altro lato, essa non avrebbe potuto costituire, da sola, la prova del mancato inizio dei lavori in quanto pacificamente priva di data certa. La questione rilevante ai fini del presente contributo, dunque, verte sulla valenza probatoria delle immagini estratte da Google Earth in quanto la provenienza delle medesime non permetterebbe di fornirgli una data certa. La tematica è passata al vaglio di diverse autorità giudicanti nel corso degli ultimi anni (1) con esiti differenti. In un primo momento, la giurisprudenza di merito ha ricondotto le visioni satellitari disponibili su internet al fatto notorio di cui all’art. 115 c.p.c., orientamento dal quale, lo si anticipa già, pare opportuno prendere le distanze. In particolare, è stato evidenziato che tali immagini integrerebbero tutte le caratteristiche dei dati di conoscenza disponibili per tutti che, a differenza delle informazioni presenti sul web (2), godono del carattere della sufficiente certezza. Innanzitutto, è opportuno rilevare che il dibattito sul fatto notorio si è concentrato, nella prima metà del secolo scorso, sull’esatta definizione del concetto di notorietà (3), approdando nella pacifica riconducibilità di un determinato fatto e della sua esistenza al patrimonio culturale di una data collettività, tale per cui inutile si presenterebbe, in definitiva, una sua eventuale dimostrazione in via giudiziaria (4). In altre parole, (1) Trib. Genova 12 aprile 2013, in Giur. Merito, 1556 ss.; T.a.r. Campania 27 novembre 2014, n. 6118, con commento di Senatore, Considerazioni sul principio dispositivo e sulla relativa applicazione alle sanzioni edilizie, in Urb. e app., 2015, 447 e ss.; Cass. 19 ottobre 2017, n. 48178, in banca dati Pluris; T.a.r. Sardegna 17 gennaio 2018, n. 54, in banca dati Pluris; T.a.r. Calabria 25 settembre 2018, n. 1604, in banca dati Pluris. (2) Trib. Mantova 16 maggio 2006, con commento di Neri, Fatti notori e informazioni pervenute da internet, in Giur. merito, 2007, 2570 ss. (3) Di cui, in un primo momento, erano certe solo le conseguenze giuridiche riassunte nel noto brocardo “notoria non egent probatione” recepite, successivamente, nella formulazione del secondo comma dell’art. 115, c.p.c., si veda Calamandrei, Per la definizione del fatto notorio, in Riv. dir. proc. 1925, 273 ss.; Allorio, Osservazioni sul fatto notorio, in Riv. dir. proc. 1934, 3 ss.; Ferrara, Relatività del “notorio”, in Foro it. 1940, I, 965 ss.; Montesano, Osservazioni sui “fatti notori”, in Giur. compl. cass. civ., 1947, I, 222 ss.; Denti, Ancora sulla nozione di fatto notorio, in Giur. compl. cass. civ., 1947, I, 264 ss.. (4) Cass. Civ. 6 febbraio 2013, n. 2808, in banca data Pluris; cfr. Baroncini, Il regime processuale del fatto notorio, in Riv. dir. proc., 2006, 2, 333 ss..
174
DIRITTO DI INTERNET N. 1/2020
la notorietà del fatto costituisce una sorta di garanzia processuale della sua utilizzabilità ai fini della decisione, in quanto la collettività è in grado di validarlo e di confermarne la logicità, basandosi esclusivamente sulla propria esperienza. Già solo alla luce di una tale considerazione, non pare potersi condividere l’orientamento in esame. Infatti, da un lato, la rapida evoluzione e il continuo aggiornamento dello strumento tecnologico non permettono l’acquisizione delle immagini satellitari al patrimonio culturale della collettività e, dall’altro lato, il vaglio collettivo delle medesime potrebbe non risultare agevole o, addirittura, divenire impossibile in ragione del trascorrere del tempo. Il dato positivo, di cui all’art. 115, comma 2°, c.p.c., si limita a specificare che i fatti notori non necessitano di essere corroborati da una prova relativa alla loro esistenza e, pertanto, possono essere posti alla base della decisione da parte del giudice una volta che siano stati oggetto dell’allegazione di una delle parti. Infatti, lo si ricorda, il giudicante non può ricorrere alla c.d. “scienza privata”, introducendo di propria iniziativa i fatti notori all’interno del processo, fatta eccezione per il caso in cui sia escluso l’onere di allegazione di parte. Orbene, per il proprio carattere speciale, il fatto notorio costituisce una chiara deroga a due principi fondamentali del diritto processuale del nostro ordinamento: il c.d. “principio del contraddittorio” e il c.d. “principio del dispositivo” (nel caso in cui un fatto notorio sia introdotto in giudizio d’ufficio dal giudice). Proprio sotto tali profili, non appare opportuno che tale efficacia derogatoria venga riconosciuta a delle immagini che non possono definirsi notorie a ragion veduta. L’orientamento al quale è riconducibile la pronuncia in esame (5), invece, riconduce le fotografie satellitari reperibili su Google Earth sotto la categoria degli indizi. Infatti, in virtù della carenza di certezze in merito alle metodologie di acquisizione e alla data delle immagini stesse, non sarebbe possibile elevare queste ultime né a mezzi di prova veri e propri né, a fortiori, a fatti notori. Infatti, i mezzi di prova (sebbene, come è noto, soggetti alla libera valutazione di attendibilità operata dal giudice, al pari degli indizi) sono, da soli, sufficienti a fondare il libero convincimento del giudicante e, quindi, la decisione stessa (6). Al contrario, gli indizi (o presunzioni semplici) devono essere molteplici affinché possano legittimamente fondare il convincimento del giudice e ciò alla luce del dato normativo di cui all’art. 2729 c.c., secondo il quale essi sono lasciati alla prudenza del giudice “il qual non deve ammettere che presunzioni gravi,
(5) T.a.r. Campania 27 novembre 2014, n. 6118, cit., 447 e ss.; T.a.r. Sardegna 17 gennaio 2018, n. 54, cit.. (6) Patti, Prove, Bologna, 2015, 624 ss.; Mandrioli – Caratta, Corso di diritto processuale civile. Vol. 2: Il processo di cognizione, Torino, 2019.
GIURISPRUDENZA AMMINISTRATIVA precise e concordanti”. Ebbene, seppur si è avuto modo di evidenziare come le immagini tratte da Google Earth, o altri motori di ricerca, non integrino i requisiti minimi di certezza del fatto notorio, non pare condivisibile spingersi fino a riconoscere ad esse esclusivamente un valore indiziario. Infatti, si tratta pur sempre di rilevamenti satellitari che godono di un consistente grado di affidabilità, in quanto eseguiti secondo la best practice degli enti/agenzie spaziali di riferimento, le quali hanno notoriamente a disposizione gli strumenti tecnologicamente più avanzati ad oggi disponibili. Un orientamento, che si colloca in mezzo a quelli sin qui esaminati, (7) ha ricondotto le immagini estratte da Google Earth sotto la categoria dei documenti, intesi quali mezzi di prova costituita. Nello specifico, l’orientamento in questione nasce in ambito penale, laddove la Suprema Corte di Cassazione ha ritenuto che i fotogrammi satellitari, in quanto rappresentano fatti, persone o cose, costituiscono prove documentali pienamente utilizzabili, ai sensi dell’art. 234, comma 1°, c.p.p. o dell’art. 189, c.p.p.. L’approdo giurisprudenziale in esame non pare presentare le medesime problematiche di quelli supra analizzati, in quanto, da un lato, il mezzo di prova documentale lascia intatto il principio del contraddittorio e, dall’altro lato, viene riconosciuta alle immagini satellitari una certezza maggiore rispetto a quella riconosciuta a un indizio. Ciò che rileva, allora, è il prudente apprezzamento del giudice in merito all’attendibilità del mezzo di prova medesimo. Infatti, com’è noto, nell’ordinamento processuale penale italiano è assolutamente ripudiata la c.d. “prova legale” (8).
2. Mezzo di prova e libero convincimento quale libera valutazione dell’attendibilità del mezzo di prova
È opportuno, allora, analizzare brevemente la nozione di libero convincimento del giudice anche in un’ottica comparatistica con la dottrina anglosassone relativa alla c.d. “authentication of evidence”. Il principio del libero convincimento si connota, più che per una sua definizione in positivo, per contrasto rispetto alla nozione di prova legale. L’ultima comporta che il valore e l’efficacia delle prove siano rimessi a un giudizio aprioristico del legislatore, poi cristallizzato in una norma che vincola il giudice a porre alla base della propria decisione la prova legale. Al contrario, il primo implica la libertà del giudice nella valutazione dell’atten-
dibilità delle singole prove nel caso concreto (9). Storicamente, alle due nozioni, sono state ricollegate due differenti visioni dell’ordinamento giuridico processuale: uno basato su una sorta di timore verso le possibili derive arbitrarie degli organi giudicanti e l’altro, invece, volto a un maggior garantismo assicurato dalla adattabilità dello strumento processuale al singolo caso concreto. Il nostro ordinamento ha optato per un sistema misto, definito dall’art. 116, comma 1°, c.p.c., laddove il legislatore dispone che “Il giudice deve valutare le prove secondo il suo prudente apprezzamento, salvo che la legge disponga altrimenti”. Emerge chiaramente dal dato testuale come la libera valutazione dell’attendibilità delle prove (che non coincide necessariamente con il libero convincimento del giudice (10)) sia la regola generale alla quale fa da contraltare un ristretto, eccezionale e tipico, novero di prove legali, previste tassativamente dalla legge. In altre parole, la cogenza della prova legale è bilanciata dal ristretto numero di casi di applicabilità della medesima mentre la libertà di valutare l’attendibilità dei mezzi di prova in capo al giudice è bilanciata dall’obbligo di motivazione della decisione, sancito dall’art. 111 della Costituzione. Nel nostro ordinamento, pertanto, non è pensabile una possibile deriva arbitraria degli organi giudicanti proprio in quanto ogni decisione deve essere passibile di un controllo logico-giuridico che consenta alla collettività di valutare l’operato del giudice, anche in relazione alle prove dei fatti poste alla base della decisione medesima. In tale ottica, il libero convincimento del giudice non può spingersi fino, per esempio, a ignorare una prova acquisita al giudizio senza che ciò sia congruamente motivato nella pronuncia. Inoltre, viene garantito il principio del contraddittorio in quanto ogni parte, tramite le proprie argomentazioni, può indirizzare il libero convincimento del giudice sulla maggiore attendibilità di una prova rispetto a un’altra. Sotto tale aspetto, appare interessante richiamare la disciplina dell’authentication of evidence anglosassone. Negli ordinamenti di common law, tendenzialmente, ogni mezzo di prova non testimoniale deve essere “autenticato” prima della sua introduzione nel giudizio. In altre parole, la parte che produca un documento (per esempio) ha l’onere di provare che lo stesso è ciò che la parte stessa claims it to be. Tale risultato può essere ottenuto in diversi modi: attraverso una testimonianza che confermi il contenuto del documento introdotto nel
(9) Cfr. Patti, Prove, cit., 624 ss.; Mandrioli – Caratta, Corso di diritto processuale civile. Vol. 2: Il processo di cognizione, cit.; Iacoboni, Prova legale e libero convincimento del giudice, Milano, 2006, 1 ss.. (7) Cass. 19 ottobre 2017, n. 48178, cit.; T.a.r. Calabria 25 settembre 2018, n. 1604 cit.. (8) Tonini – Conti, Il diritto delle prove penali, Milano, 2016, 46 ss..
(10) Infatti, il libero convincimento del giudice, per definizione, interviene in una sezione temporale successiva rispetto all’operazione di libera valutazione dell’attendibilità del mezzo di prova, si veda a tal proposito Iacoboni, Prova legale e libero convincimento del giudice, cit., 1 ss..
DIRITTO DI INTERNET N. 1/2020
175
GIURISPRUDENZA AMMINISTRATIVA processo (11); attraverso la descrizione del documento stesso nelle sue qualità fisiche da parte di un testimone; ancora, nel caso di un procedimento penale, attraverso una c.d. “chain of custody” che garantisca che uno specifico documento, reperito da un agente di polizia sulla scena di un crimine, sia stato custodito in luogo sicuro fino alla sua acquisizione al processo. Per quanto riguarda, invece, l’authentication di un mezzo di prova che implichi la conoscenza o l’utilizzo di nuove tecnologie o tecniche, svolge un ruolo fondamentale l’attività della parte che può introdurre al giudice tutti gli elementi idonei a provare l’affidabilità delle tecnologie utilizzate, anche tramite l’expertise di un tecnico. Le analogie con la questione in esame sono molteplici. Chiarito che l’orientamento maggiormente condivisibile è quello che definisce le immagini satellitari tratte da Google Earth un documento in senso processuale in quanto, da un lato, riconosce uno specifico grado di certezza alle fotografie suddette e, dall’altro lato, garantisce il principio del contraddittorio in virtù della libera valutazione dell’attendibilità delle fotografie da parte del giudice, è fondamentale il ruolo delle parti che possono operare una sorta di “authentication” delle immagini estratte dal nuovo strumento tecnologico tramite apposite argomentazioni volte a illustrarne il grado di Affidabilità. Esiste, in via esemplificativa, la possibilità di inoltrare una formale richiesta alle agenzie che hanno eseguito i rilievi satellitari al fine, per esempio, di fornire una data certa alle immagini successivamente prodotte in giudizio. Ancora, la parte può farsi carico di argomentare in maniera precisa ma immediatamente comprensibile il funzionamento degli strumenti tecnologici utilizzati per reperire le immagini: per esempio, documentandosi sul funzionamento del software di Google Earth al fine di illustrare su quale base vengano pubblicate sul motore di ricerca proprio determinate immagini e non altre. Inquadrate in tal senso, le fotografie satellitari estratte dai motori di ricerca (così come ogni altro strumento di prova connotato dall’utilizzo di nuove tecnologie) si atteggiano esattamente come una non-testimonial evidence di diritto anglosassone.
3. Conclusioni
Come si è avuto modo di vedere, la pronuncia in esame si inserisce in un solco giurisprudenziale animato da un dibattito ancora in essere sulla validità probatoria delle
(11) Si pensi al caso della fotografia di una stanza d’albergo: la sua authentication potrebbe avvenire tramite la testimonianza del personale addetto alle pulizie che confermi la disposizione del mobilio all’interno della camera così come ritratto dalla fotografia senza aver prima preso visione di quest’ultima. Sull’Authentication of notice si veda Conti, Ragionevole dubbio e “scienza delle prove”: la peculiarità dell’esperienza italiana rispetto ai sistemi di common law, in Arch. pen., 2012, 2, 1 ss.
176
DIRITTO DI INTERNET N. 1/2020
immagini satellitari tratte dai motori di ricerca presenti sul web. L’importanza della tematica è evidente se si pensa a quanto l’utilizzo del prodotto dei nuovi sistemi di rilevamento sia in grado di amplificare l’efficacia dello strumento processuale nella ricerca della c.d. “verità giudiziaria”. Tuttavia, tale risultato deve essere bilanciato dalle fondamentali garanzie che caratterizzano un giusto processo. Pertanto, evitando un approccio fideistico che eleva le suddette immagini a fatti notori e evitando, altresì, un approccio troppo scettico che riconosce a un così potente strumento una mera efficacia di natura indiziaria, si ritiene che in medio stat virtus. La definizione quale mezzo di prova documentale delle fotografie estratte da Google Earth persegue due importanti e auspicabili (per un ordinamento animato da determinati principi) risultati: da un lato, diviene possibile il raggiungimento di un maggior grado di verità all’esito del processo (sia esso civile, penale o amministrativo) e, dall’altro lato, non vengono frustrati principi fondamentali del nostro ordinamento processuale quali il principio del contraddittorio, in primis, e il principio del dispositivo, in via residuale. In ogni caso, si attendono ulteriori sviluppi giurisprudenziali in merito, auspicando la formazione di un consolidato e pacifico orientamento, anche nell’ottica di una maggiore certezza del diritto.
GIURISPRUDENZA AMMINISTRATIVA
La seducente perfezione di algoritmi e intelligenza artificiale nelle procedure amministrative alla luce dei modelli di responsabilità civile T.a .r. L azio-R oma ; sezione III Bis; sentenza 13 settembre 2019, n. 10964; Pres. Sapone; Est. Lattanzi; E.C. (avv. Ursini) c. Ministero dell’Istruzione, dell’Università e della Ricerca, Ufficio Scolastico Regionale per la Puglia (Avvocatura dello Stato) Nel caso di un atto di macro organizzazione a efficacia generale e applicabile all’intero territorio nazionale regolante le modalità attuative del piano di mobilità dei docenti, l’applicazione di un “impersonale algoritmo” non garantisce l’esplicazione di una vera e propria attività amministrativa; l’intervento di un operatore, al contrario, conferma la valutazione delle singole fattispecie concrete necessaria per la legittimità di atti procedimentali incisivi di posizioni giuridiche soggettive di soggetti privati e di conseguenziali ovvie ricadute su apparati e assetti della P.A.
…Omissis… I ricorrenti hanno impugnato l’ordinanza ministeriale 241/2016, nella parte in cui l’amministrazione ha obbligato tutti i docenti, e quindi gli odierni ricorrenti, immessi in ruolo nella fase C del piano straordinario assunzionale (art. 1, comma 98, lettera c), ad inoltrare domanda di mobilità. Con sentenza 7544/2017 questo Tribunale ha ritenuto la giurisdizione del giudice ordinario. Il Consiglio di Stato, con sentenza 5409/2017, assunta prima della decisione delle Sezioni Unite della Cassazione regolativa sulla giurisdizione in ordine a queste controversie, ha ritenuto la giurisdizione di questo giudice. I ricorrenti hanno, quindi riassunto il giudizio. Alla camera di consiglio del 10 settembre 2019, avvertite le parti ex art. 60 c.p.a., il ricorso è stato trattenuto in decisione. Il ricorso è fondato come da precedenti di questa Sezione con i quali è stata annullata l’ordinanza ministeriale qui impugnata, ritenendosi che “dirimente si profila in punto di diritto l’argomento secondo cui è mancata nella fattispecie una vera e propria attività amministrativa, essendosi demandato ad un impersonale algoritmo lo svolgimento dell’intera procedura di assegnazione dei docenti alle sedi disponibili nell’organico dell’autonomia della scuola. Al riguardo ritiene la Sezione che alcuna complicatezza o ampiezza, in termini di numero di soggetti coinvolti ed ambiti territoriali interessati, di una procedura amministrativa, può legittimare la sua devoluzione ad un meccanismo informatico o matematico del tutto impersonale e orfano di capacità valuta-
zionali delle singole fattispecie concrete, tipiche invece della tradizionale e garantistica istruttoria procedimentale che deve informare l’attività amministrativa, specie ove sfociante in atti provvedimentali incisivi di posizioni giuridiche soggettive di soggetti privati e di conseguenziali ovvie ricadute anche sugli apparati e gli assetti della pubblica amministrazione. Un algoritmo, quantunque, preimpostato in guisa da tener conto di posizioni personali, di titoli e punteggi, giammai può assicurare la salvaguardia delle guarentigie procedimentali che gli artt. 2,6,7,8,9,10 della legge 7.8.1990 n. 241 hanno apprestato, tra l’altro in recepimento di un inveterato percorso giurisprudenziale e dottrinario. Invero, anticipando conclusioni cui a breve si perverrà seguendo l’iter argomentativo di seguito sviluppato, può sin da ora affermarsi che gli istituti di partecipazione, di trasparenza e di accesso, in sintesi, di relazione del privato con i pubblici poteri non possono essere legittimamente mortificate e compresse soppiantando l’attività umana con quella impersonale, che poi non è attività, ossia prodotto delle azioni dell’uomo, che può essere svolta in applicazione di regole o procedure informatiche o matematiche. Ad essere inoltre vulnerato non è solo il canone di trasparenza e di partecipazione procedimentale, ma anche l’obbligo di motivazione delle decisioni amministrative, con il risultato di una frustrazione anche delle correlate garanzie processuali che declinano sul versante del diritto di azione e difesa in giudizio di cui all’art. 24 Cost., diritto che risulta compromesso tutte le volte in cui l’assenza della motivazione non permette inizialmente all’interessato e successivamente, su impulso di
DIRITTO DI INTERNET N. 1/2020
177
GIURISPRUDENZA AMMINISTRATIVA questi, al Giudice, di percepire l’iter logico – giuridico seguito dall’amministrazione per giungere ad un determinato approdo provvedimentale. Invero il Collegio è del parere che le procedure informatiche, finanche ove pervengano al loro maggior grado di precisione e addirittura alla perfezione, non possano mai soppiantare, sostituendola davvero appieno, l’attività cognitiva, acquisitiva e di giudizio che solo un’istruttoria affidata ad un funzionario persona fisica è in grado di svolgere e che pertanto, al fine di assicurare l’osservanza degli istituti di partecipazione, di interlocuzione procedimentale, di acquisizione degli apporti collaborativi del privato e degli interessi coinvolti nel procedimento, deve seguitare ad essere il dominus del procedimento stesso, all’uopo dominando le stesse procedure informatiche predisposte in funzione servente e alle quali va dunque riservato tutt’oggi un ruolo strumentale e meramente ausiliario in seno al procedimento amministrativo e giammai dominante o surrogatorio dell’attività dell’uomo; ostando alla deleteria prospettiva orwelliana di dismissione delle redini della funzione istruttoria e di abdicazione a quella provvedimentale, il presidio costituito dal baluardo dei valori costituzionali scolpiti negli artt. 3, 24, 97 della Costituzione oltre che all’art. 6 della Convezione europea dei diritti dell’uomo. Si prospetta parimenti fondato anche l’ulteriore concorrente profilo di doglianza svolto
con il secondo mezzo del gravame in riassunzione, con cui i ricorrenti censurano la mancata previsione della deroga al vincolo di permanenza quinquennale dei docenti di sostegno sulla medesima tipologia di posto, con conseguente loro esclusione dalle procedure di mobilità. Il non avere infatti stabilito che tali docenti, quanto meno ai fini della loro partecipazione al piano straordinario di mobilità territoriale, non sono tenuti al rispetto del predetto vincolo quinquennale, si è tradotto nella esclusione per i medesimi, di fatto, dalla possibilità di prendere parte alla procedura di mobilità, privandoli di una facoltà riconosciuta invece alla generalità degli altri docenti. Oltretutto, osserva il Collegio come la cennata mancata previsione di deroga al vincolo quinquennale appaia distonica e confliggente, con la conseguente irragionevolezza e disparità di trattamento, con la parallela previsione, invece, della deroga al vincolo triennale di permanenza nella sede, di cui all’art. 399 co. 3, d.lgs. n. 297/2004, contemplata per i docenti assunti a tempo indeterminato entro l’anno scolastico 2014/2015 del primo periodo dell’art. 1, co. 108, L. n. 107/2015 proprio ai fini della loro partecipazione al contestato piano straordinario di mobilità” (sent. 9924/2018). In conclusione, il ricorso deve essere accolto. …Omissis…
Il Commento
di Mariangela Ferrari Sommario: 1. Sulla questione giurisdizionale. – 2. Gli algoritmi nella legislazione, in dottrina e in giurisprudenza. – 3. Il danno da algoritmo nella procedura amministrativa. Parrebbe utile e insostituibile un meccanismo sistematico e amorfo che regoli rigidamente, e senza errori umani, le procedure amministrative a garanzia di trasparenza e imparzialità, ma la realtà dimostra, al momento, che l’anima, l’etica e il cuore tipico delle figure umane, consentono di superare i risultati asettici e le non inusuali discriminazioni generate attraverso l’applicazione rigida degli strumenti di intelligenza artificiale. Inoltre la attuale normativa regolante la responsabilità civile può adeguarsi alle nuove forme di risarcimento dei danni generati dall’utilizzo degli algoritmi. A systematic and amorphous mechanism that regulates the administrative procedures to guarantee transparency and impartiality, rigidly and without human errors, would seem useful and irreplaceable to all, but reality shows, at the moment, that the soul, ethics and heart typical of human beings, allow to overcome the aseptic results and the not unusual discrimination generated through the rigid application of artificial intelligence tools. In addition, the current regulations governing civil liability can adapt to new forms of compensation for damages generated by the use of algorithms.
Lo spunto per questa riflessione arriva da una recente sentenza del TAR (1) che afferma che l’utilizzo di un impersonale algoritmo per gestire una procedura di mobi (1) Il riferimento è TAR Lazio – Roma 13 settembre 2019, n. 10964, in epigrafe. Per una bibliografia di massima oltre agli Autori citati nelle note successive v. Mancarella, Algoritmo e atto amministrativo informatico:
178
DIRITTO DI INTERNET N. 1/2020
lità di docenti della scuola rivela l’assenza di un’attività amministrativa necessariamente caratterizzata da pratica cognitiva, acquisitiva e di giudizio che soltanto un operatore umano è in grado di garantire; le procedure le basi nel cad, in questa Rivista, 2019, 469 s.; Viola, Combinazione di dati e prevedibilità della decisione giudiziaria, in questa Rivista, 2019, 215 s.
GIURISPRUDENZA AMMINISTRATIVA informatiche possono fungere soltanto da ausilio per l’espletamento dell’attività dell’uomo, in una logica di valutazione della tecnica quale utile strumento all’esercizio di una insostituibile attività umana .
1. Sulla questione giurisdizionale
La giurisprudenza si è posta con una certa frequenza il problema di individuare la giurisdizione competente allorquando ci si trovasse di fronte ad una vertenza relativa alla mobilità di docenti/dipendenti della P.A. In materia di rapporto di lavoro di pubblico dipendente “è necessario operare una distinzione tra atti di macro-organizzazione degli uffici ed atti di gestione e organizzazione del personale: i primi costituiscono espressione del generale potere amministrativo di autoorganizzazione, rispetto al cui corretto esercizio il soggetto, pubblico dipendente, eventualmente leso, non potrà che vantare una posizione di interesse legittimo, (…); mentre i secondi, …., hanno pur tuttavia come oggetto immediato il rapporto di pubblico impiego, nell’ambito del quale l’Amministrazione -…- assume il ruolo di vero e proprio datore di lavoro, con l’effetto di dover considerare come diritto soggettivo le posizioni giuridiche soggettive nascenti dal rapporto di dipendenza,…” (2); secondo la regolare ripartizione del potere giurisdizionale, data questa premessa, la presunta lesione di un interesse legittimo va tutelata dinnanzi al giudice amministrativo, se invece la posizione lesa è qualificabile come diritto soggettivo, la competenza è del giudice ordinario. Dati questi presupposti, per un certo periodo, buona parte della giurisprudenza ha ritenuto che la materia della mobilità attenesse ad un evento modificativo di un rapporto di lavoro già instaurato, una sorta di “modificazione soggettiva del rapporto di lavoro nell’ambito dello stesso profilo professionale” (3) che, non essendo fonte di un nuovo rapporto di lavoro, non potesse essere paragonato ad una procedura selettiva concorsuale, così da escludere la giurisdizione amministrativa. Altra argomentazione forte riguardava il fatto che la mobilità è oggetto di contrattazione nazionale collettiva, come tale sottratta al potere autoritativo amministrativo; è una facoltà riservata ai dipendenti già in ruolo al fine di consentire un passaggio di cattedra o di ruolo, ma sempre restando nella stessa area professionale e (2) Testualmente TAR Lazio – Roma 2 aprile 2013, n. 3293, in Foro amm. TAR 2013, 4, 1214, in cui vi è il rinvio anche a TAR Campania 13 dicembre 2004, n. 18916. Di questo orientamento anche Cons. Stato, 16 settembre 2016, n. 3899, in cui testualmente si afferma: “Quando si censurano come nel caso in esame atti con cui la P.A. definisce le linee fondamentali di organizzazione degli uffici determinando le dotazioni organiche degli stessi, la giurisdizione non può che essere del giudice amministrativo”. (3) Il rinvio fatto dalla pronuncia di cui alla nota 2 è a TAR Calabria - Reggio Calabria 11 gennaio 2012, n.16
funzionale (4); in tal senso la procedura di mobilità mostra una natura privatistica che presuppone la presenza in capo agli attori di un diritto soggettivo, la cui tutela è affidata al giudice ordinario. In tal senso pur non potendosi escludere a priori, nel contesto di un rapporto di lavoro privatizzato con datore di lavoro la Pubblica Amministrazione, un ambito “residuale” di interessi legittimi del lavoratore tutelabili dinanzi al giudice amministrativo, non è possibile rinvenire nel “mero carattere generale” degli atti amministrativi di macro organizzazione, rispetto al carattere individuale degli atti di gestione del rapporto di lavoro (5), l’elemento distintivo e dirimente la questione della giurisdizione (6). La sfumatura ha naturalmente taluni, e non banali riflessi, dal momento che, sempre nell’ambito del lavoro pubblico privatizzato, le Sezioni Unite (7) hanno, in contrasto ad una presa di posizione del Consiglio di Stato, dichiarato la giurisdizione amministrativa in un procedimento in cui “pur chiedendosi la rimozione del provvedimento di conferimento di un incarico dirigenziale, previa disapplicazione degli atti presupposti, la contestazione investa direttamente il corretto esercizio del potere amministrativo mediante la deduzione della non conformità a legge degli atti di macro organizzazione attraverso cui le amministrazioni pubbliche definiscono le linee fondamentali di organizzazione degli uffici e dei modi di conferimento della titolarità degli stessi, sicché non può operare, in tal caso, il potere di disapplicazione del giudice ordinario…”. La competenza del giudice amministrativo ha prevalso anche nella valutazione delle procedure gestite attraverso un “algoritmo che gestisce il software relativo ai trasferimenti interprovinciali del personale docente” che
(4) Cfr. Cass., SS.UU. 15 ottobre 2003, n. 15403. V. inoltre TAR Campania – Napoli 4 luglio 2013, n. 3461, tutte in <http://www.iusexplorer. it> con nota giurisprudenziale di precedenti, in cui: “Nella materia della mobilità interna ed esterna dei lavoratori pubblici nell’ambito della medesima posizione funzionale, diretta ovvero mediata da una procedura selettiva, attuata ai sensi dell’art.30, d. lg. N. 165 del 2001, e anche con precipuo riguardo ai trasferimenti del personale docente, sussiste la giurisdizione del giudice ordinario, trattandosi di mere modificazioni soggettive concretanti atti di gestione di rapporti di lavoro mediante cessione con continuità di contenuto dei relativi contratti tra le Amministrazioni di provenienza e quelle di destinazione, e non di costituzione di nuovi rapporti di lavoro mediante concorso, in relazione alla quale emerge la giurisdizione residuale del giudice amministrativo, ex art. 63 comma 4, d. lg. N. 165 del 2001”. (5) Il riferimento esplicito contenuto nella pronuncia del TAR Lazio – Roma 2 aprile 2013, n. 3293, cit. (6) Segue gli stessi principi ispiratori pur riguardando una vicenda diversa dalla mobilità dei docenti Cass. SS.UU. 31 maggio 2016, n. 11387, in <http://www.iusexplorer.it>. (7) Cfr. Cass. SS.UU. 27 febbraio 2017, n. 4881, in Foro Amm. 2017, 1224 ss.
DIRITTO DI INTERNET N. 1/2020
179
GIURISPRUDENZA AMMINISTRATIVA risulta essere il punto finale di convergenza di tutti gli atti endoprocedimentali di acquisizione dei dati necessari per l’istruttoria (8), acquisendo così la natura di atto amministrativo. La questione non ha però ancora avuto una risposta univoca e definitiva: lo stesso Consiglio di Stato (9), in materia di mobilità del personale docente, talvolta declina la propria competenza ritenendo, in base al criterio del petitum sostanziale, che nelle procedure concernenti la mobilità si realizzino atti di gestione dei rapporti di lavoro che vedono la PA in veste di datore di lavoro, determinando così influssi su diritti soggettivi dei lavoratori, escludendo la giurisdizione amministrativa, in aperto contrasto con prese di posizione quasi contestuali (10) in cui considerano “oggetto della domanda (è) la richiesta di annullamento dell’atto amministrativo generale o normativo, e, solo quale effetto della rimozione di tale atto – di per sé preclusivo del soddisfacimento della pretesa del docente a un determinato trasferimento, al mantenimento della sede o all’inserimento in una determinata graduatoria – l’accertamento della correlativa pretesa del ricorrente” così da considerare ineludibile la giurisdizione del giudice amministrativo; il tutto con il tendenziale orientamento delle Sezioni Unite della Cassazione civile (11) a ritenere la competenza del giudice amministrativo. La questione resta aperta in attesa di una ferma e chiara presa di posizione della giurisprudenza.
2. Gli algoritmi nella legislazione, in dottrina e in giurisprudenza
La questione giurisdizionale serve, al di là dell’incertezza nella quale ancora si trova la giurisprudenza, per introdurre una riflessione circa la diffusione dell’uso dell’ IA e la responsabilità civile del danno cagionato ad un soggetto in conseguenza del risultato “iniquo” derivante dall’applicazione dell’algoritmo nelle procedure amministrative. La questione è certamente difficile e spinoso il dibattito che da essa ne deriva, tanto che non si ha la pretesa di trovare una soluzione in un intervento breve quale il presente, bensì soltanto l’idea di sviluppare delle rifles (8) Cfr. TAR Lazio – Roma, 21 marzo 2017, n. 3742, in Foro Amm. 2017, 741 ss. (9) V. Cons. Stato 8 maggio 2017, n. 2107, relativo al problema della mobilità del personale docente, conferma pronuncia del TAR 12399/2016, e esclude la giurisdizione del giudice amministrativo per assenza di un qualsivoglia interesse legittimo. Nello stesso senso successivamente TAR Lazio – Roma 3 luglio 2017, n. 7544, in <http://www. iusexplorer.it>. (10) Cfr. Cons. Stato 2 ottobre 2017, n. 4564, in riforma di TAR Lazio – Roma 2512/2017, in <http://www.iusexplorer.it>. (11) Cass. SS.UU. 4881/17, cit.
180
DIRITTO DI INTERNET N. 1/2020
sioni che possano avvicinare il mondo civilistico a quello amministrativo secondo una visione della soluzione dei conflitti sempre più multidisciplinare. La diffusione degli atti amministrativi ad elaborazione elettronica o informatici o automatici (12) risulta oggi un’eredità acquisita in termini di legislazione, non solo nazionale, ma anche europea: il riferimento è al Regolamento UE 2016/679 che risulta “un intervento normativo che, nel mutato contesto tecnologico, pone attenzione agli algoritmi e ai processi decisionali automatizzati, problematizzandosi, in modo più ampio, circa i potenziali rischi per i diritti e le libertà fondamentali della persona” (13). Secondo tale normativa (artt. 13 e 14) da un lato il titolare del trattamento deve dare notizia all’interessato del fatto che il procedimento è interamente automatizzato, oltre a fornire “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”; dall’altro (art. 15) un ampio diritto di accesso viene riconosciuto all’interessato sul trattamento anche avviato e/o terminato. Al diritto di avere informazioni “significative” ex ante su come verrà impostato il procedimento decisorio amministrativo, si aggiunge un diritto del soggetto a non essere sottoposto a decisioni interamente automatizzate (art. 22, §1), con un’espressione da intendersi in senso ampio, comprensiva dell’ipotesi di un intervento umano che appaia del tutto irrilevante, in modo da precludere al titolare del procedimento di aggirare la normativa (14). Questo tipo di normativa ha sollevato un ampio dibattito in dottrina circa l’esistenza di un “right to explanation”, un diritto a conoscere ex post le ragioni concrete e le logiche che hanno portato una certa decisione con lo sviluppo di due orientamenti contrastanti; da (12) Recentemente v. Otranto, Decisione amministrativa e digitalizzazione della P.A., in <http://www.federalismi> 17 gennaio 2018, 15, in cui le espressioni di cui al testo appaiono sinonimi; interessante Masucci, Atto amministrativo informatico, in Enc. dir. Milano, 1997, Aggiorn. Vol. I, 221, §1. (13) Così Moretti, Algoritmi e diritti fondamentali della persona. Il contributo del Regolamento (UE) 2016/679, in Dir. inf. e inform., 2018, 799 s. (14) Si pone il problema Mantelero, I Big Data nel quadro della disciplina europea della tutela dei dati personali, in Corr. giuridico, 2018, 52. Interessante la riflessione sul punto di Moretti, op. cit., 782, sul significato da attribuire al “diritto di non essere sottoposto” a processi decisionali interamente automatizzati: “Da un lato, potrebbe essere intesa quale proibizione rivolta al titolare del trattamento, risultando automaticamente applicabile salvo il verificarsi di precise ipotesi derogatorie previste dal legislatore. Dall’altro lato, potrebbe essere interpretata quale diritto di opposizione dell’interessato, trovando applicabilità solo al di fuori delle ipotesi derogatorie previste dal legislatore e richiedendo, inoltre, un atto formale di opposizione da parte dell’individuo”; sul punto si v. anche Pellecchia, Profilazione e decisioni automatizzate al tempo della black box society: qualità dei dati e leggibilità dell’algoritmo nella cornice della responsible research and innovation, in Nuove leg. civ. comm., 2018, 1209 s.
GIURISPRUDENZA AMMINISTRATIVA un lato coloro i quali ritengono non sia riconosciuto, né esplicitamente dalla legge né con incontrastabili argomentazioni dottrinali, il diritto a conoscere i criteri utilizzati per impostare l’algoritmo senza svelarne gli elementi che tutelano con il segreto il modello matematico applicato, con la conseguente mancanza di chiarezza e trasparenza sugli output del risultato decisorio; dall’altro la proposta di una lettura simmetrica degli artt. 14 e 15, nel combinato disposto con il “considerando 71”, che implicherebbe quale obiettivo la trasparenza, raggiungibile soltanto con la spiegazione e comprensione delle logiche che hanno determinato la decisione (15). Parte della dottrina ha messo in dubbio che la trasparenza, intesa come lo strumento che si opponga all’opacità intenzionale tecnica o generata dai meccanismi spesso inconoscibili di autoapprendimento, possa essere la risposta giusta e utile: “…testare il codice dopo che è stato scritto, anche se estensivamente, non può fornire una vera garanzia di come funziona il sistema, perché qualsiasi analisi di un programma già esistente è intrinsecamente e fondamentalmente incompleta” (16). L’impostazione della normativa europea rivela la consapevolezza della “illusoria neutralità degli algoritmi”, sensazione condivisa evidentemente dalla giurisprudenza in epigrafe, che conduce ad una riflessione circa quali procedure possano essere facilmente informatizzate non tanto sotto il profilo tecnico e tecnologico, visto che la scienza informatica è sempre più raffinata e tende ad avere sempre minori limiti, ma sotto il profilo dei risultati prodotti da tali procedimenti, cioè gli atti amministrativi frutto di procedure amministrative. In altri termini, non pare certo un problema quello di ottenere degli atti amministrativi attraverso un computer, in cui si sono inseriti degli input ed un programma o degli algoritmi, ma è necessario stabilire i casi in cui la prevista valutazione discrezionale della P.A., ammissibile, lecita e talvolta auspicabile per il raggiungimento di risultati equi (17), rappresenti un disincentivo, se non addirittu (15) La questione è affrontata da Moretti, op. cit., 803-804, con riferimenti bibliografici su entrambe gli orientamenti; si veda anche Messinetti, La tutela della persona umana versus l’intelligenza artificiale. Potere decisionale dell’apparato tecnologico e diritto alla spiegazione della decisione automatizzata, in Contr. Impr., 2019, 867 s., nello specifico 876-878, la quale, dopo la precisa ricostruzione delle argomentazioni dottrinali poste a fondamento dell’inesistenza di un diritto alla spiegazione ex post nella normativa GDPR, avanza una ricostruzione opposta secondo cui la trasparenza sarebbe garantita attraverso la postulazione di una lettura simmetrica degli artt. 14 e 15 della normativa. Per l’approfondimento del concetto di trasparenza v. Ponti, La mediazione informativa nel regime giuridico della trasparenza: spunti ricostruttivi, in Dir. inf. e inform. 2019, 383 s. (16) Cfr. Pellecchia, op. cit., in particolare 1219. (17) Interessante e approfondita l’analisi di Viola, L’intelligenza artificiale nel procedimento e nel processo amministrativo: lo stato dell’arte, in Foro amm., 2018, 1598 s.; si pone il problema anche Mantelero, AI e Big Data:
ra un impedimento, all’utilizzo degli ausili di IA, quali sostituti dell’attività umana. Infatti se per i cd. atti vincolati, per i quali la discrezionalità amministrativa è assai limitata o assente (18), prevedere un ragionamento automatico, predefinito rispetto ad uno schema sistemico, può consentire un incremento di efficienza e rapidità nell’espletamento della procedura, contribuendo alla percezione di esse come valori decisamente apprezzati dall’utenza, diverso è tentare di estendere questo modus operandi ai settori dove non basta applicare rigide norme per ottenere un risultato soddisfacente, ma necessita un’operazione interpretativa, tendenzialmente preclusa ad una macchina, e tipica dell’operare umano. Insomma dove necessitano etica, morale e sensibilità oltre a rigore, uniformità e automatizzazione (19). “Il giudizio umano è l’unico che può valutare quel singolo fatto per dargli valore” (20) e non può essere sostituito (21). Secondo parte della dottrina (22) il problema della discrezionalità amministrativa risulta essere influenzato dalla concezione che si vuole prendere in considerazione della stessa: potrebbe trattarsi di un falso problema se riferito all’Intelligenza Artificiale, poiché “si tratta puramente e semplicemente di volontà politica (o politico-amministrativa come spesso si usa dire per ammorbidire il concetto)” e come tale non può essere informatizzata né automatizzata, poiché ogni passaggio rimane umano e volontario; se invece si prendesse in esame la discrezionalità amministrativa come espressione del potere amministrativo, allora si confermerebbe la facilità con la quale si potrebbe intervenire con un algoritmo soltanto in atti cd. vincolati; se da ultimo la discrezionalità amministrativa fosse strettamente legata alla sua “natura conoscitiva o volitiva”, allora sarebbe la un progetto per una valutazione dei diritti umani, dell’impatto sociale ed etico, in Computer Law & Security Review, 2018, 754 s. (18) Di recente per un’indagine sulla natura dell’atto vincolato, con ampi riferimenti bibliografici, v. Follieri, Decisione amministrativa e atto vincolato, in <http://www.federalismi.it>, 2017, 5 aprile 2017,7. (19) Su questi concetti v. Otranto, Decisione amministrativa e digitalizzazione della p.a., in <http://www.federalismi.it>; v. anche Bifulco, Intelligenza artificiale, regole e diritti: alla riscoperta di Von Hayek, in <http://www. Agendadigitale.eu/cultura-digitale>; Breggia, Prevedibilità, predittività e umanità nella soluzione dei conflitti, in Riv. trim. dir. proc. civ., 2019, 395 s. (20) Breggia, op. cit., 396. (21) Di diverso avviso per la convinzione che si possa inserire nella programmazione una sorta di “coscienza dell’algoritmo” con la possibilità di esercitare un “controllo etico dell’algoritmo” v. Crisci, Intelligenza artificiale ed etica dell’algoritmo, in Foro amm., 2018, 1787 s.; vedi anche Crisci, Evoluzione tecnologica e trasparenza nei procedimenti “algoritmici”, in questa Rivista, 2019, 380 s. (22) Cfr. Picozza, Politica, diritto amministrativo and Artificial Intelligence, in Giur. it., 2019, 1761 ss., in particolare 1767.
DIRITTO DI INTERNET N. 1/2020
181
GIURISPRUDENZA AMMINISTRATIVA prevalenza della prima a concedere un apporto positivo e possibile della Intelligenza Artificiale ai procedimenti amministrativi, mentre la convinzione di una discrezionalità volitiva ne impedirebbe l’utilizzo ove appunto all’aspetto conoscitivo, tipico della disponibilità ed elaborazione di big data, si intenda aggiungere l’attività interpretativa e modulare degli stessi, tipica dell’operare umano. La giurisprudenza sul tema ha elaborato posizioni differenziate. Da un lato l’applicazione di un meccanismo “matematico del tutto impersonale e orfano di capacità valutazionali delle singole fattispecie” è stato ritenuto contra legem (L. 241/90) in quanto non riuscirebbe ad assicurare quelle garanzie di partecipazione, trasparenza, accesso e conoscenza della motivazione della decisione amministrativa. Non poter conoscere e comprendere la logica della decisione significa non poter neppure impostare una difesa laddove si ritenga iniquo il risultato della stessa che influisce pesantemente sulla singola esistenza. La collaborazione e interazione che si stabilisce fra privato e PA allorquando sia un funzionario, serio e onesto, ad occuparsi di un procedimento, restano indiscutibilmente precluse ad un algoritmo, cui “va dunque riservato a tutt’oggi un ruolo strumentale e meramente ausiliario in seno al procedimento amministrativo e giammai dominante o surrogatorio dell’attività dell’uomo” (23). Il Consiglio di Stato (24) ha ragionato diversamente poiché ha apprezzato lo strumento algoritmico informatizzato, ritenendolo “fondamentale per migliorare la qualità dei servizi resi ai cittadini” e auspicandone una sempre maggior diffusione; esso garantisce vantaggi nella gestione dell’interesse pubblico “con riferimento a procedure seriali o standardizzate implicanti l’elaborazione di ingenti quantità di istanze e caratterizzate dall’acquisizione di dati certi ed oggettivamente comprovabili e dall’assenza di ogni apprezzamento discrezionale”. In questo senso viene confermato in giurisprudenza quanto già autorevole dottrina aveva considerato: l’algoritmo vale e risulta applicabile laddove la discrezionalità amministrativa è assente; gli atti cd. vincolati risultano così resi con modalità più efficienti in termini di tempi più rapidi e a costi ridotti. Tali vantaggi non possono però essere raggiunti senza la trasparenza del procedimento che porta alla decisione, così che la “conoscibilità” e la “conoscenza” del linguaggio dell’algoritmo devono essere garantite. In tal senso sarà il giudice a svolgere “per la prima volta sul piano umano valutazioni ed accertamenti fatti direttamente (23) TAR Lazio 13 settembre 2019, n. 10964, cit. (24) Cons. Stato 8 aprile 2019, n. 2270, in Guida dir., 2019, 19, 16.
182
DIRITTO DI INTERNET N. 1/2020
in via automatica con la conseguenza che la decisione robotizzata impone al giudice di valutare la correttezza del processo automatizzato in tutte le sue componenti”. È in questo finale che a noi come giuristi pare un poco azzardato il pensiero del Consiglio di Stato: oggi il linguaggio informatico appare ancora troppo lontano dal linguaggio giuridico, due idiomi completamente diversi e di una tale complessità da non poter essere tradotti in modalità reciprocamente comprensibili, anche se esperti. Né pare a noi che quel grado di “conoscibilità” e “conoscenza” richiesti per avere la consapevolezza necessaria a tradursi in decisione, possa essere acquisito attraverso una CTU. L’analisi del linguaggio dei programmatori non riesce a raggiungere quella semplicità dello strumento che consentirebbe una rapida e piena comprensione da parte del giurista, in grado poi di tradurla in regola, in legge uguale per tutti, anche se questo obiettivo è auspicabile. Un problema ulteriore che la dottrina più autorevole si è posta (25), riguarda le macchine self learning, quelle macchine governate da algoritmi che mostrano “l’attitudine della macchina ad apprendere, e quindi quella dell’autoperfezionamento e alla riproduzione allargata autoevolutiva”, una sorta di capacità di allenarsi e acquisire esperienza per regolare nuove situazioni. Non si può affermare che il formarsi del ragionamento della macchina segua automaticamente e indubitabilmente le stesse logiche dello svilupparsi del pensiero umano, che peraltro è potenzialmente variabile da soggetto a soggetto. Risulta allora evidente come tali mezzi, in continua evoluzione e competizione con l’umano, nel senso di volerne acquisire le caratteristiche e migliorarne le prestazioni, generino inquietudini in alcuni studiosi circa i risultati cui si può, o nel breve futuro si potrà, approdare (26).
3. Il danno da algoritmo nella procedura amministrativa
La rapida evoluzione della IA, con le sue costanti caratteristiche unite alle innovazioni impartite grazie a nuova e sofisticata tecnologia elaborata dall’umano e applicata alla macchina, influisce sul concetto di responsabilità civile per danni cagionati a terzi.
(25) Cfr. Ruffolo, Intelligenza artificiale, machine learning e responsabilità da algoritmo, in Giur. it., 2019, 1690 ss., in cui in nota 1 e 2 ampia bibliografia sul tema dell’IA, sia sotto il profilo dell’evoluzione self-learning, soprattutto nelle sue evoluzioni del deep learning e delle reti neurali, ma anche sotto il profilo della legal machinery interpretativa. (26) V. Costanza, L’intelligenza Artificiale e gli stilemi della responsabilità civile, in Giur. It., 2019, 1686 ss.; riguardo all’etica nella robotica v. Scalzini, Alcune questioni a proposito di algoritmi, dati, etica e ricerca, in Riv. it. med. leg., 2019, 169 ss..
GIURISPRUDENZA AMMINISTRATIVA Dal momento che l’inserimento dell’algoritmo nella sequenza della procedura amministrativa è considerato, da autorevole dottrina, rilevante in quanto all’interno di una “concatenazione di atti” e non come un semplice prodotto della macchina (27), questo atteggiamento produce riflessi anche in tema di responsabilità, poiché in tal senso si ritiene che la scelta di introdurre la procedura informatica, che determina l’atto informatico, ricade sul soggetto che ha esercitato il potere di autoorganizzazione spettante al proprio ruolo nella gerarchia amministrativa e come tale egli appare il responsabile dell’evento dannoso prodotto dall’algoritmo (28) secondo un’evidente finzione legale. In sostanza l’utilizzatore, che certamente né ha ideato né ha inserito nel computer l’algoritmo, ma lo ha soltanto applicato con l’uso della macchina, viene ritenuto responsabile dei danni cagionati dall’agente informatico utilizzato. Tale prospettazione pare a noi non risolutiva né del problema dell’imputazione (29), né di quello collegato della responsabilità del danno da algoritmo. Innanzitutto le poche certezze acquisite circa la questione giurisdizionale si riflettono, in primis, sulla qualificazione della responsabilità: “contrattuale” nel caso in cui prevalga l’interpretazione che vede il tema della mobilità dei docenti e l’atto amministrativo di riferimento, nel quale si esplica l’attività dell’algoritmo, come atto di gestione di un già esistente rapporto giuridico di lavoro pubblico privatizzato e come tale un diritto del lavoratore leso dalla P.A. quale proprio datore di lavoro; “extracontrattuale” nel caso in cui ci si trovi dinnanzi ad un atto di macroorganizzazione, in cui per l’interessato esista soltanto un interesse legittimo a che la procedura si svolga correttamente, in tal caso la P.A. opera autonomamente e si tratterebbe di un’applicazione dell’art. 2043 c.c., che si deve ritenere assai complessa. Pur nella marginalità dell’ipotesi del carattere “contrattuale” della responsabilità, visto l’orientamento prevalente della giurisprudenza, alla luce della pronuncia del TAR ispiratore del presente scritto e ancor più del rifiuto di giurisdizione operato dalla Cassazione a Sezioni Unite, essa merita una breve riflessione. Laddove si trattasse di responsabilità di tipo contrattuale, la PA che, nello svolgimento del rapporto di lavoro, mettesse in campo comportamenti dalle logiche oscure, (27) Si veda Viola, ult. op. cit., 1600 ss. con ulteriori riferimenti bibliografici. (28) Cfr. Masucci, L’atto amministrativo informatico. Primi lineamenti di una ricostruzione, Napoli, 1993, 86 ss., in cui l’A. ritiene applicabile l’antico brocardo “causa causae est causa causati” e afferma che: “l’attribuzione di suità si fonda su un atto di volontà dell’autorità che ha programmato o fatto programmare il proprio computer in maniera tale da consentire la formazione di determinati atti e delle volontà in essa dichiarate”. (29) In questo senso Viola, op. cit., 1604.
privi di motivazione facilmente comprensibili perché legate ad algoritmi, limiterebbe ingiustamente la difesa del lavoratore che non riuscirebbe ad impugnare il provvedimento ritenuto illegittimo e lesivo di propri diritti e libertà e risulterebbe perciò obbligata a risarcire il danno subito dal lavoratore allorquando ne fosse provata l’esistenza. L’obbligo di motivazione garantisce la necessaria comprensione del provvedimento amministrativo e rende una decisione avversa accettabile se spiegata, oltre ad accogliere e collegarsi a logiche che riflettono un sistema giusto, equo e solidale. Nell’ipotesi più probabile che si tratti di una responsabilità di tipo extracontrattuale, già i criteri di imputazione richiesti dalla norma (art. 2043), colpa e dolo, rendono assai complicato il quadro di riferimento, poiché sono numerosi i soggetti coinvolti nell’ambito di una procedura amministrativa informatica: dai tecnici-programmatori del software, ai titolari di banche dati che forniscono le informazioni necessarie, ai diversi funzionari che possono avere un ruolo nell’ambito della procedura, senza nascondersi le ipotesi di un errore imputabile alla macchina (30). A rendere più complesso il quadro vi è anche la considerazione che l’algoritmo, elemento della categoria più ampia dell’Intelligenza Artificiale, non è certo, almeno per il momento, in grado di diventare un centro decisionale “autonomo” (31), di tal ché anche il suo utilizzo deve avere rilievo in un contesto in cui il funzionario pubblico, nella concatenazione di azioni che non dipendono interamente da lui, tende a rigettare qualsiasi responsabilità. Un ulteriore passaggio, al fine di valorizzare i modelli di responsabilità civile esistenti, pone l’alternativa se ritenere la macchina responsabile, dovendo in tal caso ritenere l’organo automatizzato avente lo status di “per (30) Cfr. D’Angelosante, La consistenza del modello dell’amministrazione «invisibile» nell’età della tecnificazione dalla formazione delle decisioni alla responsabilità per le decisioni, in Civitarese - Matteucci e Torchia, La tecnificazione, 2016, 169 ss. (31) Interessante Picozza, Politica, diritto amministrativo and Artificial Intelligence, in Giur. it. 2019, 1761 s., in particolare 1763, in cui l’A. ritiene che il sostantivo Intelligenza sia di difficile decifrazione e abbia conseguenze giuridiche importanti, poiché se da un lato il termine Intelligenza faccia riferimento ad un’ “abilità logico-matematica”, “Non vi è dubbio che attraverso lo sviluppo dei sensori tattili, il riconoscimento vocale, la visione artificiale ed altre applicazioni, sarà possibile ipotizzare un artefatto munito anche di altre forme di succedanei della intelligenza umana: ma tutto ciò oltre ad essere prematuro riveste almeno per il momento scarsa attenzione per il mondo giuridico che è abituato ad essere governato da leggi essenzialmente logiche”. Di questa opinione anche Costanza, op. cit., 1687, in cui se taluni percorsi cognitivi della intelligenza umana non sono ancora noti, risulta “inattuale una loro trasposizione nell’IA, la quale parrebbe poter sapere solo ciò che gli è permesso di sapere attraverso la traduzione di sistemi di elaborazione nati nel suo linguaggio recettivo”.
DIRITTO DI INTERNET N. 1/2020
183
GIURISPRUDENZA AMMINISTRATIVA sona” ai fini della responsabilità civile, ovvero addossare al funzionario, dal quale dipende l’unità organizzativa, la responsabilità secondo lo schema della responsabilità oggettiva (32). La prima opzione potrebbe comportare la suggestione di una “responsabilità diretta dell’automa” in forza del cd. rapporto di immedesimazione organica; alla complessità di dover considerare l’IA capace di compiere scelte a prescindere dal suo creatore perché allenata per la acquisizione di nuove esperienze (33), spingendo su un inesistente processo di antropomorfizzazione della macchina, si aggiungerebbe la questione, non secondaria, del patrimonio da aggredire ai fini del risarcimento del danno, che sarebbe quello della collettività alimentato dalla fiscalità generale, con il rischio di creare ulteriori disequilibri nel bilancio statale. Per contro non si può negare fondamento alle riflessioni di chi considera l’Intelligenza Artificiale cd. self-learning, cioè quell’algoritmo o formula logico-matematica, che consente alla macchina di evolversi rispetto alle situazioni cui viene posta di fronte: “Sotto questo profilo l’algoritmo, nell’attribuire a tale prodotto la capacità di automodificarsi con l’esperienza, gli conferisce un soffio di vita pulsante, una sorta di anima, forgiandone o alterandone la mentalité ed il ruolo (con)causale nei suoi atti e comportamenti futuri” (34). Dal momento però che l’algoritmo non è persona, non è centro d’imputazione di interessi, non ha patrimonio separato, si pone un’alternativa: la responsabilità nei confronti dei terzi di un danno prodotto dall’algoritmo, va imputata all’ideatore di quel “bene immateriale”, che esiste in via autonoma rispetto al software che gli dà una “casa” dove stare, ovvero bisognerà responsabilizzare l’utilizzatore finale dell’algoritmo, chi lo allena e impiega nel concreto? La dottrina più attenta alla questione stabilisce un intreccio imprescindibile per la soluzione del citato dilemma con lo scioglimento e la presa di posizione circa la necessità di nuove norme o la possibilità dell’esistente corpo normativo, adeguatamente interpretato, di risolvere le questioni poste dall’algoritmo. I sistemi codicistici di stampo romanistico hanno dimostrato di essere capaci di stare al passo con le rivoluzioni sociali, economiche e industriali che si sono succedute nei territori in cui erano in vigore, così che non pare necessaria una nuova lex robotica, ma un’adeguata attività
(32) Vedi Picozza, op. cit., 1765 con ampia bibliografia nelle note 39 e 40. (33) Riferisce Costanza, op. cit., 1687, di tale bizzarra soluzione proposta da Santosuosso, Diritto, scienza, nuove tecnologie, Milano, 2011, 248, che parla di “responsabilità per difetto di sorveglianza”. (34) Testualmente Ruffolo, op. cit., 1692.
184
DIRITTO DI INTERNET N. 1/2020
di mediazione e interpretazione giuridica della disciplina esistente. Quella applicabile cui fare riferimento, risulta essere cumulativamente quella della responsabilità da prodotto difettoso e quella delle regole di responsabilità aquiliana, dal modello più generale ex art. 2043 c.c. a quello da attività pericolosa ex art. 2050 c.c. (35) e da cosa in custodia ex art. 2051 c.c.. In altri termini condividiamo l’orientamento dottrinale che esclude la necessità di normare con regole speciali il nuovo mondo dell’IA; riteniamo infatti che non solo la tempistica italiana nel legiferare si rivelerebbe così lunga da esporre il Paese al rischio di giungere ad un risultato concreto e definitivo in un ritardo tale da mostrare tutta la sua inefficienza e inefficacia in un settore in costante e rapidissima evoluzione, ma anche perché da sempre il mondo del diritto vive di interpretazioni, anche giurisprudenziali, che hanno come compito primario quello di omologare l’applicazione di norme astratte e plurali ai casi specifici che la realtà propone, in modo da garantire che situazioni analoghe siano disciplinate analogamente e che la medesima logica indirizzatrice dei giudizi venga applicata e replicata al fine di non generare ingiustizie. Se allora la responsabilità va incardinata in uno o più modelli già presenti nel nostro ordinamento, la dottrina ha immaginato collegamenti stretti con la responsabilità da prodotto difettoso, con l’art. 2050 c.c. sulla responsabilità da esercizio di attività pericolosa, con l’art. 2051 – 2052 c.c. sulla responsabilità da cosa in custodia (inanimata) o da animale, con l’art. 2049 c.c. sulla responsabilità dell’imprenditore. La soluzione maggiormente condivisibile pare a noi quella che esula dall’inquadramento in un singolo modello, ma incardina la responsabilità da algoritmo in una responsabilità da prodotto difettoso in combinato disposto con la responsabilità da attività pericolosa, in cui l’abbassamento dell’asticella giurisprudenziale della “pericolosità” (36) e il contestuale superamento dell’esclusione del rischio da sviluppo (limite alla risarcibilità del danno da prodotto difettoso), e con la responsabilità da cosa in custodia (2051 c.c.) idonea a individuare
(35) Interessante l’ampio ragionamento di Ruffolo, op. cit., 1694-1695, in cui l’A. afferma, con cognizione di causa, la cumulabilità delle discipline di cui al testo, che certo si fondano su elementi diversi, da un lato la difettosità del prodotto e dall’altro la pericolosità dello stesso, ma tali per cui l’una non escluda l’altra. (36) È sempre Ruffolo, op. cit., 1697. In dissenso anche su questo punto Costanza, op. cit., 1688: “All’intelligenza artificiale come emblema della tecnica e perciò come ente ritenuto più affidabile dell’uomo non si addice allora l’attributo di pericolosa. (….). La intelligenza artificiale come mezzo correttivo o integrativo delle umane carenze non tollererebbe alcun attributo che la qualifichi come rischiosa; anzi, la intelligenza artificiale sarebbe un ente non pericoloso perché capace di evitare gli inconvenienti che senza il suo intervento possono generarsi con lo svolgimento di certe attività”.
GIURISPRUDENZA AMMINISTRATIVA il responsabile in chi “addestra” un’entità artificiale intelligente e la allena a rispondere alle diverse realtà ed esperienze che ne determinano un cambio di mentalità (poiché se trascendono in applicazioni che determinano effetti negativi significa che non sono stati posti i giusti blocchi necessari a “bloccare” le attività degenerative dell’algoritmo) (37), rendono sufficiente il sistema di regole attualmente in vigore nel nostro Paese (38). In questo senso all’alternativa fra responsabilità dell’ideatore/creatore dell’algoritmo o del suo utilizzatore, si risponde in modo salomonico, senza una netta scelta di campo, poiché, se da un lato la responsabilità dell’ideatore dell’algoritmo può ricalcare la falsariga della responsabilità ascrivibile al produttore, che ha creato un prodotto difettoso che ha cagionato danni a terzi, dall’altro lato i modelli di responsabilità da cosa (inanimata) in custodia ( escluderei la responsabilità da cosa animata almeno per lo sviluppo attuale dell’IA) con la sola prova liberatoria del caso fortuito e/o da svolgimento di attività pericolosa, più aperta alla tecnologia e quindi con una prova liberatoria più ampia e multiforme (l’aver adottato tutte le misure idonee ad evitare il danno conosciute al momento del verificarsi dell’evento dannoso), riportano comunque ad un modello di responsabilità oggettiva, privo di colpa, in capo all’utilizzatore, chi cioè si avvale dell’utilizzo e del vantaggio apportato dall’applicazione dell’algoritmo. Sicché nel sistema individuato, nel caso dell’accertamento della responsabilità civile per danno cagionato ai docenti per l’alterazione iniqua della procedura di mobilità e la valutazione del danno risarcibile, si dovrebbe fare un bilanciamento di responsabilità in termini di concorso fra la PA, utilizzatrice dell’algoritmo, che ne trae i vantaggi di tempestività e riduzione dei costi di gestione della procedura, e la società ideatrice del software contenente l’algoritmo in questione, che ne ha ricavato il vantaggio economico svolgendo il lavoro richiesto della committenza, ricalcando per la PA un modello di responsabilità da cosa in custodia e/o svolgimento di attività con mezzi che la rendono pericolosa, per i programmatori/ideatori dell’algoritmo un modello di responsabilità da prodotto difettoso.
Determinante nell’accertamento della responsabilità in concorso sarà certamente anche la considerazione dell’approccio etico allo sviluppo dei sistemi di IA da parte dei programmatori, che potrebbe alleggerire la loro posizione. Pertanto risulta apprezzabile la proposta “di fornire protocolli e linee guida circa la grandezza e la rappresentatività dei database utilizzati per allenare e validare la macchina o nell’educazione all’etica nell’utilizzo e nella progettazione degli algoritmi così da richiamare un’attenzione particolare da parte del ricercatore o dello sviluppatore nella selezione dei dataset” (39). Il tempo della morale e dell’etica dell’IA è ancora lontano da raggiungere e l’uomo resta ad oggi insostituibile, pur nei suoi innegabili e oggettivi limiti.
(37) Contra a questa potenziale applicazione dell’art. 2051 c.c. è Costanza, op. cit., 1687, che ritiene la norma applicabile alle cose inanimate e quindi troppo semplice la logica codicistica sottostante rispetto all’IA. (38) Ruffolo, op. cit., 1700, in cui traccia un excursus sulla codificazione francese e italiana constatando “…una assorbente attenzione alla responsabilità da intelligenze naturali; e dunque la strutturale non estraneità alla disciplina della responsabilità per danni cagionati da intelligenze non naturali. E, pertanto, la possibilità di rinvenire interpretativamente nel medesimo corpo normativo (quello codicistico, integrato dalle norme di product liability) la capacità di regolare le responsabilità da A.I. ricorrendo ai criteri di imputazione della responsabilità per danni già presenti nel sistema”.
(39) Cfr. Scalzini, op. cit., 171 ss.
DIRITTO DI INTERNET N. 1/2020
185
PRASSI
Le guerre cibernetiche tra rischi e deterrenza di Gabriele Suffia Sommario: 1. Il contesto e le regole. – 2. La cyberwar come forma di guerra ibrida. – 3. Cyber-armi: economiche o costosissime? – 4. Difendersi dalle cyber-armi: il nodo centrale della cybersecurity. – 5. Il rischio dell’errore delle macchine e dell’errore umano. L’articolo si propone di fornire un’introduzione agli aspetti giuridici sottesi alle guerre cibernetiche, fissando innanzitutto alcune premesse terminologiche che chiariscono la portata della minaccia e la inquadrano all’interno della letteratura oggi esistente sulle cosiddette “minacce ibride”. Si analizzano l’ambigua definizione di cyber-armi, alla luce delle caratteristiche tecniche che esse presentano e in ragione della qualificazione possibile come “dual use goods”; l’imprevedibilità del loro utilizzo; la natura di codice informatico destinato ad una specifica vulnerabilità di un sistema. Si rende cruciale il richiamo alla cybersecurity come mezzo di difesa non solo della singola realtà economica, ma anche dell’interno sistema Paese. The aim of the article is to introduce the legal aspects underlying cyberwarfare, first of all by setting out some terminological premises that clarify the scope of the threat and frame it within the existing literature on so-called “hybrid threats”. The ambiguous definition of cyber-weapons is analysed, in the light of the technical characteristics that they present and because of the possible qualification as “dual use goods”; the unpredictability of their use; the nature of computer code destined to a specific vulnerability of a system. The reference to cybersecurity as a means of defence, not only of the single economic reality, but also of the internal country system, is crucial.
1. Il contesto e le regole
L’occasione per riflettere sulle regole con cui dovrebbe condursi una guerra cibernetica è data dal susseguirsi di eventi a cavallo della transizione di decennio, alla luce delle riflessioni portate avanti in modo apparentemente autonomo, ma coordinato, da parte delle forze militari e della comunità scientifica di tutti i Paesi, sia occidentali, sia orientali. In particolare, con la sparizione di qualsiasi separazione tra il mondo fisico e il mondo digitale, l’informatica è diventa sempre più centrale nello svilupparsi di qualsiasi processo, tanto in tempo di pace che in tempo di guerra. Questo contesto di transizione e di fusione pone nuove sfide per il diritto, chiamato a confrontarsi con una tradizione “forte” e un contesto sociopolitico-tecnologico nuovo e multiforme. L’occasione è altresì data dall’anniversario della scoperta, e della denuncia, della prima arma cibernetica a noi nota per essere stata efficacemente utilizzata, Stuxnet, all’interno dell’operazione Olympic Games del 2010 condotta contro l’Iran e le sue centrali nucleari. Un decennio dopo, la realtà dei fatti ci mostra come, ancora, nel confronto tra USA e Iran si addensino i timori per una guerra cibernetica che, teoricamente, potrebbe andare a colpire chiunque di noi. In ragione di ciò si sprecano gli appelli per un’implementazione effettiva della cybersecurity all’interno delle nostre aziende (1), delle nostre realtà pubbliche (2) e
persino all’interno della dimensione privata di ciascuno di noi, al fine di prevenire quella guerra cibernetica dai contorni ancora molto vaghi e indefiniti che ciclicamente torna ad essere menzionata nel discorso pubblico. Per esigenze di tempo e spazio, non si potrà dar conto del dibattito sui cyborg per uso militare (3), né compiutamente sull’utilizzo di svariate metodologie di guerra dell’informazione che vedono il diritto, e il diritto delle nuove tecnologie, direttamente coinvolto (4). Il timore che l’esito di un attacco cibernetico (e poi di una guerra) possa tuttavia, potenzialmente, colpire in modo indiscriminato, comporta necessariamente che il diritto si interroghi sui regimi di responsabilità che si configurano, sull’applicabilità delle proprie disposizioni, sia interne, sia internazionali, e in generale si interroghi sui mutati rapporti esistenti tra il diritto e la guerra tradizionalmente intesa, e il diritto e la guerra cibernetica del presente e del futuro. Il percorso è già stato tracciato nel corso degli ultimi anni e dalla cybersecurity conduce necessariamente alla cyberwar.
2. La cyberwar come forma di guerra ibrida
Fin da subito, occorre ricordare la fortunata formula espressa dal professor Thomas Rid, divenuta il titolo di uno dei suoi lavori più pregevoli, ovvero “cyber war will
(1) Si veda ISPI per le imprese, all’indirizzo <https://www.ispionline. it/it/ispi-per-le-imprese>. (2) Si vedano la dir. (UE) 2016/1148 (cd. Direttiva NIS), e il d.l. 21 settembre 2019 n. 105, sul perimetro di sicurezza cibernetica nazionale.
DIRITTO DI INTERNET N. 1/2020
187
PRASSI not take place” (5). La guerra cibernetica, probabilmente, non potrà mai aver luogo nelle forme e negli effetti che tutti associano ad una guerra del XX secolo. Se, tuttavia, una forma di cyberwar sarà possibile, questa assumerà piuttosto le forme della cosiddetta “guerra ibrida”. Nel lessico corrente sono ormai diventate familiari espressioni che rimandano alle “nuove forme” della guerra, ad una guerra che combina azioni convenzionali e non-convenzionali, militari e non-militari, palesi e occulte, e che quasi sempre, ormai, vede fronteggiarsi forze in campo asimmetriche. Queste modalità sono centrate nel cyberspazio (6), perché in esso trovano ampie possibilità di applicazione, ma tuttavia non mutano il quadro di riferimento in cui ci dobbiamo muovere per la nostra analisi, dal momento che non escludono di considerare capacità, intento e regole d’ingaggio delle forze combattenti il conflitto. Con “intento”, ci si riferisce alla concreta volontà di un soggetto di porre in essere comportamenti atti a minacciare e ledere l’interesse altrui in favore del proprio. Più nello specifico, però, si dovrebbe fare riferimento alla volontà di uno Stato, o di un’organizzazione para-statuale, di sovvertire i rapporti di forza esistenti e riscrivere l’insieme delle regole destinate a cristallizzarsi all’esito della guerra (7), o alla volontà di uno Stato di difendersi da questo tipo di minaccia eliminando preventivamente un attore avversario. Per “capacità”, si intende, invece, la reale capacità tecnica di perseguire il proprio intento. La vulgata corrente vuole che quasi sempre essa ecceda l’intento stesso, secondo le logiche ben note della deterrenza: la capacità militare viene generalmente considerata come la componente di gran lunga più presente rispetto all’intento, che invece difetta ed evita di iniziare una guerra dall’esito imprevedibile. Per quanto riguarda l’ambito cibernetico, tuttavia, i rapporti rispetto alle tradizionali categorie di “intento” e “capacità” potrebbero essere differenti e da meglio precisare, ad esempio considerando la “capacità” come la “capacità effettiva di condurre una guerra cibernetica controllandone (e circoscrivendone) gli effetti”. Da ultimo, le “regole d’ingaggio” (o ROE, rules of engagement) sono uno dei punti chiave nella definizione delle future guerre cibernetiche. Costituiscono regole d’ingaggio tutte quelle “direttive diramate dalle competenti autorità militari che specificano le circostanze ed i limiti entro cui le forze possono iniziare e/o continuare il combattimento con le forze contrapposte” (8). Accanto a istruzioni di tipo pratico, che stabiliscono in modo non interpretabile il comportamento che le unità di cyber-combattenti devono tenere nelle differenti cir-
(8) Secondo la definizione che fornisce il testo militare “United Kingdom Glossary of Joint and Multinational Terms and Definitions”.
188
DIRITTO DI INTERNET N. 1/2020
costanze, le ROE rappresentano la traduzione, con terminologia tecnico-militare, della volontà politica volta a codificare i comportamenti autorizzati/non autorizzati da assumere/non assumere in presenza di determinate attività o azioni svolte da Stati, organizzazioni o gruppi, considerati in qualche misura “ostili”. Comportano, ad esempio, che un diverso trattamento venga accordato agli attacchi cosiddetti “State-sponsored”, rispetto gli attacchi informatici riconducibili a cyber-criminali, pur internazionali. Lo studio del concatenarsi di questi tre elementi definisce e delimita il perimetro di svolgimento della cyberwar e ne dovrebbe definire anche le responsabilità. Come per molti altri ambiti delle interazioni uomo-macchina, tuttavia, siamo ancora in carenza di regole ferree, precise e consolidate. Piuttosto, ogni nuovo elemento è suscettibile di ridefinire il quadro esistente e lo stato dell’arte nella materia, sia esso un manuale di definizione del fenomeno e di inquadramento dentro le modalità di utilizzo legittimo della forza militare (come ad esempio il Tallin Manual 1.0 e 2.0 in ambito NATO (9)), una nuova policy (di recente, per fare un esempio, le nuove linee guida dell’Amministrazione Trump in materia (10)) o l’azione posta in essere da qualcuno dei player principali e che si configura come un vero e proprio precedente (come ad esempio nel caso della limitazione dell’Internet Research Agency operata dalla NSA in occasione delle elezioni di mid-term del 2018, o nel caso del bombardamento da parte delle forze militari israeliane del cosiddetto quartier generale cyber di Hamas, del maggio 2019 (11)). Si può certamente affermare che il fulcro delle cyberwars ruoti intorno all’intrusione nei sistemi di comunicazione e controllo altrui, secondo la definizione di Richard Clarke ormai del 2010. Obiettivo primario dell’azione è l’intrusione, da parte di combattenti che operano per uno Stato, nei computer o nelle reti di un altro Stato allo scopo di causare danni o disturbi (12). Una volta che si sia penetrati all’interno dei sistemi altrui, il danno potrà essere arrecato nei modi più differenti, al punto che sono pochi i lavori accademici che si
(9) Si veda Aa.Vv., Tallin Manual on the international law applicable to cyber warfare 1.0, Londra, 2013, e Aa.Vv., Tallin Manual on the international law applicable to cyber warfare 2.0, Londra, 2017. (10) Si veda su The Wall Street Journal, all’indirizzo <https://www.wsj. com/articles/white-house-expands-use-of-cyber-weapons-but-stays-secretive-on-policies-11577728030>. (11) Si veda su The Verge, all’indirizzo <https://www.theverge. com/2019/5/5/18530412/israel-defense-force-hamas-cyber-attack-air-strike>. (12) In originale nel testo: “actions by a nationstate to penetrate another nation’s computers or networks for the purposes of causing damage or disruption”, in Clarke, Cyber War, New York, 2010.
PRASSI soffermano ad analizzare quali siano le potenziali azioni successive all’intrusione stessa. Tuttavia, proprio da questa fase post-intrusiva sorgono i principali problemi che possono portare un attacco informatico dall’essere potenzialmente devastante, all’essere considerato addirittura “not-effective” (13). Ciò che differenzia davvero la conflittualità esistente oggi nel cyberspazio è la capacità di rimanere al di sotto di un dato livello di uso della forza legittima, tale per cui l’attaccato non è legittimato a fare ricorso alla forza fisica, o ad un quantitativo di forza che ecceda il livello di intensità portato dall’attaccante. Tale forma di conflittualità “a bassa intensità” non è propria del cyberspazio, ma è nel cyberspazio che trova un dominio adatto in cui essere condotta, oltre che un pieno facilitatore di tale pratica. Da ciò deriva lo sforzo concettuale e anche giuridico che la comunità scientifica internazionale sta ancora compiendo per definire i termini esatti in cui una “guerra” condotta in questo modo sia possibile, non soltanto come parte della guerra tradizionale o come una sua fase iniziale, ma come, anzi, l’unica guerra apparentemente possibile e, di gran lunga, anche la costante ininterrotta e continua delle relazioni internazionali nel secolo corrente. I report ci parlano di una conflittualità continua, a bassa intensità, al di sotto del livello dettato per l’uso legittimo della forza fisica (14), per quanto ambiguo e interpretabile esso sia (15). Una conflittualità che possiamo, pertanto, definire come “ibrida”. Essa si avvale di attacchi informatici continui, costanti, imprevedibili e non attribuibili (o, meglio, agevolmente negabili (16)), ponendo l’attaccato in una condizione in cui non può che sviluppare la propria cybersecurity a prescindere da qualsiasi circostanza concreta, a volte anche senza saper giustificare l’investimento o riuscire a tratteggiare un volto molto preciso per il possibile attaccante, e sviluppare forme di “difesa offensiva” che fanno leva sulla possibilità di una deterrenza cibernetica che rimanda direttamente alla deterrenza nucleare (17). La citata “ibridazione” del conflitto porta a concentrare l’attenzione sulle cyber-armi e sugli obiettivi che esse possono colpire, in luogo dell’identità dell’utilizzatore e
della sua qualifica, pur centrale in tutte le normative che regolamentano la guerra a livello internazionale e che si fondano sulle distinzioni tra militari/civili, combattenti/non combattenti.
3. Cyber-armi: economiche o costosissime?
Accanto all’aggiornamento degli eserciti tradizionali e alla creazione di sempre nuove unità per condurre operazioni di contrasto e offesa nel cyberspazio (18), cuore del problema rimangono le armi cibernetiche e la loro qualificazione (possibile) come “dual use goods” (19), beni soggetti a utilizzi positivi o negativi a seconda delle circostanze, che come tali non possono essere in toto criminalizzate o vietate. L’interpretazione più rigorosa, da cui non ci si dovrebbe discostare troppo facilmente, è ancora quella del professor Thomas Rid, che definisce le cyber-armi come “un codice informatico che viene utilizzato, o progettato per essere utilizzato, allo scopo di minacciare o causare danni fisici, funzionali o mentali a strutture, sistemi o esseri viventi” (20). Come sottolinea il professore, quindi, e contrariamente alla definizione mainstream e onnicomprensiva di cyber-arma, un malware che estragga dati, ma non li utilizzi per provocare un danno fisico, non dovrebbe essere considerato una “cyberweapon”, per quanto sofisticato esso sia. La natura ibrida di questa conflittualità, tuttavia, non consente di escludere troppo presto anche forme più “leggere” di offesa, come ad esempio lo spionaggio economico e commerciale, per ottenere nel medio-lungo periodo un impatto analogo, se non addirittura superiore a quello dell’utilizzo di un’arma tradizionale, senza alcun rischio diretto di risposta e contro-attacco. Essendo l’arma cibernetica niente più che un software e, come tale, molto più un modo per sfruttare una vulnerabilità altrui piuttosto che un “manufatto” proprio, ecco spiegato come quello che può apparire come un innocuo programma può tramutarsi in un’arma cibernetica non appena viene utilizzato per tale scopo.
(14) Si veda l’art. 5 del Trattato NATO, disponibile all’indirizzo <https://www.nato.int/cps/en/natolive/official_texts_17120.htm>.
(18) Da ultimo, si veda su The Hill per quanto riguarda il Regno Unito <https://thehill.com/policy/cybersecurity/477795-congress-struggles-on-rules-for-cyber-warfare-with-iran?fbclid=IwAR2uWwXInGTtH4fwUfvqe5IGaMXpeUc5z7gvLmBqvjeg7HHlv3LpzvSpWeY>.
(15) Si veda il dibattito sull’efficacia del’art. 5 del Trattato NATO, in ragione della sua adattabilità al contesto, come ad esempio sul The Wall Street Journal <https://www.wsj.com/articles/nato-works-to-adapt-to-more-ambiguous-warfare-techniques-1454928411>.
(19) Per ulteriori approfondimenti su questa definizione, si rimanda all’indirizzo della Commissione Europea <http://ec.europa.eu/trade/ import-and-export-rules/export-from-eu/dual-use-controls/index_ en.htm>.
(16) Si veda su Valigia blu, all’indirizzo <https://www.valigiablu.it/usa-iran-cyber-conflitto/>.
(20) In originale nel testo: “a computer code that is used, or designed to be used, with the aim of threatening or causing physical, functional, or mental harm to structures, systems, or living beings”, cfr. Rid, Cyber War Will Not Take Place, Londra, 2013, citato anche in Stevens, “Cyberweapons: An Emerging Global Governance Architecture”, in Palgrave Communications, 2017.
(13) Si consenta il rinvio a Suffia, Geografia delle cyberwars, cit.
(17) Per un’analisi del percorso giuridico che lega deterrenza nucleare e deterrenza cibernetica, si rimanda ancora a Suffia, Geografia delle cyberwars, cit.
DIRITTO DI INTERNET N. 1/2020
189
PRASSI Da una parte, quello che può venir classificato come virus informatico, perché utilizzato da cybercriminali, deve essere classificato come arma cibernetica in tutti gli attacchi posti in essere da uno Stato. Questa “attribuzione”, oltre che molto complessa da operare nella prassi concreta, espone a conseguenze su cui il mondo del diritto ancora non ha espresso considerazioni frutto di una raggiunta maturità di visione (21). Dall’altra, se nemmeno operativamente un’arma cibernetica differisce da un normale programma informatico (se non, ormai, per la complessità del codice sorgente che utilizza (22) e che, come detto, incorpora funzionalità complesse (23), volte a sfruttare le vulnerabilità di altro codice informatico, di sistemi e reti), esse non differiranno anche dai tools utilizzati per condurre operazioni di penetration test di un sistema. Su più larga scala, i nodi strategici della cyberwar sono, quindi, gli stessi della sicurezza informatica applicata ai singoli utenti: - prevenire che qualcuno di non autorizzato acceda ad un’infrastruttura e la comprometta; - ridurre il danno che può essere arrecato e recuperare nel minor tempo possibile l’operatività compromessa. Se le capacità tecniche necessarie per condurre dei conflitti cibernetici sono le stesse richieste per proteggere sistemi informatici e svolgere analisi di penetration test, significa anche che non sarà mai possibile mettere al bando le armi cibernetiche. L’impiego di strumenti di complessità sempre più crescente porta a ritenere che le vulnerabilità nel codice informatico (e del codice informatico) non saranno mai eliminare. Anche la complessità crescente nel superare gli strumenti di protezione oggi esistenti, però, porta gli studiosi a chiedersi se le armi cibernetiche consentano ancora quello che hanno consentito per circa un ventennio, ovvero un generale livellamento delle forze in campo e l’emersione di attori nuovi. Questi hanno potuto conciliare il loro intento offensivo con una capacità divenuta improvvisamente alla loro portata: si pensi, ad esempio, all’emersione della Corea del Nord come minaccia globale, nel cyperspazio molto più che a livello balistico con missili a lunga gittata, se è vero che le possono essere attribuiti alcuni dei maggiori cyber-attacchi dell’ultimo decennio. (21) Si pensi al dibattito ancora aperto sui mancati pagamenti da parte delle assicurazioni, in ragione della “war exclusion”. Da ultimo, su The Wall Street Journal all’indirizzo <https://www.wsj.com/articles/cyberattacks-complicate-war-exclusions-for-insurers-11575628201>. (22) Si veda su Kaspersky, all’indirizzo <https://www.kaspersky.com/ about/press-releases/2010_kaspersky-lab-provides-its-insights-on-stuxnet-worm>. (23) Come ad esempio i cosiddetti “zero days”, vulnerabilità ancora non conosciute da parte dell’autore del software in questione.
190
DIRITTO DI INTERNET N. 1/2020
I timori in questo senso sono dovuti a due ordini di fattori: - più che nel mondo fisico, nel cyberspazio è elevatissimo il rischio che questi strumenti vengano copiati o addirittura sottratti al legittimo detentore (24); - nonostante le apparenze, le cyber-armi possiedono una limitata “durabilità nel tempo”, essendo soggette, più delle armi nel mondo fisico, a problemi di “perishability” e “obsolescence” (25). Il primo termine indica il caso di un’arma informatica che, una volta utilizzata, non potrà più essere efficace in quanto rivelatrice della vulnerabilità sfruttata. Se economicamente possibile, questa sarà tempestivamente, e per il futuro, irrimediabilmente risolta dalla difesa. Quando si parla di obsolescenza, invece, si intende invece il generale processo di irrilevanza cui giungono le armi cibernetiche in quanto sviluppate per sistemi informatici non più supportati o non più utilizzati dall’obiettivo, o aggiornati rispetto alla versione studiata contro cui condurre l’attacco (26). Ne consegue che un arsenale informatico, per essere effettivo, debba essere costantemente aggiornato, così come sono quotidianamente aggiornate le difese.
4. Difendersi dalle cyber-armi: il nodo centrale della cybersecurity
Alla luce di quanto detto, nel cyberspazio si assiste a relazioni molto fluide e soggette a evolversi anche in modo imprevisto dall’utente, in occasione di particolari congiunture (ad esempio quando le difese, pur robuste, si trovino esposte ad una particolare vulnerabilità che, per i più disparati motivi, sia scoperta da un attaccante anche relativamente modesto). Ciò pone ancora maggior enfasi nella cybersecurity, unico argine per rendere le cyber-armi meno “effective” e meno distruttive rispetto alle proprie possibilità. Ogni incidente informatico può essere astrattamente attribuito ad uno Stato, divenendo quindi un atto di “aggressione”. Secondo il diritto internazionale, l’aggressione conduce ad una situazione di guerra, anche in assenza di una dichiarazione in tal senso, in presenza dell’“uso della forza armata da parte di uno Stato contro la sovranità, l’integrità territoriale o l’indipendenza poli-
(24) Si veda su Motherboard all’indirizzo <https://motherboard.vice. com/en_us/article/d7bvxa/your-governments-hacking-tools-are-not-safe>. (25) Si veda Bartos, Cyber weapons are not created equal, in Proceedings Magazine, 2016, consultabile anche online sul sito dello US Naval Institute, al link <https://www.usni.org/magazines/proceedings/2016-06/ cyber-weapons-are-not-created-equal>. (26) Per esemplificare, si pensi ad un virus informatico pensato per il sistema operativo Windows XP, nel momento in cui questo non viene più utilizzato su alcuna macchina informatica.
PRASSI tica di un altro Stato, o in qualsiasi altro modo incompatibile con la Carta delle Nazioni Unite (27)”. Le categorie di “sovranità”, “integrità territoriale” e “indipendenza politica” presentano aspetti di non immediata corrispondenza tra il mondo digitale e quello fisico, ma se si prosegue nella lettura della Risoluzione 3314, del 14 dicembre 1974, che ha fornito la definizione di “aggressione”, si possono rinvenire molti esempi di atti e azioni che ben spiegano come questi possano verificarsi anche nel cyberspazio. Non appaiono del tutto estranee a questo dominio, infatti, le previsioni di “occupare, anche temporaneamente, porzioni di territorio o infrastrutture” (28), “bloccare l’accesso ai porti o alle coste” (29) o soprattutto “utilizzare il territorio di uno Stato per compiere azioni ostili nei confronti di un terzo Stato” (30). La potenzialità di alcuni software e programmi recentemente impiegati, come Stuxnet e il ransomware Wannacry, hanno, sotto profili differenti, mostrato la capacità di alterare il programma di arricchimento dell’uranio in Iran, o di mettere in serio disagio aziende e trasporti tramite la cifratura di tutti i dati e la richiesta di un riscatto. Parlando di cyberwars, è evidente che una mera operazione di raccolta dati non soddisfi i requisiti minimi della definizione di “guerra”. Tuttavia, visto l’esito della Guerra fredda, si è assistito a un mutamento strutturale delle forme della guerra e ad un mutamento di ciò che possa essere ritenuto un obiettivo. Ciò si è manifestato, in primis, nella mutazione di ciò che doveva essere considerato interesse nazionale. Come ampiamente rilevato dalle leggi sull’intelligence di tutto il mondo occidentale (31), si è passati da una concezione esclusivistica e positiva di cosa fosse l’interesse nazionale di uno Stato, in favore di norme più inclusive e che mirano ad essere maggiormente compatibili con un contesto sia democratico, sia, soprattutto, ispirato a logiche di mercato. Oggi, al centro dell’interesse nazionale è riconosciuto un ruolo considerevole alle “aziende di interesse nazionale” e viene posta una particolare enfasi sulla tutela del mondo economico come priorità da proteggere (32). Il
cyberspazio può essere al centro di questa costruzione teorica nel momento in cui l’economia si è fatta virtuale/digitale, legata ai servizi offerti dalle tecnologie ICT non solo per quanto riguarda il settore terziario, ma anche per l’agricoltura e l’allevamento, e la produzione industriale. La dipendenza dalle tecnologie ICT condiziona ormai ogni settore delle attività produttive umane e il PIL di molti Paesi occidentali è in larga misura determinato anche dal settore finanziario. La finanza si è fatta più importante e voluminosa dell’economia reale e costituisce una buona porzione di cyberspazio costantemente minacciata da cybercriminali e, potenzialmente, anche da altri Stati. In quest’ottica, tuttavia, occorre ricordare come la compenetrazione sempre più crescente dei sistemi economici globali, sul modello delle supply chain (33), sia anche il principale driver di sicurezza del sistema: mercati interconnessi rendono pressoché irrealizzabile (anche se, astrattamente, non impossibile) la prospettiva di un massiccio attacco ostile nel cyberspazio ai danni del sistema finanziario, condotto da uno Stato contro un altro. Ciò non avverrebbe soltanto in un’ottica di deterrenza, e di mutua distruzione reciproca, ma anche per l’impossibilità di arginare gli effetti di un attacco ad un delimitato teatro di guerra (34). Certamente un attacco informatico (e dunque anche un’azione di guerra, se è considerata tale e soddisfa determinati requisiti di “attribution” e intensità) deve essere valutato secondo la scala, lo scopo e la durata delle conseguenze che provoca, così come secondo l’invasività che comporta e valutando attentamente che una risposta deve essere il più possibile immediata. Si tratta delle caratteristiche evidenziate da Michael N. Schmitt nel suo lavoro “Proceedings of a Workshop on Deterring Cyberattacks: Informing Strategies and Developing Options for U.S. Policy” e riassunte nella triade “severity, invasiveness, and immediacy” (35). Secondo le leggi di guerra (jus in bello), chi compie un’azione di guerra dovrebbe distinguere tra obiettivi militari e obiettivi civili, non colpire questi ultimi, sempre che da essi non siano state effettuate azioni riconducibili in modo diretto o indiretto allo Stato e siano quindi diven-
(27) Si veda la Risoluzione ONU n. 3314/74, all’indirizzo <https://undocs.org/en/A/RES/3314(XXIX)>. (28) Si veda l’art. 3 lettera (a) della Risoluzione 3314/74. (29) Si veda l’art. 3 lettera (a) della Risoluzione 3314/74. (30) Si veda l’art. 3 lettera (a) della Risoluzione 3314/74. (31) Ad esempio, la legge di riforma dell’intelligence italiana del 2007, che si inquadra perfettamente all’interno di questo cambiamento epocale di prospettiva, disponibile al link <https://www.sicurezzanazionale.gov. it/sisr.nsf/documentazione/normativa-di-riferimento/legge-124-2007. html> e al link <http://www.camera.it/parlam/leggi/07124l.htm>. (32) Per fare un esempio, la Strategia Nazionale degli Stati Uniti del 2003 per proteggere il cyberspazio descrive i sistemi vitali come “beni
fisici e cyber di istituti pubblici e privati in agricoltura, cibo, acqua, sanità pubblica, servizi di emergenza, governo, base industriale della difesa, informazione e telecomunicazioni, trasporto di energia, servizi bancari e finanziari, prodotti chimici e materiali pericolosi e spedizione postale”. (33) Si veda Khanna, Connectography, Roma, 2016. (34) Si veda Suffia, Geografia delle cyberwars, cit. (35) Si veda Schmitt, Proceedings of a Workshop on Deterring Cyberattacks: Informing Strategies and Developing Options, in U.S. Policy, Washington, 2010, citato anche in Bordelon, Cyber war and geopolitcs - Approaching Cyber Warfare: Geopolitics, Deterrence, and International Law, Lynchburg, 2016.
DIRITTO DI INTERNET N. 1/2020
191
PRASSI tati protagonisti offensivi della guerra (36). Si tratta di un ambito in cui chi ha responsabilità militari dovrebbe agire con molta prudenza, sia nel mondo fisico che nel mondo digitale, dove il problema dell’attribuzione di un’azione potrebbe portare a ritenere responsabili dei civili del tutto ignari di essere stati utilizzati come veicolo di un attacco. Differenti gradi di sviluppo tecnologico, inoltre, vanno a strutturare un livello ulteriore di complessità dello scenario cyber, dal momento che è comprovato che possono costituire un elemento di vulnerabilità ulteriore in un mondo interconnesso: “a causa dell’interconnessione che caratterizza il mondo digitale, le vulnerabilità delle infrastrutture essenziali di uno Stato possono avere gravi conseguenze su altri Stati” (37). Ciò si riflette nelle particolari modalità con cui può essere condotta una guerra nel ciberspazio, andando a colpire infrastrutture non strettamente rilevanti per l’attaccante, ma che fungono da ponte verso altri obiettivi. Tanto più un sistema è obsoleto, ovvero non più aggiornato, tanto più sarà esposto ad attacchi informatici e ad essere utilizzato come “punto di accesso” (si pensi a un computer con un software obsoleto, ma che ha accesso a una rete critica). Una volta compromesso anche solo un singolo device, infatti, bisognerà ritenere compromessa l’intera rete in cui esso opera: i sistemi di protezione di questa saranno inutili nel momento in cui il computer controllato dall’attaccante possiede delle legittime credenziali di accesso alla rete (38). Al di là dell’aspetto tecnologico, dovuto alla impossibilità oggettiva di aggiornare alcuni sistemi obsoleti prima che cessino di essere utilizzati, e tralasciando il problema dello humanware che si presenta, ancora una volta, come l’anello più fragile della sicurezza informatica (39) (anche in considerazione della rivoluzione dell’Internet (36) Si veda Hathaway - Crootof - Leviz - Nix - Nowlan - Perdue Spiegel, The Law Of Cyber Attack, in California Law Review, Berkeley, 2012, disponibile anche all’indirizzo <https://law.yale.edu/system/files/ documents/pdf/cglc/LawOfCyberAttack.pdf>. Il testo è citato anche in Bordelon, Cyber war and geopolitcs - Approaching Cyber Warfare: Geopolitics, Deterrence, and International Law, Lynchburg, 2016. (37) In originale nel testo: “Common as due to the interconnection that characterizes the digital world, the vulnerabilities of the essential infrastructures of a State can have serious consequences on others”. Il report 2013 della commissione ONU GGE (Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security) è disponibile all’indirizzo <http://www.un.org/ga/search/view_doc.asp?symbol=A/68/98>. (38) Per approfondire si veda su Ransomware.it all’indirizzo <https:// www.ransomware.it/wannacry-wcry-computer-ospedali-enti-pubblici/>. (39) L’aspetto umano del problema è al tal punto rilevante da essere citato espressamente dal GGE nel Report 2015, in cui si invitano gli Stati a adoperarsi per lo sviluppo di una come “cultura della sicurezza informatica”. Si veda <http://www.un.org/ga/search/view_doc.asp?symbol=A/70/174>.
192
DIRITTO DI INTERNET N. 1/2020
of Things), giova qui considerare che differenti capacità economiche e informatiche portano a convivere, nello stesso momento e nella stessa “rete” Stati con differenti capacità di controllo delle proprie infrastrutture ed esposti a vulnerabilità e rischi diversi. Accade quindi che interi Stati siano esposti al rischio di diventare “proxy” involontari di strategie e attacchi informatici altrui, così come anche categorie di prodotto apparentemente innocue (e per questo meno sicure dal punto di vista informatico), possano essere utilizzate per attacchi su larga scala. Il celeberrimo caso delle videocamere di monitoraggio dei bambini utilizzate poi dalla botnet Mirai (40) dimostra proprio come un apparecchio pensato per un determinato scopo e ritenuto “sicuro” per esso, si riveli in realtà del tutto vulnerabile ad un attacco esterno e si trasformi in un ottimo strumento per compiere attacchi informatici diretti verso obiettivi esterni.
5. Il rischio dell’errore delle macchine e dell’errore umano
Se può essere individuato un confine tra gli strumenti di spionaggio e gli strumenti di guerra, questo è certamente costituito dalla capacità di provocare danni fisici diretti. Ben si comprende come ad oggi, adottando un approccio molto rigoroso nella ricostruzione delle fattispecie, si possa affermare che non vi siano stati esempi di guerre cibernetiche propriamente dette, dal momento che non si ha evidenza di danni fisici arrecati all’avversario con l’uso di strumenti esclusivamente informatici e con l’intento di scatenare o provocare una guerra (come ad esempio veicoli dirottati da remoto e in seguito distrutti). Certamente, tuttavia, questi strumenti oggi in possesso degli Stati (e di tutti gli attori potenzialmente coinvolti in un conflitto moderno, dalle Agenzie ai gruppi terroristici) sono idonei e in grado di provocare un attacco che possa essere considerato “ostile” e “armato” al pari di un attacco bellico, e sono quindi in grado di far scoppiare una guerra tradizionale (che vada al di là del mondo solamente digitale) e condurla. Il quadro che emerge dovrebbe rendere chiaro come la guerra cibernetica possa essere efficacemente condotta non tanto andando a colpire l’obiettivo militare prefissato, ma, anzi, colpendo il proprio avversario attraverso il suo punto più debole, il suo ventre scoperto, qualunque esso sia. Sia civile che militare, sfruttando le sue
(40) Il caso, citato a solo titolo di esempio, è emblematico di tutta una fattispecie. La botnet Mirai, ovvero una rete di computer zombie infettati da un attacco informatico e controllabili a distanza, è risultata composta anche da decine di videocamere-giocattolo usate dai genitori per controllare i neonati in altre stanze o da fuori casa. Per la notizia, su Kaspersky all’indirizzo <https://www.kaspersky.it/blog/my-friend-caylarisks/9847/>.
PRASSI vulnerabilità in un contesto che rischia di essere senza alcun tipo di regola etica. Uno strumento di controllo remoto di un dispositivo, o perfino di un veicolo, può facilmente essere utilizzato sia per attività criminali, sia per attività terroristiche, ma soprattutto come cyber-arma. Si potrebbero provocare incidenti aerei, utilizzare veicoli come bombe e, per un differente aspetto, paralizzare la capacità di mobilitazione e risposta dell’avversario. Questo tipo di eventi, oltre che provocare danni fisici diretti, può creare notevole allarme sociale e cambiare radicalmente la percezione di un problema o di una situazione, anche nel contesto del sistema internazionale. Il ruolo dell’essere umano non può essere del tutto eliminato in considerazione del pericolo rappresentato dall’utilizzo di sistemi automatizzati di risposta, per l’utilizzo generalizzato di proxy e per la impossibilità di una rapida attribuzione dell’attacco. Estendere il proprio “perimetro di sicurezza cibernetica” significa, per questo motivo, lavorare sugli anelli più deboli della propria infrastruttura per innalzare il livello di sicurezza generale del sistema Paese. Ulteriori considerazioni emergono dal differente approccio etico che possiamo riscontrare tra i vari player internazionali, che sempre più dovrebbero cooperare in questa dimensione di conoscenza reciproca. Il fine dovrebbe essere quello di conoscere i valori etici gli uni degli altri, le scelte di comportamento e le differenti percezioni sulla realtà, per evitare ciò che nella nostra società (e, se vogliamo, in modo non diverso dal passato) è il più grande rischio: l’errore. Rispetto al passato, in cui spesso le guerre anche mondiali sono iniziate per l’errore di valutazione di militari e governanti (si pensi, ad esempio, alla Prima guerra mondiale, quando il paradosso della sicurezza portò i vari Stati europei a mobiliare anzitempo i propri eserciti e degenerò in una generale catena di dichiarazioni di guerra), oggi il rischio è anche quello dell’errore umano, del singolo cyber-soldato e, ancor più preoccupante (almeno per la nostra etica personalistica) l’errore delle macchine. Regolamentare la guerra cibernetica al pari della guerra tradizionale appare, infatti, una necessità impellente nel caso in cui all’operatore umano venga sostituito un algoritmo, sia nella veste di esecutore, sia nella più pericolosa veste di decisore. Per questo motivo appare improrogabile un dibattito pubblico sulla sicurezza, sulla creazione, l’uso, la proliferazione e il controllo democratico delle cyber-armi, che ponga le regole base per elaborare prassi ed eventualmente nuovo diritto internazionale pattizio sul tema dei cyber-armamenti, così come sul ricorso alla guerra ibrida. La regolamentazione delle guerre cibernetiche è carente e ciò porta inevitabilmente a delle conseguenze immediate, facendo emergere le potenze più forti come “garanti” di un ordine pubblico internazionale che non
intendono mettere in discussione. Parallelamente, la novità del mezzo tecnologico può portare a scardinare queste conseguenze che, altrimenti, sembrerebbero granitiche. Qualsiasi valutazione razionale fondata su cybersecurity e cyber-deterrenza rischia di essere vanificata in un contesto in cui si ammette il ricorso alle guerre ibride come normale, in cui si sopravvalutano le possibilità offensive sottostimando le perdite, in cui ogni giorno si sfiora il confine che separa l’obbligo di rispondere in modo ibrido dal legittimo utilizzo della forza. Fino a quando non capiremo che l’attuale livello di esposizione alla guerra cibernetica è lungi dall’essere la situazione ottimale in cui tutti possono muoversi liberamente e trarre reciproco vantaggio, ma è anzi un ballo su una polveriera che rischia di esplodere al minimo errore (umano o artificiale), la guerra cibernetica sarà una possibilità che, per la sua distruttività, non avremmo voluto sperimentare.
DIRITTO DI INTERNET N. 1/2020
193
PRASSI
Il Financial Cybercrime nella prospettiva della V Direttiva europea antiriciclaggio (843/2018/UE) di Ramona Barbabietola Sommario: 1. Premessa. Il financial cybercrime. - 2. Il riciclaggio e le valute virtuali. - 3. Gli strumenti preventivi del fenomeno. – 4. Le novità introdotte con la V Direttiva antiriciclaggio 843/2018/UE. - 5. Osservazioni conclusive: cosa aspettarsi per il futuro? L’utilizzo di nuove tecnologie per commettere reati ha ricadute anche sul settore finanziario globale. Infatti, le valute virtuali, non essendo verificate da un’Autorità centrale, vengono sfruttate dalla criminalità a fini di riciclaggio come sistema finanziario alternativo. Il tema del riciclaggio può essere affrontato sia in ottica preventiva che repressiva. Per contrastare tale fenomeno sono stati adottati provvedimenti innovativi in ambito nazionale e sovranazionale. Il presente elaborato intende analizzare la normativa vigente italiana ed europea ponendosi in un’ottica preventiva, con particolare riferimento alla V direttiva antiriclaggio 843/2018/UE. Si osserverà, da ultimo, come ancora oggi tale normativa non sia risolutiva per la prevenzione e per la repressione del cd. Cyberlaundering. The use of new technologies to commit crimes also affects the global financial sector. In fact, not being verified by a central authority, virtual currencies are exploited by money laundering criminal organizations as an alternative financial system. The issue of money laundering can be addressed both from a preventive and repressive perspective. To fight this phenomenon, innovative measures have been adopted both nationally and supranationally. This document intends to analyze the current italian and european legislation in a preventive view, with particular reference to the fifth anti-money laundering directive 843/2018 / EU. Lastly, it will be observed that even today this legislation is not decisive for the prevention and repression of the Cyberlaundering.
1. Premessa. Il financial cybercrime
Come noto, con la locuzione reati informatici ci si riferisce alle condotte criminali compiute tanto su strumenti informatici che per mezzo di essi. I nuovi strumenti tecnologici hanno, infatti, portato all’introduzione di nuove forme di reato: non solo reati informatici in senso improprio, ovvero reati tradizionali applicati al cyberspace (truffa, frode, riciclaggio e altri), ma anche reati informatici in senso proprio. Esempio di una nuova figura di reato introdotta è l’accesso abusivo a sistema informatico, ai sensi dell’art. 615 ter del codice penale (1). Le peculiarità di tale fenomeno, quali l’immaterialità del cyberspace, la possibilità dell’anonimato, la delocalizzazione e la globalizzazione delle comunicazioni, rendono difficoltoso il collegamento delle nuove figure di reati informatici alle tradizionali categorie del diritto penale, quali, per esempio, la condotta e l’evento. Internet e il web in generale hanno provocato un aumento esponenziale dei reati informatici in ambito finanziario, e ciò anche in ragione dell’ampio uso che delle tecnologie informatiche oramai da anni si fa nei mercati finanziari (2). L’utilizzo dello strumento tecnolo (2) Sul tema, v. Di Ciommo, Smart contract e (non-)diritto: il caso dei mercati finanziari, in Nuovo dir. civ., 2019, 257, nonché Id., Smart Contract and
gico per la commissione dei reati è riuscito a moltiplicare la possibilità di arrivare a più persone offese contemporaneamente, in ogni zona del mondo e in maniera agevole. Il cybercrime finanziario ha visto importarti sviluppi nel 2018, con numerose evoluzioni sia dei malware usati, che del modus operandi dei gruppi cyber-criminali. Il fenomeno dei malware per frodi finanziarie è ormai territorio di gruppi criminali internazionali, ben organizzati e strutturati. (3) La legge 23 dicembre 1993, n. 547, invero, nel tentativo di mettere ordine nella materia dei reati informatici, introduceva nel codice penale alcune fattispecie incriminatrici ad hoc, quali il danneggiamento informatico (art. 635-bis), la diffusione di programmi malware potenzialmente nocivi (art. 615-quinquies), la violazione del domicilio informatico (art. 615-ter). Tuttavia, per il riciclaggio digitale manca un intervento legislativo simile. Questo pone il problema di verificare quale sia il perimetro entro cui il diritto penale possa attualmente fronteggiare i profili più critici di tale feno-
(Non-)Law. The case of the Financial Markets, in Law and Economic Yearly Review, 2018, 291. (3) Rapporto Clusit 2019 sulla sicurezza ICT – edizione ottobre 2019.
DIRITTO DI INTERNET N. 1/2020
195
PRASSI meno e soddisfare le esigenze di protezione individuale e collettiva che si impongono. Il riciclaggio, anche tradizionale, viene affrontato e combattuto da norme che hanno prima un’ottica preventiva, e poi repressiva. Si andranno di seguito ad esaminare i cambiamenti e le novità di tale reato ponendolo in relazione con il recente fenomeno delle monete virtuali e, successivamente, ci si concentrerà sul contrasto preventivo di tale nuovo fenomeno, detto anche cyberlaundering.
2. Il riciclaggio e le valute virtuali
L’argomento oggetto di questo contributo si inserisce nella più ampia categoria del financial crime. Il tema delle valute virtuali è strettamente connesso al cyberlaundering: questa particolare modalità di riciclaggio che si realizza, in tutto o in parte, tramite strumenti informatici. Il tema del riciclaggio è strettamente connesso a quello delle valute virtuali. Infatti, l’utilizzo delle cripto-valute consente agli utenti di scambiarsi valori senza passare attraverso un intermediario centrale (4). Con l’aumentare esponenziale dei crimini finanziari informatici (5) e dell’utilizzo di cripto-monete per la commissione di reati, quali per esempio la truffa, la frode o il riciclaggio, si è giunti a considerare l’elevato rischio che questo fenomeno diventi un fenomeno finanziario alternativo, ai fini del riciclaggio. Gli strumenti normativi reagiscono in due modi: da un lato con strumenti repressivi tipici del riciclaggio, estesi al cyberlaundering, e dall’altro introducendo strumenti innovativi in ottica di prevenzione del fenomeno. Prima di passare ad analizzare questa attuale e crescente forma di riciclaggio sembra opportuno, per chiarezza espositiva, introdurre il concetto di valuta virtuale, definito anche a livello normativo. La prima definizione di moneta virtuale è fornita dal d.lgs 90 del 2017, con il quale il legislatore italiano recepisce la IV Direttiva antiriciclaggio UE. Il decreto di recepimento definisce, innanzitutto, cosa sia la valuta virtuale, disponendo che la stessa debba intendersi come “rappresentazione digitale di valore, non emessa da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi e trasferita, archiviata e negoziata elettronicamente”. (6) Già da uno sguardo superficiale, da questa prima definizione si nota come le caratteristiche insite nella moneta
(4) Sul tema, cfr. Capaccioli, Aspetti operativi e ricadute giuridiche delle cripto-attività, in questa Rivista, 2019, 593.
196
virtuale (la dematerializzazione, la decentralizzazione, la delocalizzazione) siano facilmente appetibili dalle organizzazioni criminali come semplice opportunità, rispetto al reato di riciclaggio ex art. 648 bis c.p., di utilizzare tali valori ai fini di compiere illeciti, data la loro possibilità di rimanere anonimi. La moneta virtuale è idonea per natura a dissimulare il valore oggetto del suo trasferimento nella vastità della realtà virtuale. In relazione alle valute virtuali, il d.lgs 90 del 2017 precisa cosa siano e quali attività svolgano i prestatori di servizi relativi all’utilizzo di valute virtuali: “ogni persona fisica o giuridica che fornisce a terzi, a titolo professionale, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale” (7). La sostanziale difficoltà che pongono questi valori virtuali consiste nell’identificazione delle parti, poiché alla base della creazione delle monete peer to peer vi è la volontà di disintermediare le transazioni, di non passare per un intermediare centrale che gestisce tali scambi. Tecnicamente le criptovalute permettono di effettuare pagamenti on line in maniera sicura grazie a tecnologie di tipo peer to peer (p2p) che si fondano su “catene di blocchi” (c.d. blockchain), costituiti da computer di utenti disseminati in tutto il mondo su cui vengono eseguiti appositi programmi che svolgono funzioni di portamonete (wallet). (8) Ciò sta a significare, ad esempio, che l’intera rete Bitcoin non ha un centro di imputazione, essendo una blockchain pubblica e per sua natura distribuita. Non avendo un centro di imputazione e, quindi, un soggetto su cui far gravare gli obblighi preventivi, la normativa sia nazionale che sovranazionale si è mossa introducendo strumenti innovativi di carattere preventivo.
3. Gli strumenti preventivi del fenomeno
Per fronteggiar i rischi connessi a tale sistema finanziario alternativo sono stati adottati, come accennato, strumenti di carattere preventivo. Si analizza nel dettaglio la normativa nazionale e sovranazionale in merito. In Italia la prevenzione del riciclaggio è disciplinata dal d.lgs 231/2007 che pone sostanzialmente a carico degli intermediari nei pagamenti e negli scambi degli obblighi diretti alla prevenzione che sono: 1. obbligo di identificare i clienti;
(5) Rapporto Clusit 2019 sulla sicurezza ICT – edizione ottobre 2019.
(7) Art. 1, c. 2, lettera ff), del decreto legislativo 21 novembre 2007, n. 231, come modificato dal presente decreto di recepimento della AMLD.
(6) Art. 1, c. 2, lettera qq), del decreto legislativo 21 novembre 2007, n. 231, come modificato dal presente decreto di recepimento della AMLD.
(8) Cfr. Majorana, Disciplina giuridica e fiscale delle criptovalute: sfida al legislatore dal web, in Corriere tributario, 2018, 630.
DIRITTO DI INTERNET N. 1/2020
PRASSI 2. obbligo di conservare la documentazione relativa alle operazioni; 3. obbligo di segnalare le operazioni sospette. L’attuale sistema preventivo del riciclaggio, come ben si nota dagli obblighi enunciati, fa leva sugli intermediari, quindi soggetti apparentemente neutrali che nello svolgimento della propria attività professionale debbono collaborare con l’autorità. In un sistema come quello Bitcoin, questo intermediario non è presente. Per colmare questo divario, il legislatore è intervenuto sia a livello nazionale che sovranazionale. La prima normativa da analizzare a livello sovranazionale di riferimento è la IV Direttiva antiriciclaggio, 849/2015/UE, che ha costituito negli anni scorsi il principale strumento giuridico europeo per la prevenzione dell’uso del sistema finanziario dell’Unione Europea a fini di riciclaggio di denaro e finanziamento del terrorismo, mediante la definizione di un quadro giuridico efficiente e completo per il contrasto della raccolta di beni o di denaro a scopi terroristici. (9) La Direttiva si compone di disposizioni generali e finali, distribuite in sette parti che concernono tutte disposizioni volte al contrasto del riciclaggio e al finanziamento del terrorismo ma, non contiene alcun riferimento al fenomeno dell’utilizzo delle valute virtuali ai fini di riciclaggio. Il risk based approach è il core di tale disposizione normativa, espressamente previsto dagli artt. 6, 7 e 8 della IV Direttiva UE, rispettivamente a livello europeo, nazionale e dei soggetti obbligati. Tale normativa guida, da un lato, il comportamento dei soggetti obbligati e, dall’altro, l’azione di controllo a cui sono chiamate le autorità (10). Precisa come la prevenzione del riciclaggio e del finanziamento del terrorismo, infatti, debba necessariamente passare da una piena responsabilizzazione dei soggetti obbligati rispetto alle procedure necessarie per mappare e intercettare il rischio insito nella pratica quotidiana della loro attività professionale. (11) La Direttiva contiene poi obblighi di prevenzione e contrasto al riciclaggio e al finanziamento del terrorismo dei prodotti di moneta elettronica, senza riferimento alle monete virtuali.
(9) Cfr. Rossi, Prevenzione del riciclaggio e finanziamento del terrorismo: finalità e novità normative, in Diritto penale e processo, 2018, 25. (10) Vedi ancora Rossi, cit. (11) Relazione sull’attività di prevenzione del riciclaggio e del finanziamento del terrorismo e rapporto annuale sull’attività svolta dall’Unità di Informazione Finanziaria (UIF) della Banca d’Italia, in <https://www. senato.it/service/PDF/PDFServer/DF/325614.pdf >.
La più grande lacuna da colmare di questa normativa consisteva, infatti, nella mancata estensione di tali obblighi agli operatori del settore cripto-valutario. Tale previsione andava necessariamente colmata. Il web, infatti, se, da un lato, ha offerto e offre soluzioni nuove per le operazioni finanziarie, dall’altro ha fornito la possibilità alla criminalità di giovarsi di innovativi metodi di riciclaggio o di finanziamento al terrorismo. (12) Tuttavia, il legislatore europeo, rendendosi presto conto dei rischi connessi ai prestatori di servizi di cambio tra valute virtuali e valute legali, interviene con una nuova normativa ad hoc finalizzata al contrasto efficace del finanziamento del riciclaggio e del terrorismo tramite monete virtuali, adottando nuove misure volte a garantire la maggiore trasparenza delle operazioni finanziarie, delle società e degli altri soggetti giuridici, come i trust, per migliorare l’attuale quadro di prevenzione.
4. Le novità introdotte con la V Direttiva antiriciclaggio 843/2018/UE
La costante crescita del fenomeno delle cripto-monete utilizzate a scopi illeciti ha fatto si che il legislatore europeo, rendendosi conto dei rischi connessi all’utilizzo di tali monete e tali nuove piattaforme anonime, delocalizzate e decentralizzate, intervenisse con una nuova Direttiva volta al più intenso contrasto al fenomeno del riciclaggio. La V direttiva antiriciclaggio 843/2018/UE interviene con delle novità. (13) Innanzitutto, la finalità di tale intervento sta nella necessità di una stretta prevenzione dell’uso del sistema finanziario virtuale a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, costituendone il principale strumento. Il carattere originale della Direttiva 843/2018/UE è quello di ampliare i soggetti a cui è rivolta la normativa antiriciclaggio, estendendola ai “prestatori di servizi di cambio tra valute virtuali e valute legali”. Occorre constatare come, su questo punto, l’Italia abbia anticipato il legislatore europeo inserendo già nel d.lgs 90/2017 tra i “soggetti tenuti al rispetto delle regole antiriciclaggio” anche i “prestatori di servizi relativi all’utilizzo di valuta virtuale, limitatamente allo svolgimento di attività di conversione di valute virtuali da ovvero aventi corso forzoso”. Analizzando la normativa europea e quella italiana occorre sottolinearne una nodale differenza. Preliminarmente, per semplicità espositiva, definiamo i cd. exchange e wallet provider. (12) Cfr. Salvini, Potenziamento e proroga dell’impiego del personale militare appartenente alle Forze armate, in AA.VV., Antiterrorismo, Milano, 2015, 79. (13) Cfr. sul tema, Soana, Cripto-valute e riciclaggio. Modus operandi e tentativi regolatori, in questa Rivista, 2019, 671.
DIRITTO DI INTERNET N. 1/2020
197
PRASSI Per exchangers si intendono cioè coloro (persone fisiche o giuridiche) che offrono agli users servizi di cambio di moneta virtuale con moneta legale o metalli preziosi (e viceversa), in cambio di una commissione. (14) Gli exchangers, semplificando, permettono di scambiare valute per criptomonete (Euro/Dollari in LiteCoin, BitCoin…). Per wallet providers si intendono coloro che rendono un servizio di conservazione (storage) di criptovalute a favore degli utenti delle stesse dietro corrispettivo. (15) Essi facilitano l’esecuzione delle transazioni non solo con gli exchangers, ma anche con i merchants, che accettano di ricevere valuta virtuale in cambio della fornitura di beni o servizi. (16) Quindi un wallet è un portafoglio, ovvero un ambiente criptato che permette di custodire le criptovalute, proprio come se fosse un conto bancario privato, all’interno del quale non è possibile fare operazioni (è possibile solamente prelevare, depositare o spedire valuta ad altri wallet / exchange). Nel decreto legislativo 90 del 2017, la normativa antiriciclaggio era estesa ai soli exchangers. Nella prospettiva legislativa, pertanto, la regolamentazione degli exchangers avrebbe dovuto condurre al massimo effetto con il minimo investimento di risorse e massima concentrazione dei controlli. (17) Nel concreto, tale decreto sottopone solo gli exchangers alle disposizioni antiriclaggio, in virtù delle quali sono tenuti all’adempimento degli obblighi di adeguata verifica della clientela, di cui agli artt. 17 ss. del D.lgs. n. 231/2007, nonchè alla conservazione dei documenti, dei dati e delle informazioni raccolte (ex artt. 31 e ss.). Inoltre, qualora gli exchangers nutrano il sospetto che l’attività di cambio sia riconducibile ad operazioni di riciclaggio, sono tenuti a segnalare l’operazione sospetta alla Unità di Informazione Finanziaria italiana. (18)
(17) Cfr. Majorana, cit.
Come accennato, il d. lgs. n. 90/201716 ha introdotto per gli “scambiatori” l’obbligo di iscrizione in una sezione speciale del registro dei cambiavalute tenuto dall’Organismo degli Agenti e dei Mediatori, ex art. 128 undecies TUB, parificandoli così ai tradizionali cambiavalute e sottoponendoli, pertanto, alle disposizioni antiriciclaggio. Agli exchangers che non rispettano i suddetti obblighi, possono essere contestate le disposizioni dell’art 55 d.lgs n. 231/2007 che punisce le violazioni degli obblighi previsti legislativamente caratterizzate da fraudolenza o, in alternativa, si può contestare, come manifestato dalla Corte di Cassazione, un concorso nell’altrui reato di riciclaggio, di cui all’art. 648 bis c.p., dovendo in ogni caso essere provata la sussistenza dell’elemento psicologico del reato. La normativa italiana, nonostante gli strumenti adottati per la prevenzione di tale fenomeno, era stata criticata dalla Banca Centrale Europea che la considerava non sufficiente per il contrasto del riciclaggio mediante cripto-valute. Così, per ovviare a tale mancanza, si adopera l’Unione europea con la Direttiva 843 del 2018 che estende l’obbligo di segnalazione delle operazioni sospette in ambito cyberlaundering ai wallet providers. Ci si deve domandare: a che condizioni si può ritenere che un provider, che difronte a una operazione sospetta, non segnalandola, possa essere ritenuto responsabile per concorso in riciclaggio? Oggi, i provider di cambio o i wallet provider hanno un preciso obbligo di legge (previsto dal d.lgs.231/2007), ovvero segnalare le operazioni sospette ed identificare i clienti. Alla luce di questo obbligo giuridico preventivo, la mancata segnalazione di operazioni sospette, di identificare la clientela, di conservare la documentazione delle transazioni, è astrattamente in grado di fondare una responsabilità omissiva di questi soggetti. Tutto questo a una condizione: essendo il riciclaggio un reato doloso, è necessario il dolo: non basta quindi che ci sia stata una omissione di segnalazione dell’operazione, ma è necessaria la consapevolezza della provenienza delittuosa, la consapevolezza che tramite quella transazione si stia compiendo un delitto, la volontà chiara di voler concorrere.
(18) Attraverso una modifica della normativa prevista dall’art. 17 bis del D. Lgs. n. 141 del 13 agosto 2010, a cui sono stati aggiunti i commi 8 bis e 8 ter. In particolare, l’art. 17 bis, co. 8 bis, prevede che: “Le previsioni di cui al presente articolo si applicano, altresì, ai prestatori di servizi relativi all’utilizzo di valuta virtuale, come definiti nell’art. 1, co. 2, lett. ff), del D.lgs. 21 novembre 2007, n. 231, e successive modificazioni tenuti, in forza della presente disposizione, all’iscrizione in una sezione speciale del registro di cui al co. 1”. Il successivo comma 8 ter, invece, dispone che: “Ai fini dell’efficiente popolamento della sezione speciale di cui al comma 8 bis, con decreto del Ministro dell’economia e delle finanze sono stabilite le modalità e la tempistica con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale sono tenuti a comunicare al Ministero
dell’economia e delle finanze la propria operatività sul territorio nazionale. La comunicazione costituisce condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori. Con il decreto di cui al presente comma sono stabilite forme di cooperazione tra il Ministero dell’economia e delle finanze e le forze di polizia, idonee ad interdire l’erogazione dei servizi relativi all’utilizzo di valuta virtuale da parte dei prestatori che non ottemperino all’obbligo di comunicazione”.
(14) Quali strumenti di pagamento gli exchangers ammettono, oltre che il denaro contante, i bonifici bancari, le carte di credito e le valute virtuali. (15) Tale servizio è assimilabile a quello previsto dall’art. 1834 c.c., rubricato “Depositi di danaro”. (16) C.Ingaro, Gli strumenti di prevenzione nazionali ed europei in materia di valute virtuali e riciclaggio, in Diritto penale contemporaneo, 2019, 153.
198
DIRITTO DI INTERNET N. 1/2020
PRASSI Quindi, anche i wallet providers, svolgono un’attività “ponte” tra il mondo reale delle valute aventi corso legale e quello virtuale delle criptovalute (19). Tuttavia, a ben vedere, anche il ruolo di questi ultimi si rivela eventuale, essendo discrezionale la scelta di depositare le proprie cripto-valute in un portafoglio elettronico, c.d. wallet, potendo l’utente, invece, conservare le proprie monete nel “portfolio” personale (20). Da quanto fin qui esposto, emerge che la scelta di sottoporre alla disciplina antiriciclaggio soggetti solo eventualmente ricompresi nella transazione non è utile ad affievolire l’elevata minaccia di riciclaggio intrinsecamente presente nelle caratteristiche delle monete virtuali (21). Infine, l’ultima novità interessante della Direttiva n. 843/2018/UE è rappresentata dalla possibilità per le Financial Intelligence Unit di ciascun Paese membro di ottenere le informazioni che consentano di associare gli indirizzi della valuta virtuale alla reale identità del proprietario della stessa e l’ulteriore possibilità di “consentire agli utenti di presentare, su base volontaria, un’autodichiarazione alle autorità designate” (22).
6. Osservazioni conclusive: cosa aspettarsi per il futuro?
nologica, porta con sé la possibilità di migliorare l’efficienza e l’inclusività nel mercato finanziario. D’altro canto, la non possibilità di controllo onnicomprensivo del fenomeno, fa sì che i risvolti negativi determinino implicazioni sfavorevoli alla stabilità dei mercati finanziari. Il Giappone è stato il primo Paese ad introdurre normative e adottare un sistema nazionale per sorvegliare il trading di criptovalute. In Germania, ad esempio, le criptovalute sono oramai pacificamente ritenute unità di conto e, dunque, strumenti finanziari ai sensi della normativa nazionale, e come tali vengono regolamentate. In Francia, invece, una commissione del Ministero delle Finanze è impegnata nella redazione di regole per vigilare sullo sviluppo delle valute virtuali con lo scopo di evitare rischi di speculazione e manipolazione finanziaria (23). L’obiettivo ultimo sarebbe auspicabile fosse quello di una normativa che riesca a garantire il bilanciamento di due esigenze che dovrebbero camminare parallelamente: lo sviluppo dei mercati finanziari e la tutela tramite la prevenzione ed il contrasto a fenomeni come quello analizzato in questo breve elaborato.
Alla luce di quanto analizzato ed esposto fino a qui è possibile elaborare qualche riflessione finale. In primis sembra opportuno evidenziare la criticità di una assenza di una chiara ed esclusiva cornice legislativa. Infatti, l’estensione degli obblighi preventivi ai wallet provider, riguardando soggetti che non sono necessariamente coinvolti nelle transazioni, non attenua e non risolve la minaccia dell’utilizzo di monete virtuali per la commissione di gravi condotte illecite quali, per ciò che qui interessa, il riclaggio ma anche, ad esempio, il fenomeno terroristico. Vero è che l’introduzione delle criptovalute non si configura solo come uno svantaggio, essendo uno strumento fornito anche di utilità. Infatti, questa innovazione tec (19) Vedi La Rocca, La prevenzione del riciclaggio e del finanziamento del terrorismo nelle nuove forme di pagamento. Focus sulle valute virtuali, in Analisi Giuridica dell’Economia, 2015, 210. Cfr. anche il Reg. delegato UE 29 novembre 2018 n. 411/19, intitolato “Norme tecniche per il registro elettronico centrale nel settore dei servizi di pagamento”. Nonché Krogh, La responsabilità del gestore di piattaforme digitali per il deposito e lo scambio di criptovalute, nota a Trib. Firenze, sentenza 21 gennaio 2019, in questa Rivista, 2019, 342. (20) Cfr. Messina, Bitcoin e riciclaggio, in Quattrociocchi - Bernardino (a cura di): Norme, regole e prassi nell’economia dell’antiriciclaggio internazionale, Torino, 2017, 381. (21) C.Ingaro, Gli strumenti di prevenzione nazionali ed europei in materia di valute virtuali e riciclaggio, in Diritto penale contemporaneo, 2019, 154. (22) Così l’art. 65, rubricato “Relazione”, della Direttiva del 2015, come sostituito dalla Direttiva del 2018.
(23) Cfr. Di Vizio, Le cinte daziarie del diritto penale alla prova delle valute virtuali degli internauti. Lo statuto delle valute virtuali: le discipline e i controlli, in Diritto penale contemporaneo, 2018, 21.
DIRITTO DI INTERNET N. 1/2020
199