@ Diritto Mercato Tecnologia di Alberto M. Gambino - @ Diritto costituzionale telematico di Alfonso Celotto e Giovanna Pistorio - @ Privacy e Garante per la protezione dei dati personali di Bruno Inzitari con Valentina Piccinini - @ AGCom (Autorità per le Garanzie nelle Comunicazioni) di Mario Morcellini - @ AGID (Agenzia per l’Italia Digitale) di Alfonso Contaldo - @ AGCM (Autorità Garante della Concorrenza e del Mercato) di Antonio Catricalà con Carlo Edoardo Cazzato - @ Data protection e data governance di Pierluigi Perri - @ Odio, cyberbullismo, cyberstalking e discriminazioni online di Giovanni Ziccardi - @ Contratti informatici di Lucilla Gatt e Ilaria Caggiano - @ Smart contract e negoziazione algoritmica di Francesco Di Ciommo - @ Consumatori di Giovanna Capilli e Massimiliano Dona - @ Intellectual property e digital rights di Giuseppe Cassano - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto civile) di Mariangela Ferrari - @ Gioco a distanza di Alessandro Orlandi - @ Cybercrime di Lorenzo Picotti con Roberto Flor - @ Reati in Internet di Vittorio Manes e Francesco Mazzacuva - @ Responsabilità penale dell’internet provider di Adelmo Manna - @ Digital evidence nel procedimento penale di Luca Lupària con Marco Pittiruti - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto penale) di Francesco G. Catullo - @ Amministrazione digitale di Fernanda Faini e Marco Mancarella - @ Appalti pubblici e informatica di Elio Guarnaccia - @ Diritto del lavoro e nuove tecnologie di Roberto Pessi e Raffaele Fabozzi - @ Diritto tributario digitale e fiscalità dell’economia digitale di Andrea Carinci - @ Diritto internazionale, europeo e comparato di Giovanni Maria Riccio - @ Tecnologie emergenti di Fulvio Sarzana di S. Ippolito - @ Intelligenza artificiale e robotica di Marco Scialdone e Guido Scorza - @ Automazione di Stefano Pellegatta - @ Applicazione del GDPR di Vincenzo Colarocco - @ Processo Telematico di Maurizio Reale - @ Legal-Tech di Giuseppe Vaciago - @ Prova informatica di Donato Eugenio Caccavella - @ Informatica Giuridica di Michele Iaselli - @ Convegni, Recensioni, Spigolature
Il comitato dei Tecnici Luca Attias, Paolo Cellini, Massimo Chiriatti, Cosimo Comella, Gianni Dominici, Corrado Giustozzi, Giovanni Manca, Michele Melchionda, Luca Tomassini, Andrea Servida, Carlo Mochi Sismondi, Giuseppe Virgone
Il comitato editoriale Eleonora Addante, Denise Amram, Stefano Aterno, Livia Aulino, Fabio Baglivo, Francesca Bailo, Mauro Balestrieri, Elena Bassoli, Ernesto Belisario, Maria Letizia Bixio, Luca Bolognini, Chantal Bomprezzi, Simone Bonavita, Francesco Brugaletta, Leonardo Bugiolacchi, Luigi Buonanno, Donato Eugenio Caccavella, Giandomenico Caiazza, Luca Antonio Caloiaro, Alessia Camilleri, Stefano Capaccioli, Giovanna Capilli, Domenico Capra, Mario Capuano, Diana Maria Castano Vargas, Francesco Giuseppe Catullo, Aurora Cavo, Carlo Edoardo Cazzato, Francesco Celentano, Federico Cerqua, Celeste Chiariello, Antonio Cilento, Donatello Cimadomo, Giuseppe Colangelo, Vincenzo Colarocco, Alfonso Contaldo, Mariarosaria Coppola, Fabrizio Corona, Francesca Corrado, Gerardo Costabile, Stefano Crisci, Luca D’Agostino, Vittoria D’Agostino, Gaspare Dalia, Eugenio Dalmotto, Antonio Davola, Edoardo De Chiara, Maurizio De Giorgi, Paolo De Martinis, Maria Grazia Della Scala, Mattia Di Florio, Francesco Di Giorgi, Giovanni Di Lorenzo, Sandro Di Minco, Massimiliano Dona, Giulia Escurolle, Caterina Esposito, Alessandro Fabbi, Raffaele Fabozzi, Alessandra Fabrocini, Fernanda Faini, Pietro Falletta, Mariangela Ferrari, Roberto Flor, Federico Freni, Maria Cristina Gaeta, Fabrizio Galluzzo, Davide Gianti, Carmelo Giurdanella, Chiara Graziani, Raffaella Grimaldi, Paola Grimaldi, Elio Guarnaccia, Pierluigi Guercia, Ezio Guerinoni, Aldo Iannotti Della Valle, Michele Iaselli, Alessandro Iodice, Daniele Labianca, Luigi Lambo, Katia La Regina, Alessandro La Rosa, Jacopo Liguori, Andrea Lisi, Matteo Lupano, Armando Macrillò, Domenico Maffei, Angelo Maietta, Marco Mancarella, Amina Maneggia, Daniele Marongiu, Carmine Marrazzo, Silvia Martinelli, Marco Martorana, Corrado Marvasi, Dario Mastrelia, Francesco Mazzacuva, Stefano Mele, Ludovica Molinario, Anita Mollo, Andrea Monti, Roberto Moro Visconti, Davide Mula, Simone Mulargia, Antonio Musio, Sandro Nardi, Gilberto Nava, Raffaella Nigro, Romano Oneda, Alessandro Orlandi, Angelo Giuseppe Orofino, Roberto Panetta, Giorgio Pedrazzi, Stefano Pellegatta, Flaviano Peluso, Pierluigi Perri, Alessio Persiani, Edoardo Pesce, Valentina Piccinini, Marco Pierani, Giovanna Pistorio, Marco Pittiruti, Federico Ponte, Francesco Posteraro, Eugenio Prosperetti, Maurizio Reale, Nicola Recchia, Federica Resta, Giovanni Maria Riccio, Alessandro Roiati, Angelo Maria Rovati, Rossella Sabia, Alessandra Salluce, Ivan Salvadori, Alessandro Sammarco, Alessandra Santangelo, Fulvio Sarzana di S.Ippolito, Emma Luce Scali, Roberto Scalia, Marco Schirripa, Marco Scialdone, Andrea Scirpa, Guido Scorza, Francesco Scutiero, Carla Secchieri, Massimo Serra, Serena Serravalle, Raffaele Servanzi, Irene Sigismondi, Giuseppe Silvestro, Matteo Siragusa, Rocchina Staiano, Samanta Stanco, Marcello Stella, Gabriele Suffia, Giancarlo Taddei Elmi, Bruno Tassone, Maurizio Tidona, Enzo Maria Tripodi, Luca Tormen, Giuseppe Trimarchi, Emilio Tucci, Giuseppe Vaciago, Matteo Verzaro, Luigi Viola, Valentina Viti, Giulio Votano, Raimondo Zagami, Alessandro Zagarella, Ignazio Zangara, Maria Zinno, Martino Zulberti, Antonio Dimitri Zumbo
Direttore scientifico Giuseppe Cassano
Diritto di Internet 2 2019
Gli osservatori on line <www.dirittodiinternet>
Ettore Battelli, Maurizio Bellacosa, Alberto M. Benedetti, Giovanni Bruno, Alberto Cadoppi, Ilaria Caggiano, Stefano Canestrari, Giovanna Capilli, Giovanni Capo, Andrea Carinci, Alfonso Celotto, Sergio Chiarloni, Antonio Cilento, Donatello Cimadomo, Renato Clarizia, Giuseppe Colangelo, Giovanni Comandè, Claudio Consolo, Pasquale Costanzo, Gaspare Dalia, Eugenio Dalmotto, Enrico Del Prato, Astolfo Di Amato, Francesco Di Ciommo, Giovanni Di Lorenzo, Fabiana Di Porto, Ugo Draetta, Giovanni Duni, Alessandro Fabbi, Raffaele Fabozzi, Valeria Falce, Mariangela Ferrari, Francesco Fimmanò, Giusella Finocchiaro, Carlo Focarelli, Vincenzo Franceschelli, Massimo Franzoni, Federico Freni, Tommaso E. Frosini, Maria Gagliardi, Cesare Galli, Alberto M. Gambino, Lucilla Gatt, Aurelio Gentili, Stefania Giova, Andrea Guaccero, Antonio Gullo, Bruno Inzitari, Luigi Kalb, Luca Lupária, Amina Maneggia, Vittorio Manes, Adelmo Manna, Arturo Maresca, Ludovico Mazzarolli, Raffaella Messinetti, Pier Giuseppe Monateri, Mario Morcellini, Antonio Musio, Raffaella Nigro, Angelo Giuseppe Orofino, Nicola Palazzolo, Giovanni Pascuzzi, Roberto Pessi, Valentina Piccinini, Lorenzo Picotti, Dianora Poletti, Alessandro Sammarco, Giovanni Sartor, Filippo Satta, Paola Severino, Caterina Sganga, Pietro Sirena, Giorgio Spangher, Giovanni Maria Riccio, Francesco Rossi, Elisa Scaroina, Serena Serravalle, Marcello Stella, Paolo Stella Richter, Giancarlo Taddei Elmi, Bruno Tassone, Giuseppe Trimarchi, Luigi Carlo Ubertazzi, Paolo Urbani, Romano Vaccarella, Daniela Valentino, Giovanni Ziccardi, Andrea Zoppini, Martino Zulberti
Issn: 2612-4491
Il comitato di referaggio
Comitato scientifico Michele Ainis Maria A. Astone Alberto M. Benedetti Giovanni Bruno Alberto Cadoppi Stefano Canestrari Giovanni Capo Andrea Carinci Antonio Catricalà Sergio Chiarloni Renato Clarizia Alfonso Celotto Giovanni Comandè Claudio Consolo Giuseppe Corasaniti Pasquale Costanzo Enrico Del Prato Astolfo Di Amato Ugo Draetta Francesco Di Ciommo Giovanni Duni Valeria Falce Francesco Fimmanò Giusella Finocchiaro Carlo Focarelli Giorgio Floridia Vincenzo Franceschelli Massimo Franzoni Tommaso E. Frosini Cesare Galli Alberto M. Gambino Lucilla Gatt Aurelio Gentili Andrea Guaccero Bruno Inzitari Luigi Kalb Luca Lupária Vittorio Manes Adelmo Manna Arturo Maresca Ludovico Mazzarolli Raffaella Messinetti Pier Giuseppe Monateri Mario Morcellini Nicola Palazzolo Giovanni Pascuzzi Roberto Pessi Lorenzo Picotti Francesco Pizzetti Dianora Poletti Giovanni Sartor Filippo Satta Paola Severino Pietro Sirena Antonello Soro Giorgio Spangher Paolo Stella Richter Luigi Carlo Ubertazzi Romano Vaccarella Daniela Valentino Giovanni Ziccardi Andrea Zoppini
Diritto di INTERNET
Digital Copyright e Data Protection RIVISTA TRIMESTRALE
2019 23 14 IN EVIDENZA
• Internet e l’età dei “non” diritti • Democrazia elettronica. Funzionamento, vantaggi e possibili brogli
• Lo statuto della responsabilità del provider • Riders e tutele: il caso Foodora • Link e violazione del diritto d’autore • Foto di minori e autorizzazione dei due genitori • Bitcoin nella procedura fallimentare • Nomi di dominio, illeciti in Internet e competenza • Recensioni on line. Per sempre? • Estorsione via chat • Diritto penale e trattamento illecito dei dati personali
• Il Consiglio di Stato alle prese con l’algoritmo • Shadow economy, turismo e la cd. Airbnb tax • Il processo telematico alla prova dei fatti Pacini
DIRITTO DI INTERNET • ANNO I
SOMMARIO ■■SAGGI I “NON” DIRITTI AL TEMPO DI INTERNET di Alfonso Celotto 235 LA DEMOCRAZIA ELETTRONICA TRA SOCIAL NETWORK, BIG DATA E PROBLEMI DI SICUREZZA di Giovanni Ziccardi 239
■■GIURISPRUDENZA EUROPEA IL TRATTAMENTO COMPLETO, INTEGRATO E AUTOMATIZZATO DEI DATI DELLE OPERAZIONI BANCARIE NON GARANTISCE IL CORRENTISTA DISATTENTO 245 Corte di Giustizia UE; sezione X; sentenza 21 marzo 2019, causa C-245/2018 commento di Antonio Davola 247
COSTITUZIONALE LA NOTIFICAZIONE DEGLI ATTI GIUDIZIARI VIA POSTA ELETTRONICA CERTIFICATA. LE PIÙ RECENTI PRONUNCE DELLA CORTE COSTITUZIONALE E DELLE SEZIONI UNITE DELLA CORTE DI CASSAZIONE 255 Corte Costituzionale; sentenza 9 aprile 2019 n. 75 Corte di Cassazione; Sezioni Unite; sentenza 25 marzo 2019 n. 8312 commento di Fabrizio Sigillò 255
CIVILE IL RUOLO ATTIVO DEGLI INTERMEDIARI DI INTERNET E LA CONSEGUENTE RESPONSABILITÀ CIVILE 261 Corte di Cassazione; sezione I civile; sentenza 19 marzo 2019, n. 7708 Corte di Cassazione; sezione I civile; sentenza 19 marzo 2019, n. 7709 commento di Roberto Panetta 273 commento di Angelo Maria Rovati 280 RIDERS E TUTELE: UNICUIQUE SUUM 289 Corte d’Appello di Torino; sentenza 4 febbraio 2019, n. 26 commento di Matteo Verzaro 292 ILLECITI CONCORRENZIALI VIA INTERNET E FORO COMPETENTE. I CASI DEL CARICAMENTO SU PIATTAFORMA AMAZON E DELL’ABUSIVO UTILIZZO DEL DOMAIN NAME 297 Tribunale di Torino; sez. spec. imprese; ordinanza 1 aprile 2019 Tribunale di Bologna; sez. spec. imprese; decreto 31 dicembre 2018 commento di Marcello Stella 299 FOTO DI MINORI E AUTORIZZAZIONE DEI DUE GENITORI 303 Tribunale di Rieti; sezione civile; ordinanza 7 marzo 2019 commento di Aurora Cavo 306 commento di Antonio Scalera 311 UN PRECEDENTE DI RESPONSABILITÀ DEL SOCIAL NETWORK PER ATTIVITÀ ABUSIVA DI LINKING 315 Tribunale di Roma; sez. spec. imprese; sentenza 15 febbraio 2019 commento di Giuseppe Cassano 321
DIRITTO DI INTERNET N. 2/2019
233
DIRITTO DI INTERNET • ANNO I L’HOSTING PROVIDER TRA LIBERTÀ DI IMPRESA, DIRITTO DI CRITICA E TUTELA DELLA REPUTAZIONE PROFESSIONALE 329 Tribunale di Roma; Sezione Diritti della Persona e Immigrazione; ordinanza 1 febbraio 2019 commento di Edoardo Palazzolo 332 LA RESPONSABILITÀ DEL GESTORE DI PIATTAFORME DIGITALI PER IL DEPOSITO E LO SCAMBIO DI CRIPTOVALUTE 337 Tribunale di Firenze; sez. fallimentare; sentenza 21 gennaio 2019 commento di Marco Krogh 342
PENALE ESTORSIONE VIA CHAT E GRAVI INDIZI DI COLPEVOLEZZA NEL PROCEDIMENTO CAUTELARE 353 Corte di Cassazione; sezione II penale; sentenza 28 febbraio 2019, n. 8794 Commento di Alessio Gaudieri 355 IL TRATTAMENTO ILLECITO DI DATI ALL’INDOMANI DEL REGOLAMENTO PRIVACY. PRIME IPOTESI APPLICATIVE 365 Tribunale di Bologna; sez. penale; sentenza 10 gennaio 2019 commento di Alessandra Santangelo 370
AMMINISTRATIVA EVOLUZIONE TECNOLOGICA E TRASPARENZA NEI PROCEDIMENTI “ALGORITMICI” 377 Consiglio di Stato; sezione IV; sentenza 8 aprile 2019, n. 2270 commento di Stefano Crisci 380 LA TASSAZIONE DELLE LOCAZIONI BREVI ATTRAVERSO LE PIATTAFORME DIGITALI: IL CASO DELLA CD. “AIRBNB TAX” 385 T.a.r. Lazio, Roma; sezione II-ter; sentenza 18 febbraio 2019, n. 2207 commento di Carmine Marrazzo 391 commento di Stefano Piacentini 396 SULLA PUBBLICAZIONE TELEMATICA DEI PROVVEDIMENTI DI AMMISSIONE DELLE IMPRESE CONCORRENTI 401 T.a.r. Puglia, Bari; sezione I; sentenza 24 gennaio 2019, n. 109 commento di Angelo Giuseppe Orofino 402
■■PRASSI LE DISPOSIZIONI SULLA TELEMATIZZAZIONE DEL PROCESSO PER RESPONSABILITÀ CONTABILE AMMINISTRATIVA CON RIGUARDO ANCHE ALLA DISCIPLINA DEL CODICE DELL’AMMINISTRAZIONE DIGITALE (CAD) di Alfonso Contaldo 405 IL PROCESSO TELEMATICO ALLA PROVA DEI FATTI. DIECI DUBBI E RELATIVI CHIARIMENTI ALLA LUCE DELLA GIURISPRUDENZA RECENTE di Maurizio Reale 425
234
DIRITTO DI INTERNET N. 2/2019
SAGGI
I “non” diritti al tempo di internet di Alfonso Celotto Sommario: 1. La crisi dei diritti. – 2. I nuovi diritti in rete. – 3. L’impatto di internet sui diritti classici. – 4. L’impatto delle tecnologie è soltanto uno degli aspetti problematici dei diritti. – 5. L’indebolimento delle tutele. Si potrebbe pensare, in continuità all’intuizione di Bobbio, che lo sviluppo tecnologico possa aver portato a un consolidamento e ad un ampliamento dei diritti dell’uomo. Invece sta accadendo esattamente il contrario, in quanto internet sta rendendo più problematica la tutela dei diritti tradizionali e sta facendo emergere tutta una serie di nuove problematiche (si pensi alla riservatezza), aumentando le diseguaglianze e indebolendo le tutele. Andiamo verso una età dei “non” diritti? It could be thought, in continuity with Bobbio’s intuition, that technological development could have led to a consolidation and an expansion of human rights. Instead, exactly the opposite is happening: internet is making the protection of traditional rights more problematic and is bringing out a whole series of new problems (e.g. privacy), increasing inequalities and weakening protections. Are we moving towards an age of “non” rights?
1. La crisi dei diritti
La crisi della nostra forma di Stato impatta anche sul mondo dei diritti. Dopo decenni di lotta “per” i diritti, oggi ci accorgimento di come le nuove tecnologie e la globalizzazione stiano mettendo “in crisi” i diritti, anche per l’esigenza di cercare nuove forme di tutela che possano fronteggiare adeguatamente la “fluidità” delle situazioni giuridiche soggettive. Una delle cause sono sicuramente le nuove tecnologie. Come sappiamo internet è il più grande spazio comune che l’umanità abbia mai conosciuto (1). Uno spazio di comunicazione e informazione fondato su un linguaggio che consente ai computer di parlarsi tra loro, con tecnologie di proprietà privata, governato da autorità che per ora restano fondamentalmente tecniche e che persegue soprattutto finalità di mercato. Internet, tuttavia, consente anche lo sviluppo di nuove forme di rapporti sociali, incidendo inevitabilmente anche sulle forme di stato e di governo. Dal punto di vista della regolazione giuridica, internet è un fenomeno incommensurabile: non può essere disciplinato con gli strumenti normativi tradizionali. Si tratta di una rivoluzione epocale, un po’ come quando emerse l’esigenza di regolare il diritto del mare e ci si rese conto che era impossibile farlo con il semplice nomos della terra (2): oggi non è certo pensabile di poter regolare la rete con i tradizionali strumenti legislativi dei singoli Stati (3).
(1) Per una lucida sintesi dei problemi dei diritti rispetto al mondo di internet, cfr. per tutti Rodotà, Il mondo nella rete. Quali diritti, quali vincoli, Roma - Bari, 2014. (2) Schmitt, Il nomos della terra nel diritto internazionale dello “jus publicum europaeum” (1950), ed. it., Milano, 1991. (3) Marongiu, Organizzazione e diritto di internet, Milano, 2013; e, da ultimo, Carotti, Il sistema di governo di internet, Milano, 2016.
Per semplificare, rispetto ai diritti emergono due ambiti di problemi: da un lato, lo sviluppo di internet impone di valutare la regolazione di nuovi diritti; dall’altro, va ad intaccare i diritti tradizionali.
2. I nuovi diritti in rete
Dal primo punto di vista, va innanzitutto considerato l’accesso a internet (4). Gran parte della popolazione mondiale non riesce a utilizzare le opportunità offerte dalle tecnologie digitali, sia per questioni di età e di alfabetizzazione informatica, sia per questioni geografiche e sociali. Come osserva il Rapporto ONU 2011: «essendo internet diventato uno strumento indispensabile per rendere effettivo un gran numero di diritti fondamentali, per combattere la diseguaglianza e per accelerare lo sviluppo e il progresso civile, la garanzia di un accesso universale a internet deve rappresentare una priorità per tutti gli Stati» (5). Si tratta allora di capire come superare il digital divide (6) e configurare un diritto di accesso a internet. Alcuni più che di esclusione da internet addirittura parlano di “segregazione”, mettendo in evidenza come chi resta escluso da internet resta al di fuori della possibilità di contribuire alla costruzione del mondo futuro (7).
(4) Riconosciuto, ad es., dal Conseil constitutionnel francese con sent. n. 580/2009. (5) La Rue, Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, ONU – Assemblea Generale, 16 - 5 - 2011. (6) Si ritiene che il termine sia stato utilizzato per la prima volta dal vice - Presidente USA Al Gore in un discorso del 1996 in Tennessee: «That our children will never be separated by a digital divide». (7) De Biase - Soldavini, Diritti e digital divide, in Atlante Geopolitico, Treccani, Roma, 2013; cfr. anche Venanzoni, Dissolvenze: il diritto pubblico davanti a Internet, in Ciberspazio e Diritto, 2016, 227 ss.
DIRITTO DI INTERNET N. 2/2019
235
SAGGI All’opposto si pone il problema di non tracciare le attività in rete (diritto a rendere silenzioso il chip) e di poter cancellare le informazioni personali. Oggia siamo continuamente “seguiti” dai cellulari e dalla rete, trasformando la nostra persona in una specie di “io digitale”. In pratica, veniamo “mappati” sulla base di tutta la serie di dati digitali di cui lasciamo traccia. Non si pone soltanto un problema di come far evolvere il tradizionale diritto alla riservatezza, ma sorge anche una posizione giuridica del tutto nuova: possiamo parlare di diritto all’oblio (8), cioè del diritto alla non diffusione di informazioni personali in rete, dove l’”io digitale” resta sempre accessibile e sempre disponibile (come nel caso Google c. Agenzia spagnola dati personali) (9). Internet è come il Funes di Borges (10): condannato a ricordare tutto, deve imparare a dimenticare. Si tratta di una questione di così grande impatto, che inizia a porsi anche dopo la morte dell’interessato (11): che cosa fare dei “profili” e dei dati dei defunti? Chi può accedervi dopo la morte (12)?
(8) Cfr. M. Mezzanotte, Il diritto all’oblio. Contributo allo studio della privacy storica, Napoli, 2009 e Soro, Oblio, identità, memoria, in questa Rivista, 2019, 3. (9) Deciso dalla C. Giust. UE con sent. 13 - 5 - 2014, C - 131/12, osservando «si deve verificare in particolare se l’interessato abbia diritto a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che la constatazione di un diritto siffatto presupponga che l’inclusione dell’informazione in questione in tale elenco arrechi un pregiudizio a detto interessato. Dato che l’interessato può, sulla scorta dei suoi diritti fondamentali derivanti dagli articoli 7 e 8 della Carta, chiedere che l’informazione in questione non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati, i diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l’ingerenza nei suoi diritti fondamentali è giustificata dall’interesse preponderante del pubblico suddetto ad avere accesso, in virtù dell’inclusione summenzionata, all’informazione di cui trattasi». (10) Il riferimento è al racconto Funes el memorioso, contenuto in Finzioni, 1944. (11) Ziccardi, Il libro digitale dei morti, Torino, 2017. (12) L’art. 2 - terdecies del c.d. Codice della Privacy (D.lgs. n. 196 del 2003) prevede che i diritti “riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”. Eppure sono noti a tutti i casi in cui viene negato l’accesso al telefonino o al computer altrui bloccati da password. Come nel caso del padre di Dama, il ragazzo di origini etiopi morto a 13 anni, a cui è stato ripetutamente negato il diritto di accedere al cellulare del figlio.
236
DIRITTO DI INTERNET N. 2/2019
3. L’impatto di internet sui diritti classici
Dal secondo punto di vista, va considerato l’impatto della tecnologia sui diritti tradizionali. Emblematico è il preambolo della Carta dei diritti fondamentali dell’Unione Europea ove si sottolinea la necessità impellente di «rafforzare la tutela dei diritti fondamentali alla luce dell’evoluzione della società, del progresso sociale e degli sviluppi scientifici e tecnologici». Innanzitutto è un problema dei nuovi mezzi di informazione e comunicazione, con i riflessi su riservatezza, protezione dei dati personali, tutela della libertà di comunicazione e manifestazione del pensiero. In quest’ambito si tratta innanzitutto di verificare come «ritenere comprese nelle già esistenti garanzie costituzionali le nuove modalità di azione offerte dalla rete» (13). Si prenda, ad es., il caso dell’accesso a Facebook: non occorre individuare un nuovo diritto fondamentale, visto che è possibile ricomprenderlo negli artt. 15 e 21 Cost., che tutelano la libertà di comunicazione «in ogni altra forma» e la libertà di manifestazione del pensiero con «ogni altro mezzo di diffusione» e nei profili di tutela di identità e riservatezza (14). Ma non si sa fino a quando sarà sufficiente. Altrettando accade con il diritto di accesso. Abbiamo diritto ad accedere agli algoritmi, a sapere come le macchine decidono i procedimenti che riguardano anche le nostre persone? Emergono problemi di sicurezza, ma anche di tutela della proprietà intellettuale dei creatori degli algoritmi. Così la giurisprudenza si divide. Le Corti USA negano l’accesso nel caso Loomis (15), i giudici amministrativi italiani lo concedono per i procedimenti di trasferimento degli insegnanti (16).
(13) Rodotà, Il mondo nella rete. Quali diritti, quali vincoli, Roma - Bari, 2014, 12. (14) In linea con quanto prevedono l’art. 19 della Dichiarazione universale dei diritti ONU, l’art. 11 CEDU e l’art. 10 della Convenzione Europea dei diritti dell’uomo. Da ultimo, Bianca - Gambino - Messinetti, Libertà di manifestazione del pensiero e diritti fondamentali: profili applicativi nei social network, Milano, 2016. (15) In Wisconsin, un imputato di nome Eric Loomis, afro - americano, è stato condannato a sei anni di reclusione sulla base di un algoritmo Compas che lo classificava come ad alto rischio di recidiva sulla base di una serie di dati forniti al sistema. Nel 2016 la Corte suprema dello stato ha affermato la legittimità della procedura, rigettando il ricorso di Loomis, in ragione della prevalenza dei diritti dei produttori degli algoritmi, rispetto al diritto all’equo processo. Nel 2017 la Corte suprema USA ha declinato la propria competenza. Eppure il programma Compas è stato fatto oggetto di significative polemiche dubitando che avesse effetti discriminatori, per essere stato programmato con tutti i precedenti giudiziari. (16) Rispetto alla procedura di mobilità dei docenti 2016 - 17 (c.d. buona scuola), gestita con un algoritmo, il TAR Lazio ha sancito che, nel caso in cui algoritmi vengano utilizzati per l’attività amministrativa, deve essere sempre garantito il diritto di accesso all’algoritmo (cfr. sentenza Sez. III bis, n. 3769/2017, nell’ Osservatorio del @ Diritto Costituzionale Telematico di Alfonso Celotto e Giovanna Pistorio, di questa Rivista, all’indirizzo <http://dirittodiinternet.it/diritto-accesso-allalgoritmo-tar-lazio-a-
SAGGI Altro versante, che implica profili forse ancora più allarmanti, riguarda gli impatti della bioetica, che vanno dal diritto alla vita e alla salute, dalla fecondazione assistita alla eutanasia, mettendo in discussione gli stessi canoni essenziali della persona umana e quindi della sua proiezione giuridica (17). Ad ogni modo, oggi siamo soltanto in una fase iniziale e di transizione: lo sviluppo della scienza e della tecnologia non farà che ampliare tali problematiche, estendendole anche ai profili di intersezione fra i diritti delle persone e i diritti degli automi. Comunque, il problema del futuro tecnologico dei diritti era già stato intuito da Bobbio, auspicando «che la storia conduca al Regno dei diritti dell’uomo anziché al Regno del Grande Fratello» (18).
4. L’impatto delle tecnologie è soltanto uno degli aspetti problematici dei diritti
Oggi il mondo dei diritti è tanto caotico e disordinato, al punto da essere giustamente ritenuto in “subbuglio” (19): non solo per l’impatto delle nuove tecnologie, ma anche per la loro moltiplicazione e universalizzazione. La moltiplicazione dei diritti era già stata limpidamente immaginata da Bobbio, in ragione dell’aumento della quantità di beni considerati meritevoli di tutela e dell’ampliamento dei titolari di diritti (20). Ma di certo non era prevedibile quella che è ormai una vera e propria esplosione (21). Le Costituzioni più recenti e una serie sempre più ampia di Carte internazionali hanno enunciato nuovi diritti, creando anche conflitti fra i livelli di tutela, per la difficoltà di rinvenire standard minimi comuni e la
pre-nuovi-scenari//>, con breve annotazione di Bellini, Diritto di accesso all’algoritmo, TAR Lazio apre nuovi scenari); e da ultimo Cons. Stato sent. 8 aprile 2019, n. 2270, in questa Rivista, 2019, 377, con nota di Crisci , Evoluzione tecnologica e trasparenza nei procedimenti “algoritmici”. (17) Sui diversi profili, cfr. Rodotà - Zatti (a cura di), Trattato di biodiritto, 6 voll., Milano, 2010 - 2012; Agosta, Bioetica e Costituzione, Milano, 2012; Casonato, Introduzione al biodiritto, Torino, 2013; Canestrari, Bioetica e diritto penale: materiali per una discussione, Torino, 2014; Marra, Disabilità, bioetica e ragionevolezza, Padova, 2016; d’Avack, Il progetto filiazione nell’era tecnologica: percorsi etici e giuridici, Torino, 2016. (18) Bobbio, L’età dei diritti, Torino, 1990, 249. I diritti umani devono cioè restare garanzia della persona umana contro ogni forma di potere e non certo diventare essi stessi strumento di esercizio di potere (cfr. anche Cartabia, In tema di “nuovi” diritti, in Scritti in onore di F. Modugno, Napoli, 2011, I, 643). (19) Glendon, Tradizioni in subbuglio (2006), ediz. it. Soveria Mannelli, 2009. (20) Bobbio, L’età dei diritti, cit., 66 ss. (21) Secondo la terminologia di Ferrarese, Il diritto al presente: globalizzazione e tempo delle istituzioni, Bologna, 2002, 65 ss.
varietà di approcci esegetici (22). Ma sono state soprattutto le Corti costituzionali ad operare un significativo ampliamento interpretativo dei diritti da tutelare. Purtroppo in chiave analitica e non certo sistematica, per le caratteristiche proprie dell’operare dei giudici. Il quadro si complica ancora di più perché i diritti fondamentali sono anche un grande «campo di battaglia» fra le diverse visioni (politiche, culturali, religiose) del mondo, quanto meno su tre versanti: • a livello sociale, possiamo assistere a una proliferazione di nuovi diritti, sia a carattere individuale sia collettivo: come il diritto al cibo (23), all’acqua, ad essere amati, all’accesso a Internet, all’autodeterminazione dei popoli, all’integrità genetica della persona. Sono diritti rivendicati da organizzazioni e movimenti nazionali e internazionali, da minoranze linguistiche e culturali, partiti, sindacati, organizzazioni, gruppi. Molto spesso difficili da attuare. • in politica internazionale, la difesa dei diritti umani è divenuta una forma di imperialismo, comportando boicottaggi economici e interventi militari, spesso sulla base di deliberazioni ONU: così i diritti diventano strumento di guerra e, anzi, pretesto per gli interventi militari. • sul versante economico, i diritti sono diventati il campo di rilevanti interessi, soprattutto da parte dei grandi gruppi: così possono essere spiegati movimenti che affermano il diritto al turismo, il diritto al gioco d’azzardo, il diritto al fumo o all’uso libero delle droghe leggere. In tal ambito i diritti vengono sbandierati per legittimare campagne commerciali e muovere interessi. Insomma, i diritti sono divenuti «veleno e cura del loro stesso veleno», ambiguamente bifronti: «sono stati, ancora sono, strumento di un imperialismo culturale che apre la strada all’imperialismo economico e sociale attraverso la distruzione delle culture che sono incompatibili con lo sviluppo economico, sociale e politico di cui essi sono presupposto», ma, nello stesso tempo, sono «anche argine e difesa» contro l’imperialismo stesso (24). In fondo, oggi accade spesso che i diritti umani, «anziché servire allo scopo originario di baluardo della persona umana contro le degenerazioni del potere […]
(22) Cfr. Teubner, Nuovi conflitti costituzionali, ed. it., Milano, 2012, specie 141 ss. (23) Ad es., Gusmai, Il diritto fondamentale al cibo adeguato tra illusioni e realtà, in <www.dirittifondamentali.it>, 2015. (24) Le parole sono di Pitch, L’antropologia dei diritti umani, in Giasanti - Maggioni, I diritti nascosti. Approccio antropologico e prospettiva sociologica, Milano, 1995, 195 s.; cfr. anche Latouche, L’occidentalizzazione del mondo (1989), Torino, 1992, 142 ss.; da ultimo, Algostino, I diritti umani e la sfida dell’universalità, in <www.dirittifondamentali.it>, 2017, 23; Olivetti, I diritti fondamentali. Lezioni, Foggia, 2015, 39.
DIRITTO DI INTERNET N. 2/2019
237
SAGGI diventano essi stessi – magari in buona fede – strumenti di potere» (25).
5. L’indebolimento delle tutele
Ma il lato oscuro e davvero paradossale di questa moltiplicazione (e forse degenerazione) dei diritti riguarda la loro effettiva tutela. Attualmente non assistiamo a un accrescimento complessivo di tutele, ma anzi a un loro indebolimento. In via generale, questa massa di nuovi diritti – apparentemente universalizzati e planetari (26) – viene soltanto affermata e pretesa ma non certo effettivamente protetta, anche perché molti di tali nuovi diritti sono a base sociale – strutturalmente incompiuti (27), ineffettivi e inascoltati (28) – comportano (costose) prestazioni positive da parte degli Stati (29). Del resto, i diritti non sono mai “a somma zero”, nel senso che «ogni progresso nel riconoscimento di un diritto o nella garanzia di una libertà comporta un regresso nel riconoscimento di un altro diritto o nella garanzia di un’altra libertà» (30). A ciò si aggiunge, poi, che spesso gli interventi internazionali a tutela dei diritti in singoli Stati comportano un peggioramento della tutela delle popolazioni. Infatti, le sanzioni internazionali – comunque strumentali alle politiche interventiste delle grandi potenze – implicano misure restrittive (spedizioni militari, boicottaggi commerciali, embarghi) che toccano soprattutto per gli strati più inermi della popolazione dello Stato sanzionato, restringendone ulteriormente i diritti (31) (gli esempi, negli anni, sono noti a tutti: Iran, Iraq, Jugoslavia, Siria, Corea del Nord, Libia). Questo è forse il più grande problema di questi anni: il rischio che molti dei diritti restino sulla carta o nelle parole. Può sembrare assurdo, ma anche le prime due generazioni di diritti soffrono limitazioni significative: i
classici diritti di libertà, soprattutto la libertà personale e quella di manifestazione del pensiero, hanno subito limitazioni in nome della sicurezza per regole antiterrorismo molto invadenti e quasi stabilizzate (in una contraddittoria normalizzazione dell’emergenza); dall’altro lato, i diritti sociali vengono affievoliti in nome delle esigenze del pareggio di bilancio e degli effetti della crisi economica (32). Siamo di fronte a una fase di regressione nella tutela dei diritti (33), che potrebbe incidere anche sull’esigenza di proteggere i diritti delle generazioni future: il problema sarà capire se è solo una fase temporanea o lascerà tracce permanenti. Ci avviamo davvero vero l’età dei “non” diritti?
(25) Così Cartabia, In tema di “nuovi” diritti, cit., 643. Sulla questione che la rivoluzione digitale possa creare diseguaglianze, cfr. Franceschelli, Emarginazione digitale, in questa Rivista, 2019, 7. (26) In sintesi Costa, Diritti fondamentali (storia), in Enc. dir., Annali, II, 2, Milano, 2008, 407 ss.; Ridola, Diritti costituzionali, in Enc. giur., Milano, 2007, 5 ss. (27) Nel senso di non avere una precisa e univoca consistenza sostanziale che ne ammette la tutela di là di precisi interventi attuativi, che spesso comportano il riconoscimento di prestazioni; da ultimo, Baldini, Che cosa è un diritto fondamentale. La classificazione dei diritti fondamentali. Profili storico - teorico - positivi, in <www.dirittifondamentali.it>, 2016, 53. (28) Cfr. Zolo, Nuovi diritti e globalizzazione, in XXI Secolo, Treccani, Roma 2009. (29) Bobbio, L’età dei diritti, cit., 66 ss. (30) Bin, I diritti di chi non consuma, in <www.forumcostituzionale.it>, 2007, 1. (31) Cfr. Riccobono, Diritti, in Enciclopedia Italiana – VI App., Roma, 2000, 5.
238
DIRITTO DI INTERNET N. 2/2019
(32) Algostino, I diritti umani e la sfida dell’universalità, in <www.dirittifondamentali.it>, 2017, 5. (33) Cfr. De Minico, Costituzione, emergenza e terrorismo, Napoli, 2016; nonché i contributi raccolti nei due volumi Consorti - Dal Canto - Panizza, Libertà di espressione e libertà religiosa in tempi di crisi economica, Pisa, 2016 e Id., Le libertà spaventate, Pisa, 2016; in particolare, sinteticamente, il contributo di Rossi, Alcune considerazioni sul bilanciamento, ivi, 63 ss.
SAGGI
La democrazia elettronica tra social network, big data e problemi di sicurezza di Giovanni Ziccardi Sommario: 1. Alcune questioni introduttive. – 2. La centralità dei social network in politica. – 3. I timori, i lati oscuri e una possibile dittatura dell’algoritmo. – 4. La sicurezza dei sistemi consultivi, il timore di attacchi e brogli e la necessaria attenzione a un uso etico delle tecnologie. L’idea di “democrazia elettronica” riunisce tanti aspetti che sono d’interesse per il giurista. L’uso innovativo dei social network nell’attività politica, l’automazione dei processi consultivi ed elettorali, l’uso di piattaforme per il dibattito, ma anche la sicurezza degli strumenti utilizzati e la protezione da attacchi informatici e brogli. In questo saggio si illustrano le tematiche più importanti e si propongono alcune riflessioni e soluzioni. The concept of “electronic democracy” brings together many aspects that are of interest for the jurist. Some of them are: the innovative use of social networks in political activities, the automation of consultative and electoral processes, the use of platforms for the debate, but also the security of the tools used and the protection from cyber attacks and frauds. This essay illustrates the most important issues and proposes some reflections and solutions.
1. Alcune questioni introduttive
Le nuove tecnologie hanno rivoluzionato molti aspetti dell’attività politica, sin dall’apparire del personal computer, dell’attenzione dei primi hacker e dei primi movimenti volti a “liberare” i computer dai laboratori e permettere, finalmente, “un computer per tutti” (1): un simile statement dovrebbe essere ormai chiaro anche al semplice curioso di temi che stanno appassionano l’intera società. Meno chiaro (anche all’interprete) risulta, invece, comprendere in che direzione si andrà nei prossimi anni. Il prevedere il futuro dell’evoluzione tecnologica è esercizio assai rischioso, e quasi impossibile da completare, in una società dell’informazione dove diventa complesso già prevedere il presente. Di certo, in meno di dieci anni la rete e i social network sono riusciti a disegnare un quadro completamente differente rispetto al passato: un panorama che ha intaccato certezze, e prospettato all’orizzonte nuovi timori (2). Al centro del dibattito vi sono, oggi, ancora i big data che circolano sui social network, e il loro destino (3).
(1) Il periodo storico cui ci si riferisce è ben delineato – con puntuali richiami sia storico-politici, sia tecnologici – in Turner, From Counterculture to Cyberculture, Chicago, 2006 e in Sadin, La siliconizzazione del mondo, Milano, 2018. Sia consentito il rinvio, su tali temi, a Ziccardi, Tecnologie per il potere, Milano, 2019 e, sulla storia dell’hacking, a Id., Hacker – Il richiamo della libertà, Venezia, 2011.
La possibilità, anche in capo a un singolo individuo, di raccoglierli, gestirli, “ammaestrarli” e sfruttarli a proprio vantaggio – grazie a un certosino lavoro di analisi conoscitiva in tempo reale e (persino) predittiva – è il fattore che ha completamente mutato le regole del gioco operative ed elettorali (4). Non ci si deve stupire, pertanto, se il “far politica”, oggi, sia diventato, per la maggior parte del tempo, un’operazione di analisi ed elaborazione di dati su larga scala. Il futuro della politica connessa appare diviso, innanzitutto, in tanti piccoli gruppi di profili digitali che saranno “sezionati” e analizzati con cura e con la massima precisione possibile per comprenderne il passato, il presente e il futuro, gli orientamenti e le indecisioni, i gusti e le attività svolte nel sempre maggior tempo trascorso in rete. Per profilare l’elettore è già utilizzato qualsiasi impulso digitale da lui (o lei) rilasciato online: un test (anche apparentemente innocuo), un quiz, il conteggio dei minuti di visualizzazione di un video, i check-in effettuati in un determinato luogo (locale ricreativo o esercizio commerciale che sia), i “mi piace” rilasciati su profili propri e altrui, la rete sociale e mentale che si crea ad ogni istante attraverso i propri contatti, le fotografie condivise, i termini e gli hashtag scelti, il movimento di dita e polpastrelli su uno schermo touch e, in definitiva, qualsiasi altra informazione che possa fornire indizi circa un aspetto della psiche di una persona e che sia processabile da un calcolatore. I dati tradizionali che sono sempre stati raccolti – nome, cognome, luogo di residenza, indirizzo IP, profilo sociale
(2) Si veda, sul punto, il sempre illuminante Rodotà, Il mondo nella rete, Roma-Bari, 2014. (3) Con riferimento alle tecnologie più innovative (e disruptive) che hanno cambiato (anche) il quadro della politica tecnologica si veda Greenfield, Tecnologie radicali, Torino, 2017.
(4) Per un panorama completo sul presente e il futuro del quadro tecnologico di sfondo, e l’idea della persona nella società dell’informazione (“onlife”), si veda Floridi, La quarta rivoluzione, Milano, 2018.
DIRITTO DI INTERNET N. 2/2019
239
SAGGI – si fonderanno sempre più con i dati non visibili, o lasciati involontariamente in rete, per generare un profilo elettronico che sarà ancora più preciso di quello fisico. Anzi: diventerà ben presto più importante la conoscenza del corpo elettronico dell’elettore rispetto quella del suo essere “fisico” in società: vi è la corsa, insomma, all’estrazione della sua opinione digitale. Politica, big data e social network celebreranno questa inscindibilità con la possibilità innovativa di analizzare e raccogliere solamente i dati che realmente interessano all’analista, escludendo tutti gli altri (riducendo, così, il “rumore di fondo”) e puntando a cercare di mantenere (e alimentare) la passione politica unicamente nei propri “seguaci” (con comunanza di vedute e di interessi), più che tentare di far cambiare idea a chi manifesta posizioni contrarie o indecise. Non affascina più, in molti contesti, la ricerca di dati e posizioni nuove, o la tradizionale arte della persuasione politica, intesa anche come il cercare di far cambiare idea a un oppositore. Fondamentale è diventato il consolidamento di dati già esistenti e noti, per anticipare le esigenze dell’elettore o per creare sempre più “bolle” impermeabili non solo alle novità ma, sovente, anche alle verità (5).
2. La centralità dei social network in politica
I social network sono diventati, naturalmente, la miniera dei big data: soprattutto Facebook, dove l’utente espone un livello molto personale di sé stesso (rendendo così più profonda la possibilità di profilazione), e Twitter, più utile e importante, invece, per la rapidità di circolazione dei messaggi e per la facilità di analisi statistica di ciò che accade grazie a una maggiore trasparenza nel suo funzionamento. Nonostante l’apparente rigore che le aziende si dovrebbero imporre dopo la vicenda che ha coinvolto Cambridge Analytica (6), e l’attenzione legislativa ai diritti dei soggetti sottoposti a profilazione grazie all’entrata in vigore, nel 2016, del Regolamento Generale per la Protezione dei dati (GDPR), i dati degli utenti che circolano sulle piattaforme sociali rimangono, ancora oggi, il petrolio che fa gola anche a tutti gli attori dell’agone politico. In particolare, si percepisce un rinnovato interesse, anche da un punto di vista politico, per la profilazione dei minori, soprattutto in vista del loro primo voto, con sempre più iniziative avviate nelle scuole e volte a illustrare pregi e difetti degli ambienti digitali e della informazione online. (5) Si vedano, sul punto, Ferraris, Postverità e altri enigmi, Bologna, 2017; Lorusso, Postverità, Roma-Bari, 2018; Quattrociocchi, Vicini, Liberi di crederci, Torino, 2018. (6) Con riferimento alla vicenda di Cambridge Analytica e ai possibili interventi della Russia durante le elezioni di Trump si veda Harding, Collusion, Milano, 2017.
240
DIRITTO DI INTERNET N. 2/2019
I social network, al contempo, sono diventati un grande ambiente di test: un luogo dove fare delle prove in tempo reale (anche) su argomenti particolarmente divisivi, al fine di monitorare le reazioni delle persone con riferimento a temi di attualità: sicurezza, migranti, fisco, corruzione, grandi opere con forte impatto ambientale e simili. Da un lato, tali test possono permettere l’eliminazione di profili di incertezza con riferimento a linee politiche del partito che siano dubbie. Dall’altro, possono avere la conseguenza di alimentare odio politico (7) o discussioni inutili, o sollevare reazioni scomposte, nel pubblico, su questioni in realtà non attuali o non contingenti. Mai era, però, stata disponibile una piattaforma reale che fornisse su così larga scala la possibilità di avere un feedback immediato generato da “persone vere”: ciò consente al politico, ad esempio, di abbandonare la discussione su un argomento specifico nel momento stesso in cui si percepisca lo stesso come non d’interesse per il proprio elettorato o, al contrario, di cavalcarlo se si noti che è idoneo a destare attenzione e ad attirare commenti. Il tutto, si ricordi, avviene gratuitamente, senza necessità di particolari investimenti e senza, soprattutto, alcun rischio: è sufficiente infatti mutare in fretta il tema di discussione per avviare, di nuovo, la medesima procedura di “ascolto” e dirottare l’attenzione di tutta l’audience sul nuovo argomento. Il problema, però, è che questi big data, questa enorme massa di informazioni, vanno domati. E il domarli è la nuova chiave del successo in politica. Sullo sfondo, si nota ormai chiaramente l’ombra degli algoritmi (8) e, in particolare, il timore costante di perderne il controllo, data la loro segretezza: si pensi al rischio di una profilazione politica che porti, ad esempio, discriminazione sociale o che generi previsioni errate. L’intelligenza artificiale è una tecnologia che tutte le grandi formazioni politiche stanno sperimentando, ma che può ingannare facilmente l’essere umano. Di qui, l’esigenza – ormai da più parti evocata e sempre più sentita – che i sistemi siano trasparenti e che sia chiaro, in ogni momento, il fatto se il dialogo stia avvenendo tra
(7) Sia consentito, sul punto, il rinvio a Ziccardi, L’odio online, Milano, 2016. (8) Si veda da Empoli, La rabbia e l’algoritmo, Venezia, 2017. Di recente sul tema, pur su questione diversa, è intervenuto il Consiglio di Stato 8 aprile 2019, n. 2270, che ha affermato che la decisione amministrativa automatizzata, assunta mediante l’utilizzo di un algoritmo, impone che: a) l’algoritmo e le “regole” in esso espresse siano “conoscibili” secondo una declinazione rafforzata del principio di trasparenza, anche se in un linguaggio differente da quello giuridico; b) la motivazione del provvedimento sia “traslata” nell’algoritmo; c) regola algoritmica sia soggetta alla piena cognizione, e al pieno sindacato, del giudice amministrativo. La decisione è presente in questa Rivista, 2019, 377, con nota di non di Crisci, Evoluzione tecnologica e trasparenza nei procedimenti “algoritmici”.
SAGGI un uomo e una macchina, o tra esseri umani. Il tutto per evitare che simili sistemi generino confusione e possano alterare, in una democrazia, equilibri che sono molto delicati e fragili (9). Questo nodo è molto difficile da sciogliere, per l’interprete, per il semplice fatto che tutte le grandi realtà commerciali, compresi i gestori delle piattaforme sociali, mantengono un segreto assoluto sugli algoritmi (10) e sulle loro modalità di funzionamento, essendo, questo aspetto, il primo valore economico – e segreto commerciale – dell’intero sistema delle grandi società di comunicazione. Se l’algoritmo, allora, è segreto, l’utente che viene profilato si deve in un certo qual modo rassegnare a non poter sapere con quali modalità avvenga questa attività, e se sia discriminatoria o meno nei suoi confronti. Sul campo, durante le sfide elettorali sui social network, gli ultimi anni hanno visto il successo della politica tecnologica “fai da te”: il politico si espone direttamente con gli strumenti tecnologici standard – di solito uno smartphone, o una webcam collocata sulla scrivania – senza più necessità di potenti mezzi di comunicazione e, soprattutto, del supporto dei media. I media, dal canto loro, sono diventati vettori dell’auto-produzione mediatica del candidato: riprendono e ripubblicano sulle prime pagine dei quotidiani, o nei servizi dei telegiornali, i video, gli status su Facebook e i tweet di tutti i politici più in voga (o più estremi). L’uso di strumenti “fai da te” non è pensato tanto per dialogare direttamente con gli elettori (sono rarissimi, si è visto, i politici che investono tempo per rispondere alle osservazioni esposte online dagli utenti), ma per entrare nel loro spazio domestico, nella loro comfort zone, con una continua attività di broadcasting di informazioni sovente elementari e grossolane e, comunque, sempre molto semplici da comprendere. Se i big data e l’uso del digitale sono al centro dell’attività politica, il tema della sicurezza è diventato il fulcro del problema, dato anche l’utilizzo sempre più ampio dell’informatica nelle campagne elettorali. Si è presentata, in molti ambiti, la necessità immediata di impostare preventivamente una strategia di analisi dei rischi, di protezione dei dati e dei dispositivi dello staff e del candidato e della gestione di incidenti che non ha precedenti, e che è tuttora sottovalutata dalla maggior parte dei politici. La sicurezza nelle comunicazioni è diventata, al contrario, centrale, e coinvolge anche il dialogo elettronico quotidiano con amici e sodali. Ciò perché, semplicemente, il (9) Si veda Soro, Persone in rete, Roma, 2018. (10) Si vedano, sul punto: O’Neil, Armi di distruzione matematica, Milano, 2016; Pasquale, The Black Box Society, Cambridge-Londra, 2015; Steiner, Automate this, New York, 2012. In lingua italiana si veda Zellini, La dittatura del calcolo, Milano, 2018.
privato non esiste più. Tutto, sui social network, è pubblico. Ogni impulso elettronico è esposto, e non esistono più azioni o comunicazioni collegate a un profilo personale e altre, invece, connesse a un profilo istituzionale. Gli attentati alla sicurezza informatica di un candidato e del suo staff, basati su un uso scorretto dei social network o dei dispositivi in suo possesso, possono alterare, oggi, l’intero quadro politico, mutare gli esiti delle elezioni, abbattere l’immagine pubblica e la reputazione del soggetto, mettere a rischio milioni di dati ed esporre il lato più sensibile di ogni cittadino a sua insaputa.
3. I timori, i lati oscuri e una possibile dittatura dell’algoritmo
Appare evidente come, in un ambiente tecnologico simile, i lati oscuri che si presentano all’interprete siano tanti (11). Si pensi al problema enorme delle fake news (12), all’azione dei troll nelle discussioni, a un uso smodato di finti profili e bot per “drogare” la discussione politica, e alla diffusione di messaggi d’odio. Ci sembrano, questi, quattro elementi oggi sempre più in evidenza: si noti che sono tutti veicolati e utilizzati ampiamente anche dalle istituzioni, dal mondo della politica e da una parte dei media. Proprio quei soggetti che, al contrario, dovrebbero fornire ai cittadini un esempio virtuoso. Il quadro che si sta tratteggiando sui social network, con particolare riferimento alla scena politica, è quello di un abbandono della riflessione pacata e del sorgere di un livello di tolleranza molto alto che ha sdoganato da tempo, e sopporta senza problemi, il discorso semplificato e aggressivo. Lo scenario politico digitale si caratterizza per una memoria breve che perdona, e che richiede contenuti nuovi in ogni momento, affiancata da una memoria eterna che viene utilizzata per ripescare informazioni – soprattutto scandalose – e impedire un reale diritto all’oblio (13). In una gara costante, sui social network, a screditare o attaccare l’avversario. Una novità evidente, non di poco conto, è che certi tipi di azioni verbali violente e di linguaggio d’odio sono, ora,
(11) Evgeny Morozov è uno degli studiosi che più si è focalizzato, in questi anni, sugli aspetti oscuri e più critici dell’odierno quadro tecnologico. Si veda, ad esempio, Morozov, L’ingenuità della rete, Torino, 2011. (12) Per un’introduzione al tema si veda Riva, Fake news, Bologna, 2018. Per un’analisi delle fake news, soprattutto satiriche, nella tradizione americana si veda Reilly, Satirical fake news and/as American political discourse, in The Journal of American Culture, 35, 3, settembre 2012, 258-275. (13) Con riferimento al tema del diritto all’oblio, anche in politica, si veda Martinelli, Diritto all’oblio e motori di ricerca, Milano, 2017, ed anche più in generale Soro, Oblio, identità, memoria, in questa Rivista, 2019, 3.
DIRITTO DI INTERNET N. 2/2019
241
SAGGI utilizzate da tutte le parti politiche, e non solo – come è sempre stato per tradizione – da formazioni estremiste. Tutti gli esponenti politici hanno rafforzato, o stanno integrando, il loro staff operativo pre e post-elettorale (14) inserendo profili professionali aventi forti competenze tecnologiche, di analisi statistica e di gestione dei dati. Ciò per permettere di anticipare, in un grande sforzo predittivo, e per gestire in tempo reale, i big data a fini elettorali. La presenza sui social network ha anche dato vita, come è evidente, a una campagna elettorale permanente, con attività intense di comunicazione e di raccolta dati non soltanto in prossimità delle tornate elettorali, ma quotidiane. Il quesito che i più ottimisti si stanno ponendo è se le nuove tecnologie saranno in grado di migliorare la politica, portando maggior trasparenza e nuove possibilità di confronto, oltre a una sempre maggiore potenza di calcolo che potrebbe venire in aiuto nell’analisi di dati nuovi. Se, però, non ci sarà più il tempo per la riflessione e per il vaglio accurato dei dati, tutto ciò sarà inutile: i dati aumentano ogni giorno, e la valutazione richiederà sempre più tempo. Da più parti si riflette anche sulle “vecchie” scuole di politica (15) e sull’idea della necessità di una nuova “scuola di politica digitale”, al fine di cercare di tenere sotto controllo simili cambiamenti radicali nel modo di comunicare e di dialogare con gli elettori e di gestione del consenso e dei finanziamenti: praticamente, tutti i punti centrali della comune attività politica. In una politica mutata in fast e social, diventerà sempre più difficile fare programmi a lungo termine, argomentare, liberarsi dalla trappola degli slogan e della propaganda (16) e cercare approfondimento e confronto. Sempre più di frequente, negli studi televisivi, i politici osservano, durante i talk show, lo smartphone o il tablet mentre gli avversari parlano: il livello comune di attenzione per le considerazioni altrui è diventato questo. Gli strumenti social sono diventati sempre più il metodo per togliersi i sassolini dalle scarpe, per attaccare direttamente l’avversario, per esporlo al pubblico ludibrio contando non solo sull’esposizione immediata che le reti consentono, ma anche sul fatto che, istantaneamente, un esercito di persone è pronto ad aggregarsi.
(14) Si vedano in particolare, sui temi della comunicazione politica digitale: Bentivegna, A colpi di tweet, Bologna, 2015: Id., Campagne elettorali in rete, Bari-Roma, 2006; Id., Politica e nuove tecnologie della comunicazione, Bari-Roma, 2002. (15) Si veda, sul tema, il puntuale studio di Tonelli, A scuola di politica. Il modello comunista di Frattocchie (1944-1993), Roma-Bari, 2017. (16) Con riferimento all’uso della propaganda e al suo funzionamento si veda Stanley, How propaganda works, Princeton, 2005.
242
DIRITTO DI INTERNET N. 2/2019
Grande scalpore sta destando, a tal proposito, l’organizzazione sistematica di “macchine del fango” che colpiscono inevitabilmente chi si pone contro la linea “ufficiale” di un candidato o di un movimento politico. Sono campagne d’odio mirate, particolarmente violente, che si possono alimentare in pochi secondi grazie a blog, Twitter e Facebook. Per i partiti politici, inoltre, sarà sempre più difficile controllare il flusso di informazioni che i singoli candidati immettono in rete, e che potrà generare attenzione nel pubblico anche su temi e approcci in contrasto con le linee ufficiali del partito. Di qui, le costanti polemiche su possibili controlli operati “dal centro” degli account dei parlamentari, o sul rafforzamento dei poteri di un portavoce unico che cerchi di portare, appunto, unità in un sistema che è appositamente stato creato per aggirare filtri e censure. I propositi futuristici di creare piattaforme deliberative efficienti e innovative, di eliminare i Parlamenti, di usare la blockchain a fini di controllo del processo democratico, stanno destando interesse in diverse parti del mondo, e stanno spingendo gli studiosi a valutare, in ogni momento, i pro e i contro. Spesso, in questi casi, è la “vecchia politica” a fare muro, promettendo, prima, trasparenza nelle deliberazioni e attenzione alle istanze dei singoli per poi, una volta raggiunto il potere, mutare le regole in corsa. Di certo, una tecnologia che garantisca trasparenza, lealtà, equilibrio, non modificabilità delle regole fa molta paura a una politica che teme di perdere quel controllo discrezionale su cui basa ancora tutto il suo potere. Le regole si possono cambiare, una volta eletti, a meno che la tecnologia non lo impedisca, e algoritmi ben programmati non lo permetterebbero o, comunque, segnalerebbero con grande evidenza le storture. A nostro avviso sono, in particolare, cinque i punti preliminari – e preventivi – che andrebbero analizzati con cura anche nel contesto dell’uso dei dati degli utenti a fini elettorali o, comunque, di persuasione politica. i) L’ingresso dell’algoritmo nella vita quotidiana delle persone Nessun aspetto della vita dell’essere umano è, oggi, al riparo dalla elaborazione algoritmica. Anni orsono, sistemi così sofisticati erano utilizzati per operazioni mirate: ad esempio, l’analisi delle performance lavorative di un gruppo di individui, o l’elaborazione di dati correlati alla salute nella società o in un determinato territorio. Oggi, la connessione dell’uso degli algoritmi alla diffusione dell’informazione nei social network ha fatto entrare con prepotenza questo sistema così invasivo nel quotidiano delle persone, permettendo di trattare dati che, prima, erano mantenuti riservati o, comunque, non erano esposti (o “esibiti”) così su larga scala. Si pensi a quanto si esponga, una persona, sui social network, sia con riferimento al suo passato, sia con rife-
SAGGI rimento alle attività correnti. Tutti quei dati diventano, ora, processabili, correlabili e calcolabili in un’ottica di sfruttamento mirato. Questo ingresso dell’algoritmo nel privato è avvenuto, in molti casi, all’insaputa dell’individuo stesso, che in tante occasioni non ha compreso il reale impatto dello scambio di servizi apparentemente gratuiti con in cambio la possibilità concreta, per la piattaforma, di diventare proprietaria dei dati richiesti. ii) L’eliminazione dell’intervento umano nel processo di trattamento Un secondo punto critico è la progressiva eliminazione di qualsiasi intervento umano nel trattamento dei dati, affidandosi completamente all’algoritmo. Ciò può comportare decisioni giuridiche importanti, nei confronti delle quali l’individuo nulla può fare. Al contempo, i gestori di sistemi simili si dotano di analisti che hanno il compito di analizzare, appunto, i risultati dei dati ed, eventualmente, aggiustare i processi di trattamento delle informazioni. In caso di errore nell’algoritmo – ad esempio di programmazione errata delle basi dello stesso – i risultati potrebbero rivelarsi dannosi per determinati soggetti. Un processo di trattamento dei dati senza l’intervento dell’uomo prospetta immediatamente – senza necessità di richiamare film di fantascienza – scenari kafkiani dove l’errore diventa non individuabile e non rimediabile. iii) La nascita del cittadino profilato La possibilità di trattare tutti i dati dei cittadini sui social network ha consentito un processo di schedatura su larga scala che ha fatto nascere il cittadino profilato (17). L’utente viene profilato sotto ogni suo aspetto, da quelli più triviali a quelli più delicati. I cittadini profilati, a loro volta, entrano in grande banche dati che li possono confrontare, e possono anche confrontare i diversi corpi elettronici di uno stesso cittadino, ossia come un individuo si comporta su una piattaforma, poi come agisce su un’altra, e correlare le varie personalità. La profilazione può essere usata a qualsiasi fine: elettorale, commerciale, discriminatorio e da parte delle forze dell’ordine. iv) La perdita di controllo dei nostri dati Gli algoritmi sono per lo più segreti, avendo un grandissimo valore economico per la società che li produce ed essendo quasi sempre coperti da segreto industriale. Le piattaforme non comunicano le modalità previste di trattamento, e non sappiamo quali tracce esattamente lasciamo. Si aggiunga il fatto che la possibilità di “uscire dal sistema” è remota: significherebbe rinunciare a gran parte dei benefici della società informatizzata.
Da ciò deriva una perdita di controllo dei nostri dati, che finiscono in enormi banche dati che non sappiamo come li utilizzeranno e quali ulteriori informazioni saranno generate. v) La black box society e l’oscurità nei processi di trattamento Importante è anche il punto dell’oscurità delle modalità di trattamento, sino a creare una sorta di scatola nera che condiziona la vita in società e sui social network (18). Il non conoscere l’entità e le modalità del trattamento rende non solo il rapporto non equilibrato ma, appunto, oscuro, non trasparente soprattutto sulle decisioni cruciali (19).
4. La sicurezza dei sistemi consultivi, il timore di attacchi e brogli e la necessaria attenzione a un uso etico delle tecnologie
Uno dei temi più discussi da anni riguarda la sicurezza di sistemi per il voto elettronico, sia esso un voto collegato a una tornata elettorale nazionale o semplicemente consultivo di un gruppo di elettori o di un singolo partito, e delle piattaforme che ormai riuniscono in molti Paesi gli iscritti a un determinato partito. La diffidenza nei confronti del voto elettronico è dovuta soprattutto alla difficoltà di garantire la sicurezza di tutto il sistema e, soprattutto, al fatto che un piccolo errore, o un attacco, possa condizionare l’intera elezione e far saltare tutto il sistema. Circa le piattaforme attorno alle quali i partiti organizzano le loro attività, la segretezza impedisce non solo di valutarne la sicurezza ma anche la certezza dei risultati di eventuali votazioni interne. Proprio in questi ultimi mesi sono stati resi pubblici due documenti molto interessanti sul punto, che aprono prospettive nuove ai giuristi e agli operatori. Il primo è un report di ENISA, agenzia di cybersecurity dell’Unione Europea, che è stato intitolato proprio “Elections cybersecurity” (20). Il documento è molto interessante perché inserisce la sicurezza del contesto elettorale nel grande ambito della protezione delle infrastrutture critiche di un Paese. In altre parole: attaccare un sistema elettorale, o lo svolgimento libero delle elezioni, o alterare le operazioni di voto elettronico sono operazioni identiche, per impatto e per importanza, a un attacco informatico a una infra (18) Si vedano, sul punto: O’Neil, Armi di distruzione matematica, Milano, 2016; Pasquale, The Black Box Society, Cambridge-Londra, 2015; Steiner, Automate this, New York, 2012. In lingua italiana si veda Zellini, La dittatura del calcolo, Milano, 2018. (19) Si veda Sunstein, #republic, Bologna, 2017.
(17) Si veda Byung-Chul Han, Psicopolitica, Milano, 2017.
(20) Il report è disponibile sul sito web di ENISA all’indirizzo <https:// www.enisa.europa.eu/publications/enisa-position-papers-and-opinions/ election-cybersecurity-challenges-and-opportunities>.
DIRITTO DI INTERNET N. 2/2019
243
SAGGI struttura critica di uno Stato, quale una centrale nucleare o il sistema finanziario o dei trasporti. Si segnalano, tra i possibili attacchi informatici in contesto elettorale, non solo quelli miranti a falsificare o modificare elenchi e liste degli elettori o ad alterare le operazioni di voto, ma anche quelli volti a diffondere disinformazione tra i potenziali elettori. Sullo sfondo, si legge nel documento una grande diffidenza nei confronti dei sistemi di voto elettronico, e una tendenza di tutti i Paesi a una grande cautela e, in alcuni casi, ad abbandonare l’idea, per le motivazioni cui abbiamo accennato poco sopra. Un secondo documento più tecnico, ma altrettanto interessante, è stato pubblicato dal Garante per la Protezione dei Dati italiano nel mese di aprile del 2019 ed è significativamente intitolato “Provvedimento in materia di propaganda elettorale e comunicazione politica” (21). Interessante è l’attenzione che pone il Garante nell’inserire l’attività “pratica” elettorale (ricerca di voti, comunicazioni via e-mail, propaganda) nell’alveo delle regole stabilite dal Regolamento Europeo per la Protezione dei Dati. Il rispetto delle norme in materia di protezione dei dati diventa essenziale, infatti, per mantenere la fiducia dei cittadini e garantire il regolare svolgimento di tutte le fasi della competizione elettorale. Circa il “regolare svolgimento”, e il non “giocare sporco” in simili contesti, come è noto il tema di un uso etico delle tecnologie è dibattuto da tantissimi anni (22): sin dai giorni in cui i computer iniziarono a diffondersi. In ambito politico, il concetto assume profili ancora più interessanti, sia perché la tecnologia entra a diretto contatto con i cittadini e le loro vite, sia perché riguarda l’ambito pubblico e lo svolgimento di eventi importanti per la libertà democratica di un intero Paese (come, ad esempio, le elezioni). Al contempo, la tentazione di usare uno strumento così potente per ottenere un vantaggio competitivo è sempre più forte man mano che le tecnologie diventano più sofisticate. La possibilità di avere in mano – su uno smartphone – un grado di potenza comunicativa che prima era riservato solo ai grandi media è un fatto che ha completamente stravolto il modo di comunicare. In un quadro così mutato, la ferma e costante attenzione ai diritti diventa essenziale, anche nel quadro della politica e della democrazia elettronica. L’attenzione ai diritti diventa però sempre più complessa in un ambiente che sembra voler, in ogni momento, (21) Il provvedimento, del 18 aprile 2019, è consultabile sul sito web del Garante all’indirizzo <https://www.garanteprivacy.it/web/guest/home/ docweb/-/docweb-display/docweb/9105201>. (22) Per un’introduzione alle principali tematiche dell’etica informatica si veda Fabris, Etica per le tecnologie dell’informazione e della comunicazione, Roma, 2018.
244
DIRITTO DI INTERNET N. 2/2019
sfuggire alle regole, anche per volontà dei politici/comunicatori/influencer che spesso, dato il potere mediatico che hanno in mano, si sentono al di sopra di tutto: leggi, Costituzione, magistratura, Europa, divisione dei poteri. Il comportamento online, sui social network, diventa così un elemento essenziale, diremmo quasi incorporato, del sistema democratico e del panorama politico. Un sistema che lascia, tradizionalmente, delle scelte che possono essere però messe in discussione dalla potenza degli algoritmi e da un uso non corretto delle tecnologie. In questo quadro, per concludere, sono sempre di più gli studiosi che si domandano se la democrazia esista ancora per come l’abbiamo conosciuta e individuata, o se il crollo dell’idea di verità, dell’intermediazione, dei filtri, della qualità nei contenuti e l’utilizzo del terrore, dell’odio o delle falsità come elemento da seminare per condizionare le reazioni dell’elettorato abbiano annunciato una nuova epoca che i social network stanno evidenziando e amplificando. I social network sono diventati lo specchio e l’essenza, allo stesso tempo, della politica attuale. Sono il luogo dove risiedono i dati degli elettori che interessano ai partiti – compresi quelli più intimi – e che sono trattati con sofisticati strumenti di analisi. Sono anche il luogo verso il quale i partiti veicolano in primis le loro comunicazioni, l’ambito più importante di qualsiasi altro mezzo di comunicazione oggi esistente (23). Questo è il motivo per cui un comportamento responsabile in questo ambiente – che è ben possibile, senza nulla togliere al suo enorme potenziale diffusivo – può incidere direttamente sulla vita stessa, politica e non, dei cittadini. Certo, rinunciare alla possibilità di sollevare attenzione, condivisioni e like giocando facile, attraverso l’odio – alzando i toni e veicolando falsità – può essere, per molti protagonisti della scena politica, un’opportunità cui è particolarmente difficile resistere (24). Rispettare le regole anche sui social network diventa, però, oggi sempre più essenziale per la salute dell’intero sistema e, quindi, della nostra democrazia (25).
(23) Sul punto si veda Dal Lago, Populismo digitale, Milano, 2017. (24) Si veda Calasso, L’innominabile attuale, Milano, 2017. (25) Sul punto si veda l’illuminante Bodei, Vivere online. Riflessi politici dell’essere connessi virtualmente, in Il Mulino, 2/17, 490, 208-209, all’indirizzo <https://www.rivistailmulino.it/journal/articlefulltext/index/ Article/Journal:RWARTICLE:86029>.
GIURISPRUDENZA EUROPEA
Il trattamento completo, integrato e automatizzato dei dati delle operazioni bancarie non garantisce il correntista disattento Corte Di Giustizia Ue ; sezione X; sentenza 21 marzo 2019, causa C-245/2018; Pres. Lycourgos; Rel. Jarukaitis; Avv. Gen. Saugmandsgaard; Tecnoservice Int. Srl, in liquidazione, c. Poste Italiane SpA. Nell’esecuzione di un bonifico bancario, ove un ordine di pagamento sia eseguito conformemente all’identificativo unico inesatto fornito dall’utente di servizi di pagamento, che non corrisponde al nome del beneficiario specificato dall’utente stesso, la limitazione della responsabilità del prestatore di servizi di pagamento, prevista dall’Art. 74 della Direttiva 2007/64/CE si applica sia al prestatore di servizi di pagamento del pagatore, sia al prestatore di servizi di pagamento del beneficiario. Di conseguenza, il prestatore di servizi di pagamento del beneficiario non è responsabile della mancata o inesatta esecuzione dell’operazione di pagamento, non essendo tenuto a verificare la corrispondenza tra il nominativo del beneficiario e il titolare del conto di accredito (c.d. “controllo di congruità”), essendo questi obbligato soltanto ad eseguire l’ordine in conformità con l’identificativo unico fornito dall’utilizzatore anche qualora questi abbia fornito ulteriori informazioni circa il beneficiario.
…Omissis… Fatto. 1. Il 3 agosto 2015 un debitore della Tecnoservice ha ordinato alla propria banca di effettuare un pagamento, tramite bonifico bancario, in favore di tale società, mediante accredito su un conto corrente aperto presso Poste Italiane, indentificato da un identificativo unico (l’“IBAN”). In tale ordine di bonifico era stato inoltre indicato il nome dell’auspicato beneficiario del bonifico stesso, vale a dire la Tecnoservice. 2. Il bonifico è stato effettuato sul conto corrispondente a tale IBAN. Tuttavia, è emerso che tale bonifico è stato eseguito in favore di un ente diverso dalla Tecnoservice, la quale di conseguenza non ha mai ricevuto la somma proposta. 3. Tecnoservice ha proposto ricorso avverso Poste Italiane, chiedendo l’accertamento della responsabilità di Poste Italiane per non aver verificato se l’IBAN indicato dall’ordinante corrispondesse al nome del beneficiario. Difatti, Poste Italiane avrebbe consentito il trasferimento della somma in questione a un beneficiario erroneo, nonostante la presenza di elementi sufficienti a constatare che l’identificativo unico era inesatto. 4. Poste Italiane ritiene di essere esente da qualsiasi responsabilità, avendo essa effettuato il bonifico sul conto corrispondente all’IBAN indicato dall’ordinante. 5. Il giudice del rinvio osserva in proposito che le disposizioni della Direttiva 2007/64 dispongono in sostanza che un ordine di pagamento eseguito conformemente
all’identificativo unico si ritiene eseguito correttamente. Tuttavia, a suo avviso, gli articoli 74 e 75 della direttiva (e, di conseguenza, le disposizioni pertinenti della legislazione nazionale) possono essere interpretati in due sensi diversi. Secondo la prima interpretazione, questi due articoli si applicano esclusivamente al rapporto esistente tra il pagatore e la sua banca, e non al rapporto tra la banca del beneficiario del pagamento e altri interessati, quali l’ordinante. In tal caso, al secondo rapporto si dovrebbe applicare la sola disciplina nazionale. In base alla seconda interpretazione, i due articoli si applicano all’operazione di pagamento nella sua globalità, comprendendo anche la condotta della banca del beneficiario. In tal caso, anche la responsabilità del prestatore di servizi di pagamento del beneficiario sarebbe strettamente legata al solo rispetto dell’IBAN indicato dall’ordinante. 6. In tali circostanze, il giudice del rinvio ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale: «Se gli articoli 74 e 75 della direttiva 2007/64/CE, nel testo vigente al 3.8.2015 ed in tema di obblighi e limiti di responsabilità del prestatore di servizi di pagamento, come recepiti nell’ordinamento italiano dagli articoli 24 e 25 D.Lgs. n.1/2010, debbano essere interpretati nel senso di applicarsi solo al prestatore del servizio di pagamento di chi ordina l’esecuzione di simile servizio, ovvero nel senso che essi si applicano anche al prestatore del servizio di pagamento del beneficiario».
DIRITTO DI INTERNET N. 2/2019
245
GIURISPRUDENZA EUROPEA Sulla questione pregiudiziale. 7. Occorre rilevare che, poiché i dubbi del giudice del rinvio vertono, in sostanza, sull’interpretazione dell’articolo 74 paragrafo 2, della direttiva 2007/64, che riguarda specificamente il caso in cui l’identificativo unico fornito dall’utente di servizi di pagamento è inesatto, è sufficiente interpretare quest’ultima disposizione al fine di fornire una risposta. Inoltre […omissis…] ai fini dell’interpretazione di una norma di diritto dell’Unione si deve tener conto non soltanto della lettera della stessa, ma anche del suo contesto e degli scopi perseguiti dalla normativa di cui essa fa parte. 8. Nel caso di specie si deve constatare che il tenore letterale dell’articolo […omissis…] non opera alcuna distinzione tra i diversi prestatori di servizi di pagamento. Alla luce di tale formulazione, la limitazione della responsabilità prevista dalla citata disposizione si applica a ciascuno dei prestatori che partecipano all’operazione, e non unicamente a uno di essi. 9. L’interpretazione letterale è corroborata dal contesto in cui si inserisce la disposizione stessa. […omissis…] La nozione di «operazione di pagamento» è relativa ad un atto globale e unico tra il pagatore e il beneficiario, e non unicamente a ciascuno dei rapporti del pagatore e del beneficiario con il proprio prestatore di servizi di pagamento. 10. Inoltre, l’interpretazione dell’articolo 74, paragrafo 2 […omissis...] è parimenti corroborata dagli obiettivi della direttiva in parola. […omissis…] Questa mira segnatamente a garantire il trattamento completamente integrato e automatizzato delle operazioni e […omissis…] essa tende a migliorare l’efficienza e la rapidità dei pagamenti. Orbene, tali obiettivi di trattamento automatico e di rapidità dei pagamenti sono più efficacemente perseguiti se si adotta un’interpretazione di tale disposizione che limiti la responsabilità tanto del prestatore di servizi di pagamento del pagatore quanto di quello del beneficiario, esonerando in tal modo tali prestatori dall’obbligo di verificare se l’identificativo unico fornito dall’utente di servizi di pagamento corrisponda effettivamente al soggetto designato quale beneficiario. 11. È certo vero che il considerando 48 della direttiva precisa che gli Stati membri possono prevedere, ove
246
DIRITTO DI INTERNET N. 2/2019
tecnicamente possibile e senza che sia necessario un intervento manuale, un obbligo di diligenza in capo al prestatore di servizi di pagamento «del pagatore». Tuttavia, è senza operare distinzioni tra le due categorie di prestatori che esso precisa che la responsabilità del prestatore di servizi di pagamento dovrebbe essere limitata all’esecuzione corretta dell’operazione di pagamento conformemente all’ordine di pagamento dell’utente di servizi di pagamento. 12. Dalle considerazioni che precedono risulta che si deve rispondere alla questione posta dichiarando che l’articolo 74, paragrafo 2, della direttiva 2007/64 deve essere interpretato nel senso che, ove un ordine di pagamento sia eseguito conformemente all’identificativo unico fornito dall’utente di servizi di pagamento, che non corrisponde al nome del beneficiario specificato dall’utente stesso, la limitazione della responsabilità del prestatore di servizi di pagamento, prevista dalla disposizione in parola, si applica sia al prestatore di servizi di pagamento del pagatore, sia al prestatore di servizi di pagamento del beneficiario. 13. Sulle spese, nei confronti delle parti del procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. P.Q.M. La Corte (Decima Sezione) dichiara: L’articolo 74, paragrafo 2, della direttiva 2007/64/CE del Parlamento Europeo e del Consiglio, del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE e 2006/48/CE, che abroga la direttiva 97/5/CE, deve essere interpretato nel senso che, ove un ordine di pagamento sia eseguito conformemente all’identificativo unico fornito dall’utente di servizi di pagamento, che non corrisponde al nome del beneficiario specificato dall’utente stesso, la limitazione della responsabilità del prestatore di servizi di pagamento, prevista dalla disposizione in parola, si applica sia al prestatore di servizi di pagamento del pagatore, sia la prestatore di servizi di pagamento del beneficiario. …Omissis…
GIURISPRUDENZA EUROPEA
IL COMMENTO
di Antonio Davola Sommario: 1. La Direttiva europea sui servizi di pagamento e il quadro normativo in materia di responsabilità del prestatore di servizi di pagamento. – 2. Le oscillazioni giurisprudenziali in merito alla responsabilità del PSP del beneficiario. – 3. Le critiche alle diverse teorie alla luce della posizione del Collegio di coordinamento. – 4. La posizione della Corte di Giustizia. – 5. Note conclusive sui limiti alla disattenzione del correntista e sull’interpretazione funzionale delle disposizioni in materia di servizi di pagamento. La sentenza segnalata tratta della responsabilità del prestatore di servizi di pagamento del beneficiario di un bonifico bancario, il quale venga eseguito conformemente all’identificativo unico fornito dall’utente di servizi di pagamento al proprio intermediario, qualora tale identificativo si riveli inesatto e determini dunque il trasferimento della somma ad un soggetto terzo diverso da quello individuabile sulla base del nominativo prodotto dal correntista. Il tema permette di condurre una riflessione generale sul delicato bilanciamento – tenuto in primaria considerazione dalla Corte nel risolvere la questione posta dal giudice nazionale – tra la tutela del consumatore e la diffusione delle tecnologie di trattamento automatizzato nell’attività bancaria, individuato quale strumento essenziale per lo sviluppo e l’efficienza del mercato. The reported decision addresses the topic of the liability of the payee’s payment service provider in those cases, when a payment order is executed in accordance with the unique identified provided by the payment service user, which is incorrect and does not correspond to the payee name indicated by that user. The topic is intertwined with a wider issue, concerning the complex interplay between the two principles (both considered by the Court in its ruling) of – on one hand – the high level of protection for consumers and – on the other hand – the widespread of technologies for the fully integrated straight-through processing of payment in the banking sector.
1. La Direttiva europea sui servizi di pagamento e il quadro normativo in materia di responsabilità del prestatore di servizi di pagamento
La PSD è stata recepita nell’ordinamento nazionale con il d. lgs. n. 11 del 27 gennaio 2010; a seguito, poi, della sua abrogazione in virtù dell’entrata in vigore della direttiva n. 2015/2366 (di seguito, la Payment Service Directive 2, “PSD2”), la materia è stata riformata nell’ordinamento interno mediante l’emanazione del d. lgs. n. 218 del 15 dicembre 2017, il quale ad oggi contiene la regolamentazione della disciplina (4). All’interno del quadro normativo tracciato dalla PSD – e recepito dal d. lgs. n. 11/2010 – un tema di particolare interesse riguarda la responsabilità dei prestatori di servizi di pagamento (altresì definiti “PSP”, o Payment Service Provider) in caso di mancata, scorretta o altrimenti inesatta esecuzione dell’operazione di bonifico richiesta dal cliente, con precipuo riferimento all’ipotesi in cui questo derivi dalla fornitura di un codice identificativo unico “IBAN” errato da parte dello stesso. Nello svolgimento di un’operazione di bonifico (5), il sistema tracciato dalla PSD – riconfermato, in questo aspetto, anche dalla successiva PSD2 – attribuisce all’I-
(1) Pubblicata in GUCE, n. L. 319/1 del 5 dicembre 2007.
(4) Pubblicato in GU n. 10, 13 gennaio 2018.
(2) Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, pubblicata in GUUE, n. L. 337/35 del 23 dicembre 2015.
(5) Definito, ai sensi del regolamento UE n. 260/2012 del Parlamento europeo e del Consiglio del 14 marzo 2012 (pubblicato in GUUE, n. L. 94/22 del 30 marzo 2012) attuativo della PSD, il quale stabilisce i requisiti tecnici e commerciali delle operazioni di bonifico e addebito diretto, quale “servizio di pagamento per l’accredito sul conto di pagamento del beneficiario tramite un’operazione di pagamento o una serie di operazioni di pagamento dal conto di pagamento del pagatore eseguite dal prestatore di servizi di pagamento detentore del conto di pagamento del pagatore, sulla base di un’istruzione impartita dal pagatore”. La nozione è altresì contemplata, ad oggi, dall’art. 4, n. 24, della PSD2.
La direttiva europea n. 2007/64/CE del Parlamento europeo e del Consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno (1) – ad oggi abrogata dalla successiva direttiva n. 2015/2366/ UE (2) – altresì nota come Payment Service Directive (di seguito “PSD”) ha definito un quadro giuridico comunitario armonizzato per i servizi di pagamento elettronici. In particolare, la PSD è stata emanata con l’obiettivo di standardizzare i diritti e gli obblighi incombenti sugli attori a diverso titolo coinvolti nella prestazioni e nell’utilizzo dei servizi elettronici di pagamento, al fine di stimolarne l’utilizzo e promuovere l’introduzione di un sistema completamente informatizzato all’interno dell’Area Unica dei Pagamenti in Euro (Single Euro Payments Area, “SEPA”) (3).
(3) Per un commento alla Direttiva e ai suoi caratteri si veda Mancini - Rispoli Farina - Santoro - Sciarrone - Alibrandi - Troiano (a cura di), La nuova disciplina dei servizi di pagamento. Commentario al d.lgs. 27 gennaio 2010, n. 11, Torino, 2011.
DIRITTO DI INTERNET N. 2/2019
247
GIURISPRUDENZA EUROPEA BAN un ruolo essenziale nell’individuazione dell’utente del servizio di pagamento e il suo conto: esso è qualificato nei termini di un codice alfanumerico standard, coincidente per tutta l’area SEPA, suscettibile di condurre ad un’identificazione “senza ambiguità” e “con chiarezza” di un unico conto di pagamento (6). Attraverso la fornitura dell’IBAN da parte del cliente, di conseguenza, l’istituto bancario è in grado di accreditare la somma oggetto di provvista sul conto del destinatario del pagamento, sulla base dell’incarico demandato dal cliente ordinante: un’operazione che ha – secondo la dottrina civilistica maggioritaria – natura di una delegatio solvendi (7). L’ipotesi di fornitura, da parte del cliente ordinante, di un codice IBAN scorretto è espressamente contemplata dall’art. 24 del d. lgs. n. 11/2010 disponendosi – riproducendo pedissequamente quanto previsto dall’art. 74 paragrafo 2 della PSD – che se un ordine di pagamento è eseguito conformemente all’identificativo unico, ma l’identificativo unico fornito dall’utilizzatore è inesatto, il prestatore di servizi di pagamento non è responsabile, della mancata o inesatta esecuzione dell’operazione di pagamento. Al più, si prevede che il prestatore di servizi di pagamento del pagatore compia “sforzi ragionevoli” per recuperare i fondi oggetto dell’operazione di pagamento (comma 2). In ultimo luogo, si chiarisce ulteriormente che il prestatore di servizi di pagamento dovrà considerarsi responsabile solo dell’esecuzione dell’operazione di pagamento svolta in conformità con l’identificativo unico fornito dall’utilizzatore, anche qualora quest’ultimo abbia fornito informazioni ulteriori rispetto all’identificativo unico (comma 3) (8).
(6) La definizione di IBAN nei termini di “combinazione di lettere, numeri o simboli che il prestatore di servizi di pagamento indica all’utilizzatore di servizi di pagamento e che l’utilizzatore deve fornire al proprio prestatore di servizi di pagamento per identificare con chiarezza l’altro utilizzatore del servizio di pagamento e/o il suo conto di pagamento per l’esecuzione di un’operazione di pagamento” è riportata nell’art. 1, c. 1, lett. r) del d. lgs. 11/2010. (7) Per una panoramica del tema, si veda Salamone, Bonifici, in Commentario Breve al diritto degli cambiali, degli assegni e di altri strumenti di credito e mezzi di pagamento, diretto da Salamone e Spada, Padova, 2014, 853 e riferimenti ivi presenti. In giurisprudenza, si veda Cass. 22 maggio 2015, n. 10545, in CED Cassazione, 2015; Cass. 19 settembre 2008, n. 23864, in Nuova giur. civ. comm., 2009, 33; Cass. 28 febbraio 2007, n. 4762, in Banca, borsa e tit. cred., 2008, 420. Non si esclude, invero, che l’operazione possa altresì qualificarsi in termini di delegation promittendi qualora l’istituto di credito incaricato di eseguire l’ordine di bonifico si impegni personalmente nei confronti del creditore delegatario, e quest’ultimo accetti la relativa obbligazione del delegato. Confronta Cass. 1 dicembre 2004, n. 22596, in Mass. giur. it., 2004. (8) Sul tema vedi infra, sezioni 2 e 3. In dottrina, per una prima analisi, Lupacchino, Articolo 24. Identificativi unici inesatti, in La nuova disciplina dei servizi di pagamento. Commentario al d.lgs. 27 gennaio 2010, n. 11, a cura di Mancini, Rispoli Farina, Santoro, Sciarrone, Alibrandi e Troiano, Torino, 2011, 242 ss.
248
DIRITTO DI INTERNET N. 2/2019
Conformemente a tale disposizione, nonché alle successive norme attuative emanate dalla Banca d’Italia (9), si è ritenuto che il rispetto dell’IBAN fornito dal cliente faccia scattare, in favore del prestatore, una presunzione di corretta esecuzione dell’operazione richiesta (10) rilevante ai sensi del successivo art. 25 (disciplinante la responsabilità per mancata o inesatta esecuzione delle operazioni di pagamento) (11). Le disposizioni in parola – invero ad oggi superate in senso risolutivo, come si vedrà, dalle regole dettate dalla PSD2 – non fornivano, tuttavia, indicazioni univoche circa la responsabilità del PSP (non dell’ordinante, bensì) del beneficiario nei confronti dell’ordinante: in assenza di delucidazioni ci si chiedeva, dunque, se il regime di esenzione previsto dall’art. 24 si applicasse ratione materiae altresì verso quest’ultimo, o se viceversa dovessero ritenersi applicabili nei suoi confronti le disposizioni nazionali di diritto comune.
2. Le oscillazioni interpretative in merito alla responsabilità del PSP del beneficiario
Nell’interpretare il tema della responsabilità del PSP del beneficiario per mancata verifica di congruità dell’IBAN nei confronti del cliente ordinante, la possibilità di ipotizzare un regime di condotta differenziato rispetto a quello incombente sul PSP dell’ordinante è emersa, innanzitutto, in luce della sostanziale autonomia fra le banche coinvolte nell’operazione di pagamento, le quali assumono obbligazioni diverse nei riguardi dei rispettivi clienti e sulla base di titoli giustificativi differenti (12). Si è osservato, in merito, che la possibilità di declinare diversamente oneri e diritti incombenti sugli agenti professionali a vario titolo coinvolti nella transazione elettronica potesse ritenersi giustificabile anche sulla base dei successivi sviluppi introdotti dalla PSD2 la quale distingue (nell’ottica di ampliare il tasso concorrenziale del mercato dei pagamenti elettronici) la posizione del PSP inteso in senso tradizionale da altre figure emerse nel mercato delle transazioni elettroniche, quali Payment Initiation Service Providers (PISP), ossia di quei PSP che offrono agli utenti – i quali abbiano un conto di pagamento online – la possibilità di avviare un’operazione (9) Provvedimento 5 luglio 2011, Attuazione del Titolo II del Decreto legislativo n. 11 del 27 gennaio 2010 relativo ai servizi di pagamento. Diritti ed obblighi della parti, pubblicato in GU n. 176 del 30 luglio 2011. (10) Si veda Marino, IBAN “sbagliato” e responsabilità delle banche nell’esecuzione dell’operazione di bonifico, in Nuova giur. civ. comm., 2016, 1267. (11) L’art. 25 comma 1 del d. lgs. n. 11/2010 dispone, difatti, che “quando l’operazione di pagamento è disposta dal pagatore […] il prestatore di servizi di pagamento del pagatore è responsabile nei confronti di quest’ultimo della corretta esecuzione dell’ordine di pagamento ricevuto”. (12) Troiano, voce «Contratto di pagamento», in Enc. dir., Annali, V, Milano, 2012, 395.
GIURISPRUDENZA EUROPEA di pagamento direttamente sul proprio conto, oppure gli Account Information Service Providers (AISP), ossia quei PSP che consentono agli utenti che hanno un conto di pagamento accessibile online la possibilità di aggregare le informazioni dei propri conti in un unico strumento (13). Nondimeno, nel caso della fornitura di un IBAN inesatto da parte del cliente ordinante, la giurisprudenza si è mostrata altalenante nel ritenere o meno che la mancata verifica di congruità da parte del PSP del beneficiario potesse legittimare l’imposizione di una responsabilità in capo a costui. In un panorama eterogeneo, la sentenza della Corte di Giustizia qui in commento ha condotto a sintesi le differenti opzioni interpretative espresse, nel corso del tempo, dall’Arbitro Bancario e Finanziario (ABF) e dal Collegio di Coordinamento, delle quali è opportuno offrire una breve panoramica. Per quanto riguarda le letture offerte dall’ABF è tradizionalmente possibile riscontrare, in particolare, una netta contrapposizione tra le posizioni accolte dall’Arbitro di Roma e quello di Milano. L’ABF di Roma ha evidenziato, innanzitutto, come l’assenza di una chiara menzione del grado di diligenza del PSP del beneficiario all’interno dell’art. 24 – a fortiori sulla base del principio di autonomia della responsabilità degli agenti professionali per le singole tratte dell’operazione – dovrebbe necessariamente condurre a ritenere che tale soggetto non sia interessato dal regime di esenzione previsto dalla norma. Di conseguenza, l’applicabilità delle disposizioni generali del codice civile determinerebbe, in particolare, la sottoposizione di questo alle regole disposte dagli artt. 1856 e 1710 c.c. (14). In conformità a tale interpretazione, l’applicazione delle regole della disciplina generale del mandato nei confronti del proprio cliente comporterebbe la possibile responsabilità nei confronti di costui per mancato ricevimento del bonifico. Parimenti orientate a riconoscere la responsabilità del PSP del beneficiario in caso di fornitura di IBAN errato da parte dell’ordinante (in presenza di altre informazioni sufficienti a riconoscere tale errore), ma attraverso una differente lettura dei caratteri di quest’ultima sono invece quelle decisioni – sempre riconducibili all’Arbitro di Roma – che hanno ritenuto di poter qualificare giuridicamente il rapporto intercorrente tra il cliente ordinante e il PSP del beneficiario sulla base della teoria
(13) Entrambe le categorie rientrano in quella, più generale, dei Third Party Providers (TPP). Si vedano, in particolare, i Considerando nn. 28 e 32 della PSD2. (14) Da ultimo ABF Roma, 25 marzo 2016, n. 2841. Conformi altresì ABF Roma, 8 ottobre 2015, n. 7845; ABF Roma, 3 luglio 2014, n. 4172; ABF Napoli, 25 giugno 2013, n. 3428. Tutte le decisioni dell’ABF sono consultabili all’indirizzo <www.arbitrobancariofinanziario.it>.
del c.d. contatto sociale qualificato, in base al presunto affidamento che il cliente riporrebbe nella corretta esecuzione della transazione da parte di tutte le controparti professionali a vario titolo coinvolte nell’operazione (15). Una posizione questa, a ben vedere, non nuova nell’interpretazione della responsabilità degli istituti bancari nei confronti dei propri clienti in virtù del proprio status professionale (16): posizioni analoghe si rinvenivano, difatti, già rispetto al tema della responsabilità della banca girataria per incasso di assegno non trasferibile a soggetto non legittimato; orientamento, questo, fatto proprio in più occasioni altresì dalle Sezioni Unite della Cassazione (17). Di tale interpretazione – al di fuori della attività dell’ABF, ed in merito al caso di fornitura di IBAN errato – si era inoltre già fatto promotore un tribunale di merito (18), sebbene in tale occasione si riscontrasse altresì un’ipotesi di negligenza del funzionario dell’istituto di credito, da apprezzarsi ai sensi dell’art. 2049 c.c., e la vicenda si fosse verificata anteriormente all’entrata in vigore del d. lgs. n. 11/2010 (non a caso, in sede di commento di tale pronuncia, si era osservato come la lettura del giudice di merito sarebbe stata verosimilmente differente ove la vicenda si fosse svolta successivamente alla novella legislativa) (19). Radicalmente contrastante si presentava, invece, l’orientamento registrato presso l’Arbitro di Milano, stabile nel ritenere che laddove l’operazione sia eseguita conformemente all’identificativo unico fornito dal cliente, essa debba sempre e comunque considerarsi corretta, anche nel caso l’utilizzatore abbia fornito indicazioni ulteriori, quali il nome dello sperato beneficiario. In ogni caso, infatti, l’intermediario del ricevente il bonifico – ai sensi del, d. lgs. n. 11/2010 – non potrebbe essere mai onerato dallo svolgere il controllo di congruità, incrociando
(15) A favore di questa lettura, in particolare, ABF Roma, 8 aprile 2016, n. 3278. Sui caratteri generali della responsabilità da contatto sociale confronta, su tutti Castronovo, L’obbligazione senza prestazione ai confini tra contratto e torto, in Scritti in onore di L. Mengoni, Milano, 1005, 196 ss. (16) Ex multis Scognamiglio, Sulle responsabilità dell’impresa bancaria per violazione di obblighi discendenti dal proprio status, in Giur. it., 1995, 368 ss. (17) Cass. sez. un. 26 luglio 2007, n. 14712; il principio è stato successivamente riconfermato da Cass. 26 ottobre 2011, n. 22336, in Banca, borsa e tit. cred., 2013, 268 ss.; Cass. 30 marzo 2010, n. 7618, ivi, 2011, II, 445. In dottrina si veda Bellante, Pagamento di assegno non trasferibile a soggetto diverso dal prenditore: brevi riflessioni sulla natura della responsabilità della banca trattaria (o emittente) e della banca girataria per l’incasso, in Banca, borsa e tit. cred., 2013, 271 ss.; critico, invece, Salvatore, Responsabilità della banca girataria per l’assegno non trasferibile incassato da non legittimato, in Danno e resp., 2009, 848. (18) Trib. Como, 7 agosto 2013 n. 1132, in Banca, borsa e tit. cred., 2015, 192, con nota di Depetris, La responsabilità della banca per pagamento illegittimo di bonifico bancario. (19) Depetris, La responsabilità della banca, cit.
DIRITTO DI INTERNET N. 2/2019
249
GIURISPRUDENZA EUROPEA le informazioni relative al beneficiario con quelle sul titolare effettivo del contro di accredito (20). Del medesimo avviso si sono mostrati altresì la Banca d’Italia – la quale ha chiarito come «il decreto legislativo n. 11/2010 solleva il prestatore di servizi di pagamento dall’obbligo di effettuare il controllo di congruità tra l’IBAN e gli elementi identificativi della titolarità del conto del destinatario, vincolandolo alla “mera esecuzione” della disposizione esclusivamente in conformità all’IBAN indicato dal cliente» (21) – ed il Collegio di coordinamento dell’ABF (22), pronunciatosi con chiarezza in favore dell’esenzione di responsabilità dei prestatori di servizi di pagamento (dell’ordinante e del beneficiario) per inesatta esecuzione del bonifico determinata da IBAN errato fornito dal cliente. Su tale pronuncia – altresì alla luce della sua rilevanza al fine di comprendere l’iter argomentativo successivamente seguito dalla Corte di Giustizia – giova soffermarsi brevemente.
3. Le critiche alle diverse teorie alla luce della posizione del Collegio di coordinamento
L’interpretazione del Collegio di coordinamento ha valorizzato, innanzitutto, quelle voci critiche che avevano osservato come la lettura dell’obbligazione del PSP del beneficiario alla luce della disciplina in materia di mandato potesse condurre ad un esito, al tempo stesso, limitativo dell’efficacia dell’art. 24 del d. lgs. 11/2010 ed espansivo delle norme di diritto comune a discapito di quelle di matrice eurounitaria. Tale risultato appariva discutibile sia in termini di stretta interpretazione letterale della disposizione, sia in considerazione dell’analisi dei rapporti tra diritto nazionale e diritto comunitario, alla luce delle funzioni della PSD (23): in particolare, con riferimento a tale aspetto, è stato osservato che leggere l’art. 24 (e, dunque, indirettamente, l’art. 74 della PSD) in senso restrittivo avrebbe posto in dubbio il ruolo della Direttiva quale lex specialis completa, discostandosi oltretutto dall’interpretazione operata dalla maggioranza degli altri Stati membri nella trasposizione della stessa (24).
(20) A favore di questa lettura ABF Milano, 5 luglio 2016, n. 6149; ABF Milano 25 marzo 2016, n. 2862; ABF Milano, 26 aprile 2016, n. 3808; ABF Milano, 24 febbraio 2016, n. 1678. (21) La posizione della Banca d’Italia è consultabile all’indirizzo <http://www.bancaditalia.it/compiti/sispaga-mercati/faq-sepa/faq-sepa. html>. (22) ABF, Collegio di Coordinamento, Decisione n. 162 del 12 gennaio 2017, consultabile all’indirizzo <www.arbitrobancariofinanziario.it>. (23) Marino, IBAN “sbagliato” e responsabilità delle banche, 1267. (24) Ex multis il §675r del BGB tedesco il §35 della Zahlungdienstegesetz austriaca e l’art. 74 delle Payment Services Regulations 2009 inglesi.
250
DIRITTO DI INTERNET N. 2/2019
Sempre in ottica di lettura sistematica della norma, il Collegio ha osservato altresì come una lettura restrittiva dell’art. 24 fosse difficilmente giustificabile alla luce del Considerando n. 48 della PSD, il quale non distingue tra PSP dell’ordinante e del beneficiario nel porre una limitazione di responsabilità basata sullo svolgimento di un’esecuzione conforme all’ordine impartito dall’utente (25). Perplessità erano state espresse, poi, altresì in merito all’individuazione dell’obbligo di verifica di congruità del PSP ex art. 1176 del codice civile, posto che individuare sulla base della disposizione in parola un portato integrativo così ampio nella condotta attesa dal PSP era stata considerata un’operazione incompatibile con la presenza di obblighi già ben definiti dalla normativa, nonché in contrasto con il funzionamento della regola generale di diligenza (26). Non esente da critiche è altresì la ricostruzione della responsabilità del PSP conformemente alla teoria del contatto sociale qualificato: si è evidenziato come, sulla base della (riconosciuta) inesistenza di un qualsiasi vincolo contrattuale intercorrente tra il PSP del beneficiario e l’ordinante – a differenza di quanto avviene tra ordinante e proprio PSP – una soluzione del genere determinasse la paradossale imposizione, in capo alla PSP del beneficiario del bonifico, di oneri più stringenti nei confronti dell’ordinante di quanti nei confronti di questi ne avesse il proprio stesso intermediario (27). Si consideri, inoltre, che l’assetto complessivo delineato dalla PSD (e dal decreto di recepimento) individui chiaramente nel PSP del cliente ordinante il destinatario dell’obbligazione principale dell’operazione di pagamento, ossia il trasferimento dal pagatore al beneficiario dei fondi valutari, in rapporto di reciproca indipendenza con l’altro operatore. A corollario di tale operazione si pongono, invero, gli oneri di diligente condotta e controllo, i quali tuttavia dovrebbero considerarsi complementari all’esecuzione dell’obbligazione principale e – soprattutto – interpretarsi funzionalmente agli scopi complessivamente perseguiti dalla PSD. Proprio in base a questa considerazione (fondamentale, come vedremo, (25) Tale lettura appare, ad oggi, riconfermata – ed univoca – alla luce del Considerando n. 88 della PSD2, il quale prevede espressamente che “qualora i fondi di un’operazione di pagamento arrivino al destinatario sbagliato, a causa di un identificativo unico inesatto fornito dal pagatore, i prestatori di servizi di pagamento del pagatore e del beneficiario [enfasi aggiunta] non dovrebbero essere responsabili, ma dovrebbero cooperare compiendo ragionevoli sforzi per recuperare i fondi, comunicando le informazioni pertinenti. (26) In questo senso si veda su tutti Ferri, La diligenza del banchiere, in Banca, borsa e tit. cred., 1958, 1 ss. (27) In merito confronta altresì le valutazioni operate da Marseglia, IBAN erroneo ed esclusione di responsabilità dei prestatori di servizi di pagamento per inesatta esecuzione dell’ordine di bonifico, in Riv. dir. banc., 2018, 47.
GIURISPRUDENZA EUROPEA altresì nell’interpretazione della Corte di Giustizia) il Collegio ha escluso che la pervasività degli oneri di controllo imposti sul PSP del beneficiario possa spingersi fino all’impedirgli di beneficiare dell’esenzione garantita all’intermediario dell’ordinante. Se, difatti, la PSD evidenzia come il proprio obiettivo principale – ossia l’affermazione di un mercato unico comunitario dei pagamenti, improntato ad efficienza e concorrenzialità – richieda necessariamente la riduzione dei tempi e dei costi delle operazioni di pagamento, bisogna giocoforza ritenere che l’elezione dell’IBAN quale nominativo unico cui fare riferimento nello svolgimento delle transazioni non possa interpretarsi in termini differenti sulla base del PSP coinvolto; ciò anche considerando come l’unico modo per garantire un effettivo controllo di conformità (ossia imporre la verifica manuale della corrispondenza tra IBAN e nominativo del beneficiario) rischierebbe di frustrare le esigenze di celerità primariamente perseguite dalla Direttiva.
4. La posizione della Corte di Giustizia
Al fine di ricomporre il contrasto interpretativo sorto in sede nazionale, il giudice del rinvio chiama di conseguenza la Corte a valutare se gli artt. 74 e 75 della PSD (e, conseguentemente, gli artt. 24 e 25 del d. lgs. 11/2010) operino esclusivamente in relazione al rapporto tra il pagatore e la sua banca e non, invece, a quello tra la banca del beneficiario del pagamento ed altri interessati (con particolare riferimento all’ordinante un pagamento), in tale ultimo caso lasciando spazio all’applicazione delle regole del diritto privato nazionale. Le argomentazioni della Corte riprendono in più parti – condividendole – le posizioni suggerite dal Collegio di coordinamento, focalizzandosi sull’interpretazione dell’art. 74 e ritenendo superflua ai fini della soluzione della controversia un’interpretazione del successivo art. 75. Nel valorizzare l’operatività trasversale della disposizione, e la sua idoneità ad esentare la totalità dei PSP dal controllo di congruità in merito alla corrispondenza tra IBAN fornito dall’ordinante e nominativo del beneficiario, la Corte richiama innanzitutto la rilevanza dei principi che hanno orientato l’emanazione della PSD, con particolare riferimento ai considerando nn. 40, 43 e 48: nella necessità di interpretare le singole disposizioni della normativa non sull’esclusiva base del loro tenore letterale, ma altresì attraverso un’interpretazione analogico-teleologica che tenga conto degli scopi perseguiti dal corpus normativo di riferimento (28), la Corte valorizza (28) A supporto di tale posizione, la Corte richiama le proprie precedenti statuizioni rese nei casi 2 settembre 2015 C-123/14, Andrejs Surmačs c. Finanšu un kapitšla tirgus komisija, in EU:C:2015:52, punto 28, e 16 novembre 2016, C-2/15, DHL Express (Austria) GmbH c. Post-Con-
l’essenzialità di considerare gli articoli della PSD come finalizzati alla creazione di un sistema di completa integrazione, automazione e certezza giuridica delle attività di pagamento elettronico. Posto, inoltre, che il considerando 43 della Direttiva individua nella celerità dei pagamenti un elemento essenziale al fine di raggiungere tali scopi – ipotizzando persino una tempistica massima di ventiquattro ore per l’esecuzione delle transazioni elettroniche – non vi sarebbe motivo per ritenere che l’art. 74, non distinguendo tra i diversi prestatori di pagamento, debba applicarsi distintamente a PSP dell’ordinante e del beneficiario, con il risultato ultimo di rallentare l’esecuzione delle operazioni oggetto di regolamentazione. La Corte evidenzia poi, a contrario, come tale posizione appaia avvalorata dal fatto che l’art. 74 comma 2, secondo periodo della PSD (a differenza del resto della disposizione) prende espressamente in considerazione la posizione del PSP del pagatore in merito all’onere di compiere “sforzi ragionevoli” per il recupero di fondi oggetto di inesatta opposizione di pagamento: dovrebbe, di conseguenza, ritenersi giocoforza ogniqualvolta tale distinzione non sia espressamente operata, l’esenzione di applichi a tutti i PSP coinvolti nell’operazione (29).
5. Note conclusive sui limiti alla disattenzione del correntista e sull’interpretazione funzionale delle disposizioni in materia di servizi di pagamento
La posizione accolta dalla Corte pare ratificare quella che era già stata definita come una “comunitarizzazione” interpretativa della disciplina sui servizi di pagamento per opera del Collegio di coordinamento (30). La lettura offerta, inoltre, valorizza un approccio criticamente attento all’allocazione di diritti e obblighi tra i diversi attori coinvolti nella contrattazione asimmetrica. A fronte, difatti, di un approccio tradizionale alla protezione del consumatore (in generale, e nel settore dei servizi bancari e finanziari) (31) caratterizzatosi per il progressivo ampliamento degli oneri di diligenza operativa ed informativa in capo alla controparte professionale nello svol-
trol-Kommission e Bundesminister für Verkehr, Innovation und Technologie, in EU:C:2016:880. (29) Si vedano, in particolare, i punti 26 e 27 della Decisione. (30) Marseglia, IBAN erroneo ed esclusione di responsabilità, 51, riprendendo la formula di Benacchio, Diritto privato dell’Unione Europea. Fonti, modelli, regole, Milano, 2016, 24. (31) Ex multis su tutti Di Nella, La tutela del consumatore dei servizi finanziari, Napoli, 2007 e – critico in merito all’approccio tradizionale – Natoli, Il contratto «adeguato». La protezione del cliente nei servizi di credito, di investimento e di assicurazione, Milano, 2012. Si vedano altresì Pagliantini, Neoformalismo contrattuale, in Enc. dir., Annali, III, Milano, 2011, 781 e, con precipuo riferimento ai caratteri della PSD, Id., Il nuovo regime della trasparenza nella direttiva sui servizi di pagamento, in Contratti, 2009, 1166.
DIRITTO DI INTERNET N. 2/2019
251
GIURISPRUDENZA EUROPEA gimento della propria attività (32) – in virtù dell’assunto di un’ontologica debolezza del consumatore nella gestione e valutazione dei dati caratterizzati da un elevato tasso tecnico – la Corte ha ritenuto di poter individuare a tali tutele nell’onere di identificazione del conto di pagamento del destinatario dei fondi di una transazione elettronica. L’IBAN del destinatario è, infatti, un’informazione nella piena disponibilità dell’ordinante, la quale non richiede una consapevolezza specifica (e tantomeno un livello elevato di “alfabetizzazione”) (33) ai fini del suo utilizzo in una transazione elettronica. Se, infatti, l’asimmetria (informativa e di potere contrattuale) intercorrente tra cliente ed intermediario bancario giustifica, nella lettura tradizionale, la presenza di oneri di condotta a carico del primo in favore del secondo – i quali non sono tradizionalmente presenti nella contrattazione inter pares –, questi oneri non possono spingersi al punto da rallentare l’esecuzione delle transazioni elettroniche (e, dunque, l’affermarsi di un mercato competitivo) per garantire una tutela del cliente rispetto alla gestione di un’informazione “non tecnica” che costui è espressamente chiamato a fornire al PSP. Permane, naturalmente, la possibilità di cliente ed istituto bancario di concordare, in ottemperanza ai relativi poteri garantiti dall’autonomia privata, un regime maggiormente favorevole al primo – che preveda, ad esempio, l’introduzione di blocchi temporanei dei pagamenti fino a successiva verifica di quest’ultimo (34). La qualificazione dell’affermarsi di un mercato delle transazioni elettroniche efficiente quale interesse generale perseguito dall’Unione legittima, di conseguenza, il primario ruolo della celerità nello svolgimento delle operazioni (35): questa trova certamente un contempe-
(32) Per una panoramica v. Pellegrini, Le regole di condotta degli intermediari finanziari nella prestazione dei servizi di investimento, in Capriglione, a cura di, L’ordinamento finanziario italiano, Padova, 2010, 809 ss.; più di recente, altresì Troiano, Motroni (a cura di), La MiFID II. Rapporti con la clientela - regole di governance – mercati, Padova, 2016, passim. (33) V. Natoli, La protezione del cliente finanziariamente analfabeta tra irrazionalità del mercato e paternalismo liberale, in La tutela dei soggetti deboli tra diritto internazionale, dell’Unione Europea e diritto interno, a cura di Queirolo, Benedetti e Carpaneto, Roma, 2012; Libertini, La tutela della libertà di scelta del consumatore e i prodotti finanziari, in Mercati finanziari e protezione del consumatore, a cura di Grillo, Milano, 2010, 44. (34) Tale posizione, suggerita altresì dal Collegio di coordinamento, è tuttavia accolta in termini dubitativi da Vanini, L’attuazione in Italia della seconda Direttiva sui servizi di pagamento nel mercato interno: le innovazioni introdotte al d. lgs. 15 dicembre 2017, n. 218, in Nuove leggi civ. comm., 2018, 843-844, il quale suggerisce – confrontandosi in particolare con il complesso normativo delineato dalla PSD2 – che ulteriori tutele a favore del consumatore potrebbero nondimeno porsi in contrasto con gli obiettivi di massima armonizzazioni perseguiti dalla normativa. (35) Una necessità, questa, valorizzata in ambito nazionale dagli orientamenti dell’Associazione Bancaria Italiana sia pre che post PSD: si vedano, in particolare, l’Accordo interbancario sui tempi massimi di esecuzione dei boni-
252
DIRITTO DI INTERNET N. 2/2019
ramento nella sicurezza dei consumatori; tuttavia, tale valore deve essere inteso nei termini di una sicurezza “in termini tecnici”, ossia relativa essenzialmente alla protezione contro violazioni dei dati personali dei consumatori o avverso operazioni di cyberhacking (36). Questa lettura s’impone, in particolare, alla luce delle innovazioni introdotte dalla PSD2, le quali si focalizzano sulla valorizzazione dei sistemi di strong authentication (37). Da tale ambito esula, di conseguenza, la verifica circa la correttezza formale dell’informazione fornita dal consumatore e il relativo sindacato di merito sull’operazione (38). L’individuazione della corrispondenza tra IBAN e soggetto fisico destinatario del pagamento si colloca dunque esternamente a quella “sfera di influenza” che rappresenta il parametro di valutazione della diligenza degli operatori professionali coinvolti nelle transazioni elettroniche; in tal senso, la creazione di un’area di controllo al di fuori del quale il prestatore di servizi di pagamento gode di un safe habour circa eventuali inesattezze dell’operazione persegue il duplice obiettivo di garanti-
fici nazionali del 2005 e la Circolare ABI, Serie Tecnica n. 14, 31 marzo 2010, 14. In occasione della propria pronuncia, il Collegio di coordinamento aveva inoltre rilevato che un ulteriore sintomo di tale interesse potesse riscontrarsi nel fatto che i rimedi individuati dal legislatore comunitario per far fronte ad un’inesatta operazione sono tutti operativi ex post. Cfr. Collegio di Coordinamento, Decisione n. 162 del 12 gennaio 2017, 8. (36) L’attenzione alla sicurezza dei consumatori in termini di rischio latu sensu tecnologico è ben evidenziata dalle Regulatory Technical Standards on strong customer authentication and secure communication under PSD2 emanate dalla European Banking Authority, 11 dicembre 2018, consultabili all’indirizzo: <https://eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technical-standards-on-strong-customer-authentication-and-secure-communication-under-psd2>, nonché dalle risposte fornite dalla Commissione Europea del 12 gennaio 2018 in merito alle Frequently Asked Question sull’implementazione della PSD2, consultabili all’indirizzo <http://europa.eu/rapid/press-release_MEMO15-5793_en.htm>. (37) Vedi Romano, Considerazioni in tema di rapporto tra sviluppo del mobile payment e tutela della privacy degli utenti, in Diritto mercato tecnologia, 10 gennaio 2017, consultabile all’indirizzo <http://www.dimt.it/ index.php/it/la-rivista/16122-considerazioni-in-tema-di-rapporto-tra-sviluppo-del-mobile-payment-e-tutela-della-privacy-degli-utenti>. Prima dell’emanazione della PSD2, simili considerazioni erano già state anticipate in Caggiano, Pagamenti non autorizzati tra responsabilità e restituzioni. Una rilettura del d. legls. 11/2010 e lo scenario delle nuove tecnologie, in Riv. dir. civ., 2016, 460 ss. (38) Tale assunto non sembra minato dal nuovo regime di responsabilità delineato dall’art. 72 della PSD2 il quale, disciplinando la “Prova di esecuzione ed autenticazione delle operazioni di pagamento” sembra solo incidere sull’onere probatorio circa la corretta registrazione e contabilizzazione dell’operazione (imponendolo, oltretutto, esclusivamente sul PSP – o, eventualmente, sul PISP – dell’ordinante). In merito cfr. Daga, PSD2, le nuove responsabilità delle banche se l’utente perde soldi, 15 gennaio 2018, consultabile all’indirizzo <https://www.agendadigitale. eu/cittadinanza-digitale/psd2-le-nuove-responsabilita-delle-banche-se-lutente-perde-soldi/> e Institute of International Finance, Liability and consumer protection in open banking, settembre 2018, consultabile all’indirizzo <https://www.iif.com/Publications/ID/1418/Liability-and-Consumer-Protection-in-Open-Banking>.
GIURISPRUDENZA EUROPEA re, da una parte, che questi possa svolgere in maniera più veloce la propria attività e, dall’altra, di fornire ai consumatori un’indicazione precisa circa le loro responsabilità, favorendo la certezza giuridica dei traffici (39). Non solo: sebbene non direttamente rilevante ai fini della controversia, giova osservare come la possibilità di predisporre una responsabilità differenziata a carico dei PSP di ordinante e beneficiario (ove non espressamente disposto dal legislatore comunitario) appare, ad oggi, contrastata in nuce dal nuovo impianto della PSD2, il quale fa costante riferimento alla complessiva operazione di pagamento (40). Il nuovo quadro normativo sembra, dunque, confermare la tesi per la quale il prestatore di servizi del beneficiario di un bonifico è tenuto a realizzare l’operazione richiestagli in conformità esclusivamente all’identificativo unico presente nell’ordine, anche qualora in questo siano presenti ulteriori elementi quali il nominativo dello stesso: egli non, in particolare, obbligato a verificare la corrispondenza tra il nominativo del beneficiario e il titolare del conto di accredito. Da tale regola sembra ragionevole poter far salva – sebbene il tema non sia affrontato direttamente dalla Corte – l’ipotesi nella quale si dimostri che l’intermediario del beneficiario avesse consapevolezza circa la non corrispondenza tra codice IBAN e destinatario individuato dall’ordinante e nondimeno abbia scientemente eseguito l’operazione (41). È nondimeno corretto osservare come tale caso mal si attanagli alla crescente automazione del controllo in materia di transazioni elettroniche. In chiusura, appare di interesse evidenziare come il risultato – apparentemente paradossale, ma di certo consciamente perseguito – dell’interpretazione della Corte sia che l’utilizzo di un sistema automatico di allocazione degli ordini esoneri il PSP con maggiore agevolezza rispetto al controllo delle singole operazioni da parte di un funzionario incaricato (42). Tale esito è ancor più significativo se posto in relazione alla tendenziale sfiducia che, invece, sembra caratterizzare l’utilizzo di sistemi decisionali completamente automatizzati che elaborano dati personali dei consumatori (43): a fronte di tale scet (39) Cfr. Rolfe, PSD2 allocation of liabilities: Customers Vs ASPSPs Vs PISPs, 6 marzo 2019, consultabile all’indirizzo <https://www.paymentscardsandmobile.com/psd2-allocation-of-liabilities-customers-vs-aspsps-vs-pisps/>. (40) Cfr. l’art. 2 parr. 2, 3 e 4 della PSD2. (41) Depetris, La responsabilità della banca, cit. (42) Di tale favor si poteva già avere percezione alla luce del summenzionato considerando n. 48 della PSD, il quale chiariva come l’azione diligente del PSP dell’ordinante dovesse avvenire senza la necessità di un intervento manuale. (43) Il riferimento più evidente, in tal senso, è quello dell’articolo 22 del nuovo Regolamento UE n. 2016/679 del Parlamento europeo e del Con-
ticismo, gli atti normativi e la giurisprudenza comunitaria sembrano invece mostrare una significativa apertura verso i sistemi completamente automatizzati di natura puramente esecutiva. Ciò, in particolare, quando questi siano idonei ad incentivare la velocità delle transazioni elettroniche e lo sviluppo del Mercato Unico Digitale, favorendo uno straight-through processing delle transazioni nel rispetto di standard tecnologici di sicurezza.
siglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personal (GDPR), pubblicato in GUUE n. L. 119/1 del 4 maggio 2016. La norma, che disciplina l’ipotesi di “processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione” chiarisce infatti che (comma 1) “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.” In merito, vedi Bolognini, Pelino, Bistolfi, Il Regolamento Privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, 266 ss.; Malgieri, Comandé, Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation, in Int. Data Privacy Law, 2017, 243–265. Si veda altresì Moretti, Algoritmi e diritti fondamentali della persona. Il contributo del Regolamento (UE) 2016/679, in Dir. inf. e inform., 2018, 799 e dottrina ivi menzionata.
DIRITTO DI INTERNET N. 2/2019
253
GIURISPRUDENZA COSTITUZIONALE
La notificazione degli atti giudiziari via posta elettronica certificata. Le più recenti pronunce della Corte Costituzionale e delle Sezioni Unite della Corte di Cassazione Corte Costituzionale ; sentenza 9 aprile 2019, n. 75; Pres. Lattanzi; Rel. Morelli. È illegittima, per violazione degli artt. 3, 24 e 111 della Costituzione, quella parte dell’art. 16-septies del DL 18 ottobre 2012, nr. 179, convertito, con modificazioni, nella L. 221/2012, inserito dall’art. 45-bis, comma 2, lettera b), del DL 24 giugno 2014, n. 90, convertito, con modificazioni, nella L. 114/2014, nella parte in cui prevede che la notifica eseguita con modalità telematiche la cui ricevuta di accettazione è generata dopo le ore 21 ed entro le ore 24, si perfeziona, per il notificante, alle ore 7 del giorno successivo, anziché al momento di generazione della predetta ricevuta.
Corte di Cassazione ; Sezioni Unite ; sentenza 25 marzo 2019, n. 8312; Pres. Mammone; Rel. Tria; P.M. Ghersi; Omissis (avv. Omissis) c. Omissis (avv. Omissis) Il deposito in cancelleria, nel termine di venti giorni dall’ultima notifica, di copia analogica della decisione impugnata predisposta in originale telematico e notificata a mezzo P.E.C. priva di attestazione di conformità del difensore ex art. 9, commi 1-bis e 1-ter, della legge n. 53 del 1994 oppure con attestazione priva di sottoscrizione autografa, non comporta l’applicazione della sanzione dell’improcedibilità ove l’unico controricorrente o uno dei controricorrenti (anche in caso di tardiva costituzione) depositi copia analogica della decisione stessa ritualmente autenticata ovvero non abbia disconosciuto la conformità della copia informale all’originale notificatogli ex art. 23, comma 2, del d.lgs. n. 82 del 2005. Invece, per evitare di incorrere nella dichiarazione di improcedibilità, il ricorrente ha l’onere di depositare l’asseverazione di conformità all’originale della copia analogica sino all’udienza di discussione o all’adunanza in camera di consiglio nell’ipotesi in cui l’unico destinatario della notificazione del ricorso rimanga soltanto intimato (oppure tali rimangano alcuni o anche uno solo tra i molteplici destinatari della notifica del ricorso) oppure comunque il/i controricorrente/i disconosca/ no la conformità all’originale della copia analogica non autenticata della decisione tempestivamente depositata.
IL COMMENTO di Fabrizio Sigillò
Sommario: 1. Le più recenti pronunce giurisprudenziali di legittimità. – 2. La sentenza della Corte Costituzionale del 9 aprile 2019, n. 75. – 3. La sentenza delle Sezioni Unite della Corte di Cassazione del 25 marzo 2019, n. 8312. – 4. Conclusioni. Le massime Corti della giustizia italiana si pronunciano sulla notificazione degli atti giudiziari eseguiti a mezzo il servizio italiano di P.E.C. (posta elettronica certificata) sancendo due innovativi princìpi di diritto. La Corte Costituzionale dichiara: che l’art. 16 septies del d.l. 18 ottobre 2012, n. 179 è illegittimo; che l’art. 147 del codice di procedura civile non si applica alla notificazione telematica e che, in questo caso, il mittente che invia il messaggio di P.E.C. entro le 23:59:59 completa la procedura nel momento in cui viene generata la ricevuta di consegna della P.E.C. La Corte di Cassazione riunita in Sezioni Unite dichiara invece che non è improcedibile il ricorso in cui non sia stata depositata la copia della sentenza impugnata priva di attestazione di conformità. Il ricorso sarà valido a due condizioni: 1) la sentenza non viene disconosciuta dalla controparte; 2) il ricorrente deposita la copia semplice notificata ex art. 23 del d.lgs. 7 marzo 2005 n. 82 e lo faccia fino all’udienza di discussione o all’adunanza in camera di consiglio.
(*) Le sentenze per esteso sono presenti nell’Osservatorio sul @Processo Telematico di Maurizio Reale di questa Rivista.
DIRITTO DI INTERNET N. 2/2019
255
GIURISPRUDENZA COSTITUZIONALE The highest Italian Courts rule on the service of judicial documents executed through the Italian service of P.E.C. (certified e-mail) enshrining two innovative principles of law. The Italian Constitutional Court states the illegitimacy of article 16 septies of Law October 18, 2012, no 179. The same Court states that Article 147 of the Code of civil procedure does not apply to electronic notification. In this case, the person who sends the P.E.C. message by 23:59:59, completes the procedure when the P.E.C.’s delivery receipt is generated. The Joint Sessions of the Supreme Court also declares that the action in which a copy of the unauthorised contested judgment has not been lodged, is not inadmissible. The appeal shall be valid under two conditions: 1) the counter-part does not disregard the judgment lodged but without proof of conformity; 2) the applicant submits the simple copy notified ex article 23 of Law March 7, 2005 no. 82 and does so until the hearing or before the Council Chambers.
1. Le più recenti pronunce giurisprudenziali di legittimità
Il primo quadrimestre dell’anno 2019 è stato contrassegnato dal particolare interesse rivolto, dalle Corti di legittimità, al sistema di notificazione degli atti giudiziari a mezzo P.E.C. Nel telegrafico riassunto della più recente attività giurisprudenziale in materia, si colloca la tristemente nota sentenza nr. 3709 del 8 febbraio 2019 (1) con cui la terza sezione della Suprema Corte di Cassazione, rimasta presumibilmente vittima di un pur rilevante errore materiale, ha dichiarato che “Il domicilio digitale previsto dall’art. 16-sexies del d.l. n. 179 del 2012, conv. con modif. in l. n. 221 del 2012, come modificato dal d.l. n. 90 del 2014, conv., con modif., in l. n. 114 del 2014, corrisponde all’indirizzo P.E.C. che ciascun avvocato ha indicato al Consiglio dell’Ordine di appartenenza e che, per il tramite di quest’ultimo, è inserito nel Registro Generale degli Indirizzi Elettronici (ReGindE) gestito dal Ministero della giustizia. Solo questo indirizzo è qualificato ai fini processuali ed idoneo a garantire l’effettiva difesa, sicché la notificazione di un atto giudiziario ad un indirizzo P.E.C. riferibile – a seconda dei casi – alla parte personalmente o al difensore, ma diverso da quello inserito nel ReGindE, è nulla, restando del tutto irrilevante la circostanza che detto indirizzo risulti dall’Indice Nazionale degli Indirizzi di Posta Elettronica Certificata (INI-PEC)”. Equivocando probabilmente sulla denominazione dell’elenco IPA (Indirizzo delle Pubbliche Amministrazioni) in effetti non rientrante nella tipologia dei “registri pubblici”, la Corte ha di fatto escluso anche INI-PEC dal novero di quelli idonei all’esecuzione delle notifiche degli atti giudiziari a mezzo P.E.C. attribuendo erroneamente esclusiva valenza all’altro (anch’esso “pubblico”) denominato REGIndE (Registro degli Indirizzi Elettronici). Non meno preoccupante il successivo intervento della medesima Corte (Cass. civ. sez. VI ord. 9562 del 5 aprile
(1) Cass. 8 febbraio 2019, n. 3709, in questa Rivista, 2019, 75 con nota di Fabbi, La notificazione via posta elettronica certificata ed i depositi telematici nella recentissima giurisprudenza della Corte di Cassazione.
256
DIRITTO DI INTERNET N. 2/2019
2019) (2) quanto meno in quella parte che ha assegnato rilevanza alla mancata produzione della “copia del registro” da cui l’indirizzo di P.E.C. utilizzato per la notifica sarebbe stato acquisito (“...non è stato dedotto che l’indirizzo al quale è stata inviata la notifica sia quello risultante dal Registro Generale degli indirizzi elettronici (ReGindE), né è stata prodotta copia di detto registro…”). Più tranquillizzanti, da ultimo, i princìpi rinvenibili in una recentissima pronuncia della prima sezione del Supremo Collegio (Cass. ord. 9893 del 9 aprile 2019) (3) che, nel richiamare “...l’obbligo per ogni imprenditore iscritto al Registro delle Imprese di dotarsi di indirizzo di posta elettronica certificata...” ascrivendone valore di “indirizzo pubblico informatico” da attivare, tenere operativo e rinnovare, ha ritenuto regolare la notificazione di un ricorso per la dichiarazione di fallimento eseguita ai sensi dell’art. 15 della legge fallimentare ed indirizzata alla P.E.C. della società cancellata dal registro delle imprese e già in liquidazione. Incidentalmente la Corte ha restituito, con questa sentenza, quel meritato valore giuridico che il registro INI-PEC sembrava aver perso solo pochi giorni prima, dichiarandone l’idoneità ai fini della notificazione telematica ed estendendo, per le società, la sua prorogatio fino allo scadere dei dodici mesi successivi alla cancellazione dal Registro delle imprese. È nel periodo intermedio che si collocano le due decisioni di seguito più dettagliatamente commentate e che promanano dalle più alte fonti della giurisprudenza nazionale.
(2) Cass. ord. 5 aprile 2019 n. 9562, in Quotidiano Giuridico, all’indirizzo <http://www.quotidianogiuridico.it/documents/2019/04/18/ pec-nulla-la-notifica-a-indirizzo-non-presente-in-pubblici-elenchi>, con nota di Reale. (3) Cass. ord. 9 aprile 2019 n. 9893, in Quotidiano Giuridico, all’indirizzo <http://www.quotidianogiuridico.it/documents/2019/04/29/ok-alla-notifica-del-ricorso-per-dichiarazione-di-fallimento-alla-pec-della-societa-in-liquidazione>, con nota di Sigillò.
GIURISPRUDENZA COSTITUZIONALE 2. La sentenza della Corte Costituzionale del 9 aprile 2019, n. 75
Prima in ordine di tempo la pronuncia della Corte Costituzionale (sent. n. 75 del 9 aprile 2019) (4) di cui colpisce, in primo luogo, la ridotta estensione, sensibilmente circoscritta rispetto ai contenuti delle decisioni rese dalla Consulta. Essa si risolve nella declaratoria d’illegittimità costituzionale di quella norma che associava il momento di perfezionamento della notificazione eseguita a mezzo P.E.C. alle tradizionali disposizioni codicistiche prescritte dall’art. 147 c.p.c., collocando alle ore 7 del giorno successivo la procedura eseguita oltre le ore 21:00. La questione muove dal rinvio operato dalla Corte d’Appello di Milano, fattasi portatrice della mai sopita esigenza di superare quell’incertezza ingenerata dal tentativo di applicare incondizionatamente la disciplina tradizionale in tema di notificazioni degli atti giudiziari, alla modalità svolta direttamente dall’avvocato, già prevista dalla l. 21 gennaio 1994, n. 53 e poi estesa alla procedura telematica. Il tentativo era invero sensibilmente agevolato dall’espressa previsione normativa contenuta nell’art. 16-septies del d.l. 18 ottobre 2012, n. 179, convertito, con modificazioni, nella l. 17 dicembre 2012, n. 221, inserito dall’art. 45-bis, comma 2, lettera b) del d.l. 24 giugno 2014, n. 90, convertito, con modificazioni, nella l. 11 agosto 2014, n. 114, nella parte in cui prevedeva che la notifica eseguita con modalità telematiche la cui ricevuta di accettazione è generata dopo le ore 21 ed entro le ore 24, si sarebbe perfezionata, per il notificante, alle ore 7 del giorno successivo anziché al momento di generazione della predetta ricevuta (5). La discussione si era sviluppata attraverso alcuni orientamenti giurisprudenziali poco “illuminati” ed altri più attenti alle componenti tecniche e normative del sistema di notifica telematica e che la Corte meneghina ritiene necessitanti di adeguato contemperamento, sollevando perciò la questione di legittimità costituzionale – per violazione degli artt. 3, 24 e 111 della Costituzione – proprio di quella parte della prescrizione codicistica sopra richiamata. Tranchant il riscontro della Corte Costituzionale, perentoria nell’ascrivere alla norma denunciata intrinseca irrazionalità che “...viene ad inibire il presupposto che ne
(4) Corte Costituzionale sentenza n. 75 del 9 aprile 2019, in @ Osservatorio del processo telematico di Maurizio Reale, in questa Rivista, all’indirizzo <http://dirittodiinternet.it/la-illegittimita-dellarticolo-16-septies-16-septies-d-l-18-ottobre-2012-n-179/>. (5) Art. 45 bis l. 11 agosto 2014 n. 114 “La disposizione dell’articolo 147 del codice di procedura civile si applica anche alle notificazioni eseguite con modalità telematiche. Quando è eseguita dopo le ore 21, la notificazione si considera perfezionata alle ore 7 del giorno successivo”.
conforma indefettibilmente l’applicazione, ossia il sistema tecnologico telematico, che si caratterizza per la sua diversità dal sistema tradizionale di notificazione, posto che quest’ultimo si basa su un meccanismo comunque legato “all’apertura degli uffici”, invece inesistente nella notificazione con modalità telematica. Plausibile quindi ipotizzare l’assimilazione di quest’ultima alle funzionalità proprie del Processo Civile Telematico in cui il rispetto del termine risulta tout court associato alla generazione della ricevuta di avvenuta consegna emessa entro la fine del giorno di scadenza con unico riferimento alle ore 23:59:59. Parti delle considerazioni richiamate dalla Consulta si rinvengono anche in un datato commento ad un precedente di merito intervenuto sul tema (Corte d’appello di Firenze, sent. 26 gennaio 2017 (6)) e che postulava, in particolare, la diversità del sistema telematico rispetto a quello “analogico”, escludendone la reciproca ed automatica compatibilità proprio con riferimento alla fattispecie normata dall’art. 147 c.p.c. in cui la finalità sottesa alla traslazione alle ore 7 del giorno successivo del termine di perfezionamento della notificazione eseguita fuori dal canonico orario, fondava la sua ratio nell’esigenza di assicurare il riposo del destinatario e delle altre persone con esso conviventi, legittimando l’eventuale rifiuto di ricevere l’atto portato dall’ufficiale giudiziario nelle private abitazioni oltre l’orario di legge (così Cass. sez. II sent. del 21 giugno 1979, n. 3478 (7)) con conseguente spostamento al giorno successivo della consegna eseguita a mezzo servizio postale oltre l’orario indicato nell’art. 147 c.p.c. (termini che fino all’anno 2006 erano compresi tra le ore 7 e le 19 per le notifiche richieste tra il 10 ottobre ed il 31 marzo, e tra le ore 6 e le 20 nel periodo 1 aprile - 30 settembre). Quel principio – precisa oggi la Consulta – ben può essere assicurato attraverso quella “... fictio iuris, contenuta nella seconda parte della norma in esame, per cui il perfezionamento della notifica – effettuabile dal mittente fino alle ore 24 (senza che il sistema telematico possa rifiutarne l’accettazione e la consegna) – è differito, per il destinatario, alle ore 7 del giorno successivo”. È forse in questa sezione che la sentenza rivela un suo pur inevitabile limite, consistito nell’aver riferito il principio che precede al solo notificante (e non avrebbe potuto essere diversamente), dando vita in tal modo ad una decorrenza differenziata dei termini rispetto al destinatario dell’atto, assoggettato alle regole del tradizionale princìpio della scissione da tempo definitivamente (6) App. Firenze, sezione specializzata in materia di impresa, sent. 26 gennaio 2017, in Quotidiano giuridico, all’indirizzo <http://www.quotidianogiuridico.it/documents/2017/04/10/la-notifica-via-pec-si-perfeziona-con-la-generazione-della-ricevuta-di-accettazione>, con nota di Sigillò. (7) Cass. 21 giugno 1979, n. 3478.
DIRITTO DI INTERNET N. 2/2019
257
GIURISPRUDENZA COSTITUZIONALE consolidato nella giurisprudenza di legittimità (Cass. Sez. Un. sent. del 9/12/2015 n. 24822 (8)).
3. La sentenza delle Sezioni Unite della Corte di Cassazione del 25 marzo 2019, n. 8312
Nel contesto della dinamica attività della Suprema Corte si colloca invece la decisione numero 8312 emessa dalle Sezioni Unite il 25 marzo 2019 (9) e che si rivela risolutiva di quel preoccupante perché altalenante indirizzo che aveva visto un consistente numero di ricorsi cadere sotto la scure dell’improcedibilità. La questione perviene dalla Sesta Sezione Civile, sottosezione Terza che, con ordinanza interlocutoria del 9 novembre 2018, n. 28844 si determina alla rimessione del fascicolo al Primo Presidente ai sensi dell’art. 374, secondo comma c.p.c., per l’eventuale assegnazione alle Sezioni Unite richiesta ad esprimersi sui tre diversi profili postulati dalla remittente, tutti afferenti alla sorte del deposito della sentenza impugnata in sede di legittimità quale delineata da un precedente intervento interpretativo delle stesse Sezioni Unite (Cass. Sez. Un., sent. del 24 settembre 2018, n. 22438 (10)). Riferimento normativo è l’art. 369 comma 2, nr. 2 c.p.c. nella sua forma nativa, riferita cioè alla gestione cartacea del processo, ma che la Corte di legittimità aveva ritenuto applicabile anche a quella componente telematica che nel giudizio che si svolge davanti alla Suprema Corte non è stata ancora attivata. Discende da questo orientamento il vincolo che lega la procedibilità del ricorso all’allegazione, da parte del ricorrente, della “...copia autentica della sentenza o della decisione impugnata con la relazione di notificazione...”. Il rigore di questo indirizzo risultava asseverato da quella parte della sentenza nr. 16498 emessa dalla quinta sezione della Cassazione (11) in cui, nel dichiarare l’improcedibilità proprio per la mancanza del visto di conformità della copia della sentenza impugnata depositata in atti, veniva esclusa finanche l’eventualità che all’omessa
(8) Cass. Sez. Un. 9 dicembre 2015 n. 24822, in Italgiure, all’indirizzo <http://www.italgiure.giustizia.it/xway/application/nif/clean/hc.dll?verbo=attach&db=snciv&id=./20151210/snciv@sU0@a2015@n24822@ tS.clean.pdf>. (9) Cass. 25 marzo 2019, n. 8312, in @ Osservatorio del processo telematico di Maurizio Reale, in questa Rivista, all’indirizzo <http://dirittodiinternet.it/procedibile-ricorso-cassazione-anche-la-sentenza-la-relata-notifica-prive-dellattestazione-conformita/>.
258
produzione potesse supplirsi attraverso una conoscenza attinta da altri atti del processo (richiamandosi in tal senso numerose decisioni conformi tra cui Cass. sent. del 8 luglio 2015, n. 14207; Cass. ord. del 19 dicembre 2013, n. 28460). Il concetto era poi stato ulteriormente elaborato da Cass. sez. VI, ord. del 22 dicembre 2017, n. 30765 (12) e Cass. sez. VI ord. del 22 dicembre 2017 n. 30918 (13) che, nel premettere l’estraneità del giudizio di legittimità al sistema di processo telematico (solo occasionalmente interessato alla notificazione del ricorso introduttivo), aveva evidenziato come “…il ricorso analogico è una mera copia di quello informatico priva della necessaria attestazione di conformità sottoscritta dal difensore, non è idoneo ad integrare quanto richiesto dall’art. 369, primo comma, c.p.c. ed è quindi improcedibile...” estendendo questo principio anche alla relata ed al messaggio attestante il tempo della notifica dal quale decorre il termine per il deposito in cancelleria. L’applicazione del dettato normativo e dell’orientamento giurisprudenziale richiamato, agevole nella gestione cartacea del ricorso, diviene più problematico nel contesto telematico caratterizzato dalle diverse categorie di documenti informatici ben delineati dal Codice dell’Amministrazione Digitale (C.A.D. d.lgs. 7 marzo 2005, n.82) e solitamente mancanti – come nel caso del duplicato informatico – finanche di quei riscontri grafici (firma autografa o timbro) utili a consentire, sia pur in via presuntiva, una valutazione di loro verosimiglianza agli originali. Questa la fattispecie che si verifica nel procedimento in Cassazione, in cui la decisione impugnata imposta dall’art. 396 c.p.c. potrebbe consistere nel documento trasmesso dalla cancelleria, piuttosto che dalla copia analogica predisposta in documento informatico ai fini della notifica a mezzo P.E.C. priva di quella attestazione di conformità che la Corte ha invece continuato a richiedere fino ad oggi. Questo indirizzo aveva ricevuto un significativo attacco dalla già menzionata ordinanza n. 22438 emessa dalle Sezioni Unite il 24 settembre 2018, finalmente ispirata ad un superamento delle preclusioni processuali, da attuarsi mediante privilegio ai princìpi di ragionevolezza e proporzionalità degli impedimenti opposti al pieno dispiegarsi della tutela giurisdizionale; a quello di effet-
(10) Cass. Sez. Un. 24 settembre 2018, n. 22438, in Quotidiano Giuridico, all’indirizzo <http://www.quotidianogiuridico.it/documents/2019/04/03/pec-per-le-ss-uu-procedibile-il-ricorso-se-sentenza-e-relata-mancano-di-conformita> con nota di Reale.
(12) Cass. ord. 22 dicembre 2017, n. 30765, in Italgiure, all’indirizzo <http://www.italgiure.giustizia.it/xway/application/nif/clean/hc.dll?verbo=attach&db=snciv&id=./20171222/snciv@s60@a2017@n30765@ tO.clean.pdf>.
(11) Cass. 5 agosto 2016, n. 16498, in Italgiure, all’indirizzo <http:// www.italgiure.giustizia.it/xway/application/nif/clean/hc.dll?verbo=attach&db=snciv&id=./20160808/snciv@s50@a2016@n16498@tS.clean. pdf>.
(13) Cass. ord. 22 dicembre 2017, n. 30918, in Italgiure, all’indirizzo <http://www.italgiure.giustizia.it/xway/application/nif/clean/hc.dll?verbo=attach&db=snciv&id=./20171222/snciv@s60@a2017@n30918@ tO.clean.pdf>.
DIRITTO DI INTERNET N. 2/2019
GIURISPRUDENZA COSTITUZIONALE tività dei mezzi di azione e difesa; all’altro che associa il tendenziale fine del ricorso all’A.G. al conseguimento della decisione di merito, così ipotizzando ragionevoli forme di sanatoria di eventuali irregolarità (14). È su questa base che si fonda il convincimento che debba escludersi la sanzione di improcedibilità del ricorso allorquando il ricorrente, nel termine dei venti giorni prescritto dall’art. 369 c.p.c., depositi il messaggio di P.E.C., le successive ricevute (di accettazione e di consegna) attestanti la corretta notificazione telematicamente eseguita, nonché gli allegati contenuti nella sola ricevuta di consegna. Questi, infatti, ancorché privi dell’attestazione di conformità richiesta dalla legge 53/94 (15), saranno ritenuti idonei a dar prova dell’avvenuta notificazione del ricorso laddove sulla loro autenticità non intervenga il disconoscimento del controricorrente e si dia conseguentemente effetto al disposto dell’art. 23 del d.lgs. 7 marzo 2005, n.82 (Codice dell’Amministrazione Digitale), in quella parte che dichiara in maniera univoca che “le copie e gli estratti su supporto analogico del documento informatico, conformi alle vigenti regole tecniche, hanno la stessa efficacia probatoria dell’originale se la loro conformità non è espressamente disconosciuta”. Il principio, più volte invocato dalla più autorevole rappresentanza forense (16), trova definitiva consacrazione nella sentenza che qui si commenta e rafforza il convincimento che le norme del Codice dell’Amministrazione Digitale regolino anche le disposizioni del processo telematico (in ogni sua veste) suggerendo l’abbandono di quell’indirizzo che sosteneva l’automatica e forzata applicazione delle disposizioni codicistiche (nate e svilup-
(14) Questo il testo della parte interessata di Cass. Sez. Un. ord. del 24 settembre 2018 n. 22438 emessa dalle Sezioni Unite il 24 settembre 2018 : “Ragioni che muovono da una prospettiva convergente con l’esigenza di consentire la più ampia espansione, nel perimetro di tenuta del sistema processuale, del diritto fondamentale di azione (e, quindi, anche di impugnazione) e difesa in giudizio (art. 24 Cost.), che guarda come obiettivo al principio dell’effettività della tutela giurisdizionale, alla cui realizzazione coopera, in quanto principio “mezzo”, il giusto processo dalla durata ragionevole (art. 111 Cost.), in una dimensione complessiva di garanzie che rappresentano patrimonio comune di tradizioni giuridiche condivise a livello sovranazionale (art. 47 della Carta di Nizza, art. 19 del Trattato sull’Unione europea, art. 6 CEDU). (15) Art. 9 1 bis, l. 21 gennaio 1994, n. 53 “Qualora non si possa procedere al deposito con modalità telematiche dell’atto notificato a norma dell’articolo 3-bis, l’avvocato estrae copia su supporto analogico del messaggio di posta elettronica certificata, dei suoi allegati e della ricevuta di accettazione e di avvenuta consegna e ne attesta la conformità ai documenti informatici da cui sono tratte ai sensi dell’articolo 23, comma 1, del decreto legislativo 7 marzo 2005, n. 82”. (16) Così Reale, PEC: l’art. 23 CAD comma 2 si applica all’art. 369 c.p.c. in mancanza di disconoscimento, in Quotidiano giuridico, all’indirizzo <http://www.quotidianogiuridico.it/documents/2018/10/04/ pec-l-art-23-cad-comma-2-si-applica-all-art-369-c-p-c-in-mancanza-di-disconoscimento?fbclid=IwAR236q5fFrFoAAApPS72--m2vUsH_1xV_iKuGUj3KFTP1kMk7km4RRn8-bs>.
patesi nel contesto analogico) al differente e non sempre compatibile sistema di gestione telematica delle attività giudiziarie. Questo il carattere innovativo introdotto dalla sentenza qui esaminata e che le Sezioni Unite condensano nei plurimi princìpi di diritto delineati nella sezione conclusiva. 1) Ove l’unico controricorrente o uno dei controricorrenti (anche in caso di tardiva costituzione) depositi copia analogica della decisione impugnata ritualmente autenticata ovvero non abbia disconosciuto la conformità della copia informale all’originale notificatogli ex art. 23, comma 2 del d.lgs. n. 82/2005 il ricorso sarà ritenuto procedibile anche nel caso in cui il ricorrente abbia depositato, nel termine di venti giorni dall’ultima notifica, la copia analogica della decisione impugnata predisposta in originale telematico e notificata a mezzo P.E.C. ancorché priva di attestazione di conformità del difensore ex art. 9, commi 1-bis e 1-ter, della legge n. 53 del1994 oppure con attestazione priva di sottoscrizione autografa; 2) analoga la valutazione di procedibilità del ricorso anche nel caso in cui il ricorrente abbia depositato, nei venti giorni di cui all’art. 369 c.p.c., la copia analogica della decisione impugnata redatta in formato elettronico e firmata digitalmente (e necessariamente inserita nel fascicolo informatico) anche se priva di attestazione di conformità; 3) medesimi princìpi si riferiscono anche all’ipotesi di tempestivo deposito della copia della relata della notificazione telematica della decisione impugnata e del corrispondente messaggio P.E.C. con annesse ricevute ma senza attestazione di conformità del difensore ex art. 9, commi 1-bis e 1-ter, della legge n. 53/1994 oppure con attestazione priva di sottoscrizione autografa; 4) altresì esente dalla sanzione di improcedibilità anche il caso in cui venga depositata, sempre nel termine di legge, la copia analogica della decisione impugnata sottoscritta con firma autografa ed inserita nel fascicolo informatico ma priva di attestazione di conformità del difensore ex art. 9, commi 1-bis e 1-ter, della legge n. 53 del 1994 ovvero con attestazione priva di sottoscrizione autografa; 5) è quindi solo nel caso in cui l’unico destinatario della notificazione del ricorso dovesse rimanere soltanto intimato od anche qualora dovesse intervenire il disconoscimento della conformità della copia semplice prodotta dal ricorrente che quest’ultimo dovrà depositare l’asseverazione di conformità all’originale della copia analogica da eseguirsi sino all’udienza di discussione od all’adunanza in camera di consiglio. Completa l’elencazione la non meno rilevante precisazione riferita alla comunicazione eseguita dalla cancel-
DIRITTO DI INTERNET N. 2/2019
259
GIURISPRUDENZA COSTITUZIONALE leria a mezzo PEC del testo integrale della decisione (e non del solo avviso del relativo deposito) dichiarata idonea a consentire alla Cassazione di verificare d’ufficio la tempestività dell’impugnazione.
4. Conclusioni.
La sentenza commentata può ragionevolmente collocarsi in quel processo di aggiornamento mentale più che tecnico o giuridico che sembra aver recentemente guidato la Corte di legittimità ad un approccio nuovo e ragionato alle modalità gestite mediante ricorso all’informatica, improntato al rispetto delle loro peculiarità e delle norme che ne regolano il funzionamento, così rifuggendo dall’indifferibile identità tra esse e le tradizionali disposizioni processuali. È un processo che ha preso le mosse dal comodo e reiterato richiamo alla salvaguardia predeterminata dall’art. 156 c.p.c., sufficiente e necessaria a privilegiare il conseguimento dello scopo alla rigida osservanza delle norme codicistiche; di quell’orientamento le sentenze appena commentate possono ritenersi ulteriore e coraggioso tentativo di adeguamento utile a scongiurare l’apodittico recepimento, soprattutto in sede di merito, dell’autorevolezza dei princìpi sanciti dalle Corti di legittimità, piuttosto che una loro lettura critica.
260
DIRITTO DI INTERNET N. 2/2019
GIURISPRUDENZA CIVILE
Il ruolo attivo degli intermediari di Internet e la conseguente responsabilità civile Corte di C assazione ; sezione I civile; sentenza 19 marzo 2019, n. 7708; Pres. Genovese; Rel. Nazzicone; P.M. De Renzis; Reti Televisive Italiane S.p.a. (Avv. Previti, Assumma, La Rosa, Lepri Fabio) c Yahoo Inc., (Colella, Orsingher), e Yahoo Italia S.r.l (Avv. Colella, Consolo, Consonni). La nozione di “hosting provider attivo” è riferita a tutti quei casi che esulano da una “attività dei prestatori di servizi della società dell’informazione (che) sia di ordine meramente tecnico, automatico e passivo, con la conseguenza che detti prestatori non conoscono né controllano le informazioni trasmesse o memorizzate dalle persone alle quali forniscono i loro servizi”, mentre “(p)er contro, tali limitazioni di responsabilità non sono applicabili nel caso in cui un prestatore di servizi della società dell’informazione svolga un ruolo attivo” (1). Il prestatore intermediario di servizi della società dell’informazione, una volta a conoscenza degli illeciti contenuti veicolati da terzi attraverso il servizio stesso, in particolare mediante la diffida a lui inoltrata dal titolare del diritto leso, ha l’obbligo di rimuoverli e di impedire ulteriori violazioni, senza l’esigenza della specifica indicazione dei c.d. “url” di ciascun video al fine del sorgere del dovere di attivarsi in tal senso (2). Nella prestazione dei servizi il provider non è soggetto né ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite (3). Nel caso della responsabilità del prestatore dei servizi della società dell’informazione con riguardo all’interpretazione ed applicazione dell’art. 16, comma 1, lett. a), D.Lgs., n. 70 del 2003, la conoscenza dell’altrui illecito, quale elemento costitutivo della responsabilità del prestatore stesso, coincide con l’esistenza di una comunicazione in tal senso operata dal terzo, il cui diritto si assuma leso. Ne deriva che il sorgere dell’obbligo in capo al prestatore del servizio non richiede una “diffida” in senso tecnico – quale richiesta di adempimento dell’obbligo di rimozione dei documenti illeciti – essendo a ciò sufficiente la mera “comunicazione” o notizia della lesione del diritto (4). L’onere della prova a carico del mittente riguarda, in tale contesto, solo l’avvenuto recapito all’indirizzo del destinatario, posto che il pervenire a tale indirizzo della comunicazione in forma scritta opera per il solo fatto oggettivo dell’arrivo dell’atto nel luogo indicato. La presunzione iuris tantum di conoscenza è superabile mediante la prova contraria, da fornirsi da parte del prestatore del servizio, concernente l’impossibilità di acquisire, in concreto, l’anzidetta conoscenza per un evento estraneo alla sua volontà. In assenza dell’attuazione di una modalità di comunicazione scritta e formale al provider, la prova della conoscenza in capo al medesimo, gravante sul titolare del diritto leso, potrà essere data con ogni mezzo, restando in tal caso più ardua però la dimostrazione di tale elemento (5). La disciplina positiva esclude ogni obbligo di attivazione del prestatore (pur non “attivo”) con riguardo alla diretta ricerca degli altrui illeciti, nel momento in cui essi vengono immessi e diffusi nella rete; obbligo che sorge, però, nel momento successivo alla conoscenza dei fatti illeciti da parte del prestatore (6). L’art. 16, comma 1, lett. a), D.Lgs. n. 70 del 2003, richiede, al fine dell’affermazione della possibile responsabilità del prestatore, che egli sia a conoscenza di fatti i quali rendano “manifesta” l’illiceità dell’attività o dell’informazione. L’hosting provider è chiamato a delibare, secondo criteri di comune esperienza, alla stregua della diligenza professionale tipicamente dovuta, la comunicazione pervenuta e la sua ragionevole fondatezza nonché, in ipotesi di esito positivo della verifica, ad attivarsi rapidamente per eliminare il contenuto segnalato (7). L’aggettivo “manifesta” vale a circoscrivere la responsabilità del prestatore alla fattispecie della colpa grave o del dolo: se l’illiceità deve essere “manifesta”, vuol dire che sarebbe possibile riscontrarla senza particolare difficoltà, alla stregua dell’esperienza e della conoscenza tipiche dell’operatore del settore e della diligenza professionale da lui esigibile, così che non averlo fatto integra almeno una grave negligenza dello stesso (8). L’hosting provider attivo è il prestatore dei servizi della società dell’informazione il quale svolge un’attività che esula da un servizio di ordine meramente tecnico, automatico e passivo, e pone, invece, in essere una condotta attiva, concorrendo con altri nella commissione dell’illecito, onde resta sottratto al regime generale di esenzione di cui all’art. 16 D.Lgs. n. 70 del 2003, dovendo la sua responsabilità civile atteggiarsi secondo le regole comuni (9). Nell’ambito di servizi della società dell’informazione, la responsabilità dell’hosting provider, prevista dall’art. 16, D.Lgs. 9 aprile 2003, n. 70, sussiste in capo al prestatore dei servizi che non abbia provveduto alla immediata rimozione dei contenuti illeciti, nonché se abbia continuato a pubblicarli, pur quando ricorrano congiuntamente le seguenti condizioni: a) sia a conoscenza legale dell’illecito
DIRITTO DI INTERNET N. 2/2019
261
GIURISPRUDENZA CIVILE perpetrato dal destinatario del servizio, per averne avuto notizia dal titolare del diritto leso oppure aliunde; b) l’illiceità dell’altrui condotta sia ragionevolmente constatabile, onde egli sia in colpa grave per non averla positivamente riscontrata, alla stregua del grado di diligenza che è ragionevole attendersi da un operatore professionale della rete in un determinato momento storico; c) abbia la possibilità di attivarsi utilmente, in quanto reso edotto in modo sufficientemente specifico dei contenuti illecitamente immessi da rimuovere (10). Resta affidato al giudice del merito l’accertamento in fatto se, sotto il profilo tecnico-informatico, l’identificazione di video, diffusi in violazione dell’altrui diritto, sia possibile mediante l’indicazione del solo nome o titolo della trasmissione da cui sono tratti, od, invece, sia indispensabile, a tal fine, la comunicazione dell’indirizzo “url”, alla stregua delle condizioni esistenti all’epoca dei fatti (11).
… Omissis … 4. - I primi due motivi del ricorso: inquadramento della figura del cd. hosting provider attivo. I primi due motivi del ricorso, da trattare insieme per l’intima connessione, ripropongono la figura del cd. hosting provider attivo. Sostiene la ricorrente che controparte, nei fatti, non prestasse un mero servizio di hosting provider, il quale gode dello speciale regime di responsabilità D.Lgs. n. 70 del 2003, ex art. 16, desunto dall’art. 14 della direttiva 2000/31/CE, ma invece un servizio di “hosting provider attivo”, che si pone fuori dall’ambito di applicazione della direttiva medesima, criticando la sentenza impugnata per avere respinto la stessa nozione. 4.1. - Le definizioni della dir. 2000/31/CE e del D.Lgs. n. 70 del 2003. Dalla definizione di “servizi della società dell’informazione” (art. 2, lett. a, della direttiva 2000/31/CE) risulta che la nozione ricomprende i servizi prestati normalmente dietro retribuzione, a distanza, mediante attrezzature elettroniche di trattamento e di memorizzazione di dati ed a richiesta individuale di un destinatario di servizi (Corte di giustizia UE 12 luglio 2011, C-324/09, L’Orèal c. eBay International, punto 109), onde il provider è il soggetto che organizza l’offerta ai propri utenti dell’accesso alla rete internet e dei servizi connessi all’utilizzo di essa. Le tre fattispecie delineate dal D.Lgs. n. 70 del 2003, artt. 14, 15 e 16, sulla scia degli artt. 12, 13, e 14 della direttiva, sono ivi rispettivamente definite come “semplice trasporto - mere conduit”, “memorizzazione temporanea - caching” e duratura “memorizzazione di informazioni - hosting”, con espressioni inglesi incorporate nella stessa definizione della normativa interna. È affermazione ricorrente che la regolamentazione dei limiti di responsabilità da parte della direttiva Europea intese favorire la prestazione imprenditoriale sul mercato dei servizi della società dell’informazione, con l’assunzione dei relativi rischi, secondo una scelta del legislatore Europeo (e quindi nazionale), palesata dai suoi considerando. È stata, in tal modo, applicata la massima d’esperienza, tratta dall’analisi economica del diritto, secondo cui delimitare il regime di responsabilità ha l’effetto di soste-
262
DIRITTO DI INTERNET N. 2/2019
nere le scelte d’impresa. La configurazione tecnica della responsabilità (per fatto proprio doloso, o anche, via via, per fatto proprio colposo, per fatto altrui o di tipo oggettivo) opera infatti sulla cd. allocazione dei rischi, influenzandola ogni volta in modo diverso: come quando si ritenga più efficiente a raggiungere i risultati voluti far gravare la responsabilità sul soggetto che economicamente sia in grado di sostenerla (least cost insurer) o si opti per un regime di responsabilità oggettiva, in quanto reputata capace di sollecitare le necessarie cautele preventive da parte di chi potrebbe incorrervi. 4.2. - La giurisprudenza della Corte UE. La giurisprudenza recente della Corte di giustizia dell’Unione Europea ha accolto la nozione di “hosting provider attivo”, riferita a tutti quei casi che esulano da un’”attività dei prestatori di servizi della società dell’informazione (che) sia di ordine meramente tecnico, automatico e passivo, con la conseguenza che detti prestatori non conoscono né controllano le informazioni trasmesse o memorizzate dalle persone alle quali forniscono i loro servizi”, mentre “(p)er contro, tali limitazioni di responsabilità non sono applicabili nel caso in cui un prestatore di servizi della società dell’informazione svolga un ruolo attivo”, richiamando a tal fine il considerando 42 della direttiva (Corte di giustizia UE 7 agosto 2018, Cooperatieve Vereniging SNB-REACT U.A. c. Deepak Mehta, C-521/17, punti 47 e 48, relativa alla responsabilità di un privato, prestatore di servizi di locazione e registrazione di indirizzi IP che consentivano di utilizzare anonimamente nomi di dominio e siti internet: egli aveva registrato circa 38.000 nomi di dominio internet, che utilizzavano illecitamente segni identici ai marchi appartenenti ad alcuni suoi membri, nonché siti internet sui quali erano illecitamente vendute merci recanti tali segni; Corte di giustizia UE 11 settembre 2014, C-291/13, Sotiris Papasavvas, spec. p. 44; Corte di giustizia UE 12 luglio 2011, C-324/09, L’Orèal c. eBay, cit., punti 112, 113, 116, 123, con riguardo al gestore di un mercato online, il quale svolge un “ruolo attivo” allorché presta un’assistenza che consiste nell’ottimizzare la presentazione delle offerte in vendita o nel promuoverle; Corte di giustizia UE 23 marzo 2010, da C-236/08 a C-238/08, Google c. Luis Vuitton, punti 112, 113, 114 e 120).
GIURISPRUDENZA CIVILE Con l’ovvia precisazione che la disposizione di cui all’art. 14, comma 1, della direttiva 2000/31/CE deve essere “interpretata non soltanto in considerazione del suo tenore letterale, ma anche del suo contesto e degli scopi perseguiti dalla normativa di cui essa fa parte” (Corte di giustizia UE 12 luglio 2011, C-324/09, L’Orèal c. eBay, cit. punto 111). Ancora di recente, la Corte di giustizia UE (sent. 14 giugno 2017, C-610/15, Stichting Brein), ha affermato che la fornitura e la gestione di una piattaforma di condivisione online, come quella ivi considerata, è atto di comunicazione, ai sensi dell’art. 3, paragrafo 1, della direttiva 2001/29/CE; sebbene in detto giudizio i gestori della piattaforma non fossero parti. La Comunicazione della Commissione Europea COM (2017) 555 del 28 settembre 2017, intitolata “Lotta ai contenuti illeciti online. Verso una maggiore responsabilizzazione delle piattaforme online”, ha preso parimenti atto dell’orientamento della Corte di giustizia, secondo cui la deroga alla responsabilità di cui all’art. 14 della direttiva è disponibile solo per i prestatori di servizi di hosting “che non rivestono un ruolo attivo” (p. 11). Detta nozione può ormai ritenersi, dunque, un approdo acquisito in ambito comunitario. Non senza ricordare, al riguardo, che - de iure condendo - la Proposta di direttiva del Parlamento Europeo e del Consiglio sul diritto d’autore nel mercato unico digitale COM(2016) 593, nella versione derivante dagli emendamenti del Parlamento Europeo approvati il 12 settembre 2018, dichiara, al secondo considerando, l’esigenza di dettare “norme relative all’esercizio e all’applicazione dell’uso di opere e altro materiale sulle piattaforme dei prestatori di servizi online”, in integrazione, come precisa il quarto considerando, anche della direttiva 2000/31/ CE. Dando ancora più espressamente atto, al trentottesimo considerando, di quanto segue: “Per quanto concerne l’art. 14 è necessario verificare se il prestatore di servizi svolge un ruolo attivo, anche ottimizzando la presentazione delle opere o altro materiale caricati o promuovendoli, indipendentemente dalla natura del mezzo utilizzato a tal fine. / Per garantire il funzionamento di qualsiasi accordo di licenza, i prestatori di servizi della società dell’informazione che memorizzano e danno pubblico accesso ad un grande numero di opere o altro materiale protetti dal diritto d’autore caricati dagli utenti dovrebbero adottare misure appropriate e proporzionate per garantire la protezione di tali opere o altro materiale, ad esempio tramite l’uso di tecnologie efficaci. L’obbligo dovrebbe sussistere anche quando i prestatori di servizi della società dell’informazione rientrano nell’esenzione di responsabilità di cui all’art. 14 della direttiva 2000/31/CE”. In sostanza, pare una presa d’atto dell’evoluzione sia delle tecniche informatiche di protezione del diritto d’autore, sia dell’esigenza di questa.
4.3. - Riconducibilità al concorso attivo di persone nell’illecito. La distinzione tra hosting provider attivo e passivo può, a ben vedere, agevolmente inquadrarsi nella tradizionale teoria della condotta illecita, la quale può consistere in un’azione o in un’omissione, in tale ultimo caso con illecito omissivo in senso proprio, in mancanza dell’evento, oppure, qualora ne derivi un evento, in senso improprio; a sua volta, ove l’evento sia costituito dal fatto illecito altrui, si configura l’illecito commissivo mediante omissione in concorso con l’autore principale. La figura dell’hosting provider attivo va ricondotta alla fattispecie della condotta illecita attiva di concorso. Al riguardo, vale la pena di ricordare l’osservazione della dottrina, secondo cui il diritto privato Europeo è pragmatico e non si cura delle architetture concettuali, avendo il legislatore comunitario il difficile compito di ottenere effettività con il “minimo investimento assiologico” ed un “minimo tasso di riconcettualizzazione”; ed il rilievo, secondo cui le norme di derivazione Europea provengono da sistemi giuridici segnati da una “tendenziale sottoteorizzazione”. Dal suo canto, le pronunce della Corte di giustizia sono delimitate dai quesiti sottoposti dai giudici a quibus. Eppure, come del pari si osserva, nell’esigenza di trovare una nuova dogmatica universalmente fruibile, oltre le dogmatiche municipali, gli esponenti dell’accademia e delle corti, nei rispettivi ruoli, sono chiamati a preservare il valore della certezza del diritto: il che passa anche attraverso la riconduzione ad un sistema concettuale efficiente delle norme di derivazione Europea. Dunque, si può parlare di hosting provider attivo, sottratto al regime privilegiato, quando sia ravvisabile una condotta di azione, nel senso ora richiamato. Gli elementi idonei a delineare la figura o “indici di interferenza”, da accertare in concreto ad opera del giudice del merito, sono - a titolo esemplificativo e non necessariamente tutte compresenti - le attività di filtro, selezione, indicizzazione, organizzazione, catalogazione, aggregazione, valutazione, uso, modifica, estrazione o promozione dei contenuti, operate mediante una gestione imprenditoriale del servizio, come pure l’adozione di una tecnica di valutazione comportamentale degli utenti per aumentarne la fidelizzazione: condotte che abbiano, in sostanza, l’effetto di completare ed arricchire in modo non passivo la fruizione dei contenuti da parte di utenti indeterminati. 4.4. - Infondatezza dei primi due motivi. Ciò posto, i primi due motivi sono infondati. Per quanto sinora esposto, non può essere condivisa la sentenza impugnata, laddove già in astratto rifiuta la figura di hosting provider attivo: sebbene sia sufficiente correggerne la motivazione, ai sensi dell’art. 384 c.p.c., comma 4, essendo la decisione impugnata conforme a diritto.
DIRITTO DI INTERNET N. 2/2019
263
GIURISPRUDENZA CIVILE Orbene, la sentenza impugnata della Corte d’appello di Milano ha accertato le attività svolte, espletate da Yahoo Italia s.p.a. mediante plurime e nuove tecnologie avanzate: essa menziona le sofisticate tecniche di intercettazione dei files, nonché alcune molteplici modalità di gestione del sito ed i vantaggi economici conseguiti dal gestore. La corte del merito ha esaminato l’ampio materiale probatorio senza che ad essa sia nemmeno imputabile l’omesso esame di fatto decisivo, lamentato nel secondo il motivo – ed è giunta alla conclusione secondo cui il ruolo del prestatore dei servizi, nella vicenda in esame, non ha varcato i limiti della prestazione di mero hosting provider passivo. Essa ha affermato che Yahoo Italia s.r.l. erogava un servizio di pubblica fruizione di video, mediante il quale i singoli utenti potevano caricare contenuti soggetti anche a commenti altrui, ma con mera prestazione di servizi di “ospitalità” di dati o hosting, quindi mediante un semplice servizio di accesso ad un sito e senza proporre altri servizi di elaborazione dei dati; ed ha aggiunto che nemmeno le funzioni espletate da Yahoo Italia s.p.a. mediante tecnologie più avanzate dimostrano, nel caso di specie, l’avvenuta manipolazione dei dati immessi: onde ciò non è in grado di determinare il mutamento della natura del servizio descritto, che resta meramente “passivo”. Tali attività correttamente non sono state sussunte sotto la indicata nozione di hosting attivo, in quanto non assurgono a manipolazione dei dati immessi e non determinano il mutamento della natura del servizio. Ne deriva che, alla luce dell’acquisita nozione, sopra delineata, la vicenda concreta resta inquadrabile nella fattispecie astratta del D.Lgs. n. 70 del 2003, art. 16. 5. - Obblighi e responsabilità dell’hosting provider. Il terzo, il quarto, il sesto ed il nono motivo del ricorso principale, da esaminare congiuntamente per la loro intima connessione, sono fondati, nei limiti di seguito esposti; del pari connesso l’unico motivo del ricorso incidentale, che è invece infondato. Con essi si intende affermare (o negare) che il prestatore del servizio, una volta a conoscenza degli illeciti contenuti veicolati da terzi attraverso il servizio stesso, in particolare mediante la diffida a lui inoltrata dal titolare del diritto leso, abbia l’obbligo di rimuoverli e di impedire ulteriori violazioni, senza l’esigenza della specifica indicazione dei cd. “url” di ciascun video al fine del sorgere del dovere di attivarsi in tal senso. 5.1. - Tecnica normativa e suo significato. Nella formulazione logico-letterale delle norme - gli artt. 14-15 della direttiva sul commercio elettronico e il D.Lgs. n. 70 del 2003, artt. 16 - 17 - il legislatore eurounitario e, di conseguenza, quello nazionale hanno scelto di enunciare un principio generale che afferma il regime di irresponsabilità e, quindi, delimitarlo al ricorrere di talune condizioni.
264
DIRITTO DI INTERNET N. 2/2019
L’ultimo degli articoli che disciplinano la responsabilità dei provider contiene il principio generale che regola la materia, laddove dispone che nella prestazione di servizi di cui agli articoli precedenti il provider non è soggetto né ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. È trasparente l’intento di “manifesto” di tale tecnica di formulazione normativa, che trova fondamento nel fine di assicurare l’espansione della società dell’informazione. Le regole dettate hanno inteso operare il bilanciamento – per diretta opera del legislatore degli interessi coinvolti nel fenomeno internet, quali la libertà di manifestazione del pensiero, la cd. riservatezza informatica del soggetto che immette contenuti in rete, l’indipendenza degli intermediari, i diritti personalissimi dei soggetti i cui dati vengono diffusi, il diritto d’autore ed ogni altra situazione giuridica soggettiva suscettibile di essere pregiudicata dall’utilizzo del mezzo. Peraltro, la regula iuris che ne scaturisce non è diversa, ed anzi è esattamente identica, da quella che sarebbe stata ove, espunto il ricordato intento, la norma fosse stata costruita nel senso di prevedere il sorgere della responsabilità in capo al prestatore del servizio in presenza di date situazioni. Inoltre, “gli artt. 12-15 della direttiva 2000/31/CE mirano a limitare le ipotesi in cui, conformemente al diritto nazionale applicabile in materia, può sorgere la responsabilità dei prestatori intermediari di servizi della società dell’informazione. È pertanto nell’ambito di tale diritto nazionale che vanno ricercati i presupposti per accertare una siffatta responsabilità, fermo restando però che, ai sensi dei summenzionati articoli della direttiva 2000/31, talune fattispecie non possono dar luogo a una responsabilità dei detti prestatori” (Corte di giustizia UE 12 luglio 2011, C-324/09, L’Orèal c. eBay, cit., punto 107). 5.2. - I limiti al regime generale dell’irresponsabilità. Così ricostruita, per chiarezza della regola posta, la norma dell’art. 16 citato, essa dispone che, nella prestazione del servizio di hosting, consistente nella memorizzazione di informazioni fornite dal destinatario del servizio stesso, il prestatore è responsabile con riguardo al contenuto delle informazioni quando: a) egli “sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita” e, per quanto attiene ad azioni risarcitorie, “sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione” (del pari, per la direttiva, occorre che egli “sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita” e, per quanto attiene ad azioni risarcitorie, “sia al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione”: art. 14 dir.); oppure:
GIURISPRUDENZA CIVILE b) egli non “agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso” appena “a conoscenza di tali fatti, su comunicazione delle autorità competenti” (del pari, per la direttiva, occorre che egli, “al corrente di tali fatti”, non “agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso”). Se una differenza si coglie, è in quest’ultima proposizione, laddove la norma interna prevede la comunicazione dell’autorità competente. Qui rileva la prima delle fattispecie di responsabilità: ovvero quella che collega il sorgere dell’obbligazione risarcitoria al fatto della “conoscenza”, da parte del prestatore del servizio, circa la illiceità dell’informazione, in particolare connotata dall’essere essa “manifesta” nelle azioni di risarcimento del danno. Che si tratti di due ipotesi distinte è confermato dall’art. 14 della direttiva 2000/31/CE, dal quale la norma interna direttamente deriva, ove si pone con chiarezza la disgiuntiva “o” nel passaggio dalla prima alla seconda lettera della previsione. 5.3. - Elementi costitutivi della responsabilità dell’hosting. A questo riguardo, la prima fattispecie di responsabilità espressamente comprende, accanto all’omessa rimozione dei contenuti, due elementi costitutivi: l’illiceità manifesta dei contenuti stessi e la conoscenza di questa. Sotto il primo profilo, l’illiceità discende dalla violazione dell’altrui sfera giuridica, mediante un illecito civile o penale, comportante la lesione di diritti personalissimi, quali ad esempio il diritto all’onore, alla reputazione, all’identità personale, all’immagine o alla riservatezza; o ancora, come nella specie, del diritto di autore. Al riguardo non è, peraltro, questione in questa sede, essendo stato accertato nei gradi di merito che il diritto del terzo sussiste ed esso è stato leso dall’utilizzo ad opera degli utenti del servizio. Il secondo elemento della fattispecie dimostra che non si tratta di una responsabilità oggettiva o per fatto altrui, ma di responsabilità per fatto proprio colpevole, per di più innanzi ad una situazione di illiceità “manifesta” dell’altrui condotta, di cui non si impedisce la protrazione, mediante la rimozione delle informazioni o la disabilitazione all’accesso, secondo le espressioni tecniche mutuate dalla seconda fattispecie. Tali caratteri soggettivi sono estensibili al caso del concorso mediante condotta attiva nell’illecito del cd. hosting provider attivo, di cui prima si è discorso, il quale parimenti presuppone, secondo le regole generali, la conoscenza dell’illiceità del fatto altrui. Sotto il profilo oggettivo, al prestatore del servizio non “attivo” si rimprovera, invece, una condotta commissiva mediante omissione, per avere - dal momento in cui sussista l’elemento psicologico predetto - concorso nel comportamento lesivo altrui a consumazione perma-
nente, non avendo provveduto alla rimozione del dato informatico o al blocco all’accesso. In tal senso, può dirsi che il D.Lgs. n. 70 del 2003, art. 16 fondi una cd. posizione di garanzia dell’hosting provider, che, se per definizione è indispensabile alla stessa originaria perpetrazione dell’illecito del destinatario del servizio, ne diviene giuridicamente responsabile solo dal momento in cui gli possa essere rimproverata l’inerzia nell’impedirne la protrazione. 5.4. - La conoscenza effettiva. La questione è individuare la nozione giuridica di “conoscenza effettiva” dell’altrui illecito “manifesto”, perpetrato mediante il servizio dell’informazione, di cui parla il D.Lgs. n. 70 del 2003, art. 16, comma 1, lett. a), come già l’art. 14, comma 1, lett. a), della direttiva. Questa Corte, esaminando in sede penale ipotesi di lesione del diritto sui propri dati personali mediante la diffusione di contenuti internet, ha rilevato come il nostro legislatore, in conformità della direttiva 2000/31/ CE, “ha inteso porre quali presupposti della responsabilità del provider proprio la sua effettiva conoscenza dei dati immessi dall’utente e l’eventuale inerzia nella rimozione delle informazioni da lui conosciute come illecite. Se ne desume, ai fini della ricostruzione interpretativa della figura del titolare del trattamento dei dati, che il legislatore ha inteso far coincidere il potere decisionale sul trattamento con la capacità di concretamente incidere su tali dati, che non può prescindere dalla conoscenza dei dati stessi” (Cass. pen. 17 dicembre 2013, n. 5107). L’elemento naturalistico della fattispecie attinge dalla realtà concreta, ove si reputa che un soggetto conosca un fatto quando esso sia pervenuto alla sua sfera psichica e vi sia stato interamente appreso e compreso. Ma non è questa la nozione giuridica di conoscenza, che necessita della trasposizione di un evento impalpabile nell’ambito di situazioni positivamente verificabili. Posto che certamente si tratta di nozione ab origine psicologica afferente il cd. foro interno, e ciò tanto più in presenza di soggetti collettivi, in cui lo stato psicologico rilevante viene desunto da quello del legale rappresentante (art. 1391 c.c.), soccorrono - in ipotesi di notizia fornita dallo stesso titolare del diritto leso - gli ordinari mezzi idonei ad assicurare la comunicazione dell’evento, secondo il sistema della presunzione semplice ex art. 1335 c.c., in forza del quale un soggetto è giuridicamente a conoscenza di un evento ove ne sia stato reso edotto mediante mezzi di comunicazione scritta o verbale. Nel caso della responsabilità del prestatore dei servizi della società dell’informazione, dunque, con riguardo all’interpretazione ed applicazione del D.Lgs. n. 70 del 2003, art. 16, comma 1, lett. a), la conoscenza dell’altrui illecito, quale elemento costitutivo della responsabilità del prestatore stesso, coincide con l’esistenza di una comunicazione in tal senso operata dal terzo, il cui diritto si assuma leso.
DIRITTO DI INTERNET N. 2/2019
265
GIURISPRUDENZA CIVILE L’onere della prova a carico del mittente riguarda, in tale contesto, solo l’avvenuto recapito all’indirizzo del destinatario, posto che il pervenire a tale indirizzo della comunicazione in forma scritta opera per il solo fatto oggettivo dell’arrivo dell’atto nel luogo indicato. La presunzione iuris tantum di conoscenza è superabile mediante la prova contraria, da fornirsi da parte del prestatore del servizio, concernente l’impossibilità di acquisire, in concreto, l’anzidetta conoscenza per un evento estraneo alla sua volontà. L’esistenza di detta conoscenza è oggetto dell’apprezzamento demandato al giudice di merito, incensurabile in sede di legittimità. Ne deriva che il sorgere dell’obbligo (di cui meglio oltre si dirà) in capo al prestatore del servizio non richiede una “diffida” in senso tecnico - quale richiesta di adempimento dell’obbligo di rimozione dei documenti illeciti - essendo a ciò sufficiente la mera “comunicazione” o notizia della lesione del diritto. Infine, in assenza dell’attuazione di una modalità di comunicazione scritta e formale al provider, la prova della conoscenza in capo al medesimo, gravante sul titolare del diritto leso, potrà essere data con ogni mezzo, restando in tal caso più ardua però la dimostrazione di tale elemento. 5.5. - Insussistenza di un obbligo di sorveglianza e di attivazione anticipato, generale e costante in capo al prestatore; sussistenza di un obbligo di rimozione ove a conoscenza degli illeciti. Il successivo D.Lgs. n. 70 del 2003, art. 17 esclude un obbligo di sorveglianza generale e costante, onde il prestatore non è responsabile per avere omesso di vigilare in modo preventivo e continuativo sui contenuti immessi dagli utenti del servizio. E, però, egli risponde dei danni cagionati, allorché, reso edotto di quei contenuti - vuoi dal titolare del diritto, vuoi aliunde - non si sia attivato per la immediata rimozione dei medesimi. Nè il portato del D.Lgs. n. 70 del 2003, art. 16, comma 1, lett. a), può venire ridimensionato e, nella sostanza, vanificato, come pretende la difesa della controricorrente, in forza del menzionato art. 17 del medesimo decreto legislativo: norma questa che, da un lato, ribadisce l’inesistenza di un obbligo generale di vigilanza sui contenuti diffusi, ma, dall’altro lato, sancisce l’obbligo del prestatore del servizio di comunicare l’esistenza di illeciti e di fornire, a richiesta, anche i dati personali identificativi del destinatario dei servizi, al fine non solo di individuare, ma anche di prevenire delle attività illecite. Onde il contenuto principale di tale disposizione è proprio quello di costituire alcuni obblighi del prestatore dei servizi dell’informazione nei rapporti con le autorità giudiziarie ed amministrative. La disciplina positiva induce, pertanto, ad escludere ogni obbligo di attivazione del prestatore (pur non “atti-
266
DIRITTO DI INTERNET N. 2/2019
vo”) con riguardo alla diretta ricerca degli altrui illeciti, nel momento in cui essi vengono immessi e diffusi nella rete; obbligo che sorge, però, nel momento successivo alla conoscenza dei fatti illeciti da parte del prestatore. Il menzionato bilanciamento, da parte del legislatore, degli interessi coinvolti nel fenomeno internet è stato così realizzato sancendo un regime di irresponsabilità del prestatore sino al limite del suo diretto coinvolgimento oppure della sua conoscenza dell’illecito: in tal modo perciò circoscrivendo, ma non annullando del tutto, il controllo circa i contenuti immessi che possano integrare illeciti telematici. 5.6. - Valutazione della ragionevole fondatezza della comunicazione. Né rileva al riguardo il timore, da alcuni avanzato, secondo cui lo stesso prestatore del servizio di hosting provider verrebbe eretto ad arbitro della valutazione di liceità o d’illiceità dei contenuti immessi: atteso che, così come in ogni altra vicenda di lesione dell’altrui diritto, è in facoltà del soggetto leso chiedere il ristoro o la cessazione della condotta prima di far ricorso alle competenti autorità, confidando nella spontanea valutazione dell’autore della violazione in ordine alle proprie buone ragioni. In realtà, sul punto provvede lo stesso D.Lgs. n. 70 del 2003, art. 16, comma 1, lett. a), laddove richiede, al fine dell’affermazione della possibile responsabilità del prestatore, che egli sia a conoscenza di fatti i quali rendano “manifesta” l’illiceità dell’attività o dell’informazione. L’hosting provider è chiamato quindi a delibare, secondo criteri di comune esperienza, alla stregua della diligenza professionale tipicamente dovuta, la comunicazione pervenuta e la sua ragionevole fondatezza (ovvero, il buon diritto del soggetto che si assume leso, tenuto conto delle norme positive che lo tutelano, come interpretate ad opera della giurisprudenza interna e comunitaria), nonché, in ipotesi di esito positivo della verifica, ad attivarsi rapidamente per eliminare il contenuto segnalato. L’aggettivo vale, in sostanza, a circoscrivere la responsabilità del prestatore alla fattispecie della colpa grave o del dolo: se l’illiceità deve essere “manifesta”, vuol dire che sarebbe possibile riscontrarla senza particolare difficoltà, alla stregua dell’esperienza e della conoscenza tipiche dell’operatore del settore e della diligenza professionale da lui esigibile, così che non averlo fatto integra almeno una grave negligenza dello stesso. Tale interpretazione appare coerente con pronunce della Corte di giustizia dell’Unione Europea, secondo cui, potendo la causa comportare una condanna al pagamento di un risarcimento dei danni, occorre che il giudice esamini se il prestatore di un servizio della società dell’informazione “sia stato al corrente di fatti o di circostanze in base ai quali un operatore economico diligente avrebbe dovuto constatare l’illiceità di cui trattasi”, in ciò ricomprendendo le norme, “affinché non siano pri-
GIURISPRUDENZA CIVILE vate del loro effetto utile (...) qualsiasi situazione nella quale il prestatore considerato viene ad essere, in qualunque modo, al corrente di tali fatti o circostanze”: ove l’esempio che il prestatore “scopre l’esistenza di un’attività o di un’informazione illecite a seguito di un esame effettuato di propria iniziativa, nonché la situazione in cui gli sia notificata l’esistenza di un’attività o di un’informazione siffatte”, pur dovendosi considerare i casi in cui “notifiche relative ad attività o informazioni che si asseriscono illecite possono rivelarsi insufficientemente precise e dimostrate”, come il giudice nazionale deve valutare (Corte di giustizia UE 12 luglio 2011, C-324/09, L’Orèal c. eBay, punti 120, 121, 122). Del pari, la Corte di giustizia ha escluso l’esenzione da responsabilità, prevista dall’art. 14 della direttiva 2000/31/CE, allorché il prestatore “dopo aver preso conoscenza, mediante un’informazione fornita dalla persona lesa o in altro modo, della natura illecita di tali dati o di attività di detto destinatari abbia omesso di prontamente rimuovere tali dati o disabilitare l’accesso agli stessi” (Corte di giustizia UE 23 marzo 2010, Google c. Louis Vuitton, punti 109, 120): statuendo quindi che la conoscenza, comunque acquisita e non solo proveniente dalle autorità competenti, della illiceità dei dati implica responsabilità. In caso contrario, in presenza di una situazione di “non manifesta” illiceità, nel senso ora indicato, in capo al prestatore del servizio resterà il solo obbligo di informarne le competenti autorità (la cd. notice). 5.7. - Possibilità di attivarsi utilmente. Infine - accanto al presupposto dell’obbligo del prestatore del servizio di attivarsi, costituito dall’essere stato egli reso edotto dei contenuti manifestamente illeciti trasmessi - va chiarito come occorra, al fine del sorgere della sua responsabilità risarcitoria, anche la verifica che egli potesse attivarsi utilmente ed in modo efficiente: in quanto, da un lato, come già esposto, munito degli adeguati strumenti conoscitivi e, dall’altro lato, anche fornito dei poteri di impedire l’altrui illecito. Si tratta del principio generale, secondo cui la responsabilità omissiva presuppone che sia all’autore possibile e che sia utile attivarsi. Come in tutti i casi di concorso omissivo nel fatto illecito altrui, invero, ai fini del giudizio di responsabilità del prestatore occorre l’accertamento degli elementi costitutivi della fattispecie: ovvero, la condotta, consistente nell’inerzia; l’evento, quale fatto pregiudizievole ed antidoveroso altrui; il nesso causale, mediante il cd. giudizio controfattuale, allorché l’attivazione avrebbe impedito l’evento, anche con riguardo, come nella specie, alla sua protrazione; l’elemento soggettivo della fattispecie. Sotto quest’ultimo profilo, sono due, dunque, i momenti complementari: da un lato, la rappresentazione dell’evento nella sua portata illecita, che prescinde dalla
modalità e tipologia del canale conoscitivo; dall’altro lato, l’omissione consapevole nell’impedirne la prosecuzione, in cui rileva la possibilità di attivarsi utilmente. In questo contesto, l’onere di allegazione e di prova può essere precisato nel senso che spetta all’attore titolare del diritto leso allegare e provare, a fronte dell’inerzia dell’hosting provider, la conoscenza di questi in ordine all’illecito compiuto dal destinatario del servizio, indotta dalla stessa comunicazione del titolare del diritto leso o aliunde, nonché di indicare gli elementi che rendevano manifesta detta illiceità; assolto tale onere, l’inerzia del prestatore integra di per sè la responsabilità, a fronte dell’obbligo di attivazione posto dal menzionato D.Lgs. n. 70 del 2003, art. 16, restando a carico del medesimo l’onere di provare di non aver avuto nessuna possibilità di attivarsi utilmente, possibilità che sussiste se il prestatore è munito degli strumenti tecnici e giuridici per impedire le violazioni (ad es., per il potere di autotutela negoziale al medesimo concesso in forza del contratto concluso con il destinatario del servizio). 5.8. - Contenuto della comunicazione del titolare del diritto leso: sulla necessità tecnica di indicazione degli “url”. Resta da stabilire un punto. La comunicazione al prestatore del servizio deve essere idonea a consentire al destinatario la comprensione e l’identificazione dei contenuti illeciti: a tal fine, deve allora aversi riguardo ai profili tecnico-informatici per valutare se, nell’ipotesi di trasmissione di prodotti video in violazione dell’altrui diritto di autore, questi siano identificabili mediante la mera indicazione del nome della trasmissione da cui sono tratti e simili elementi descrittivi, oppure occorra anche la precisa indicazione del cd. indirizzo “url” (uniform resource locator), quale sequenza di caratteri identificativa dell’indirizzo cercato; ciò, trattandosi di responsabilità aquiliana sorta al momento della condotta omissiva, alla stregua dello sviluppo tecnologico dell’epoca dei fatti. La stessa Corte di giustizia ha, nel caso L’Oreal, rimesso al giudice nazionale la valutazione delle notifiche rivolte al provider dai titolari dei diritti di proprietà intellettuale, ancorché di contenuto impreciso o generico, per apprezzare il reale status conoscitivo del fornitore di servizi e inquadrarne così la condotta (Corte di giustizia UE, 12 luglio 2011, C-324/09, cit.). Nella Comunicazione della Commissione COM (2017) 555 del 28 settembre 2017, già sopra ricordata, tale organismo ha offerto alcuni orientamenti alla luce del quadro giuridico vigente. Essa rileva come le piattaforme online, ad oggi, “dispongono solitamente dei mezzi tecnici per identificare e rimuovere” i contenuti illeciti e che, alla luce del “progresso tecnologico nell’elaborazione di informazioni e nell’intelligenza artificiale, l’uso di tecnologie di individuazione e filtraggio automatico sta diventando uno strumento ancora più importante nella lotta contro i contenuti illegali online.
DIRITTO DI INTERNET N. 2/2019
267
GIURISPRUDENZA CIVILE Attualmente molte grandi piattaforme utilizzano qualche forma di algoritmo di abbinamento basata su una serie di tecnologie, dal semplice filtraggio dei metadati fino all’indirizzamento calcolato e alla marcatura (fingerprinting) dei contenuti”, aggiungendo che “nel settore del diritto d’autore, per esempio, il riconoscimento automatico dei contenuti si dimostra uno strumento efficace da diversi anni”, addirittura in funzione “proattiva”, giustamente escludendo però che questo possa di per sè implicare, ex adverso, la perdita della deroga alla responsabilità (p. 13). Inoltre, “gli strumenti tecnologici possono essere usati con un maggiore livello di affidabilità per marcare e filtrare (rimozione permanente) i contenuti che sono già stati identificati e valutati come illegali”, mediante riconoscimento automatico dei contenuti e procedure automatiche di rimozione permanente: insomma, mediante procedure automatiche, volte a prevenire la ricomparsa di contenuti illegali online (p. 20) Quello in esame è, peraltro, un profilo squisitamente di merito, che presuppone un ineludibile accertamento in fatto; se del caso, ove sia necessario un ausilio esperto in ragione dei profili tecnici coinvolti, mediante consulenza tecnica d’ufficio e con riguardo alla specifica denominazione di ciascuno dei singoli programmi televisivi diffusi (la quale potrebbe contenere, o no, parole combinate in modo originale tali da distinguersi dal linguaggio comune), situazione che è necessariamente variabile da una vicenda all’altra: accertamento, tuttavia, non compiuto dalla sentenza impugnata, che ne ha omesso l’esame. Essa, invero, si limita ad esporre la conclusione raggiunta, nel senso dell’esigenza di detta indicazione: ma la conclusione non si fonda sopra un dato fattuale certo, in quanto non risulta espletato un previo accertamento in fatto circa la identificabilità, sotto il profilo tecnico, dei video illeciti sulla base della loro mera denominazione, riportante il titolo della trasmissione televisiva illecitamente riprodotta e diffusa. Non è, dunque, questione del riparto dell’onere della prova, che la sentenza impugnata reputa correttamente essere posto a carico del titolare del diritto d’autore leso, ricordando altresì l’attenuazione del medesimo ex art. 6 della direttiva 2004/48/CE sul diritto d’autore (p. 27 della decisione impugnata), cui può affiancarsi il richiamo, operato stavolta dal ricorrente, al regime della discovery probatoria di cui agli artt. 156-bis e 156-ter L. aut. (inseriti dal D.Lgs. n. 140 del 2006, attuativo di quella direttiva): ed invero, fermo tale onere secondo le ordinarie regole probatorie, il punto non era stabilire se RTI s.p.a. dovesse dimostrare il fatto lesivo, ma invece valutare se la conoscenza legale - elemento costitutivo della fattispecie di responsabilità del prestatore D.Lgs. n. 70 del 2003, ex art. 16 - fosse integrata dalla comunicazione della violazione del diritto sulle trasmissioni indicate nella diffida, in quanto questa fosse già idonea a consentire al prestatore,
268
DIRITTO DI INTERNET N. 2/2019
secondo la diligenza professionale dovuta, di identificare perfettamente i video illecitamente diffusi. Essendo mancato tale essenziale accertamento in fatto, frutto di una non corretta interpretazione della norma, la conseguente applicazione del regime di responsabilità de quo ne è risultata alterata. 5.9. - Insussistenza del giudicato interno. È il momento di occuparsi del quinto motivo, che è infondato. Nel portare con l’atto di appello la controversia all’esame del giudice di secondo grado, l’intera difesa di Yahoo Italia s.p.a. fu riproposta, onde nessun giudicato sul punto si era formato. Deve invero richiamarsi il condivisibile principio secondo cui, ai fini della selezione delle questioni, di fatto o di diritto, suscettibili di devoluzione e quindi di giudicato interno se non censurate in appello, la locuzione giurisprudenziale “minima unità suscettibile di acquisire la stabilità del giudicato interno” individua la sequenza logica costituita dal fatto, dalla norma e dall’effetto giuridico, ossia la statuizione che affermi l’esistenza di un fatto sussumibile sotto una norma che ad esso ricolleghi un dato effetto giuridico; ne consegue che, sebbene ciascun elemento di detta sequenza possa essere oggetto di singolo motivo di appello, nondimeno l’impugnazione motivata anche in ordine ad uno solo di essi riapre la cognizione sull’intera statuizione (fra le tante, Cass. 4 febbraio 2016, n. 2217; Cass. 28 settembre 2012, n. 16583; ed altre). Nella specie, secondo la ricorrente, il giudicato interno verterebbe sulla idoneità della mera indicazione dei titoli dei programmi ad individuare i video, e quindi a rendere il prestatore del servizio obbligato ad attivarsi. Come si vede, si tratta di una complessiva ricostruzione della sequenza logica di applicazione del D.Lgs. n. 70 del 2003, art. 16, nei sensi del principio ora richiamato, devoluta al giudice d’appello, mediante i motivi afferenti la responsabilità del prestatore, derivante dalla mancata eliminazione dei files dopo la diffida ricevuta ad opera del titolare del diritto d’autore: ponendosi la maggiore o minore necessaria specificazione del contenuto della diffida, pertanto, quale mero passaggio funzionale all’affermazione degli elementi costitutivi di quella responsabilità. Con la conseguente infondatezza del motivo. 5.10. - Non necessità della notizia o dell’ordine provenienti dall’autorità. Va precisato che non può condividersi la tesi secondo cui l’obbligo di attivazione non sussisterebbe, pur in presenza dell’inequivoco disvelamento dell’illecito altrui, sino a quando non sia stata una pubblica autorità, amministrativa o giurisdizionale, ad ordinare con un proprio provvedimento tale comportamento o almeno a notiziare di esso il prestatore intermediario.
GIURISPRUDENZA CIVILE A ciò induce, da un lato, la duplice fattispecie normativa, che espressamente contempla la “comunicazione” dell’autorità solo nella seconda ipotesi. Depone in tal senso, dall’altro lato, la lettura del considerando 46 della direttiva attuata col D.Lgs. n. 70 del 2003, importante ai fini interpretativi, secondo cui “Per godere di una limitazione della responsabilità, il prestatore di un servizio della società dell’informazione consistente nella memorizzazione di informazioni deve agire immediatamente per rimuovere le informazioni o per disabilitare l’accesso alle medesime non appena sia informato o si renda conto delle attività illecite”, senza altre condizioni al sorgere dell’obbligo di attivazione. Né il significato generale di tale disposizione è suscettibile di essere disatteso in forza della seconda parte del considerando medesimo, secondo cui “La rimozione delle informazioni o la disabilitazione dell’accesso alle medesime devono essere effettuate nel rispetto del principio della libertà di espressione e delle procedure all’uopo previste a livello nazionale. La presente direttiva non pregiudica la possibilità per gli Stati membri di stabilire obblighi specifici da soddisfare sollecitamente prima della rimozione delle informazioni o della disabilitazione dell’accesso alle medesime”: posto che il richiamo a tale principio vale unicamente a rinviare alle garanzie dettate dai singoli Stati a tutela del fondamentale diritto di manifestazione del pensiero (si veda l’art. 21 Cost.). 5.11. - Effetto ulteriore della comunicazione: obbligo di impedire altre violazioni dello stesso tipo. Il terzo ed nono motivo sono fondati, anche laddove censurano la sentenza impugnata, per avere ritenuto insussistente un obbligo del prestatore di astenersi di pubblicare contenuti illeciti dello stesso tipo di quelli già riscontrati come violativi dell’altrui diritto e, di conseguenza, l’ammissibilità di una pronuncia di inibitoria in tal senso: ciò, in presenza ormai della identificazione dei cd. url o della constatata possibilità per il prestatore di identificarli mediante i propri mezzi tecnici. Tale obbligo, invero, in nulla è parificabile a quello - insussistente D.Lgs. n. 70 del 2003, ex art. 17 - di vigilanza generale e preventiva sui contenuti immessi dagli utenti: posto che la situazione di ignoranza di quei contenuti (legittima e tutelata dalla norma ora richiamata) è per definizione venuta meno, una volta reso edotto il prestatore dalla comunicazione proveniente dal soggetto leso. Al riguardo, può essere utile richiamare le affermazioni della Corte UE, secondo cui gli Stati membri devono prevedere l’adozione di misure che abbiano la funzione “non solo di far cessare le violazioni inferte al diritto d’autore o ai diritti connessi, ma altresì di prevenirle” e che nulla osta ad imporre ai provider un ordine inibitorio che possa avere per lo stesso un “costo notevole”, imponendo di bloccare non solo l’accesso all’indirizzo su cui i contenuti illeciti risultano allo stato pubblicati,
ma anche “ogni altro indirizzo futuro di cui tale società possa venire a conoscenza” (Corte di giustizia UE 27 marzo 2014, C314/12, Telekabel, punti 35 e 36, 50). Come affermato, in particolare, con riguardo alla protezione del diritto d’autore, anche in forza dell’art. 11 della direttiva 2004/48/CE, ai sensi della quale gli Stati membri devono far sì “che i titolari possano chiedere un provvedimento ingiuntivo nei confronti di intermediari i cui servizi sono utilizzati da terzi per violare un diritto di proprietà intellettuale”, onde “la competenza attribuita, conformemente all’art. 11, terza frase, della stessa direttiva, agli organi giurisdizionali nazionali deve consentire a questi ultimi di ingiungere al prestatore di un servizio online (...) di adottare provvedimenti che contribuiscano in modo effettivo, non solo a porre fine alle violazioni condotte attraverso tale mercato, ma anche a prevenire nuove violazioni” (Corte di giustizia UE 12 luglio 2011, C324/09, L’Orèal, cit., punti 127, 131). Se poi, in concreto, l’inibitoria sia priva di interesse ad agire, per essere da tempo cessato il servizio in questione, secondo l’assunto della controricorrente, è questione rimessa alla valutazione del giudice del merito. 6. - I rimanenti motivi restano assorbiti. 7. - In conclusione, devono essere affermati i seguenti principi di diritto: “L’hosting provider attivo è il prestatore dei servizi della società dell’informazione il quale svolge un’attività che esula da un servizio di ordine meramente tecnico, automatico e passivo, e pone, invece, in essere una condotta attiva, concorrendo con altri nella commissione dell’illecito, onde resta sottratto al regime generale di esenzione di cui al D.Lgs. n. 70 del 2003, art. 16, dovendo la sua responsabilità civile atteggiarsi secondo le regole comuni. Nell’ambito dei servizi della società dell’informazione, la responsabilità dell’hosting provider, prevista dal D.Lgs. 9 aprile 2003, n. 70, art. 16, sussiste in capo al prestatore dei servizi che non abbia provveduto alla immediata rimozione dei contenuti illeciti, nonché se abbia continuato a pubblicarli, pur quando ricorrano congiuntamente le seguenti condizioni: a) sia a conoscenza legale dell’illecito perpetrato dal destinatario del servizio, per averne avuto notizia dal titolare del diritto leso oppure aliunde; b) l’illiceità dell’altrui condotta sia ragionevolmente constatabile, onde egli sia in colpa grave per non averla positivamente riscontata, alla stregua del grado di diligenza che è ragionevole attendersi da un operatore professionale della rete in un determinato momento storico; c) abbia la possibilità di attivarsi utilmente, in quanto reso edotto in modo sufficientemente specifico dei contenuti illecitamente immessi da rimuovere. Resta affidato al giudice del merito l’accertamento in fatto se, sotto il profilo tecnico-informatico, l’identificazione di video, diffusi in violazione dell’altrui diritto, sia possi-
DIRITTO DI INTERNET N. 2/2019
269
GIURISPRUDENZA CIVILE bile mediante l’indicazione del solo nome o titolo della trasmissione da cui sono tratti, od, invece, sia indispensabile, a tal fine, la comunicazione dell’indirizzo “url”, alla stregua delle condizioni esistenti all’epoca dei fatti”. La sentenza impugnata va dunque cassata, con rimessione della causa innanzi alla Corte d’appello di Milano, in diversa composizione, perché – previo accertamento in fatto, all’epoca della vicenda concreta, delle condizioni tecnico-informatiche di identificabilità dei video illeciti mediante la mera indicazione del nome dei programmi da cui sono stati tratti, senza i cd. “url” – valuti la sussistenza della responsabilità del prestatore, secondo i principi enunciati.
Alla stessa si demanda pure la liquidazione delle spese di legittimità. P.Q.M. La Corte accoglie il terzo, il quarto, il sesto ed il nono motivo del ricorso principale, infondati il primo, il secondo ed il quinto, assorbiti gli altri e respinto il ricorso incidentale; cassa la sentenza impugnata e rinvia, anche per la liquidazione delle spese di legittimità, innanzi alla Corte d’appello di Milano, in diversa composizione. Così deciso in Roma, nella Camera di Consiglio, il 21 febbraio 2019. Depositato in Cancelleria il 19 marzo 2019
Corte di C assazione ; sezione I civile; sentenza 19 marzo 2019, n. 7709; Pres. Genovese; Rel. Nazzicone; P.M. De Renzis; Reti Televisive Italiane S.p.a. (Avv. Previti, Assumma, La Rosa, Lepri Fabio) c Yahoo Italia S.r.l. (Avv. Colella Consonni, Lavagnini, Orsingher). Il servizio di ricerca che costituisce il veicolo per l’abusiva diffusione di filmati, si limita a svolgere la funzione di semplice “motore di ricerca”, consistente nel “cercare e organizzare in un elenco i siti pertinenti ai criteri di ricerca indicati dall’utente interrogante fornendo i link che consentono la connessione con ciascuno di essi. Per svolgere tale attività il motore di ricerca procede ad eseguire una copia di ogni sito che viene memorizzata temporaneamente in una cache, attività che consente di fornire per le chiavi di ricerca più frequentemente utilizzate i risultati della ricerca stessa in tempi estremamente rapidi. Tale «memorizzazione automatica, intermedia e temporanea» delle informazioni - eseguita «al solo scopo di rendere più efficace il successivo inoltro ai destinatari a loro richiesta» caratterizza dunque ai sensi dell’art. 15 D.Lgs. 70/03 l’attività in questione”. Nella predetta funzione è rispettata la condizione che il prestatore del servizio non modifichi le informazioni e che sia rimasto in una situazione di neutralità (1). L’embedding è lo strumento che consente all’utente di visionare direttamente sul motore di ricerca immagini presenti su siti di terzi. Il suggest search, offre suggerimenti per completare automaticamente le chiavi della ricerca sulla base delle combinazioni più visualizzate dal complesso degli utenti. Tali servizi non derogano le condizioni di neutralità, fondate sul carattere automatico e temporaneo della memorizzazione delle immagini presenti sui siti di terzi, quando non è allegato e provato nessun intervento da parte del prestatore del servizio su tali informazioni, al di là di una più efficiente modalità di ricerca dei contenuti, che non travalicano la posizione di neutralità del prestatore del servizio (2). Il cacher è esonerato dalla responsabilità per i contenuti immessi da altri, qualora: a) “non modifichi le informazioni”, divenendo allora concorrente attivo; b) “si conformi alle condizioni di accesso alle informazioni”, quindi ad esempio ometta di rendere disponibili al pubblico nella memoria cache delle informazioni che invece non sono tali nel sito di provenienza; c) “si conformi alle norme di aggiornamento delle informazioni”, secondo le regole del settore; d) “non interferisca con l’uso lecito di tecnologia riconosciuta ed utilizzata nel settore per ottenere dati sull’impiego delle informazioni”; e) “agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l’accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l’accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un’autorità amministrativa ne ha disposto la rimozione o la disabilitazione”, provvedendo, dunque, a cancellare i documenti dal medesimo archiviati in memoria, qualora essi siano stati rimossi dal sito di provenienza, l’accesso sia stato disabilitato ad opera del titolare, o sia intervenuto un provvedimento giurisdizionale o amministrativo ad ordinare tale rimozione o disabilitazione (3). Nell’ambito dei servizi della società dell’informazione, la responsabilità del c.d. caching, prevista dall’art. 15 del D.Lgs. n. 70 del 2003, sussiste in capo al prestatore dei servizi che non abbia provveduto alla immediata rimozione dei contenuti illeciti, pur essendogli ciò stato intimato dall’ordine proveniente da un’autorità amministrativa o giurisdizionale (4). Al prestatore del servizio che fornisca una mera attività neutrale di caching la legge non richiede che, sol perché reso edotto di specifici contenuti illeciti con una diffida extragiudiziale o perché proponga una domanda giudiziale al riguardo, spontaneamente li rimuova (5).
270
DIRITTO DI INTERNET N. 2/2019
GIURISPRUDENZA CIVILE … Omissis … 2. - Il primo motivo è infondato. La sentenza impugnata ha esaminato l’ampio materiale probatorio, giungendo alla conclusione secondo cui il ruolo del prestatore dei servizi nella specie non ha varcato i limiti della prestazione di mero caching. Essa ha, invero, affermato che il servizio di ricerca denominato Yahoo Italia Search, che costituisce il contestato veicolo per l’abusiva diffusione dei filmati segnalati da R.T.I. s.p.a., si limita a svolgere la funzione di semplice “motore di ricerca”, consistente nel “cercare e organizzare in un elenco i siti pertinenti ai criteri di ricerca indicati dall’utente interrogante fornendo i link che consentono la connessione con ciascuno di essi. Per svolgere tale attività il motore di ricerca procede ad eseguire una copia di ogni sito che viene memorizzata temporaneamente in una cache, attività che consente di fornire per le chiavi di ricerca più frequentemente utilizzate i risultati della ricerca stessa in tempi estremamente rapidi. Tale “memorizzazione automatica, intermedia e temporanea” delle informazioni - eseguita “al solo scopo di rendere più efficace il successivo inoltro ai destinatari a loro richiesta” - caratterizza dunque ai sensi del D.Lgs. n. 70 del 2003, art. 15 l’attività in questione”. Ha aggiunto che, nella predetta funzione, è rispettata la condizione che il prestatore del servizio non modifichi le informazioni e che sia rimasto in una situazione di neutralità. Ciò, anche quanto alle attività diverse dal mero linking segnalate dall’attrice: e cioè l’embedding, quale strumento che consente all’utente di visionare direttamente sul motore di ricerca Yahoo immagini presenti su siti di terzi, ed il suggest search, che offre suggerimenti per completare automaticamente le chiavi della ricerca sulla base delle combinazioni più utilizzate dal complesso degli utenti. Entrambe giudicate come non derogare le condizioni di neutralità, fondate sul carattere automatico e temporaneo della memorizzazione delle immagini presenti sui siti di terzi, non essendo allegato e provato nessun intervento da parte della odierna controricorrente su tali informazioni, al di là di una più efficiente modalità di ricerca dei contenuti, che non travalicano la posizione di neutralità del prestatore del servizio. Ha, quindi, ribadito che l’attrice non ha fornito nessuna prova circa l’assunto dello svolgimento di un ruolo non neutrale rispetto ai contenuti evidenziati nei risultati della ricerca. Ha concluso che il servizio svolto si inquadra in pieno nell’esenzione stabilita dal D.Lgs. n. 70 del 2003, art. 15. Orbene, reputa il collegio che la realtà concreta - così come ricostruita dall’esame compiuto dal tribunale, in base alla sua prudente valutazione circa l’interferenza e
l’apporto della condotta del prestatore del servizio con riguardo al finali contenuti digitali diffusi sia stata correttamente sussunta nella fattispecie della norma menzionata, non avendo il giudice del merito errato nella riconduzione di tali elementi fattuali, oggetto del suo prudente accertamento, all’interno della categoria normativa predetta, con conseguente rigetto del motivo. 3. - I rimanenti motivi debbono essere trattati congiuntamente, in quanto il percorso logico del loro esame è il medesimo. 3.1. - Il D.Lgs. n. 70 del 2003, art. 15, che ricalca l’art. 13 della direttiva 2000/31/CE, si occupa della prestazione del servizio della società dell’informazione consistente nel cd. caching, ovvero “trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio”, mediante la “memorizzazione automatica, intermedia e temporanea di tali informazioni effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta”. Il cacher è esonerato dalla responsabilità per i contenuti immessi da altri, qualora: a) “non modifichi le informazioni”, divenendo allora concorrente attivo; b) “si conformi alle condizioni di accesso alle informazioni”, quindi ad esempio ometta di rendere disponibili al pubblico nella memoria cache delle informazioni che invece non sono tali nel sito di provenienza; c) “si conformi alle norme di aggiornamento delle informazioni”, secondo le regole del settore; d) “non interferisca con l’uso lecito di tecnologia riconosciuta ed utilizzata nel settore per ottenere dati sull’impiego delle informazioni”; e) “agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l’accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l’accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un’autorità amministrativa ne ha disposto la rimozione o la disabilitazione”, provvedendo, dunque, a cancellare i documenti dal medesimo archiviati in memoria, qualora essi siano stati rimossi dal sito di provenienza, l’accesso sia stato disabilitato ad opera del titolare, o sia intervenuto un provvedimento giurisdizionale o amministrativo ad ordinare tale rimozione o disabilitazione. Il comma 2 dell’art. 15 attiene all’ordine dell’autorità, rivolto direttamente al prestatore, con il quale gli venga imposto di impedire o far cessare le violazioni commesse: “L’autorità giudiziaria o quella amministrativa aventi funzioni di vigilanza può esigere, anche in via d’urgenza, che il prestatore, nell’esercizio delle attività di cui al comma 1, impedisca o ponga fine alle violazioni commesse”.
DIRITTO DI INTERNET N. 2/2019
271
GIURISPRUDENZA CIVILE Il regime di favore, così attuato, conduce ad un’indubbia minore responsabilità del prestatore rispetto alla figura del cd. hosting provider. Al riguardo, giova ricordare il considerando 42 della direttiva, secondo cui le deroghe alla responsabilità stabilita dalla stessa riguardano proprio l’ipotesi in cui “l’attività di prestatore di servizi della società dell’informazione si limiti al processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione. Siffatta attività è di ordine meramente tecnico, automatico e passivo, il che implica che il prestatore di servizi della società dell’informazione non conosce né controlla le informazioni trasmesse o memorizzate”. All’attività di memorizzazione temporanea detta caching sono dedicati, altresì, i considerando 43 e 44, secondo i quali il prestatore del servizio beneficia delle deroghe di responsabilità quando “non è in alcun modo coinvolto nell’informazione trasmessa” e “non modifichi l’informazione che trasmette” (sebbene comunque tale requisito “non pregiudica le manipolazioni di carattere tecnico effettuate nel corso della trasmissione in quanto esse non alterano l’integrità dell’informazione contenuta nella trasmissione”) ed altresì non “deliberatamente collabori con un destinatario del suo servizio al fine di commettere atti illeciti”, vale a dire non ponga in essere un concorso attivo nell’illecito. In sostanza, una netta distinzione tra i profili di responsabilità dell’hosting provider, da un lato, e del mero caching, dall’altro lato, permea l’intera disciplina eurounitaria, e, di conseguenza, quella nazionale. Occorre, dunque, al riguardo enunciare il seguente principio di diritto: “Nell’ambito dei servizi della società dell’informazione, la responsabilità del cd. caching, prevista dal D.Lgs. n. 70 del 2003, art. 15, sussiste in capo al prestatore dei servizi che non abbia provveduto alla immediata rimozione dei contenuti illeciti, pur essendogli ciò stato intimato dall’ordine proveniente da un’autorità amministrativa o giurisdizionale”. 3.2. - Nella specie, il tribunale ha affermato che il prestatore non risponde, perché il prestatore non ha varcato
272
DIRITTO DI INTERNET N. 2/2019
i limiti della sua responsabilità ed ha assolto all’obbligo D.Lgs. n. 70 del 2003, ex art. 17, comma 2, di trasmettere la diffida del titolare del diritto d’autore alla Procura della Repubblica presso il Tribunale di Milano, competente per le ipotesi di reato connesse all’abusiva riproduzione e diffusione di materiali oggetto di diritto d’autore (ed ha aggiunto, ad abundantiam, che la notizia contenuta in tale diffida era generica, in quanto priva delle specifiche indicazioni dei singoli filmati contestati e del loro posizionamento tramite i rispettivi “urls”). Dunque, per quanto sopra esposto, è infondato il secondo motivo, con conseguente assorbimento del terzo e parzialmente del quarto motivo. Invero, alla stregua del sistema normativo come sopra ricostruito, al prestatore del servizio che fornisca una mera attività neutrale di caching la legge non richiede che, sol perché reso edotto di specifici contenuti illeciti con una diffida extragiudiziale o perché proponga una domanda giudiziale al riguardo, spontaneamente li rimuova. Il quarto motivo è poi inammissibile, laddove denunzia l’omessa pronuncia circa l’ordine impartito dalla sentenza del Tribunale di Milano del 9 settembre 2011, n. 10893, ormai caducata dalla Corte d’appello di Milano con sentenza del 7 gennaio 2015, n. 38. Infine, è infondato il quinto motivo, il quale denunzia la violazione dell’art. 112 c.p.c. per omessa pronuncia sulla domanda volta ad ordinare al prestatore del servizio di disabilitare gli accessi ai contenuti illeciti, avendo al contrario il giudice del merito risposto negativamente ad essa. Il tribunale ha, infatti, esaminato anche tale domanda, laddove ha verificato l’insussistenza di una condotta illecita del prestatore del servizio di caching. In tal modo, il tribunale ha risposto, dunque, alle domande di accertamento della illiceità dei contenuti e di inibitoria e disabilitazione degli stessi. 4. - Le spese vengono interamente compensate, attesa la novità delle questioni poste. P.Q.M. La Corte rigetta il ricorso e compensa per intero le spese di lite. Così deciso in Roma, nella Camera di consiglio, il 21 febbraio 2019. Depositato in Cancelleria il 19 marzo 2019
GIURISPRUDENZA CIVILE
COMMENTO
di Roberto Panetta Sommario: 1. Il caso. – 2. Il regime di responsabilità dell’Hosting Provider. – 3. L’inquadramento della figura dell’hosting provider attivo. – 4. Obblighi e responsabilità dell’hosting provider. – 5. La comunicazione della attività illecità e la individuazione dell’url. La pronuncia in commento ricostruisce, ad esito di un lungo dibattito dottrinale e giurisprudenziale, la figura dell’hosting provider, afferma i caratteri del regime di esenzione ad esso riconosciuto così come gli indici di attività che valgono a superare il regime stesso e ad affermare il ruolo di hosting provider attivo. Inoltre, con la pronuncia commentata, la Suprema Corte si preoccupa di stabilire il grado di partecipazione commissiva od omissiva dell’hosting provider che veicola un dato informatico lesivo dei diritti altrui, la diligenza professionale che, ai sensi dell’art. 1176 comma 2 c.c., può essere ragionevolmente pretesa al fine di non rintracciare la colpevolezza che vale ad ascrivere una responsabilità risarcitoria. Ancora. I Giudici di legittimità tornano ad occuparsi del livello di dettaglio che la comunicazione del terzo danneggiato deve contemplare al fine di rendere conoscibile all’intermediario l’illiceità dell’informazione veicolata. This decision puts an end to a widely debated issue on the hosting provider, its liability regime and whether the activities that it carries out may constitute signs of its active role in the collection and use of unlawful data. In addition, the Supreme Court discusses the standard of conduct that the hosting provider is required to take in order not to participate in the unlawful act committed by third parties. Moreover, such decision establishes the standard of care that the hosting provider is required to adopt in performing its business activity. Finally, the Supreme Court gets the chance to determine what kind of communication may be considered adequate to encourage, on one hand, the hosting provider to disable the access to the unlawful contents and, on the other hand, to make such intermediary aware of the abusive act committed by third parties through its platform.
1. Il caso
La vicenda che ha visto contrapposti, sin dal lontano 2011, Reti Televisive Italiane (anche “RTI”) e Yahoo Italia S.r.l. (anche “Yahoo”), si inserisce in un filone giurisprudenziale particolarmente ricco e dagli esiti sostanzialmente univoci. RTI, in veste di titolare dei diritti d’autore su alcuni contenuti audiovisivi, agiva in giudizio nei confronti di Yahoo! per ottenere la rimozione dalla piattaforma gestita da quest’ultima, Yahoo! Video (ora cessata), di alcuni estratti di programmi televisivi pubblicati dagli utenti senza autorizzazione. Il Tribunale di Milano riteneva Yahoo! responsabile dell’illecita diffusione di contenuti, escludendo l’applicabilità nella fattispecie delle esenzioni di responsabilità previste dall’art. 16 del d.lgs. 70/2003 per l’hosting provider. A giudizio del Tribunale, il regime di limitazione di responsabilità era appannaggio del provider che agisce in modo “passivo”, non già invece dell’hosting provider c.d. “attivo” (1). Yahoo! ha, quindi, devoluto la cognizione della controversia alla Corte d’Appello di Milano, chiamata a decidere se fosse legittimo addebitare al provider, in forza a una serie di indici di “attività”, una responsabilità per condotte illecite che, pur rilevabili dal prestatore (in quanto soggetto * La presente nota si riferisce solo a Corte di Cassazione; sezione I civile; sentenza 19 marzo 2019, n. 7708. (1) Per una dettagliata ricostruzione dell’intera vicenda, si consulti Cassano, La vicenda Mediaset / Yhaoo. La opinione della dottrina a Corte di Appello di Milano 7.1.2015 n. 29. Dispensa ad uso dei corsisti del Corso di Alta Formazione in Diritto dell’internet, European School of Economics, Roma, 2015/2016, in <www.uniese.it> che riporta innumerevoli contributi di pregio sul tema.
tecnicamente più adeguato a intervenire), siano poste in essere dagli utenti che ne sfruttano i servizi. A questo interrogativo la Corte d’appello di Milano ha offerto una risposta sorprendentemente negativa, annullando la decisione di primo grado e superando, sebbene timidamente, la distinzione tra hosting attivo e passivo, affermandone la matrice prettamente giurisprudenziale e non rintracciandone alcun conforto normativo. La Corte d’Appello ha ritenuto che Yahoo!, quale mero prestatore di servizi di ospitalità di dati, non dovesse rispondere delle violazioni eventualmente commesse dai soggetti richiedenti i servizi in danno dei titolari delle opere protette dal diritto d’autore, in quanto mero intermediario che, senza proporre altri servizi di elaborazione dati, offre ai propri clienti un mero servizio di accesso a siti internet. Avverso questa sentenza, RTI ha proposto ricorso per Cassazione, formulando ben dodici motivi di impugnazione e consentendo di poter oggi profittare di una pronuncia assai ampia sulla responsabilità dell’internet service provider, sulle attività che valgono ad assegnare all’ISP il ruolo di hosting attivo, figura, invero, del tutto esistente, nonché sul difficile bilanciamento tra gli interessi usualmente in gioco.
2. Il regime di responsabilità dell’Hosting Provider
La Suprema Corte ricostruisce - con dovizia di particolari - il regime di responsabilità del prestatore di servizi di hosting, ricordando come lo stesso sia previsto dagli artt. 16 e 17 d.lgs. n. 70/2003 che costituisce, a sua vol-
DIRITTO DI INTERNET N. 2/2019
273
GIURISPRUDENZA CIVILE ta, fedele trasposizione degli artt. 12 – 15 della Direttiva 2000/31 sul commercio elettronico. Nello specifico, giova sottolineare che la disciplina della responsabilità extracontrattuale figura il regime di limitazione da responsabilità civile previsto dall’art. 16 d.lgs. 70/2003, il quale, riproducendo l’art. 14 della Direttiva 2000/31/CE e conformando i propri contenuti ai criteri e principi direttivi dell’art. 31, comma 1, lett. f) della legge delega 39/2002, delimita il perimetro di “irresponsabilità” dell’hosting provider, ossia di quel fornitore che si limiti ad offrire uno spazio virtuale sul proprio server per la gestione di un sito Internet e, più in generale, per l’immissione di contenuti in rete, procedendo ad una memorizzazione “neutrale”, a carattere duraturo, del materiale informativo prodotto dal destinatario del servizio. Al riguardo, l’art. 16 comma 1 d.lgs. 70/2003 prevede condizioni specifiche al verificarsi delle quali l’hosting provider potrà beneficiare dell’esonero di responsabilità. In particolare, ai sensi della lett. a) della richiamata disposizione, il prestatore di servizi non è responsabile a condizione che non sia a conoscenza del fatto che l’attività o l’informazione veicolata sia illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendano manifesta l’illiceità dell’attività o dell’informazione. Ai sensi della lett. b) dell’art. 16 d.lgs. 70/2003, l’hosting provider è, inoltre, tenuto ad una condotta attiva al fine di rimuovere “immediatamente” le informazioni illecite delle quali abbia avuto conoscenza o per disabilitarne l’accesso. Tutto ciò non appena sia venuto a conoscenza di tali fatti (2). È chiaro, quindi, che l’hosting provider non risulta responsabile delle informazioni illecite memorizzate a richiesta dell’utente solo fintanto che non venga a conoscenza –”in qualunque modo” (3) e secondo quanto è legittimo atten-
(2) In questo senso, tra gli altri, Trib. Napoli 4 novembre 2016, in Diritto & Giustizia 2016, 9 novembre, stabilisce che “Non ricade sul social network un obbligo di verifica in via anticipata del contenuto e dei commenti immessi dagli utenti, e non è quindi configurabile a suo carico il dovere di inibire, in via generale, un caricamento sulla sua piattaforma di video, immagini, notizie o articoli riferiti alla persona della ricorrente. Tuttavia, pur in assenza di un generale obbligo di sorveglianza ovvero di un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite, deve ritenersi sussistente una responsabilità per le informazioni oggetto di memorizzazione durevole od hosting, qualora il provider sia effettivamente venuto a conoscenza del fatto che l’informazione è illecita (art. 16, comma 1, lett. b), d.lg. n. 70/2003) e non si sia attivato per impedire l’ulteriore diffusione della stessa”. In dottrina, ampia ricostruzione del tema è offerta da Montagnani, Internet, contenuti illeciti e responsabilità degli intermediari, Milano, 2018. (3) Si veda CGUE 12 luglio 2011, C324/09, in curia.europa.eu in cui la giurisprudenza comunitaria ricorda che: “Inoltre, affinché non siano private del loro effetto utile, le norme enunciate all’art. 14, n. 1, lett. a), della direttiva 2000/31 devono essere interpretate nel senso che riguardano qualsiasi situazione nella quale il prestatore considerato viene ad essere, in qualunque modo, al corrente di tali fatti o circostanze” (punto 121).
274
DIRITTO DI INTERNET N. 2/2019
dersi da “un operatore economico diligente” (4) – della loro illiceità a seguito dell’intervento delle autorità competenti. In quel caso, viene sanzionata la sua eventuale inerzia. L’art. 16, comma 3, d.lgs. 70/2003 prevede un ulteriore obbligo di intervento da parte dell’hosting provider a seguito di specifica richiesta in tal senso da parte dell’autorità giudiziaria o amministrativa competente, con l’indicazione di impedire o porre fine alle violazioni commesse. Non vengono indicati con precisione i termini temporali entro cui il provider è chiamato ad attivarsi, avendo il legislatore optato per formule ampie (quali, “non appena a conoscenza”, “immediatamente”), lasciando così spazio ad un intervento interpretativo della giurisprudenza, che è chiamata, in ogni caso, a far riferimento ai tempi tecnici strettamente necessari per procedere alla rimozione delle informazioni (5). L’art. 16 del d.lgs. 70/2003 fa discendere importanti conseguenze dalla conoscenza dell’hosting provider riguardo gli illeciti commessi dagli utenti, poiché, da un lato, questa determina l’impossibilità di avvalersi dell’esimente di responsabilità, e dall’altro, sancisce l’obbligo di rimozione delle informazioni o la disabilitazione dell’accesso alle stesse. Tuttavia, il legislatore non si è curato di specificare il grado di «conoscenza» colpevole, decretando un vuoto di disciplina nel nostro ordinamento rimesso alla valutazione dell’interprete (6). L’ormai consolidato orientamento giurisprudenziale è però nel senso della responsabilità civile dell’hosting provider in tutti i casi in cui egli abbia avuto effettiva conoscenza dell’illiceità delle attività poste in essere o delle informazioni ospitate, anche qualora tale conoscenza gli derivi da informazioni fornitegli da un soggetto terzo e verosimilmente dallo stesso utente danneggiato, a pre-
(4) CGUE, C324/09, cit. punti 120, 122, 124. (5) Gambini, Le responsabilità civili dell’Internet service provider, Napoli, 2006, 290. Al riguardo, la giurisprudenza ha ritenuto che “l’ISP è tenuto a rimuovere immediatamente i contenuti illeciti pubblicati attraverso i propri servizi; una rimozione a distanza di “alcuni mesi” dalla conoscenza dell’illecito non è compatibile con il dettato normativo della direttiva e-commerce”. Così Trib. Roma, 5 maggio 2016, n. 9026 in DeJure. (6) In questo senso, la giurisprudenza di merito ha specificato come “le norme comunitarie e nazionali vanno lette sempre in modo costituzionalmente orientato al fine di impedire che vengano svuotate del loro contenuto effettivo: il provider consapevole dell’esistenza di un illecito non può omettere di intervenire per impedire la ripetizione dell’illecito”. Così Trib. Roma, Ord. del 14 febbraio 2012. In questo senso, anche Trib. Roma, Ord. del 8 agosto 2012, che richiama come l’obbligo specifico di impedire il ripetersi di illeciti già identificati sia conforme alle norme comunitarie e alla giurisprudenza della Corte di Giustizia UE. Il Tribunale di Roma ha nuovamente fatto riferimento alla “diligenza” ed alla “ragionevolezza” che può legittimamente pretendersi dal provider per la pronta rimozione. Così Trib. Roma, 27 aprile 2016, n. 8437 in Dir. ind., 2016, 466, con nota di Cassano, Sulla responsabilità del “provider” per la diffusione abusiva in rete di opere audiovisive.
GIURISPRUDENZA CIVILE scindere dalla natura e dalle caratteristiche, anche formali, della comunicazione ricevuta (7). Ancora. La giurisprudenza comunitaria è nel senso che l’hosting provider non potrà beneficiare del regime di limitazione della responsabilità tutte le volte in cui –sulla base dei criteri di diligenza e ragionevolezza- abbia omesso di attivarsi per impedire la prosecuzione dell’illecito (8). Al riguardo, l’hosting provider è chiamato ad adottare, nello svolgimento della propria attività, un canone di diligenza professionale definito al considerando n. 48 della Direttiva 2000/31/CE quale «dovere di diligenza che è ragionevole attendersi ed è previsto dal diritto nazionale, al fine di individuare e prevenire taluni tipi di attività illecite». Nello specifico, la diligenza professionale ex art. 1176, comma 2, c.c. presuppone anche l’adozione da parte dell’hosting provider di sistemi di filtraggio o di altri dispositivi tecnologici che permettano di rilevare, o addirittura di prevenire, l’inserimento di informazioni o attività manifestamente illecite sul server messo a disposizione dal provider a favore degli utenti (9). Nella pronuncia in esame, la Suprema Corte evidenzia come detta normativa abbia trovato e proposto il punto di equilibrio tra diritto d’autore, obblighi del provider ed altri diritti, quali la libertà di impresa e la libertà di espressione ed informazione, dando la prevalenza agli ultimi due. In questo modo, arriva a gravare sul titolare del diritto d’autore un obbligo di sorveglianza e vigilanza, trovando limitati i doveri del provider, secondo un principio di ragionevolezza nell’imporre a questi sacrifici economici, in ragione del favor europeo alla diffusione dei servizi di informazione, come risulta – ricorda
(7) Aderendo a tale interpretazione, sarebbe sufficiente a determinare la conoscenza anche una diffida da parte dell’avente diritto. Al riguardo, la giurisprudenza di merito ha stabilito come, sebbene non possa ravvisarsi un generale obbligo di sorveglianza, vietato dall’art. 17 d.lgs. 70/2003, l’host “è tenuto ad attivarsi per la rimozione dei contenuti illeciti a seguito di segnalazione dell’interessato”. Così Trib. Milano, Ord. del 5 settembre 2013. (8) Così CGUE, C324/09, cit. Da ultimo, anche CGUE 8 settembre 2016, C160/15, in curia.europa.eu “qualora il collocamento di collegamenti ipertestuali sia effettuato a fini lucrativi, è legittimo aspettarsi che l’autore di tale collocamento realizzi le verifiche necessarie per garantire che l’opera di cui trattasi non sia pubblicata illegittimamente sul sito cui rimandano detti collegamenti ipertestuali, cosicché deve presumersi che tale collocamento sia intervenuto con piena cognizione del fatto che l’opera è protetta e che il titolare del diritto d’autore potrebbe non aver autorizzato la pubblicazione su Internet” (punto 51). (9) A questo riguardo, la giurisprudenza di merito ha ritenuto che “sull’ISP (nel caso di specie, Dailymotion) – sia esso attivo o passivo – grava un obbligo generale di agire con diligenza e buona fede, qualificabile in termini di “responsabilità da contatto sociale” a tutela dei diritti di terzi (diritti d’autore) eventualmente violati da comportamenti di terzi che utilizzano i servizi dell’ISP. Tanto si traduce nell’onere dell’ISP di impedire – attraverso i sistemi a sua disposizione – il nuovo caricamento di opere audiovisive già rimosse”. Così Trib. Torino, Ord. del 3 giugno 2015.
la Suprema Corte – dai considerando 9 e 59 della Direttiva 2001/29 sul diritto d’autore e dal considerando 2 della Direttiva 2004/48 sulla proprietà intellettuale. A questo proposito, non può neanche dimenticarsi che, se è vero come è vero che i richiamati considerando traducono le aspettative di non gravare eccessivamente gli operatori del web, è stato del tutto evidente come tali previsioni di favore per il provider si siano inserite in un contesto ben più ampio in cui il legislatore, non solo comunitario, mirava a promuovere lo sviluppo dell’e-commerce che, ragionevolmente, sarebbe stato limitato nelle sue potenzialità in presenza di un regime di responsabilità degli operatori del mercato particolarmente rigido (10). A questo proposito, si ricordi come negli Stati Uniti, prima della promulgazione del Digital Millennium Copyright Act, fu pubblicato un report redatto dal Commerce Committee che evidenziava come l’e-commerce costituisse la forma di economia emergente e come la stessa avrebbe assicurato un considerevole aumento della ricchezza nazionale entro il 2002 (11). Tale previsione imponeva di individuare forme di esonero di responsabilità per gli ISP che garantivano il funzionamento di tale settore di attività e che approntavano investimenti cospicui che si sarebbero, a stretto giro, tramutati in un enorme vantaggio sociale (12). La Suprema Corte ricorda poi come la normativa comunitaria, così come congegnata, è nel senso che la tutela da parte del gestore è sempre ex post e non ex ante, non potendosi imporre obblighi di sorveglianza “a tappeto” ai fornitori di servizi di accesso ad internet in quanto ciò li graverebbe di un peso che non spetta loro, ergendoli a controllori dell’ambiente online che, per sua natura e per le sue più recenti potenzialità, non può essere soggetto ad un controllo così generalizzato. Da ciò discende il difficile tema della conoscenza (o conoscibilità) dell’atto illecito commesso online e veicolato dal prestatore di servizi. A questo riguardo, la Suprema Corte, torna, ancora una volta, sul mezzo tramite il quale il titolare del diritto leso può informare l’ISP del dato lesivo veicolato, affermando come la comunicazione debba essere sufficientemente specifica nell’indicare i contenuti illeciti, ponendosi, come si vedrà appresso, l’interrogativo, comune ormai a molteplici pronunce di
(10) Al riguardo, la Dir. 2000/31 considerando 2 evidenzia come “the development of electronic commerce within the information society offers significant employment opportunities in the Community, particularly in small and medium-sized enterprises, and will stimulate economic growth and investment in innovation by European companies, and can also enhance the competitiveness of European industry”. (11) Dinwoodie, Secondary liability of Internet Service Provider, Berlino, 2017, 93 ss. (12) Gambini, Le responsabilità civili dell’Internet service provider, cit. 230 ss.
DIRITTO DI INTERNET N. 2/2019
275
GIURISPRUDENZA CIVILE merito e di legittimità, sulla necessaria o meno indicazione dell’URL o del link relativo alla notizia lesiva.
3. L’inquadramento della figura dell’hosting provider attivo
La pronuncia in esame ripropone il quesito se Yahoo!, alla luce degli accertamenti di merito condotti nei precedenti gradi di giudizio, possa giovarsi dell’esenzione di responsabilità stabilita dall’art. 16 d.lgs. 70/2003 o se, di contro, in virtù delle attività compiute, assuma il ruolo, tanto discusso quanto ondivago, del c.d. hosting provider attivo. In questo senso, giova richiamare che, secondo il consolidato orientamento della giurisprudenza comunitaria “le deroghe alla responsabilità previste dalla Dir. 2000/31/ CE riguardano esclusivamente i casi in cui l’attività di prestatore di servizi della società dell’informazione sia di ordine «meramente tecnico, automatico e passivo», con la conseguenza che detto prestatore «non conosce né controlla le informazioni trasmesse o memorizzate […]. Al fine di verificare se la responsabilità del prestatore del servizio di posizionamento possa essere limitata ai sensi dell’art. 14 della direttiva 2000/31, occorre esaminare se il ruolo svolto da detto prestatore sia neutro, in quanto il suo comportamento è meramente tecnico, automatico e passivo, comportante una mancanza di conoscenza o di controllo dei dati che esso memorizza” (13). Tale orientamento è stato ribadito da altra sentenza dei giudici europei in cui è stato evidenziato che il provider dovrà esser ritenuto responsabile ogniqualvolta “anziché limitarsi ad una fornitura neutra […], mediante un trattamento puramente tecnico e automatico dei dati forniti dai suoi clienti, svolge un ruolo attivo atto a conferirgli una conoscenza o un controllo di tali dati” (14). Al riguardo, torna, quindi, prepotentemente la richiamata distinzione tra hosting passivo ed attivo, distinzione che assurge il ruolo di discrimen tra una condotta meritevole di giustificazione e per ciò solo esente da responsabilità e una condotta sottoposta, invece, alle comuni regole di responsabilità aquiliana. In questo senso, la giurisprudenza di merito ha, a più riprese, sottolineato come “il provider che gestisce e seleziona i contenuti di terzi, anche a scopi pubblicitari, fornisce servizi di c.d. hosting “attivo” e non può beneficiare del regime di limitazioni di responsabilità previsto dalla Dir. 2000/31/CE e risponde delle violazioni dei diritti autorali di terzi secondo le comuni regole della responsabilità civile” (15).
(13) Così CGUE 23 marzo 2010, C-236/08 – C-238/08, in curia.europa.eu. (14) Così CGUE, C-324/09, cit. (15) Così Trib. Milano, 20 gennaio 2011, n. 7680. In questo senso, tra gli altri, anche Trib. Roma, Ord. del 13 settembre 2011. In dottrina, interessante ricostruzione è stata fornita da Bassini - Pollicino, Evoluto, ma non attivo. La Corte d’Appello di Milano travolge la più recente giurisprudenza sull’hosting provider, in Diritto 24/Sole 24 Ore.
276
DIRITTO DI INTERNET N. 2/2019
Orientamento ribadito anche da altra giurisprudenza di merito che ha stabilito come il provider è “sottratto dal beneficio della irresponsabilità prevista dall’art. 15 della Direttiva CE 31/2000 per i fatti illeciti commessi dai destinatari dei servizi […] nel caso in cui presti una consistente assistenza nell’ottimizzare la presentazione di offerte o contenuti digitali […] e quindi abbia dato un pur minimo contributo all’editing del materiale sulla rete lesivo di interessi tutelati” (16). Principi confermati anche in ulteriori pronunce in cui è stato stabilito che: “non si può inquadrare l’attività svolta dalla società convenuta in quella svolta dalla figura del c.d. ‘hosting provider’, attività prevista dall’art. 16 d.lgs. n. 70/2003, consistente nella memorizzazione di informazioni fornite dal destinatario del servizio” poiché la società in questione amministra un portale “che consente una facile e svariata scelta, con una semplice consultazione, di numerosissimi filmati e/o frammenti di filmati in massima parte opera di terzi non casualmente immessi dagli utenti […] il tutto regolamentato da una serie di regole di utilizzo del sito i c.d. ‘termini di servizio’” (17). Ancora. La giurisprudenza di merito ha sottolineato come “un pur minimo contributo all’editing del materiale pubblicato in rete (nel caso di specie la selezione, organizzazione e aggregazione di video ad opera di un editorial team di un noto portale americano), lesivo di interessi tutelati, rappresenta un’attività non riconducibile alla figura di hosting provider delineata dall’art. 16 d.lg. n. 70/2003 con la conseguente responsabilità da definire in base alle norme comuni” (18). Nel caso di specie, la Suprema Corte ha indicato, senza pretesa di completezza, alcuni indici, pervicacemente definiti di “interferenza”, che arrivano a qualificare l’hosting attivo. È il caso, a giudizio della Suprema Corte, delle “attività di filtro, selezione, indicizzazione, organizzazione, catalogazione, aggregazione, valutazione, uso, modifica, estrazione o promozioni dei contenuti, operate mediante una gestione imprenditoriale del servizio, come pure l’adozione
(16) Cfr. Trib. Roma, 27 aprile 2016, n. 8437 cit (17) Cfr. Trib. Roma, 15 luglio 2016, cit. (18) Così Trib. Roma, 27 aprile 2016, n. 8437 cit. A questo proposito, si veda anche Trib. Roma, 5 ottobre 2016, in Dir. ind., 2017, 61 ss con mia nota in cui il Tribunale ha ritenuto di escludere che l’uso da parte de L’Espresso dei contenuti sul sito Repubblica.it potesse giovarsi della esenzione di responsabilità stabilita dall’art. 16 d.lgs. 70/2003 per il semplice motivo che –selezionando direttamente i contenuti video pubblicati attraverso la sezione “video” del proprio portale digitale- esso deve qualificarsi come “editore”. Al riguardo, il Tribunale giudicante ha ritenuto che L’Espresso, scegliendo e gestendo direttamente i contenuti sul proprio portale, non potesse assumere il ruolo di hosting provider, ossia di un operatore che riceva, senza intervento alcuno, il contenuto altrui e si limiti ad ospitarlo passivamente e per ciò solo non responsabile per la condotta eventualmente lesiva del titolare del contenuto. In realtà, secondo la corte capitolina, L’Espresso ha posto in essere attività che concludono per la definizione di un soggetto del tutto diverso, quale è l’esercente attività editoriale (o content provider) e per ciò solo soggetto alle regole comuni di responsabilità aquiliana.
GIURISPRUDENZA CIVILE di una tecnica di valutazione comportamentale degli utenti per aumentarne la fidelizzazione”. Ad avviso della Corte, tali condotte hanno “l’effetto di completare ed arricchire in modo non passivo la fruizione dei contenuti da parte di utenti indeterminati”. Non solo. Gli indici di interferenza proposti si caratterizzano per il fatto di introdurre il criterio della professionalità dell’attività condotta dall’ISP ossia dalla sua continuità, ripetitività nel tempo e nello spazio e, perché no, dalla sua idoneità a produrre i ricavi caratteristici dell’attività compiuta e non una mera sopravvenienza. Non basta. La Corte, sì definendo, ha introdotto, anche in questo contesto normativo, il tema del profiling, che assume solitamente rilievo nella disciplina relativa alla tutela dei dati personali. Infatti, la Suprema Corte ha ritenuto che costituisce indice di interferenza anche quella “tecnica di valutazione comportamentale degli utenti” utile ad “aumentarne la fidelizzazione”. È evidente che la Suprema Corte ha fatto riferimento, invero particolarmente esplicito, a tutte quelle attività volte a disegnare il messaggio promozionale secondo i gusti e i precedenti acquisti del destinatario in modo da massimizzare la propensione al nuovo acquisto e a fidelizzare tale soggetto ad una struttura imprenditoriale che ben conosce i suoi propositi. Ebbene, anche tale attività assume dirimente rilevanza ai fini della qualificazione del soggetto intermediario come hosting attivo.
4. Obblighi e responsabilità dell’hosting provider
Disegnato il discrimen tra la figura di hosting attivo e passivo, la Suprema Corte torna ad analizzare gli obblighi esistenti in capo al mero prestatore di servizi e, in particolare, le attività che deve compiere non appena viene a conoscenza degli illeciti commessi da terzi e veicolati per mezzo del suo stesso servizio. A questo proposito, preme segnalare, come già sopra accennato, che gli artt. 14-15 Direttiva 2000/31 e i pedissequi artt. 16-17 d.lgs. 70/2003 riconoscono un regime di irresponsabilità per gli ISP non solo quando gli stessi non integrano alcuno dei c.d. indici di interferenza sopra indicati, ma rispettano talune condizioni specificatamente dedotte nel dettato normativo che disegnano una vera e propria regola di condotta per gli operatori del commercio elettronico. Nello specifico, la Suprema Corte, nel ricordare il tenore dell’art. 14 Direttiva 2000/31 (e del pedissequo art. 16 d.lgs. 70/2003) evidenzia come la prima delle fattispecie di responsabilità per l’ISP deriva dalla “conoscenza” da parte del prestatore di servizio dell’illiceità dell’informazione, in particolare dall’essere essa “manifesta” nelle conseguenti azioni di risarcimento del danno. A questo riguardo, la Suprema Corte ricorda come l’illiceità della condotta discenda proprio dalla sua portata contra ius, ove il diritto tutelato è un diritto personalissi-
mo, quale, ad esempio, quello all’onore, alla reputazione, all’identità personale, all’immagine o alla riservatezza o, ancora, al diritto d’autore. Tale illiceità poi, per costituire ragione fondante di una pretesa risarcitoria, deve essere “manifesta” ossia ragionevolmente ravvisabile, se non proprio conoscibile, da un operatore del mercato che adotti la diligenza professionale che è ragionevole attendersi da un soggetto medio operante professionalmente nel medesimo settore merceologico. L’hosting provider è chiamato quindi a delibare, secondo criteri di comune esperienza, alla stregua della diligenza professionale tipicamente dovuta, la comunicazione pervenuta e la sua ragionevole fondatezza. Ne discende però un duplice ordine di considerazioni: da una parte, l’hosting provider non viene eretto ad arbitro della valutazione di liceità o illiceità dei contenuti immessi ed è chiamato a confidare nella spontanea valutazione dell’autore della violazione in ordine alle proprie buone ragioni; dall’altra, l’aggettivo “manifesta” vale, a parere della Suprema Corte, a circoscrivere la responsabilità del prestatore alla fattispecie della colpa grave o del dolo. In altre parole, suggerisce, condivisibilmente, la Corte, “se l’illiceità deve essere manifesta, vuol dire che sarebbe possibile riscontrarla senza particolare difficoltà, alla stregua dell’esperienza e della conoscenza tipiche dell’operatore del settore e della diligenza professionale da lui esigibile, così che non averlo fatto integra almeno una grave negligenza dello stesso” (19). Il prestatore di servizio che ravvisi (o abbia conoscenza) di una condotta contra ius del tutto manifesta è tenuto ad attivarsi per rimuovere, per quanto in suo potere, il portato lesivo di tale condotta, rintracciandosi, in difetto di ciò, in capo allo stesso una condotta commissiva mediante omissione “per avere – dal momento in cui sussista l’elemento psicologico predetto – concorso nel comportamento lesivo altrui a consumazione permanente, non avendo provveduto alla rimozione del dato informatico o al blocco all’accesso”. Da ciò discende, ad avviso della Suprema Corte, che in capo all’ISP può essere rintracciata una posizione di garanzia che diviene giuridicamente responsabile dell’illecito solo dal momento in cui avrebbe potuto adoperarsi per la rimozione del dato lesivo ed è invece rimasto colpevolmente (e non oggettivamente) inerte nell’impedire la protrazione dell’illecito medesimo.
(19) In questo senso, CGUE, C-324/09, cit. in cui la giurisprudenza comunitaria ricorda come la condanna al pagamento di un risarcimento dei danni nei confronti di un prestatore di servizi possa discendere solo dall’accertamento in capo a quest’ultimo di una conoscenza di “fatti o di circostanze in base ai quali un operatore economico diligente avrebbe dovuto constatare l’illiceità” così ricomprendendo “qualsiasi situazione nella quale il prestatore viene ad essere, in qualunque modo, al corrente di tali fatti o circostanze”. Del pari, la Corte di Giustizia Europea afferma come la conoscenza dell’illiceità possa essere acquisita non solo per mezzo di un accertamento giudiziale ma anche aliunde (CGUE, 23 marzo 2010, C-236/08).
DIRITTO DI INTERNET N. 2/2019
277
GIURISPRUDENZA CIVILE Inoltre, sottolinea la Corte, la responsabilità risarcitoria dell’hosting provider discende anche dalla verifica che esso potesse attivarsi utilmente in modo efficiente. Infatti, una condotta commissiva mediante omissione può essere fondatamente rimproverata allorquando all’autore della medesima sia possibile attivarsi e la sua attività possa risultare, anche astrattamente, utile ad evitare l’evento dannoso (20).
5. La comunicazione della attività illecità e la individuazione dell’url
È evidente che il regime di responsabilità dell’ISP comincia ad operare nella misura in cui (e nei limiti in cui) in capo allo stesso possa essere riconosciuta una conoscenza dell’illiceità del portato del dato informatico in questione. È altrettanto evidente che l’accertamento della conoscenza, così come l’accertamento di qualsivoglia elemento soggettivo, sopporta il rischio dell’imponderabilità degli stati soggettivi e della difficile descrizione degli stessi in termini fattuali. L’accertamento dell’elemento soggettivo finisce così per essere eseguito per via di ricostruzioni presuntive che lasciano sul terreno il rischio dell’inesattezza. Come sopra anticipato, il regime di esonero da responsabilità cessa di operare allorquando l’internet service provider è venuto a conoscenza (o avrebbe dovuto venire a conoscenza) del carattere illecito della condotta tenuta da un utente sulla propria piattaforma o dei contenuti memorizzati e trasmessi dalla piattaforma stessa. A questo riguardo, la giurisprudenza si è, a più riprese, interrogata sulle modalità e sul tempo in cui tale conoscenza può ritenersi acquisita da parte del provider, nonché sul comportamento che quest’ultimo è tenuto ad assumere allorquando acquisisce tale consapevolezza, più o meno compiuta. L’intervento della giurisprudenza si appalesa sempre più dirimente alla luce del fatto che il dato normativo odierno nulla dice al riguardo, limitandosi a prevedere un generico obbligo di rimozione dei materiali a fronte della segnalazione di illiceità da parte del titolare dei diritti. Nulla prevede la norma comunitaria né quella interna circa i tempi di reazione dell’ISP, i modi, la possibilità di opporsi alla rimozione del materiale, magari adducendo un interesse economico e giuridico alla conservazione di tali dati. In definitiva, manca una disciplina europea o interna idonea a segnare i passi di una procedura di rimozione, così lasciando nelle mani degli ISP e delle corti la determinazione di quel canone di diligenza che è ragionevole attendersi dagli operatori del mercato, di quelle misure operative idonee a salvaguardare, da una parte, l’interesse del danneggiato e, dall’altra, le enormi potenzialità di (20) Per un’ampia disamina del tema, si veda anche Cassano - Rovati, La c.d. neutralità del web non più elemento di sfruttamento dei diritti d’autore altrui, in questa Rivista, 2019, 140 ss.
278
DIRITTO DI INTERNET N. 2/2019
internet e l’esercizio delle libertà fondamentali che lo stesso garantisce. Nell’attesa di una regolamentazione più o meno dettagliata, il dovere di diligenza dell’ISP nella rimozione di informazioni o contenuti asseritamente lesivi è rimesso ad una disciplina quanto mai vaga e ad un’interpretazione, a dir poco additiva, della giurisprudenza comunitaria e nazionale. A questo riguardo, giova rilevare come la diffida trasmessa dal soggetto danneggiato all’indirizzo dell’ISP sia lo strumento più ampiamente adottato e costituisca, almeno in quanto mezzo, quello più idoneo a più prontamente denunciare la lesione (attuale o potenziale) di un diritto personalissimo, di una privativa industriale, ecc. Il contenuto della diffida riveste particolare rilevanza, potendo la stessa assumere una varietà di forme e di grado di dettaglio. A questo riguardo, l’unica giurisprudenza - che ha affermato che una diffida priva degli URL (Uniform Resources Locator) o dei link al materiale illecito sarebbe “inidonea a individuare gli esatti contenuti illeciti caricati sul sito” dell’ISP, il quale quindi non potrebbe essere onerato dall’obbligo di predisporre un sistema di filtraggio dei contenuti memorizzati perché si richiederebbe in tal modo “uno sforzo di generale ricerca e individuazione dei link non esigibile alla stregua delle precise indicazioni date dalla direttiva sul commercio elettronico” (21) – è da considerarsi superata (22). In realtà, deve notarsi che l’onere di indicare l’URL, oltre a non essere specificamente previsto, appare addirittura in contrasto con quello che è il tenore letterale delle singole disposizioni. Il considerando 46 della Direttiva 2000/31/CE stabilisce, ad esempio, che il prestatore di un servizio di hosting “deve agire immediatamente per rimuovere le informazioni o per disabilitare l’accesso alle medesime non appena sia informato o si renda conto delle attività illecite”. Nello stesso senso è anche il considerando 48, ai sensi del quale, i prestatori dei servizi di hosting debbono “adempiere al dovere di diligenza che è ragionevole attendersi
(21) Corte App. Milano, 7 gennaio 2015, n. 29, dalla maggior parte dalla dottrina commentata negativamente. Per tutti cfr. ampio commento Cascella, Dieci decisi no ad una scomposta sentenza della Corte d’Appello di Milano, ed una via di uscita – A proposito di Corte d’Appello di Milano il 7 gennaio 2015, n. 29, in Vita Not., 2015, 2, 1 ss. Per una dettagliata ricostruzione dell’intera vicenda, si consulti Cassano, La vicenda Mediaset / Yahoo. La opinione della dottrina a Corte di Appello di Milano 7.1.2015 n. 29, cit. (22) Si tratta infatti della sentenza cassata dalla Cassazione che si annota. Ma sia il primo grado che ad es. la costante giurisprudenza romana si è posta in termini completamente differenti (come ad esempio: Trib. Roma, Sez. Impresa, RTI c. Break Media; Trib. Roma, Sez. Impresa, RTI c. MetaCafé; Trib. Roma, Sez. Impresa, RTI c. Megavideo; Trib. Roma, Sez. Impresa, RTI c. Vimeo; Corte d’Appello Roma, Sez. Impresa, RTI c. Break Media).
GIURISPRUDENZA CIVILE da loro ed è previsto dal diritto nazionale, al fine di individuare e prevenire taluni tipi di attività illecite”. Da ultimo, anche l’art. 14 della Direttiva prevede che il prestatore di tale genere di servizio sia esente da responsabilità, qualora “non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita” e qualora “non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni”. È evidente, da una piana lettura dei disposti appena individuati, che in nessuno di essi è previsto un onere formale di comunicazione degli URL a carico del titolare dei diritti. La citata direttiva così come la norma di recepimento fanno esclusivo riferimento al criterio della conoscenza, e della conoscibilità in base anche ad elementi secondari. È infatti ritenuto rilevante ai fini dell’onere di attivazione anche la sussistenza di fatti o circostanze esterne che rendano manifesta l’illegalità dell’attività o dell’informazione (23) (24). (23) In questo senso, è interessante ricordare come anche il Regolamento adottato da AGCOM, con Delibera n. 680/13/CONS ed entrato in vigore il 31 marzo 2014, prevede che nelle istanze con cui si segnala all’Autorità la presenza sul web di contenuti che violano il diritto d’autore ci si possa limitare ad indicare l’indirizzo del sito web (e non della specifica pagina web) attraverso cui l’opera viene diffusa in assenza di autorizzazione (il modulo consente infatti di indicare “l’indirizzo del sito” o alternativamente e del tutto discrezionalmente “la pagina internet su cui è pubblicata l’opera digitale”). (24) La giurisprudenza comunitaria ha aderito alla soluzione interpretativa finora proposta. In particolare, nel caso C-324/09, l’Avvocato Generale, nel precisare le sue conclusioni, ha interpretato la previsione normativa di cui all’articolo 14, n. 1 della Direttiva 2000/31/CE affermando che l’essere “al corrente” deriva anche dalla conoscenza di “attività […] presenti” su un portale digitale che può anche conseguire ad una “ricerca” effettuata autonomamente dal provider: “il fatto di essere effettivamente al corrente significa la cognizione di informazioni, attività o fatti, passati o presenti, che il prestatore ha a seguito di una notifica esterna o di una propria ricerca, effettuata volontariamente” (punto 164). La Corte Ue ha recepito le conclusioni dell’Avvocato Generale sul punto, riconoscendo espressamente che l’onere di attivazione immediata del provider – che consegue all’essere “al corrente” della natura illecita delle informazioni memorizzate- può sorgere anche in via del tutto autonoma, indipendentemente cioè da un’iniziativa di parte o dell’autorità: “affinché non siano private del loro effetto utile, le norme enunciate all’art. 14, n. 1, lett. a), della direttiva 2000/31 devono essere interpretate nel senso che riguardano qualsiasi situazione nella quale il prestatore considerato viene ad essere, in qualunque modo, al corrente di tali fatti o circostanze” (punto 121); “sono quindi contemplate, segnatamente, la situazione in cui il gestore di un mercato online scopre l’esistenza di un’attività o di un’informazione illecita a seguito di un esame effettuato di propria iniziativa, nonché la situazione in cui gli sia notificata l’esistenza di un’attività o di un’informazione siffatte” (punto 122). In buona sostanza, la Corte di Giustizia UE ha confermato che l’art. 14, n. 1 della Direttiva 2000/31/CE deve essere interpretato nel senso che certamente il “gestore” di servizi di hosting può ritenersi “al corrente” dell’esistenza di attività illecita anche sulla base di un esame effettuato “di propria iniziativa” (e quindi del tutto indipendentemente da una preventiva e specifica “diffida”); ove poi il “gestore” dei detti servizi abbia effettivamente ricevuto una diffida, tale elemento dovrà essere valutato dall’autorità giudiziaria -soprattutto in relazione ad eventuali violazioni future – come indicatore della “effettiva conoscenza” dell’illecito e messo in relazione alla “diligenza ragionevole” ravvisabile nella reazione dell’hosting. Da ultimo, la giurisprudenza di merito è tornata sul tema: cfr. Corte App. Roma, Sez. I, 19 febbraio
A questo riguardo, la pronuncia in commento non manca di fornire ulteriori e rilevanti elementi di riflessione, sottolineando come il sorgere dell’obbligo in capo al prestatore del servizio non richieda squisitamente una “diffida”, quale richiesta di adempimento dell’obbligo di rimozione dei documenti illeciti, ma sia sufficiente una mera “comunicazione o notizia della lesione del diritto. In questo modo, la Suprema Corte si fa portatrice di un minore formalismo e riduce ad una comunicazione, dal contenuto più o meno definito, il messaggio che fa presumere in capo all’ISP e al suo legale rappresentante, anche per gli effetti dell’art. 1391 c.c., una conoscenza dell’attività illecita perpetrata. Inoltre, la Suprema Corte sottolinea come il contenuto di tale comunicazione debba essere quantomeno idonea a consentire al destinatario la comprensione e l’identificazione dei contenuti illeciti, rimettendo quindi ad una valutazione caso per caso della concreta potenzialità della comunicazione stessa a rendere conoscibile l’illiceità del messaggio veicolato. In altre parole, la Suprema Corte rifugge da una formalistica e stringente categorizzazione degli atti idonei a comunicare i fatti lesivi e rinvia alla predisposizione di tecniche e accorgimenti che, in quella determinata circostanza, possono essere idonei a veicolare la richiesta di cancellazione del dato informatico lesivo. In questo modo, risulta superata la quérelle che, in astratto, riconosce come necessaria o meno l’indicazione dell’URL o del link. Se vi sono profili tecnico-informatici che consentono, in ogni caso, di conoscere gli elementi caratterizzanti la violazione contestata, non occorre che il titolare del diritto leso fornisca ulteriori e, a questo punto, ultronei elementi di riferimento (25). 2018, n. 1065, in Dejure. In questo senso, si veda anche Trib. Torino, Sez. Impresa, 24 gennaio 2018 n. 342 in DeJure. (25) A questo proposito, appare opportuno ricordare come la giurisprudenza di merito abbia avuto modo di specificare che «Il giudice, una volta accertata l’illiceità dei contenuti denunciati, può imporre agli ISP fornitori di accesso alla rete Internet di adottare, entro un termine massimo dalla ricezione della specifica segnalazione di violazioni, le più opportune misure tecniche al fine di impedire ai destinatari dei servizi l’accesso al portale su cui siano disponibili tali contenuti. L’impedimento deve riguardare tanto il nome di dominio specifico del portale, quanto – nel caso in cui questo continui, o possa continuare, a mutare per volontà dell’autore dell’illecito – i siti che, pur avendo altri nomi a dominio, realizzano le stesse violazioni» ed ancora che «Il giudice, una volta accertata l’illiceità dei contenuti denunciati, può imporre agli ISP fornitori di accesso alla rete Internet di adottare, entro un termine massimo dalla ricezione della specifica segnalazione di violazioni, le più opportune misure tecniche al fine di impedire ai destinatari dei servizi l’accesso al portale su cui siano disponibili tali contenuti, con diritto degli ISP al rimborso delle spese tecniche strettamente necessarie, da porsi a carico del soggetto asseritamente danneggiato e richiedente la misura (Nella specie, il tribunale ha precisato che le misure possono riguardare tanto il nome di dominio specifico del portale, quanto ulteriori nomi di dominio dei siti “alias” che realizzino le stesse violazioni, implementando un’ingiunzione dinamica)». Cfr., rispettivamente, Trib. Milano, Sez. Impresa, decreto 4 marzo 2019 e Trib. Milano, Sez. Impresa, ordinanza 12 aprile 2018, entrambe in questa Rivista, 2019, 105, con nota di Molinario, L’ingiunzione dinamica come strumento di tutela del diritto d’autore on-line.
DIRITTO DI INTERNET N. 2/2019
279
GIURISPRUDENZA CIVILE
Il commento
di Angelo Maria Rovati Sommario: 1. Le pronunce di primo grado e di appello. – 2. Gli orientamenti dottrinali in proposito. – 3. La pronuncia della Corte di cassazione n. 7708 sulla responsabilità dell’hosting provider. – 4. L’indicazione degli url. – 5. La pronuncia della Corte di cassazione n. 7709 sulla responsabilità per l’attività di caching. Con la pronuncia del 19 marzo 2019, n. 7708, la Suprema Corte pone fine alla vicenda giudiziaria relativa a Yahoo Italia ed oggetto di differenti valutazioni da parte del Tribunale e della Corte d’appello di Milano, confermando autorevolmente la giurisprudenza nazionale che distingue la figura dell’hosting provider passivo da quello attivo. Conformemente ad un consolidato orientamento della Corte di giustizia UE, la Cassazione afferma che l’hosting provider attivo è il prestatore dei servizi della società dell’informazione la cui attività esula da un servizio meramente tecnico, automatico e passivo e che pone invece in essere una condotta attiva concorrendo, nella violazione dei diritti d’autore e connessi altrui effettuata tramite i suoi servizi. In quest’ipotesi si applicano infatti le regole comuni sul concorso nell’illecito ex artt. 2043 e 2055 c.c. e non il safe harbor previsto all’art. 16 d. lgs. 70/2003. Ulteriormente, l’hosting provider risponde ai sensi dell’art. 16 d. lgs. 70/2003 ove non abbia immediatamente rimosso i contenuti illeciti comunicati al pubblico tramite i propri servizi o abbia continuato a pubblicarli, se ricorrono congiuntamente le seguenti condizioni: (a) sia a conoscenza legale dell’illecito, anche a causa della comunicazione del titolare dei diritti; (b) possa ragionevolmente constatare l’illiceità dell’altrui condotta, conformemente al canone della diligenza professionale; (c) si possa attivare utilmente a tutela di tali contenuti protetti, in quanto sufficientemente a conoscenza dei materiali illeciti da rimuovere. Secondo la pronuncia del 19 marzo 2019, n. 7709 della Suprema Corte, la responsabilità del fornitore del servizio di caching ex art. 15 d. lgs. 70/2003 sussiste soltanto ove quest’ultimo non abbia provveduto all’immediata rimozione dei contenuti illeciti. Più precisamente, il cacher è esonerato dalla responsabilità per i contenuti immessi da altri, qualora: a) “non modifichi le informazioni”, divenendo allora concorrente attivo; b) “si conformi alle condizioni di accesso alle informazioni”, quindi ad esempio ometta di rendere disponibili al pubblico nella memoria cache delle informazioni che invece non sono tali nel sito di provenienza; c) “si conformi alle norme di aggiornamento delle informazioni”, secondo le regole del settore; d) “non interferisca con l’uso lecito di tecnologia riconosciuta ed utilizzata nel settore per ottenere dati sull’impiego delle informazioni”; e) “agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l’accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l’accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un’autorità amministrativa ne ha disposto la rimozione o la disabilitazione”, provvedendo, dunque, a cancellare i documenti dal medesimo archiviati in memoria, qualora essi siano stati rimossi dal sito di provenienza, l’accesso sia stato disabilitato ad opera del titolare, o sia intervenuto un provvedimento giurisdizionale o amministrativo ad ordinare tale rimozione o disabilitazione Through the decision of March 19, 2019, no. 7708, the Italian Supreme Court puts an end to the judicial case concerning Yahoo Italia which has been the subject matter of different assessments by the Tribunal of first instance and the Court of appeal of Milan, distinguishing the role of the passive hosting provider from the active one. In accordance with European Union Court of Justice previous decisions, the Court of cassation establishes that the active hosting provider is the one whose activities goes beyond a technical, automatic and passive service (according to the recital 42 of EU 2000/31 directive on electronic commerce) and instead carries out an active conduct, contributing to copyright and related rights infringement realized by its users and through its services. In this case, the common rules about tort law (e.g. articles 2043 and 2055 of Italian civil code) are applicable and not the special safe harbor provided for by art. 16 of legislative decree no. 70/2003. Furthermore, the hosting provider is liable according to art. 16 of legislative decree no. 70/2003, where it has not immediately removed the infringing contents made available by its service or it has continued to publish them, if all the following conditions are met: (a) it is legally aware of the infringement, e.g. by a communication of the copyright owner; (b) it can reasonably ascertain this copyright infringement, in accordance with the standard of professional diligence; (c) it can usefully activate itself to remove such contents. Instead, according to the decision of the Supreme Court, March 19, 2019, no. 7709, the responsibility of the caching service provider pursuant to art. 15 of legislative decree no. 70/2003 is declared only if the latter has not immediately removed the copyright infringing contents.
(*) Si precisa che le opinioni espresse da Angelo Maria Rovati, dipendente dell’Autorità garante della concorrenza e del mercato, sono frutto del suo personale convincimento, impegnano esclusivamente lo stesso e non possono in alcun modo essere ritenute come rappresentative di orientamenti dell’Autorità garante della concorrenza e del mercato o impegnative per la stessa.
280
DIRITTO DI INTERNET N. 2/2019
GIURISPRUDENZA CIVILE 1. Le pronunce di primo grado e di appello
Il Tribunale di Milano con la pronuncia 9 settembre 2011, n. 10893, aveva accertato la violazione dei diritti d’autore e connessi su filmati derivanti da diversi programmi del fornitore di servizi media audiovisivi RTI s.p.a. da parte di Yahoo Italia s.r.l. ai sensi degli artt. 44 ss., 78 ter e 79 l. 633/1941 (nel prosieguo “l.a.”), rispettivamente in materia di tutela delle opere cinematografiche, delle opere audiovisive o di sequenze di immagini in movimento e delle emissioni radiofoniche o televisive. Il Tribunale ambrosiano aveva poi vietato l’ulteriore diffusione delle opere e dei materiali protetti qui considerati, assicurando l’effettività dell’ordine attraverso una penalità di mora per ogni violazione e per ogni giorno di protrazione dell’illecito ex art. 156 co. 1 l.a. Con particolare riguardo all’attività di hosting svolta da Yahoo Italia ex artt. 14 dir. 2000/31 e 16 d. lgs. 70/2003 aveva affermato che Yahoo Italia deve essere considerato un soggetto che fornisce un hosting (non puramente passivo ma) attivo, con conseguente applicazione delle regole comuni in materia di responsabilità aquiliana e non della disciplina speciale di esenzione ex art. 16 d. lgs. 70/2003 (1). La Corte d’appello di Milano ha invece accolto l’impugnazione di Yahoo Italia affermando che l’hosting provider non debba rispondere delle violazioni degli altrui diritti d’autore e connessi poste in essere tramite i suoi servizi nella misura in cui non elabora i contenuti ospitati. Con particolare riferimento al tema dell’indicizzazione dei contenuti da parte dell’hosting provider il Giudice di secondo grado ha affermato che il fornitore di un servizio di video sharing online rimane un soggetto “passivo” che non perde il beneficio dell’esenzione da responsabilità ex artt. 16 e 17 d.lgs. 70/2003 nonostante impieghi diversi strumenti tecnici per intercettare il contenuto dei file caricati dagli utenti, quali un motore di ricerca “interno” o svariate modalità di gestione del sito ed anche se consegue vantaggi economici da tali attività. E ciò a meno che risulti da parte del fornitore del servizio una vera e propria manipolazione dei dati “ospitati”, cioè una vera e propria attività “editoriale” di content provider. La Corte d’appello ha quindi deciso in modo diametralmente opposto rispetto al Giudice di
(1) In questo senso v. Trib. Milano 9 settembre 2011, in AIDA 2012, n. pub. 1505, nei medesimi termini v. Trib. Milano 9 giugno 2011, in Rep. AIDA 2012. Analogamente per ord. Trib. Roma 20 ottobre 2011, in AIDA 2012, n. pub. 1510 “la società che si limita a svolgere un hosting puramente passivo non risponde nel concorso dell’illecito di chi diffonde attraverso i suoi server programmi televisivi con modalità streaming: e non può essere destinataria di un’inibitoria della prosecuzione della diffusione, quando abbia rimosso i video litigiosi dai propri server non appena ricevuta una corrispondente diffida dal titolare dei diritti” (nei medesimi termini v. ord. Trib. Roma 22 marzo 2011, in Rep. AIDA 2012, come anche Trib. Firenze, sez. impr. 26 febbraio 2018, in AIDA 2018).
primo grado, ponendosi in modo critico riguardo all’elaborazione (dottrinale e giurisprudenziale) della figura di hosting attivo, definita quantomeno a partire dalle decisioni della Corte di giustizia UE (CGUE) 23 marzo 2010, C-236/08-C‑238/08, Google France (2) e 12 luglio 2011, C-324/09, L’Oréal (3). Con la sua recente sentenza del 19 marzo 2019, n. 7708 la Suprema Corte si pronuncia in modo definitivo sull’ammissibilità della figura dell’hosting provider attivo anche con riferimento al diritto nazionale recependo quindi la citata giurisprudenza della CGUE e ponendo così fine alla vicenda giudiziaria originata dalle citate pronunce.
2. Gli orientamenti dottrinali in proposito
Le diverse impostazioni seguite dal Tribunale e dalla Corte d’appello di Milano sembrano avere il loro “retroterra” in differenti opinioni dottrinali. In dottrina (2) Questa decisione è pubblicata ad esempio in <www.curia.eu>. (3) Il cons. 42 dir. 2000/31 condiziona le deroghe alla responsabilità del prestatore di servizi della società dell’informazione (i) allo svolgimento di un’ “attività […] di ordine meramente tecnico, automatico e passivo”; (ii) nel cui ambito lo stesso “non conosce né controlla le informazioni trasmesse o memorizzate”. Con le citate decisioni la Corte di giustizia si è pronunciata su questo tema, con particolare riferimento alla responsabilità del prestatore del servizio di hosting ex art. 14 dir. 2000/31. La prima tra le pronunce citate riguarda la responsabilità di Google ex art. 14 dir. 2000/31 rispetto al servizio di posizionamento a pagamento in Internet cd. “AdWords”; la seconda quella di E-Bay rispetto alla gestione del proprio mercato on-line. A questo proposito secondo la prima tra le pronunce citate il cons. 42 dir. 2000/31 afferma chiaramente (punto 113) «che le deroghe alla responsabilità previste da tale direttiva riguardano esclusivamente i casi in cui l’attività di prestatore di servizi della società dell’informazione sia di ordine “meramente tecnico, automatico e passivo”, con la conseguenza che detto prestatore “non conosce né controlla le informazioni trasmesse o memorizzate”». Su questa base la Corte ha allora affermato che l’art. 14 dir. 2000/31 deve essere interpretato nel senso per cui questa norma “si applica al prestatore di un servizio di posizionamento su Internet qualora detto prestatore non abbia svolto un ruolo attivo atto a conferirgli la conoscenza o il controllo dei dati memorizzati. Se non ha svolto un siffatto ruolo, detto prestatore non può essere ritenuto responsabile per i dati che egli ha memorizzato su richiesta di un inserzionista, salvo che, essendo venuto a conoscenza della natura illecita di tali dati o di attività di tale inserzionista, egli abbia omesso di prontamente rimuovere tali dati o disabilitare l’accesso agli stessi” (punto n. 3 del dispositivo). Secondo il punto 6 del dispositivo della pronuncia 12 luglio 2011, C-324/09 «L’art. 14, n. 1, della direttiva […] 2000/31/CE, (“direttiva sul commercio elettronico”), deve essere interpretato nel senso che esso si applica al gestore di un mercato online qualora non abbia svolto un ruolo attivo che gli permetta di avere conoscenza o controllo circa i dati memorizzati. Detto gestore svolge un ruolo siffatto allorché presta un’assistenza che consiste in particolare nell’ottimizzare la presentazione delle offerte in vendita di cui trattasi o nel promuoverle. Quando non ha svolto un ruolo attivo nel senso indicato al comma precedente e dunque la sua prestazione di servizio rientra nell’ambito di applicazione dell’art. 14, n. 1, della direttiva 2000/31, il gestore di un mercato online, in una causa che può comportare una condanna al pagamento di un risarcimento dei danni, non può tuttavia avvalersi dell’esonero dalla responsabilità previsto nella suddetta disposizione qualora sia stato al corrente di fatti o circostanze in base ai quali un operatore economico diligente avrebbe dovuto constatare l’illiceità delle offerte in vendita di cui trattasi e, nell’ipotesi in cui ne sia stato al corrente, non abbia prontamente agito conformemente al n. 1, lett. b), del suddetto art. 14».
DIRITTO DI INTERNET N. 2/2019
281
GIURISPRUDENZA CIVILE sulla definizione di hosting attivo esistono diversi orientamenti: e quindi si intende ricordarne tre. Una prima impostazione (ad oggi maggioritaria) disegna in termini ampi la figura dell’hosting attivo, conformemente a quanto affermato nelle citate pronunce della CGUE. Secondo tale opinione l’art. 17 d. lgs. 70/2003 esenta gli ISP da un obbligo generale di sorveglianza o di attivazione per prevenire attività illecite; tali soggetti sono comunque legittimati passivi all’inibitoria ex art. 156 l.a. (4), tuttavia non possono essere considerati coautori dell’illecito ed allora non rispondono a titolo risarcitorio ex artt. 158 l.a. e 2055 c.c., se le loro condotte si mantengono nel solco delle ipotesi descritte negli artt. 14-17 d. lgs. 70/2003. In altre parole, se nella prestazione dei loro servizi svolgono il ruolo semplicemente passivo descritto al cons. 42 dir. 2000/31. Qualora gli ISP effettuino invece (anche) attività diverse od ulteriori sulle informazioni e sui contenuti trasmessi (ad esempio organizzandoli, indicizzandoli o più incisivamente ma-
(4) A questo proposito sull’estensione dell’inibitoria Trib. Milano, ord. 3 luglio 2018, in questa Rivista, 2019, 105, con nota di Molinario, L’ingiunzione dinamica come strumento di tutela del diritto d’autore on-line, ha affermato che «[i]l giudice, una volta accertata l’illiceità dei contenuti denunciati, può imporre agli ISP fornitori di accesso alla rete Internet di adottare, entro un termine massimo dalla ricezione della specifica segnalazione di violazioni, le più opportune misure tecniche al fine di impedire ai destinatari dei servizi l’accesso al portale su cui siano disponibili tali contenuti, con diritto degli ISP al rimborso delle spese tecniche strettamente necessarie, da porsi a carico del soggetto asseritamente danneggiato e richiedente la misura (Nella specie, il tribunale ha precisato che le misure possono riguardare tanto il nome di dominio specifico del portale, quanto ulteriori nomi di dominio dei siti “alias” che realizzino le stesse violazioni, implementando un’ingiunzione dinamica)». In dottrina già per Spolidoro, Le misure di prevenzione nel diritto industriale, Milano, 1982, 86; e M. Vanzetti, Contributo allo studio delle misure correttive e delle sanzioni civili nel diritto industriale: i profili processuali dell’art. 124 c.p.i., in Riv. dir. ind. 2010, 53, l’inibitoria riguarda la «fattispecie realmente venuta ad esistenza [ma si estende pure a]comportamenti che si possono ritenere equivalenti a quello che è stato l’oggetto “immediato del giudizio”»: cioè si può ritenere che l’ordine giudiziale si estenda già a comportamenti analoghi a quelli espressamente vietati, se interpretato secondo buona fede e correttezza ex artt. 1175, 1366 e 1375 c.c. ed in particolare (per quanto qui di interesse) alla reiterazione dell’illecito ad esempio tramite siti alias. In giurisprudenza depone in questo senso anche la pronuncia della Corte di giustizia UE 27 marzo 2014, causa C-314/12, Telekabel, in Foro it., 2014, IV, 363 (con nota di Salvato, La corte di giustizia si pronuncia sulla tutela del diritto d’autore online), secondo cui (secondo punto del dispositivo) “I diritti fondamentali riconosciuti dal diritto dell’Unione devono essere interpretati nel senso che non ostano a che sia vietato, con un’ingiunzione pronunciata da un giudice, a un fornitore di accesso ad Internet di concedere ai suoi abbonati l’accesso ad un sito Internet che metta in rete materiali protetti senza il consenso dei titolari dei diritti, qualora tale ingiunzione non specifichi quali misure tale fornitore d’accesso deve adottare e quest’ultimo possa evitare sanzioni per la violazione di tale ingiunzione dimostrando di avere adottato tutte le misure ragionevoli, a condizione tuttavia che, da un lato, le misure adottate non privino inutilmente gli utenti di Internet della possibilità di accedere in modo lecito alle informazioni disponibili e, dall’altro, che tali misure abbiano l’effetto di impedire o, almeno, di rendere difficilmente realizzabili le consultazioni non autorizzate dei materiali protetti e di scoraggiare seriamente gli utenti di Internet che ricorrono ai servizi del destinatario di questa stessa ingiunzione dal consultare tali materiali messi a loro disposizione in violazione del diritto di proprietà intellettuale, circostanza che spetta alle autorità e ai giudici nazionali verificare”.
282
DIRITTO DI INTERNET N. 2/2019
nipolandoli), possono allora concorrere ex art. 2055 c.c. nell’illecita utilizzazione di materiali protetti da diritti d’autore e connessi (5). Questo vale anche quando l’hosting provider (ad esempio tramite un meccanismo di controllo delle informazioni trasmesse) sia consapevole di un illecito (pure relativo a materiali protetti da diritti esclusivi) ed ometta di intervenire (6). Naturalmente la (5) V. in questo senso in dottrina Finocchiaro, Il filtering, in AIDA 2010, 350 e Genovese, La responsabilità dell’hosting provider, ivi, 378. (6) Secondo Trib. Milano 20 marzo 2010, in AIDA 2010, “l’organizzatore di un sito web che consente di fruire con maggiore facilità di contenuti illeciti [...] presenti su altri siti web (nella specie: cinesi), mediante la predisposizione di link a tali siti” e la messa a disposizione di informazioni sulla loro programmazione e di software per fruire dei contenuti illeciti in italiano “risponde, a titolo di concorso degli illeciti commessi dai terzi sui loro siti” (analogamente secondo l’ordinanza del Tribunale Roma, sez. IP, 20 marzo 2011, in AIDA 2013, “il gestore del motore di ricerca che non si attivi per eliminare l’indicizzazione di siti ove sia reperibile un film illecitamente messo a disposizione in rete, ed in particolare non si attivi nemmeno dopo essere messo a conoscenza di questa indicizzazione, diviene responsabile per violazione dei diritti di proprietà intellettuale”. Su Trib. Roma 20 ottobre 2011, Trib. Milano 9 settembre 2011 e Trib. Milano 9 giugno 2011 v. la nota 1. Su questo tema v. anche Tribunale di Roma 17 giugno 2013, in AIDA 2015, secondo cui “è dubbia (e nella specie non è stato provato in causa) che nella gestione dell’enciclopedia Wikipedia la Wikimedia Foundation Inc. svolga funzioni diverse da quella di hosting provider, e cioè di soggetto che si limita ad offrire ospitalità sui propri server ad informazioni fornite dal pubblico degli utenti”. Con riferimento ai diritti connessi per ord. Trib. Venezia 25 novembre 2011, in AIDA 2012, “viola l’art. 79 lett. b) l.a. il servizio di offerta di uno spazio web di hosting di file contenenti registrazioni di programmi televisivi, quand’anche l’offerta del servizio avvenga da parte di un soggetto diverso da quello che materialmente ospita sui propri server i programmi registrati”. Secondo Trib. Milano 7 giugno 2011, in AIDA 2013, “non può considerarsi prestatore di servizi meramente passivo ed esonerato da responsabilità chi organizzi la presentazione di contenuti immessi dagli utenti, ad esempio associando ad una tipologia di contenuti l’offerta di inserzioni pubblicitarie, o la presentazione di informazioni correlate”; analogamente per ord. Trib. Torino 23 giugno 2014, in AIDA 2015, “l’evoluzione della rete informatica mondiale sembra aver superato nei fatti la figura del prestatore di servizi delineata dalla direttiva 31/2000 sul commercio elettronico: perché l’hosting di nuova generazione non è passivo e neutro, ma offre attivamente servizi di vario genere (nella specie tanto vale per youtube)”; a questo proposito la pronuncia ora detta ha valorizzato il canone della diligenza professionale citata al cons. 48 dir. 2000/31 affermando che «il progresso tecnologico che consente all’intermediario (nella specie: youtube) di sfruttare in modo molto intensivo e mirato i contenuti grezzi immessi in rete dagli utenti ha fatto sorgere in capo allo stesso maggiori responsabilità per la tutela dei diritti dei terzi: ampliando il contenuto della “diligenza che è ragionevole attendersi” dall’intermediario in base al considerando 48 della direttiva 31/2000 sul commercio elettronico “al fine di individuare e prevenire taluni tipi di attività illecita”»; ancora per Trib. Roma, sez. impr. 27 aprile 2016, in AIDA 2016, «non può essere qualificato come puro hosting l’attività di distribuzione via streaming di film da parte di un portale che il suo titolare asserisca rientri tra “gli 11 portali di contenuti digitali più famosi del mondo” […]: e che dispone di un editorial team che seleziona i video, li carica, li indica nella home page della categoria corrispondente, li sfrutta commercialmente a fini pubblicitari, organizza i contenuti ottimizzandone lo sfruttamento» anche tramite annunci pubblicitari, (conformemente v. App. Roma 29 aprile 2017, ivi 2018 ed in Dir. ind., 2018, 185 ss., con nota di Cassano, Nozione di provider e delimitazione della responsabilità: la giurisprudenza prende una direzione; sui temi della responsabilità degli ISP con riferimento ai rapporti di controllo tra società, anche in base all’art. 2497 c.c. v. Meruzzi, Internet service providers, impresa di gruppo e responsabilità delle controllate, in AIDA 2014, 349 ss. A questo proposito v. anche Trib. Roma, 5 ottobre 2016, in Dir. ind., 2017, 61 ss., con nota di Panetta, secondo cui il prestatore del
GIURISPRUDENZA CIVILE mancata operatività delle esenzioni previste nella dir. 2000/31 e nel d. lgs. 70/2003 non comporta un’automatica affermazione di responsabilità, ma la semplice applicazione delle regole generali sull’illecito aquiliano ex artt. 2043 ss. c.c. con la valutazione dell’esistenza dei suoi elementi costitutivi oggettivi e soggettivi, cioè di un danno ingiusto, del nesso di causalità tra condotta agevolatrice dell’ISP ed evento lesivo, nonché dell’esistenza di colpa o dolo (7). In sintesi, gli ISP “attivi” sono dunque gravati da alcuni obblighi di protezione nei confronti dei titolari dei contenuti trasmessi (8). Una diversa impostazione ricostruisce invece la responsabilità dell’ISP attivo in senso decisamente più restrittivo. Quest’opinione ritiene in particolare che le esenzioni da responsabilità previste all’art. 16 d. lgs. 70/2003 debbano valere anche per un provider non completamente passivo che predisponga oltre al semplice spazio sul web anche le condizioni per l’ulteriore diffusione dei contenuti caricati dagli utenti e che allora ad esempio ne faciliti l’accesso indicizzandoli od organizzandoli secondo certe modalità e rimuova (volontariamente) quelli non conformi alla condizioni contrattuali od alla policy aziendale. Il provider concorre quindi nell’illecito soltanto nell’ipotesi in cui abbia contribuito attivamenservizio di hosting che scelga e gestisca brani di opere audiovisive non può essere definito come meramente passivo ex art. 16 d. lgs. 70/2003, ma rientra invece nella nozione di “hosting attivo”. Nella giurisprudenza penale v. Cass. 23 dicembre 2009 n. 49437, in Rep. AIDA 2011, 954, la quale ha ritenuto che il gestore di un sito web che per mezzo delle attività di indicizzazione e tracciamento agevolava tra gli utenti l’illecita condivisione di file protetti da diritto d’autore (peer-to-peer) concorra ex art. 110 c.p. nel reato previsto nell’art. 171 ter co. 2 lett. a-bis) l.a.; in particolare secondo la Corte “il sito cessa di essere un mero “corriere” che organizza il trasporto dei dati. C’è un quid pluris in quanto viene resa disponibile all’utenza del sito anche una indicizzazione costantemente aggiornata che consente di percepire il contenuto dei file suscettibili di trasferimento. A quel punto l’attività di trasporto dei file (file transfert) non è più agnostica; ma si caratterizza come trasporto di dati contenenti materiale coperto da diritto d’autore”. (7) Così Albanese, La responsabilità della mere conduit, in AIDA 2010, 357. Secondo quest’A. in particolare il d. lgs. 70/2003 non può essere letto a contrario per affermare in ogni caso una responsabilità (che dovrebbe quindi considerarsi come) oggettiva dell’ISP. (8) V. in dottrina ad esempio Finocchiaro, op. cit., 382. In giurisprudenza recentemente Trib. Roma, sentenza 10 gennaio 2019, tra l’altro, ha ricondotto la responsabilità della piattaforma Vimeo per concorso nella violazione degli altrui diritti d’autore e connessi (posta in essere dai suoi utenti) a quella da contatto sociale, aderendo all’impostazione già accolta dall’ordinanza Trib. Torino, sez. impr., 3 giugno 2015, secondo cui l’ISP “ha un obbligo generale di rimuovere il medesimo contenuto quando questo venga rimesso in linea in tutto o in parte, senza che il titolare dei diritti abbia un onere di riavviare il procedimento della diffida previa: e la relativa responsabilità dell’ISP nei confronti del titolare è quella cd. del contatto sociale e dei corrispondenti obblighi di protezione dei diritti altrui”. E sul punto il Tribunale capitolino con la sentenza 10 gennaio 2019 fa un passo ulteriore qualificando tout court il rapporto tra provider e titolare dei diritti come (responsabilità da) contatto sociale, senza riferirsi in particolare alla reiterazione di una specifica violazione. Sul punto si rinvia alla nota di commento alla citata pronuncia di Cassano - Rovati, La c.d. neutralità del web non più elemento di sfruttamento dei diritti d’autore altrui, in questa Rivista, 2019, 129 ss.
te alla predisposizione di un certo contenuto pregiudizievole di diritti altrui (9). In altre parole, lo “standard” di cooperazione del provider nell’attività di violazione degli altrui diritti d’autore e connessi è in questo caso molto più elevato e non comprende condotte di mera agevolazione dell’altrui illecito, che ricadrebbero comunque nel safe harbor ex art. 16 d. lgs. 70/2003. In buona sostanza, il Giudice di primo grado sembra essersi ispirato alla prima opinione, che disegna una figura più ampia di hosting attivo; quello d’appello alla seconda che limita tale circostanza alla sola ipotesi di manipolazione e modifica dei contenuti diffusi tramite i suoi servizi. Alla prima impostazione ha recentemente aderito la pronuncia del Tribunale di Roma, 10 gennaio 2019, caso “Vimeo” (10). Secondo tale pronuncia è dunque hosting attivo anche quello la cui attività vada al di là della semplice predisposizione di un processo tecnico e neutrale consistendo ad esempio: (i) nella selezione, organizzazione ed indicizzazione del materiale trasmesso, (ii) nell’operare come un sito di condivisione video, (iii) nel mettere a disposizione dei propri utenti
(9) Così Sartor, Social network e responsabilità del provider, in AIDA 2011, 55. Di seguito alcune delle pronunce che hanno condiviso quest’orientamento maggiormente favorevole per il fornitore del servizio di hosting. App. Milano 25 settembre 2014, in AIDA 2015, non ha condiviso le conclusioni raggiunte a proposito della definizione di Yahoo! come hosting attivo affermando in particolare che “ai limiti di responsabilità stabiliti dall’art. 17 D.Lgs 70/03 […] corrisponde l’assenza di un obbligo generale di sorveglianza dell’ISP sulle informazioni che trasmette e memorizza e la mancanza di un suo obbligo generale di ricercare attivamente le attività illecite. Questa irresponsabilità del prestatore di servizio è frutto della scelta del legislatore comunitario che ha assegnato l’onere di vigilanza sul rispetto dei diritti ai loro titolari e non agli internet provider; e lo ha fatto per evitare di scoraggiare l’investimento e l’innovazione degli operatori della rete e di pregiudicare la libertà di espressione nella rete, il diritto dei suoi utenti alla tutela delle loro comunicazioni, il diritto degli utenti di utilizzare ex art. 70 l.a. anche contenuti protetti dal diritto d’autore, la tutela dei dati personali degli utenti”; (a favore dell’assenza di un obbligo di sorveglianza a carico degli ISP attivi, ma nel senso di agevolare l’onere di allegazione dei titolari dei diritti v. Trib. Roma, sez. impr. 27 aprile 2016, in AIDA 2016, e in Dir. ind., 2016, 460 ss., con nota di Cassano, Sulla responsabilità del provider per la diffusione abusiva in rete di opere audiovisive, secondo cui “l’hosting attivo non è soggetto ad un obbligo generale di sorveglianza preventiva del materiale immesso in rete dagli utenti; risponde tuttavia quando venga messo a conoscenza del contenuto illecito delle trasmissioni; ed a questo fine il danneggiato può limitarsi ad indicare le opere protette senza avere l’onere di indicare gli url a cui essi sono inseriti”); su App. Milano 7 gennaio 2015 e Trib. Torino, 7 aprile 2017, ivi 2017 v. la nota 1. In dottrina in senso critico rispetto ad App. Milano 7 gennaio 2015, con riferimento alla circostanza per cui anche la Corte CEDU ha negato un’acritica ed automatica prevalenza del diritto all’informazione su quelli relativi alla proprietà intellettuale v. Bassoli, Giurisprudenza italiana e comunitaria sulla responsabilità civile del service provider e la sentenza della Corte di Appello di Milano nel caso Yahoo vs. RTI, in Contr. Impr. Eur., 2015, 231 ss. Sempre in senso critico alla sentenza d’appello ora detta v. Cascella, Dieci decisi no ad una scomposta sentenza della Corte di Appello di Milano, ed una via di uscita A proposito di Corte di Appello di Milano il 7 gennaio 2015, n. 29, in Vita not., 2015, 1 ss. (10) La sentenza è annotata in questa Rivista 2019, con nota di Cassano - Rovati, La c.d. neutralità del web non più elemento di sfruttamento dei diritti d’autore altrui, cit.
DIRITTO DI INTERNET N. 2/2019
283
GIURISPRUDENZA CIVILE un motore di ricerca interno e (iv) nel ricavare un lucro dallo sfruttamento pubblicitario dei contenuti così selezionati ed organizzati (11), (v) anche senza giungere ad una vera e propria modifica dei contenuti trasmessi. Ulteriormente, secondo una recente dottrina l’art. 16 d. lgs. 70/2003 prevede in realtà due diverse fattispecie, che riguardano differenti ipotesi di responsabilità di secondo grado in capo all’hosting provider. (i) L’art. 16 co. 1 lett. a) definisce un’ipotesi di esenzione dalla responsabilità per il prestatore del servizio di hosting: a contrario la norma ora detta enuncia implicitamente una regola di condotta ispirata al canone della diligenza professionale ex art. 1176 co. 2 e conforme al cons. 46 dir. 2000/31 (12) quando il fornitore venga a conoscenza di una violazione. L’avvenuta conoscenza impone dunque al prestatore del servizio di hosting di porre in essere con diligenza tutte le misure idonee a contrastare le violazioni che avvengono tramite i suoi servizi ed in particolare di renderne edotta l’autorità giudiziaria o quella amministrativa, come anche di cooperare con le stesse fornendo loro tutti gli elementi utili all’accertamento dell’illecito. In mancanza di questo intervento l’ISP rischia di concorrere nell’illecito con l’autore della violazione ex art. 2055 c.c. (ii) La seconda fattispecie è desumibile dall’interpretazione sistematica delle lett. a) e b) della norma qui esaminata. Questa seconda ipotesi si basa sulla “manifesta […] illiceità dell’attività o dell’informazione” cui l’hosting può pervenire anche in maniera del tutto casuale oppure tramite una segnalazione generica (e non specifica) del titolare dei diritti od ancora dell’autorità giudiziaria od amministrativa. In questo caso la diligenza professionale obbliga l’hosting (non soltanto alla segnalazione ed alla cooperazione con l’autorità ma anche) ad adottare proporzionate misure volte ad eliminare le conseguenze dell’illecito, come la rimozione dei contenuti e/o la disabilitazione dall’accesso. In mancanza di questo intervento l’ISP rischia a fortiori
(11) V. con riferimento alla pronuncia Vimeo pure Iaselli, Precisati dal Tribunale di Roma i contorni della responsabilità dell’hosting provider attivo, cit., 4 ss. e Bassoli, Il caso RTI vs. Vimeo e la responsabilità civile dell’hosting provider attivo: sentenza n. 693/2019 del Tribunale di Roma, cit., 5 ss. (12) In base al considerando ora detto “Per godere di una limitazione della responsabilità, il prestatore di un servizio della società dell’informazione consistente nella memorizzazione di informazioni deve agire immediatamente per rimuovere le informazioni o per disabilitare l’accesso alle medesime non appena sia informato o si renda conto delle attività illecite. La rimozione delle informazioni o la disabilitazione dell’accesso alle medesime devono essere effettuate nel rispetto del principio della libertà di espressione e delle procedure all’uopo previste a livello nazionale. La presente direttiva non pregiudica la possibilità per gli Stati membri di stabilire obblighi specifici da soddisfare sollecitamente prima della rimozione delle informazioni e della disabilitazione dell’accesso alle medesime”.
284
DIRITTO DI INTERNET N. 2/2019
di concorrere nell’illecito con l’autore della violazione ex art. 2055 c.c. (13). In estrema sintesi, la prima e la terza tesi tra quelle qui esposte (non si contraddicono ma) sono complementari. Entrambe sottolineano dunque da un lato il carattere speciale e “finalizzato” al favor per la libera manifestazione del pensiero e lo sviluppo tecnologico di queste esenzioni da responsabilità; dall’altro evidenziano una chiara relazione tra diligenza professionale, ragionevole conoscenza o conoscibilità dell’illecito, intervento tempestivo e proporzionato dell’hosting ed esenzione da responsabilità. E la Corte di cassazione pare essersi almeno in parte ispirata a tali opinioni, ove sottolinea la necessità che l’hosting provider (attivo oppure passivo) agisca con la dovuta diligenza professionale e conformemente al considerando 46 della dir. 2000/31.
3. La pronuncia della Corte di cassazione n. 7708 sulla responsabilità dell’hosting provider
Con la sua recente sentenza del 19 marzo 2019, n. 7708 la Suprema Corte interviene dunque a dirimere l’annosa e complessa vicenda giuridica sopra descritta che ha visto come protagoniste RTI e Yahoo. La Suprema Corte procede, anzitutto, ad un interessante inquadramento della figura dell’hosting provider cd. “attivo” che non pone in essere, cioè, un’attività di ordine meramente tecnico, automatico e passivo (che, in quanto tale, impedisce di conoscere e controllare le informazioni trasmesse o memorizzate dalle persone alle quali è fornito il servizio), alla quale conseguono limitazioni di responsabilità normativamente previste, ma svolge un ruolo “attivo” (senza alcuna deroga alla responsabilità). I giudici del Supremo Collegio all’importante distinzione tra hosting provider “attivo” e “passivo” riconducono la nota partizione, nell’ambito della condotta illecita, tra azione e omissione nel senso che la figura dell’hosting provider attivo viene sussunta nella fattispecie della condotta illecita attiva di concorso (condotta di azione). In sentenza, a titolo esemplificativo, si riportano taluni elementi idonei a tracciare la figura in esame, ovvero le attività di filtro, selezione, indicizzazione, organizzazione, catalogazione, aggregazione, valutazione, uso, modifica, estrazione o promozione dei contenuti, operate mediante una gestione imprenditoriale del servizio, come pure l’adozione di una tecnica di valutazione comportamentale degli utenti per aumentarne la fidelizzazione (condotte che hanno, in sostanza, l’effetto di completare ed arricchire in modo non passivo la fruizione dei contenuti da parte di utenti indeterminati). La sentenza qui in esame si innesta così nel solco dell’insegnamento
(13) Così Piraino, Spunti per una rilettura della disciplina giuridica degli internet service provider, in AIDA 2017, 500.
GIURISPRUDENZA CIVILE tracciato dalla CGUE (7 agosto 2018, C-521/17, Cooperatieve Vereniging SNB-REACT U.A. c. Deepak Mehta, punti 47 e 48, 12 luglio 2011, C-324/09, L’Oréal e 23 marzo 2010, C-236/08-C‑238/08, Google France (14)) secondo cui la nozione di hosting provider “attivo” deve intendersi riferita alle ipotesi che esulano da un’ “attività dei prestatori di servizi della società dell’informazione [che] sia di ordine meramente tecnico, automatico e passivo” (15). Con questo suo argomentare la Cassazione supera così la tesi sostenuta dalla Corte di Appello di Milano, che, già in via astratta, aveva rifiutato la figura di hosting provider attivo. Il Collegio meneghino, invero, sul punto, si era espresso ritenendo che «la nozione di hosting provider attivo risulti oggi sicuramente fuorviante e sicuramente da evitare concettualmente in quanto mal si addice ai servizi di “ospitalità in rete” in cui il prestatore non interviene in alcun modo sul contenuto caricato dagli utenti, limitandosi semmai a sfruttarne commercialmente la presenza sul sito, ove il contenuto viene mostrato così come è caricato dall’utente senza alcuna ulteriore elaborazione da parte del prestatore». Per quanto il Supremo Collegio non abbia condiviso tale sentenza – proprio per aver già in astratto rifiutato la figura dell’hosting provider attivo – ha comunque ritenuto corretta la sussunzione operata dal Corte d’appello della situazione concreta nella fattispecie astratta dell’art. 16 d. lgs. n. 70/2003, non ricorrendo nel caso di specie i requisiti del cd. hosting attivo. Il quadro normativo di riferimento è dato dalla tre fattispecie delineate dal d. lgs. n. 70/2003 (artt. 14, 15 e 16), sulla scia degli artt. 12, 13 e 14 della direttiva 2000/31/CE, definite come “semplice trasporto - mere conduit”, “memorizzazione temporanea – caching” e duratura “memorizzazione di informazioni – hosting”. Ne emerge una disciplina positiva che limita il regime di responsabilità intendendo sostenere lo sviluppo di nuove imprese nell’ambito della società dell’informazione; tuttavia anche il provider passivo può andare incontro a responsabilità di tipo risarcitorio. Precisa la giurisprudenza: “La limitazione della responsabilità di cui all’art. 14, n. 1, della direttiva 2000/31 […] significa che il prestatore […] non può
(14) Questa decisione è pubblicata ad esempio in <www.curia.eu>. (15) In base al secondo punto del dispositivo della pronuncia CGUE 7 agosto 2018, C-521/17, “Gli articoli da 12 a 14 della direttiva 2000/31/ CE […] devono essere interpretati nel senso che le limitazioni di responsabilità che essi prevedono sono applicabili al prestatore di un servizio di locazione e di registrazione di indirizzi IP che consente di utilizzare anonimamente nomi di dominio Internet, come quello di cui trattasi nel procedimento principale, purché tale servizio rientri in una delle categorie di servizi previste in tali articoli e soddisfi l’insieme delle condizioni corrispondenti, in quanto l’attività di tale prestatore sia di ordine meramente tecnico, automatico e passivo, con la conseguenza che detto prestatore non conosce né controlla le informazioni trasmesse o memorizzate dai suoi clienti, ed egli non svolga un ruolo attivo, permettendo a questi ultimi di ottimizzare la loro attività di vendita online, circostanza che spetta al giudice del rinvio verificare”.
essere ritenuto responsabile per i dati che ha memorizzato su richiesta di un destinatario del servizio in parola, salvo che tale prestatore, dopo aver preso conoscenza, mediante un’informazione fornita dalla persona lesa o in altro modo, della natura illecita di tali dati o di attività di detto destinatario, abbia omesso di prontamente rimuovere tali dati o disabilitare l’accesso agli stessi” (CGUE Grande Sez., 23 marzo 2010, C-236/08). Se dunque può dirsi insussistente un obbligo di sorveglianza e di attivazione anticipato, generale e costante in capo al provider - conformemente alla lettera degli art. 15 dir. 2000/31 e 17 d. lgs. n. 70/2003 - deve al contempo rilevarsi la sussistenza di un obbligo di rimozione, ove a conoscenza, degli illeciti. Su tale ultimo profilo si sofferma la sentenza in esame che, una volta offerta all’interprete l’esatta definizione di provider, qualifica tale figura – di prestatore non attivo – alla stregua di un professionista tenuto ad una posizione di garanzia (16) nel senso che, se per definizione è indispensabile alla originaria perpetrazione dell’illecito, ne diviene giuridicamente responsabile solo nel momento in cui gli possa essere rimproverata l’inerzia nell’impedirne la protrazione. Quindi detto professionista è tenuto ad una diligenza qualificata – anche ai sensi dell’art. 1176 co. 2 c.c. - che comporta l’obbligo di attivarsi – pena la sua responsabilità – quando ricorrono tutte le seguenti condizioni: (i) abbia avuto comunque conoscenza dell’illecito perpetrato dal destinatario del servizio; (ii) l’illiceità dell’altrui condotta sia ragionevolmente constatabile; (iii) abbia la possibilità di attivarsi utilmente. Tale interpretazione è certamente coerente con la lettera dell’art. 16 co. 1 d. lgs. n. 70/2003 il quale afferma testualmente che: (i) il prestatore del servizio non è responsabile a meno che “non sia effettivamente a conoscenza del fatto che l’attività o l’informazione [messa a disposizione tramite i suoi servizi] è illecita”, (ii) con riguardo alla responsabilità risarcitoria il prestatore “non
(16) Dire che il provider sia tenuto ad una posizione di garanzia significa affermare l’esistenza di una responsabilità da contatto sociale. Tale forma di responsabilità è fondata sulla terza ed ultima clausola relativa alla fonti delle obbligazioni ex art. 1173 c.c. per cui le stesse possono derivare (non solo da contratto o fatto illecito ma) anche “da ogni altro atto o fatto idoneo a produrle in conformità dell’ordinamento giuridico”. Tale formula indica quindi una generale apertura delle fonti delle obbligazioni e consente di applicare la disciplina contrattuale a forme di responsabilità ove almeno uno dei soggetti coinvolti è tenuto a specifici doveri di comportamento e protezione nei confronti dell’altra parte, pur in assenza della stipula di un formale contratto. Sulla responsabilità da contatto sociale v. recentemente ad esempio Trimarchi, La responsabilità civile: atti illeciti, rischio, danno, Milano, 2017; Carrato, Responsabilità della banca per il pagamento di assegno “non trasferibile” a soggetto non legittimato: le Sezioni Unite risolvono il contrasto, in Corr. giur. 2018, fasc. 897 ss.; Perfetti, La responsabilità civile del medico tra legge c.d. Gelli e nuova disciplina del consenso informato, in Giust. civ. 2018, 359 ss. Sulla posizione di garanzia nel diritto penale v. ex multis ad esempio Grasso, Il reato omissivo improprio, Torino, 1983, 242; Fiandaca - Musco, Diritto penale. Parte generale, VII ed., Bologna, 2014, 640 ss.
DIRITTO DI INTERNET N. 2/2019
285
GIURISPRUDENZA CIVILE sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione” e (iii) “non appena a conoscenza di tali fatti […] agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso”. Affinché il provider debba attivarsi è sufficiente una comunicazione dell’illecito perpetrato anche da parte del titolare dei diritti, che non significa atto di diffida, e che non deve necessariamente provenire da una pubblica autorità, amministrativa o giurisdizionale (che ordini un determinato comportamento o almeno dia notizia dell’illecito al prestatore) (17). La Cassazione si sofferma così sulla nozione giuridica di “conoscenza effettiva” dell’altrui illecito che sia “manifesto” e che sia stato perpetrato, ovviamente, a mezzo del servizio dell’informazione (art. 16, co. 1, lett. a, d.lgs. n. 70 del 2003; 14, par. 1, lett. a, dir. 2000/31/CE) reputando conosciuto quel fatto che sia pervenuto alla sfera psichica del destinatario e che sia stato dallo stesso “interamente appreso e compreso”. La giurisprudenza (intervenuta in tema di illecito trattamento dei dati personali) insegna: “finché il dato illecito è sconosciuto al service provider, questo non può essere considerato quale titolare del trattamento, perché privo di qualsivoglia potere decisionale sul dato stesso; quando, invece, il provider sia a conoscenza del dato illecito e non si attivi per la sua immediata rimozione o per renderlo comunque inaccessibile esso assume a pieno titolo la qualifica di titolare del trattamento ed è, dunque, destinatario dei precetti e delle sanzioni penali del Codice Privacy. In via generale, sono, dunque gli utenti ad essere titolari del trattamento dei dati personali di terzi ospitati nei servizi di hosting e non i gestori che si limitano a fornire tali servizi” (18). Si aderisce così non già ad una nozione giuridica di conoscenza bensì ad una “nozione ab origine psicologica afferente il cd. foro interno” per cui la conoscenza dell’altrui illecito - elemento costitutivo della responsabilità del prestatore - coincide con l’esistenza di una comunicazione in tal senso operata dal terzo il cui diritto si assuma essere stato leso.
(17) Sul punto la Suprema Corte ha quindi accolto una lettura estensiva e conforme alla corrispondente norma di diritto dell’Unione europea (cioè l’art. 14.1. lett. b) dir. 2000/31) dell’art. 16 co.1 lett. b) d. lgs. 70/2003 nel senso di ritenere sufficiente per il dovere di attivazione del provider anche la semplice comunicazione del titolare dei diritti. Sul tema v. in dottrina ad esempio Troiano, L’impresa di content, host ed access providing, in AIDA 2007, 367 s. e recentemente in giurisprudenza Trib. Roma, sez. spec. impr., 15 febbraio 2019, in questa Rivista, 2019, 315, con nota di Cassano, Un precedente di responsabilità del social network per attività abusiva di linking secondo cui “L’effettiva conoscenza del provider – ancorché acquisita ex post – della natura illecita dei contenuti caricati sui propri server è sufficiente ad integrare la responsabilità di quest’ultimo, non essendo necessario attendere un provvedimento di rimozione emanato da una pubblica autorità, come infondatamente sostenuto dalle convenute. L’inerzia protratta in modo ingiustificato è sempre fonte di responsabilità, indipendentemente ed ancor prima dall’esistenza di un ordine dell’Autorità”. (18) V. in questo senso in giurisprudenza Cass. pen., sez. III, 3 febbraio 2014, n. 5107, in Iusexplorer e in Dir. giust., 2014.
286
DIRITTO DI INTERNET N. 2/2019
Sotto il profilo probatorio, grava a carico del mittente dimostrare l’avvenuto recapito all’indirizzo del destinatario in quanto “il pervenire a tale indirizzo della comunicazione in forma scritta opera per il solo fatto oggettivo dell’arrivo dell’atto nel luogo indicato”. Trattasi di una presunzione iuris tantum di conoscenza, in quanto tale, superabile mediante prova contraria – gravante, questa, a carico del prestatore del servizio – circa l’impossibilità di acquisire, in concreto, tale conoscenza per un evento estraneo alla sua volontà. Ecco perché, come anticipato, non è necessaria una rituale diffida ma è sufficiente la mera comunicazione, o notizia, della lesione del diritto. Sul punto il considerando 46 della citata direttiva dispone espressamente che: “Per godere di una limitazione della responsabilità, il prestatore di un servizio della società dell’informazione consistente nella memorizzazione di informazioni deve agire immediatamente per rimuovere le informazioni o per disabilitare l’accesso alle medesime non appena sia informato o si renda conto delle attività illecite” senza prevedere altre condizioni al sorgere dell’obbligo di attivazione. Si è dunque al cospetto non già di una responsabilità oggettiva, o per fatto altrui, bensì di una ipotesi di responsabilità per fatto proprio colpevole che sorge innanzi ad una situazione di illiceità “manifesta” dell’altrui condotta, di cui non si impedisce la protrazione, mediante la rimozione delle informazioni o la disabilitazione all’accesso. Non senza sottacere che è effetto immediato e diretto della comunicazione dell’illecito l’obbligo di impedire altre violazioni dello stesso tipo. Dunque, il regime di responsabilità previsto per l’hosting provider alla norma citata è di natura puramente soggettiva conformemente al principio di colpevolezza dettato dall’art. 27 co.1 Cost. per la responsabilità penale, nonostante l’art. 41 co.2 Cost. possa agevolmente fondare varie ipotesi di responsabilità oggettiva in materia civile specialmente riconducibili al genus del rischio d’impresa (19). Da quanto fin qui detto emerge come, in capo al provider, gravi l’onere di valutare la ragionevole fondatezza della comunicazione. E, secondo la Suprema Corte, non vi sono ragioni per temere di ricondurre detta figura a quella di un “arbitro della valutazione di liceità o d’illiceità dei contenuti immessi” in quanto il provider è chiamato a delibare, secondo criteri di comune esperienza, alla stregua della diligenza professionale tipicamente dovuta, la comunicazione pervenutagli e la sua ragionevole fondatezza (ovvero, il buon diritto del soggetto che si assume
(19) Per alcune ipotesi di responsabilità oggettiva legate al rischio d’impresa v. ad esempio Alpa - Catricalà, Diritto dei consumatori, Bologna, 2016, 427 ss., soprattutto con riferimento alla responsabilità del produttore per prodotti difettosi ex art. 114 ss. d. lgs. 206/2005 (“Codice del consumo”). In particolare, secondo l’art. 114 del Codice “Il produttore è responsabile del danno cagionato da difetti del suo prodotto”. Su questo tema v. anche Fratini, Diritto civile, Molfetta, 2017, 1063 ss.
GIURISPRUDENZA CIVILE leso), nonché, in caso di esito positivo della verifica, ad attivarsi rapidamente per eliminare il contenuto segnalato. La conseguente responsabilità è così circoscritta alle ipotesi di colpa grave o di dolo nel senso che, se l’illiceità posta in essere, e segnalata al provider, deve essere “manifesta” allora, per quest’ultimo, è possibile riscontrarla senza particolare difficoltà, alla stregua della citata diligenza professionale, così che il non attivarsi integra almeno una grave negligenza dello stesso. Con la precisazione secondo cui: “se, certamente, una notifica non può automaticamente far venire meno il beneficio dell’esonero dalla responsabilità previsto all’art. 14 della direttiva 2000/31 - stante il fatto che notifiche relative ad attività o informazioni che si asseriscono illecite possono rivelarsi insufficientemente precise e dimostrate -, resta pur sempre fatto che essa costituisce, di norma, un elemento di cui il giudice nazionale deve tener conto per valutare, alla luce delle informazioni così trasmesse al gestore, l’effettività della conoscenza da parte di quest’ultimo di fatti o circostanze in base ai quali un operatore economico diligente avrebbe dovuto constatare l’illiceità” (CGUE Europea, Grande Sez.,12 luglio 2011, n. 324/09). Quando, poi, si sia in presenza di una situazione di “non manifesta” illiceità nei termini fin qui visti, allora, si legge nella sentenza in esame, “in capo al prestatore del servizio resterà il solo obbligo di informarne le competenti autorità (la cd. notice)”. Per addivenirsi ad una responsabilità risarcitoria in capo al prestatore del servizio è, poi, necessario un ulteriore elemento che è dato dal potersi attivare utilmente, ed in modo efficiente, in quanto al provider si imputa una responsabilità omissiva e, come in tutti i casi di concorso omissivo nel fatto illecito altrui, ai fini del giudizio di responsabilità è necessario l’accertamento degli elementi costitutivi della fattispecie rappresentati: dalla condotta (e cioè l’inerzia), dall’evento (fatto antidoveroso in pregiudizio di terzi), dal nesso di causa (mediante il cd. giudizio controfattuale, allorché l’attivazione avrebbe impedito l’evento, anche con riguardo alla sua protrazione); dall’elemento soggettivo della fattispecie. Sotto quest’ultimo profilo rilevano, da un lato, la rappresentazione dell’evento nella sua portata illecita, dall’altro, l’omissione consapevole nell’impedirne la prosecuzione, in cui rileva la possibilità di attivarsi utilmente. L’attore (titolare del diritto leso) deve quindi allegare e provare, a fronte dell’inerzia dell’hosting provider, la conoscenza da parte di detto professionista dell’illecito compiuto dal destinatario del servizio - conoscenza indotta dalla stessa comunicazione del titolare del diritto leso o aliunde - nonché indicare gli elementi che rendevano manifesta detta illiceità. Una volta che tale onere sia stato assolto, l’inerzia del prestatore integra di per sé la responsabilità, a fronte dell’obbligo di attivazione posto dall’art. 16 d. lgs. n. 70 del 2003, gravando su di esso
l’onere di provare di non aver avuto nessuna possibilità di attivarsi utilmente. Infine, in prospettiva de iure condendo (almeno con riguardo alla futura normativa italiana di attuazione), si dà atto dell’approvazione il 26 marzo 2019, della cd. direttiva copyright, la quale all’art. 17 sancisce che “un prestatore di servizi di condivisione di contenuti online deve ottenere un’autorizzazione dai titolari dei diritti”, sempre attraverso una licenza. Se un contenuto protetto da diritti d’autore e connessi viene caricato senza licenza, le piattaforme si assumono la responsabilità della violazione, a meno di poche codificate eccezioni, quali per esempio “aver compiuto i massimi sforzi per ottenere un’autorizzazione” o comunque “aver agito tempestivamente” per disabilitare l’accesso agli utenti indisciplinati o impedirne l’attività in futuro.
4. L’indicazione degli url
A questo riguardo, come di recente sostenuto (20), “l’unica giurisprudenza – che ha affermato che una diffida priva degli URL (Uniform Resources Locator) o dei link al materiale illecito sarebbe inidonea a individuare gli esatti contenuti illeciti caricati sul sito dell’ISP, il quale quindi non potrebbe essere onerato dall’obbligo di predisporre un sistema di filtraggio dei contenuti memorizzati perché si richiederebbe in tal modo uno sforzo di generale ricerca e individuazione dei link non esigibile alla stregua delle precise indicazioni date dalla direttiva sul commercio elettronico – è da considerarsi superata”. La Suprema conferma che bisogna valutare caso per caso se alla luce dello stato della tecnica, l’operatore del web ha o meno a disposizione strumenti idonei ad identificare i contenuti illeciti sulla scorta di informazioni non tecniche (come gli URL), quali i titoli delle opere audiovisive in questione. E, secondo la Suprema Corte, è affidato al Giudice del merito l’accertamento, in punto di fatto, se, sotto il profilo tecnico-informatico, l’identificazione di video, diffusi in violazione dell’altrui diritto: (i) sia possibile mediante l’indicazione del solo nome o titolo della trasmissione da cui sono tratti, oppure (ii) sia indispensabile, a tal fine, la comunicazione dell’indirizzo “url”, alla luce delle condizioni esistenti all’epoca dei fatti, occorrendo precisare che lo stato della tecnica probabilmente possa già ritenere sufficiente la sussistenza della sola prima opzione (21).
(20) Cfr. il commento che precede, in questa Rivista, di Panetta, per la ricostruzione del dibattito. (21) Per una valorizzazione del riferimento allo stato della tecnica v. ancora la pronuncia del Tribunale di Roma, 10 gennaio 2019, caso “Vimeo”. Come evidenziato nella CTU e poi accolto dal Tribunale di Roma, all’epoca dei fatti la piattaforma nell’adempimento della diligenza professionale ragionevolmente esigibile in base allo stato della tecnica ex art. 1176 co.2 c.c. poteva impiegare il cd. video-fingerprint per individuare
DIRITTO DI INTERNET N. 2/2019
287
GIURISPRUDENZA CIVILE 5. La pronuncia della Corte di cassazione n. 7709 sulla responsabilità per l’attività di caching
La successiva pronuncia della Corte di cassazione 19 marzo 2019 n. 7709 si è invece occupata della responsabilità del prestatore dell’attività di caching ex artt. 13 dir. 2000/31 e 15 d. lgs. 70/2003. Secondo la Suprema Corte, a differenza del prestatore del servizio di hosting, quello di caching fruisce del safe harbour previsto dalla norma europea e da quella nazionale di attuazione a condizione che non modifichi od intervenga sulle informazioni trasmesse, rimanendo quindi in una posizione di neutralità e passività rispetto alle stesse ai sensi degli artt. 13 par. 1 lett. a) dir. 2000/31 e 15 co. 1 d. lgs. 70/2003, nonché dei considerando 42, 43 e 44 della direttiva ora detta. La pronuncia qui commentata disegna allora un esonero da responsabilità decisamente più ampio per il fornitore del servizio di caching (conformemente a quanto precedentemente proposto da una parte della dottrina per l’attività di hosting) (22). E tale affermazione pare confermata dal principio europeo e nazionale di proporzionalità ex art. 5 Trattato sull’Unione europea (TUE) rispetto alla possibilità di intervento sulle informazioni trasmesse da parte di quest’operatore. Infatti il fornitore del servizio di caching è più “lontano” dalle informazioni temporaneamente memorizzate rispetto a quello di hosting e ne ha un minore controllo (23). Ne discende come corollario che il prestatore di tale attività – nella misura in cui rimanga neutrale rispetto alle informazioni temporaneamente memorizzate – concorre nell’illecito (posto in essere da chi ha violato gli altrui diritti d’autore e connessi tramite i suoi servizi) soltanto ove non provveda alla rimozione dei contenuti su ordine dell’autorità giurisdizionale oppure di quella amministrativa. A questo proposito non rileva la segnalazione ancorché circostanziata del titolare dei diritti, come accade invece per il fornitore dell’attività di hosting. In sintesi, la Suprema Corte in questo caso: (i) fonda l’esonero da responsabilità sul carattere neutrale e passivo dell’attività di memorizzazione delle informazioni ex post i contenuti segnalati da RTI a seguito di specifica diffida stragiudiziale. Il concetto di diligenza professionale non è quindi statico, ma deve essere dinamicamente definito in base allo stato della tecnica esistente al momento dei fatti. Per cui l’evoluzione tecnologica può portare a ritenere che un certo comportamento che prima non era ragionevolmente esigibile da parte di un provider lo diventi successivamente a distanza di un certo periodo di tempo. (22) V. in proposito il par. 2 di questo contributo. (23) In proposito la Corte afferma che “Il regime di favore, così attuato, conduce ad un’indubbia minore responsabilità del prestatore rispetto alla figura del cd. hosting provider” e che “in sostanza, una netta distinzione tra i profili di responsabilità dell’hosting provider, da un lato, e del mero caching, dall’altro lato, permea l’intera disciplina eurounitaria, e, di conseguenza, quella nazionale”.
288
DIRITTO DI INTERNET N. 2/2019
(come accade per il cd. hosting passivo), (ii) che viene meno soltanto nell’ipotesi in cui tale prestatore proceda a modificarle interferendo con il flusso informativo temporaneamente memorizzato. In conclusione la sentenza della Corte di cassazione n. 7708 fonda la responsabilità dell’hosting attivo sulla possibilità di interferire con i contenuti “ospitati”, anche tramite la loro selezione, organizzazione, indicizzazione e condivisione (senza arrivare alla modifica delle informazioni). La pronuncia n. 7709 fonda invece l’esenzione da responsabilità del fornitore del servizio di caching proprio sul carattere neutrale e passivo della sua attività, che viene meno soltanto ove lo stesso intervenga sulle informazioni trasmesse modificandole. Ne consegue come corollario che nel primo caso la conoscenza effettiva del prestatore del servizio deriva anche dalla comunicazione del titolare dei diritti; nel secondo è invece necessario in modo più incisivo l’ordine dell’autorità giurisdizionale oppure amministrativa. Come anticipato, tale conclusione pare fondata sul grado di controllo e sulla possibilità di intervento relativo alle informazioni temporaneamente memorizzate oppure ospitate (più facile per un hosting specialmente se attivo, meno per il fornitore del servizio di caching) e pare conforme ai principi europei e nazionali di proporzionalità e ragionevolezza ex artt. 5 TUE e 3 co.2 Cost.
GIURISPRUDENZA CIVILE
Riders e tutele: unicuique suum Corte d ’appello di T orino; sentenza 4 febbraio 2019, n. 26; Pres. Fierro; Est. Rocchetti; M. P., G. C., A.A. R., R. L., V. G. (avv. S. Bonetto e G. Druetta) c. Digital Services XXXVI Italy S.r.l. in liquidazione (avv. P. Tosi, F. Lunardon e G. Realmonte). L’art. 2, comma 1, d.lgs. n. 81/2015 individua un terzo genere, che si viene a porre tra il rapporto di lavoro subordinato di cui all’articolo 2094 c.c. e la collaborazione come prevista dall’articolo 409 n. 3 c.p.c, evidentemente per garantire una maggiore tutela alle nuove fattispecie di lavoro che, a seguito della evoluzione e della relativa introduzione sempre più accelerata delle recenti tecnologie, si stanno sviluppando.
… Omissis … Quello che però rileva, per escludere la sussistenza della subordinazione, è la circostanza che gli appellanti erano liberi di dare, o no, la propria disponibilità per i vari turni (slot) offerti dalla azienda. Erano loro che decidevano se, e quando, lavorare senza dovere giustificare la loro decisione e senza doversi cercare un sostituto, inoltre potevano anche non prestare servizio nei turni per i quali la loro disponibilità era stata accettata, revocando la stessa o non presentandosi (swapfunzione di revoca- e no show- mancata presentazione-). … Omissis … Non è in realtà emerso che qualcuno sia stato costretto a effettuare un turno per il quale aveva dato la disponibilità poi revocata, tramite la funzione swap o nei fatti per mancata presentazione -no show- e, come correttamente evidenziato dal primo Giudice, non è risultato che in tali casi l’azienda adottasse provvedimenti sanzionatori. Quindi mancava il requisito della obbligatorietà della prestazione. In merito la difesa degli appellanti ha fatto riferimento a una serie di sentenze della Suprema Corte riguardanti gli addetti al ricevimento delle giocate presso le agenzie ippiche e le sale scommesse. … Omissis … Ora, pur con la doverosa attenzione a tale autorevole pronuncia, e però considerando che quando si deve analizzare una sentenza non si può che fare riferimento al contesto in cui si è realizzata la prestazione lavorativa oggetto di causa (che era quello delle agenzie ippiche e non del lavoro nelle piattaforme digitali, come nel nostro caso), non ritiene questo Collegio di potere condividere la sentenza nella parte in cui afferma che la libertà di presentarsi o meno a rendere la prestazione (senza dovere fornire giustificazioni in merito) possa configurarsi come elemento “esterno al contenuto del rapporto”. Non solo la modalità di svolgimento della prestazione ma anche l’obbligo di lavorare sono requisiti di fattispecie nell’articolo 2094 cc. Il contenuto dell’obbligazione gravante sul dipendente è testualmente definito dall’articolo 2094 cc come presta-
zione del proprio lavoro, sicché il predetto obbligo entra a far parte del contratto. … Omissis … È innegabile che, a seguito della stipula del contratto di lavoro, in capo al lavoratore sorge l’obbligazione principale di eseguire la prestazione lavorativa, sottostando, entro i limiti sanciti dalla legge e dai contratti collettivi, al potere direttivo e al potere disciplinare del datore di lavoro. Nel caso di specie l’appellata poteva disporre della prestazione lavorativa degli appellanti solo se questi decidevano di candidarsi a svolgere l’attività nelle fasce orarie (slot) stabilite. È vero che si trattava di slot predeterminati dalla società ma è anche vero che la stessa non aveva il potere di imporre ai riders di lavorare nei turni in questione o di non revocare la disponibilità data, a dimostrazione della insussistenza del vincolo della subordinazione. Alla luce di quanto sopra sottolineato assume allora rilevanza (anche se non decisiva ma comunque rafforzativa circa la valutazione autonoma dei rapporti di lavoro oggetto di causa) il nomen juris concordemente adoperato dalle parti in sede di conclusione dell’accordo, proprio ai fini della qualificazione del rapporto medesimo. Pertanto la domanda principale dei ricorrenti/odierni appellanti deve essere respinta. Sull’applicazione dell’articolo 2 del D.lgs. 81/2015. Non ritiene, invece, il Collegio di condividere quanto affermato dal Tribunale in relazione alla invocata (in via subordinata) applicazione della norma di cui all’articolo 2 del D.lgs 81/2015 secondo cui: “A far data dal 1° gennaio 2016, si applica la disciplina del rapporto di lavoro subordinato anche ai rapporti di collaborazione che si concretano in prestazioni di lavoro esclusivamente personali, continuative e le cui modalità di esecuzione sono organizzate dal committente anche con riferimento ai tempi e al luogo di lavoro”. Ritenere, infatti, che una norma di legge non abbia un contenuto precettivo (come pur affermato da autorevole dottrina, tra cui spicca la difesa della appellata) è una valutazione che si comprende in ambito scientifico ma
DIRITTO DI INTERNET N. 2/2019
289
GIURISPRUDENZA CIVILE è preclusa ad un Organo giudicante il quale è tenuto ad applicare le leggi dello Stato in vigore, anche se si tratta di una norma di non facile interpretazione stante il sottile confine tra il dettato della stessa e il disposto dell’articolo 2094 cc. Compito del Giudice è quindi quello di interpretare la norma, delinearne l’ambito di applicazione (il perimetro) e verificare se la fattispecie concreta (oggetto di causa) rientri nella previsione della stessa. Secondo il Collegio la norma in questione individua un terzo genere, che si viene a porre tra il rapporto di lavoro subordinato di cui all’articolo 2094 cc e la collaborazione come prevista dall’articolo 409 n. 3 c.p.c, evidentemente per garantire una maggiore tutela alle nuove fattispecie di lavoro che, a seguito della evoluzione e della relativa introduzione sempre più accelerata delle recenti tecnologie, si stanno sviluppando. Postula un concetto di etero-organizzazione in capo al committente che viene così ad avere il potere di determinare le modalità di esecuzione della prestazione lavorativa del collaboratore e cioè la possibilità di stabilire i tempi e i luoghi di lavoro. Pur senza “sconfinare” nell’esercizio del potere gerarchico, disciplinare (che è alla base della eterodirezione) la collaborazione è qualificabile come etero-organizzata quando è ravvisabile un’effettiva integrazione funzionale del lavoratore nella organizzazione produttiva del committente, in modo tale che la prestazione lavorativa finisce con l’essere strutturalmente legata a questa (l’organizzazione) e si pone come un qualcosa che va oltre alla semplice coordinazione di cui all’articolo 409 n.3 cpc, poiché qui è il committente che determina le modalità della attività lavorativa svolta dal collaboratore. Abbiamo così l’esercizio del potere gerarchico-disciplinare- direttivo che caratterizza il rapporto di lavoro subordinato ex art 2094 cc (in cui il prestatore è comunque tenuto all’obbedienza), l’etero-organizzazione produttiva del committente che ha le caratteristiche sopra indicate (e rientra nella previsione di cui all’articolo 2 del del D.lgs 81/2015) e la collaborazione coordinata ex art 409 n.3 cpc in cui è il collaboratore che pur coordinandosi con il committente organizza autonomamente la propria attività lavorativa (in questo caso le modalità di coordinamento sono definite consensualmente e quelle di esecuzione della prestazione autonomamente). Altro aspetto importante, per stabilire se al caso concreto è applicabile la norma in questione, è quello di accertare se la prestazione lavorativa ha il carattere della “continuatività”. Carattere che, ritiene il Collegio, deve essere valutato in senso ampio tenuto conto della funzione di tutela della norma e della peculiarità (e continua evoluzione) dei rapporti di lavoro che è chiamata a disciplinare.
290
DIRITTO DI INTERNET N. 2/2019
Va quindi intesa da un lato come non occasionalità e dall’altro, riguardo alla esecuzione della prestazione, come svolgimento di attività che vengono (anche se intervallate) reiterate nel tempo al fine di soddisfare i bisogni delle parti. Alla luce di quanto sopra, tenuto conto delle modalità di svolgimento della prestazione lavorativa dei ricorrenti come descritte, ritiene il Collegio che la domanda avanzata dagli stessi in via subordinata debba essere accolta. Gli appellanti, infatti, lavoravano sulla base di una “turnistica” stabilita dalla appellata, erano determinate dalla committente le zone di partenza, venivano comunicati loro tramite app gli indirizzi cui di volta in volta effettuare la consegna (con relativa conferma), i tempi di consegna erano predeterminati (30 minuti dall’orario indicato per il ritiro del cibo). Indubbiamente le modalità di esecuzione erano organizzate dalla committente quanto ai tempi e ai luoghi di lavoro. Inoltre gli appellanti avevano sottoscritto dei contratti di collaborazione nei quali era prevista una durata di alcuni mesi e avevano svolto attività per la società appellata in via continuativa per quasi tutte le settimane in tale arco temporale. Ritiene, infine, questa Corte che l’applicazione dell’articolo 2 d.lgs 81/2015 non comporti la costituzione di una rapporto di lavoro subordinato a tempo indeterminato tra le parti, come chiesto dalla Difesa degli appellanti. La norma stabilisce solo che a far data dal 1°gennaio 2016 si applica la disciplina del rapporto di lavoro subordinato ai rapporti di collaborazione autonoma etero-organizzata (in essere), che però continuano a mantenere la loro natura. Ciò significa che il lavoratore etero-organizzato resta, tecnicamente, “autonomo” ma per ogni altro aspetto, e in particolare per quel che riguarda sicurezza e igiene, retribuzione diretta e differita (quindi inquadramento professionale), limiti di orario, ferie e previdenza, il rapporto è regolato nello stesso modo. Viene, pertanto, fatto salvo l’assetto negoziale stabilito dalle parti in sede di stipulazione del contratto con l’estensione delle tutele previste per i rapporti di lavoro subordinato. Quindi, entro tali limiti, deve essere accolta la domanda degli appellanti volta al riconoscimento del loro diritto a ottenere il trattamento retributivo dei lavoratori dipendenti ma solo riguardo ai giorni e alle ore di lavoro effettivamente prestate. Non essendo l’appellata iscritta ad alcuna associazione imprenditoriale che abbia sottoscritto contratti collettivi, ritiene il Collegio (riguardo all’attività e alle mansioni svolte dai ricorrenti) che debba essere riconosciuta loro (ex art 36 Cost) la retribuzione diretta, indiretta
GIURISPRUDENZA CIVILE e differita stabilita per i dipendenti del V livello del CCNL logistica-trasporto-merci. In tale livello sono, infatti, inquadrati i fattorini addetti alla presa e alla consegna. La società appellata dovrà, così, essere condannata a pagare a ciascuno degli appellanti quanto dovuto in relazione ai giorni e alle ore di attività lavorativa effettivamente prestata dai medesimi, dedotto quanto da loro già percepito – omissis. Sui licenziamenti. La domanda deve essere respinta posto che non vi è riconoscimento della subordinazione. Inoltre i contratti di collaborazione prorogati fino al 30.11.2016 non sono stati rinnovati alla scadenza. L’appellata ha offerto ai riders con contratto in scadenza a novembre 2016 (tra cui gli odierni appellanti) la prosecuzione del rapporto con modalità diverse (retribuzione a cottimo). – Omissis. Non vi è stata pertanto una interruzione, da parte della società, dei rapporti di lavoro in essere prima della loro scadenza naturale. Sul risarcimento del danno per violazione dell’articolo 2087 c.c. Nel caso di specie si deve evidenziare che, a prescindere dall’ambito di applicazione dell’articolo 2087 cc, gli odierni appellanti non imputano alla appellata alcun danno patrimoniale derivante dalla violazione di tale norma (e di norme antinfortunistiche specifiche) e chiedono il ristoro di un danno non patrimoniale non meglio precisato – Omissis. Ora, si rammenta che la Suprema Corte ha affermato che: Possono essere risarcite plurime voci di danno non patrimoniale, purché allegate e provate nella loro specificità, purché si pervenga ad una ragionevole mediazione tra l’esigenza di non moltiplicare in via automatica le voci risarcitorie in presenza di lesioni all’integrità psico-fisica della persona con tratti unitari suscettibili di essere globalmente considerati, e quella di valutare l’incidenza dell’atto lesivo su aspetti particolari che attengono alla personalità del danneggiato. (Sez. 1 - Ordinanza n. 13992 del 31/05/2018, Rv. 649164 - 01). La natura unitaria ed onnicomprensiva del danno non patrimoniale, come predicata dalle sezioni unite della S.C., deve essere interpretata, rispettivamente, nel senso di unitarietà rispetto a qualsiasi lesione di un interesse o valore costituzionalmente protetto non suscettibile di valutazione economica e come obbligo, per il giudice di merito, di tener conto, a fini risarcitori, di tutte le conseguenze derivanti dall’evento di danno, nessuna esclusa, con il concorrente limite di evitare duplicazioni risarcitorie, attribuendo nomi diversi a pregiudizi identici, e di non oltrepassare una soglia minima di apprezzabilità, procedendo ad un accertamento concreto e non astratto, dando ingresso a tutti i mezzi di prova normativa-
mente previsti, ivi compresi il fatto notorio, le massime di esperienza, le presunzioni. (Sez. 3 - Sentenza n. 901 del 17/01/2018, Rv. 647125 - 01) Il danno non patrimoniale, anche nel caso di lesione di diritti inviolabili, quale il diritto alla libera manifestazione del pensiero, non può mai ritenersi “in re ipsa”, ma va debitamente allegato e provato da chi lo invoca, anche attraverso il ricorso a presunzioni semplici. – omissis – (Sez. L, Sentenza n. 7471 del 14/05/2012, Rv. 622793 - 01). Orientamento oramai uniforme scaturente da Cass. SU 26972/2008. La relativa domanda deve, pertanto, essere respinta. Sul risarcimento del danno per violazione della normativa in materia di privacy e sui controlli a distanza. Anche con riferimento a tale domanda il Collegio non può che rilevare come i ricorrenti (odierni appellanti) non abbiano dedotto né provato di avere subito un danno dall’asserito illegittimo utilizzo dei dati personali, limitandosi a chiedere un risarcimento di E 20.000,00 per ciascuno senza nemmeno indicare (come correttamente evidenziato dal Giudice di prime cure) alcun parametro utile alla quantificazione del danno subito. Tra l’altro tale ultimo passaggio motivazionale della appellata sentenza non risulta essere oggetto di alcuna specifica doglianza nei motivi di impugnazione. – Omissis. – Omissis – un danno, per essere risarcito in sede civile, deve essere allegato e provato, cosa che nel nostro caso non è avvenuta. Identiche considerazioni vanno fatte riguardo alla denunciata violazione della normativa sui controlli a distanza, con particolare riferimento alla geo-localizzazione tramite gli smartphone, posto che difetta qualsiasi allegazione sulla sussistenza e l’entità di un pregiudizio (non dimostrabile alla luce di quanto dedotto nel ricorso introduttivo del primo grado di giudizio). In conclusione. L’appello merita quindi di essere accolto in misura parziale, nel senso che deve essere accertato e dichiarato che (ex art 2 d.lgs. 81/2015) gli appellanti hanno il diritto di vedersi corrispondere quanto maturato in relazione alla attività lavorativa da loro effettivamente prestata in favore dell’appellata sulla base della retribuzione, diretta, indiretta e differita stabilita per i dipendenti del V livello CCNL logistica trasporto merci, dedotto quanto percepito. Inoltre l’appellata deve essere condannata a pagare a ciascun appellante il dovuto in conformità a quanto sopra deciso oltre interessi e rivalutazione monetaria dal dovuto al saldo. Le restanti domande avanzate dagli appellanti devono, invece, essere respinte con conseguente assoluzione dalle stesse della appellata. … Omissis …
DIRITTO DI INTERNET N. 2/2019
291
GIURISPRUDENZA CIVILE
IL COMMENTO di Matteo Verzaro
Sommario: 1. Fatto e fattispecie. – 2. Fonti di tutela del platform worker. – 3. Le tutele del lavoro subordinato. – 4. Conclusioni. L’Autore ripercorre la decisione della Corte d’appello di Torino sui riders di Foodora sottolineandone gli aspetti innovativi ed evidenziandone alcune criticità. In particolare, la riflessione si sofferma sul limite della coordinazione al fine di giungere alla distinzione tra collaborazioni ex art. 409, n. 3, c.p.c. e collaborazioni etero-organizzate ex art. 2, comma 1, d.lgs. n. 81/2015. Si indaga, poi, il contenuto e l’applicabilità delle tutele del lavoro subordinato in una prospettiva interna al lavoro autonomo. The Author examines the decision of the Court of Appeal of Turin on Foodora’s riders and highlights its innovative aspects and its critical points. In particular, the reflection focuses on the limit of coordination in order to reach the distinction between collaborations by article 409, no. 3, c.p.c. and collaborations by article 2, paragraph 1, of the legislative decree no. 81/2015. Then, he investigates the content and the applicability of the means of protections of employment in the internal perspective of the riders’ autonomous activity work.
1. Fatto e fattispecie
La sentenza in epigrafe scrive il “secondo capitolo” della vicenda dei ciclofattorini (o riders) di Foodora, offrendo una soluzione innovativa rispetto al Tribunale di Torino, ma non pienamente esaustiva del fenomeno in sé considerato. Se, da un lato, conferma infatti la qualificazione di lavoro autonomo per il rapporto in essere tra le parti, dall’altro, ne specifica la fattispecie riconducendo lo stesso all’interno delle collaborazioni etero-organizzate. Emergono, tuttavia, alcune approssimazioni che non contribuiscono a sciogliere le perplessità sulla concreta e corretta applicazione della fattispecie individuata. Va, innanzitutto, ripercorso il contratto in essere tra le parti al fine di procedere ad una interpretazione complessiva delle principali clausole le une per mezzo delle altre (art. 1363 c.c.). Secondo quanto riportato nella sentenza del Tribunale (1), e qui richiamato, le parti avevano previsto: 1) la forma iuris del contratto di collaborazione coordinata e continuativa; 2) la facoltà del rider di scegliere quale corsa eseguire (“candidarsi o non ad una specifica corsa”); 3) l’esecuzione della prestazione lavorativa “in piena autonomia, senza essere soggetto ad alcun vincolo di subordinazione, potere gerarchico o disciplinare, ovvero a vincoli di presenza o di orario di qualsiasi genere nei confronti della committente”, “fatto salvo il necessario coordinamento generale con l’attività della stessa committente”; 4) il potere di recesso convenzionale di ciascuna parte ex art. 1373, comma 2, c.c.; 5) una penale a favore del committente per il ritardo nell’esecuzione della prestazione convenuta ex art. 1382 c.c.; 6) un compenso di 5,60 euro per ciascun ora di disponibilità del lavoratore.
(1) Trib. Torino 7 maggio 2018, n. 778, in Arg. dir. lav., 2018, 1220, con nota di Biasi, Il tribunale di Torino e la qualificazione dei riders di foodora. V., anche, Tullini, Prime riflessioni dopo la sentenza di Torino sul “caso Foodora”. La qualificazione giuridica dei rapporti di lavoro dei gig-workers: nuove pronunce e vecchi approcci metodologici, in Lav. Dir. Eur., 2018, 1 ss.
292
DIRITTO DI INTERNET N. 2/2019
Emerge, così, che le parti avevano voluto concludere un contratto di collaborazione coordinata e continuativa ex art. 409, n. 3, c.p.c. (nn. 1-3) avente ad oggetto un’attività di presa e consegna di beni alimentari secondo le indicazioni fornite dal committente (“coordinamento generale”). Nell’ambito di tale tipologia, è possibile prevedere il potere di recesso libero di ciascuna parte (n. 4), così come una clausola penale per il ritardo nell’adempimento (n. 5) ed una retribuzione quantitativamente stabilita dalle stesse parti (n. 6). Ora, a questo schema contrattuale bisogna confrontare la fattispecie concreta con riferimento, in particolare, ai nn. 1-3. Infatti, è noto che il nomen iuris dato dalle parti non soddisfa il principio di effettività tra il voluto e il realizzato (2), dovendo riscontrarsi nei fatti il tipo contrattuale adottato. Va qui constatata una distinzione, come evidenziato dalla stessa Corte d’appello, tra modalità di coordinamento e modalità di esecuzione: la prima viene concordata tra le parti e si differenzia dal lavoro subordinato in quanto “il lavoratore coordinato non promette la sua attività personale per il conseguimento di qualsiasi obbiettivo il committente vorrà perseguire, ma promette soltanto l’attività necessaria al perseguimento del programma contrattualmente definito” (3); la seconda è di spettanza esclusiva del collaboratore e concerne l’attività di adempimento dell’obbligazione contrattuale. Da ciò, può notarsi, come ricostruito già
(2) D’Antona, Limiti costituzionali alla disponibilità del tipo contrattuale nel diritto del lavoro, in Arg. dir. lav., 1995, 66, che, sulla scorta delle note pronunce della Corte costituzionale 29 marzo 1993, n. 121 e 31 marzo 1994, n. 114, sottolineava la diretta rilevanza dei “connotati economico sociali del rapporto che effettivamente si instaura tra le parti”. V., ex multis, Cass. 19 agosto 2013, n. 19199, inedita a quanto consta; Cass. 8 aprile 2015, n. 7024, in Lav. giur., 2015, 814, con nota di Santoro, Eterorganizzazione e attività lavorative tipologicamente subordinate; Cass. 1 marzo 2018, n. 4884, in Giur. it., 2018, 1962, con nota di F.M. Putaturo Donati, Sulla distinzione tra rapporto di agenzia e rapporto di lavoro subordinato. (3) Persiani, Individuazione delle nuove tipologie tra subordinazione e autonomia, in Arg. dir. lav., 2005, 23.
GIURISPRUDENZA CIVILE dal giudice di prime cure e come si riscontra dal voluto contrattuale (n. 3), che il ciclofattorino svolgeva un’attività di lavoro realmente autonomo potendo liberamente decidere quando e per quale periodo (“slot”) rendersi disponibile. Occorre notare che la retribuzione (n. 6) era corrisposta sulla base di ogni ora di disponibilità del rider: vale a dire al di là dell’attività di consegna. Si sarebbe potuta, quindi, verificare la situazione di assenza di ordinativi, seppure a slot confermato dal committente, e la conseguente retribuzione del lavoratore, che adempie al coordinamento, seppur questo fosse rimasto “fermo” al punto di partenza, stante l’assenza di consegne. Sennonché, l’aspetto dirimente riguardo alla riconduzione della prestazione al lavoro autonomo ex art. 409, n. 3, c.p.c. ovvero a quello ex art. 2, comma 1, d.lgs. n. 81/2015 passa, inevitabilmente, sui confini della coordinazione. Sul punto, la Corte d’appello adotta un orientamento ondivago, da un lato, richiamando la necessaria incidenza del potere del committente sulle modalità esecutive (4), dall’altro, limitando il concetto di etero-organizzazione alla definizione dei tempi e dei luoghi di lavoro (5). Va, però, notato che nel caso di specie, stante al collaboratore la scelta sulla disponibilità e al committente la conferma della stessa al fine del realizzarsi delle reciproche obbligazioni contrattuali, sono previste delle modalità di “gestione del rapporto” attraverso un’applicazione per smartphone. In particolare, una volta ricevuta la conferma del turno, il ciclofattorino deve recarsi in una delle zone di partenza predefinite ed attivare l’app tramite l’inserimento delle credenziali di accesso (user name e password) e avviare la geolocalizzazione (GPS). Gli viene, così, fornito l’indirizzo del ristorante dove ritirare la consegna e, una volta accettato l’ordine, “il rider deve recarsi con la propria bicicletta al ristorante, prendere in consegna i prodotti, controllarne la corrispondenza con l’ordine e comunicare tramite l’apposito comando della app il buon esito della verifica. A questo punto, posizionato il cibo nel box, il rider deve provvedere a consegnarlo al cliente, il cui indirizzo gli era stato nel frattempo comunicato tramite la app; deve quindi confermare di avere regolarmente effettuato la consegna”. Occorre, allora, domandarsi, sulla base della di (4) La Corte d’appello rileva, infatti, che l’art. 2, comma 1, d.lgs. n. 81/2015 “postula un concetto di etero-organizzazione in capo al committente che viene così ad avere il potere di determinare le modalità di esecuzione della prestazione lavorativa del collaboratore e cioè la possibilità di stabilire i tempi e i luoghi di lavoro. […] e si pone come un qualcosa che va oltre alla semplice coordinazione di cui all’articolo 409, n. 3, c.p.c., poiché qui è il committente che determina le modalità della attività lavorativa svolta dal collaboratore”. (5) “Gli appellanti, infatti, lavoravano sulla base di una “turnistica” stabilita dalla appellata, erano determinate dalla committente le zone di partenza, venivano comunicati loro tramite app gli indirizzi cui di volta in volta effettuare la consegna (con relativa conferma), i tempi di consegna erano predeterminati (30 minuti dall’orario indicato per il ritiro del cibo). Indubbiamente le modalità di esecuzione erano organizzate dalla committente quanto ai tempi e ai luoghi di lavoro”.
stinzione soggettiva previamente prospettata tra modalità di coordinamento e modalità di esecuzione, se un’indicazione così “puntuale” del facere del collaboratore rientri ancora nella coordinazione o rappresenti, invece, una forma di etero-organizzazione della prestazione concordata. Come ha evidenziato la dottrina, la coordinazione rappresenta il “collegamento funzionale” (6) tra organizzazione del committente e prestazione del collaboratore riferito all’attività che questo svolge ed è orientata unicamente alla realizzazione dell’oggetto del contratto. Inoltre, essa trova fondamento sul programma negoziale delle parti dal quale deve emergere una comune determinazione (7) delle modalità, appunto, di coordinamento. Sennonché, le dettagliate indicazioni del committente (“deve recarsi”, “prendere in consegna”, “posizionato il cibo nel box”, ecc.) sembrano esulare il confine delle modalità di coordinamento e varcare quello delle modalità di esecuzione (8). Fintantoché il contratto si limitasse a stabilire la conferma del turno e la zona di partenza, si può ritenere che si tratti di un coordinamento legato all’organizzazione aziendale del committente e ad un funzionale inserimento del collaboratore nella stessa. Non può, però, ritenersi altrettanto laddove venga stabilito il quomodo della prestazione, poiché nelle collaborazioni ex art. 409, n. 3, c.p.c., “il collaboratore organizza autonomamente l’attività lavorativa”. Ecco, allora, che il nomen iuris (n. 1) dato dalle parti non è più sufficiente a rappresentare il tipo contrattuale, cedendo il posto alla fattispecie delle collaborazioni etero-organizzate ex art. 2, comma 1, d.lgs. n. 81/2015. Del resto, anche parte della dottrina ha ritenuto scriminante per l’individuazione della tipologia di collaborazione l’organizzazione da parte del committente delle moda-
(6) Ballestrero, L’ambigua nozione di lavoro parasubordinato, in Lav. dir., 1987, 62. (7) G. Santoro-Passarelli, Il lavoro «parasubordinato», Franco Angeli, 1979, 67. Più di recente, Razzolini, La nuova disciplina delle collaborazioni organizzate dal committente. Prime considerazioni, in WP C.s.d.l.e. “Massimo D’Antona”, IT, n. 266, 2015, 19, all’indirizzo <http://csdle.lex.unict.it/Archive/WP/WP%20CSDLE%20M%20DANTONA/WP%20CSDLE%20 M%20DANTONA-IT/20150921-093331_razzolini_n266-2015itpdf.pdf>. (8) Non sembra possibile, almeno secondo la modesta opinione di chi scrive, che l’incidenza del committente sulle modalità di esecuzione possa sfociare nell’etero-direzione del collaboratore, in quanto tale potere è limitato all’ambito del programma negoziale e alla prestazione contrattualmente definita. Non è, in sostanza, possibile che l’etero-organizzazione si tramuti in una sorta di ius variandi come per il lavoro subordinato. Sembra orientarsi in tal senso G. Santoro-Passarelli, I rapporti di collaborazione organizzati dal committente e le collaborazioni continuative e coordinate ex art. 409 n. 3 c.p.c., in Arg. dir. lav., 2015, 1145, laddove sostiene, nell’ottica di riconduzione delle collaborazioni etero-organizzate nel lavoro subordinato, che: “il committente [ha] il potere, non solo all’inizio del rapporto ma anche di volta in volta nel corso del suo svolgimento, di imporre alla prestazione lavorativa svolta dal collaboratore le modalità spazio-temporali più congeniali al mutevole interesse dell’impresa”.
DIRITTO DI INTERNET N. 2/2019
293
GIURISPRUDENZA CIVILE lità esecutive della prestazione (9), che mutano, qui, il soggetto titolare dell’esclusiva determinazione.
2. Fonti di tutela del platform worker
L’art. 2, comma 1, d.lgs. n. 81/2015 estende alle collaborazioni continuative etero-organizzate la disciplina del rapporto di lavoro subordinato. Si pone qui il problema di maggiore complessità: l’individuazione, cioè, delle tutele estensibili alle collaborazioni etero-organizzate. Prima di soffermarsi su questo rilevantissimo aspetto, occorre constatare come la tutela del lavoro in tutte le sue forme e applicazioni è principio costituzionale (art. 35 Cost.) (10) e, di conseguenza, ogni prestatore di lavoro, non solo subordinato, deve beneficiare di un apparato di tutele. Su questo versante, occorre constatare come l’ordinamento non abbia ancora previsto una tutela specifica per i lavoratori delle piattaforme digitali e l’interpretazione data dalla Corte d’appello sulla tipologia contrattuale degli stessi può rappresentare, almeno in astratto, una forma di tutela già presente nella legislazione vigente. Stante, per ora, la mancata fortuna di questa interpretazione e particolarmente dell’art. 2, comma 1, d.lgs. n. 81/2015 (11), non sono mancate iniziative normative di alcuni enti locali, volte a fornire una base di tutela ai lavoratori digitali. Occorre segnale la Carta dei diritti fondamentali dei lavoratori digitali nel contesto urbano (12) promossa ed adottata insieme alle parti sociali dal Comune di Bologna e la legge della Regione Lazio sulla tutela dei lavoratori digitali (13). C’è, però, da rile (9) Non solo riguardo ai tempi e al luogo, v. Perulli, Lavoro autonomo, le collaborazioni coordinate e le prestazioni organizzate dal committente, in WP C.s.d.l.e. “Massimo D’Antona”, IT, n. 272, 2015, 43, all’indirizzo <http:// csdle.lex.unict.it/Archive/WP/WP%20CSDLE%20M%20DANTONA/ WP%20CSDLE%20M%20DANTONA-IT/20151015-010522_perulli_ n272-2015itpdf.pdf>: “l’elemento discretivo fondamentale risiede in ciò, che la prestazione “organizzata” dal committente soggiace ad un potere di organizzazione, diverso dal potere direttivo di cui all’art. 2094 c.c., ma comunque riconducibile alla nozione di potere giuridico, onde la fattispecie si caratterizza per un più marcato squilibrio contrattuale tra le parti, tale per cui il committente incide organizzativamente sulle modalità esecutive della prestazione, nonché sui tempi e sul luogo di esercizio dell’attività prestatoria “formattando” il substrato materiale della prestazione, che risulta a sua volta “formattata” secondo le esigenze che l’organizzazione, imperativamente ed unilateralmente, pone al lavoratore”. V., anche, Cester, Brevi osservazioni sulle collaborazioni organizzate dal committente (art. 2 del d.lgs. n. 81/2015), in Carinci F. (a cura di), Jobs Act: un primo bilancio. Atti del XI Seminario di Bertinoro-Bologna del 22-23 ottobre 2015, ADAPT, e-Book series n. 54, 2016, 563, all’indirizzo <https://moodle.adaptland.it/pluginfile. php/26830/mod_resource/content/1/ebook_vol_54.pdf>.
(14) V., da ultimo, la norma inserita nel ddl Catalfo sul salario minimo, su cui nota Maresca, Il Sole 24 ore, 4 maggio 2019: “la modifica legislativa intende identificare la etero-organizzazione prevista dal Job Act in modo più rigoroso in quanto per l’applicabilità della disciplina del lavoro subordinato alle collaborazioni richiede l’accertamento delle modalità di esecuzione del lavoro, mentre attualmente l’etero-organizzazione si riferisce in modo generale all’organizzazione del tempo e del luogo. Così facendo, tuttavia, si rischia di confondere la etero-organizzazione con l’etero-direzione. La nuova norma, invece, perde l’occasione di chiarire cosa si debba intendere per disciplina del lavoro subordinato da applicare alle collaborazioni etero-organizzate, che la sentenza della corte di appello di Torino sui riders Foodora ha circoscritto alla solo tutela economica”.
(10) Treu, Art. 35 Cost., in Scialoja, Branca (a cura di), Commentario alla Costituzione, Bologna, 1979.
(15) Cfr. Bottini, Diritti minimi europei non applicabili ai Gig workers, in Il Sole 24 ore, 26 aprile 2019.
(11) V., per tutti, Tosi, L’art. 2, co. 1, d. lgs. 81/2015: una “norma apparente”, in Arg. dir. lav., 2015, 1117.
(16) Dello stesso avviso anche Trib. Milano 10 settembre 2018, n. 1853, in Labor, 20 settembre 2018, con nota di Turrin, Dopo il Tribunale di Torino, anche il Tribunale di Milano esclude la subordinazione per i riders.
(12) Consultabile all’indirizzo <http://www.comune.bologna.it/sites/ default/files/documenti/CartaDiritti3105_web.pdf>. (13) V. <http://www.regione.lazio.it/rl_main/?vw=newsdettaglio&id=4828>.
294
vare come tali norme siano adottate al di là delle competenze legislative e regolamentari dei rispettivi organi: l’art. 117, comma 2, lett. l), Cost. assegna allo Stato la competenza esclusiva nelle materie inerenti l’“ordinamento civile”. Di guisa che, solamente lo Stato a livello centrale può assumere iniziative legislative sul tema (14). Va, inoltre, constatato che il Parlamento europeo ha adottato il 16 aprile 2019 una direttiva sulle “Condizioni di lavoro trasparenti e prevedibili nell’Unione europea”, sebbene non sia ancora stata pubblicata in gazzetta ufficiale, va rilevato (15) che tale atto prevede (art. 1, par. 2) che “la presente direttiva stabilisce diritti minimi che si applicano a tutti i lavoratori nell’Unione che hanno un contratto di lavoro o un rapporto di lavoro quali definiti dal diritto, dai contratti collettivi o dalle prassi in vigore in ciascuno Stato membro, tenendo conto della giurisprudenza della Corte di giustizia”. Sennonché, la definizione data dal diritto, dai contratti collettivi o dalle prassi in vigore, non consentono una estensione di tali previsioni anche ai lavoratori digitali restando legati alla bipartizione lavoro autonomo-lavoro subordinato; e, su questo aspetto, la stessa direttiva (considerando 8) si mantiene cauta: “i lavoratori domestici, i lavoratori a chiamata, i lavoratori intermittenti, i lavoratori a voucher, i lavoratori tramite piattaforma digitale, i tirocinanti e gli apprendisti potrebbero rientrare nell’ambito di applicazione della presente direttiva a condizione che soddisfino tali criteri”. E specifica, subito dopo, che “i lavoratori effettivamente autonomi non dovrebbero rientrare nell’ambito di applicazione della presente direttiva, in quanto non soddisfano tali criteri”. Sull’autonomia dei riders si sono espressi, come visto, in maniera conforme sia il Tribunale di Torino che la Corte d’appello (16) e, dunque, è da ritenere che siano esclusi dal campo di applicazione della direttiva, a meno di non coniugare le collaborazioni etero-organizzate con il lavoro subordinato (17).
DIRITTO DI INTERNET N. 2/2019
(17) Come sostengono, tra gli altri, Bolego, Intervento, in Vallebona (a cura di), Colloqui Giuridici sul Lavoro. Il lavoro parasubordinato organizzato dal committente, Il Sole 24 ore, 2015, 11; Cester, Intervento, in Vallebona
GIURISPRUDENZA CIVILE Deve, così, rilevarsi che la riconduzione, operata dalla sentenza in commento, della prestazione lavorativa dei riders nell’ambito delle collaborazioni ex art. 2, comma 1, d.lgs. n. 81/2015 sia, almeno al momento, l’unico apparato di tutele concretamente utilizzabile
3. Le tutele del lavoro subordinato
L’estensione della disciplina del lavoro subordinato alle collaborazioni etero-organizzate rende applicabili nei confronti dei riders le tutele che discendono dal tipo contrattuale dell’art. 2094 c.c. Al fine di chiarire quali istituti trovano efficacia nei confronti del collaboratore etero-organizzato, è bene elencare le tutele generalmente riconducibili al lavoratore subordinato. Da un’analisi della disciplina legale si possono ricavare i seguenti istituti (18): - retribuzione; - orario di lavoro; - mansioni; - riposi, festività e ferie; - malattia e infortunio; - trattamento di fine rapporto; - tutela al licenziamento illegittimo; - trattamento previdenziale; - indennità a causa di morte; - diritto alla riservatezza; - libertà di espressione; - tutela dell’integrità psico-fisica e della personalità morale. Malgrado la previsione legale, molti di questi istituti – primi tra tutti la retribuzione e le mansioni – non hanno un contenuto definito dalla legge, bensì che viene determinato dalla contrattazione collettiva. Sorge, allora, il problema della estensione della disciplina collettiva anche ai lavoratori etero-organizzati, poiché altrimenti si avrebbero tutele senza effettività (19).
(a cura di), Colloqui Giuridici, cit., 28; Ghera, Intervento, in Vallebona (a cura di), Colloqui Giuridici, cit., 50 ss.; Santoro-Passarelli G., I rapporti di collaborazione organizzati, cit., 1133 ss.; Id., Lavoro eterodiretto, eteroorganizzato, coordinato ex art. 409, n.3, c.p.c., in Riv. giur. lav., 2016, 91 ss. (18) Si segue, qui, l’interpretazione proposta da Ciucciovino, Le «collaborazioni organizzate dal committente» nel confine tra autonomia e subordinazione, in Riv. it. dir. lav., 2016, 321 ss., che esclude l’estensione della disciplina inerente i poteri del datore e i relativi diritti del prestatore stante la differenza qualitativa tra subordinazione ed etero-organizzazione. Propende, invece, per un’estensione integrale la circolare del Ministero del Lavoro e delle Politiche sociali n. 3 del 2016: “la formulazione utilizzata dal legislatore, di per sé generica, lascia intendere l’applicazione di qualsivoglia istituto, legale o contrattuale (ad. es. trattamento retributivo, orario di lavoro, inquadramento previdenziale, tutele avverso i licenziamenti illegittimi ecc.), normalmente applicabile in forza di un rapporto di lavoro subordinato”. (19) È noto come una prima via di soluzione al problema dell’inderogabilità del contratto collettivo fu rappresentata dalla legge n. 741/1959 e dal recepimento, tramite decreto legislativo, dei contratti collettivi, attribuendo così agli stessi valore di norma legale. Soluzione che venne ritenuta costituzional-
È bene rilevare che l’estensione degli effetti collettivi deve trovare, in questo caso, una norma legale che la autorizzi in assenza di una clausola di rinvio all’interno del contratto di collaborazione. Ora, gli istituti che legittimano da parte del giudice l’estensione delle clausole collettive sono quelli contenuti nell’art. 36 Cost.: retribuzione, orario massimo giornaliero, risposo settimanale e ferie annuali. Anche se, come noto, non è il contratto che estende i suoi effetti, ma la sentenza del giudice che rende tali previsioni efficaci nel rapporto oggetto di causa. Risulta, quindi, coerente con la disciplina del lavoro subordinato che l’efficacia delle previsioni contrattual-collettive trovi luogo solamente per le materie in cui sia possibile estendere gli effetti, cadendo altrimenti nella efficacia ultra partes del contratto collettivo. Su tale versante, la sentenza in commento rileva la discrasia della disciplina, seppur non soffermandosi compiutamente sul problema e limitandosi a pronunciarsi sul petitum dei ricorrenti. La Corte precisa, infatti, che “il lavoratore etero-organizzato resta, tecnicamente, “autonomo” ma per ogni altro aspetto, e in particolare per quel che riguarda sicurezza e igiene, retribuzione diretta e differita (quindi inquadramento professionale), limiti di orario, ferie e previdenza, il rapporto è regolato nello stesso modo”. Occorre notare la contraddizione in termini del passaggio: se, da un lato, si afferma che in ogni aspetto esterno alla qualificazione del rapporto trova applicazione la disciplina del lavoro subordinato, dall’altro, si individuano (“e in particolare”) solo alcuni istituti. La loro menzione, tuttavia, non postula la loro applicazione poiché, secondo i giudici d’appello, “entro tali limiti, deve essere accolta la domanda degli appellanti volta al riconoscimento del loro diritto a ottenere il trattamento retributivo dei lavoratori dipendenti ma solo riguardo ai giorni e alle ore di lavoro effettivamente prestate”. Si può, allora, dire, seguendo tale impostazione, che le tutele sono tutte quelle previste dal lavoro subordinato, ma la loro applicazione è legata al petitum del collaboratore ricorrente. La Corte non estende, così, l’intera disciplina, ma solamente quella di contenuto economico secondo il procedimento del combinato disposto dell’art. 36 Cost. e dell’art. 2099, comma 2, c.c. (20). Va rilevato che il ragionamento seguito, seppur rispondente alle richieste dei ricorrenti, non esaurisce il problema e rivela una motimente legittima dalla Corte Costituzionale con la nota sentenza 19 dicembre 1962, n. 106. Va rilevato che quei contratti, recepiti per il tramite di questa legge, restano tuttora come norme legali, aventi quindi valore cogente cosicché, in caso di “assenza” di contratto collettivo, avrebbero piena effettività. (20) “Non essendo l’appellata iscritta ad alcuna associazione imprenditoriale che abbia sottoscritto contratti collettivi, ritiene il Collegio (riguardo all’attività e alle mansioni svolte dai ricorrenti) che debba essere riconosciuta loro (ex art 36 Cost) la retribuzione diretta, indiretta e differita stabilita per i dipendenti del V livello del CCNL logistica-trasporto-merci. In tale livello sono, infatti, inquadrati i fattorini addetti alla presa e alla consegna”.
DIRITTO DI INTERNET N. 2/2019
295
GIURISPRUDENZA CIVILE vazione inesaustiva. Infatti, non viene spiegato il perché di tali tutele rispetto alle altre, esponendosi così alla critica di quella parte della dottrina che dall’applicazione generale della disciplina ne ricava l’estensione del tipo contrattuale del lavoro subordinato (21). Occorre rilevare che la natura autonoma del rapporto voluta dalle parti e confermata dalla giurisprudenza ammette il carattere della continuità dello stesso, ma non necessariamente quello della sua stabilità. In altre parole: dalle tutele che l’ordinamento riconosce al lavoratore subordinato, la Corte d’appello estrae ed applica quelle inerenti i profili economici del rapporto ed esclude la tutela contro il licenziamento illegittimo in quanto “non vi è riconoscimento della subordinazione”. Malgrado la carenza della motivazione, tale esclusione è ammissibile anche sul piano sistematico: infatti, la disciplina del licenziamento è speciale rispetto alla disciplina civilistica del recesso (22) ed ha un ambito di applicazione limitato al lavoro subordinato, di guisa che la sua applicazione ultra limina porrebbe in crisi il tipo lavoro autonomo, seppure etero-organizzato. Va, inoltre, sottolineato, anche se in via generale, che l’interesse del rider non è quello alla stabilità del rapporto, data appunto la sua libertà nello scegliere e nel rendere la prestazione, bensì quello della tutela nel corso dell’adempimento della stessa sia con riguardo ai trattamenti retributivi sia con riguardo ai profili della sicurezza e della tutela contro gli infortuni. Su quest’ultimo aspetto, è bene evidenziare come la Corte d’appello non ritenga di dare efficacia all’art. 2087 c.c. e al T.U. n. 81/2008 in materia di salute e sicurezza nei luoghi di lavoro se non a fronte della prova del danno da parte dei ricorrenti. Occorre notare come l’art. 2 del d.lgs. n. 81/2008 definisca “lavoratore” la “persona che, indipendentemente dalla tipologia contrattuale, svolge un’attività lavorativa nell’ambito dell’organizzazione di un datore di lavoro pubblico o privato, con o senza retribuzione, anche al solo fine di apprendere un mestiere, un’arte o una professione, esclusi gli addetti ai servizi domestici e familiari”. Appare, allora, non coerente rispetto alla lettera della legge richiedere la dimostrazione del danno al fine dell’applicazione della disciplina legale, poiché essa è efficace nel rapporto di collaborazione al di là del verificarsi del danno non patrimoniale.
81/2015 al rapporto oggetto di causa, ed ha, inoltre, corrisposto agli stessi le somme loro dovute per l’attività lavorativa effettivamente prestata in favore dell’appellata sulla base della retribuzione, diretta, indiretta e differita stabilita per i dipendenti del V livello CCNL logistica trasporto merci, dedotto quanto percepito. Si aprono qui le premesse del “terzo capitolo” della vicenda Foodora che avrà luogo dinnanzi alla Corte di Cassazione. La questione fondamentale sarà quella inerente la reale applicazione dell’art. 2, comma 1, d.lgs. n. 81/2015 a questi rapporti e se si presume che questo sarà il principale motivo di ricorso per la convenuta (Foodora), non può non prospettarsi anche da parte dei riders una questione inerente le tutele che la Corte d’appello ha riconosciuto. Da un lato, quindi, la richiesta di un’autonomia classica (ex art. 409, n. 3, c.p.c.) del rapporto, dall’altro, quella di un’ulteriore balzo verso la subordinazione. Al di là degli spoilers, occorre notare che la strada scelta e percorsa dalla Corte d’appello di Torino è, almeno per chi scrive, una soluzione ragionevole sia per quanto concerne l’individuazione della fattispecie di lavoro autonomo che realmente si realizza tra le parti, sia per le tutele che devono essere accordate al collaboratore etero-organizzato. Sul primo versante, infatti, non è stata messa in discussione l’autonomia della tipologia contrattuale, ma è stato chiarito, seppur non in maniera cristallina, sulla scorta della previsione legislativa dell’art. 2, comma 1, d.lgs. n. 81/2015, in cosa consista l’etero-organizzazione e, così, la sua rispondenza nell’organizzazione delle modalità esecutive che, nel caso di specie, ha esercitato il committente. Sul secondo versante, sono state riconosciute le tutele di carattere economico che primariamente vanno a soddisfare l’interesse di questa tipologia di lavoratori flessibili. È innegabile che la categoria dei riders richieda un apparato di tutele e che, parallelamente, esse debbano essere in linea con la natura del rapporto di lavoro e con la libertà che il collaboratore ha di decidere se, quando e per quanto rendere la prestazione in un’ottica, quindi, di proporzionalità delle stesse con l’attività effettivamente resa. In questo un notevole apporto potrebbe essere fornito dalla contrattazione collettiva (23), che deve, però, essere assistita da una norma legale che ne consenta l’intervento.
4. Conclusioni.
(23) Seppur nella diversa prospettiva di inquadramento di questi rapporti nella collaborazione autonoma ex art. 409, n. 3, c.p.c., è del tutto condivisibile quanto scrive De Luca Tamajo, La Sentenza della Corte d’Appello Torino sul caso Foodora. Ai confini tra autonomia e subordinazione, in Lav. Dir. Eur., 2019, 9-10: “una simile formula collaborativa dovrebbe essere assistita da ben altre tutele rispetto a quelle davvero minimali oggi previste, tutele agevolmente differenziabili (anche ad opera della contrattazione collettiva) in funzione delle caratteristiche delle singole figure; non estensibile dovrebbe invece rimanere il regime di garanzie riconosciute al lavoro subordinato, la cui fattispecie dovrebbe mantenere un forte aggancio ai tradizionali e consolidati indici tecnico-giuridici di soggezione ai poteri di direzione, controllo e disciplinare, senza eccessive concessioni a profili di dipendenza socio-economica”.
La sentenza in commento ha, come visto, accolto la domanda presentata in subordine dai ricorrenti, vale a dire l’applicazione della norma di cui all’articolo 2 del d.lgs.
(21) Cfr. Cammalleri, Intervento, in Vallebona (a cura di), Colloqui Giuridici, cit., 20; G. Santoro-Passarelli, Lavoro eterodiretto, eteroorganizzato, cit., 95. (22) Cfr. Roppo, Il contratto, in Iudica-Zatti (a cura di), Trattato di diritto privato, Milano, 2011, 875 ss.
296
DIRITTO DI INTERNET N. 2/2019
GIURISPRUDENZA CIVILE
Illeciti concorrenziali via internet e foro competente. I casi del caricamento su piattaforma Amazon e dell’abusivo utilizzo del domain name Tribunale di T orino; sez. spec. imprese; ordinanza 1 aprile 2019; Giud. Martinat; Tancredi s.a.s. di Tancredi Luisa & C. (Avv. Marcello) c. S.D. (Avv. Russo) e altro. Sulla domanda cautelare per l’inibitoria di atti di concorrenza sleale a mezzo internet (in specie, pubblicizzazione e vendita, sul portale Amazon, di prodotti simili a quelli commercializzati dal titolare del marchio, utilizzando indebitamente il medesimo marchio nelle inserzioni) è competente il giudice del luogo della sede del danneggiato, ivi verificandosi la violazione della privativa ed il danno da calo del fatturato.
…Omissis… Tanto esposto, va quindi premessa la competenza per materia del Tribunale delle Imprese, che va valutata sulla base della prospettazione della parte ricorrente e non sulla base della fondatezza nel merito della domanda, in quanto la causa petendi della domanda trova il suo fondamento in una contestazione di concorrenza sleale interferente con un titolo di proprietà intellettuale, ovvero il marchio Electron. Quanto, invece, alla competenza territoriale del Tribunale delle Imprese di Torino (che è stata contestata dal solo S. e non anche dalla società resistente), il giudicante rileva come il Tribunale adito debba essere ritenuto competente quale forum commissi delicti, da intendere quale Tribunale del luogo in cui ha sede la società danneggiata dall’illecito commesso a mezzo internet (nel caso di specie Tancredi ha sede a Vercelli, città che rientra sotto la competenza del Tribunale delle Imprese di Torino). Come, infatti, recentemente statuito dal Tribunale delle Imprese di Milano (ord. 14/09/2017), “la competenza territoriale sussiste anche quale luogo in cui ha sede la ricorrente, essendo stato il fatto illecito perpetrato a mezzo internet ed essendo la sede della ricorrente il luogo di divulgazione e percezione dell’illecito da parte del soggetto danneggiato, deponendo in tale senso una interpretazione conforme e coerente con quella adottata dalla Corte Giustizia in tema di competenza giurisdizionale ex art. 7.2. reg. CE 1215/2012 (già art 5 reg CE 44/2001). Il luogo in cui l’“evento dannoso è avvenuto o può avvenire” va interpretato nel senso che per tale luogo deve intendersi quello in cui è avvenuta la lesione del diritto della vittima, senza avere riguardo al luogo dove si sono verificate o potrebbero verificarsi le conseguenze future di tale lesione (cfr. Cass. Sez. Un., 05/07/2011, n. 14654;
Cass. Sez. Un., 27/12/2011, n. 28811; Cass. Sez. Un., 5/5/2006, n. 10312; Cass 28811/11; Cass 8076/2012). Nel caso di illecito consistente nella promozione e pubblicizzazione dei beni senza autorizzazione del titolare a mezzo di internet, la lesione del diritto della vittima è stata cagionata nel luogo di visualizzazione della promozione commerciale dei beni. È stato già considerato da questo tribunale che una diversa interpretazione, del disposto dell’art 7 reg. cit, che individuasse la competenza ora nel luogo dell’inserzionista, ora del server, renderebbe eccessivamente onerosa -se non addirittura impossibile - per la vittima dell’illecito l’individuazione della competenza e consentirebbe agli autori degli illeciti, che fanno ricorso al commercio elettronico, di sottrarsi alla competenza giurisdizionale italiana, pur operando sul mercato italiano, quando avessero sede all’estero, applicandosi in base al regolamento il medesimo criterio dell’”evento dannoso”” (così anche Trib. Milano, 15 giugno 2017, N. R.G. 24793/2017). Infatti, “poiché ai sensi dell’art. 120 c.p.i. le azioni fondate su fatti che si assumono lesivi del diritto dell’attore possono essere proposte anche dinanzi all’autorità giudiziaria dotata di sezione specializzata nella cui circoscrizione i fatti sono stati commessi, l’azione potrà essere proposta nel territorio in cui la società attrice ha la sede quando il fatto lesivo sia stato posto in essere attraverso un sito internet (ed è quindi in grado di interferire con l’attività della società attrice, oltre che a produrre danni in tale luogo)”: Tribunale delle Imprese di Torino, ord. 09/11/2015. Si veda al riguardo anche la Corte giustizia UE grande sezione, 17/10/2017, n.194, la quale, pur in altro settore dell’ordinamento, ha statuito che “l’articolo 7, punto 2, del Regolamento (UE) n. 1215/2012 del Parlamento europeo e del Consiglio, del 12 dicembre 2012, concer-
DIRITTO DI INTERNET N. 2/2019
297
GIURISPRUDENZA CIVILE nente la competenza giurisdizionale, il riconoscimento e l’esecuzione delle decisioni in materia civile e commerciale, deve essere interpretato nel senso che una persona giuridica la quale lamenti che, con la pubblicazione su Internet di dati inesatti che la riguardano e l’omessa rimozione di commenti sul proprio conto, sono stati violati i suoi diritti della personalità, può proporre un ricorso diretto alla rettifica di tali dati, alla rimozione di detti commenti e al risarcimento della totalità del danno subito dinanzi ai giudici dello Stato membro nel quale si trova il centro dei propri interessi. Quando la persona giuridica interessata esercita la maggior parte delle sue attività in uno Stato membro diverso da quello della sua sede statutaria, tale persona può citare l’autore presunto della violazione sulla base del luogo in cui il danno si è concretizzato in quest’altro Stato membro”, in tal modo venendo collegato negli illeciti a mezzo internet il centro
degli interessi del danneggiato (che nel caso di specie coincide con la sede legale) alla competenza territoriale. Deve, quindi, essere affermata la competenza territoriale del Tribunale delle Imprese di Torino, quale forum commissi delicti, anche in considerazione della dedotta perdita di fatturato subita dalla ricorrente in conseguenza degli illeciti ascritti ai resistenti, circostanza che non può che essere avvenuta presso la sede legale della ricorrente (solo osservandosi che la valutazione in punto competenza deve avvenire sulla base della mera prospettazione della ricorrente, salvo deduzione di fatti manifestamente artificiosi, ipotesi nella specie non sussistente). …Omissis… P.Q.M. Rigetta l’eccezione di incompetenza territoriale formulata da S.D., titolare della ditta individuale Electronic Megastore. …Omissis….
Tribunale di Bologna ; sez. spec. imprese; decreto 31 dicembre 2018; Giud. Florini; Tecnomeccanica Bellucci s.r.l. c. Tecno10 s.r.l., Recel s.r.l., T.L. e altri. Sulla domanda cautelare inibitoria di atti di concorrenza sleale (in specie, abusivo utilizzo di domain name corrispondente al marchio del concorrente) è competente per territorio il giudice del luogo in cui ha sede l’autore dell’illecito.
…Omissis…. Premesso che trattasi di un’iniziativa cautelare ante causam, ove si fa valere in capo all’odierna ricorrente il diritto ad ottenere tutela avverso le condotte imputabili a controparte, che si risolverebbero sotto plurimi profili in una serie di violazioni degli obblighi di correttezza imprenditoriale, lamentate come gravemente lesive per il regolare andamento del mercato: ciò soprattutto attraverso l’abusivo utilizzo di domain name, di marchio e di logo, con effetto confusorio fra l’attività imprenditoriale svolta dal “Gruppo Bellucci” e quella comunque riconducibile invece alle aziende gestite da L.T. ed altri suoi familiari; è rispetto a tali condotte pregiudizievoli che viene qui invocato un intervento d’inibitoria immediata, con ogni altro provvedimento d’urgenza idoneo a rimediare in via provvisoria alle suddette abusive interferenze, accompagnato da una “penale” e dalla pubblicazione dell’invocato provvedimento. Rilevato come l’azione in esame venga implicitamente ricondotta (deve ritenersi, in mancanza di qualsiasi chiarimento sul punto) dalla difesa di “Tecnomeccanica” alla cognizione del Foro di Bologna quale “locus commissi delicti ex art. 20 c.p.c.”, facendo senz’altro riferimento territoriale al Tribunale competente per il distretto ove ha sede la stessa società ricorrente, collocata appunto nel circondario del Tribunale di Modena (in tale città); ciò mentre la “fonte” dell’imputata violazione risulta vi-
298
DIRITTO DI INTERNET N. 2/2019
ceversa situata in altra regione, operando in Trento e provincia sia le società intimate, sia le persone fisiche indicate quali responsabili degli ipotizzati illeciti; tuttavia, nel nostro caso gli elementi evidenziati dalla società ricorrente non valgono a prospettare in termini dirimenti che nell’ambito della circoscrizione giudiziaria modenese siano ravvisabili situazioni idonee a radicare la cognizione riguardo le vicende in esame: sicché, a fronte della dedotta ricostruzione, ne consegue – in termini ostativi e preliminari – l’incompetenza dell’adito Tribunale di Bologna, quale foro distrettuale dell’impresa. Che invero – malgrado il concetto di “commissione del fatto” venga talora interpretato estensivamente, riferendolo non solo al luogo della condotta, ma anche a quello (od a quelli) in cui se ne producono gli effetti pregiudizievoli – la suddetta locuzione non può comunque comprendere anche il luogo in cui ha sede il soggetto colpito dall’altrui attività illecita, poiché la più ampia latitudine esegetica ammissibile sarebbe da ricondurre al massimo alla nozione prevista nell’art. 5 n.3) della Conv.ne di Bruxelles 27/9/1968 (concernente la competenza giurisdizionale e l’esecuzione delle decisioni in materia civile e commerciale, resa esecutiva con Lg.21 giugno 1971, n. 804), che, nello stabilire il collegamento per individuare la giurisdizione in materia di “delitti e quasi delitti”, lo riferisce al “luogo in cui l’evento dannoso è avvenuto” ebbene, secondo il consolidato insegnamento del S.C., «… per tale luogo deve
GIURISPRUDENZA CIVILE intendersi sia quello in cui è stata compiuta l’azione che ha provocato il danno, che quello in cui il danno si è verificato, con la precisazione che per quest’ultimo deve aversi riguardo al solo danno iniziale, e non anche ai danni conseguenti, assumendo rilevanza esclusivamente il luogo ove il fatto causale ha prodotto direttamente i suoi effetti nei confronti di colui che ne è la vittima immediata…» (così Cass. S.U. n.27403/2005, e cfr. Cass. S.U. n.14654/2011, Cass. 28811/2011, Cass. 20700/2013, ecc.). Che le esposte considerazioni si attagliano senza dubbio altresì alla materia delle iniziative cautelari, appartenendo «… la competenza a provvedere in via d’urgenza ante causam … al … luogo in cui l’istante teme che stia per verificarsi il fatto dannoso – da intendersi come il luogo ove si esplica l’attività, potenzialmente pregiudizievole, da inibire o da disciplinare – e quindi al … luogo della produzione, che è la causa originaria ed unitaria del danno ed alla quale deve attribuirsi rilievo preminente, rispetto alla localizzazione diffusa delle varie componenti del danno stesso» (così, già v. Cass. 11461/91): pertanto, la constatazione della mancanza di tale nesso territoriale con il Tribunale di Modena – che fungerebbe da necessario criterio di collegamento con la Sezione Specializzata qui adita, presso il Tribunale di Bologna – rende ragione della carenza del necessario requisito geografico, invece decisivo ai fini della determinazione della competenza in alternativa rispetto a quello del luogo di provenienza delle attività e delle iniziative definite come concorrenzialmente illecite; il foro da designare – sia in quanto relativo alla sede del soggetto passivo dell’azione cautelare, sia come locus commissi delicti e locus damni, nel senso sopra riconosciuto – risulta quindi correttamente da designare nella Sezione Specializzata in materia d’impresa presso il Tribunale di Trento, quale relativa sede funzionale per il Distretto ove operano appunto tutte le controparti. Che, infine, l’esposta conclusione non muterebbe neppure se volessimo poi prendere in considerazione le particolari
modalità “diffusive” di alcune fra le condotte riconducibili all’ipotizzato illecito attraverso lo strumento telematico, per esempio attraverso l’abusivo impiego dedotto riguardo il nome a dominio “gruppobellucci.com”; invero – secondo un criterio prevalente e condivisibile, non trattandosi di fattispecie riconducibile alla violazione di un “diritto della personalità” – anche «… il luogo di commissione della contraffazione industrialistica a mezzo Internet – che radica la competenza territoriale della sezione specializzata in materia di impresa – si identifica: a) in quello in cui avviene l’inserimento in un sito Internet dei dati illeciti; b) in quello di conclusione del contratto di vendita del prodotto contraffatto, che – di norma, essendo una offerta al pubblico – è quello della sede del venditore, che ivi ha conoscenza dell’accettazione dell’acquirente…» (così Trib. Torino Sez. Spec. Imprese, 19/1/2016, su “Quotidiano Giuridico” 2016): ciò in quanto – secondo il criterio generale di prevalenza del precetto specifico di cui all’art. 120 C.P.I., in riferimento alle norme della disciplina di rito ordinaria (cfr. Cass. 21192/2011) – anche ai nostri fini «… in materia di concorrenza sleale … su di un sito web, la competenza per territorio spetta … al giudice nella cui circoscrizione i fatti sono stati commessi, da individuarsi nel luogo di stabilimento dell’inserzionista (ove sia stato avviato il processo tecnico finalizzato alla visualizzazione dell’annuncio) ovvero, in alternativa, in quello in cui ha sede la società che gestisce il sito …» (così Cass. 5254/2017, e cfr. Cass. S.U. 20700/2013, sul parallelo tema della giurisdizione). …Omissis… P.Q.M. Sul ricorso di cui al procedimento cautelare ante causam n.19842/2018 R.G., dichiara l’incompetenza dell’adito Tribunale di Bologna, per essere competente quella di Trento. …Omissis….
IL COMMENTO di Marcello Stella
Sommario: 1. Attualità del contrasto giurisprudenziale. – 2. Il codice della proprietà industriale non dà spazio al forum damni. – 3. Rilevanza del luogo della condotta illecita, e sua localizzazione. La Cassazione ha da tempo chiarito che il foro dell’art. 20 c.p.c. non è applicabile agli illeciti concorrenziali interferenti con diritti di privativa industriale. Una parte della giurisprudenza di merito persiste tuttora ad attribuire rilevanza al luogo di verificazione del danno ai fini della soluzione della questione di competenza territoriale. Tale soluzione mal si concilia però con i principii dell’ordinamento e con le speciali norme dettate dal codice della proprietà industriale. Le soluzioni adottate a proposito della diffamazione a mezzo internet del pari non sono suscettibili di applicazione analogica. It is now a well-established case law by the Italian Supreme Court that the forum under Art. 20 of the civil procedure code is not applicable to claims regarding the infringement of industrial property rights. Yet, some first-instance courts still hold that the place where the damage occurred may be relevant to determine the jurisdiction of the court seized. That case law, however, hardly reconciles with the principles of the legal system and the special rules of the industrial property code. The rationale of decisions on internet defamation cases may not be applied by analogy either.
DIRITTO DI INTERNET N. 2/2019
299
GIURISPRUDENZA CIVILE 1. Attualità del contrasto giurisprudenziale
Le persistenti incertezze della giurisprudenza nella individuazione del foro competente sulle controversie derivanti da illeciti concorrenziali a proiezione geografica ubiqua, perché commessi a mezzo di internet, sono ben testimoniate dai provvedimenti in epigrafe, che risolvono la questione di competenza territoriale in senso diametralmente opposto. Nel caso deciso dal tribunale di Torino, la ricorrente cautelare, con sede in Vercelli, qualificatasi come licenziataria di un marchio, lamentava la violazione dei suoi diritti di privativa da parte di una ditta individuale con sede a Napoli, accusata di offrire in vendita sul sito Amazon.it prodotti analoghi a quelli commercializzati dalla ricorrente, usurpandone il marchio e le fotografie che accompagnavano la descrizione dei prodotti. Il tribunale torinese della sede della ricorrente si è ritenuto competente: sia quale giudice del luogo di verificazione del fatto illecito, ravvisato nella illecita interferenza del resistente con il diritto di privativa della ricorrente, sia quale giudice del luogo di verificazione del danno, additato nella diminuzione del fatturato della ricorrente. Nel giungere a tale soluzione, il tribunale torinese s’è dichiaratamente allineato ad una cospicua case law milanese, peraltro orientata nel senso che in caso di commercializzazione di prodotti contraffatti a mezzo internet “la lesione del diritto della vittima è cagionata nel luogo di visualizzazione della promozione commerciale dei beni” (1). Cioè ovunque. Nel caso alle cure del tribunale di Bologna, la ricorrente cautelare, con sede in Modena, chiedeva invece che alle società resistenti, aventi sede a Trento, venisse inibito l’uso di un domain name confusorio, perché identico al marchio della ricorrente. Il tribunale felsineo (con decreto inaudita altera parte, senza attendere di vedere se le resistenti avrebbero eccepito o meno la incompetenza territoriale) declinava la propria competenza in favore del tribunale di Trento, ritenendo che in tale circondario fosse da collocarsi l’illecito, ed escludendo, per contro, la rilevanza del luogo della sede della ricorrente “…non trattandosi di fattispecie riconducibile alla violazione di un diritto della personalità”.
(1) Trib. Milano 19 giugno 2017, disponibile al seguente link <https://www.giurisprudenzadelleimprese.it/wordpress/wp-content/uploads/2017/07/20170619_RG24793-2017-1.pdf>. Per una rassegna sul frastagliato e disarmonico panorama giurisprudenziale si v. Di Fazzio, Art. 120 c.p.i., in Commentario breve alle leggi su proprietà intellettuale e concorrenza, a cura di Marchetti e Ubertazzi, Padova, 2012, 514 ss.; Passanante, Art. 130 c.p.i., ivi, 626 ss.; nonché Galli, I domain names nella giurisprudenza, Milano, 2001.
300
DIRITTO DI INTERNET N. 2/2019
2. Il codice della proprietà industriale non dà spazio al forum damni
Al di là della variabilità oggettuale delle controversie, entrambe le decisioni sono caratterizzate dal riferimento alla giurisprudenza comunitaria in tema di giurisdizione internazionale su domande in materia extracontrattuale. Giurisprudenza che, come noto, dalla celeberrima pronuncia Bier c. Mines de Potasse d’Alsace (1976) in avanti, professa la rilevanza, se diversi, di entrambi i luoghi in cui la fattispecie generatrice di responsabilità si lascia scomporre: e così sia del luogo della condotta che cagiona il danno, sia del luogo in cui il danno si è verificato (2). Il voler guardare alle soluzioni elaborate dalla Corte di giustizia UE circa l’interpretazione da darsi alla nozione di “evento dannoso” (la cui ambigua formulazione, dalla Convenzione di Bruxelles del 1968 sino al Regolamento UE 1215/2012, è rimasta invariata) è una costante che accomuna la giurisprudenza in materia, che si rivela tuttavia poco fruttuosa, se non del tutto fuorviante, allorché si tratti di risolvere la ben distinta e non sovrapponibile questione di competenza per territorio. La competenza territoriale è disciplinata esclusivamente dalla lex fori, senza che possano assumere rilevanza i criteri giurisdizionali uniformi e la loro cospicua glossa sopranazionale. Per impostare la soluzione in modo ossequioso della garanzia del giudice naturale precostituito per legge (art. 25 Cost.) vanno dunque, anzitutto, individuate le regole di competenza applicabili. La giurisprudenza di legittimità ha da tempo chiarito che le regole di competenza territoriale previste dal c.p.c., e segnatamente quella del foro facoltativo dell’obbligazione (art. 20 c.p.c.), si applicano soltanto alle controversie in materia di concorrenza sleale c.d. “pura”, ossia non aventi ad oggetto diritti di proprietà industriale o d’autore (3). Qualora l’oggetto della domanda sia invece costituito da un diritto di proprietà industriale o da un credito risarcitorio che dipenda dalla violazione di una privativa industriale, i fori facoltativi del c.p.c. cedono il passo (4). Il plesso di norme dettate dall’art. 120 c.p.i. configura un insieme conchiuso, che si qualifica come lex specialis
(2) Diversamente da quanto avveniva in relazione all’art. 4, n. 2, c.p.c., il cui richiamo al luogo in cui è sorta l’obbligazione veniva interpretato come riferentesi specificamente al perfezionamento della fattispecie generatrice di responsabilità aquiliana, come sottolineato da Consolo, Spiegazioni di diritto processuale civile, vol. I, Le tutele (di merito, sommarie ed esecutive) e il rapporto giuridico processuale, Torino, 2017, 433. (3) Da ultimo Cass. 14 gennaio 2019, n. 664. (4) Cass. 1 marzo 2017, n. 5254; Cass. 27 ottobre 2016, n. 21776; Cass. 13 ottobre 2011, n. 21192.
GIURISPRUDENZA CIVILE prevalente sulle regole di competenza ordinarie approntate dal codice di rito. Si noterà, a questo punto, che l’art. 120, comma 6, c.p.i., là dove consente alla vittima dell’illecito di rivolgersi al giudice “nella cui circoscrizione i fatti sono stati commessi”, detta un criterio di collegamento eminentemente fattuale (disancorato da ogni valutazione giuridica sul luogo di insorgenza del debitum), la cui ratio ispiratrice non stenta a cogliersi nell’intento di favorire la vicinanza dell’organo giudicante agli elementi di lite. Che tale foro aggiuntivo, in concreto, e specie a fronte di illeciti commessi a mezzo internet, possa poi rivelarsi non distante o spesso e volentieri coincidente col domicilio del danneggiante, e dunque poco attraente per il danneggiato (che vedrà di molto ridursi i margini di scelta del foro), è argomento non spendibile per giustificare un ripiego sul più “generoso” foro facoltativo dell’art. 20 c.p.c. Alla tentazione di recuperare uno spazio di rilevanza al locus damni mediante operazioni cosmetiche che pretenderebbero, di volta in volta, di traslare le soluzioni adottate dalla Corte di giustizia UE o dalla S.C. in tema di diffamazione a mezzo televisivo o internet, s’oppone il chiaro tenore testuale dell’art. 120, comma 6, c.p.i. La norma innegabilmente spezza la fattispecie civilistica della obbligazione risarcitoria, che vuole che il vincolo debitorio “sorga” sempre e solo nel momento e nel luogo in cui il danno si produce per la vittima, non prima, ed impone, beninteso ai soli fini della competenza territoriale, d’aver riguardo unicamente al luogo di materiale compimento dell’atto o fatto lesivo, a prescindere da dove gli effetti pregiudizievoli (danno-conseguenza) della condotta antigiuridica si producano nella sfera del danneggiato. La scelta di concentrare nel locus commissi delicti (ad esclusione, ripetesi, del locus damni) il foro facoltativo, sulle orme dell’art. 57 l.m., è stata presa nel 2005. Il fenomeno di internet, quale nuovo terreno dell’agone concorrenziale, s’era allora già imposto alla attenzione di giurisprudenza e dottrina (5). Fu dunque una scelta compiuta re bene perspecta. Le preoccupazioni talora espresse dalla dottrina (6), circa l’inadeguatezza del locus commissi delicti a fornire una (5) Sulla tutelabilità dei segni distintivi dell’imprenditore da usurpazioni commesse a mezzo internet si v., tra i primi, Cassano, Domain name grabbing: l’incetta del nome di dominio dell’impresa celebre, in Corr. giuridico, 2000, 1367 ss.; Sebastio, L’utilizzo del domain name su un sito internet con possibile pregiudizio del titolare del marchio concorrente (possibili connessioni con la normativa sulla tutela della concorrenza e del mercato e della pubblicità ingannevole e comparativa), in Giust. civ., 2001, 1104 ss. (6) Alludiamo a Di Ciommo, Dispute sui “domain names”, fatti illeciti compiuti via Internet ed inadeguatezza del criterio del “locus commissi delicti”, in Foro it., 2001, I, 2033 ss., che nella nota critica a Trib. Verona 18 dicembre 2000, auspicava l’estensione alle liti in materia di concorrenza
praticabile alternativa per il danneggiato, non sembrano del resto godere di saldi addentellati sistematici. Si fa perlopiù leva sulle asserite maggiori difficoltà per il danneggiato nel dover “sopportare spese legate alla necessità di individuare il luogo di gestione del sito nonché il rischio di non riuscire in tale individuazione” (7). Tuttavia, l’ignota identità del danneggiante non tanto darà vita a un problema di competenza territoriale (ben potendo sopperire l’art. 18, comma 2, c.p.c.), quanto, a monte, di nullità della domanda giudiziale per assoluta incertezza del convenuto. Non va poi trascurato che il forum commissi delicti è anche storicamente innervato da ragioni pubblicistiche senz’altro prevalenti sulle aspirazioni privatistiche dell’attore a rivolgersi ad un foro diverso da quello del danneggiante (8). Nessun riguardo per l’attore autorizza dunque a dilatare oltre il segno la regola di competenza fissata dal c.p.i.
3. Rilevanza del luogo della condotta illecita, e sua localizzazione
Seguendo le coordinate sistematiche sopra tracciate, reciso ogni incongruo accostamento alla casistica in tema di diffamazione a mezzo internet, potrà certo dirsi corretta la pronuncia del tribunale di Bologna, che a fronte dell’illecito utilizzo di un domain name confusorio ha individuato la competenza del giudice del luogo in cui veniva gestito il sito internet con denominazione usurpante (in casu coincidente con il giudice del luogo della sede della società convenuta). dell’orientamento giurisprudenziale che consente al diffamato a mezzo internet di agire avanti ai giudici del luogo del proprio domicilio. Adesiva rispetto alla decisione del tribunale scaligero era invece Asprella, Brevi cenni su Internet, concorrenza sleale e giudice competente per territorio, in Giur. merito, 2001, 916 ss., la quale però ragionava nel senso di potersi scorgere un parallelismo tra la sentenza veronese e la giurisprudenza di legittimità in tema di diffamazione a mezzo televisivo. Si ricorderà che Cass. 14 luglio 2000, n. 9369 aveva ritenuto che il luogo in cui sorge la obbligazione risarcitoria per lesione del diritto alla reputazione sarebbe quello in cui sono situati gli studi televisivi. Tale criticabile soluzione è stata giustamente superata da Cass. Sez. Un. 13 ottobre 2009, n. 21661, secondo cui la obbligazione risarcitoria sorge nel momento in cui la notizia screditante giunge nel luogo di domicilio o di residenza del danneggiato: ivi si sprigiona infatti la (maggiore) potenzialità lesiva della notizia diffamatoria. Ivi si colloca dunque anzitutto il locus commissi delicti (che poi tale luogo coincida anche col locus damni è un posterius irrilevante nella dinamica della fattispecie). Nella ipotesi, infine, di mera registrazione di un domain name confliggente con un marchio altrui, non seguita però dalla attivazione del sito internet, reputiamo persuasiva la tesi di Sammarco, Competenza territoriale in materia di illecita utilizzazione di nome a dominio, in Dir. inf. e inform., 2001, 236 ss., secondo cui il forum commissi delicti dovrebbe poter essere individuato nel luogo in cui ha sede la autorità di registrazione che abbia assegnato quel dominio in accoglimento della richiesta formulata dal danneggiante. (7) Di Ciommo, op. cit., 2042. (8) De Cristofaro, Il foro delle obbligazioni. Profili di competenza e giurisdizione, Torino, 1999, 126-127.
DIRITTO DI INTERNET N. 2/2019
301
GIURISPRUDENZA CIVILE La più recente decisione del tribunale di Torino, al pari dei precedenti milanesi richiamati nell’ordinanza, appare invece contra legem. Essa attribuisce rilevanza al luogo di verificazione del danno subito dalla vittima dell’illecito e spalanca così le porte ad un indiscriminato e sistematico ricorso al forum actoris. Soluzione, per ciò solo, contraria al principio generale actor sequitur forum rei (e in contrasto con la policy della prevedibilità del foro) consacrato negli artt. 18-19 c.p.c., e che ovviamente informa anche l’art. 120, comma 1, c.p.i. Piuttosto è da chiedersi, sempre con riferimento alla casistica di vendita di prodotti contraffatti su portali di e-commerce, se il danneggiato possa alternativamente radicare l’azione nel luogo in cui ha sede il provider, ove tale luogo sia situato in Italia e risulti diverso da quello in cui risiede l’autore dell’illecito. La risposta dev’essere, a nostro avviso, positiva. Con l’avvertenza che per radicare la competenza territoriale del giudice di tale luogo, non vi sarà alcun bisogno di prospettare una concorrente responsabilità in vigilando del provider, né di estendere anche a tale soggetto la domanda e il contraddittorio. Difatti, la competenza territoriale potrà utilmente radicarsi in tutti i luoghi toccati dalla condotta illecita del danneggiante: dal punto di origine, ossia il luogo di predisposizione e invio della offerta (che coinciderà tipicamente con il forum rei), al luogo di destinazione: ossia dove l’offerta perviene al gestore del sito di e-commerce e viene pubblicata (9). Nell’era di internet potrà stupire constatare la pulsante attualità dell’insegnamento della dottrina tedesca del secolo scorso che, sulle orme di Wach, e sulla base della dizione letterale del § 32 ZPO (ben diversa dal nostro art. 20 c.p.c., ma in tutto simile all’art. 120, comma 6, c.p.i.), si dice concorde nel rinvenire una pluralità di fori competenti, identificabili ovunque si siano sviluppate le azioni illecite del danneggiante (“unerlaubten Handlungen”), non solo nella loro totalità ma anche nelle singole parti essenziali (“einzelne Ausführungshandlungen”) (10). Questa stessa non più verde imposta-
zione dogmatica, si badi, potrà sovvenire egregiamente, e portare così ad una moltiplicazione dei fori competenti, a scelta dell’attore, anche nei casi di compimento di illeciti concorrenziali con modalità particolarmente insidiose, note come cybertravelling (11), e consistenti nel tentativo di occultamento della posizione dell’autore dell’illecito mediante connessione da reti private (VPN) o da remoto. Ovunque si possano localizzare fisicamente i luoghi (che potranno coincidere con la sede del gestore della rete VPN o del servizio di remote access) da cui l’autore dell’illecito “transita” per attuare la condotta di contraffazione online, in tali luoghi si potrà radicare la competenza territoriale in base all’art. 120, comma 6, c.p.i. Irrilevante, invece, ai fini del riparto interno della giurisdizione, la pletora degli occasionali luoghi, disseminati su tutto il territorio nazionale, in cui i consumatori possono visualizzare l’offerta dei prodotti contraffatti e maturare le loro scelte d’acquisto (12). Il rischio di assecondare siffatte letture esorbitanti delle norme sulla competenza, è che gli operatori della rete – si pensi a piccole e medie imprese che si affaccino alle vendite online – si ritrovino loro malgrado assoggettati alla competenza di imprevedibili fori.
(9) In rapporto alla fattispecie di diffamazione a mezzo internet, favorevoli ad attribuire rilevanza ai luoghi in cui il danneggiante realizza il “caricamento” (uploading) del messaggio offensivo ed al luogo in cui si trova il server del provider del servizio di newsgroup, già Buffa e Cassano, Diffamazione a mezzo Internet: competenza per territorio, in Corr. giuridico, 2002, 817 ss., 826-827.
(12) Nel senso, invece, che “in presenza di condotte illecite consumate mediante l’uso di mezzi di comunicazione telematici e di massa, e, più correttamente, come nella fattispecie, attraverso internet, trattandosi di rete i cui siti sono accessibili da qualunque luogo, con una destinazione potenziale alla diffusione a livello mondiale e non solo sull’intero territorio nazionale la lesione del diritto deve considerarsi verificata in tutti i luoghi in cui la divulgazione avviene, e il giudice territorialmente competente a decidere la causa a norma dell’art. 20 c.p.c. è, con riferimento al locus commissi delicti, il giudice di ciascun luogo in cui si è verificata la divulgazione medesima, idonea a pregiudicare l’altrui diritto”, Trib. Cagliari 28 febbraio 2000, in Nuova giur. civ. comm., 2000, I, 535, con nota di Palazzolo, In tema di conflitto tra marchi e nomi di dominio. Trattasi però di giurisprudenza superata de lege lata, con l’avvento dell’art. 120, comma 6, c.p.i.
(10) Un ampio resoconto del pensiero degli autori tedeschi (Nikisch, Rosenberg, Schönke, Stein-Jonas, etc.) è in Lancellotti, Il foro facoltativo per le cause relative a diritti di obbligazione da fatto illecito, in Riv. trim. dir. proc. civ., 1955, 691 ss., spec. 699 e nota 11. Del Wach rimane celebre l’esempio bucolico del gregge affetto da epidemia e sfuggito al controllo dell’allevatore, i cui esemplari cagionino danni a terzi vagando in altri pascoli.
302
DIRITTO DI INTERNET N. 2/2019
(11) Fenomeno ampiamente studiato dalla dottrina nordamericana: v. anche per ulteriori riferimenti Trimble, The Future of Cybertravel: Legal Implications of the Evasion of Geolocation, in Fordham Intellectual Property, Media and Entertainment Law Journal, 2012, 567 ss.
GIURISPRUDENZA CIVILE
Foto di minori e autorizzazione dei due genitori Tribunale
di
Rieti ; sezione civile; ordinanza 7 marzo; Giud. Sbarra.
L’inserimento di foto di minori sui social network deve considerarsi un’attività in sé pregiudizievole in ragione delle caratteristiche proprie della rete Internet. Il web, infatti, consente la diffusione di dati personali e di immagini ad alta rapidità, rendendo difficoltose ed inefficaci le forme di controllo dei flussi informativi ex post (1). L’inserimento di foto di minori sui social network costituisce comportamento potenzialmente pregiudizievole per essi in quanto ciò determina la diffusione delle immagini fra un numero indeterminato di persone, conosciute e non, le quali possono essere malintenzionate e avvicinarsi ai bambini dopo averli visti più volte in foto on-line, non potendo inoltre andare sottaciuto l’ulteriore pericolo costituito dalla condotta di soggetti che “taggano” le foto on-line dei minori e, con procedimenti di fotomontaggio, ne traggono materiale pedopornografico da far circolare fra gli interessati, come ripetutamente evidenziato dagli organi di polizia. Il pregiudizio per il minore è dunque insito nella diffusione della sua immagine sui social network (2). La pubblicazione delle foto di minori sui social network è illecita ove avvenga senza il consenso di entrambi i genitori e può essere rimossa, ricorrendo alla tutela cautelare d’urgenza ex art. 700 c.p.c. (3).
…Omissis… Considerato che con il ricorso di cui in epigrafe l’odierna ricorrente, I.L., assumeva: 1. Che in data 10.06.2000 contraeva matrimonio con D.I. Dall’unione nascevano i figli M., il 17.03.2007, e L., il 06.12.2010. I coniugi si separavano con separazione consensuale omologata il 19.12.2012 e successivamente divorziavano con sentenza del Tribunale di Roma del 16.11.2018. I figli erano affidati congiuntamente ai genitori con collocazione presso la madre; 2. Che già prima del divorzio l’attuale compagna di D.I., F.G., era solita pubblicare, sul suo profilo Facebook e su altri social networks, le foto dei figli minorenni della ricorrente e dell’ex marito nonchè dei commenti indirizzati, seppure senza farne il nome, alla prima; 3. Che, quindi, essendo risultati vani gli inviti per le vie brevi effettuati da I.L. sia alla medesima che a D.I., la ricorrente inoltrava formale diffida a mezzo di lettera raccomandata del 24.01.2018, solo a seguito della quale la F.G. rimuoveva le foto e i commenti; 4. Che, tuttavia, in un secondo momento, la pubblicazione delle foto dei minori riprendeva, seppur con il viso coperto, seguita da commenti offensivi sia di F.G. sia delle cognate della medesima; 5. Che, quindi, in sede di divorzio congiunto la ricorrente I.L. pretendeva l’inserimento della seguente condizione: “la pubblicazione di fotografie dei figli minori sui social network sarà consentita esclusivamente ai
genitori e non a terze persone, salvo consenso congiunto di entrambi”; 6. Che, tuttavia, dopo il divorzio la pubblicazione riprendeva, sia su Facebook sia su Instagram, senza alcun oscuramento nemmeno del viso; 7. Che, dunque, la pubblicazione senza scopo di lucro di immagini dei minori integrerebbe la violazione dell’art. 10 c.c., nonché degli artt. 4, 7, 8 e 145 del D.lgs. 196/2003, e degli artt. 1 e 16, 1° comma, della Convenzione di New York sui Diritti del Fanciullo; 8. Che il pregiudizio per un minore sarebbe insito nella diffusione della sua immagine, in quanto l’inserimento di foto di minori sui social network costituisce comportamento potenzialmente pregiudizievole per essi, determinando la diffusione delle immagini fra un numero indeterminato di persone, conosciute e non, le quali possono essere malintenzionate e avvicinarsi ai bambini, non potendosi trascurare il pericolo che qualcuno, con procedimenti di fotomontaggi ne tragga materiale pedopornografico da far circolare in rete; 9. Che il periculum in mora deriverebbe dal tempo occorrente per far valere il diritto in via ordinaria, potendo comportare, per i minori, un pregiudizio imminente ed irreparabile. Preso atto che, con la propria comparsa di costituzione e di risposta, F.G. assumeva: • che il periculum deve essere presente non solo al momento della proposizione del ricorso ma anche in corso di causa, dovendosi reputare insussistente in caso di tardiva proposizione della domanda cautelare, ossia quando il ricorrente invochi la tutela
DIRITTO DI INTERNET N. 2/2019
303
GIURISPRUDENZA CIVILE d’urgenza ex art. 700 c.p.c. dopo che sia trascorso (dall’evento lesivo) un periodo di tempo pari a quello che sarebbe stato occorrente per tutelare il diritto controverso per mezzo di un ordinario giudizio di merito; • che, quanto alla pubblicazione delle foto, la medesima I.L. sosterrebbe che le foto dei minori sono state rimosse sin dal gennaio 2018, in seguito a diffida inoltrata alla resistente. Ne discenderebbe l’insussistenza del periculum, stante la condotta adempiente della F.G., confermata ufficialmente dalla stessa difesa della ricorrente; • che, quanto ai commenti, trattasi di presunti commenti offensivi da parte di soggetti terzi, sui quali la F.G. non poteva e non può avere alcun preventivo controllo, peraltro in assenza di un espresso riferimento alla ricorrente; • che, dunque, la fattispecie in esame denoterebbe la totale assenza di qualsivoglia elemento (quantomeno il periculum) che giustifichi il ricorso alla tutela in via d’urgenza, atteso che dal gennaio 2018 la F.G. spontaneamente dava seguito alle richieste della ricorrente spiegate in via di diffida, come affermato dalla difesa della stessa I.L. in sede di ricorso introduttivo. Alla prima udienza del 19.02.2019, il Giudice concedeva temine per note di replica a parte ricorrente, riservando all’esito la decisione. Osserva … Omissis… Passando, quindi, all’esame del merito della questione, onde verificare la sussistenza dei presupposti dello strumento cautelare nel particolare ambito della pubblicazione e divulgazione, a mezzo social networks, di immagini e dati afferenti soggetti minori. Con la necessaria premessa che i requisiti del fumus e del periculum andranno valutati tenendo conto di elementi quali l’a – territorialità della rete, che consente agli utenti di entrare in contatto ovunque, con chiunque, spesso anche attraverso immagini e conversazioni simultanee, nonché la possibilità, insita nello strumento, di condividere dati con un pubblico potenzialmente mondiale e globalizzato, per un tempo non circoscrivibile. Al riguardo, si osserva che la tutela della vita privata e dell’immagine dei minori ha trovato tradizionalmente cittadinanza, nel nostro ordinamento, nell’art. 10 c.c. (concernente la tutela dell’immagine); nel combinato disposto degli artt. 4,7,8 e 145 del d. lgs. 30.06.2003 n. 196 (riguardanti la tutela della riservatezza dei dati personali) nonché negli artt. 1 e 16 I co. della Convenzione di New York del 20-11-1989, ratificata dall’Italia con legge 27-5-1991 n. 176 (laddove, in particolare, l’art. 16 stabilisce che: “1. Nessun fanciullo sarà oggetto di interferenze arbitrarie nella sua vita privata, nella sua fami-
304
DIRITTO DI INTERNET N. 2/2019
glia, nel suo domicilio o nella sua corrispondenza e neppure di affronti illegali al suo onore e alla sua reputazione. 2. Il fanciullo ha diritto alla protezione della legge contro tali interferenze o tali affronti”). Con l’evoluzione dei sistemi di diffusione delle immagini legate allo sviluppo del web, lo scenario normativo è mutato, adattandosi alle nuove realtà digitali, laddove: - Il Considerando n. 38 del regolamento UE n. 679/2016 del 27.04.2016 (entrato in vigore il 25.05.2018) dispone che: “i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali[…]”; - L’ art. 8 del citato regolamento – rubricato Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione – prevede che “qualora si applichi l’articolo 6, paragrafo 1, lettera a) [il consenso], per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.” Pertanto, riprendendo la distinzione fra i c.d. petite enfantes e grands enfantes, già esistente nel diritto francese, la nuova disciplina comunitaria impone che il consenso necessario ai fini del trattamento dei dati personali del minore, e dunque anche per le immagini che possano identificarlo, nel caso di minori di anni sedici, sia prestato dai soggetti esercenti la responsabilità genitoriale, in vece dei propri figli, concordemente fra loro e senza arrecare pregiudizio all’onore, al decoro e alla reputazione dell’immagine del minore (art. 97 L.n. 633/41). In tale prospettiva, il legislatore italiano, col decreto di adeguamento del Codice Privacy (D. Lgs. 101/18 art. 2 quinquies), ha fissato il limite di età da applicare in Italia a 14 anni, espressamente prevedendo che, con riguardo ai servizi della società dell’informazione, il trattamento dei dati personali del minore di età inferiore a quattordici anni è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale. Tali considerazioni in punto di fumus boni iuris della domanda cautelare avanzata sono, peraltro, ulteriormente rafforzate dalla circostanza che, in sede di divorzio congiunto, I.L. e D.I. hanno espressamente stabilito che “la pubblicazione di fotografie dei figli minori sui social network sarà consentita esclusivamente ai genitori e non a terze persone, salvo consenso congiunto di entrambi”.
GIURISPRUDENZA CIVILE Con tale previsione, dunque, i medesimi ex coniugi hanno inteso regolamentare – nell’interesse della prole – le modalità di diffusione delle relative immagini sul web, subordinandola al consenso congiunto di entrambi. Ciò chiarito in ordine al fumus boni iuris, si osserva la sussistenza, altresì, del periculum in mora – atteso che l’inserimento di foto di minori sui social network deve considerarsi un’attività in sé pregiudizievole in ragione delle caratteristiche proprie della rete internet. Il web, infatti, consente la diffusione dati personali e di immagini ad alta rapidità, rendendo difficoltose ed inefficaci le forme di controllo dei flussi informativi ex post. In questo senso, la più recente giurisprudenza ha evidenziato che “l’inserimento di foto di minori sui social network costituisce comportamento potenzialmente pregiudizievole per essi in quanto ciò determina la diffusione delle immagini fra un numero indeterminato di persone, conosciute e non, le quali possono essere malintenzionate e avvicinarsi ai bambini dopo averli visti più volte in foto on-line, non potendo inoltre andare sottaciuto l’ulteriore pericolo costituito dalla condotta di soggetti che “taggano” le foto on-line dei minori e, con procedimenti di fotomontaggio, ne traggono materiale pedopornografico da far circolare fra gli interessati, come ripetutamente evidenziato dagli organi di polizia […] il pregiudizio per il minore è dunque insito nella diffusione della sua immagine sui social network” (cfr. Tribunale di Mantova, 19 settembre 2017; in senso conforme, Tribunale di Roma – Sez. I Civ. del 23 dicembre 2017). Alla luce della considerazioni sopra svolte, quindi, ritenuta la domanda sorretta dai requisiti del fumus boni iuris e del periculum in mora, il ricorso deve essere accolto, con conseguente condanna della resistente alla rimozione – dai propri profili social – delle immagini relative ai minori M. e L.I. ed alla contestuale inibitoria dalla futura diffusione di tali immagini, in assenza del consenso di entrambi i genitori. Parimenti, merita accoglimento la richiesta di condanna ex art. 614 bis c.p.c..
Al riguardo, si rileva come la misura prevista dalla richiamata norma sia funzionale, innanzitutto, a favorire la conformazione a diritto della condotta della parte inadempiente e di qui ad evitare la produzione del danno ovvero a ridurre l’entità del possibile pregiudizio, assicurando anche in sede cautelare l’esigenza di garantire un serio ristoro di fronte al perdurare dell’inadempimento, in funzione deflattiva del possibile contenzioso successivo, limitato all’eventualità che si produca un danno non integralmente soddisfatto dalla statuizione giudiziale (cfr. sul punto in termini Trib. Cagliari ord. 19 ottobre 2009). Nella presente vicenda, l’applicazione dell’astreinte è pienamente giustificata dall’esigenza di tutelare l’integrità dei minori e l’interesse ad evitare la diffusione delle proprie immagini a mezzo web nonchè, in quanto collegato a questo, dell’interesse del genitore a cui spetta pretendere il rispetto degli obblighi sopra sanciti. P.Q.M. …Omissis… Accoglie il ricorso; Per l’effetto, dispone che F.G. provveda, entro il 31 marzo 2019, alla rimozione di immagini, informazioni, dati relativi ai minori M. e L. I. inseriti su social networks, comunque denominati; Inibisce dal momento della comunicazione del presente provvedimento a Gatti Francesca la diffusione in social networks, comunque denominati, e nei mass media delle immagini, delle informazioni e di ogni dato relativo ai minori M. e L. I., in assenza del consenso di entrambi i genitori; Determina ex art. 614-bis c.p.c., nella misura di € 50,00, la somma dovuta da F.G., per ogni giorno di ritardo nell’esecuzione dell’ordine di rimozione nonché per ogni episodio di violazione dell’inibitoria, in favore dei minori in solido tra loro, da versarsi su conto corrente intestato ai minori medesimi; …Omissis…
DIRITTO DI INTERNET N. 2/2019
305
GIURISPRUDENZA CIVILE
IL COMMENTO di Aurora Cavo
Sommario: 1. La tutela nazionale e transnazionale della vita privata e dell’immagine del minore. – 2. Il consenso al trattamento dei dati personali del minore nel panorama normativo attuale. – 3. Il ruolo degli accordi genitoriali riguardo alla pubblicazione di foto dei figli minori online. – 4. Diffusione delle immagini di minori a mezzo web e periculum in mora. L’ordinanza riportata conferma la specifica esigenza, accolta nel panorama normativo europeo dal Regolamento UE 27 aprile 2016, n. 679, di protezione dei dati personali dei minori, con riguardo alla pubblicazione di immagini online ritraenti tali soggetti vulnerabili. L’opposizione della madre alla diffusione di foto dei propri figli attraverso social networks si traduce, in ragione della natura intrinsecamente pregiudizievole di tale attività, in un ordine di inibitoria e di rimozione delle foto inserite e nell’applicazione dell’art. 614-bis c.p.c. nei confronti della compagna del padre. Assume rilevanza decisiva la circostanza che i genitori abbiano stabilito, in sede divorzile, che la diffusione di fotografie della prole in rete da parte di terzi sia subordinata al consenso congiunto di entrambi. The injunction reported here reflects the specific requirement, that is recognized by the European legal framework under Regulation 2016/679/EU of April 27, 2016, to protect the personal data of minors, with regards to the publication of images online depicting such vulnerable subjects. The mother’s opposition to the dissemination of pictures of her children through social networks, due to the prejudice inherent in the activity, translates into an injunction, that is an order to remove the photos posted online and the application of Article 614-bis of the civil procedure code towards her former husband’s partner. The agreement between the parents in the divorce settlement, establishing that the diffusion of photos of the children over the Internet by third parties must be conditional on the consent of both of them, plays a crucial role in the judge’s decision.
1. La tutela nazionale e transnazionale della vita privata e dell’immagine del minore
L’ordinanza in epigrafe affronta la spinosa questione, già trattata da recente giurisprudenza (1), della pubblicazione di immagini ritraenti minori sui social networks in un contesto conflittuale tra gli esercenti la responsabilità genitoriale, resa problematica dalla facilità e dalla rapidità della comunicazione sistematica delle informazioni connaturata alla struttura della rete (si parla ormai di web 7.0 (2)) e dall’assenza di corrispondenti previsioni normative. La salvaguardia dei dati personali dei minori online si è tramutata, negli ultimi anni, in un’esigenza (1) Si vedano Trib. Mantova 19 settembre 2017, e Trib. Roma, 23 dicembre 2017, in Fam. e dir., 2018, 380 ss., con commento di Nitti, La pubblicazione di foto di minori sui social network tra tutela della riservatezza e individuazione dei confini della responsabilità genitoriale, entrambe inerenti, seppur con profili parzialmente diversi e caratteristici dei casi di specie considerati, la pubblicazione di foto di minori su social networks da parte di un genitore, malgrado l’opposizione dell’altro. Come evidenziato dall’autrice, le due pronunce si connotano per la presenza di una condanna inibitoria e di una pronuncia sanzionatoria: è stata infatti irrogata, con il provvedimento di condanna del giudice romano, un’astreinte, probabilmente per la prima volta nell’ambito di cui si discute. L’ordinanza in commento, peraltro, menziona espressamente i provvedimenti citati (v. infra, par. 4). L’Autorità Garante per la protezione dei dati personali nazionale, con un focus sulle problematiche scaturenti dall’utilizzo smodato di social networks (da parte significativamente, tra gli altri, di «genitori inesperti della Rete») si è resa portavoce delle esigenze di difesa e di tutela dei giovani pubblicando sul proprio sito Internet istituzionale la guida Social Privacy – Come tutelarsi nell’era dei social network del 23 maggio 2014, all’indirizzo <https://www.garanteprivacy.it/web/guest/home/ docweb/-/docweb-display/docweb/3140059>. (2) Staab - Lehmann - Verborgh, Structured knowledge on the Web 7.0, in Companion Proceedings of the The Web Conference, 2018, 885 ss., all’indirizzo <https://dl.acm.org/citation.cfm?id=3184558&picked=prox>.
306
DIRITTO DI INTERNET N. 2/2019
non più trascurabile, a causa dei numerosi illeciti che possono generarsi dalla diffusione via web e, in maniera massiva, attraverso le piattaforme social, di contenuti ad essi inerenti (3). Il diritto alla protezione dei dati personali ed il diritto al rispetto della vita privata costituiscono, come noto, diritti distinti riconducibili al più generale diritto alla riservatezza (4), a mente di quanto previsto dalla legislazione europea ed internazionale. Il minore ha diritto alla protezione dei dati personali che lo riguardano, in quanto “individuo”, ai sensi dell’art. 8 della Carta dei diritti fondamentali dell’Unione Europea del 2000, e in quanto “persona”, secondo il considerando 4 del Reg. UE 27 aprile 2016, n. 679 ove, tra i diritti fondamentali riconosciuti dalla Carta che la fonte regolamentare dichiara di rispettare, è contenuto
(3) Tale esigenza è stata recepita dalle istituzioni europee prima ancora dell’emanazione del Regolamento di cui infra: si pensi alla risoluzione del Parlamento europeo dell’11 marzo 2015 sull’abuso sessuale dei minori online, laddove si evidenzia che la rete può concretamente esporre i minori a rischi specifici e l’esposizione ai pericoli del web è aggravata proprio dall’ormai ampio utilizzo ed accesso «alle tecnologie mobili e a Internet». Ciò è stato parimenti sottolineato dall’Osservatorio sul rispetto dei diritti fondamentali in Europa nel report del 2016, il cui testo è disponibile al seguente link <http://www.fondazionebasso.it/2015/wp-content/ uploads/2016/03/RAPPORTO-2016-.pdf>. (4) Cfr. Montagnani, Internet, contenuti illeciti e responsabilità degli intermediari, Segrate, 2018, 44 ss. Dalle norme internazionali infatti, si evince che il diritto alla protezione dei dati personali possa essere individuato all’interno del diritto alla riservatezza, menzionato quest’ultimo all’art. 8 della Conv. eur. dir. umani, seppur non esplicitamente citato dalla stessa: così Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Torino, 2016, 58 ss.
GIURISPRUDENZA CIVILE un espresso riferimento sia al rispetto della vita privata e familiare, che alla protezione dei dati personali. Innanzitutto, si osserva che il giudice reatino, sulla scorta di quanto rinvenuto nei precedenti giurisprudenzali sul tema, elenca, a supporto della decisione, dapprima una cronologia delle fonti nazionali dalle quali si è tradizionalmente attinto per riconoscere la tutela dell’immagine e della protezione dei dati personali del minore: l’art. 10 c.c. relativo al diritto all’immagine, congiuntamente al combinato disposto degli artt. 4, 7, 8 e 145 del d.lgs. 30 giugno 2003, n. 196, relativi al diritto alla riservatezza dei dati personali. Il giudicante prende atto, nel prosieguo, che le nuove esigenze di tutela degli interessati, in particolare, dei soggetti minori, all’interno dei processi di divulgazione dei dati personali nel contesto dell’era digitale, conseguenti all’evoluzione della rete, hanno trovato cittadinanza nel Reg. UE n. 679 del 2016, e, nello specifico, nell’art. 8 dello stesso, il quale disciplina le condizioni applicabili al consenso dei minori in relazione ai servizi della cd. società dell’informazione (5), con un richiamo, in rubrica, al considerando n. 38. L’ambito di applicazione materiale della disciplina sulla protezione dei dati personali del minore ingloba infatti le immagini dei minori in tutti i casi in cui dalle stesse sia possibile identificare, direttamente o indirettamente, il soggetto ritratto, stante la definizione di “dato personale” dettata dall’art. 4, lett. 1), del Reg. UE n. 679 del 2016. Le fonti principali di riferimento, di derivazione eterogenea, considerate ai fini della decisione in commento sono pressoché le medesime che si rinvengono nelle rassegne effettuate nella giurisprudenza antecedente, di stampo internazionale (tra cui, si rammentino gli artt. 1 e 16 della Convenzione di New York 20 novembre 1989, ratificata dall’Italia con l. 27 maggio 1991, n. 176), e di diritto interno: meritevole di menzione è l’aggiunto rimando al contenuto dell’art. 97, l. 22 aprile 1941, n. 633, integrativo dell’art. 10 c.c., nell’intento di porre al riparo il minore da danni all’onore, decoro e reputazione eventualmente derivanti dall’esposizione di immagini online (6) ritraenti il medesimo, in assenza di concorde consenso dei genitori.
(5) Per «servizi della società dell’informazione» si intendono, in base al rinvio operato dall’art. 4, n. 25 del Reg. UE n. 679 del 2016 alla definizione di cui all’art. 1, par. 1, lett. b, dir. n. 1535 del 2015, quei servizi prestati «normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi». (6) Cfr. Peron, Sul divieto di diffusione sui social network delle fotografie e di altri dati personali dei figli, in Resp. civ. prev., 2018, 589 ss.; in generale, sulla tutela della personalità del minore anche in relazione al diritto d’autore e al diritto alla protezione dei dati, si vedano Sirotti Gaudenzi, Il nuovo diritto d’autore. La tutela della proprietà intellettuale nella società dell’informazione, Santarcangelo di Romagna, 2014, 205; Montaldo, Il ritratto fotografico digitale tra diritto d’autore, diritti della persona e tutela della privacy, in Resp. civ. prev., 2010, 2369 ss.; Lena, Le incertezze della Cassazione su Privacy del
2. Il consenso al trattamento dei dati personali del minore nel panorama normativo attuale
Il Tribunale di Rieti dimostra di aver tenuto conto dell’avvenuto adeguamento della normativa italiana in materia di protezione dei dati personali al Reg. UE n. 679 del 2016. Ai sensi dell’art. 2-quinquies, comma 1, d.lgs. n. 196 del 2003, inserito dal d.lgs. n. 101 del 2018 (7), la conditio sine qua non della liceità del trattamento dei dati personali del minore di età inferiore ad anni quattordici nel quadro dei servizi della società dell’informazione (per quanto qui rileva, nell’utilizzo dei social networks) è rappresentata dal consenso dell’esercente la responsabilità genitoriale (8). Se fino ad oggi i pochi casi giunti all’attenzione della giurisprudenza hanno riguardato immagini pubblicate da un genitore senza il consenso dell’altro, o da un genitore senza il consenso del figlio “grand enfant” (9), la singolarità rinvenibile nella vicenda esaminata dal giudice nell’ordinanza in rassegna concerne il soggetto che ha proceduto alla pubblicazione delle immagini ritraenti soggetti al di sotto della soglia di età sufficiente per l’autodeterminazione, secondo la disposizione neo-introdotminorenne e diritto di cronaca: tutela rafforzata della riservatezza o prevalenza dell’utilità della notizia?, in Fam. e dir., 2007, 138 ss. (7) Per un approfondimento sistematico sul panorama normativo nazionale dopo l’entrata in vigore del d.lgs. n. 101 del 2018, si vedano Messina, L’adeguamento della normativa nazionale al Regolamento, in I dati personali nel diritto europeo a cura di Cuffaro, D’Orazio e Ricciuto, Pioltello, 2019, 119 ss.; Tommasi, La nuova disciplina europea sulla protezione dei dati personali, in Studium Iuris, 2019, 6 ss.; Cuffaro, Quel che resta di un codice: il d.lgs. 10 agosto 2018, n. 101 detta le disposizioni di adeguamento del Codice della Privacy al Regolamento sulla protezione dei dati, in Corr. giuridico, 2018, 1181 ss. (8) Per una più ampia disamina del consenso al trattamento dei dati personali dei minori nella società dell’informazione si rinvia a Resta, Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione, in GDPR e Normativa Privacy. Commentario a cura di Riccio, Scorza e Belisario, Roma, 2018, 84 ss.; Naddeo, Il consenso al trattamento dei dati personali del minore, in Dir. inf. e inform., 2018, 27 ss.; Astone, Il trattamento dei dati personali dei minori nell’Unione europea: dai codici di condotta al Regolamento 2016/679, in Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna a cura di Mantelero e Poletti, Pisa, 2018, 441 ss; Pedrazzi, Minori e social media: tutela dei dati personali, autoregolamentazione e privacy, in Inf. e dir., 2017, 437 ss.; Spoto, Disciplina del consenso e tutela del minore, in La nuova disciplina europea della privacy a cura di Sica, D’Antonio e Riccio, 2016, 112 ss.; Popoli, Social network e concreta protezione dei dati sensibili: luci ed ombre di una difficile convivenza, in Dir. inf. e inform., 2014, 981 ss.; Riccio, Social networks e responsabilità civile, in Dir. inf. e inform., 2010, 859 ss. (9) Sulla base della distinzione tra petite enfantes e grands enfantes propria del diritto francese, recepita dal Regolamento Privacy europeo e dalla normativa nazionale di adeguamento, il soggetto di età superiore ai 14 anni può esercitare i propri diritti sul trattamento dei propri dati personali. Il grand enfant che, seppur non abbia raggiunto la maggiore età, abbia la capacità di compiere atti giuridici in senso stretto, può adire l’autorità giurisdizionale conferendo mandato ad un avvocato per chiedere la cancellazione delle foto pubblicate dai genitori sui social media che lo riguardino. Cfr. Trib. Roma, 23 dicembre 2017, cit.; Cass. ord. 13 ottobre 2017, n. 24077.
DIRITTO DI INTERNET N. 2/2019
307
GIURISPRUDENZA CIVILE
308
ta, su social networks (nella specie, Facebook e Instagram): la compagna dell’ex marito della madre ricorrente. Il Gruppo di Lavoro ex Art. 29, nelle Linee guida emanate sul consenso ai sensi del Reg. UE n. 679 del 2016 (10) ha chiarito che, ai sensi dell’art. 8, par. 1, il trattamento dei dati personali del “petite enfant” nell’ambito dei servizi della società dell’informazione è consentito esclusivamente laddove il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale, ed ha altresì rilevato che il Regolamento europeo non prevede quali possano essere le “modalità pratiche” per definire quando un terzo sia stato autorizzato a prestare il consenso. Su tale punto, il Gruppo di Lavoro osserva che “non sempre il titolare della responsabilità genitoriale è il genitore naturale del minore e che la responsabilità genitoriale può essere detenuta da più parti che possono comprendere tanto persone fisiche quanto persone giuridiche”: da tale precisazione potrebbe ricavarsi che il partner di un genitore, autorizzato da quest’ultimo alla prestazione del consenso per la diffusione dei dati personali dei figli minori del compagno sui social networks, possa tenere un contegno lecito, conforme al contenuto dell’art. 8. Nel caso di specie, l’opposizione della madre alla pubblicazione delle foto dei propri figli online da parte della compagna del padre, allegata per tabulas a fondamento della richiesta tutela d’urgenza, unitamente alla presenza di un accordo specifico tra gli ex coniugi regolante le modalità di diffusione delle immagini dei propri figli sul web, ha convinto il giudicante a ritenere che la partner dell’ex marito non fosse legittimata a rilasciare il cd. consenso digitale valido per il trattamento dei dati dei minori: l’ago della bilancia non poteva così che pendere a sfavore della compagna del padre, considerando altresì a monte che, nel caso esaminato, la responsabilità genitoriale viene esercitata di comune accordo dai genitori, nella specie divorziati, in regime di affido condiviso con collocazione presso la madre. Il ruolo del consenso legato alla pubblicazione delle foto di minori su social networks, strumenti che, in quanto tali, agevolino l’immediata ed irreversibile diffusione di tali dati negli incontrollabili meandri della rete Internet, alla luce delle norme europee e di adeguamento nazionali alle stesse, ne è uscito visibilmente rafforzato, di tal che il Tribunale di Rieti ha, condivisibilmente, propeso per la soluzione atta a tutelare il superiore interesse dei minori. L’ordine di rimozione delle immagini e l’inibizione dell’ulteriore diffusione delle stesse nei social networks comunque denominati è così stato deciso sulla scorta della ritenuta indispensabilità del consenso di entrambi
i genitori: tale soluzione restrittiva si pone peraltro in perfetta sintonia con la logica della prevenzione dei rischi per i diritti e le libertà delle persone che deve sottostare in nuce a qualsiasi trattamento di dati personali, e che costituisce in definitiva la ratio del Regolamento Privacy europeo. Proprio il considerando n. 6 del Reg. UE n. 679 del 2016 è la chiave di volta per la comprensione dell’intero sistema posto a tutela dei dati personali, che deve orientare gli interpreti: la velocità dei cambiamenti tecnologici applicata allo sviluppo del web e, di riflesso, dei social media genera costantemente occasioni di dialogo fra la tecnologia e il diritto alla protezione dei dati delle persone, e, particolarmente, dei soggetti più deboli e meritevoli di protezione quali sono i minori. Ecco allora che l’organo giudicante, soppesando gli interessi estremamente delicati in gioco, ha conferito preminenza al diritto alla protezione dei dati personali dei minori, inteso come “costola” del diritto alla riservatezza di cui si è resa portatrice, nell’ordinanza in commento, la madre; e il consenso dei genitori, quale condizione di liceità della pubblicazione sui social networks, assume la veste di protagonista, ergendosi a baluardo del best interest del minore (11).
(10) Gruppo di Lavoro ex Art. 29, dir. 24 ottobre 1995, n. 46, «Linee guida sul consenso ai sensi del regolamento (UE) 2016/679», 2017, 29, il cui testo è disponibile all’indirizzo <https://ec.europa.eu/newsroom/article29/ item-detail.cfm?item_id=623051>.
(11) Cfr. Montaruli, La protezione dei dati personali e il minore, in I dati personali nel diritto europeo, cit., 275 ss.; Orofino, Minori e diritto alla protezione dei dati personali, in Privacy, minori e cyberbullismo a cura di Orofino e Pizzetti, Torino, 2018, 1 ss.
DIRITTO DI INTERNET N. 2/2019
3. Il ruolo degli accordi genitoriali riguardo alla pubblicazione di foto dei figli minori online
In punto di valutazione della sussistenza del fumus boni iuris della domanda cautelare ex art. 700 c.p.c. avanzata dalla madre ricorrente, si è rivelata determinante, come pur esplicitato nell’ordinanza in epigrafe, la pregressa intesa che gli ex coniugi avevano stipulato in sede di divorzio congiunto. Sulla scorta dei pregressi comportamenti della compagna del padre, la madre aveva preteso l’inserimento della condizione di seguito riportata: “la pubblicazione di fotografie dei figli minori sui social network sarà consentita esclusivamente ai genitori e non a terze persone, salvo consenso congiunto di entrambi”. La motivazione dell’ordinanza rivela espressamente che la decisione di subordinare la pubblicazione delle foto dei minori sul web al consenso di entrambi i genitori degli stessi è stata in effetti corroborata dalla sussistenza, tra le condizioni regolatrici dei rapporti personali con la prole presentate nella domanda di divorzio congiunto, di una specifica in tal senso. La richiesta integrativa della madre è intervenuta nelle more del giudizio divorzile, motivata dalla resistenza della compagna del padre dei minori nel proseguire la pubblicazione di immagini loro ritraenti su Facebook ed altri social networks, a dispetto della formale opposizione
GIURISPRUDENZA CIVILE della stessa. I genitori dei minori sono pertanto giunti alla definizione di una sorta di conventio ad excludendum dal contenuto del tutto peculiare, al fine di evitare interferenze da parte di terzi anche solo potenzialmente lesive della sfera di riservatezza della prole, salvo comune accordo. La determinazione dei coniugi presa a soluzione della conflittualità familiare emersa e l’accoglimento della sopra citata condizione nella sentenza di divorzio pronunciata precedentemente rispetto alla vicenda che ci occupa, ha costituito il rafforzamento della decisione del Tribunale reatino nell’accordare alla madre le tutele invocate (12). Una differente soluzione avrebbe, in definitiva, comportato non soltanto la violazione di quanto i genitori avevano concordato in sede di divorzio congiunto sull’escludere terze persone dal trattamento dei dati personali dei figli attraverso piattaforme social in assenza di previo consenso di entrambi, del resto, nel preminente interesse della prole: ma, soprattutto, un contrasto con quanto consacrato nella sentenza di scioglimento del vincolo matrimoniale, dal momento che il giudice divorzile ha preso atto dell’intesa genitoriale, intervenuta volutamente per scongiurare qualunque nocumento che potesse derivare ai figli dalla diffusione di loro immagini in rete. Oltre a ciò, un’ulteriore conferma della superiore esigenza di tutela della prole che il tribunale ha riconosciuto, convalidando in particolare l’accordo degli ex coniugi sulla condizione sopra menzionata, si ritrova nella protezione della reputazione e dell’immagine dei minori, lese dalla pubblicazione di commenti offensivi sui propri profili social indirizzati alla madre da parte della compagna dell’ex marito e delle cognate della medesima.
4. Diffusione delle immagini di minori a mezzo web e periculum in mora
Passando all’esame dell’esistenza, nel caso de quo, di un periculum in mora dal quale potesse derivare un imminente ed irreparabile danno alla prole, il giudicante non nutre dubbi di sorta sulla circostanza che, di fatto, la natura stessa della rete Internet possa arrecare un im (12) In generale, in tema di accordi presi dai genitori in sede di separazione e divorzio disciplinanti aspetti personali relativi alla prole nell’affidamento condiviso, si vedano, tra gli altri, Sesta, La crisi genitoriale tra pluralità di modelli di coppia e di regole processuali, in Fam. e dir., 2017, 1145 ss.; Dosi, Affido condiviso: i minori come priorità – Vince la regola dell’accordo fra genitori, in Dir. giust., 2005, 100 ss.; Oberto, Gli accordi concernenti la prole nella crisi coniugale, in Dir. fam. e pers., 1999, 271 ss. Per la giurisprudenza, cfr. ex multis Cass. 11 luglio 2017, n. 17137, con nota di Gelli, L’affidamento condiviso: presupposti e risvolti applicativi, in Fam. e dir., 2018, 253 ss.; Cass. 20 agosto 2014, n. 18066, con nota di Galisai, Conclusioni comuni e autonomia privata nel procedimento ordinario di divorzio, in Corr. giuridico, 2015, 777 ss.
plicito pregiudizio alla privacy dei minori. La ragione principale di tale intrinseca pericolosità è rappresentata dall’incontrollabilità, ex post rispetto alla pubblicazione delle immagini afferenti soggetti minori su social networks, dei flussi delle informazioni conseguentemente diffuse, tale da rendere inefficace qualsivoglia metodo di governabilità delle stesse che possa impedire una rapida conoscenza e, ancor meno, una condivisione dei dati dei minori da parte di un numero indeterminato di soggetti. Il rischio di perdita del controllo dell’utilizzo delle immagini ritraenti minori a seguito della pubblicazione sui social media è dunque una realtà di fatto: si pensi alla decontestualizzazione dei contenuti inseriti ed alla loro riproduzione, virtualmente illimitata, all’interno della rete (13) e, più specificamente, come evidenziato dal giudicante attraverso un rinvio esplicito ai modelli giurisprudenziali di Mantova e di Roma (14) sull’argomento, al pericolo che le foto dei bambini circolanti online pervengano a malintenzionati, concedendo loro la possibilità di utilizzarle per scopi illeciti, come avvicinarsi ai minori identificati nelle immagini in rete e generare materiale pedopornografico mediante fotomontaggi. Il giudice dell’ordinanza in epigrafe assevera la natura di attività intrinsecamente pregiudizievole della pubblicazione delle foto di minori online, tale da ritenere sussistente un pericolo di danno insito nel tipo di attività dimostrando, in effetti, la consapevolezza che i rischi concreti derivanti dalla divulgazione delle immagini di minori in Internet non sarebbero in realtà circoscritti ai casi sopra accennati: si pensi all’ormai allarmante fenomeno del cyberbullismo, assurto al rango di vera e propria piaga sociale tale da portare il legislatore all’emanazione della l. 29 maggio 2017, n. 71, recante «Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo» (15).
(13) Cfr. Ferola, Dal diritto all’oblio al diritto alla memoria sul web. L’esperienza applicativa italiana, in Dir. inf. e inform., 2012, 1001 ss., la quale pone in luce le criticità emerse dal fenomeno della globalizzazione informatica soffermandosi sul diritto all’oblio, posto che «Internet è ‘il luogo dove nulla si perde e nulla si dimentica’» e che i dati diffusi in rete, anche dopo la loro cancellazione, permangono presso gli hosting providers. (14) Trib. Mantova 19 settembre 2017, cit.; Trib. Roma, 23 dicembre 2017, cit., pronunce antesignane in materia di dispute fra genitori sulla diffusione delle immagini dei figli tramite social networks. Cfr. Cesaro, Genitore pubblica sui social network foto e notizie del figlio minore: interviene d’ufficio il Giudice, in <http://www.ilfamiliarista.it>, 2018; Molfino, Vietato pubblicare le foto dei figli sui social network senza il consenso dell’altro genitore, in <http://www.ilfamiliarista.it>, 2018. (15) Per ampie riflessioni sulla disciplina introdotta dalla legge contro il cyberbullismo è possibile rinviare, tra gli altri, a Bocchini-Montanari, Le nuove disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo, in Nuove leggi civ. comm., 2018, 340 ss.; Musselli, La legge 29 maggio 2017, n. 71 sul cyberbullismo: dal “limbo legale” ad una regolamentazione a carattere preventivo-amministrativo, in Privacy, minori e cyberbullismo, cit., 43 ss.; Panicali, Il “cyberbullismo”: i nuovi strumenti
DIRITTO DI INTERNET N. 2/2019
309
GIURISPRUDENZA CIVILE Il periculum in mora trova quindi, in ragione dei rischi legati alla realtà virtuale ed ai comportamenti dei soggetti in malafede che gravitano attorno ad essa, le sue radici, sic et simpliciter, nel pregiudizio per i minori connaturato nella pubblicazione di foto loro afferenti sui social networks. La vicenda si è conclusa con un ordine di rimozione delle immagini pubblicate ed una contestuale inibitoria da ogni futura pubblicazione in rete, nella sua accezione più generale (ampliando maggiormente la tutela dei minori, non soltanto nelle piattaforme social, ma anche, complessivamente, nei mass media) senza il previo, necessario consenso di entrambi i genitori. Non solo. È stata accolta la richiesta di condanna, esperita dalla madre ricorrente ex art. 614-bis c.p.c., “pienamente giustificata” in base a due ordini di motivazioni: da una parte, la necessità di tutelare l’integrità dei minori, nel loro prevalente interesse, scongiurando la diffusione di foto online che li ritraggano; dall’altra, l’esigenza di rispettare la volontà del genitore contrario alla pubblicazione e l’altrettanta legittima pretesa ottemperanza alle disposizioni appositamente concordate in sede divorzile (16). La peculiarità dell’astreinte impartita in favore dei minori per il ritardo nell’esecuzione dell’ordine di rimozione delle foto in rete, nonché per qualsiasi condotta tenuta in futuro in violazione del provvedimento inibitorio, risiede segnatamente nella posizione del soggetto condannato: se nei casi già decisi dalla giurisprudenza si trattava di un genitore, la ratio del pilastro normativo venutosi a creare, in special modo a seguito dell’emanazione del Regolamento privacy europeo e delle relative disposizioni di adeguamento, ha guidato l’interpretazione fino all’ampliamento della platea dei soggetti tenuti alla rigorosa protezione dei dati personali dei soggetti
(extrapenali) predisposti dalla legge n. 71/2017 e la tutela penale, in Resp. civ. prev., 2017, 2081 ss. (16) Per la trattazione specifica dell’art. 614-bis c.p.c nell’ambito del diritto di famiglia, norma che prevede lo strumento di coercizione indiretta consistente nel pagamento di una somma di denaro in caso di violazione o inosservanza successiva all’emanazione di un provvedimento di condanna all’adempimento di obblighi di facere o non facere, anche in relazione all’art. 709-ter c.p.c., v. Graziosi, L’esecuzione forzata dei provvedimenti in materia di famiglia, in Diritto processuale di famiglia a cura di Graziosi, Torino, 2016, 229 ss.; Poletti, Sulla infungibilità degli obblighi di cui all’art. 614 bis c.p.c., in Giur. it., 2014, 750 ss.; Morani, Ancora sull’attuazione coattiva dei provvedimenti giurisdizionali (del T.o. e del T.m.) relativi alla prole minorenne: effetti delle nuove norme di cui agli art. 709 ter e 614 bis c.p.c., in Dir. fam. e pers., 2013, 753 ss.; Paladini, Misure sanzionatorie e preventive per l’attuazione dei provvedimenti riguardo ai figli, tra responsabilità civile, punitive damages e astreinte, in Fam. e dir., 2012, 853 ss.; De Filippis, La separazione personale dei coniugi ed il divorzio. Conseguenze della crisi coniugale su coppia, famiglia, figli e beni, Padova, 2012, 657 ss.; Spoto, Dalla responsabilità civile alle misure coercitive indirette per adempiere agli obblighi familiari, in Dir. fam. e pers., 2010, 910 ss.; Bove, La misura coercitiva di cui all’art. 614 bis c.p.c., in Riv. trim. dir. e proc. civ., 2010, 781 ss., all’indirizzo <http://www.judicium. it/admin/saggi/44/bove%20614.bis.pdf>.
310
DIRITTO DI INTERNET N. 2/2019
minori, soprattutto nel contesto intrinsecamente deleterio, e, perciò, oggettivamente temibile, dei servizi della network society. Il pregiudizio in re ipsa riscontrato nell’atto di pubblicazione di foto di minori in rete da parte di un soggetto diverso dai genitori è già di per sé un aspetto inedito, ancor più se connesso all’applicazione dell’astreinte, che configura in capo alla compagna una responsabilità di tipo sanzionatorio, connotata da profili punitivi, nell’ambito del trattamento dei dati personali: nel giudizio di merito, tale pregiudizio potrebbe forse convertirsi nell’affermazione di un danno in re ipsa da trattamento illecito di dati personali dei minori. A proposito di deterrenza e dissuasività, ci si domanda se all’autrice delle lamentate pubblicazioni possano essere irrogate sanzioni amministrative ai sensi del Reg. n. 679 del 2016 e della normativa nazionale sulla protezione dei dati personali. Senza pretesa di esaustività, una risposta a detto interrogativo si rinverrebbe nella previsione dell’art. 166, comma 2, d.lgs. n. 196 del 2003 come sostituito dal decreto di adeguamento alla fonte europea, a mente della quale sono soggette alla sanzione amministrativa pecuniaria ex art. 83, par. 5 del Regolamento Privacy (il range più elevato, fino a venti milioni di euro) le violazioni delle disposizioni, tra le altre, di cui all’art. 2-quinquies, comma 1.
GIURISPRUDENZA CIVILE
IL COMMENTO
di Antonio Scalera Sommario: 1. Il caso. – 2. La soluzione giuridica. – 3. Alcune considerazioni. – 4. Conclusioni. La ordinanza segnalata affronta il diffuso fenomeno della pubblicazione sui social network delle fotografie di minori. Si tratta di una pratica potenzialmente pericolosa per i rischi collegati all’utilizzo improprio di dette fotografie da parte di terzi. Da una lettura combinata delle fonti del diritto dell’Unione e di quelle nazionali è possibile trarre la regula iuris che consente la diffusione delle immagini dei minori sulla rete a condizione che vi sia stato il consenso di entrambi i genitori. It is a common phenomenon to post on the social networks videos or photos depicting minors. It could be a dangerous and riskful practice due to the fact that these materials can be used even for illegal purposes. Therefore, according to the EU law and the Italian law, it must be considered unlawful to share on the web videos or photos with minors without the consent of both their parents.
1. Il caso
La decisione in rassegna affronta il fenomeno assai diffuso della pubblicazione di foto di minori sui social network. Si tratta di un fenomeno che suscita l’attenzione dell’operatore del diritto e dello studioso perché si pone al crocevia tra due ambiti tematici a loro volta estremamente complessi: da un lato, quello riconducibile ai minori e alle crescenti tutele che l’ordinamento giuridico, nel suo complesso, appresta nei loro confronti; dall’altro, quello riferibile alla “rete”, che, per sua natura, è difficilmente inquadrabile in una regolamentazione puntuale ed uniforme e che, però, al tempo stesso, dati i molteplici interessi coinvolti, necessiterebbe di essere normata, se possibile, a livello planetario. Nella fattispecie in esame si controverte sulla pubblicazione delle foto di due minori figli di una coppia divorziata. Nel corso di una crisi coniugale, poi sfociata nella separazione e nella successiva cessazione degli effetti civili del matrimonio, la compagna del marito della ricorrente era solita pubblicare sui “social” le foto dei figli della coppia, accompagnate da commenti offensivi a carico della madre di costoro e dei parenti (1). Per cercare di porre rimedio a queste condotte, che, nonostante le diffide, venivano reiterate nel tempo, i coniugi, in sede di divorzio congiunto, inserivano nell’accordo la condizione che la pubblicazione delle foto dei figli sui “social” non era consentita a terzi soggetti, salvo il consenso congiunto dei genitori. Ciononostante, le immagini dei minori continuavano ad essere visibili su “Facebook” e su “Instagram”. Da qui il ricorso proposto dalla madre, nelle forme dell’art. 700 c.p.c., volto ad ottenere la rimozione for-
(1) Il problema dell’utilizzo dell’immagine dei figli affiora normalmente al momento della crisi della coppia genitoriale. La questione è descritta da Caggiano, Privacy e minori nell’era digitale. Il consenso al trattamento dei dati dei minori all’indomani del Regolamento UE 2016/679, tra diritto e tecno-regolazione, in Familia, 2018, 7 (nota 11).
zosa delle foto dei figli e la contestuale inibitoria della loro diffusione.
2. La soluzione giuridica
Il percorso logico-giuridico seguito dal Tribunale nell’ordinanza in rassegna passa attraverso una dettagliata ricostruzione del quadro normativo, anche di livello sovranazionale, in tema di tutela della vita privata e dell’immagine dei minori (2), da cui viene tratta la regola che il consenso al trattamento dei dati personali del minore – e, più in particolare, alla diffusione delle loro immagini on line - deve essere prestato da entrambi gli esercenti la responsabilità genitoriale. Il Tribunale richiama, in primo luogo, l’art. 10 c.c. (3), concernente la tutela dell’immagine dell’individuo, quale interesse del soggetto a che il suo ritratto non venga diffuso e esposto al pubblico.
(2) Si tratta di una problematica già nota in dottrina e in giurisprudenza. In un caso riguardante la pubblicazione, su una nota rivista, di foto di un minorenne raffigurato vicino ad una nota attrice televisiva, Cass. 5 settembre 2006, n. 19069, in Nuova giur. civ. comm., 2007, 6, I, 720, con nota di Mantelero, Foto di gruppo con signora: riserbo del minore ed utilità sociale dell’informazione, ha affermato che “il diritto alla riservatezza del minore, nel bilanciamento degli opposti valori costituzionali (diritto di cronaca e diritto alla privacy) deve essere considerato assolutamente preminente, laddove si riscontri che non ricorra l’utilità sociale della notizia e, quindi, con l’unico limite del pubblico interesse”. Cass. 29 settembre 2006, n. 21172, in Fam. e dir., 2007, 2, 134, con nota di Lena, Le incertezze della Cassazione su privacy del minorenne e diritto di cronaca: tutela rafforzata della riservatezza o prevalenza dell’utilità della notizia?, 134 ss., ha, invece, ritenuto non censurabile la motivazione dei giudici di merito che avevano escluso il carattere abusivo della pubblicazione, ritenendo che il comportamento del genitore che espone il figlio in un luogo pubblico in compagnia di una persona famosa costituisca un implicito consenso alla ripresa fotografica di questi e alla pubblicazione della sua fotografia. (3) Sul diritto all’immagine si veda De Cupis, I diritti della personalità, Milano, 1982, 283; Sirena, Diritto all’immagine, Milano, 1996, 230. Per una ricostruzione delle varie sfaccettature assunte del diritto all’immagine si veda Ricolfi, Il contratto di merchandising nel diritto dei segni distintivi, Milano, 1991, 353 ss. L’uso giurisprudenziale è tracciato in Thiene, L’immagine fra tutela risarcitoria e tutela restitutoria, in Nuova giur. civ., 2011, II, 356 ss.
DIRITTO DI INTERNET N. 2/2019
311
GIURISPRUDENZA CIVILE Vengono, altresì, citate diverse norme del Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196), in particolare, gli artt. 4, 7, 8 e 145 (4). Per quanto concerne le fonti sovranazionali, il Tribunale evoca la Convenzione di New York sui diritti del fanciullo del 20 novembre 1989, ratificata in Italia con la l. 27 maggio 1991, n. 176 (5). Si tratta di un documento di assoluta rilevanza che manifesta come, già dal finire degli anni ‘80, fosse stata raggiunta la piena consapevolezza del potenziale lesivo e della pericolosità dei media nella crescita e nella formazione dei minori (6). Fondamentale è la promozione di un impegno degli Stati aderenti a garantire che il fanciullo non subisca interferenze nella sua vita privata nonchè pregiudizi alla sfera del suo onore o della sua reputazione. Al contempo, la Convenzione promuove l’accesso delle nuove generazioni ai media e alle nuove tecnologie con ciò veicolando un’immagine moderna del minore, protagonista del suo processo educativo e formativo(11). Inoltre, viene opportunamente citato l’art. 8 del Regolamento europeo n. 679 del 27 aprile 2016 (7), il quale fissa, con esclusivo riguardo ai servizi offerti dalla società dell’informazione, a sedici anni l’età in cui il ragazzo acquista la capacità per dare il consenso al trattamento dei dati personali (8). Nel caso in cui il minore abbia un’età inferiore, tale trattamento è lecito soltanto se e nella misura in cui il consenso sia prestato dal titolare della responsabilità genitoriale. Tuttavia, viene riconosciuta agli Stati membri la possibilità di abbassare l’età fino a tredici anni; possibilità di cui l’Italia si è di recente avvalsa con il d. lgs. 10 agosto 2018, n. 101, introducendo nel cd. Codice Privacy l’art. 2 quinquies (Consenso del minore in relazione ai servizi della società dell’informazione), in base al quale il minore che ha compiuto i quattor (4) Thiene, Ragazzi perduti online: illeciti dei minori e responsabilità dei genitori, in Nuova giur. civ., 2018, 11, 1618, osserva che “l’inscindibile legame tra identità e dati è confermato dall’applicazione a tutti gli attributi della personalità delle norme contenute nel Codice in materia di protezione dei dati personali”. (5) Sul punto si veda Lima, La tutela dei minori nella legislazione internazionale, in Lima - Cinque (a cura di), Per un’etica dei mass media e del cyberspazio a tutela dei minori. Elementi di diritto internazionale. Legislazione nazionale e legislazione italiana, Milano, 2004, 10 ss.; Dogliotti, I diritti dei minori e la Convenzione O.N.U, in Dir. fam. e pers., 1992, 301. (6) A proposito della Convenzione quale “vero e proprio Statuto dei diritti dei minori di età” si veda Spangaro, Minori e mass media: vecchi e nuovi strumenti di tutela, Milano, 2011, 257 ss. (7) “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (Regolamento generale sulla protezione dei dati) (8) Si è trattato di una scelta molto controversa e dibattuta: in argomento, Orofino, Minori e diritto alla protezione dei dati personali, in Orofino – Pizzetti (a cura di), Privacy, Minori e Cyberbullismo, Torino, 2018, 22 ss.; Mantelero, Teens online and data protection in Europe, in Contratto e impresa, 2014, 442 ss.
312
DIRITTO DI INTERNET N. 2/2019
dici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione (9). Sul piano del diritto interno, la decisione che si annota opera anche un riferimento alla legge sulla protezione del diritto d’autore (l. 22 aprile 1941, n. 633) che, all’art. 97, vieta l’esposizione o la commercializzazione del ritratto di una persona, quando rechi pregiudizio all’onore, alla reputazione od anche al decoro della persona ritratta (10). La seconda parte della decisione è tutta incentrata sulla valutazione del periculum in mora. La pubblicazione di foto di minori sui “social networks” genera un potenziale pregiudizio per gli stessi attesa l’estrema pervasività della divulgazione di contenuti personali sul web: è proprio l’imprevedibile e incontrollabile capacità di internet di veicolare la trasmissione di immagini e dati personali con estrema rapidità che fa sì che questi possano agevolmente diffondersi ed entrare nella disponibilità di un numero imprecisato di persone, la maggior parte delle quali sconosciute e alcune potenzialmente “malintenzionate” (11). Viene, in particolare, sottolineato il rischio – già rilevato dalla giurisprudenza di merito (12) – che le foto on line dei minori possono, attraverso procedimenti di fotomontaggio, essere trasformate in materiale pedopornografico (13).
(9) La diversa disciplina prevista a seconda dell’età del minore ripropone la distinzione, ben nota alla letteratura di settore, tra c.d. petits enfants e c.d. grands enfants: per i primi prevale l’esigenza di protezione; per i secondi, l’esigenza di esercitare i diritti di libertà. Na seconda categoria, certamente si annovera il sedicenne il quale, infatti, riceve già dalle norme vigenti un trattamento differenziato”. Sul tema si veda Rescigno, Interessi, diritti, esercizio dei diritti nell’età minorile, in Matrimonio e famiglia, Torino, 2000, 319. (10) Osserva Thiene, op. cit., 1620 che “certo il divieto, previsto nel risalente art. 96 della legge sul diritto d’autore e ribadito all’art. 10 del codice civile, di esporre o pubblicare l’immagine altrui, salvo che non sussista il consenso della persona interessata, può forse oggi sembrare retrivo e paludato. Ma resta comunque (e per fortuna) il punto di partenza di qualsiasi discorso giuridico sulla disponibilità dei diritti della personalità”. (11) In questi termini si esprime Nitti, La pubblicazione di foto di minori sui social network tra tutela della riservatezza e individuazione dei confini della responsabilità genitoriale, in Fam. e dir., 2018, 4, 380. (12) Trib. Mantova, 19 settembre 2017 e Trib. Roma, 23 dicembre 2017, in Fam. e dir., 2018, 4, 380 ss. Vi è, poi, un altro precedente, inedito, Tribunale di Foggia del gennaio 2017. Ne riporta alcuni passi salienti Gargiulo, Tribunale Foggia: no foto minori sui social senza consenso entrambi i genitori, in <http://www.statoquotidiano.it>, 2017. (13) La pericolosità della divulgazione su internet di immagini e dati di minori rappresenta una problematica verso cui lo stesso Garante privacy si è mostrato negli anni particolarmente sensibile. Dal momento che l’estrema pervasività della divulgazione via Internet può rendere particolarmente seria la violazione dei diritti dell’interessato è necessario che il livello di allerta sia massimo quando vengano inserite sul web informazioni riguardanti bambini. È quanto affermato dal Garante in un recente
GIURISPRUDENZA CIVILE 3. Alcune considerazioni
L’ordinanza del Tribunale di Rieti si colloca nel solco tracciato dalla giurisprudenza di merito (14) che tutela l’immagine dei minori, quando questa venga messa in pericolo dalla pubblicazione di foto on line senza il consenso dei genitori. La prima considerazione che si vuole sviluppare attiene alle modalità di prestazione del consenso alla diffusione delle immagini dei minori ed, in particolare, se, a tal fine, occorra il consenso congiunto dei genitori o se, invece, sia sufficiente il consenso di uno solo di essi (15). Nel provvedimento in esame, il Tribunale – in linea con i richiamati precedenti giurisprudenziali – è dell’avviso che sia necessario il consenso di entrambi i genitori. Sulla stessa linea si pone anche la dottrina (16), che arriva alla medesima conclusione della giurisprudenza, muovendo dal rilievo che, nell’attuale quadro normativo (17), la protezione dei dati personali è un diritto fondamentale. Ne consegue che la cessione a terzi della facoltà di trattare i danni personali dei figli e, dunque, diffonderli, usarli, cederli, difficilmente potrà essere considerata come questione di ordinaria amministrazione, con la conseguenza che i genitori dovranno aprire insieme un account Facebook o Instagram per il proprio figlio e, sempre congiuntamente, dovranno agire per tutte quelle operazioni sul web che comportino la divulgazione di uno o più dati personali. A tale impostazione si potrebbe, tuttavia, obiettare che l’art. 2 quinquies del Codice della Privacy richiede, in caso di minore di età inferiore ai quattordici anni, che il consenso sia prestato “da chi esercita la responsabilità genitoriale” e, dunque, in base ad un’interpretazione
provvedimento (Autorità Garante della Privacy, 23 febbraio 2017, n. 75) con cui ha disposto la rimozione di due sentenze relative alla cessazione degli effetti civili del matrimonio contenenti dati personali di una minorenne, pubblicate dalla madre della stessa sulla propria pagina Facebook. (14) In Trib. Roma, 23 dicembre 2017, cit., la tutela è accordata nelle forme previste dall’art. 709 ter c.p.c.; in Trib. Mantova, 19 settembre 2017, cit., invece, lo strumento processuale utilizzato è quello disciplinato dall’art. 337 quinquies c.p.c. (15) In caso di separazione o divorzio, il problema non si pone in ipotesi di affidamento esclusivo, che impone l’assunzione da parte di entrambi i genitori delle scelte più importanti, o di affidamento superesclusivo, che, invece, concentra tutto il potere decisorio su un genitore. Il problema sussiste, invece, nelle ipotesi di affidamento condiviso. (16) Simeone, Tutela della privacy dei minori rafforzata con il GDPR: chi apre l’account Facebook dell’infrasedicenne figlio di genitori separati?, in <http:// www.ilfamiliarista.it>. (17) L’art. 1 del Regolamento (UE) 2016/679 definisce il diritto alla protezione dei dati personali come diritto e libertà fondamentale, in armonia con l’art. 8 par. 1 della Carte dei diritti fondamentali dell’Unione Europea e con l’art. 16, par. 1, del Trattato sul funzionamento dell’Unione Europea.
strettamente letterale, potrebbe ritenersi sufficiente la manifestazione di volontà di uno solo dei genitori. Il consenso digitale del minore (18) (o di chi esercita la responsabilità genitoriale, in caso di minore infraquattordicenne) alla diffusione di immagini on line - e si viene, così, alla seconda considerazione – non è soltanto una dichiarazione di volontà, attraverso la quale si esercita un diritto della personalità, ma è anche una forma di controllo ex ante sui possibili utilizzi illeciti di dette immagini. Forma di controllo che, tuttavia, è destinata ad essere vanificata dal fatto che il materiale fotografico, una volta immesso nel web, può essere agevolmente pubblicato all’infinito da altri utenti, indicizzato da onnivori motori di ricerca, potenzialmente destinato a rimanere intrappolato nel mondo virtuale, che vive un eterno presente dove il passato non passa mai (19). Proprio al fine di predisporre un efficace sistema di protezione del minore in relazione ai nuovi media è stata di recente approvata la legge per il contrasto al cyberbullismo (l. 29 maggio 2017, n. 71, “Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo”) (20). All’art. 1 della l. n. 71 del 2017 espressamente si include nella nozione di “cyberbullismo” “la diffusione di contenuti on line aventi ad oggetto anche uno o più componenti della famiglia del minore il cui scopo intenzionale e predominante sia quello di isolare un minore o un gruppo di minori ponendo in atto un serio abuso, un attacco dannoso, o la loro messa in ridicolo”. Di fronte a contenuti lesivi della dignità e della reputazione fondamentale è il rimedio previsto dall’art. 2, che richiama la procedura del notice and take down (21). In particolare, i minori ultraquattordicenni (e ovviamente anche i genitori) hanno la possibilità di inoltrare automaticamente al titolare del trattamento, al gestore del sito internet o del social media un’istanza per l’oscuramento, la rimozione, il blocco dei contenuti (post, immagini, video, informazioni) oggetto delle condotte aggressive avvenute on line. Nel caso in cui il gestore non (18) Su questo concetto si rinvia alle considerazioni di Nitti, op. cit., 390 ss. Si veda anche Bravo, Il consenso e le altre condizioni di liceità, in Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, 167. (19) Così, molto suggestivamente, si esprime Thiene, op. cit., 1619. (20) Tra i primi commenti alla legge si rinvia a Pittaro, La legge sul cyberbullismo, in Fam. e dir., 2017, 8-9, 819; Bocchini - Montanari, Le nuove disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo, in Nuove Leggi Civ. Comm., 2018, 2, 340 ss. La legge ha creato vasti dibattiti sulla sua utilità, al punto che secondo alcuni non dovrebbe nemmeno parlarsi di un’autentica legge, mancando il principio sanzionatorio che accompagna ogni norma imperativa (si veda Cassano - Marvasi, La responsabilità educativa dei genitori per minori cyberbulli, in Danno e resp., 2018, 6, 763). (21) Soro, Persone in rete. I dati tra poteri e diritti, Roma, 2018, 75 s
DIRITTO DI INTERNET N. 2/2019
313
GIURISPRUDENZA CIVILE vi provveda, sarà possibile rivolgersi all’Autorità garante per la protezione dei dati personali, che entro 48 ore dovrà intervenire (art. 2). Al fine di responsabilizzare i minori ultraquattordicenni viene previsto anche un procedimento di ammonimento, che consente al questore di convocare il ragazzo autore della condotta illecita. Gli effetti di questo provvedimento amministrativo sono destinati a cessare al compimento della maggiore età (art. 7) (22).
4. Conclusioni
La decisione in commento merita, in definitiva, di essere condivisa, poichè, muovendo dall’esigenza, sempre più avvertita dall’ordinamento, di tutelare l’interesse del minore, giunge a sanzionare severamente la condotta di chi quell’interesse mette a repentaglio, diffondendone illecitamente le immagini sul web.
(22) Dubbi sull’ambito di applicazione e sugli effetti della misura sono espressi da Pizzetti, La nuova legge sul cyberbullismo n. 71/2017, in Privacy, Minori e Cyberbullismo, op. cit., 36 s.
314
DIRITTO DI INTERNET N. 2/2019
Sebbene, nella fattispecie in esame, la sanzione giudiziale sia stata rivolta nei confronti di un soggetto estraneo alla coppia genitoriale, tuttavia, non può sottacersi il fatto che, molto spesso, in vicende di questo tipo vengono in rilievo anche profili di responsabilità della madre e/o del padre del minore (23), che non esercitano adeguatamente i doveri di vigilanza o, nella peggiore delle ipotesi, concorrono attivamente nella realizzazione di illeciti in danno dei figli. Ciò rende ragione dell’utilizzo, in taluni casi di diffusione on line di immagini di minori, dello strumento dell’art. 709 ter c.p.c. e induce una parte della dottrina (24) a rivolgere una sorta di monito ai genitori, auspicando un consistente ristoro per le sofferenze morali ed esistenziali patite da bambini e adolescenti, che in rete vivono una particolare condizione di fragilità.
(23) Si veda, in proposito, Nitti, cit., secondo cui trattasi di “una problematica che si colloca al crocevia tra rispetto al diritto alla riservatezza e individuazione dei connotati propri della responsabilità genitoriale in un settore peculiare, quale quello della diffusione dei dati dei minori, in cui appare maggiormente urgente comprendere e verificare se e in che modo la violazione degli obblighi sussistenti in capo ai genitori possa essere in qualche modo sanzionata”. (24) Thiene, op. cit., 1625.
GIURISPRUDENZA CIVILE
Un precedente di responsabilità del social network per attività abusiva di linking Tribunale di Roma ; sez. spec. imprese; sentenza 15 febbraio 2019; Pres. Pedrelli; Est. Russo; Reti televisive italiane s.p.a. (avv. ti. S. Previti, A. La Rosa, G. Mangialardi) c. Facebook Inc. e Facebook Ireland Limited (avv. ti. M. Bellezza, M. Montinari). Per stabilire la giurisdizione relativa agli illeciti aquiliani commessi sulla rete Internet, non si deve dare rilievo al luogo del materiale “caricamento” sul server del danneggiante (che è soltanto potenzialmente generatore di danno), ma occorre avere riguardo al luogo in cui il danno materialmente si consuma con la diffusione dei dati digitali nell’area di mercato ove la parte danneggiata risiede o esercita la sua attività di impresa. Ne discende allora che non può darsi rilievo né al luogo ove ha sede la convenuta, né a quello dei server dove gli utenti hanno caricato i file contestati, ma si debba far riferimento al luogo dove l’attore è residente o dove esercita la propria attività di impresa perché è qui che si è consumato l’evento lesivo (1). È illecita la pubblicazione di link di collegamento a portali terzi, in assenza di qualsiasi preventiva autorizzazione del titolare (2). Gli Internet service provider non sono responsabili delle informazioni trattate e delle operazioni compiute dagli utenti (destinatari) che fruiscono del servizio, salvo intervengano sul contenuto o sullo svolgimento delle stesse operazioni. Ed infatti, la normativa europea esclude espressamente un obbligo di monitoraggio preventivo e generalizzato, come pure un “obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite” (art. 15, Dir. 2000/31/CE) (3). Anche al semplice prestatore di un servizio dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio medesimo (c.d. hosting passivo), va esclusa l’esenzione di responsabilità prevista dall’art. 14 della Direttiva 31/2000 quando lo stesso dopo aver preso conoscenza, mediante un’informazione fornita dalla persona lesa o in altro modo, della natura illecita di tali dati o di attività di detti destinatari abbia omesso di prontamente rimuovere tali dati o disabilitare l’accesso agli stessi. Pertanto la conoscenza, comunque acquisita (non solo se conosciuta tramite le autorità competenti o a seguito di esplicita diffida del titolare dei diritti) dell’illiceità dei dati memorizzati, fa sorgere la responsabilità civile e risarcitoria del prestatore di servizi (4). L’effettiva conoscenza del provider – ancorché acquisita ex post – della natura illecita dei contenuti caricati sui propri server è sufficiente ad integrare la responsabilità di quest’ultimo, non essendo necessario attendere un provvedimento di rimozione emanato da una pubblica autorità. L’inerzia protratta in modo ingiustificato è sempre fonte di responsabilità, indipendentemente ed ancor prima dell’esistenza di un ordine dell’Autorità. La dimostrazione dell’effettiva conoscenza dei contenuti illeciti da parte del provider rende altresì del tutto irrilevante verificare se l’attività svolta da quest’ultimo sia riconducibile alla figura dell’hosting provider attivo ovvero a quella dell’hosting provider passivo che, invece, assume una posizione del tutto neutrale rispetto alle informazioni immesse dagli utenti (5). Il danno non patrimoniale per la lesione dell’onore, del decoro e della reputazione, trattandosi di diritti assoluti della personalità di rango costituzionale deve ritenersi che la loro semplice violazione sia in re ipsa produttiva di danno a prescindere dall’accertamento in concreto del reato di diffamazione, i cui elementi costitutivi risultano comunque, almeno astrattamente, integrati (6). Per la quantificazione del danno patrimoniale derivante dalla lesione dei diritti d’autore si deve aver riguardo alla previsione di cui all’art. 158, comma 2, L.d.A.. In mancanza di prova specifica sugli utili realizzati dal contraffattore in violazione del diritto, occorre dare prevalenza al criterio del c.d. “prezzo del consenso”, individuato sulla base dell’importo dei diritti che il contraffattore avrebbe dovuto riconoscere al titolare dei diritti qualora l’autore delle violazioni avesse preventivamente richiesto l’autorizzazione per l’uso dei diritti esclusivi in questione (7).
Fatto e diritto …Omissis … 2. Venendo al merito le domande proposte da RTI e dalla sig.ra P. nei confronti delle convenute sono parzialmente fondate e devono essere accolte nei limiti di seguito precisati. L’azione di responsabilità promossa dalle due attrici ha ad oggetto, da un lato, i diritti della persona rivendicati
da entrambe (onore, reputazione, decoro ed immagine) e, dall’altro, i diritti di proprietà industriale e i diritti d’autore di cui la sola RTI si afferma titolare ed in particolare il diritto sul marchio “Italia 1” e i diritti esclusivi di utilizzazione economica sui contenuti audiovisivi della serie animata “K.” (prima e seconda stagione) nonché sull’immagine, il nome e la voce della sig.ra P., la quale ha realizzato, in collaborazione con la società attrice, la
DIRITTO DI INTERNET N. 2/2019
315
GIURISPRUDENZA CIVILE sigla di apertura del suddetto programma televisivo trasmesso attraverso la rete “Italia 1”. Sotto quest’ultimo profilo la legittimazione attiva di RTI non è stata specificamente contestata dalle convenute e, in ogni caso, dalla documentazione commerciale e contrattuale allegata in atti emerge la titolarità dei menzionati diritti in capo alla società attrice. Quest’ultima, oltre ad aver documentato la sua qualità di concessionaria per l’esercizio dell’emittente televisiva “Italia 1” in forza di appositi decreti ministeriali (doc. 2) e di titolare dell’omonimo marchio (doc. 4), ha altresì dato prova di aver acquistato dalla società V. LLC i diritti di trasmissione e sfruttamento economico, in esclusiva per il territorio italiano, della serie di cartoni animati giapponesi dal titolo “K.”, prima e seconda stagione (doc. 5). Allegati al fascicolo di parte attrice si rinvengono poi anche i contratti stipulati tra RTI e la sig.ra P. (docc. 6 e 7), in forza dei quali è stata realizzata la ‘ sigla del suddetto programma televisivo con contestuale cessione dall’artista all’impresa produttrice di tutti i diritti di sfruttamento economico anche sul nome, l’immagine e la voce. Va quindi riconosciuto in capo a RTI, in relazione al programma oggetto del presente giudizio, il diritto esclusivo di autorizzare sia la riproduzione integrale o in frammenti, secondo le modalità stabilite, che la loro messa a disposizione del pubblico in modo che ciascuno possa avervi accesso dal luogo e nel momento individualmente scelto, sicché la riproduzione effettuata da terzi senza la preventiva autorizzazione del titolare lede direttamente i suoi diritti esclusivi. Non è oggetto di contestazione – anzi, risulta implicitamente ammesso dalle convenuta, oltre che documentato dalla relazione peritale prodotta dall’attrice (doc. 20) e riscontrato dal consulente nominato da questo Tribunale – che sul portale telematico “Facebook” (di cui le convenute sono titolari) è stato creato un profilo telematico dal titolo “V. P. nei panni di K. è assolutamente ridicola”, nel quale è stata pubblicata una fotografia della sig. ra P. e sono stati caricati due collegamenti ipertestuali (links) che alla visione di due sequenze di immagini tratte dalla conducevano citata serie animata “K.” trasmessa da RTI attraverso l’emittente “Italia 1”. Sul medesimo profilo sono stati pubblicati i commenti di alcuni utenti che hanno risolto alla sig.ra P. le seguenti espressioni: “viados in minigonna”, “sembra presa dal marciapiede, è una cosa rivoltante”, “è uguale pazza e squilibrata!”, “V. P., il cazzo è per te”, “Troia zoccola K., zoccola, troia, vacca zoccola”. Tra i commenti degli utenti pubblicati sul profilo in questione si rinvengono anche le seguenti dichiarazioni riferite alla società attrice: “Che roba vergognosa… il montaggio non ha alcun senso… È una cosa rivoltante. Bisognerebbe prendere un bastone chiodato e picchiare non solo chi ha prodotto questo scempio,
316
DIRITTO DI INTERNET N. 2/2019
ma anche chi ha permesso “Che vergogna… come si può produrre un’operazione del genere. Che si vergognino a RTI music e Mediaset. Stanno sfasciando del tutto la fascia ragazzi”. Anzitutto va affermato l’inequivocabile carattere offensivo ed ingiurioso delle espressioni sopra riportate sicuramente non scriminate dal diritto di critica e di satira invocati dalle convenute. A tal proposito è sufficiente richiamare il costante orientamento giurisprudenziale della Suprema Corte che, nell’operare il corretto bilanciamento tra la libertà di manifestazione del pensiero garantita dall’art. 21 della Costituzione e i diritti fondamentali delle persona (quali la dignità, l’onore, il decoro, la riservatezza, l’identità personale e la reputazione) tutelati dagli artt. 2 e 3 della medesima Costituzione, ha più volte affermato che per l’applicazione della scriminante dell’esercizio del diritto è necessaria non solo la verità oggettiva del fatto, ma anche la correttezza dell’esposizione dello stesso (cosiddetta continenza), che consta di due aspetti, uno formale ed uno sostanziale, ciascuno dei quali deve ricorrere nel caso concreto perché l’esimente possa operare (cfr. tra, le tante Cass. 23/07/2003 n. 11455 e Cass. 31/03/2007 n. 8065). Con specifico riferimento al diritto di critica la Corte di Cassazione ha precisato che lo stesso “può essere esercitato utilizzando espressioni di qualsiasi tipo anche lesive della reputazione altrui, purché siano strumentalmente collegate alla manifestazione di un dissenso ragionato dall’opinione o comportamento preso di mira e non si risolvano in un’aggressione gratuita e distruttiva dell’onore e della reputazione del soggetto interessato” (Cass. 16/05/20Q8 n. 12420). Ora, nel caso di specie, non può essere revocato in dubbio che le espressioni sopra menzionate travalichino il limite della continenza, in quanto si risolvono in aggressioni del tutto, gratuite e distruttive dell’onore e della reputazione della sig.ra. P., derisa per le sue caratteristiche fisiche, e dell’impresa RTI rimproverata per essersi avvalsa delle prestazioni della citata artista. Parimenti illecita deve ritenersi la presenza sul profilo Facebook: qui in contestazione di collegamenti ipertestuali (links) che conducevano alla visione di due sequenze di immagini tratte dalla citata serie animata trasmessa da RTI e segnatamente le immagini relative alla sigla iniziale. Sul carattere illecito della pubblicazione di link di collegamento a portali terzi, in assenza di qualsiasi preventiva autorizzazione del titolare si e più volte espressa anche la Corte di Giustizia dell’Unione Europea, la quale ha affermato che “l’atto di collocare un collegamento ipertestuale verso un’opera illegittimamente pubblicata su Internet costituisce una. comunicazione al pubblico ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29” (sentenza del 26 aprile 2017 relativa al caso C-527/15) e che “la messa in rete di un’opera protetta
GIURISPRUDENZA CIVILE dal diritto d’autore su un sito Internet diverso da quello sul quale è stata effettuata la comunicazione iniziale con l’autorizzazione del titolare del diritto d’autore deve … essere qualificata come messa a disposizione di un pubblico nuovo di siffatta opera” (sentenza del 7 agosto 2018 relativa al caso C-161/17). Dunque, la diffusione dei contenuti audiovisivi di cui RTI è titolare attraverso Facebook integra un’ipotesi di comunicazione ad un pubblico nuovo perché diverso da quello in origine autorizzato dall’attrice. Ed infatti i link pubblicati attraverso la pagina Facebook conducevano non a materiali pubblicati dalla stessa RTI attraverso la propria piattaforma telematica, bensì a materiale pubblicato attraverso un sito terzo (YouTube) non autorizzato da RTI alla diffusione dei materiali audiovisivi in questione. Ne consegue che, in assenza di specifica autorizzazione di RTI, la messa a disposizione del pubblico (mediante link a portali ferzi) della sigla televisiva della Serie Animata “K.” deve ritenersi indubbiamente illecita. A questo punto occorre passare ad esaminare il punto più delicato della controversia ovvero l’accertamento della responsabilità delle convenute per aver concorso, quantomeno con la loro condotta omissiva, alle violazioni poste in essere dagli utenti che hanno fattivamente creato il profilo Facebook in contestazione e materialmente caricato i contenuti plurioffensivi qui denunciati. Con riferimento a tale questione le convenute hanno invocato la Direttiva 31/2000/CE e il decreto legislativo attuativo n. 70/2003 che in materia di responsabilità degli internet service providers (ISP) dettano una disciplina derogatoria rispetto alla disciplina comune sulla responsabilità civile ex art. 2043 c.c.. Le convenute, in particolare, hanno eccepito l’esclusione della propria responsabilità ai sensi degli artt. 16 e 17, d.lgs. n. 70/03, in relazione alla loro natura di hosting provider passivo, all’assenza di una puntuale diffida e alla mancanza di un ordine di rimozione emesso da una pubblica autorità. Al riguardo, si osserva innanzitutto che per internet service provider si intendono quei soggetti che, operando nella società dell’informazione, forniscono liberamente servizi internet in specie servizi di connessione, trasmissione e memorizzazione dati anche attraverso la messa a disposizioni delle loro apparecchiature per ospitare i dati medesimi. Il provider è essenzialmente un intermediario che stabilisce un collegamento tra chi intende comunicare un’informazione ed i destinatari della stessa, di talché qualsiasi attività venga posta in essere sulla rete internet passa sempre attraverso l’intermediazione di un provider ed i dati transitano attraverso i server che lo stesso prestatore mette a disposizione per erogare i suoi servizi tanto di accesso (access provider) che di fornitura di email e di spazi web (hosting). Al fine di armonizzare la regolamentazione dell’attività degli intermediari della comunicazione sulla rete internet, l’unione euro-
pea ha approntato una dettagliata normativa (Direttiva 31/2000/CE sui servizi della società dell’informazione, in particolare sul commercio elettronico, recepita in Italia con il d.lgs. 9 aprile 2003, n. 70), riguardante la tutela -dell’affidabilità delle transazioni, la disciplina dell’attività dei prestatori di servizi in rete, e prevedendo, in presenza di specifici requisiti, esenzioni di responsabilità a favore di alcuni prestatori per gli illeciti commessi dagli utenti tramite i loro servizi. In, considerazione della diversità dei internet provider, la Direttiva, nella “responsabilità dei prestatori servizi forniti dagli sezione dedicata alla intermediari”, distingue, conformemente a quanto indicato nei “considerando”, tre tipi di attività di intermediazione: – prestatori di semplice trasporto intermediazione che consiste nel servizio (mere conduit - art. 12): di trasmettere, sulla rete di comunicazione, informazioni fornite da un destinatario del servizio, o nel fornire un accesso alla rete di comunicazione stessa. Tale servizio è caratterizzato dal fatto che memorizzazione delle informazioni trasmesse rete assolutamente transitoria e dura lo stretto tempo necessario a consentire la trasmissione richiesta dall’utente; – prestatori di servizi di memorizzazione temporanea (caching - art. 13): servizio di trasmissione, su una rete di comunicazione, di informazioni fornite da un destinatario del servizio, caratterizzato da una memorizzazione automatica e temporanea delle informazioni al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta; prestatori di servizi di memorizzazione di informazione (hosting - art. 14): memorizzazione di informazioni fornite dal destinatario, che, nella piattaforma Facebook, ha lo scopo di consentire la condivisione del materiale memorizzato con un numero indeterminato di altri utenti. La regola di base prevede che gli internet service provider non siano responsabili delle informazioni trattate e delle operazioni compiute dagli utenti (destinatari) che fruiscono del servizio, salvo intervengano sul contenuto o sullo svolgimento delle stesse operazioni. Ed infatti, la normativa europea esclude espressamente un obbligo di monitoraggio preventivo e generalizzato, come pure un “obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite” (art. 15, Dir. 2000/31/CE). Le ipotesi di esonero di responsabilità variano, invece, per i predetti intermediari in base alle diverse caratteristiche del servizio offerto e, in particolare, ‘ in virtù della diversa durata della memorizzazione delle informazioni immesse dall’utente. Ora, tralasciando in questa sede l’attività di caching e la più circoscritta attività di mere conduit, e prendendo in considerazione la sola attività di hosting (alla quale deve essere ricondotta l’attività svolta dalle convenute), occorre far riferimento alla disciplina dettata dall’art. 16, comma 1, d.lgs. n. 70/2003, che in attuazione di quanto
DIRITTO DI INTERNET N. 2/2019
317
GIURISPRUDENZA CIVILE previsto dall’art. 14 della direttiva europea, ha escluso la responsabilità del prestatore, a condizione che il medesimo: “a) non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione; b) non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere informazioni o per disabilitarne l’accesso”. Sul punto è bene precisare che le due ipotesi prese considerazione dalla disposizione di legge sono tra loro alternative, nel senso che è sufficiente che non ricorra anche una sola di esse affinché il provider non sia esente responsabilità. Ed infatti, il testo normativo adottato dal legislatore italiano deve essere interpretato conformemente a quanto statuito dalla Corte di Giustizia con riferimento alla direttiva a cui il d.lgs. n. 70/2003 ha dato attuazione. Ebbene la CGUE ha affermato che, anche in riferimento al semplice prestatore di un servizio dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del (cd. hosting passivo), va esclusa l’esenzione servizio medesimo di responsabilità prevista dall’art. 14 della, Direttiva, 31/2000 quando lo stesso “dopo aver preso conoscenza, mediante un’informazione fornita dalla persona lesa o in altro modo, della natura illecita di tali da ti o di attività di detti destinatari abbia omesso di prontamente rimuovere tali dati o disabilitare l’accesso agli stessi”, così sancendo il principio secondo il quale la conoscenza, comunque acquisita (non solo se conosciuta tramite le autorità competenti o a seguito di esplicita diffida del titolare dei diritti) dell’illiceità dei dati memorizzati fa responsabilità civile e risarcitoria del prestatore (sentenza del 23.03.2010, relativa alle Cause riunite sorgere la di servizi da C-236/08 a C-238/08 – Google c. L. V.). Tale principio è stato poi ribadito la CGUE precisato anche in una successiva sentenza in cui che, affinché l’hosting provider sia considerato corrente circostanze che rendono manifesta l’illegalità del contenuto immesso sul portale telematico, è sufficiente “che egli sia stato al corrente di fatti o di circostanze in base ai quali un operatore economico diligente avrebbe dovuto constatare l’illiceità di cui trattasi” (sentenza del 12.07.2011 nella causa C-324/09). Il principio di responsabilità del provider collegato all’effettiva conoscenza – ancorché acquisita ex post – della natura illecita dei contenuti caricati sui propri server costituisce il giusto punto di equilibrio tra i vari diritti protetti dalla Carta dei Diritti fondamentali dell’Unione Europea: da una parte, quelli di cui godono i titolari di diritti d’autore, dall’altra, la libertà internet e il diritto d’impresa dei fornitori di accesso a degli utenti di ricevere o comunicare informazioni. Rilevante, sul punto, appare anche considerando 48 della Direttiva n 31/2000, il quale
318
DIRITTO DI INTERNET N. 2/2019
prevede possibilità, per gli Stati membri, di chiedere ai prestatori servizi che detengono informazioni fornite dai destinatari del loro servizio, di adempiere al dovere di diligenza che è ragionevole attendersi da loro ed è previsto dal diritto nazionale, al fine di individuare e prevenire taluni tipi di attività illecite. In tal caso, l’obbligo di intervento protettivo e di rimozione dei contenuti illeciti non, è preventivo e indiscriminato, ma subentra solo successivamente (ex post) alla puntuale indicazione dei titoli dei programmi tutelati da diritti esclusivi del titolare leso ed è limitato ai singoli contenuti preesistenti sul portale telematico. La conoscenza dell’illiceità dei dati memorizzati, comunque acquisita (anche mediante un’informazione fornita dalla persona lesa), fa sorgere la responsabilità civile e risarcitoria del prestatore di servizi. Applicando il principio delineato dalla Corte di Giustizia sopra richiamato si deve, quindi, ritenere che l’effettiva conoscenza del provider – ancorché acquisita ex post – della natura illecita dei contenuti caricati sui propri server è sufficiente ad integrare la responsabilità di quest’ultimo, non essendo necessario attendere un provvedimento di rimozione emanato da una pubblica autorità, come infondatamente sostenuto dalle convenute. L’inerzia protratta in modo ingiustificato è sempre fonte di responsabilità, indipendentemente ed ancor prima dall’esistenza di un ordine dell’Autorità, come ripetutamente affermato dalla Corte di Giustizia. La dimostrazione dell’effettiva conoscenza dei contenuti illeciti da parte del provider rende altresì del tutto irrilevante verificare se l’attività svolta da quest’ultimo sia riconducibile alla figura dell’hosting provider attivo (ossia a quella del provider che opera forme di intervento volte a sfruttare i contenuti dei singoli materiali caricati dagli utenti e memorizzati sui propri server: c.d. content - provider) ovvero a quella dell’hosting provider passivo che, invece, assume una posizione del tutto neutrale rispetto alle informazioni immesse dagli utenti. Ed infatti anche il cd. hosting provider passivo non appena ricevuta la notizia dell’illecito commesso dai fruitori del suo servizio, deve attivarsi al fine di consentire la pronta rimozione delle informazioni illecite immesse sul sito o per impedire l’accesso ad esse, in quanto egli è tenuto a svolgere la propria attività economica nel rispetto di quella diligenza che è ragionevole attendersi per individuare e prevenire le attività illecite specificamente denunciate. Tornando al caso in esame occorre anzitutto verificare se le due convenute siano state adeguatamente messe a conoscenza dei contenuti illeciti caricati sul profilo Facebook sopra descritto, con la conseguente insorgenza di un obbligo attivo di intervento per impedire la prosecuzione dell’attività illecita.
GIURISPRUDENZA CIVILE Sotto questo profilo la parte convenuta ha contestato l’idoneità delle diffide prodotte da controparte, sostenendo che le stesse non siano sufficientemente dettagliate in quanto non contengono gli URL dei commenti censurati. L’eccezione è del tutto priva di pregio giuridico. Ed. invero a prescindere dal fatto che l’indicazione dell’URL costituisce un dato tecnico che non coincide con i singoli contenuti lesivi presenti sulla piattaforma digitale, ma rappresenta soltanto il “luogo” dove i contenuti sono reperibili e, quindi, non costituisce un presupposto indispensabile per la loro individuazione1, si deve comunque rilevare che nel caso in esame già la prima diffida datata 26/2/2010 (doc. Il del fascicolo di parte attrice) non soltanto fornisce informazioni specifiche sui contenuti illeciti, ma contiene anche l’indicazione dell’URL relativo alla pagina web di apertura del profilo Facebook in contestazione. Si tratta della pagina attraverso la quale era possibile iscriversi al “gruppo” appositamente creato, leggere commenti indirizzati alle due attrici ed infine visionare, attraverso i link, alcuni contenuti audiovisivi della serie animata “K.”. Risulta, quindi, provato che le società convenute sono state adeguatamente rese edotte dei contenuti illeciti del profilo in contestazione e nonostante le diffide reiterate con le lettere del 17/3/2010, del 25/3/2010, del 2/4/2010 e dell’8/4/2010 (docc. 13, 14, 15 e 16), hanno scientemente omesso di disabilitare l’accesso ai contenuti in questione che sono stati rimossi dopo quasi due anni. A fronte delle evidenti risultanze documentali, le convenute non hanno fornito, in via alternativa, valida dimostrazione del fatto di essersi trovate nella situazione giuridica oggettiva di non conoscibilità ex post dei contenuti illeciti segnalati da parte attrice. In conclusione, dunque, essendo stato accertato che le titolari del portale Facebook non hanno adottato tutte le misure ragionevolmente esigibili nel caso di specie per impedire la diffusione illecita dei contenuti e che, quindi, non hanno agito secondo la diligenza che può essere ragionevolmente richiesta all’hosting provider, responsabilità delle deve concludersi per l’accertamento della due convenute a titolo di cooperazione colposa mediante omissione, per la violazione dei diritti della persona di entrambe le attrici e dei diritti autorali spettanti a RTI anche ex art. 79 LDA in relazione ai contenuti audiovisivi della serie animata “K.” ivi inclusi i diritti di immagine ad essa ceduti dalla sig.ra P. per la realizzazione della relativa sigla. Va, invece, esclusa l’ulteriore violazione, affermata da RTI, dei diritti sul marchio da essa registrato, dovendosi sul punto evidenziare che le convenute non si sono mai appropriate del segno distintivo della società attrice per commercializzare o pubblicizzare propri servizi o prodotti, essendo palese che il marchio “Italia 1”, presente sui
“brani audiovisivi in contestazione, si riferisce, appunto, a programmi di RTI. In definitiva vanno, quindi, accertati e dichiarati gli illeciti denunciati nell’atto di citazione e la lesione dei diritti rivendicati dalle due attrici esclusione del diritto sul marchio “Italia 1”. Benché le convenute abbiano già da tempo provveduto alla rimozione del profilo Facebook contestazione, va comunque accolta la domanda di inibitoria, assolvendo della misura anche ad una funzione preventiva rispetto a nuovi illeciti che potrebbero verificarsi in futuro. Passando ad esaminare le domande risarcitorie anzitutto va riconosciuto il danno non patrimoniale rivendicato dalla sig.ra P. per la lesione dell’onore, del decoro e della reputazione. Trattandosi di diritti assoluti della personalità di rango costituzionale deve ritenersi che la loro semplice violazione sia in re ipsa produttiva di danno a prescindere dall’accertamento in concreto del reato di diffamazione, i cui elementi costitutivi risultano comunque, almeno astrattamente, integrati. La liquidazione di siffatto danno non può che avvenire in via equitativa, tenuto conto delle particolarità del caso concreto. Ebbene proprio in considerazione della incontestabile gravità delle offese pubblicate, dello strumento di pubblicazione utilizzato (internet), del tempo di permanenza delle pubblicazioni di contro, della limitata notorietà offensive (circa due anni) e, della persona offesa, appare equo quantificare il danno patito dalla sig.ra P. in euro 15.000,00 al valore attuale della moneta. Per la quantificazione del danno patrimoniale derivante dalla lesione dei diritti d’autore spettanti ad RTI, invece, si deve aver riguardo alla previsione cui all’art. 158, comma 2, LdA in forza del quale il risarcimento dovuto al danneggiato è liquidato articoli 1223, 1226 e codice civile. Il lucro cessante è valutato dal giudice secondo le disposizioni degli 1227 del ai sensi dell’art. 2056 secondo comma del codice civile, anche tenuto conto degli utili realizzati in violazione del diritto. Il giudice può altresì liquidare il danno in via forfettaria, sulla base quanto meno dell’importo dei diritti che avrebbero dovuto essere riconosciuti. In mancanza di prova specifica sugli utili realizzati dal contraffattore in violazione del diritto, occorre dare prevalenza al criterio del c.d. “prezzo del consenso”, individuato sulla base dell’importo dei diritti che parte convenuta avrebbe dovuto riconoscere a parte attrice qualora l’autrice delle violazioni avesse preventivamente richiesto l’autorizzazione per l’uso dei diritti esclusivi in questione. A tal fine è stata disposta ed espletata una consulenza tecnica d’ufficio, attraverso la quale è stato demandato al CTU l’accertamento del tempo di permanenza complessiva sul portale Facebook dei due brani audiovisivi
DIRITTO DI INTERNET N. 2/2019
319
GIURISPRUDENZA CIVILE in contestazione, della durata degli stessi e del valore delle royalties per l’utilizzo di detti brani. In relazione al primo quesito il CTU ha accertato che il tempo di permanenza dei brani contestati sul portale Facebook è stato di circa due anni. Il consulente ha potuto verificare la data di caricamento presente sul portale (14/1/2010), ma non anche la data di rimozione che, secondo quanto riferito dalla parte convenuta, risale al 9 dicembre 2011, mentre la parte attrice la posticipa al gennaio del 2012. Con riferimento al secondo quesito il CTU, pur segnalando l’impossibilità di verificare puntualmente la durata di ciascuno; dei due brani audiovisivi, in considerazione del fatto che gli stessi erano stati ormai rimossi dal portale, ha evidenziato che della durata può essere desunta dalle schermate iniziali dei due filmati (screenshot) presenti nella relazione peritale prodotta da parte attrice (doc. 20): sulla base di tali elementi ha, quindi, accertato che la durata del filmato “P. 001.mov” era pari ad 1 minuto e 20 secondi e la durata del filmato “P._002.mov” era pari a 3 minuti e 13 secondi, per un totale complessivo di 4 minuti e 33 secondi che può essere arrotondato a 5 minuti. In relazione al terzo quesito il CTU preliminarmente ha evidenziato la difficoltà di individuare dei parametri economici perfettamente adattabili al mercato dello streaming video su internet che si caratterizza per una costante evoluzione dei profili e per un continuo riadattamento dei modelli di business. Ciononostante il consulente ha comunque individuato un corrispettivo fisso da riconoscere per l’utilizzo dei brani audiovisivi in contestazione e a tal fine si è avvalso dei contratti prodotti dalle parti aventi ad oggetto accordi transattivi o accordi commerciali conclusi da RTI con la RAI o con altri operatori del mercato televisivo o dei portali web. In particolare il CTU ha fatto riferimento a tre contratti (ritenuti maggiormente comparabili) ed effettuando una media dei corrispettivi ivi previsti ha stimato un corrispettivo di euro 809,50 per ogni minuto di utilizzo, con la precisazione che si tratta di un importo previsto per licenze annuali. Le conclusioni del CTU sopra riportate, fondate su adeguate indagini e supportate da un iter logico e argomentativo convincente ed esente da censure, devono essere pienamente condivise e fatte proprie da questo Tribunale. Pertanto, tenuto conto del tempo di permanenza dei video (circa 2 anni) e della durata complessiva dei brani (5 minuti) e considerato che è ragionevole supporre che in una libera negoziazione vengano previsti rinnovi annuali (come disciplinato nei contratti depositati in, atti), il “prezzo del consenso” può essere così determinato: 809,50 euro/minuto x 5 minuti x 2 anni = 8.095,00 euro.
320
DIRITTO DI INTERNET N. 2/2019
Ad RTI devono essere poi liquidati anche i danni non patrimoniali per la lesione dell’onore, del decoro e della reputazione conseguenti alle frasi offensive sopra esaminate (per la configurabilità di siffatto danno anche per le persone giuridiche cfr. Cass. 04/06/2007 n. 12929). Procedendo in via equitativa il danno non patrimoniale va liquidato in misura pari ad euro. 7.500,00 tenuto conto di tutte le circostanze del caso concreto già sopra evidenziate per la sig.ra R., rispetto alla quale va rilevata la minore offensività delle espressioni riferite alla società attrice. In definitiva, le due società convenute devono essere condannate, in solido, a risarcire alla sig.ra R. la somma di euro 15.000,00 e ad RTI l’ulteriore somma di euro 15.595,00 da ritenere, sempre in via equitativa, già, rivalutate all’attualità. Dalla data della sentenza saranno dovuti gli interessi legali sulla sorte capitale attuale. Infine vanno disposte anche le misure accessorie richieste dalle attrici. Ai fini di una maggiore efficacia l’inibitoria deve essere accompagnata dalla penale prevista dall’art. 156 LdA che appare congruo fissare in euro 1.000,00 per ogni violazione o inosservanza successivamente constatata. In considerazione della protrazione dell’illecito e della tipologia del danno arrecato alle attrici, va accolta anche la richiesta di pubblicazione del dispositivo della sentenza, a cura delle attrici e a spese delle convenute, nelle edizioni cartacee e on-line de “Il Corriere della Sera” e nella home page del portale “www.facebook.com”. Le spese di lite seguono la soccombenza e vengono liquidate come in dispositivo. Le spese di CTU, già liquidate in corso di causa, devono essere poste definitivamente a carico di parte convenuta. In forza di quanto previsto dall’art. 59 lett. d) del DPR n. 131/1986 la presente sentenza deve essere registrata a debito in quanto gli illeciti sopra accertati possono astrattamente configurare un’ipotesi di reato (cfr. in tal senso Cass. 14/3/2007 n. 5952): secondo quanto previsto dall’art. 60 secondo comma del DPR n. 131/1986 l’imposta prenotata a debito deve essere recuperata nei confronti delle due convenute quali parti obbligate al risarcimento del danno. P.Q.M. Il Tribunale, in composizione collegiale, definitivamente pronunciando sulla causa in epigrafe, ogni altra istanza, difesa ed eccezione disattesa, cosi provvede: – accerta gli’ illeciti denunciati nell’atto di citazione e la lesione dei diritti rivendicati dalle due attrici ad esclusione del diritto sul marchio “Italia 1”; – inibisce a Facebook Inc. e Facebook Ireland Limited la futura violazione dei diritti oggetto di causa perpetrata in qualunque forma e con qualunque mezzo; condanna Facebook Inc. e Facebook Ireland Limited, in solido tra loro, a risarcire a V. P. la somma di euro 15.000,00 oltre interessi legali dalla
GIURISPRUDENZA CIVILE sentenza fino al soddisfo; condanna Facebook Inc. e Facebook Ireland Limited, in solido tra loro, a risarcire a RTI S.p.A. la somma di euro 15.595,00 oltre interessi legali dalla sentenza fino al soddisfo; – fissa la somma di euro 1.000,00 per ogni violazione o inosservanza successivamente constatata dell’inibitoria sopra statuita; – dispone che il dispositivo della presente sentenza sia pubblicato, a cura delle attrici ed a spese delle convenute, a caratteri doppi del normale nelle edizioni cartacee e on line, del quotidiano “il Corriere della Sera” nonché nella Home page del portale telematico “www.facebook.
com”; – condanna le due convenute, in solido, a rifondere alle attrici le spese legali liquidate in euro 458,00 per esborsi ed euro 7.254,00 per compensi professionali oltre accessori di legge; pone le spese di CTU definitivamente a carico di parte convenuta; – dispone, ai sensi del combinato disposto degli artt. 5 9 lett. d) e 60, secondo comma del DPR n. 131/1986, che l’imposta per la registrazione della presente sentenza prenotata a debito sia recuperata nei confronti delle due società convenute responsabili in solido.
IL COMMENTO
di Giuseppe Cassano Sommario: 1. Pubblicazione di link e violazione dei diritti d’autore e connessi. – 2. La diligenza professionale dell’hosting provider (anche passivo). – 3. (…) e la conoscenza comunque acquisita dallo stesso. – 4. L’onere di espressa indicazione degli url da parte del titolare dei diritti. La pronuncia qui commentata afferma in primo luogo che l’effettiva conoscenza da parte del provider della natura illecita (riguardo all’altrui onore e reputazione ed agli altrui diritti connessi al diritto d’autore) dei contenuti caricati sui propri server è sufficiente ad integrare la responsabilità di quest’ultimo, nonostante la stessa sia acquisita successivamente. In questo caso, in particolare, per fondare la conoscenza del provider non è necessario un provvedimento inibitorio dell’autorità giurisdizionale oppure amministrativa, ma basta la segnalazione del titolare dei diritti violati. In secondo luogo, per dimostrare l’effettiva conoscenza dei contenuti illeciti da parte del provider non rileva se la sua attività sia riconducibile alla figura dell’hosting attivo oppure di quello passivo. A questo proposito anche l’hosting provider passivo non appena ricevuta la notizia dell’illecito commesso tramite i suoi servizi, deve attivarsi per rimuovere o disabilitare l’accesso a questi contenuti; diversamente egli concorre nell’illecito commesso dai suoi utenti. Egli è infatti tenuto a svolgere la propria attività economica nel rispetto della diligenza professionale, cioè di quella che è ragionevole attendersi anche per individuare e prevenire le attività illecite specificamente segnalate. First of all, according to this decision the actual knowledge of the hosting provider about the unlawful nature of the contents made available by its services (regarding the honor of a person and neighbouring rights to copyright) establishes the responsibility of the same provider. In particular, to establish the provider’s knowledge, it is sufficient a communication by the copyright owner and it is not necessary an injunction of the jurisdictional or administrative authority. Secondly, in this case it is not necessary to ascertain if the provider plays an active or a passive role regarding the information made available to the public. Also a passive hosting provider when receving a communication by a copyright owner has to remove or disable the access to these contents; otherwise it takes part in the copyright infringement committed by its users through its services. Then, the hosting provider has to carry out its economic activity in compliance with a general rule of professional diligence, in order to prevent the unlawful making available of contents specifically reported by copyright owners.
1. Pubblicazione di link e violazione dei diritti d’autore e connessi
Il Tribunale romano – valorizzando i precedenti della Corte di giustizia dell’Unione Europea – ha affermato l’illiceità di un link pubblicato su Facebook che non conduceva ai materiali pubblicati da RTI sul suo sito, bensì ad un sito terzo (Youtube) non autorizzato dal fornitore di servizi media audiovisivi, titolare (quantomeno) del diritto connesso ex art. 79 l.a. In quest’ipotesi Facebook e Youtube hanno dunque contribuito con loro condotta omissiva (mancata rimozione dei contenuti specificamente segnalati dal titolare dei diritti) alla messa a disposizione del materiale protetto riguardo ad un pubblico diverso da quello autorizzato ab origine. Già
la Corte di giustizia dell’Unione europea (CGUE) ha ricostruito la questione, sulla base della propria giurisprudenza primariamente attraverso la nozione di comunicazione al pubblico ex art. 3 dir. 2001/29. Lo ha fatto, tra l’altro, con le pronunce 16 aprile 2017, causa C-527/15, StichtingBrein c. Jack FrederikWullems, 14 giugno 2017, causa C-610/15, Stichting Brein c. Jack FrederikWullems c. Ziggo BV, XS4ALL Internet BV e 7 agosto 2018, causa C-161/17, Land Nordrhein-Westfalen c. Dirk Renckhoff. La Corte ha sempre ricordato che la dir. 2001/29 ha la finalità di realizzare «un elevato livello di protezione a favore degli autori» che consenta loro di «ottenere un adeguato compenso» per l’utilizzazione economica delle opere di cui sono titolari. Ed infatti, attraverso le
DIRITTO DI INTERNET N. 2/2019
321
GIURISPRUDENZA CIVILE sentenze della Corte che si possono passare in rassegna i diversi elementi costituitivi della nozione di comunicazione al pubblico. (a) Anzitutto «il ruolo imprescindibile dell’utente e il carattere intenzionale del suo intervento. Questi realizza infatti un atto di comunicazione quando interviene, con piena cognizione delle conseguenze del suo comportamento, per dare ai suoi clienti accesso a un’opera protetta, in particolare quando, in mancanza di questo intervento, tali clienti non potrebbero, in via di principio, fruire dell’opera diffusa» (così CGUE 8 settembre 2016, causa C‑160/15, Sanoma, punto 35) (1). (b) Poi «la nozione di “pubblico” riguarda un numero indeterminato di destinatari potenziali e comprende, peraltro, un numero di persone piuttosto considerevole» (così CGUE 8 settembre 2016, cit., punto 36) (2). (c) Secondo la pronuncia CGUE 7 marzo 2013, causa C-607/11, ITV Broadcasting Ltd (3), l’art. 3.1 dir. 2001/29 assoggetta all’autorizzazione del titolare dei diritti «qualsiasi trasmissione o ritrasmissione di un’opera al pubblico non presente nel luogo in cui esse hanno origine su filo o senza filo, inclusa la radiodiffusione», che utilizzi «uno specifico mezzo tecnico» oppure quella che avviene nei confronti di un pubblico nuovo. Queste affermazioni costituiscono applicazioni puntuali del principio di indipendenza dei diritti esclusivi (espressamente riconosciuto nel diritto nazionale all’art. 19 l. 633/1941, nel prosieguo “l.a.”): (i) a tutte le forme di utilizzazione economica che compongono ognuna delle più ampie macro-facoltà ex artt. 2-4 dir. 2001/29 (ad esempio la riproduzione temporanea e permanente; la comunicazione al pubblico tramite il mezzo televisivo e via internet come nel caso esaminato da CGUE 7 marzo 2013, cit. (4)); (ii) ad ogni ulteriore comunicazione ad un pubblico nuovo o diverso rispetto a quello originariamente autorizzato (5). (d) L’art. 3 dir. 2001/29 assoggetta al generale consenso del titolare dei diritti ogni attività di comunicazione (1) V. in tal senso CGUE 15 marzo 2012, C-135/10, SCF, punto 82 e giurisprudenza ivi citata, nonché CGUE 15 marzo 2012, C‑162/10, Phonographic Performance (Ireland), punto 31, disponibili al sito <www.curia. eu>. (2) V. in tal senso CGUE 15 marzo 2012, C-135/10, cit., punto 84, e giurisprudenza ivi citata, nonché CGUE 15 marzo 2012, C‑162/10, cit., punto 33. (3) Questa pronuncia è pubblicata in AIDA 2013, n. 1520. (4) Su questo tema v. ad esempio Bertani, Diritti d’autore e connessi, in L.C. Ubertazzi, La proprietà intellettuale, Torino, 2011, 302 ss.; P. Galli, sub art. 19 l.a., in L.C. Ubertazzi, Commentario breve alle leggi su proprietà intellettuale e concorrenza, Padova, 2016. (5) V. a questo proposito le pronunce della Corte di giustizia 15 marzo 2012, C-162/10, cit.; CGUE 6 ottobre 1982, C-262/81, Coditel II, in Foro it. 1983, IV, 102, con nota di L.C. Ubertazzi; 18 marzo 1980, C-62/79, Coditel I, ivi 1981, IV, 97, con nota di Pardolesi; sul tema v. in generale Sarti, Diritti esclusivi e circolazione dei beni, Milano, 1996, 396 ss.; Bertani, Diritti d’autore e connessi, cit., 312 ss.
322
DIRITTO DI INTERNET N. 2/2019
al pubblico effettuata con «uno specifico mezzo tecnico» a prescindere dal carattere lucrativo o meno di tale attività (6); tuttavia la Corte di giustizia sembra non condividere in pieno quest’opinione affermando in proposito che il carattere lucrativo di una comunicazione al pubblico non è irrilevante (così CGUE 8 settembre 2016, cit., punto 38) (7). (e) Sulla rilevanza della semplice potenzialità dell’accesso da parte del pubblico a materiali protetti v. ad esempio nella giurisprudenza della Corte di giustizia la pronuncia 7 dicembre 2006, causa C-306/05, SGAE c. Rafael Hoteles S.A, secondo cui «l’esistenza di un atto di messa a disposizione del pubblico di un’opera presuppone unicamente che detta opera venga messa a disposizione del pubblico, senza che sia determinante che le persone che compongono detto pubblico abbiano o meno avuto effettivamente accesso a tale opera». Dunque è un principio fondamentale del diritto d’autore quello per cui i titolari dei diritti devono autorizzare non il godimento effettivo dell’opera ma la semplice possibilità di tale godimento (8).
(6) Sul tema v. ad esempio L.C. Ubertazzi, Spunti sulla comunicazione al pubblico di fonogrammi, in AIDA 2005, 295 ss.; Bertani-Zuddas, sub art. 73 l.a., in L.C. Ubertazzi, Commentario breve alle leggi su proprietà intellettuale e concorrenza, cit. (7) V. in tal senso le sentenze CGUE 4 ottobre 2011, C-403/08 e C-429/08, Football Association Premier League e a., punto 204; CGUE 15 marzo 2012, C-135/10, cit. Ancora, secondo il cons. 23 dir. 2001/29 la nozione di comunicazione al pubblico «deve essere intesa in senso lato in quanto concernente tutte le comunicazioni al pubblico non presente nel luogo in cui esse hanno origine» (sul possibile ampliamento della nozione di comunicazione al pubblico a tutte le forme di sfruttamento immateriale delle opere dell’ingegno v. in dottrina L.C. Ubertazzi, Spunti sulla comunicazione al pubblico di fonogrammi, cit., ibidem; Rovati, Comunicazione al pubblico. Tesi di dottorato, Pavia, 2009, 104 ss.; in senso contrario per cui l’art. 3 dir. 2001/29 non riguarda anche la comunicazione ad un pubblico presente v. ad esempio in dottrina Von Lewinski, A successful stept owards copyright and related right in the information age: the new E.C. Proposal for harmonisation directive, in EIPR, 1998, 136; Desurmont, La Communauté européenne, les droits des auteurs et la société de l’information, in Revue internationale de droit d’auteur 2001, 7; Sirinelli, La directive “société de l’information”: apport réel ou fictif au droit d’auteur?, in Commerce électronique et propriétés intellectuelles, Paris, 2001, 83; Pollaud-Dulian, Les droit exclusifs consacrés par la directive, in Propriétés intellectuelles, 2002, 11; Romano, L’opera e l’esemplare nella proprietà intellettuale, Padova, 2001, 209 ss.; Reinbothe - Von Lewinski, The WIPO Treaties 1996, London, 2002, 105; Ricolfi, Comunicazione al pubblico e distribuzione, in AIDA 2002, 58; A. Lucas - H.J. Lucas, Traité de la propriété littéraire et artistique, Paris, 2006, 3 ed., 228; Guglielmetti, Il diritto di comunicazione e messa a disposizione del pubblico, in AIDA 2010, 153; e nella giurisprudenza europea Corte di giustizia 24 novembre 2011, C-283/10, Circus Globus, ivi 2012, n. 1462, con nota di Cogo). (8) Così Sharpston, Conclusioni dell’avvocato generale in causa C-306/05, punto 67 (sul tema l’avvocato generale Sharpston richiama a sua volta le conclusioni dell’avvocato generale La Pergola in causa C-293/98, Egeda, decisa il 3 febbraio 2000 e disponibile su <www.curia.eu>); su quest’argomento in dottrina v. ex multis Desbois, Le droit d’auteur en France, Paris, 1978, 333; L.C. Ubertazzi, Spunti sulla comunicazione al pubblico di fonogrammi, cit.; Makeen, Copyright in a global information society, L’Aja, 2000, 70 ss.; Cogo, La comunicazione al pubblico negli alberghi, cit.
GIURISPRUDENZA CIVILE Ancora. La pronuncia della Corte di giustizia 13 febbraio 2014, C-466/12, Svensson (9), ha affermato da un lato che l’art. 3 par. 1 dir. 2001/29/CE deve essere interpretato nel senso per cui non costituisce atto di comunicazione al pubblico secondo modalità interattive la messa a disposizione su di un sito internet di collegamenti cliccabili verso opere già liberamente disponibili su un altro sito internet; dall’altro che tuttavia se un collegamento cliccabile consente agli utilizzatori di un sito di eludere le misure restrittive dell’accesso del pubblico ad un determinato contenuto disponibile altrove, l’insieme degli utilizzatori di questo sito deve essere considerato un pubblico nuovo che il titolare dei diritti non ha contemplato con l’autorizzazione originaria (10). La pronuncia della Corte di giustizia 7 agosto 2018 ha ribadito i principi ora detti affermando che «l’utilizzatrice dell’opera di cui al procedimento principale ha riprodotto tale opera su un server privato, e a ciò è seguita una messa in rete della medesima su un sito Internet diverso da quello sul quale è stata realizzata la comunicazione iniziale. In tal modo, tale utilizzatrice ha avuto un ruolo decisivo nella comunicazione di tale opera a un pubblico non preso in considerazione da parte dell’autore dell’opera al momento in cui ha autorizzato la comunicazione iniziale» (punto 46); da ciò consegue allora che (dispositivo della pronuncia) «la nozione di «comunicazione al pubblico», ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29/CE […] dev’essere interpretata nel senso che essa ricomprende la messa in rete su un sito Internet di una fotografia precedentemente pubblicata, senza restrizioni atte ad impedire che venisse scaricata e con l’autorizzazione del titolare del diritto d’autore, su un altro sito Internet».
2. La diligenza professionale dell’hosting provider (anche passivo)
Diverse sono le tesi proposte dalla dottrina sulla diligenza professionale degli internet service provider ed in particolare degli hosting (11): e qui mi limito a ricordarne soltanto due (tra loro complementari) che offrono (9) Questa decisione è pubblicata in AIDA 2014, n. 1586. (10) Su questo tema v. anche l’ordinanza CGUE 21 ottobre 2014, C-348/13, BestWater International, in <www.curia.eu> e la pronuncia 8 settembre 2016, causa C-160/15, cit., punto 43 secondo cui «non può desumersi né dalla sentenza del 13 febbraio 2014, Svensson e a. […] né dall’ordinanza del 21 ottobre 2014, BestWater International […] che il collocamento su un sito Internet di collegamenti ipertestuali verso opere protette che sono state rese liberamente disponibili su un altro sito, ma senza l’autorizzazione dei titolari del diritto d’autore di tali opere, sia escluso in via di principio dalla nozione di “comunicazione al pubblico” a norma dell’articolo 3, paragrafo 1, della direttiva 2001/29. Al contrario, dette decisioni confermano l’importanza di siffatta autorizzazione alla luce di tale disposizione, poiché quest’ultima prevede proprio che ogni atto di comunicazione di un’opera al pubblico debba essere autorizzato dal titolare del diritto d’autore». (11) Sul punto, da ultimo, per la ricostruzione del dibattito cfr. Cassano - Rovati, La c.d. neutralità del web non più elemento di sfruttamento dei diritti d’autore altrui, in questa Rivista, 2019, 140.
una lettura estensiva di questa responsabilità. Secondo una prima opinione la dir. 2000/31 (e nell’ordinamento nazionale il d. lgs. 70/2003) servono semplicemente ad adattare le regole generali in materia di responsabilità civile al nuovo contesto telematico. Da ciò consegue che in mancanza di una disciplina speciale, le regole generali sulla responsabilità civile ex artt. 2043 ss. c.c. sono applicabili anche al commercio elettronico ed alla responsabilità degli ISP (12). Queste norme speciali europee e nazionali hanno quindi previsto una limitazione della responsabilità civile degli ISP rispetto alla sua disciplina ordinaria per favorire la libera manifestazione del pensiero anche in rete e lo sviluppo di innovative modalità di comunicazione: e questo spiega anche la loro formulazione in termini negativi come ipotesi di esenzione da responsabilità. Con particolare riferimento all’hosting provider, secondo una recente dottrina (13), l’art. 16 d. lgs. 70/2003 prevede in realtà due diverse fattispecie, che riguardano differenti ipotesi di responsabilità di secondo grado. (i) L’art. 16 co. 1 lett. a) definisce un’ipotesi di esenzione dalla responsabilità per il prestatore del servizio di hosting: a contrario la norma ora detta enuncia implicitamente una regola di condotta ispirata al canone della diligenza professionale ex art. 1176 co.2 e conforme al cons. 46 dir. 2000/31 (14) quando il fornitore venga a conoscenza di una violazione. L’avvenuta conoscenza impone dunque al prestatore del servizio di hosting di porre in essere con diligenza tutte le misure idonee a contrastare le violazioni che avvengono tramite i suoi servizi ed in particolare di renderne edotta l’autorità giudiziaria o quella amministrativa, come anche di cooperare con le stesse fornendo loro tutti gli elementi utili all’accertamento dell’illecito. In mancanza di questo
(12) Così Albanese, La responsabilità della mere conduit, in AIDA 2010, 354 ss.; secondo Finocchiaro, Filtering e responsabilità del provider, ivi, 346 ss., in particolare il requisito della conoscenza dell’illiceità dell’attività o delle informazioni trasmesse ex artt. 16 e 17 d.lgs. 70/2003 da parte del provider deve essere valutato in base al criterio generale della colpa e di volta in volta provato. (13) Così Albanese, op. cit., 355. Camardi, Inibitorie amministrative di attività, in AIDA 2012, 282, ritiene tuttavia che le norme attributive di responsabilità agli ISP contenute nella dir. 2000/31 e nella normativa interna di attuazione siano eccezionali e presuppongano sempre il dolo o la colpa di questi soggetti. (14) In base al considerando ora detto «Per godere di una limitazione della responsabilità, il prestatore di un servizio della società dell’informazione consistente nella memorizzazione di informazioni deve agire immediatamente per rimuovere le informazioni o per disabilitare l’accesso alle medesime non appena sia informato o si renda conto delle attività illecite. La rimozione delle informazioni o la disabilitazione dell’accesso alle medesime devono essere effettuate nel rispetto del principio della libertà di espressione e delle procedure all’uopo previste a livello nazionale. La presente direttiva non pregiudica la possibilità per gli Stati membri di stabilire obblighi specifici da soddisfare sollecitamente prima della rimozione delle informazioni e della disabilitazione dell’accesso alle medesime».
DIRITTO DI INTERNET N. 2/2019
323
GIURISPRUDENZA CIVILE intervento l’ISP rischia di concorrere nell’illecito con l’autore della violazione ex art. 2055 c.c. (ii) La seconda fattispecie è desumibile dall’interpretazione sistematica delle lett. a) e b) della norma qui esaminata. Questa seconda ipotesi si basa sulla «manifesta […] illiceità dell’attività o dell’informazione» cui l’hosting può pervenire anche in maniera del tutto casuale oppure tramite una segnalazione generica (e non specifica) del titolare dei diritti od ancora dell’autorità giudiziaria od amministrativa. In questo caso la diligenza professionale obbliga l’hosting (non soltanto alla segnalazione ed alla cooperazione con l’autorità ma anche) ad adottare proporzionate misure volte ad eliminare le conseguenze dell’illecito, come la rimozione dei contenuti e/o la disabilitazione dall’accesso. In mancanza di questo intervento l’ISP rischia a fortiori di concorrere nell’illecito con l’autore della violazione ex art. 2055 c.c. (15). In estrema sintesi, queste tesi sottolineano dunque da un lato il carattere speciale e “finalizzato” al favor per la libera manifestazione del pensiero e lo sviluppo tecnologico di queste esenzioni da responsabilità; dall’altro evidenziano una chiara relazione tra diligenza professionale, ragionevole conoscenza o conoscibilità dell’illecito, intervento tempestivo e proporzionato dell’hosting ed esenzione da responsabilità. In giurisprudenza alcune pronunce nazionali hanno applicato sostanzialmente le medesime regole. In particolare secondo l’ordinanza del Tribunale Torino, 23 giugno 2014 (16) l’evoluzione tecnologica ha de facto superato la figura del prestatore di servizi puramente passivo avuto a mente dalla dir. 31/2000, che oggi invece spesso attivamente offre servizi di vario genere (detta pronuncia riguardava in particolare Youtube). In proposito questa decisione ha valorizzato il canone della diligenza professionale citata al cons. 48 della dir. 2000/31 affermando che il progresso tecnologico consente all’intermediario di utilizzare economicamente in diversi modi contenuti “grezzi” immessi in rete dagli utenti e tali più ampie possibilità di attività imprenditoriali fanno correlativamente sorgere in capo allo stesso maggiori responsabilità per la tutela dei diritti dei terzi, ampliando così il contenuto della “diligenza che è ragionevole attendersi” dall’intermediario in base al citato considerando 48. Per la sentenza del Tribunale Roma, sez. impr., 27 aprile 2016 (17), l’hosting attivo non è soggetto ad un obbligo generale di sorveglianza preventiva del materiale immesso in rete
(15) Così Piraino, Spunti per una rilettura della disciplina giuridica degli internet service provider, in AIDA 2017, 500. (16) Questa pronuncia è pubblicata in AIDA 2015. (17) Questa pronuncia è pubblicata in Dir. ind., 2016, 466, con nota di Cassano, Sulla responsabilità del “provider” per la diffusione abusiva in rete di opere audiovisive.
324
DIRITTO DI INTERNET N. 2/2019
dagli utenti (escluso dagli artt. 15 dir. 2000/31 e 17 d. lgs. 70/2003); tuttavia lo stesso risponde se viene a conoscenza del contenuto illecito del materiale messo a disposizione tramite i suoi servizi e per questa finalità il danneggiato può limitarsi ad indicare le opere protette, senza avere l’onere di citare espressamente gli url ove sono diffuse. Il giudice capitolino nella sentenza qui commentata pare essersi mosso proprio nell’ambito di queste coordinate. Infatti a prescindere dal carattere di hosting passivo oppure attivo di Facebook nel caso qui considerato, il prestatore di servizi doveva attenersi «al dovere di diligenza che è ragionevole attendersi […] ed è previsto dal diritto nazionale, al fine di individuare e prevenire taluni tipi di attività illecite» in base al considerando 48 dir. 2000/31 ed agire dunque nei confronti dei contributi segnalati (con la loro rimozione oppure disabilitazione) a seguito dell’effettiva conoscenza avvenuta con la ricezione della diffida da parte della persona lesa e del titolare dei diritti connessi ex art. 79 l.a. Non avendo agito secondo queste modalità, il provider si trova dunque in uno stato di colpa ai fini dell’accertamento dell’elemento soggettivo della responsabilità aquiliana; da ciò deriva il concorso omissivo nell’altrui illecito (la violazione dell’onore di una persona fisica e di diritti connessi altrui) ex art. 2055 c.c. E nel caso qui esaminato non valgono ad escludere la responsabilità dell’hosting esigenze legate alla libera manifestazione del pensiero anche in rete oppure allo sviluppo tecnologico. Tale ultima esigenza posta dalla dir. 2000/31 deve infatti essere interpretata in senso evolutivo: infatti le comunicazioni elettroniche sono oggi molto sviluppate rispetto alla situazione degli ultimi anni ’90 considerata dalla direttiva; d’altro canto la giurisprudenza della Corte di giustizia è oggi chiara nel senso di responsabilizzare l’hosting, specie se attivo (figura ex se non considerata dalla dir. 2000/31) (18). Infine, anche l’art. 17 della cd. direttiva copyright recentemente approvata dal Parlamento europeo è nel senso di responsabilizzare l’attività dell’hosting (specie attivo), imponendogli diversi obblighi di “cooperazione” in buona fede con i titolari dei diritti.
3. (…) e la conoscenza comunque acquisita dallo stesso
Come visto, secondo l’art. 14.1. lett. b) dir. 2000/31 l’hosting provider non è responsabile delle informazioni memorizzate su richiesta di un destinatario del servizio
(18) V. per tutte CGUE 23 marzo 2010, cause C-236/08 a C-238/08, Google France e 2 luglio, 2011, C-324/09, L’Oréal, sopra esaminate. In particolare la seconda pronuncia afferma che il fornitore di hosting non può essere considerato semplicemente passivo se (punto 116) «abbia prestato un’assistenza consistente segnatamente nell’ottimizzare la presentazione delle offerte in vendita di cui trattasi e nel promuovere tali offerte».
GIURISPRUDENZA CIVILE e quindi non concorre negli illeciti eventualmente commessi da quest’ultimo a condizione che «non appena al corrente» della loro illiceità o di fatti o circostanze che la rendono manifesta «agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso». Secondo l’art. 16 co.1 lett. b) d. lgs. 70/2003 il prestatore non è responsabile se «non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso». La norma domestica è quindi formulata in modo diverso da quella europea perché in parte qua non attribuisce espressa rilevanza alla semplice segnalazione da parte del titolare dei diritti o di altro soggetto legittimato. A questo proposito una prima opinione ritiene che la differente formulazione della norma domestica restringa indebitamente l’obbligo di azione immediata gravante sull’host provider e costituisca quindi una non corretta attuazione della dir. 2000/31, che impone al giudice nazionale di disapplicare per la parte non conforme la norma interna (19). Una diversa opinione rileva invece la diversità della disposizione nazionale rispetto a quella europea, specie se interpretata in base al cons. 46 dir. 2000/31. Tuttavia giustifica questa differente formulazione attribuendo a quella nazionale lo scopo di impedire che il provider debba in qualche modo valutare la liceità dei contenuti trasmessi o memorizzati; questa circostanza potrebbe in definitiva ledere il diritto alla libera manifestazione del pensiero ex art. 21 Cost. degli utenti della rete (20). La prima conclusione pare certamente preferibile. In primis, essa è maggiormente conforme alla lettera del cons. 48 dir. 2000/31 secondo cui la medesima «non pregiudica la possibilità per gli Stati membri di chiedere ai prestatori di servizi, che detengono informazioni fornite dai destinatari del loro servizio, di adempiere al dovere di diligenza che è ragionevole attendersi da loro ed è previsto dal diritto nazionale, al fine di individuare e prevenire taluni tipi di attività illecite» ed all’obbligo per l’hosting provider di esercitare la sua attività imprenditoriale con la diligenza professionale ex art. 1176 c.c. In secundis, evita che due situazioni simili (l’ordine dell’autorità giudiziaria oppure amministrativa da un lato e la segnalazione circostanziata del titolare dei diritti) che portano entrambe ad una conoscenza effettiva del provider, siano trattate secondo discipline (19) Sul tema v. Troiano, L’impresa di content, host ed access providing, in AIDA 2007, 367 s. (20) In questo senso v. Genovese, La responsabilità dell’hosting provider, in AIDA 2010, 377 s. Finocchiaro, Il filtering, ivi, 347, rileva la differente impostazione tra il DMCA USA (Digital millenium copyright act) per cui è sufficiente anche una segnalazione da parte del titolare dei diritti (c.d. notification) e la norma nazionale: ritiene tuttavia che gli artt. 16-17 d. lgs. 70/2003 obblighino il provider ad attivarsi soltanto in ipotesi di comunicazione o richiesta da parte dell’autorità giudiziaria o di quella amministrativa.
differenti (concorso nell’illecito nel primo caso ex art. 2055 c.c., irresponsabilità nel secondo), con violazione del principio di uguaglianza sostanziale e di ragionevolezza ex art. 3 co. 2 Cost. Ancora, questa conclusione è suggerita da un’interpretazione della norma nazionale conforme ai principi generali di buona fede e correttezza ex artt. 2 Cost., 1175 e 1375 c.c. A questo proposito non può dirsi certamente in buona fede l’hosting provider che avendo conoscenza effettiva dell’esistenza di un contenuto lesivo (dell’onore e/o degli altrui diritti esclusivi) messo a disposizione del pubblico tramite i suoi servizi non provveda sollecitamente alla sua rimozione oppure alla sua disabilitazione. Infine, come rilevato dalla dottrina sopra citata, la norma nazionale deve essere interpretata in senso conforme a quella di diritto dell’Unione europea ad essa sovraordinata – profilo non sempre adeguatamente sottolineato – e nell’ipotesi in cui tale interpretazione non sia possibile il giudice nazionale la deve disapplicare in toto oppure in parte. Tale orientamento è decisamente accolto dalla Corte di giustizia UE, come rilevato dal giudice capitolino. Infatti secondo la pronuncia della CGUE 23 marzo 2010, cause C‑236/08 a C‑238/08, Google France SARL e Google Inc. (punto 109) «la limitazione della responsabilità di cui all’art. 14, n. 1, della direttiva 2000/31 si applica in caso di “prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio” e significa che il prestatore di un tale servizio non può essere ritenuto responsabile per i dati che ha memorizzato su richiesta di un destinatario del servizio in parola, salvo che tale prestatore, dopo aver preso conoscenza, mediante un’informazione fornita dalla persona lesa o in altro modo, della natura illecita di tali dati o di attività di detto destinatario, abbia omesso di prontamente rimuovere tali dati o disabilitare l’accesso agli stessi». Ancora secondo la pronuncia della Corte, 2 luglio, 2011, C-324/09, L’Oréal, (punto 119) «nella situazione in cui tale prestatore si è limitato ad un trattamento puramente tecnico ed automatico dei dati e di conseguenza gli è applicabile la norma di cui all’art. 14, n. 1, della direttiva 2000/31, tuttavia, ai sensi del suddetto n. 1, egli può essere esonerato da qualsiasi responsabilità per i dati di natura illecita che ha memorizzato solo a condizione di non essere stato “effettivamente al corrente del fatto che l’attività o l’informazione è illecita” e, per quanto attiene ad azioni risarcitorie, di non essere stato “al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione”». Quindi la Corte di giustizia interpreta in modo ampio la clausola di cui all’art. 14 n. 1 dir. 2000/31, in modo che la stessa sia riferibile sia alla conoscenza effettiva a seguito dell’ordine dell’autorità giudiziaria oppure amministrativa, sia a quella originata dalla motivata diffida del titolare dei diritti, come anche a quella comunque avvenuta.
DIRITTO DI INTERNET N. 2/2019
325
GIURISPRUDENZA CIVILE Anche la giurisprudenza nazionale maggioritaria è ora in modo del tutto prevalente orientata in questo senso. Ad esempio secondo Tribunale Roma, 16 dicembre 2009 (21) l’esistenza di ripetuti solleciti volti a rimuovere contenuti protetti esclude l’esenzione da responsabilità del provider che, invece sussiste quando quest’ultimo sia consapevole della presenza di materiale “sospetto” e si astenga dall’accertarne la sua illiceità oppure dal rimuoverlo. Secondo l’ordinanza del Tribunale di Roma, 22 marzo 2011 (22) la diffida stragiudiziale del titolare dei diritti è sufficiente a rendere consapevole il gestore di un motore di ricerca del contenuto illecito di una lista di siti individuati dal loro url che permettono streaming e downloading di opere cinematografiche protette; tale diffida consente dunque al motore di ricerca di verificare ex post la legittimità o meno del contenuto di questi link e permette al titolare dei diritti di chiederne la rimozione e/o che sia impedita la loro indicizzazione. Ancora secondo Tribunale Milano, 9 settembre 2011 (23) l’inattività del portale convenuto in giudizio a seguito della segnalazione della presenza di numerosi contenuti audiovisivi pregiudizievoli dei diritti connessi dell’attore fonda la responsabilità colposa del primo, almeno a partire dalla ricezione della segnalazione e per i programmi ivi indicati. In questo caso il portale può infatti svolgere le attività di verifica degli illeciti lamentati con gli stessi strumenti informatici a disposizione dei suoi utenti. Ancora, per Tribunale Roma, ord. 20 ottobre 2011 (24) la società che svolge un servizio di hosting puramente passivo non concorre nell’illecito di chi diffonde attraverso i suoi servizi programmi televisivi con modalità streaming; la medesima non è legittimata passiva all’inibitoria della prosecuzione della diffusione, quando abbia rimosso i video illecitamente presenti sui propri server a seguito di una diffida stragiudiziale inviata dal titolare dei diritti. Per Tribunale Milano, 7 giugno 2011 (25) il prestatore di servizi di hosting, ancorché attivo, non è tenuto alla verifica preventiva del materiale messo a disposizione on line dai propri utenti, ma ad ogni modo deve attivarsi per la rimozione di contenuti lesivi di diritti altrui diritti d’autore e connessi specifica-
(21) Questa decisione è pubblicata in AIDA 2010, n. 1373; analogamente v. Trib. Milano 18 dicembre 2008, ivi, n. 1349. (22) Questa decisione è pubblicata in Corr. merito, 2011, 962, con nota di Cassano - Iaselli, Caso “About Elly”: la responsabilità dell’internet service provider. (23) Questa decisione è pubblicata in AIDA 2012, n. 1505; analogamente v. Trib. Milano 9 giugno 2011, Rep. AIDA 2012. (24) Questa decisione è pubblicata in AIDA 2012, n. 1510. (25) Questa decisione è pubblicata in AIDA 2013, n. 1539; analogamente con riferimento all’inesigibilità di un obbligo di verifica preventiva v. Trib. Milano, 9 settembre 2011, ivi 2012, n. 1505.
326
DIRITTO DI INTERNET N. 2/2019
mente segnalati anche in assenza di specifica individuazione di tutti i contenuti in violazione. Nei medesimi termini pure Tribunale Torino, sez. spec. impr., 7 aprile 2017 (26), ha ritenuto sufficiente l’invio di una diffida da parte del titolare dei diritti al fine di attivare l’obbligo di controllo ex post della liceità dei contenuti riguardante una piattaforma di videosharing (nella specie Youtube). Infine per Tribunale Torino, sez. spec. impr., 24 gennaio 2018 (27) una piattaforma telematica concorre nell’illecita messa a disposizione di contenuti protetti qualora sia informata (anche ab origine) dell’illiceità dei medesimi e non li abbia rimossi a seguito della segnalazione del titolare dei diritti. In tale ipotesi la piattaforma ora detta non ha adempiuto con diligenza ad uno specifico obbligo di vigilanza ex post, sorto a seguito di apposita segnalazione o diffida. La giurisprudenza maggioritaria e più recente è dunque decisamente orientata nel senso di attribuire rilevanza anche alla semplice segnalazione da parte del titolare dei diritti o di un soggetto legittimato conformemente all’art. l’art. 14.1. lett. b) dir. 2000/31.
4. L’onere di espressa indicazione degli url da parte del titolare dei diritti
Esistono in giurisprudenza opinioni contrastanti anche sull’onere ex art. 2697 c.c. per il titolare dei diritti di allegare e provare quali siano gli indirizzi internet (url) ove sono disponibili i contenuti illecitamente utilizzati. Secondo un indirizzo ormai datato si ritiene necessaria tale indicazione. In proposito secondo l’ordinanza del Tribunale di Roma 11 luglio 2011 (28), chi richiede l’inibitoria cautelare ex art. 163 l.a. dell’indicizzazione e della messa a disposizione agli utenti tramite motore di ricerca di opere cinematografiche (in streaming oppure downloading) deve allegare quali siano gli url ove sono disponibili i filmati contestati a cui linki il motore di ricerca del provider resistente. Ancora, secondo Tribunale Torino 6 maggio 2014 (29) l’obbligo di rimuovere i contenuti illeciti sorge in capo alla piattaforma di videosharing solo se il titolare dei diritti abbia inviato una diffida specifica contenente gli url ove si trovano le opere litigiose. Ulteriormente per Tribunale Torino,
(26) Questa decisione è pubblicata in AIDA 2017. (27) Questa decisione è pubblicata in AIDA 2018. (28) Questa decisione è pubblicata in AIDA 2013, n. 1541. Su questa pronuncia v. in dottrina ad esempio Pirruccio, Diritto d’autore e responsabilità del provider, in Giur. mer., 2012, 2591; sull’obbligazione per il segnalante di identificare le opere pretesemente violate ed il “luogo” ove sono collocate in rete nell’ambito delle procedure di notice and take down previste ad esempio nel diritto USA ed in quello francese v. Bertani, Internet e la “amministrativizzazione” della proprietà intellettuale, in AIDA 2012, 161, nota 90. (29) Questa decisione è pubblicata in AIDA 2015.
GIURISPRUDENZA CIVILE 7 aprile 2017 (30), la specifica diffida inviata al fornitore di una piattaforma di videosharing (nella specie You Tube) deve contenere sia l’indicazione delle opere illecitamente utilizzate sia quella dell’URL ove le stesse sono ospitate (nei medesimi termini v. Tribunale Torino 24 gennaio 2018 (31)). Detta giurisprudenza può ritenersi superata, da ultimo da App. Roma 29 aprile 2017 (32). Secondo tale pronuncia qualora il titolare di diritti d’autore e connessi segnali al provider la loro violazione, quest’ultimo ha l’obbligo di attivarsi ex post per verificare l’eventuale esistenza di un illecito, anche ove non siano indicati espressamente gli url di riferimento. In difetto di intervento il medesimo provider non può invocare il safe harbour ex art. 14 dir. 2000/31 (in questo senso v. Tribunale Roma, sez. impr., 27 aprile 2016, e la ormai giurisprudenza romana costante, cit.). Di recente altresì, la Corte di Cassazione, con due sentenze gemelle (33), si è posta il problema dato dal contenuto della comunicazione fatta pervenire dal titolare del diritto leso; in particolare, per quel che ora interessa, se vi sia la necessità tecnica di indicare il cd. indirizzo url. Se la comunicazione fatta al prestatore del servizio deve – logicamente, prima che giuridicamente – essere idonea a consentire allo stesso la comprensione e l’identificazione dei contenuti illeciti allora, secondo la Corte, deve aversi riguardo ai profili tecnico-informatici per valutare se, nell’ipotesi di trasmissione di prodotti video, questi siano identificabili tramite la mera indicazione del nome della trasmissione da cui sono tratti (e simili elementi descrittivi), oppure occorra anche la precisa indicazione dell’indirizzo url (quale sequenza di caratteri identificativa dell’indirizzo cercato). Si tratta di un profilo di merito, avuto riguardo ad ogni singola vicenda all’esame di un Giudice, che presuppone un accertamento in fatto (anche con l’ausilio di un esperto del settore). E, secondo la Suprema Corte, è affidato al Giudice del merito l’accertamento, in punto di fatto, se, sotto il profilo tecnico-informatico, l’identificazione di video, diffusi in violazione dell’altrui diritto, a) sia possibile mediante l’indicazione del solo nome o titolo della trasmissione da cui sono tratti, oppure b) sia indispensabile, a tal fine, la comunicazione dell’indirizzo url, alla luce delle condizioni esistenti all’epoca dei fatti,
(30) Questa decisione è pubblicata in AIDA 2017. (31) Questa decisione è pubblicata in AIDA 2017. (32) Questa decisione è pubblicata in Dir. ind., 2018, 185, con nota di Cassano, Nozione di provider e delimitazione della responsabilità: la giurisprudenza prende una direzione. (33) Corte di Cassazione, sez. I, 19 marzo 2019, n. 7708 e n. 7709, in questa Rivista, 2019, 297 con nota di Rovati e Panetta, Il ruolo attivo degli intermediari di internet e la conseguente responsabilità civile.
occorrendo precisare (nda) che lo stato della tecnica probabilmente possa già ritenere sufficiente la sussistenza della sola prima opzione. Il Tribunale capitolino nella pronuncia qui annotata aderisce a quest’ultimo orientamento, sostenendo che l’indicazione degli url costituisce soltanto un mero dato tecnico che non coincide in alcun modo con i contenuti illeciti presenti on line. Esso infatti rappresenta soltanto il “luogo virtuale” ove gli stessi sono presenti e non costituisce un «presupposto indispensabile per la loro individuazione». In questo caso il giudice romano ha ritenuto sufficiente l’indicazione delle opere e non anche del loro url: l’obbligo di ricerca e di verifica ex post (al fine di evitare il concorso nell’illecito ex art. 2055 c.c.) graverebbe dunque sul provider, anche in base alle regole generali di buona fede e correttezza ex artt. 2 Cost., 1175 e 1375 c.c. (34). Infine, in prospettiva, si dà atto della approvazione il 26 marzo 2019, della cd. direttiva copyright, che all’ 17 sancisce che «un prestatore di servizi di condivisione di contenuti online deve ottenere un’autorizzazione dai titolari dei diritti», sempre attraverso una licenza. Se un contenuto protetto da copyright viene caricato senza licenza, le piattaforme si assumono la responsabilità della violazione, a meno di poche codificate eccezioni, quali per esempio «aver compiuto i massimi sforzi per ottenere un’autorizzazione» o comunque «aver agito tempestivamente» per disabilitare l’accesso agli utenti indisciplinati o impedirne l’attività in futuro.
(34) Va ricordato altresì che così come “a monte” si riduce sempre di più l’onere di allegazione di tutte le urls, essendo sufficiente una indicazione meramente tecnica e non superdettagliata e/o declinata su tutte le urls, “ a valle”, una giurisprudenza, onde evitare, che poi si vanifichi l’eventuale ordine inibitorio ha affermato che «Il giudice, una volta accertata l’illiceità dei contenuti denunciati, può imporre agli ISP fornitori di accesso alla rete Internet di adottare, entro un termine massimo dalla ricezione della specifica segnalazione di violazioni, le più opportune misure tecniche al fine di impedire ai destinatari dei servizi l’accesso al portale su cui siano disponibili tali contenuti. L’impedimento deve riguardare tanto il nome di dominio specifico del portale, quanto – nel caso in cui questo continui, o possa continuare, a mutare per volontà dell’autore dell’illecito – i siti che, pur avendo altri nomi a dominio, realizzano le stesse violazioni» ed ancora che «Il giudice, una volta accertata l’illiceità dei contenuti denunciati, può imporre agli ISP fornitori di accesso alla rete Internet di adottare, entro un termine massimo dalla ricezione della specifica segnalazione di violazioni, le più opportune misure tecniche al fine di impedire ai destinatari dei servizi l’accesso al portale su cui siano disponibili tali contenuti, con diritto degli ISP al rimborso delle spese tecniche strettamente necessarie, da porsi a carico del soggetto asseritamente danneggiato e richiedente la misura (Nella specie, il tribunale ha precisato che le misure possono riguardare tanto il nome di dominio specifico del portale, quanto ulteriori nomi di dominio dei siti “alias” che realizzino le stesse violazioni, implementando un’ingiunzione dinamica)». Cfr., rispettivamente, Tribunale di Milano, sez. spec. imprese, decreto 4 marzo 2019 e Tribunale di Milano, sez. spec. imprese, ordinanza 12 aprile 2018, entrambe in questa Rivista, 2019, 105, con nota di Molinario, L’ingiunzione dinamica come strumento di tutela del diritto d’autore on-line.
DIRITTO DI INTERNET N. 2/2019
327
GIURISPRUDENZA CIVILE
L’hosting provider tra libertà di impresa, diritto di critica e tutela della reputazione professionale Tribunale di Roma ; Sezione Diritti della Persona e Immigrazione; ordinanza 1 febbraio 2019; Pres. Argan; Est. Ciavattone; Omissis (Avv. Omissis) c. GOOGLE LLC, già Google Inc., (Avv. Omissis). Tutte le volte in cui un soggetto si avvantaggia della promozione della sua attività attraverso i social network, siti internet e altri servizi analoghi offerti in rete si espone volontariamente al rischio del giudizio impietoso dei propri clienti, dal momento che la maggior parte dei servizi descritti contiene una sezione specificamente dedicata alle recensioni degli utenti, per cui il diritto a non veder denigrata la propria attività deve essere bilanciato con quello dei fruitori ad esprimere un giudizio non intenzionalmente o immotivatamente offensivo su di essa.
…Omissis… Oggetto del reclamo è la pretesa, disconosciuta dal primo giudice in punto di fumus boni iuris, di cancellazione della scheda di Google My Business relativo all’attività professionale del ricorrente, chirurgo plastico libero professionista, con le relative recensioni ivi pubblicate, ovvero, in subordine, la richiesta di rimozione dei commenti presenti su tale scheda in quanto lesivi del proprio decoro, onore e reputazione, e di ogni ulteriore ed eventuale commento lesivo, con condanna della reclamata al pagamento della somma di euro 10.000,00 per ogni violazione od inosservanza ovvero ritardo nell’esecuzione dell’emanando provvedimento. Il reclamante ha censurato l’inquadramento operato dal giudice di prime cure in punto di responsabilità di Google quale fornitore del servizio, in quanto aveva ricondotto la sua attività al modello di internet service provider (hosting e caching), con applicazione delle disposizioni del d.lgs. 70/2003, che sollevano la società dall’obbligo di controllo preventivo dei dati diffusi, mentre al contrario, secondo il reclamante, doveva ritenersi che la società rivestisse un ruolo attivo nella gestione del servizio e di tutti i dati immessi dagli utenti, con ricadute differenti in termini di responsabilità ad essa applicabile. Ha ritenuto inoltre erronee le conclusioni del primo giudice in merito alla natura non diffamatoria delle recensioni contenute nella scheda in esame. Google LLC ha resistito chiedendo la conferma dell’ordinanza impugnata. In fatto vi è la premessa incontestata che il dott. … Omissis… aveva manifestato la volontà di usufruire del servizio Google My Business, finalizzato a promuovere la propria attività professionale attraverso una serie di servizi Google. Trattasi nello specifico di un servizio automatico e gratuito che consiste nella formazione da parte dello stesso
motore di ricerca di una scheda, relativa in questo caso all’attività professionale del reclamante, che compare in un riquadro a margine dei risultati di ricerca restituiti da Google che offre agli utenti una serie di informazioni generali sull’attività in questione (denominazione, settore in cui opera, indirizzo, orari di apertura, numero di telefono), oltre ad uno spazio dedicato alle recensioni di coloro che usufruiscono dei servizi o prestazioni. I dettagli associati all’attività si basano su informazioni fornite dallo stesso professionista al momento della formazione della scheda o rivendicazione di una scheda già esistente (il quale ha al contempo la facoltà di modificare le informazioni per mantenere aggiornata la scheda e replicare alle recensioni degli utenti), nonché su segnalazioni degli utenti del web o su altre fonti, quali ad es. siti internet e social network, sui quali il reclamante pure è presente, essendo la sua attività ampiamente diffusa in rete, come risulta dalla documentazione depositata in giudizio dallo stesso. Ciò premesso, deve evidenziarsi in punto di diritto che la cautela invocata con il ricorso ex art.700 c.p.c. va valutata sotto il profilo di una possibile sussistenza di un danno imminente ed irreparabile che deriva dalla condotta della controparte. Il perimetro di cognizione del giudice della cautela è circoscritto dunque all’adozione di misure urgenti per la cessazione di una condotta foriera di pregiudizio irreparabile, e sulla scorta di tale premessa non risulta accoglibile la domanda principale svolta dal dott. …Omissis… finalizzata ad ottenere la rimozione dell’intera scheda di Google My Business relativa alla sua attività professionale, in quanto la stessa contiene informazioni del tutto neutre sull’attività esercitata dal professionista, quali ad es. la località e l’indirizzo, reperibili comunque aliunde in rete. Per altro verso, essa rappresenta una estrinsecazione della libertà di espressione e di informazione, quale
DIRITTO DI INTERNET N. 2/2019
329
GIURISPRUDENZA CIVILE quella di condividere informazioni tra utenti del web, che trova fondamento costituzionale (art. 21 Cost.) ed incontra l’unico limite della liceità dei contenuti condivisi. Pertanto, la compressione del servizio offerto dalla società reclamata, che pure trova fondamento costituzionale nella libertà di impresa (art. 41 Cost.), così come del diritto degli utenti e destinatari del servizio offerto dal professionista di ricercare e condividere in rete informazioni al riguardo, può giustificarsi solo quando tali dati abbiano natura illecita, e dunque idonea a recare un pregiudizio a diritti inviolabili del soggetto a cui si riferiscono. …Omissis… Ora, esaminando il profilo della responsabilità di Google rispetto alla diffusione di dati illeciti, deve premettersi che, condividendosi sul punto le considerazioni svolte nel provvedimento impugnato, l’attività della stessa può essere ricondotta alle fattispecie previste dagli artt. 15 e 16 del D.lgs. 70/2003, normativa che, come già ritenuto in più occasioni dal Tribunale adito, è ad essa applicabile pur se destinata ai soli servizi prestati da soggetti stabiliti in paesi UE mentre la sede della reclamata è sita in California-, in quanto esprime principi generali alla luce dei quali valutare la condotta dell’internet service provider (cfr. sul punto Tribunale di Roma, ordinanza del 25.11.2013; Corte di Appello di Roma, sentenza 1065 del 19.2.2018; Tribunale di Milano, ordinanza del 17.5.2017; Tribunale di Imperia, ordinanza del 14.3.2017; Tribunale di Grosseto, sentenza del 15.1.2016; Tribunale di Padova, ordinanza del 7.9.2011). Trattasi nello specifico di attività caching (art.15 cit.) nella parte in cui Google, nella formazione della scheda del servizio My Business, memorizza in via temporanea informazioni che si trovano già pubblicate sul web da terzi, raccogliendole ed aggregandole automaticamente, e di attività di hosting (art.16 cit.), nella parte in cui Google ospita sullo spazio web messo a disposizione degli utenti le recensioni immesse direttamente da costoro, rispetto alle quali mantiene una posizione di terzietà e non ha un obbligo preventivo di vigilanza attiva. Invero, sotto tale ultimo profilo è chiara la previsione dell’art. 17 D.lgs. 70/2003: “Nella prestazione dei servizi di cui agli articoli 14, 15 e 16, il prestatore non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite”. Il prestatore di servizi in ogni caso risponde civilmente del contenuto dei servizi se, richiesto dall’autorità giudiziaria o amministrativa, non agisca prontamente per impedire l’accesso al contenuto di tali servizi, ovvero se, avendo conoscenza della presunta natura illecita o pregiudizievole per il contenuto di un servizio per il quale garantisce l’accesso, manchi di informare l’autorità com-
330
DIRITTO DI INTERNET N. 2/2019
petente (cfr. art. 17 D.lgs. 70/2003, nonché art. 15 Direttiva 2000/31). …Omissis… Nella fattispecie, oltre a non risultare elementi probatori effettivi che consentano di ritenere che Google possa svolgere un ruolo di filtraggio delle comunicazioni elettroniche, è altrettanto difficile enucleare un dovere di Google di intervenire rimuovendo le recensioni sulla base di una mera doglianza del professionista, posto che le stesse non presentano caratteri indiscutibilmente oltraggiosi. Trattasi infatti di affermazioni che, per un verso, non giungono al punto di ledere l’onore o il prestigio del reclamante e, per altro verso, pur se fortemente aspre, costituiscono espressione del diritto di critica. Le recensioni esprimono dei meri giudizi soggettivi percepiti come tali da una persona di media avvedutezza, la quale è perfettamente in grado di comprendere che il contenuto del messaggio è frutto delle opinioni personali del suo autore e pertanto non idoneo a rappresentare una realtà oggettiva. In questa sede, vale la pena richiamare, sul tema dell’esimente del diritto di critica, i più recenti arresti della Suprema Corte di Cassazione, secondo cui il diritto di critica si concretizza in un giudizio valutativo che postula l’esistenza del fatto assunto ad oggetto o spunto del discorso critico ed una forma espositiva non ingiustificatamente sovrabbondante rispetto al concetto da esprimere, e, conseguentemente, esclude la punibilità di coloriture ed iperboli, toni aspri o polemici, linguaggio figurato o gergale, purché tali modalità espressive siano proporzionate e funzionali all’opinione o alla protesta, in considerazione degli interessi o dei valori che si ritengono compromessi. Il rispetto del canone della continenza esige, dunque, che le modalità espressive, pur se aspre, forti e sferzanti, siano proporzionate e pertinenti al tema in discussione e proporzionate al fatto narrato ed al concetto da esprimere, e non si traducano, pertanto, in espressioni che, in quanto gravemente infamanti e inutilmente umilianti, trasmodino in una mera aggressione verbale del soggetto criticato. Ne discende che il requisito della continenza, quale elemento costitutivo della causa di giustificazione del diritto di critica, attiene alla forma comunicativa, ovvero alle modalità espressive utilizzate, e non al contenuto comunicato (Cass. Pen., Sez. 5, sentenza n. 3202 del 23/3/2018; Cass. Pen. Sez. 5, Sentenza n. 18170 del 09/03/2015; Cass. Pen., Sez. 1, Sentenza n. 36045 del 13/0612014). La critica, in quanto elaborazione di personali convincimenti riguardante determinati eventi, non può ritenersi soggetta, con pari intensità della cronaca, al rispetto del limite della verità. Tale assunto, lungi dal legittimare una critica fantasiosa, ossia svincolata da qualsivoglia profilo di verità, porta a ritenere che questa, in quanto
GIURISPRUDENZA CIVILE lettura personale di un determinato fatto, rappresenta un’attività di interpretazione (positiva o negativa che sia) dell’esistenza e della natura di quello stesso fatto; dunque, dove la circostanza obiettiva è una sola, le interpretazioni possono essere molteplici, e ciò impone di considerare e valutare la critiche come frutto di una scelta dell’individuo fra le varie possibilità interpretative generate dal medesimo fatto storico. Infine, l’esistenza concreta di un pubblico interesse al racconto ed alla divulgazione è ravvisabile anche quando non si tratti di interesse della generalità dei cittadini, ma di quello generale della categoria di soggetti ai quali, in particolare, si indirizza la comunicazione (Cass. civ., sez. III, 31 gennaio 2018, n. 2357; Cass. pen., sez. V, 2 novembre 2017, n. 7859). Esaminate alla stregua di tali principi, si osserva che, delle quattro recensioni censurate dal professionista, due in particolare ancorano le opinioni dell’autore a fatti determinati puntualmente esposti: 1) “Esperienza negativa, a partire dalla segretaria scostante, antipatica, e ignorante non in grado di accogliere le persone. Per quanto riguarda il medico ci eravamo accordati per un intervento importante e altre due cose minori da fare nella stessa operazione e non sono state fatte ma me le ha fatte comunque pagare. Non consiglio assolutamente.”; 2) “Una blefaroplastica, maleseguita con conseguenze di peggioramento della struttura e della forma degli occhi. Fatta esaminare e analizzare da medici competenti e da persone incaricate dal tribunale. Un amica gli farà causa. Tante le donne rovinate. Il dott. …Omissis… è assolutamente da evitare”. La natura diffamatoria del contenuto di tali messaggi potrà essere accertata solo all’esito di un giudizio a cognizione piena in cui dovranno essere chiamati a rispondere gli autori degli stessi, non potendo la reclamata essere chiamata a confutare la veridicità delle affermazioni, in quanto totalmente estranea al rapporto professionale intercorso tra il professionista e l’utente. Le altre due recensioni, quali “Lavoro mal fatto, senza impegno e senza amore per la sua professione” e “Pessimo! Assolutamente non idoneo a trattamenti di chirurgia plastica estetica”, utilizzano espressioni che, sebbene critiche, non trasmodano in una denigrazione gravemente umiliante ed appaiono comunque in linea con il contesto espositivo in cui sono inserite, trattandosi di mere opinioni destinate ad altri utenti del web a cui non può attribuirsi la stessa funzione informativa tipica dei giornali o
dei telegiornali e che quindi devono essere valutate con minor rigore. Non può nemmeno sottacersi che, essendo pubblicate sulla scheda di Google My Business tutte le recensioni relative ad una determinata attività, dunque sia quelle positive che quelle negative, l’opinione del lettore non potrà che fondarsi sulla valutazione unitaria del tenore di tutte le recensioni divulgate, e nel caso in esame le diverse recensioni pubblicate sulla scheda del reclamante, oltre alle uniche quattro censurate dal professionista, restituiscono un’immagine indubbiamente positiva del servizio offerto, che concorre a ridimensionare anche la portata dei messaggi sfavorevoli e depone altresì per l’insussistenza in concreto del periculum in mora quale pregiudizio imminente ed irreparabile minacciante il diritto reclamato. Va inoltre considerato che i giudizi delle recensioni si riferiscono ad attività svolte dal reclamante nell’ambito della sua attività professionale medica che egli stesso ha scelto di pubblicizzare attraverso la rete internet, con ciò accettando implicitamente il rischio che i destinatari delle prestazioni potessero esprimere anche giudizi poco lusinghieri. Pertanto, tutte le volte in cui un soggetto si avvantaggia della promozione della sua attività attraverso i social network, siti internet, e altri servizi analoghi offerti in rete, come quello in esame, si espone volontariamente al rischio del giudizio impietoso dei propri clienti, dal momento che la maggior parte dei servizi descritti contiene una sezione specificamente dedicata alle recensioni degli utenti, per cui il diritto a non veder denigrata la propria attività deve essere bilanciato con quello dei fruitori ad esprimere un giudizio non intenzionalmente o immotivatamente offensivo su di essa. Le considerazioni svolte risultano assorbenti rispetto a tutte le ulteriori argomentazioni e richieste delle parti. Le spese di lite, liquidate come in dispositivo, seguono la soccombenza. P.Q.M. - rigetta il reclamo; - condanna parte ricorrente alla rifusione delle spese processuali in favore della resistente, liquidate nella complessiva somma di Euro 4.000,00 per compensi, oltre spese generali ed accessori di legge. …Omissis…
DIRITTO DI INTERNET N. 2/2019
331
GIURISPRUDENZA CIVILE
IL COMMENTO
di Edoardo Palazzolo Sommario: 1. La normativa in materia di commercio elettronico e l’interpretazione estensiva del principio di libertà di stabilimento. – 2. I servizi di hosting e caching e la richiesta di cancellazione dei dati. – 3. L’esimente del diritto di critica e il bilanciamento da attuare. – 4. L’accettazione del rischio e la mancanza di controllo sul prestigio. Il Tribunale di Roma, nella sua composizione collegiale per la Sezione Diritti della Persona e Immigrazione, in sede cautelare, rafforza il principio secondo cui è fondamentale, nella valutazione di una richiesta urgente di cancellazione di recensioni negative sull’attività professionale a nocumento dell’onore, decoro e reputazione di un professionista, bilanciare il diritto di critica dei clienti e la libertà di impresa dell’Internet Service Provider con l’effettiva sussistenza di un pregiudizio imminente e irreparabile per il soggetto la cui attività è legittimamente esposta nella “vetrina” virtuale di un motore di ricerca come Google. The panel of the Tribunal of Rome for the Person Rights and Immigration Section, as a precautionary measure, sticks to the principle that it is fundamental, in the evaluation of an urgent request for cancellation of negative reviews on the professional activity in detriment of honor, decorum and reputation of a professional, to balance the client’s right to criticize and the Internet Service Provider’s freedom of enterprise with the actual existence of an imminent and irreparable prejudice for the subject whose activity is legitimately exposed in the virtual “window” of a search engine like Google.
1. La normativa in materia di commercio elettronico e l’interpretazione estensiva del principio di libertà di stabilimento
La recente pronuncia del Tribunale di Roma resa in sede collegiale, Sezione Diritti della Persona e Immigrazione, a seguito del reclamo esperito ai sensi dell’art. 669 terdecies c.p.c. avverso ordinanza ex art. 700 c.p.c., consolida un già fermo orientamento della giurisprudenza di merito in materia di responsabilità dell’Internet Service Provider (1). La vicenda posta alla base del caso in esame prende le mosse dall’attivazione, da parte di un chirurgo plastico, di un servizio di Google LLC denominato Google My Business (GMB). Trattasi, nella fattispecie, di una funzionalità del tutto gratuita del motore di ricerca che consente, qualora un utente inserisca nella stringa il nome riferito all’azienda o al professionista che attiva il servizio, di essere visualizzati in una “scheda” separata dai risultati relativi alla ricerca medesima, con la possibilità di avere rapidamente informazioni circa ubicazione, contatti telefonici e recensioni dei clienti di quella determinata attività. Resosi conto della presenza di una serie di recensioni negative, avanzate da parte di ex pazienti sul suo operato professionale e redatte nel corpo nella sua scheda GMB, il chirurgo plastico ne chiedeva la rimozione con provvedimento di urgenza, subordinando a una tale pretesa la richiesta di eliminazione delle sole recensioni in asserito danno del suo onore, decoro e reputazione.
(1) Nel gergo proprio di Internet, l’Internet Service Provider (o ISP) è un fornitore di servizi della società dell’informazione, fra i quali, oltre al mero accesso alla rete, si collocano anche l’hosting o il caching come meglio definiti infra.
332
DIRITTO DI INTERNET N. 2/2019
Pare opportuno, anzitutto, analizzare la disciplina applicata al caso di specie e l’ambito territoriale di applicazione della stessa. La vicenda viene collocata sotto l’alveo della normativa in materia di servizi della società dell’informazione e commercio elettronico (2). Con il conforto di specifici precedenti giurisprudenziali, il Tribunale di Roma conferma infatti l’applicabilità del d.lgs. 70/2003 anche ai soggetti aventi sede legale fuori dal territorio eurounitario, sostenendo che il decreto medesimo “esprime principi generali alla luce dei quali valutare la condotta dell’internet service provider”. La criticità messa in luce dalla lettera dell’art. 1, comma 2, lett. d) del d.lgs. 70/2003, ove si prevede che non rientrano nel suo campo di applicazione “le prestazioni di servizi della società dell’informazione effettuate da soggetti stabiliti in Paesi non appartenenti allo spazio economico europeo”, ad oggi risulta del tutto superata per mezzo di note e rilevanti pronunce della Corte di Giustizia dell’Unione europea (3) che
(2) Decreto Legislativo 9 aprile 2003, n. 70, recante “Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico”. (3) Ci si riferisce, chiaramente, all’importantissima pronuncia Google Spain. Cfr. CGCE, Grande Sezione, sent. 13 maggio 2014, causa C-131/12, in particolare al considerando n. 19, il quale riporta che “lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale dell’attività mediante un’organizzazione stabile; che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo”. In quel contesto si parla della nozione di “stabilimento” ai sensi della c.d. “Direttiva madre” 95/46/CE in materia di protezione dei dati personali, ma l’interpretazione che ne viene data è perfettamente estensibile alle ulteriori e altrettanto importanti attività esercitate da Google LLC (con uno stabilimento, peraltro, nella Repubblica d’Irlanda) nello spazio economico europeo. La sentenza ha dato origine a molteplici commenti: tra questi si segnalano Pollicino, Diritto all’oblio e conservazione dei dati.
GIURISPRUDENZA CIVILE estendono la portata del principio di libertà di stabilimento contenuto nel TFUE. Ne consegue un ulteriore tassello a integrazione del principio secondo cui chi presta servizi della società dell’informazione all’interno dello spazio economico europeo deve soggiacere alle norme a tutela di coloro che risiedono, sono domiciliati o stabiliti al suo interno. La particolarità del servizio Google My Business descritto è che, a prescindere dalla “rivendicazione” dell’attività da parte dell’impresa o del professionista che decida di utilizzarlo (4), la scheda apparirà comunque separata dai risultati di ricerca in virtù di un meccanismo automatico generato dagli algoritmi di Google grazie ai Big Data cui può attingere (5). In buona sostanza, dunque, per il titolare è possibile modificare eventuali informazioni non corrette relative alla propria attività o aggiornarle, ma non gli è concesso rimuovere in autonomia le recensioni dei clienti, positive o negative che siano. I giudici capitolini, tuttavia, non paiono cogliere questa caratteristica: viene piuttosto rilevata da parte loro una implicita “accettazione del rischio” relativo alla pubblicizzazione dell’attività tra il professionista e il prestatore di servizi, conseguente a un accordo con il quale il titolare (dunque il medico chirurgo) avrebbe presuntivamente scelto di avvalersi di GMB. In realtà, come già precisato, la pubblicizzazione dell’attività professionale sulla scheda di GMB è un mero risultato degli algoritmi del motore di ricerca. Non vi è, pertanto, alcuna richiesta di consenso da parte di Google sul collocamento del sunto informativo a margine dei risultati di ricerca, né alcuna “accettazione implicita del rischio” di recensioni negative da parte del professionista, sebbene possa comunque sostenersi, nel caso di specie, una “ratifica” del chirurgo plastico alla pubblicità della sua attività in quanto rivendicata come propria per moderarne e controllarne le sta-
La Corte di Giustizia a piedi uniti: verso un digital right to privacy, in Giur. cost., 2014, 2949 ss.; Mantelero, Il futuro Regolamento EU sui dati personali e la valenza “politica” del caso Google: ricordare e dimenticare nella digital economy, in Dir. inf. e inform., 2014, 681 ss.; Miniussi, Il “diritto all’oblio”: i paradossi del caso Google, in Riv. it. dir. pubbl. comunit., 2015, 209 ss.; Cociuccio, Il diritto all’oblio fra riservatezza e diritto all’informazione, in Dir. fam. e pers., 2015, 740 ss.; Pizzetti, Le Autorità Garanti per la protezione dei dati personali e la sentenza della Corte di Giustizia sul caso Google Spain: è ora di far cadere il “velo di Maya”, in Dir. inf. e inform., 2014, 805 ss. (4) Google dà, infatti, la possibilità di attivare il servizio al legale rappresentante dell’impresa o al professionista semplicemente indicando come “propria” l’attività che appare sulla scheda di GMB e, dunque, solo di prendere il controllo delle ricerche che gli utenti effettuano inserendo le relative parole chiave. (5) I meccanismi di machine learning consentono a Google una mappatura totale delle informazioni presenti in rete e, dunque, di collocare eventuali attività aziendali nella loro effettiva ubicazione tramite Google Maps, nonché di creare la scheda informativa dell’azienda a prescindere dall’apporto esterno del titolare.
tistiche relative alle ricerche di terzi mediante Google, nonché per ricevere notifiche di eventuali recensioni.
2. I servizi di hosting e caching e la richiesta di cancellazione dei dati
Sotto altro profilo, appare meritevole di commento il rilievo collegiale secondo cui l’attività effettivamente prestata da Google LLC viene ricondotta, in particolare, agli articoli 15 e 16 del d.lgs. 70/2003, che disciplinano le attività di caching e di hosting del prestatore di servizi. Siffatte disposizioni stabiliscono una precisa area di esenzione da obblighi di vigilanza attiva dell’ISP. In particolare, come descritto in ordinanza, l’art. 15 del d.lgs. 70/2003 (che ricalca l’art. 13 della Direttiva 2000/31/ CE) stabilisce l’irresponsabilità del prestatore (6), salvo specifiche condizioni, nel caso di attività di caching, ossia di memorizzazione temporanea di informazioni che si trovano già pubblicate sul web da terzi. Medesime considerazioni, con i dovuti correttivi, vengono avanzate riguardo all’art. 16 del decreto, che riprende l’art. 14 della Direttiva 2000/31/CE. Il Tribunale di Roma, in particolare, evidenzia maggiormente l’attività di hosting operata da Google LLC (7), che potrebbe rispondere civilmente per informazioni illecitamente memorizzate e non rimosse soltanto per i motivi tassativamente descritti nella norma (8). Il legislatore, peraltro, rafforza le esenzioni di cui agli articoli suindicati, unitamente a quella contenuta nell’art. 14 del d.lgs. 70/2003 (attività di mere conduit) (9), con
(6) Sulla responsabilità dell’Internet Service Provider cfr., fra i molti, Maggs, Protezione del consumatore su internet, in Resp. civ. e prev., 1999, 580 ss.; Spagnoletti, La responsabilità del provider per i contenuti illeciti di Internet, in Giur. merito, 2004, 1922 ss.; Petruso, La responsabilità degli e-providers nella prospettiva comparatistica, in Europa e dir. priv., 2011, 1107 ss.; Cociuccio, La responsabilità civile per fatto illecito dell’internet service provider, in Resp. civ. e prev., 2015, 1312 ss.; Vizzoni, Recensioni non genuine su Tripadvisor: quali responsabilità?, in Resp. civ. e prev., 2018, 706 ss. (7) Il servizio di hosting viene definito come un’attività del prestatore di messa a disposizione di uno spazio web nel quale gli utenti possono immettere contenuti su cui l’Internet Service Provider (in questo caso Google LLC) non riveste, salvo condizioni specifiche, alcun obbligo di controllo o vigilanza. (8) È interessante fare un cenno al recente arresto della giurisprudenza di legittimità in punto di violazione del copyright all’interno delle piattaforme gestite da ISP, con cui si è data fondamentale importanza, nella valutazione di obblighi “attivi” da parte del prestatore di servizi, alle condizioni contrattuali pattuite all’interno del contratto. Qualora, infatti, si stabilisse nelle clausole di SLA (service level agreement) che il provider di servizi abbia facoltà (od obbligo) di conoscenza, filtraggio e modifica dei contenuti inseriti nella propria piattaforma ed essi violino le norme in materia di diritto d’autore, può correttamente parlarsi di “servizi di hosting attivo”. Cfr., a tal proposito, Cass., Sez. I Civ., sentt. nn. 7708 e 7709 del 19 marzo 2019, in questa Rivista, 2019, 261, con nota di Rovati e Panetta, Il ruolo attivo degli intermediari di internet e la conseguente responsabilità civile. (9) Si tratta di un servizio di mero “stoccaggio delle informazioni” da fonti terze, in quanto si occupa di veicolarle attraverso risultati strutturati
DIRITTO DI INTERNET N. 2/2019
333
GIURISPRUDENZA CIVILE la previsione di cui all’art. 17, stabilendo espressamente l’assenza di una specifica responsabilità del prestatore di servizi della società dell’informazione per mancata sorveglianza. Le descritte norme, poste a fondamento delle due decisioni conformi – quella sul procedimento d’urgenza ex art. 700 c.p.c. e l’ordinanza del Tribunale di Roma in commento –, sono le uniche appositamente dettate nei confronti degli ISP per ottenere l’eventuale tutela di notice and take down una volta stabilita l’imminenza e l’irreparabilità del pregiudizio dovuto alla lesione dell’onore, del decoro e della reputazione professionale cagionata da utenti terzi rispetto al prestatore di servizi. Nel caso, d’altronde, di un servizio offerto a imprese e professionisti e comprensivo di uno spazio per le recensioni dei clienti, con contenuti, pertanto, strettamente correlati all’attività svolta, non può infatti trovare applicazione il diverso strumento del diritto alla cancellazione (diritto all’oblio) di cui all’art. 17 del Regolamento (UE) 2016/679 (10). Le recensioni negative inserite nella scheda fanno riferimento, anzitutto, all’operato del “professionista” e non alla sfera personale e/o intima del soggetto che esercita l’attività medico-chirurgica, dunque non hanno alcun contenuto illecitamente divulgativo o lesivo della personalità o intimità del medico reclamante. Inoltre, sebbene le due normative siano strettamente connesse sotto diversi profili (11), il diritto alla cancellazione (diritto all’oblio) ha presupposti del tutto differenti e non può essere correlato alla critica (con le limitazioni di cui i giudici hanno debitamente tenuto conto e di cui si dirà) rispetto alla scelta del
contraente da parte dei futuri pazienti, i quali possono beneficiare del feedback lasciato da coloro che hanno già avuto esperienze con il professionista. Condivisibilmente sul punto, il Tribunale conferma l’esistenza concreta di un pubblico interesse al racconto e alla divulgazione “anche quando non si tratti di interesse della generalità dei cittadini”, bensì semplicemente di quello della categoria di soggetti ai quali si indirizza la comunicazione delle recensioni via web, che potrebbero essere futuri o attuali pazienti del medico (12). Non pare quindi possibile stabilire a priori se talune recensioni negative possano o meno essere cancellate dall’Internet Service Provider sulla base di scelte arbitrarie dell’impresa o del professionista. Va detto anche, tuttavia, che la permanenza delle informazioni memorizzate nel web produce, nel tempo, il rischio di una loro possibile “deformazione”: così, ad esempio, l’informazione originariamente contestualizzata, passando da un archivio all’altro o in ragione della funzione di c.d. copia cache propria di molti motori di ricerca, smarrisce il senso in cui era inserita, si “de-struttura”, perdendo le relazioni che la sorreggevano e i criteri che la ordinavano, confluendo in uno spazio di permanenza eterno come quello di Google (13). In tale ottica, come rilevato anche da attenta dottrina (14), quello in analisi può essere configurabile come un processo economico che, assorbendo in piattaforme private il dialogo e l’espressione libera dei cittadini, produce la “mercificazione di ogni interazione comunicativa”: tanto quella di elevato valore sociale, quanto quella del quotidiano chiacchiericcio, quanto, inoltre, quella che genera lesione delle sfere giuridiche altrui.
senza alcun apporto o memorizzazione.
3. L’esimente del diritto di critica e il bilanciamento da attuare
(10) Ormai tradizionalmente conosciuto come General Data Protection Regulation (GDPR) o Regolamento Generale sulla Protezione dei Dati (RGDP). Sui molteplici aspetti di innovazione portati dal Regolamento esistono numerosi e importanti commentari della dottrina. Cfr., in particolare, Mantelero-Poletti (cur.), Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, Pisa, 2018; Riccio - Scorza - Belisario (cur.), GDPR e normativa privacy, 2018; Cassano - Colarocco - Gallus - Micuzzi (cur.), Il processo di adeguamento al GDPR, 2018; Bolognini - Pelino - Bistolfi, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, 2016. (11) Nel caso Google c. Vividown, la Cassazione ha effettuato un pregevolissimo tentativo di ricostruzione giuridica delle due norme (Codice privacy, ratione temporis applicabile, nonché d.lgs. 70/2003) statuendo la loro stretta correlazione quanto alla tutela della dignità e della riservatezza delle persone coinvolte nella pubblicazione di contenuti illeciti attraverso piattaforme web. V. Cass. pen., Sez. III, 17 dicembre 2013 (dep. 3 febbraio 2014), n. 5107 e, in particolare, il commento di Ingrassia, La sentenza della Cassazione sul caso Google, in Diritto Penale Contemporaneo, 6 febbraio 2014, disponibile all’indirizzo <https://www.penalecontemporaneo.it/d/2817-la-sentenza-della-cassazione-sul-caso-google>. Sul punto cfr. Cassano (cur.), Il caso Google/Vividown in Cassazione. L’opinione della giurisprudenza e della dottrina, dispensa ad uso dei corsisti del Corso di Alta Formazione in Diritto dell’internet della European School of Economics, Roma, 2014-2015.
334
DIRITTO DI INTERNET N. 2/2019
Il punto nodale della decisione concerne la disamina del diritto di critica (15) alla luce dei più recenti arresti della giurisprudenza di legittimità.
(12) I giudici capitolini citano Cass. civ., 31 gennaio 2018, n. 2357 e Cass. pen., 2 novembre 2017, n. 7859. (13) Così acutamente Carota, Diffusione di informazioni in rete e affidamento sulla reputazione digitale dell’impresa, in Giur. Comm., 2017, 624 ss. L’A. pone in contrapposizione, come un’arma a doppio taglio, gli effetti positivi e distorsivi della web reputation per le imprese, sollevando interrogativi di non poco conto circa la genuinità e l’utilità di informazioni non aggiornate, soggettive e imprecise nella dimensione perenne del web. Cfr. anche Finocchiaro, La memoria della rete e il diritto all’oblio, in Dir. inf. e inform., 2010, 394-395, cit. (14) Cfr. Montanari, La responsabilità delle piattaforme on-line (Il caso Rosanna Cantone), in Dir. inf. e inform., 2017, 254 ss. (15) In dottrina, sul diritto di critica, si segnalano i contributi più recenti, fra cui Curreli, La diffamazione su Facebook, tra diritto sostanziale e profili probatori, in Resp. civ. e prev., 2017, 189 ss.; Barra Caracciolo, La tutela della personalità in Internet, in Dir. inf. e inform., 2018, 201 ss.; Codiglione, Reputazione on line, sistemi di rating e anonimato in una recente decisione
GIURISPRUDENZA CIVILE Il diritto vivente, del cui indirizzo il Tribunale di Roma condivide i presupposti, è saldamente orientato verso una dimensione sufficientemente ampia del diritto di critica. I criteri che, ormai da tempo risalente, sono utilizzati dalla giurisprudenza di legittimità per rendere la stessa non obiettivamente antigiuridica sono quelli della pertinenza e della continenza espressiva. Tuttavia, il Tribunale di Roma fa un passo più in avanti, che consiste nell’effettuare la distinzione, fondamentale nel caso in commento, tra diritto di critica e diritto di cronaca. Il secondo possiede un ulteriore requisito, ai fini dell’applicabilità della scriminante, che il primo non ha. Il giornalista, infatti, nel riportare una notizia, deve necessariamente attenersi anche al criterio della verità del fatto, della cui assenza si tiene conto per l’eventuale integrazione di una fattispecie penale come quella della diffamazione. Il peso conferito a un simile presupposto, con riferimento al diritto di cronaca, non può essere lo stesso che viene attribuito alla critica. Viene correttamente sostenuto dai giudici che essa, pur non potendo essere completamente svincolata dall’esistenza e dalla verità del fatto contestato con la recensione negativa (16), rimane pur sempre l’interpretazione di un accadimento storico realmente avvenuto e, si può aggiungere per la vicenda in esame, la cui manifestazione nella realtà tangibile non è stata mai contestata dal medico reclamante. Di conseguenza, gli unici rilievi di cui il decisore doveva e deve valutare il pregiudizio imminente e irreparabile sono e rimangono correlati alla forma espressiva utilizzata dagli ex pazienti. Ne deriva che, ai fini del provvedimento ex art. 700 c.p.c. prima e in sede di reclamo poi, le valutazioni in concreto da compiere da parte del giudice potranno soltanto essere effettuate calando le recensioni nel contesto dal quale sono estrapolate e valutando la sussistenza o meno di parametri corretti nell’espressione di una critica legittima. Delle quattro recensioni di cui il reclamante chiedeva l’eliminazione, soltanto due potrebbero, secondo dei giudici capitolini, integrare in ipotesi una supposta lesione dell’onore, del decoro, e del prestigio professionale, ma la sede scelta per la valutazione dei presupposti non è corretta, essendo necessario un giudizio ordinario di cognizione per stabilire l’esistenza di un danno da risarcire. Il tutto senza trascurare l’esistenza online, accanto alle quattro circoscritte critiche ricevute, di una serie di recensioni positive che, in ogni caso, garantivano al professionista una reputazione complessivamente buona.
Infine, la richiesta di rimozione di contenuti diretta a un soggetto intermediario che si limita a esercitare un’attività imprenditoriale porta con sé un altro fondamentale principio di cui correttamente il Tribunale tiene conto: la libertà di impresa dell’articolo 41 della Costituzione. I giudici, pertanto, non possono non ravvisare la soccombenza, perlomeno in sede cautelare, del reclamante per supposta violazione dell’onore, decoro e reputazione professionale arrecata da ex pazienti tramite le recensioni sulla scheda GMB.
4. L’accettazione del rischio e la mancanza di controllo sul prestigio
Come già incidentalmente sostenuto supra, c’è solo una pecca nelle premesse ricostruttive del fatto da parte del Tribunale di Roma, il quale, tuttavia, giunge comunque alla decisione più rispettosa della legislazione vigente. Non esiste alcun nesso tra la “rivendicazione” della scheda My Business da parte del medico e l’inserimento della stessa a margine dei risultati di ricerca da parte della società americana; pertanto non vi poteva essere alcuna accettazione implicita dei rischi derivanti da recensioni negative per un’attività che, a prescindere, era già pubblicizzata nel web attraverso i dati provenienti da terze parti e aggregati da Google. L’accettazione implicita del rischio di recensioni negative, inoltre, non può e non deve essere condotta nel caso di specie a una presunta fonte contrattuale (17) e, dunque, al consenso del chirurgo estetico derivante da un accordo tra professionista e Google. Ha, piuttosto, basi logicamente antecedenti, che si allacciano alla natura stessa di una qualunque attività aperta al pubblico. Il professionista, infatti, accetta che la propria reputazione professionale sia oggetto di discussione critica e di visioni diverse, di fatto non potendo avere il controllo dei giudizi personali dei clienti nel momento stesso in cui decide di avviare l’attività imprenditoriale o libero-professionale e, dunque, di aprirsi al pubblico. Fermi restando i limiti necessari all’esercizio del diritto di critica – che va bilanciato con altri diritti inviolabili della persona oggetto di discussione – nonché l’esistenza di un’esperienza effettivamente verificatasi nella realtà materiale, l’esercente l’attività non può avere un controllo assoluto circa il proprio prestigio, che è bersaglio inevitabile di opinioni altalenanti frutto di esperienze diverse e le cui forme espressive possono (o perlomeno dovrebbero) formare oggetto di mera valutazione comparativa da parte di chi, in futuro, deciderà di avvalersi dei servizi dell’attività recensita.
della Corte di Cassazione tedesca, in Dir. inf. e inform., 2015, 169 ss.; Peron, Sull’applicabilità dell’art. 57 c.p. al direttore responsabile di testata telematica, in Resp. civ. e prev., 2019, 262 ss. (16) Cfr. Cass., 7 giugno 2018, n. 14727. Fra la giurisprudenza di merito, v. Trib. Milano, 3 dicembre 2018, n. 12110.
(17) Qui è possibile, infatti, un importante distinguishing rispetto alle decisioni della Cassazione di cui alla nota n. 8.
DIRITTO DI INTERNET N. 2/2019
335
GIURISPRUDENZA CIVILE
La responsabilità del gestore di piattaforme digitali per il deposito e lo scambio di criptovalute Tribunale di Firenze; sez. fallimentare; sentenza 21 gennaio 2019, n.18; Pres. Governatori; Est. Scoscia; per la dichiarazione di fallimento della società BG Services s.r.l. La criptovaluta è un’unità monetaria simile ad una valuta che tuttavia non è qualificata come moneta legale; è un bene consumabile in ragione del suo uso (quando viene spesa); è un bene fungibile perché le singole unità che la compongono sono della stessa natura e della stessa qualità, in quanto appartenenti al medesimo protocollo informatico, e sono soggette alla medesima ratio di altri beni che permettano di effettuare pagamenti. In ragione della loro fungibilità, le criptovalute se custodite in un fondo generale, non recando elementi distintivi circa la loro appartenenza ai singoli utenti, danno luogo ad un deposito irregolare, cui consegue lo specifico obbligo per il depositario di mantenere sempre a disposizione dei depositanti la quantità integrale, con un coefficiente di cassa del 100%.
…Omissis… 1) Competenza e titolarità dell’impresa …Omissis… 2) Definizione di criptovaluta e suo inquadramento giuridico Venendo al merito, al fine di verificare il superamento delle soglie di fallibilità e lo stato di insolvenza e, in generale, per meglio comprendere la vicenda sottoposta all’attenzione del tribunale, appare opportuno inquadrare giuridicamente il sistema delle c.d. criptovalute, e in particolare la natura (materiale e giuridica) delle stesse, sulla base della legislazione vigente, della dottrina e della giurisprudenza in materia, consapevoli che l’analisi dovrà costantemente adattare gli istituti giuridici dell’ordinamento alla peculiarità della fattispecie, che presenta indubbi aspetti di complessità, derivanti dall’assoluta novità dello strumento (che invero solo di recente è stato oggetto di attenzione del legislatore, delle autorità di vigilanza e della giurisprudenza, anche comunitaria), e della necessaria preventiva conoscenza di nozioni tecnico-specialistiche di tipo informatico, che si intersecano inevitabilmente con gli aspetti giuridici. Sotto il profilo tecnico, in via di assoluta semplificazione e prendendo spunto dagli studi in materia e dalle definizioni comuni, la criptovaluta è la rappresentazione informatica di un valore, decentralizzata e digitale la cui implementazione si basa sui principi della crittografia per convalidare le transazioni e la generazione di moneta in sé. Le criptovalute vengono implementate su reti i cui nodi sono i computer di utenti disseminati in tutto il globo. Su questi computer vengono eseguiti appositi programmi che svolgono funzioni di “portamonete” (o “portavalori digitali”), senza controlli di autorità centrali, av-
venendo le transazioni e il rilascio collettivamente e in rete. Il controllo decentralizzato di ciascuna criptovaluta funziona attraverso una tecnologia di contabilità generalizzata, una catena di blocchi o blockchain, che funge da database delle operazioni, come libro mastro distribuito, generalmente gestita da una rete peer-to-peer che aderisce collettivamente a un protocollo per la convalida di nuovi blocchi. Una volta registrati con un particolare sistema di marcatura temporale (timestamping), i dati di un dato blocco non possono essere modificati retroattivamente senza la modifica di tutti i blocchi successivi, il che richiede la collusione della maggioranza della rete. Il sistema sopra (sommariamente) delineato, in sostanza, fa sì che la criptovaluta possa essere “coniata” da qualunque utente e sia sfruttabile per compiere operazioni di scambio, possibili grazie ad un software open source e ad una rete peer to peer. Sotto il profilo normativo, poi, va rilevato come di recente il legislatore nazionale abbia dato – seppur nell’ambito delle disposizioni dettate per la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo – un definizione di criptovaluta. …Omissis… Le criptovalute, dunque, possono essere considerate “beni” ai sensi dell’art. 810 c.c., in quanto oggetto di diritti, come riconosciuto ormai dallo stesso legislatore nazionale, che la considera anche, ma non solo, come mezzo di scambio, evidentemente in un sistema patrizio e non regolamentato, in cui i soggetti che vi partecipano, accettano – esclusivamente in via volontaria – tale funzione, con tutti i rischi che vi conseguono e derivanti dal non rappresentare la criptovaluta moneta legale o
DIRITTO DI INTERNET N. 2/2019
337
GIURISPRUDENZA CIVILE virtuale (in altre parole, non vi è alcun obbligo giuridico dei partecipanti al “microsistema” di accettare pagamenti di beni o servizi con criptovaluta). …Omissis… 3) Rapporti piattaforma – utenti e natura del deposito di criptovaluta …Omissis… i creditori istanti e l’Ufficio del Pubblico Ministero hanno sottolineato la natura fungibile della criptovaluta Nano, e la configurabilità del rapporto tra utente e piattaforma come deposito irregolare, con conseguente acquisto della proprietà delle criptovalute da parte del gestore e insorgenza dell’obbligo di restituirne altrettante della stessa specie, obbligo che, all’evidenza, la società non può rispettare, vista la sottrazione dell’80% dei Nano depositati sulla piattaforma. Ad ogni modo, secondo gli istanti e la Procura, seppur volessero applicarsi le norme del deposito regolare, La BG Services s.r.l. non avrebbe posto in essere tute le misure necessarie per garantire la sicurezza del deposito, di talché la perdita della detenzione della cosa sarebbe comunque imputabile, anche tenuto conto che il …Omissis… avrebbe scoperto l’ammanco già dal mese di ottobre 2017. Dall’altro lato, la difesa dell’impresa debitrice ha negato tale ricostruzione, proponendo i seguenti assunti: - i Nano non rappresentano monete, in senso legale; - la piattaforma non è una banca; - le attività della piattaforma non sono in alcun modo riconducibili ad uno schema analogo al deposito bancario, non avendo con questo alcun elemento in comune; Ne deriva quindi, secondo la resistente: a) che il rapporto fra la piattaforma e gli utenti sarebbe tale per cui il “deposito” assume una valenza meramente accessoria e strumentale rispetto all’attività di gestione della piattaforma ed era del tutto gratuito; b) seppur si voglia parlare di deposito, questo sarebbe regolare, non sussistendo alcun elemento giuridico in forza del quale configurare un diverso rapporto; c) il …Omissis… prima, la BG poi avrebbero adottato tutte le cautele e le misure ritenute opportune sotto il profilo della sicurezza informatica; d) ciò nonostante, a causa di vizi propri del software Nano, non riconducibili alla piattaforma (tanto che alcuna altra criptovaluta era stata oggetto di “attacchi” e di furti), sono avvenuti indebiti prelievi di Nano, in numero contenuto e artificiosamente mascherati, da parte di alcuni utenti che sono riusciti, in sintesi, a duplicare l’entità dei prelievi così da creare l’ammanco complessivo di circa 15,5 milioni di Nano di proprietà degli utenti; e) non è dato conoscere con esattezza la data in cui si sono verificati tali ammanchi, dal momento che la blockchain di nano non lascia, a differenza delle altre criptovalute, una timestamp certa; ad ogni modo, il … Omissis… si sarebbe reso conto degli ammanchi in data
338
DIRITTO DI INTERNET N. 2/2019
8 febbraio 2018 e avrebbe proceduto immediatamente alla denuncia; f) gli ammanchi sarebbero dipesi da falle nel software sviluppato dal Nano Team che portavano al continuo crash del nodo; non era pertanto compito o onere del Omissis… quello di procedere alla continua verifica dei quantitativi depositati, tenendo anche conto dell’elevatissimo numero di indirizzi cui i Nano erano riferibili (con circa 50.000 utenti). 3.1.) La CTU: risultati e conseguenze giuridiche Al fine di comprendere che tipo di attività svolgesse la piattaforma BitGrail e quali fossero i rapporti con gli utenti, è stata espletata consulenza tecnica d’ufficio con il seguente quesito …Omissis… Descriva il ctu il funzionamento della piattaforma exchange online gestita da BG Services s.r.l., con particolare riferimento: - alle modalità di svolgimento del rapporto tra piattaforma e utente sin dal momento della registrazione di quest’ultimo su Bitgrail.com e i servizi offerti dalla piattaforma; - alla conservazione e alla collocazione delle criptovalute all’interno della piattaforma; - ai poteri di supervisione e controllo sulle transazioni e sulle movimentazioni delle criptovalute da parte del gestore della piattaforma e agli eventuali ulteriori poter del gestore; Riferisca il ctu sulle circostanze dell’ammanco di Nano denunciato da …Omissis… nel febbraio 2018, anche sull’effettiva datazione dello stesso e ne individui le cause. Accerti infine il ctu se fossero state adottate tutte le misure di sicurezza dalla piattaforma e nel caso di risposta positiva descrivendo le stesse e fornendo ogni elemento utile per la valutazione di adeguatezza della misura in considerazione della natura e dell’attività e delle caratteristiche della criptovaluta”.…Omissis… Con riferimento alla modalità di funzionamento della piattaforma, il CTU ha appurato che Bitgrail svolgeva due tipologie di servizi: a) servizio di deposito di 10 diverse criptomonete tramite un portafoglio (wallet) che l’utente poteva aprire e tenere attivo gratuitamente, senza commissioni per l’exchange, esclusi i costi di prelievo (per Nano non erano previsti nemmeno questi costi). Il deposito doveva servire soltanto a permettere di effettuare i diversi scambi; b) servizio di trading (possibilità di negoziare/scambiare) le criptovalute depositate nei wallet. Il rapporto con la piattaforma iniziava, per l’utente, con la registrazione, con la quale lo stesso otteneva l’accesso in un’area riservata (senza particolari controlli approfonditi su identità registrate) e l’assegnazione di un proprio wallet da ricaricare. Una volta versati i fondi (rectius: le criptomonete) sul wallet, l’utente poteva sì negoziarli autonomamente, ma sempre tramite l’intermediazione della piattaforma, che era preposta a gestire gli spostamenti (dento e fuori l’exchange stesso); a ogni utente veniva assegnato un indirizzo di deposito per ogni tipo di
GIURISPRUDENZA CIVILE criptovaluta per la quale desiderava creare un proprio wallet. Il CTU precisa che i fondi trasferiti dagli utenti sull’indirizzo loro assegnato non rimanevano sullo stesso, ma venivano invece spostati, con riferimento quantomeno alle criptomonete principali (Bitcon, eth, Nano), verso un indirizzo principale di BitGrail con uno script (che è, in parole semplici, un programma scritto in un particolare linguaggio di programmazione) che ogni notte raccoglieva i fondi dai singoli indirizzi per trasferirli verso di esso. Quanto alla conservazione e collocazione delle criptovalute all’interno della piattaforma, esse venivano conservate in hot wallet (portafogli configurati sui server di produzione, cioè quelli connessi a Internet e su cui erano attivi gli utenti e i portafogli dell’exchange) dove queste rimanevano a disposizione dell’exchange che ne gestiva i prelievi o le compravendite tra criptomonete diverse. Questi portafogli erano controllati esclusivamente tramite il codice dell’exchange oppure da coloro che detenevano le chiavi private dei wallet …Omissis…. Gli utenti non avevano la possibilità di gestire autonomamente i loro fondi senza far uso della funzionalità della piattaforma perché: a) gli indirizzi di deposito assegnati a ciascuno erano in breve tempo svuotati per far convogliare le criptomonete verso gli indirizzi principali dell’exchange; b) gli utenti non disponevano delle chiavi private: senza autenticarsi sulla piattaforma, che doveva essere attiva e funzionante, per gli utenti era impossibile svolgere attività di trading, ma anche semplicemente, ritirare i propri fondi (il CTU paragona la situazione a quella del correntista che non può ritirare il denaro depositato presso la propria banca se gli sportelli sono chiusi, se non funziona il portale web e se i servizi di credito/ debito tramite carte non sono funzionanti). In questo scenario, ha continuato il consulente, in cui i fondi di tutti gli utenti vengono gestiti centralizzandoli su di un unico conto, “l’unico modo per attribuire a un utente il suo capitale è quello di valutare i dati contenuti sul database, non essendo i wallet “fisicamente” distinti. Non è però possibile in caso di ammanco, capire di quale utente fossero i fondi scomparsi, dato che i fondi di tutti gli utenti venivano raccolti su di un unico conto”. Il gestore dell’exchange aveva conoscenza delle chiavi private con le quali potevano essere spesi i fondi attestati sui vari wallet ma non risulta che le utilizzasse direttamente: queste venivano impiegate tramite i nodi che gestivano le varie criptomonete per attivare i vari prelievi che gli utenti man mano richiedevano oppure per convogliare i fondi che gli utenti man mano versavano sui loro indirizzi dedicati. L’exchange riceveva ordini di trading o di prelievo da parte degli utenti e, tramite il codice con cui era sviluppato,
provvedeva ad informare il nodo che gestiva ogni rispettiva criptomoneta circa le transazioni che dovevano essere eseguite, indicando ad esempio per i prelievi (cioè per i trasferimenti di criptomoneta da Bitgrail ad ogni altra piattaforma di gestione), il numero di criptomonete e l’indirizzo di destinazione. Per chiarezza espositiva, il CTU precisa il concetto di nodo, fondamentale per comprendere la vicenda. Esso è un software Nano installato dal …Omissis… su un computer collegato all’exchange Bitgrail. Il nodo conteneva le funzioni di creazione dell’account, blocchi, transazioni, firma, etc; in sostanza il nodo è un wallet Nano in tutto e per tutto autosufficiente ma da solo non può fare nulla senza ricevere ordini dall’esterno, attraverso un canale chiamato RPC che viene utilizzato per impartire ordini di trasferimento, creazione di indirizzi o qualunque altri dei comandi disponibili. Dall’esame dei meccanismi di funzionamento della piattaforma è emerso che il sig. …Omissis… prima quale imprenditore individuale e poi quale legale rappresentante della società, fosse l’unico responsabile della manutenzione e aggiornamento del nodo Nano. Sempre il CTU spiega che “Ogni volta che il nodo riceveva una richiesta di eseguire una transazione da Bitgrail, ne generava il codice, lo firmava con le chiavi private e segrete in esso memorizzate e la trasmetteva verso gli altri nodi della rete Nano, propagando così pubblicamente la transazione e “attivando” quindi la transazione così come un bonifico viene “attivato” nel momento in cui viene comunicato, come minimo, al destinatario dei fondo. Nel mondo della blockchain distribuita, il “bonifico” viene comunicato a tutti i nodi che, chi prima chi dopo, lo segnano nella loro blockchain in locale e propagano ulteriormente la notizia del trasferimento così che tutti i nodi vengano raggiunti ed aggiornati”. Dunque l’exchange – così come il suo gestore – aveva visibilità solamente sulle transazioni che il software dell’excjhange aveva lanciato e delle quali il sistema aveva ricevuto notifica dai nodi che gestivano le criptomonete”. Quanto alle cause dell’ammanco, è stato appurato che le stesse siano derivate dalla sommatoria di più richieste inviate dal Bitgrail al nodo Nano, che hanno causato doppi o multipli prelievi a fronte invece della singola richiesta impartita dagli utenti a Bitgrail. In sostanza, il software dell’exchange Bitgrail non era in grado di verificare e gestire l’esito delle richieste di prelievo da parte degli utenti che venivano rigirate direttamente al nodo Nano, inviando (quando non rilevava l’effettiva fuoriuscita dei fondi) più volte richieste di prelievi di pari importo e generando così i prelievi multipli, in genere doppi. I prelievi degli utenti venivano richiesti sull’exchange dagli stessi (che indicavano la cifra da prelevare e l’indirizzo su cui versarla) e da lì diventavano istruzioni di trasferimento per il nodo Nano tramite un meccanismo di
DIRITTO DI INTERNET N. 2/2019
339
GIURISPRUDENZA CIVILE comunicazione asincrono e senza caratteristiche d’idempotenza, che è quella proprietà dei sistemi informatici di eseguire una volta sola un comando seppur impartito più volte, anche se identico ed in rapida successione. Va rilevato che le circostanze sopra descritte sono pacifiche tra le parti. È emerso dunque che il rapporto tra la piattaforma e utente fosse regolato da una serie di condizioni di utilizzo (term of use) che prevedevano la fornitura, da parte di BitGrail, di vari servizi, essenzialmente finalizzati alla negoziazione di criptovalute le quali, giocoforza, dovevano essere depositate sulla piattaforma. L’istituto del deposito rientra dunque nella fattispecie in esame. …Omissis… Deve ritenersi, in primo luogo, che la criptovaluta, in questo caso del tipo nano – XRB, sia bene fungibile. Essa è infatti, da un lato, un’unità monetaria simile ad una valuta che tuttavia non è qualificata come moneta legale (a questa tesa aderisce il legislatore nazionale), ma si tratta anche di un bene, oggetto di trasferimenti e transazioni. La criptovaluta è sia consumabile in ragione del suo uso (quando viene speso) sia fungibile perché tutti i Nano sono della stessa natura e della stessa qualità, in quanto appartenenti al medesimo protocollo informatico, e sono soggetti alla medesima ratio di altri beni che permettano di effettuare pagamenti (naturalmente, sulla base di un accordo tra gli utilizzatori). Nel caso di specie, dalla descrizione delle modalità di funzionamento della piattaforma si evince chiaramente che BG Services s.r.l. aveva il controllo sui fondi depositati e la facoltà di servirsi delle valute depositate dagli utenti. Nello specifico, movimentava le valute dagli indirizza di destinazione degli utenti agli indirizzi “generali” della piattaforma e utilizzava tali valute così accentrate per dare esecuzione alle svariate richieste di prelievo provenienti dai diversi utenti …Omissis… Nelle sue conclusioni, il CTU ribadisce che “La criptomoneta veniva conservata in modalità “hot wallet” (a caldo, su PC connessi e attivi) nei modi configurati all’interno dell’infrastruttura BitGrail. L’unico in grado di movimentare e disporre di tali fondi è il gestore dell’exchange, che possedeva e possiede le chiavi private del’indirizzo “rappresentative” [cioè quello di interfaccia con gli utenti] così come anche delle decine di migliaia di indirizzi di deposito dei singoli utenti sui quali gli utenti versavano i loro fondi e dai quali venivano prelevati per convogliarli tutti, periodicamente, sull’indirizzo principale”. È emerso poi in sede di operazioni di CTU che i prelievi “fraudolenti” siano iniziati alcuni mesi prima della denuncia del febbraio 2018, già nel 2017 (pag. 29 CTU).
340
DIRITTO DI INTERNET N. 2/2019
Il Consulente ha anche appurato che il …Omissis… si era accorto dell’ammanco sin dal mese di luglio 2017, in occasioni di importanti “doppi prelievi” avvenuti a metà di luglio 2017, tant’è che aveva descritto il problema in una chat di gruppo Telegram allegata al report investigativo nano, prodotto dal Pubblico Ministero e acquisito ai documenti allegati alla CTU. In data 12.12.2017, poi, è stata depositata dal gestore la movimentazione di fondi all’esterno dell’exchange, con trasferimento dei fondi dall’indirizzo rappresentative BirGrail1 al BitGrail2, in corrispondenza del cambio d’infrastruttura verso la nuova piattaforma: “ in tale data, 13 milioni di XRB sono stati spostati ”a mano”, senza utilizzare le funzioni dell’exchange, che non hanno quindi tracciato il movimento nel database. Da tale data, l’indirizzo BitGrail 1 è diventato un “cold wallet”, al fine di mantenervi alcuni milioni di nano da escludere dall’operatività dell’Exchange che invece continuava ad operare utilizzando come “hot wallet” l’account BitGrail 2. Il fine di questa operazione è mantenere “al sicuro” e offline, fuori dalla rete, un conto (BitGrail1) e utilizzare invece per l’operatività quotidiana il secondo conto (BitGrail2) così come previsto dalle best practices” …Omissis… Secondo il sig. …Omissis… tali prelievi occorrevano in occasioni di malfunzionamento del nodo (crash) della cui dinamica tuttavia non si ha certezza. Il CTU al contrario ha rilevato che i prelievi multipli potevano verificarsi anche tramite altre modalità, o anche situazioni nelle quali il nodo si comportava diversamente da come doveva, ad esempio per sovraccarico, ma tale evenienze rimangono nell’ambito delle ipotesi non verificabili, stante l’assenza del codice sorgente della piattaforma BirGrail dell’epoca. Ha comunque affermato il CTU che “Sicuramente l’analisi delle transazioni aventi lo stesso TXID (cioè provenienti dallo stesso utente) presenti in modo massivo a luglio 2017 nella tabella “withdraws” indica come i doppi prelievi erano quasi sempre legati a tentativi multipli di prelievo molto ravvicinato e della stessa cifra, così come rilevato da …Omissis… già a luglio 2017, così come riportato nella chat Telegram attiva con il team di sviluppo nano all’interno della quale …Omissis… era entrato a dicembre 2016 per uscirne a dicembre 2017”. Prelievo multiplo, secondo la ricostruzione della consulenza, significa che sono stati eseguiti due o più prelievi di pari importo da un medesimo conto intestato a BitGrail.In altre parole le richieste di prelievo da parte degli utenti Bitgrail comportavano una sorta di “bonifico” dal conto unico generale Bitgrail al conto indicato dall’utente; alcuni utenti tuttavia sono riusciti a ottenere più bonifici pur non avendo a disposizione la cifra di criptomoneta effettivamente prelevata. In pratica, il meccanismo era che l’utente inviava l’ordine di prelievo, che Bitgrail trasmetteva al nodo Nano che a sua volta lo processava ed eseguiva.
GIURISPRUDENZA CIVILE La ragione per cui la rete Nano ha potuto eseguire le transazioni Bitgrail richieste in modo multiplo (ossia quelle non autorizzate oltre la prima, effettivamente autorizzata) deriva dal fatto che Bitgrail conservava tutta la criptovaluta Nano in un unico portafoglio con un saldo sufficiente a soddisfare qualsiasi richiesta di prelievo. Inoltre, cosa più importante – ha chiaramente spiegato il CTU – “l’hash (cioè la firma, una sorta di “codice CRO” come nei bonifici) di ognuna delle singole transazioni componenti le transazioni multiple era diverso, nonostante Bitgrail richiedesse al nodo un prelievo più volte convinto” che si trattasse sempre dello stesso prelievo. E in effetti agli occhi del nodo le transazioni sono state elaborate come transazioni diverse, menttre per Bitgrail le transazioni di prelievo effettivamente uscite erano singole, con un unico valore hash e un’unica entry nel database withdraws, che teneva traccia punto di ogni singola richiesta di prelievo ufficiale, andata poi a buon fine o meno. Dunque, occorre precisare che il prelievo multiplo è da intendersi come una forma abbreviata di “multiple richieste di prelievo da parte di Bitgrail” e non di uscite multiple da parte del nodo, che per ogni richiesta faceva uscire i fondi una volta sola, quindi non è la rete Nano che disponeva uscite in maniera multipla ma l’exchange Bitgrail che richiedeva più volte al nodi far uscire dei fondi che in realtà erano già usciti alla prima richiesta. L’ammanco denunciato da …Omissis… a febbraio è stato, quindi, causato da una richiesta di invio generata più volte da Bitgrail a fronte di un’unica richiesta da parte dell’utente. Al nodo Nano tali richieste sono pervenute come richieste differenti tra loro altrimenti, se fossero state idempotenti come descritto, il nodo Nano le avrebbe scartate evitando il problema che si è verificato”. Alla luce di tali circostanze, deve affermarsi la natura irregolare del deposito, in quanto BG Services s.r.l. aveva facoltà di disporre della cosa depositata ex art. 1782 c.c., e ne acquisiva conseguentemente la proprietà non sussistendo apposita clausola derogatoria sul punto (cfr. Cass. 23 agosto 2011, n. 17512: “In caso di deposito irregolare di beni fungibili, che non siano stati individuati al momento della consegna, essi entrano nella disponibilità del depositario, che acquista il diritto di servirsene e, pertanto, ne diventa proprietario, pur essendo tenuto a restituirne altrettanti della stessa specie e qualità, salvo che al negozio sia stata apposta apposita clausola derogatoria”; Cass. 22 marzo 2013, n. 7262: “ in caso di deposito irregolare di beni fungibili, come il denaro, che non siano stati individuati al momento della consegna, essi entrano nella disponibilità del depositario, che acquista il diritto di servirsene e, pertanto, ne diventa proprietario, pur essendo tenuto a restituirne altrettanti della stessa specie e qualità; e ciò, salvo che al negozio sia stata apposta un’apposita clausola derogatoria”). E. in effetti, dalla CTU si ricava che: - affinché gli utenti potessero prelevare i fondi precedentemente depositati, era necessaria e indispensabile l’intermediazione dell’exchange, dato che il meccanismo
di prelievo era fornito proprio dai servizi attivi per gli utenti di Bitgrail, non potevano operare in autonomia indipendentemente dalla piattaforma (come invece avrebbero potuto fare se avesser5o avuto a disposizione le loro chiavi private); - i fondi depositati dagli utenti negli hot wallet venivano prelevati e convogliati tutti, periodicamente, sull’indirizzo principale; - addirittura BitGrail in data 12.12.2017 ha operato il trasferimento “in massa”, per motivi di sicurezza, delle criptovalute da BitGrail1 a BitGrail2, con conseguente creazione di un conto “off line”, precluso all’accesso e alla disponibilità degli utenti; - i prelievi multipli erano stati conseguenza della richiesta multipla da parte di Bitgrail al nodo Nano, che non aveva visione sulla reale contabilità dell’exchange, in quanto quest’ultimo ha semplicemente eseguito le richieste pervenute da Bitgrail (che erano multiple, nonostante che all’exchange risultassero uniche); - in pratica, il controllo sulla disponibilità dei fondi era in capo a Bitgrail dal momento che, poiché la criptovaluta usciva dall’unico conto di Bitgrail, anche se l’utente non avesse avuto adeguato saldo, in caso di richiesta di transazione da parte di Bitgrail al nodo Nano, quest’ultimo non conosceva la composizione interna della disponibilità di criptovaluta dei singoli utenti, e dunque non aveva modo di effettuare alcuna verifica su tale consistenza. L’ammanco si è verificato proprio perché gli utenti che hanno sottratto i capitali di Nano avevano scoperto che, richiedendo un prelievo in particolari momenti, si aveva buona probabilità di ottenere due prelievi identici, uno contabilizzato e “ufficiale”, l’altro che invece veniva lanciato per la seconda volta ma rimane4va non contabilizzato dall’exchange mentre invece era regolarmente iscritto all’interno della blockchain nel nodo Nano affiancato all’exchange. Gli utenti, in sostanza, richiedevano un prelievo di una certa somma di criptovaluta e ne ricevevano il doppio o addirittura il multiplo e ciò perché, per come era configurato il sistema exchange e per la struttura stessa della criptomoneta, le transazioni doppie, e cioè i c.d. prelievi multipli, erano emessi dal nodo Nano senza che l’exchange ne avesse tracciato l’esecuzione, di talché sulla piattaforma e nella “contabilità” dell’exchange stesso queste operazioni di prelievo risultavano come non avvenute. In altre parole, è uscito un certo numero di XRB dalla piattaforma in modo fraudolento, cioè, senza che le transazioni venissero storicizzate nel database dell’exchange. …Omissis… Dalla consulenza, in definitiva, risulta che il rapporto tra piattaforma e consulenza avesse natura mista, di deposito e trading (non potendoci essere commercio in
DIRITTO DI INTERNET N. 2/2019
341
GIURISPRUDENZA CIVILE difetto del correlato deposito per tutte le caratteristiche di funzionamento del commercio di criptovaluta e della piattaforma descritte analiticamente dal CTU). Proprio in ragione della loro fungibilità, una volta che le criptovalute degli utenti erano convogliate sull’indirizzo principale di BitGrail, le valute (ovviamente divise per specie) non recavano elementi distintivi circa la loro appartenenza ai singoli utenti, dando così luogo ad un deposito irregolare, cui consegue lo specifico obbligo per il depositario di mantenere sempre a disposizione dei depositanti la quantità integrale, con un coefficiente di cassa del 100%. Si osservi che lo spostamento in un unico indirizzo dell’exchange assolve per le criptomonete alla medesima funzione economica di ogni deposito irregolare, ossia alla maggiore efficienza nel custodire insieme i beni di diversi depositari, per i quali è irrilevante l’identità della
singola criptomoneta, purché sia sempre a loro disposizione la quantità, rectius il valore, di loro titolarità. Dalla configurazione del rapporto tra piattaforma e utente, con riferimento al deposito di criptovaluta, come deposito irregolare, ne deriva l’acquisto della proprietà in capo alla BG delle res fungibili e l’insorgenza dell’obbligo restitutorio del tandundem eiusdem generis. Come riconosciuto dalla stessa resistente, a causa dell’ammanco di criptovaluta verificatosi a partire dal 2017, la restituzione non è possibile. …Omissis… Deve dunque procedersi alla dichiarazione di fallimento.…Omissis… P.Q.M. Visti gli artt. 1, 5, 6 e 16 del R.D. 16/03/1942 n. 267 dichiara il fallimento di Bg Services – Società a responsabilità limitata (Già Bitgrail S.R.L.) …Omissis…
IL COMMENTO di Marco Krogh
Sommario: 1. Premesse metodologiche. – 2. La dimensione giuridica delle criptovalute. – 3. La dimensione finanziaria e la dimensione informatica delle valute virtuali. Blockchain: l’infrastruttura tecnologica per lo scambio delle valute virtuali. 4. I tratti caratteristici delle criptovalute. – 5. Le piattaforme informatiche. Gli exchange di valute virtuali - 6. Il rapporto tra exchange ed utente. Deposito regolare e irregolare. Riflessioni conclusive. La categoria di beni fungibili è spesso richiamata per qualificare determinate figure contrattuali. Tuttavia, per applicare le norme sul deposito irregolare al rapporto di custodia di criptovalute è necessario verificare, di volta in volta, oltre la natura fungibile del bene anche la struttura della piattaforma informatica ove sono custodite le criptovalute. Nel deposito regolare la diligenza richiesta dall’art. 1768 c.c. andrà valutata prendendo in considerazione: i) la natura professionale dell’attività svolta dal gestore; ii) i rischi legati alla violazione del sistema informatico; iii) i costi per la creazione di un “firewall” adeguato all’importo dei danni che verrebbe cagionato in caso di violazione del sistema; iv) le asimmetrie informative tra cliente e gestore. The category of fungible goods is often invoked to describe certain contractual types. However, to apply the rules about the irregular deposit to the cryptocurrency custody report we need to check, from time to time, beyond the fungible nature of the asset, the structure of the IT platform where cryptocurrencies are kept too. In the standard deposit the assiduousness required by Art. 1768 c.c. should be evaluated taking into consideration: i) the professional nature of the activity carried out by the manager; ii) the risks related to the violation of the IT system; iii) the costs for the creation of a “firewall” suitable to the amount of the damages caused in the case of a system violation; iv) information asymmetries between customer and manager.
1. Premesse metodologiche
Il ragionamento del Tribunale che ha portato alla declaratoria d’insolvenza della società BG Services srl si è sviluppato attraverso un duplice passaggio logico-giuridico: - in primo luogo il Collegio giudicante si è soffermato sull’individuazione delle caratteristiche e della natura giuridica delle criptovalute in generale, ed in modo specifico della criptovaluta “Nano” (codificata XRB), verificando se le valute virtuali per affinità concettuale potessero essere inserite in una categoria giuridica già normativamente prevista e disciplinata nel nostro ordinamento e la loro astratta assimilabi-
342
DIRITTO DI INTERNET N. 2/2019
lità, quali beni immateriali digitali rappresentati da una sequenza alfanumerica, ai beni fungibili; - in secondo luogo, il Collegio giudicante si è soffermato sugli obblighi, sugli oneri e sulle responsabilità dei contraenti nascenti dal rapporto di deposito delle valute virtuali, ricostruendo le modalità di gestione della piattaforma, tenendo presente che la custodia di un prodotto informatico ha delle caratteristiche e delle peculiarità che lo distinguono dalla custodia di un bene materiale. Nella custodia di un bene materiale è sicuramente prevalente l’esigenza di conservazione del supporto materiale nella sua integrità, nella custodia di un prodotto informatico
GIURISPRUDENZA CIVILE dematerializzato l’esigenza essenziale è “la cosiddetta conservazione dei bit (Bit preservation), cioè la capacità di accedere ai bit come erano stati originariamente registrati, anche in caso di degrado del supporto, di obsolescenza dell’hardware e/o disastri di sistema, ma soprattutto la conservazione logica (Logical preservation) intesa come la capacità di comprendere e utilizzare l’informazione in futuro, conservando il contenuto intellettuale anche in presenza di futuri cambiamenti tecnologici e di conoscenza e deve supportare il tracciamento della provenienza dei documenti e la garanzia della loro autenticità e integrità (1). A ciò, si aggiunga che aspetto fondamentale nella conservazione di portafogli virtuali in sistemi collegati a Internet (cd. hot wallet o wallet hot storage (2)) è la creazione di un sistema che renda i dati custoditi inviolabili da attacchi di pirateria informatica non tanto e non solo diretti ad alterare i codici alfanumerici rappresentativi della valuta virtuale, ma diretti ad appropriarsi dei dati alfanumerici identificativi della chiave privata acquisendo, di fatto, la piena disponibilità della valuta virtuale stessa. Da un punto di vista metodologico, la valutazione giuridica della fattispecie impone riflessioni critiche sui processi informatici e sul concreto funzionamento delle infrastrutture tecnologiche utilizzate per la creazione, la conservazione e lo scambio delle valute virtuali e, quindi, un’analisi delle criptovalute nella loro dimensione “informatica”, “finanziaria” e “giuridica” (3). Per un approccio consapevole con il fenomeno delle valute virtuale in tutte le sue implicazioni socio-economiche e giuridiche non è sufficiente avere conoscenze limitate al campo giuridico, o al campo finanziario o al campo informatico, ma è necessaria una visione d’insieme, anche se non specialistica in tutti i campi, per comprendere (1) Cfr.: Agenzia per l’Italia Digitale - Presidenza del Consiglio dei Ministri, Linee guida sulla conservazione dei documenti informatici, Versione 1.0, 2015, 43 ss., all’indirizzo <https://www.agid.gov.it/sites/default/files/ repository_files/linee_guida/la_conservazione_dei_documenti_informatici_rev_def_.pdf>.
limiti, rischi e potenzialità offerti dalle nuove tecnologie digitali e per poter bilanciare, in modo ragionevole, i diversi interessi coinvolti imputando, di volta in volta all’uno o all’altro contraente i relativi rischi e responsabilità.
2. La dimensione “giuridica” delle criptovalute
La vicenda oggetto della decisione del Tribunale di Firenze riguarda la valuta virtuale denominata “Nano (XRB)”, una criptovaluta che si differenzia dal più noto “bitcoin” (4) non perché non utilizzi come piattaforma per gli scambi la tecnologia “blockchain”, ma per alcune specificità nei protocolli di scambio delle valute virtuali tendenti a velocizzare i tempi di conferma della transazione e consentire un maggior numero di transazioni in un limitato arco di tempo (5). Nell’economia del presente scritto, tuttavia, possiamo prendere in considerazione, come valuta virtuale paradigmatica, descrittiva del fenomeno “criptovalute”, il bitcoin, sia per la sua diffusione e sia perché è stata, di fatto, la prima criptovaluta che ha dato il via alla creazione delle migliaia di valute virtuali oggi in circolazione. Alcune delle criptovalute in circolazione replicano i protocolli del bitcoin altre, come il “Nano”, hanno caratteristiche differenti pur presentando tutte alcuni denominatori comuni. Un corretto approccio alla dimensione giuridica del fenomeno non può prescindere da un’analisi della rilevanza che il Legislatore ha dato al fenomeno stesso e, quindi, dall’individuazione delle norme che in qualche modo siano riferibili, in modo più o meno diretto, alle valute virtuali, nella loro creazione, nel loro scambio, nel loro essere oggetto di rapporti giuridici. In quest’ottica, dobbiamo riconoscere che la regolamentazione è ancora ad uno stato embrionale, le poche norme che fanno espresso riferimento alle valute virtuali prendono in considerazione il fenomeno per i rischi connessi al riciclaggio, al finanziamento del terrorismo, all’evasione fiscale, meno interesse il Legislatore ha, al momento, dimostrato per quanto riguarda la tutela degli investitori e per quanto riguarda la regolamentazione dei rapporti
(2) La conservazione di portafogli di valuta virtuale può avvenire mediante wallet hot storage che sono wallet collegati in qualche modo a Internet ovvero mediante wallet cold storage in cui le chiavi private che danno la disponibilità della valuta virtuale non entrano in contatto con Internet.
(4) Convenzionalmente, il termine “Bitcoin”, è utilizzato con la lettera maiuscola quando indica il “sistema informatico”, mentre è indicato con la minuscola per indicare la valuta.
(3) Sul tema: De Collibus - Mauro, Hacking Finance, La rivoluzione del bitcoin e della blockchain, Milano, 2016; Gates, Blockchain, La guida definitiva per conoscere blockchain, Bitcoin, criptovalute, contratti smart e il futuro del denaro, Milano, 2017; Chiap - Ranalli - Bianchi, Blockchain, Tecnologia ed applicazioni per il business, Milano, 2019, 78 ss.; Capaccioli, Aspetti operativi e ricadute giuridiche delle criptovalute, in corso di pubblicazione per il fascicolo 3 di questa Rivista; Campagna, Criptomonete e obbligazioni pecuniari, in Riv. dir. civ., 2019, 183 ss.; Nastri, Registri sussidiari, Blockchain: #Notaio oltre la lezione di Carnelutti?, in Notariato, Milano, 2017, 369 ss.; Manente, Blockchain: la pretesa di sostituire il notaio, in Notariato, 2016, 211 ss.; Krogh, Transazioni in valute virtuali e rischi riciclaggio. Il ruolo del notaio, in Notariato, 2018, 155 ss.
(5) Una delle maggiori criticità delle transazioni in valute virtuali è data dalla cd. scalabilità, intesa come numero di transazioni che il sistema “blockchain” riesce a gestire in un determinato arco di tempo. Sul punto Chiap - Ranalli - Bianchi, Blockchain, Tecnologia ed applicazioni per il business, cit, 78 ss.: “Le principali blockchain riescono ad elaborare un numero limitato di transazioni al secondo (tps). Bitcoin gestisce circa 7 tps, Ethereum 10-30 tps, mentre Visa può raggiungere le 50.000 tps (ma solitamente non va oltre le 1.700 tps) (…) il tempo richiesto per formare un nuovo blocco (specialmente nel PoW) è elevato (10 minuti in media nel Bitcoin). Se aggiungiamo che una conferma di solito non è sufficiente, il tempo necessario per considerare una transazione immutabile è tutt’altro che immediato”.
DIRITTO DI INTERNET N. 2/2019
343
GIURISPRUDENZA CIVILE di natura privatistica; in questi due ultimi settori troviamo una quasi totale assenza di riferimenti normativi espressi alle valute virtuali ed una moltiplicazione di documenti provenienti dalle Autorità preposte alla tutela del mercato e degli investitori (BCE, Banca d’Italia, CONSOB, etc.) tendenti a stigmatizzare il fenomeno ed a mettere in guardia i consumatori dai rischi legati alle valute virtuali (6) e qualche precedente giurisprudenziale a seguito dei primi contenziosi in materia (7). Va osservato che l’attuale tecnica di redazione dei testi normativi (il cd. drafting normativo) (8), prevede che nell’incipit dei decreti legislativi sia data la definizione dei termini e locuzioni utilizzati all’interno del decreto stesso con lo scopo di giungere all’adozione di un atto chiaro e facilmente comprensibile sul piano semantico, correttamente formulato da un punto di vista strutturale interno, che si inserisca e coordini armonicamente con il resto dell’ordinamento giuridico. Nell’inquadramento sistematico del fenomeno è possibile, quindi, far riferimento alle definizioni concettuali che troviamo in un determinato decreto legislativo ed utilizzarle per trovare la giusta risposta ad interrogativi che riguardano anche aree esterne al decreto stesso. Il decreto legislativo dove troviamo riferimenti espressi alle valute virtuali è il d.lgs 21 novembre 2007, n. 231 (come modificato dal d.lgs 25 maggio 2017 n. 90), in tema di prevenzione del riciclaggio e del finanziamento del terrorismo. Nell’art. 1 del citato d.lgs. 231 del 2007 viene data la definizione di “denaro contante”, di “fondi”, di “mezzi di pagamento”, di “risorse economiche”, di “prestatori di servizi relativi all’utilizzo di valuta virtuale”, di “prestatori di servizi di portafoglio digitale”. Altre definizioni che possono essere utilizzate nella ricostruzione delle fattispecie sono contenute nel Testo Unico della Finanza (TUF - d.lgs. 24 febbraio 1998, n.
(6) Tra i vari documenti istituzionali: BCE, Parere della Banca Centrale Europea del 12 ottobre 2016, all’indirizzo <https://www.ecb.europa.eu/ ecb/legal/pdf/celex_52016ab0049_it_txt.pdf>; Banca d’Italia, Avvertenze per i consumatori sui rischi delle valute virtuali da parte delle Autorità europee, 2018, all’indirizzo <https://www.bancaditalia.it/compiti/vigilanza/avvisi-pub/avvertenza-valute-virtuali-2018/avvertenze-valute-virtuali-2018. pdf>; CONSOB, Le criptovalute che cosa sono e quali rischi si corrono, all’indirizzo <http://www.consob.it/web/investor-education/criptovalute>. (7) Cfr. Trib. Brescia 18 luglio 2018, decr. n. 755, all’indirizzo <http:// www.gazzettanotarile.com/images/stories/pdf/TribunaleBresciaCriptovaluta.pdf>; App. Brescia, sez. 1, 30 ottobre 2018, consultabile all’indirizzo <http://www.quotidianogiuridico.it/~/media/Giuridico/2019/02/12/ il-conferimento-di-token-e-di-criptovalute-nelle-srl/brescia%20pdf.pdf>; Trib. Verona, 24 Gennaio 2017, all’indirizzo <http://mobile.ilcaso.it/ sentenze/finanziario/16726>. (8) Cfr. Presidenza del Consiglio dei Ministri Dipartimento per gli affari giuridici e legislativi, Supporto al Drafting Normativo per il Poat Dagl in relazione ai progetti operativi delle quattro Regioni dell’obiettivo convergenza, all’indirizzo <http://www.qualitanormazione.gov.it/uploads/download/ file/128/pcm_dagl_drafting_11-01-13.pdf>.
344
DIRITTO DI INTERNET N. 2/2019
58 - aggiornato, da ultimo, con le modifiche introdotte dal d.lgs. 21 maggio 2018, n. 68) diretto a regolamentare e vigilare l’intermediazione finanziaria e tutelare l’investitore. Dalle definizioni appena menzionate le valute virtuali sono escluse, per i motivi che meglio vedremo più avanti, ogni qualvolta il riferimento è dato, come elemento essenziale, alla moneta legale, ossia alla valuta riconosciuta da un determinato ordinamento come mezzo di pagamento ufficiale di qualunque obbligazione che non può essere rifiutato dal creditore. Così, ad esempio, nella definizione di denaro contante rientrano “le banconote e le monete metalliche, in euro o in valute estere, aventi corso legale” e, quindi non rientrano le criptovalute, con la conseguenza che l’insieme delle norme che limitano l’utilizzo del denaro contante, con finalità di tracciamento dei pagamenti per contrastare principalmente il riciclaggio e l’evasione fiscale, non è applicabile alle valute virtuali. Viceversa, sempre a titolo di esempio, nella definizione di “mezzi di pagamento” sono inclusi oltre “il denaro contante, gli assegni bancari e postali, gli assegni circolari e gli altri assegni a essi assimilabili o equiparabili, i vaglia postali, gli ordini di accreditamento o di pagamento, le carte di credito e le altre carte di pagamento, le polizze assicurative trasferibili, le polizze di pegno” anche “ogni altro strumento a disposizione che permetta di trasferire, movimentare o acquisire, anche per via telematica, fondi, valori o disponibilità finanziarie”. In questa definizione più ampia possono rientrare le valute virtuali, sebbene non come strumenti di pagamento che il creditore è obbligato ad accettare, ma come strumenti di pagamento che in concorrenza con il denaro contante possono essere volontariamente accettati dal creditore. Su questo aspetto, giova ricordare, si è anche espressa la Corte di Giustizia Europea nella sentenza 22 ottobre 2015 (nella causa C-264/14, Skatteverket c/ David Hedqvist) affermando il principio che “le operazioni relative a valute non tradizionali, vale a dire diverse dalle monete con valore liberatorio in uno o più paesi, costituiscono operazioni finanziarie, in quanto tali valute siano state accettate dalle parti di una transazione quale mezzo di pagamento alternativo ai mezzi di pagamento legali e non abbiano altre finalità oltre a quella di un mezzo di pagamento”. La qualifica di strumento di pagamento fa rientrare le valute virtuali anche nella più ampia definizione di “fondi” che nell’elencazione esemplificativa include, tra l’altro: “i contanti, gli assegni, i crediti pecuniari, le cambiali, gli ordini di pagamento e altri strumenti di pagamento”. Una “messa a punto” della definizione della categoria dei gestori delle piattaforme informatiche che offrono servizi di custodia e scambio delle valute virtuali la troviamo nelle modifiche (in corso di approvazione) del citato d.lgs. 231 del 2007 alla luce delle indicazioni della V direttiva antiriciclaggio (direttiva UE 2018/843 del Parlamento europeo e del Consiglio, del 30 maggio
GIURISPRUDENZA CIVILE 2018). Sono definiti “prestatori di servizi relativi all’utilizzo di valuta virtuale”: “ogni persona fisica o giuridica che fornisce a terzi, a titolo professionale, anche ondine servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonché i servizi di emissione, collocamento, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione delle valute medesime” nonché: “ogni persona fisica o giuridica che fornisce a terzi, a titolo professionale, anche online, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” e sono stati assoggettati alla disciplina antiriciclaggio anche “i prestatori di servizi di portafoglio digitale” (9). È evidente che l’intenzione del Legislatore è quella di eliminare zone franche che consentano in qualche modo di effettuare transazioni finanziarie con le valute virtuali in assenza di controlli antiriciclaggio. Sotto questo aspetto, con il d.lgs. di attuazione della V direttiva si sono estesi gli obblighi antiriciclaggio a tutte le piattaforme che conservano e/o scambiano valuta virtuale a prescindere se siano di tipo intermediato o disintermediato, includendo sia quelle che svolgono attività di trading (scambi di valute virtuali o di valute virtuali e monete aventi corso legale), sia quelle che svolgono mera attività di wallet (conservazione dei portafogli di valute virtuali) sia quelle che offrono una pluralità di servizi assimilabili a quelli svolti dai gestori di monete aventi corso legale e prodotti finanziari “tradizionali” (trading, wallet ed ogni altra attività propria degli intermediari finanziari).
3. La dimensione finanziaria e la dimensione informatica delle valute virtuali. Bolckchain: l’infrastruttura tecnologica per lo scambio delle valute virtuali
Passando alle definizioni contenute nel TUF e, quindi, alla considerazione della valuta virtuale, nella sua dimensione “finanziaria”, in ragione della tutela dell’investitore, ci si deve interrogare se le valute virtuali rientrino o meno nelle definizioni di “prodotto finanziario”, di “strumento finanziario” o di “valore mobiliare”. L’art. 1 del TUF definisce “prodotti finanziari”: gli strumenti finanziari e ogni altra forma di investimento di natura finanziaria; non costituiscono prodotti finanziari i depositi bancari o postali non rappresentati da strumenti finanziari; mentre per “strumento finanziario” si
(9) Le nuove definizioni sono contenute nella bozza del d.lgs. di attuazione della V dir., che modifica il d.lgs 231/2007, in corso di approvazione, all’indirizzo <http://www.dt.tesoro.it/export/sites/sitodt/modules/ documenti_it/regolamentazione_bancaria_finanziaria/consultazioni_ pubbliche/schema_decreto_legislativo_recepimento_IV_AML.pdf>.
intende qualsiasi strumento riportato nella Sezione C dell’Allegato I, con la precisazione, per noi importante, che i mezzi di pagamento non sono strumenti finanziari. L’allegato I fornisce un elenco tassativo di “strumenti finanziari” tra i quali non compaiono le valute virtuali, l’unica voce dove, ipoteticamente, potrebbero rientrare le criptovalute è la sottocategoria dei “valori mobiliari” che, tuttavia, ricomprende al suo interno azioni di società, altri titoli equivalenti ad azioni di società, obbligazioni e altri titoli di debito e qualsiasi altro valore mobiliare che permetta di acquisire o di vendere i suddetti valori mobiliari. Mi sembra, quindi, che la definizione di “valore mobiliare” si avvicini in qualche modo più che alle criptovalute ai crypto-asset (c.d. token) che sono, in sintesi, una sorta di “gettoni digitali”, creati, conservati e trasferiti attraverso tecnologie basate sui registri distribuiti (la blockchain), con lo scopo di promuovere attività o nuovi progetti (ICO – Inizial Coin Offering), acquistabili con lo scambio di valuta virtuale o moneta legale e che incorporano al loro interno, a seconda dei casi, diritti amministrativi o patrimoniali o altre utilità legati a progetti imprenditoriali, con l’aggiunta che i diritti che incorporano si attivano, modificano o estinguono in modo automatico, secondo la logica degli smart-contract (definibili come un “protocollo di transazione computerizzato che esegue i termini di un contratto”) (10). Esclusa, quindi, la possibilità di includere le criptovalute tra i “valori mobiliari”, resta da verificare se possano rientrare nella più generale categoria di “prodotto finanziario”, nella misura in cui lo “strumento finanziario” è una species del genus “prodotto finanziario”. La distinzione si riflette sull’intensità della regolamentazione cui sono sottoposti gli uni e gli altri. L’elenco degli strumenti finanziari è tassativo (salvo quanto detto per la sub categoria dei “valori mobiliari”) e gli stessi sono soggetti ad una regolamentazione più severa in ragione della loro tipologia, per i prodotti finanziari non abbiamo una elencazione tassativa, ma una descrizione dei loro caratteri essenziali e l’assoggettamento ad una regolamentazione meno severa rispetto agli strumenti finanziari, ma comunque improntata alla trasparenza nei rapporti con gli investitori. Va, peraltro, osservato
(10) I crypto-asset, pertanto, sembrano paragonabili più alle tradizionali “securities” che alle valute, incorporando non un mero valore da utilizzare come unità di scambio, alla pari di una tradizionale moneta, ma diritti con contenuto può variare secondo le scelte del soggetto emittente. Direi, quindi, che l’assimilazione delle valute virtuali ai valori mobiliari, così come definiti nel t.u.f. sia da escludere, a meno che non ci si trovi di fronte ad un crypto-asset con determinate caratteristiche, sul punto: CONSOB: Le offerte iniziali e gli scambi di cripto-attività Documento per la Discussione 19 marzo 2019, all’indirizzo <http://www.consob.it/documents/46180/46181/doc_disc_20190319.pdf/64251cef-d363-4442-9685-e9ff665323cf>.
DIRITTO DI INTERNET N. 2/2019
345
GIURISPRUDENZA CIVILE che le caratteristiche che rendono un bene “prodotto finanziario” non sono tanto da ricercare nelle qualità intrinseche dell’oggetto, quanto nella considerazione che le parti ne hanno dato all’interno della contrattazione. In buona sostanza, “prodotto finanziario” è qualunque bene (ad es.: diamanti, opere d’arte, etc.) assunto dalle parti come oggetto di investimento di natura finanziaria che, di conseguenza, consente di “targare” il rapporto tra le parti come nascente da un contratto con causa finanziaria. Va ricordato che la Cassazione (11) ha individuato la causa finanziaria nella ragione giustificatrice (c.d. causa concreta) del rapporto posto in essere, consistente nell’investimento del capitale (il “blocco” dei risparmi), con la prospettiva dell’accrescimento delle disponibilità investite, senza l’apporto di prestazioni da parte dell’investitore diverse da quella di dare una somma di denaro (12). L’inclusione o l’esclusione delle valute virtuali in una o nell’altra delle categorie sopra menzionate si riflette sul regime applicabile a monte della contrattazione e la verifica dell’abusività o meno dell’attività svolta dall’exchange; laddove, ad esempio, la criptovaluta fosse assimilabile ad un prodotto finanziario potrebbe riscontrarsi, nell’attività svolta dagli exchange una sollecitazione all’investimento finanziario, che ai sensi dell’art. 94 del TUF non è consentita senza la preventiva pubblicazione di un prospetto informativo comunicato alla CONSOB e conforme alle prescrizioni dettate da questa (13). Gli aspetti definitori, pertanto, da un lato, obbligano o meno le parti al rispetto dei presidi antiriciclaggio e, da altro lato, consentono di assegnare o meno alle valute virtuali attributi che determinano una maggiore o minore regolamentazione dei rapporti aventi ad oggetto le valute virtuali stesse, a tutela dei consumatori/investi-
(12) Cfr. anche CONSOB, Le offerte iniziali e gli scambi di cripto-attività Documento per la Discussione 19 marzo 2019, cit., che enuclea, come segue, gli elementi di valutazione al fine di stabilire se un’operazione presenti gli distintivi di un investimento di natura finanziaria: “a) prevalenza del connotato finanziario rispetto a quello di godere e disporre del bene acquisito con l’operazione; b) “effettiva e predeterminata promessa, all’atto dell’instaurazione del rapporto contrattuale, di un rendimento collegato alla res” tale da far ritenere che “l’atteso incremento di valore del capitale impiegato (ed il rischio ad esso correlato) sia elemento intrinseco all’operazione stessa”, diverso dal mero apprezzamento del bene nel tempo, accedendo quindi alla causa stessa del contratto sottostante”.
tori, ovvero potrebbero evidenziare l’assenza di una regolamentazione speciale e lasciare alle norme di diritto comune la disciplina dei relativi rapporti. Da un punto di vista strettamente civilistico, esclusa la possibilità di includere le valute virtuali nella categoria del “denaro”, riservata esclusivamente alle “monete aventi corso legale”, non può che farsi rientrare la valuta virtuale nella più generale definizione di “bene” contenuta nell’art. 810 c.c. che comprende qualunque cosa materiale ed immateriale, intesa non in senso naturale ma in senso giuridico, idonea a soddisfare un’utilità o una necessità dell’uomo, un interesse giuridicamente apprezzabile, di natura patrimoniale. Non sembra condivisibile l’affermazione contenuta nella sentenza della Corte di Appello di Brescia del 30 ottobre 2018 (14) che assimila la valuta virtuale “sul piano funzionale” al denaro nel presupposto che alla pari dell’Euro serve per fare acquisti, sia pure non universalmente ma in un mercato limitato, ed in tale ambito “è da considerarsi, a tutti gli effetti, come moneta e cioè quale mezzo di scambio nella contrattazione in un dato mercato, atto ad attribuire valore, quale contropartita di scambio, ai beni, servizi, o altre utilità, ivi negoziati.” Non si può essere d’accordo, con l’affermazione della Corte di Appello di Brescia, perché non distingue tra “denaro” e “mezzo di pagamento” che sono due categorie giuridiche ben distinte, definite in base a precise scelte di politica legislativa, la prima è una species del più ampio genus dei mezzi di pagamento; la criptovaluta rientra nella categoria dei “mezzi di pagamento” leciti, se volontariamente accettati dalle parti, ma non rientra nella categoria del “denaro”, perché tale qualifica per espressa volontà del Legislatore è riservata alla moneta avente corso legale. Sotto il profilo della natura giuridica, pertanto, le valute legali e le valute virtuali si distinguono nettamente per la diversità di trattamento loro riservato come mezzo di pagamento ed il rischio è quello di assimilarle ponendo l’accento sul termine “valuta” e non sugli attributi “legale” e “virtuale” che, al contrario, le differenziano notevolmente. Solo la moneta legale, ai sensi dell’art. 1277 c.c., non può essere rifiutata dal creditore come mezzo di estinzione di un’obbligazione pecuniaria e l’art. 693 del codice penale punisce con una sanzione amministrativa chiunque rifiuta di ricevere, per il loro valore, monete aventi corso legale nello Stato; al contrario, la valuta virtuale richiede l’espresso consenso delle parti per essere accettata come mezzo di pagamento. Va
(13) Cfr. Trib. Verona, 24 gennaio 2017, cit., con nota di Benassi, il quale osserva: “L’operazione di cambio di valuta tradizionale contro unità della valuta virtuale bitcoin e viceversa, effettuate a fronte del pagamento di una somma corrispondente al margine costituito dalla differenza tra il prezzo di acquisto delle valute e quello di vendita praticato dall’operatore ai propri clienti è qualificabile - dal lato dell’operatore - come attività professionale di prestazioni di servizi a titolo oneroso, svolta in favore di consumatori. In occasione dell’operazione di cambio di valuta tradizionale contro unità della valuta virtuale bitcoin”.
(14) App. Brescia, Sez. I, 30 ottobre 2018, in Società, 2019, 29 ss., con note di commento di Murino, Il conferimento di token e di criptovalute nelle S.r.l. e Felis, L’uso di criptovaluta in ambito societario. Può creare apparenza?; Krogh, L’aumento del capitale nelle s.r.l. con conferimento di criptovalute, in Notariato, 2018, nota di commento al decreto del Trib. Brescia del 18 luglio 2018 n. 755, 665 ss.
(11) Cass. 5 febbraio 2013, n. 2736, all’indirizzo <http://www.ilcaso.it/ giurisprudenza/archivio/10344.pdf>.
346
DIRITTO DI INTERNET N. 2/2019
GIURISPRUDENZA CIVILE aggiunto che, come sottolineato dalla Banca d’Italia nel sua “Comunicazione del 30 gennaio 2015” (15), le valute virtuali non solo non sono moneta legale ma non vanno confuse con la moneta elettronica (carte di pagamento di tipo prepagato, conti di tipo prepagato, borsellini elettronici, comunque collegati a moneta legale) che sono rappresentazioni digitali di crediti in valuta legale e non virtuale vantati dal possessore della moneta stessa nei confronti degli emittenti. Da un punto di vista finanziario, le valute virtuali oltre ad essere idonei mezzi di pagamento, se volontariamente accettati dalle parti, possono rientrare, come già accennato, nell’ampia definizione di “prodotto finanziario” o di “asset finanziario virtuale”, laddove siano prese in considerazione come mezzi di investimento, con la precisazione che le valute virtuali non hanno un valore intrinseco, né diretto, né indiretto, in quanto non sono legate al valore di un determinato bene (al contrario delle cc.dd. monete merce, in genere metalli preziosi, oro ed argento). Ciò, peraltro, non le differenzia dalle valute legali moderne (c.d. monete fiat) il cui valore, alla pari delle valute virtuali, non è legato ad un determinato “bene-merce” ma è fissato dall’Autorità che emette la valuta (Banche centrali o enti governativi) e riflette la ricchezza economica (rectius: l’apprezzamento della ricchezza) di un Paese o di un’unione di Paesi (ad es. UE) ed è soggetto alle tradizionali regole del mercato della domanda e dell’offerta. Il valore delle criptovalute è dato esclusivamente dal loro apprezzamento nel mercato degli scambi e, quindi, dalla logica (rectius: modello matematico) della domanda e dell’offerta. Rispetto alle valute legali quelle virtuali non essendo, per definizione, emesse né gestite da un Governo o da un’Autorità centrale non sono soggette alle azioni di un terzo soggetto dirette a garantirne la stabilità con interventi di politica monetaria e, pertanto, possono essere più facilmente preda di attacchi speculativi, di bolle speculative o di andamenti irrazionali ed imprevedibili del mercato (cd. volatilità della valuta virtuale). L’assenza di un Governo o di un’Autorità centrale che curi l’emissione e la gestione della valuta virtuale oltre a rendere fortemente volatile, per i motivi sopra accennati, il valore della valuta stessa, implica una serie di criticità nella sua circolazione che hanno trovato una soluzione nella tecnologia informatica che va sotto il nome di blockchain. La blockchain è comunemente definita un registro informatico condiviso, distribuito, replicabile, accessibile simultaneamente, decentralizzato su basi crittografiche, tali da consentire la registrazione, la convalida, l’aggior-
(15) Il testo è disponibile al seguente link <https://www.bancaditalia.it/ pubblicazioni/bollettino-vigilanza/2015-01/20150130_II15.pdf>.
namento e l’archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia, verificabili da ciascun partecipante, non alterabili e non modificabili (16). Va precisato che la blockchain nasce come soluzione ai problemi legati alla gestione ed alla circolazione delle criptovalute, tuttavia, l’utilizzo della blockchain, come infrastruttura digitale, si presta agli utilizzi più disparati quale registro affidabile e disintermediato che consente la condivisione sicura di dati ed informazioni (17). Le maggiori criticità da risolvere nella creazione di uno strumento finanziario digitale, assolutamente innovativo, riguardavano i rischi legati alla circolazione della moneta virtuale in una piattaforma informatica tra soggetti lontani nello spazio (not face to face), circondati dall’anonimato, privi di una conoscenza pregressa, in assenza di un soggetto terzo in grado di garantire e dare certezza alla transazione ed al valore del mezzo di pagamento utilizzato. Appare evidente che le criticità legate alla circolazione della valuta virtuale ponevano una serie di interrogativi da risolvere attraverso la creazione di processi informatici che dessero risposte adeguate; interrogativi che possono così riassumersi: - in che modo, in un transazione tra soggetti che non si conoscono ed in assenza di un intermediario garante, è possibile dare la certezza che chi intende spendere la valuta virtuale abbia la provvista nel suo portafoglio? - in che modo è possibile garantire che chi ha speso una determinata provvista in valuta virtuale non la spenda di nuovo moltiplicando le transazioni? - in che modo è possibile stabilire la priorità delle transazioni in caso di moltiplicazione delle transazioni stesse e, quindi, dare certezza che una determinata transazione sia avvenuta in un determinato momento? - in che modo è possibile dare certezza che una determinata transazione, dopo il suo perfezionamento, non sia più modificabile dalle parti contraenti? - in che modo è possibile conservare traccia nel tempo di tutte le transazioni avvenute? - in che modo è possibile evitare che venga emessa valuta virtuale “falsa”, intendendosi per “falsa” l’emissione di valuta al di fuori dei protocolli e delle regole previste per la sua emissione?
(16) La definizione è tratta dalla bozza delle misure MISE sulla decertificazione, relativamente alle tecnologie basate sui registri distribuiti, il testo è disponibile al seguente link <http://www.casaportale.com/public/ uploads/17233-pdf1.pdf>. (17) La blockchain nata come piattaforma per le transazioni finanziarie delle valute virtuali ha trovato interessanti sviluppi ed applicazioni in molteplici settori economici e sociali.
DIRITTO DI INTERNET N. 2/2019
347
GIURISPRUDENZA CIVILE In presenza di un intermediario bancario/finanziario la risposta a tutti questi interrogativi è data dall’intermediario stesso (rectius: dall’affidabilità dell’intermediario stesso) che offre garanzia di vigilanza e controllo; eliminando l’intermediario e creando un sistema di scambi di valuta direttamente tra le parti la risposta deve essere data all’interno del mondo digitale con la creazione di processi informatici che diano un pari grado di fiducia e credibilità in totale disintermediazione. La blockchain ha rappresentato la risposta alle varie criticità che riguardavano la circolazione delle valute virtuali, può definirsi allo stesso tempo un “network”, dove operano più utenti tra loro legati in modo orizzontale e senza vincoli gerarchici, uno strumento per la generazione e la circolazione di valute virtuali (ma anche di altri dati) ed un “database”, dove vengono raccolti e registrati i dati e le informazioni relative alle transazioni (o ad altre operazioni). La “messa in sicurezza” dei dati registrati è data dalla condivisione dei dati stessi da parte di tutti gli utenti della rete. I dati della transazione vengono inseriti in blocchi di dati chiusi collegati l’uno all’altro in guisa da creare una catena, di fatto immodificabile nel tempo e nello spazio (la cd. blockchain, “block” che si traduce “blocco” e “chain” che si traduce “catena”) proprio perché condivisa da tutti gli utenti della rete. L’immodificabilità della transazione e la sua collocazione in un tempo “certo” sono, di fatto, ritenute garanzia di certezza anche in assenza di un terzo garante della transazione stessa. I componenti basilari della blockchain (18) possono riassumersi nei seguenti elementi: - Nodo: sono i partecipanti alla blockchain e sono costituiti fisicamente dai server di ciascun partecipante; - Transazione: è costituita dai dati che rappresentano i valori oggetto di “scambio” e che necessitano di essere verificate, approvate e poi archiviate; - Blocco: è rappresentato dal raggruppamento di un insieme di transazioni che sono unite per essere verificate, approvate e poi archiviate dai partecipanti alla blockchain; - Ledger: è il registro pubblico nel quale vengono “annotate” con la massima trasparenza e in modo immutabile tutte le transazioni effettuate in modo ordinato e sequenziale. Il Ledger è costituito dall’insieme dei blocchi che sono tra loro incatenati tramite una funzione di crittografia e grazie all’uso di hash; - Hash: è un’operazione (Non Invertibile) che permette di mappare una stringa di testo e/o numerica di lunghezza variabile in una stringa unica ed univoca (18) Nel sito “Blockchain4Innovation”, il testo è disponibile al seguente link <http://www.blockchain4innovation.it/esperti/blockchain-perche-e-cosi-importante/>.
348
DIRITTO DI INTERNET N. 2/2019
di lunghezza determinata. L’Hash identifica in modo univoco e sicuro ciascun blocco. Un hash non deve permettere di risalire al testo che lo ha generato. La sicurezza e fiducia all’interno della blockchain coincidono con la certezza che il sistema informatico riesce ad attribuire al dato temporale in cui avviene la transazione (il c.d. timestamp o marca temporale) ed alla validazione della transazione ad opera non di un’autorità terza, ma dalla stessa comunità o, più precisamente dal consenso distribuito della maggior parte dei computer del network (50%+1) (19). Le garanzie di immodificabilità della transazione offerta dalla blockchain è assicurata dalla marca temporale pubblicamente consultabile da qualunque utente e dalla condivisone della transazione all’interno della rete da parte tutti gli utenti (rectius: nodi); ogni server registrerà la transazione, con la conseguenza che la modifica della transazione richiederebbe il consenso o la complicità di tutti gli utenti del network o, quanto meno, del 50% + 1 degli utenti del network. La trasparenza del “database” e la massima pubblicità “orizzontale” e “decentrata” delle transazioni costituiscono il fondamento e la caratteristica della blockchain. La trasparenza, tuttavia, si ferma a questi dati, perché nel “database” condiviso da tutti i server della rete mancano altri elementi essenziale della transazione: i) l’identità dei soggetti tra cui intercorre la transazione stessa e, di conseguenza, ii) la conoscenza di come si sia formata la provvista utilizzata, iii) se chi ha disposto della provvista ne aveva il potere e la disponibilità. L’assenza di questi elementi non rende possibile valutare l’eventuale provenienza illecita della provvista utilizzata o il rischio che proventi di provenienza lecita vengano utilizzati per scopi illeciti. Peraltro, immodificabilità ed irreversibilità unite all’anonimato dei prelievi e degli scambi della criptovaluta Nano hanno giocato un ruolo essenziale nella vicenda che ha portato al fallimento della BG Services s.r.l.
4. I tratti caratteristici delle criptovalute
Come già evidenziato, la caratteristica fondamentale delle criptovalute è l’anonimato che, allo stato delle attuali potenzialità digitali può spingersi a soglie di assoluta impenetrabilità e ne presidia la circolazione ed il possesso. Le valute virtuali circolano attraverso il sistema della doppia chiave, una privata (un indirizzo informatico, ad es. 1Kz7crJvnSLPijRUE) assolutamente segreta e conosciuta dal solo titolare della chiave stessa ed un’altra pubblica associata alla chiave privata; le transazioni
(19) Il blocco genesi della blockchain, creato dal suo fondatore Satoshi Nakamoto, è datato 3 gennaio 2009 (“The Times”, 3/Jan/2009: “Chancellor on brink of second bailout for banks”) ed è il primo mattone che ha dato l’avvio alla circolazione dei bitcoin, come moneta virtuale la cui prima versione 0.1.0 risale al dicembre 2010.
GIURISPRUDENZA CIVILE finanziarie risultano trasparenti e tracciabili esclusivamente tra le chiavi pubbliche (un indirizzo informatico, ad es.: 1BLmaq7B4a9Jmj4RvRpxN5vgGFo3EKRmdU). Le chiavi private, associate alle chiavi pubbliche, sono create in modo del tutto anonimo ed automaticamente dal sistema che le gestisce; su ogni chiave privata possono essere caricate le criptomonete acquistate all’interno del sistema o donate. Tutte le chiavi private possono essere raggruppate in uno o più portafogli virtuali (“web wallet”), numerosi siti (rectius: piattaforme) sono in grado di gestire le transazioni in valute virtuali (trading), di custodire i portafogli (wallet), di creare le doppie chiavi su cui caricare e far circolare le criptovalute. L’accesso ai portafogli virtuali, a sua volta, è protetto da una password legata ad un username. L’anonimato è una qualità neutra nella circolazione di una valuta (virtuale o legale), nella misura in cui può essere strumento di transazioni lecite o di transazioni illecite. In tutta l’area dell’UE e più in generale dei Paesi aderenti al GAFI, c’è una elevata regolamentazione che riguarda i pagamenti e la circolazione delle valute legali nell’ottica che la lotta al riciclaggio, al finanziamento del terrorismo, all’evasione fiscale, alla corruzione e, più in generale all’attività criminosa, richiede la massima trasparenza nelle transazioni finanziarie che si traduce nella certezza della provenienza della valuta utilizzata, della sua destinazione e dei reali ed effettivi soggetti titolari dei conti di provenienza e destinazione. Tutte le transazioni devono essere intermediate da Banche o da intermediari finanziari autorizzati; il titolare di un conto bancario è identificato, sulla base di documenti di identificazione legali e riconosciuti dall’ordinamento ed è profilato, verificato e controllato nell’assolvimento degli obblighi antiriciclaggio comuni a tutti i Paesi aderenti al GAFI. Per le valute virtuali c’era al contrario un vuoto normativo che la V Direttiva antiriciclaggio, come già accennato, ha tentato di colmare estendendo agli exchange di valute virtuali ed ai gestori di portafogli digitali i medesimi obblighi antiriciclaggio degli intermediari finanziari, tuttavia un utilizzo disintermediato delle criptovalute o intermediato su aree deregolamentate, le rende tuttora uno strumento particolarmente appetibile per coloro che intendono difendere l’anonimato per finalità illecite. Altro aspetto caratteristico delle criptovalute, che può incidere sugli effetti e sul buon esito della transazione riguarda i tempi di conferma della transazione stessa necessari per la “messa in sicurezza” dell’operazione, che rende la transazione stessa immodificabile ed irreversibile. Immodificabilità e irreversibilità che se, da un lato, offrono le indispensabili garanzie ai contraenti che interagiscono tra loro in forma anonima in una piattaforma informatica, da altro lato, possono provocare perdite irreparabili in caso di uno scambio erroneo dei
dati della transazione, relativi all’importo o alla chiave pubblica, ovvero nel caso di utilizzo di server in cui sono presenti virus informatici o trojan. La conferma e messa in sicurezza della transazione finanziaria, secondo il protocollo “Bitcoin”, si realizza con la formazione di una catena di blocchi di transazioni. Il tempo di formazione di ciascun blocco è determinato in dieci minuti ed il numero necessario per dare sicurezza di immodificabilità alla transazione è fissato in sei blocchi (standard di sicurezza generalmente accettato dal network) e, quindi il tempo minimo di messa in sicurezza della transazione in bitcoin può fissarsi in sessanta minuti, spazio temporale che può ulteriormente dilatarsi per rallentamenti del sistema o accavallamenti di transazioni tra le piattaforme che lavorano le transazioni. La scelta di sei blocchi, come standard di sicurezza, si basa sulla teoria della bassa probabilità che un utente malintenzionato possa accumulare più del 10% dell’hashrate della rete per falsificare la transazione, e che il rischio trascurabile (meno dello 0,1%) è accettabile. Questo dato va tenuto presente perché, come abbiamo accennato nella descrizione della vicenda giudiziaria oggetto della sentenza in commento, la valuta virtuale Nano (XRB)” si differenzia dal più noto “Bitcoin” non perché non utilizzi come piattaforma per gli scambi la tecnologia “blockchain”, ma proprio per alcune specificità nei protocolli di scambio delle valute virtuali tendenti a velocizzare i tempi di conferma della transazione e consentire un maggior numero di transazioni in un limitato arco di tempo (cd. bassa latenza e maggiore scalabilità).
5. Le piattaforme informatiche. Gli exchange di valute virtuali
Il secondo spunto di approfondimento che ci offre la sentenza riguarda l’attività degli exchange di valute virtuali e dei gestori di portafogli digitali e ci induce ad interrogarci: - su quale sia l’attuale stato di regolamentazione di questa attività da parte del nostro ordinamento; - se la gestione di queste piattaforme informatiche avvenga secondo un modello unico ed uniforme ovvero se ciascuna piattaforma si distingua dalle altre non solo per la diversa gamma dei servizi che offre, ma anche per la diversa natura giuridica dei rapporti che instaura con i propri cliente e con i terzi; - su quale sia la natura giuridica dei gestori di queste piattaforme informatiche; - in che misura l’attività svolta dagli exchange di criptovalute si distingua dall’attività regolamentata, vigilata e riservata agli intermediari finanziari ed alle banche. Da un punto di vista concettuale gli exchange di criptovalute (o crypto-exchange, o cryptocurrency exchange) non si differenziano in modo sostanziale dagli exchange “tra-
DIRITTO DI INTERNET N. 2/2019
349
GIURISPRUDENZA CIVILE dizionali” come il Nasdaq o la Borsa Italiana, offrono i medesimi servizi, sebbene riferibili alle criptovalute e non ai “tradizionali” asset finanziari (azioni, obbligazioni, cambi di valute, etc), possono operare su uno specifico mercato (ad esempio, cambio bitcoin-dollari) o su una pluralità di mercati (cambio bitcoin-ether, cambio bitcoin-euro, cambio ether-euro, etc.), possono avere una gestione centralizzata e, quindi, gestire i portafogli dei clienti allo stesso modo in cui sono gestiti da un qualunque altro exchange, intermediando le transazioni finanziarie, ovvero in modo decentralizzato (peer to peer), limitandosi ad offrire agli utenti una piattaforma informatica, con i relativi servizi, senza alcuna ingerenza all’interno della transazione finanziaria. La gamma di servizi che gli exchange possono offrire vanno dalla creazione dei portafogli virtuali (wallet), dove sono custodite le valute virtuali, all’acquisto di criptovalute con moneta legale, alla gestione dei vari mercati dove sono scambiate le diverse valute virtuali tra loro e le valute virtuali con monete aventi corso legale, all’offerta di servizi finanziari accessori alla tradizionale attività di trading di prodotti finanziari (ad es. margin trading ed operazioni su derivati). È evidente che svolgendo attività analoga a quella di qualunque altra borsa che opera su mercati regolamentati, l’attività degli exchange, laddove non sia decentrata e, quindi, limitata alla mera messa a disposizione agli utenti degli strumenti informatici per operare nel mercato delle valute virtuali, è esposta a tutti i rischi propri di questo settore, con l’aggiunta che trattandosi di attività che si svolge nella sua totalità all’interno del mondo digitale è, altresì, esposta a tutti i rischi propri del mondo digitale (attacchi informatici, crash informatici, furti d’identità, truffe informatiche, attacchi da hacker, etc.). Peraltro, nell’”opaco” mondo digitale, è difficile anche inquadrare in modo certo la tipologia di attività svolta e la natura dei rapporti che intercorrono tra gestore e clienti. È possibile che all’esterno l’exchange si presenti come gestore decentralizzato ma, di fatto, abbia la possibilità di ingerirsi nella gestione dei portafogli (wallet) dei clienti attraverso la conoscenza delle chiavi private dei clienti stessi (oltre al caso oggetto della vicenda in commento, può ricordarsi il caso dell’exchange Bancor che sebbene si dichiarasse decentralizzato, a seguito di un hackeraggio, aveva bloccato la sua piattaforma dimostrando di avere un controllo centralizzato degli smart contract) (20). In una prospettiva proiettata nel futuro, va detto che se è vero che le valute virtuali nascono con lo scopo principale di eliminare l’intermediazione nei rapporti finan-
(20) Cfr. Chiap - Ranalli - Bianchi, Blockchain. Tecnologia ed applicazioni per il business, cit., 171.
350
DIRITTO DI INTERNET N. 2/2019
ziari e, quindi, consentire la conclusione di operazioni finanziarie secondo modelli decentralizzati, il ricorso alle piattaforme informatiche per i servizi di custodia e scambio delle valute virtuali replica il modello bancario centralizzato e caratterizzato dall’intermediazione delle transazioni. Il ricorso alle piattaforme informatiche gestite da terzi soggetti è la conseguenza della perdurante complessità delle transazioni digitali di criptovalute. L‘utilizzo decentralizzato non è allo stato “user-friendly”, è una tecnologia ancora eccessivamente complessa per potersi rivolgersi ad una platea indiscriminata di soggetti. A ciò si aggiunga che la normativa antiriciclaggio, con l’attuazione della V Direttiva, obbliga, comunque, i gestori di qualunque tipologia di piattaforma digitale, anche se destinata alla mera conservazione dei portafogli di valute virtuali, ad assolvere gli obblighi antiriciclaggio e, quindi, ad identificare in modo certo il soggetto titolare della chiave privata, l’eventuale esecutore dell’operazione, l’eventuale titolare effettivo, acquisire le informazioni sullo scopo e sulla natura dell’operazione, mantenere un controllo costante del rapporto continuativo, profilare il cliente e compiere una valutazione della coerenza dell’operazione eseguita con la profilatura acquisita. È evidente che, in questo nuovo quadro normativo, l’utilizzo delle piattaforme informatiche non potrà più considerarsi del tutto disintermediato, ma tutt’al più presentare profili di maggiore o minore ingerenza del gestore nei rapporti di custodia (wallet) e di scambio (trading) della valuta virtuale.
6. Il rapporto tra exchange ed utente. Deposito regolare ed irregolare. Riflessioni conclusive
Il codice civile non definisce i beni fungibili, ma la categoria, che ha una tradizione risalente al diritto romano, è spesso richiamata per qualificare e regolamentare in modo speciale determinate figure contrattuali. Nella fattispecie sottoposta al giudizio del Tribunale di Firenze, l’inclusione della criptovaluta nella categoria dei beni fungibili è risultata determinante per qualificare il rapporto tra il gestore della piattaforma informatica ed i clienti come deposito irregolare, con ricadute significative per quanto riguarda i rischi e le responsabilità relativi all’ammanco delle criptovalute. Il Tribunale è giunto alla conclusione che le criptovalute sono un bene fungibile affermando che esse sono un’unità monetaria, anche se non qualificabile come moneta legale, consumabile in ragione del loro uso (quando vengono spese) e fungibili perché sono della stessa natura e della stessa qualità, in quanto appartenenti al medesimo protocollo informatico, e soggette alla medesima ratio di altri beni che permettano di effettuare pagamenti. Va ricordato che l’inclusione delle criptovalute nella categoria dei beni fungibili non è pacificamente condivisa
GIURISPRUDENZA CIVILE in dottrina (21); ciò è comprensibile in quanto l’inserimento delle valute virtuali, così come di altri prodotti e servizi digitali in continua evoluzione e trasformazione, nelle categorie giuridiche tradizionali comporta spesso forzature ed adattamenti. Va peraltro sottolineato che, nella vicenda oggetto di esame da parte del Tribunale di Firenze, l’inquadramento della fattispecie come deposito irregolare deriva non solo dalla qualificazione delle criptovalute come beni fungibili, ma è supportato anche da elementi che attengono alla modalità di gestione della piattaforma digitale; invero, i wallet dei singoli utenti venivano periodicamente svuotati e le valute virtuali riversate in un portafoglio generale nella piena disponibilità del gestore, dacché le chiavi private nella titolarità degli utenti non erano la rappresentazione digitale delle criptovalute, ma contenevano esclusivamente il saldo contabile spettante a quel determinato utente; le chiavi private nella disponibilità del gestore, viceversa, avevano il controllo e la piena disponibilità delle criptovalute. In questi termini, la qualificazione del deposito come irregolare e la qualificazione delle criptovalute come beni fungibili appare corretta. Non si ritiene che questa soluzione possa adattarsi a qualunque rapporto di deposito delle criptovalute. L’art. 1782 c.c. dispone: “Se il deposito ha per oggetto una quantità di danaro o di altre cose fungibili, con facoltà per il depositario di servirsene, questi ne acquista la proprietà ed è tenuto a restituirne altrettante della stessa specie e qualità.” È essenziale, pertanto, per applicare le norme sul deposito irregolare che il gestore abbia la facoltà di servirsi delle criptovalute oggetto di custodia. Sarà necessario, pertanto, che il gestore sia legittimato all’utilizzo delle chiavi private, in quanto esse sole attribuiscono la facoltà di disporre e di gestire le criptovalute stesse e, quindi, per un corretto inquadramento della fattispecie, sarà necessario, di volta in volta, verificare la struttura della piattaforma informatica ove sono custodite le criptovalute e le sue modalità di gestione, per qualificare il relativo rapporto come deposito regolare o deposito irregolare.
(21) Contra: Gasparri, Timidi tentativi giuridici di messa a fuoco del bitcoin: miraggio monetario crittoanarchico soluzione tecnologica in cerca di un problema?, in Dir. inf. e inform., 2015, 428; secondo l’Autore il codice informatico che individua univocamente ciascun bitcoin varrebbe a rendere ciascun «pezzo» di criptovaluta unico e insostituibile. Ritiene che le cripto valute siano beni fungibili, Caloni, Bitcoin: profili civilistici e tutela dell’investitore, in Riv. dir. civ., 2019, nota 41: “Il fatto che un bene generico possa essere reso riconoscibile non fa venir meno, tuttavia, la circostanza che esso sia perfettamente sostituibile con gli altri dello stesso genere. Si pensi al fatto che ogni pezzo cartaceo di denaro e` identificato da un numero di serie, cosa che non incide minimamente sulla pacifica definizione del denaro come bene fungibile (…), o ai prodotti in serie, i quali, per finalità di magazzino o distribuzione, possono essere tracciati con un codice identificativo ma che, finché non vengono resi unici dall’uso, sono perfettamente.”.
Nella fattispecie oggetto di commento, le modalità di conservazione scelte dal gestore della piattaforma che, per sua scelta, faceva confluire tutte le valute virtuali in un fondo generale hanno costituito la causa principale dell’ammanco ed hanno consentito al Tribunale di qualificare il contratto di deposito esistente tra i contraenti come deposito irregolare e la valuta virtuale custodita nel fondo generale del gestore come “bene fungibile immateriale”. Ad avviso di chi scrive, nella vicenda oggetto di esame da parte del Tribunale di Firenze, tuttavia, si sarebbe giunti alle medesime conclusioni anche nel caso in cui il contratto di deposito fosse stato qualificato “regolare”, sotto il profilo della responsabilità per colpa ex art.1780 c.c., e ciò non solo per la emersa intempestiva denunzia dell’ammanco ai depositanti, ma anche per il difetto di diligenza imputabile del depositario. Invero, trattandosi di valuta virtuale e, quindi, di un bene immateriale digitalmente rappresentato da una sequenza alfanumerica, l’obbligo di custodia non può che concretizzarsi nell’impegno a rendere inviolabile la sequenza alfanumerica da parte di soggetti esterni, tenuto conto, principalmente, che la mera conoscenza della sequenza alfanumerica dà, di fatto, il possesso pieno della valuta virtuale, consentendo qualunque atto di disposizione della stessa a prescindere dalla legittima titolarità. È questa la caratteristica peculiare della valuta virtuale rispetto ad un qualsiasi altro bene mobile materiale; mentre per quest’ultimo, ai fini dell’affidamento dei terzi, il possesso è dato dal legame materiale del soggetto con il bene stesso e gli atti di disposizione possono essere esercitati in ragione di questo legame materiale con pieno affidamento da parte dei terzi (art. 1153 c.c.), nella valuta virtuale il possesso e l’affidamento dei terzi è dato dalla conoscenza della chiave privata che, in astratto, potrebbe essere nota ad una pluralità di soggetti i quali potrebbero aver acquisito la sequenza alfanumerica in modo legittimo o anche in modo illegittimo. La diligenza richiesta dall’art. 1768 c.c. è quella del buon padre di famiglia, che nel nostro caso può tradursi nella diligenza del buon gestore della piattaforma informatica, il quale si presume sia a conoscenza delle insidie e dei rischi del sistema informatico che gestisce e valuta le precauzioni da assumere per evitare danni ai propri clienti. In questi termini, la diligenza va valutata prendendo in considerazione: i) la natura professionale dell’attività svolta dal gestore (art. 1176, 2° comma c.c.); ii) i rischi (come maggiore o minore probabilità dell’evento) legati alla violazione del sistema informatico; iii) i costi da affrontare per la creazione di un “firewall” adeguato che elimini o riduca i rischi di violazione del sistema e di sottrazione o manipolazione dei dati informatici custoditi; iv) l’importo dei danni che verrebbe cagionato in caso di violazione del sistema, da valutare in relazione
DIRITTO DI INTERNET N. 2/2019
351
GIURISPRUDENZA CIVILE alla probabilità dell’evento; v) le asimmetrie informative tra cliente e gestore della piattaforma (22). È ragionevole ritenere che chi affidi la custodia della propria valuta virtuale ad un gestore professionista di dati digitali faccia affidamento sulle sue capacità di analisi e valutazione dei rischi di attacchi di pirateria informatica, di possibili crash e sulle sue capacità di creare un sistema inviolabile in base allo stato di conoscenza dei dati informatici messigli a disposizione. Così come è ragionevole considerare, nella valutazione del grado di diligenza richiesto, le asimmetrie informative esistenti tra il gestore della piattaforma informatica ed il cliente, sia in termini generali, come presunzione di una maggior conoscenza, da parte di chi svolge l’attività come professionista rispetto al semplice consumatore/utente, della materia informatica, dei concetti informatici (chiavi private, indirizzi pubblici, blockchain, etc.) e dei complessi meccanismi attraverso il quale si realizza la custodia e lo scambio di valute virtuale (il mondo delle criptovalute non è user friendly), sia in termini più specifici, come maggiore o esclusiva conoscenza, in concreto, delle peculiarità e specificità del funzionamento della piattaforma informatica a cui si è affidata la custodia delle proprie valute virtuali. Nel caso oggetto di esame da parte del Tribunale, non solo il gestore della piattaforma non aveva approntato alcuno specifico sistema per evitare la violazione e manomissione dei dati informatici custoditi, ma aveva posto in essere, esso stesso e senza renderne conto ai clienti, un sistema di raccolta accentrata dei saldi contabili di tutti i portafogli digitali, che, in definitiva, ha rappresentato la causa principale dell’ammanco. Va ricordato che solo attraverso l’ausilio di una consulenza tecnica ordinata dal Tribunale ad un esperto del settore è stato possibile venire a conoscenza delle modalità accentrate di gestione dei portafogli dei clienti e solo a seguito delle risposte dell’esperto si è venuti a conoscenza che l’ammanco delle criptovalute era dovuto, da un lato, ad un bug del software “Nano” che consentiva prelievi multipli non riconoscendo il “già eseguito” e, da altro lato, alla registrazione asincrona delle operazioni da parte del sistema che non era in grado di accertare, in tempo reale, l’esaurimento della provvista sui singoli portafogli digitali dopo la prima transazione, in quanto si interfacciava esclusivamente con il fondo generale di raccolta della criptovaluta che risultava capiente ed in saldo attivo. L’opacità di gestione delle piattaforme sollecita risposte chiare da parte dell’ordinamento sulla regolamentazio-
(22) Nel sistema anglosassone di common law per stabilire, in termini di efficienza della norma, su quale sia il grado di diligenza da rispettare in tutti i casi di danni derivanti da fatti illeciti per colpa si utilizza la “regola di Hand”: cfr. Cooter - Mattei - Monateri - Ulen, Il mercato delle regole – Analisi economica del diritto civile. I. Fondamenti, Bologna, 2006, 223 ss.
352
DIRITTO DI INTERNET N. 2/2019
ne cui sottoporre questo settore. Allo stato, ampie zone d’ombra riguardano le norme da applicare alle piattaforme di gestione delle criptovalute che di fatto offrono servizi finanziari. Spesso la difficoltà a far rientrare le valute virtuali nelle categorie concettuali così come definite nel TUF o nella legge bancaria rischia di sottrarre una vasta gamma di servizi ad alto rischio da quella regolamentazione dettata a tutela degli investitori, in una materia ad alta asimmetria informativa. Tuttavia, ci sono segnali significativi, nella più recente normativa e nella giurisprudenza (23) che tendono, da un lato, ad assimilare le valute virtuali alle valute legali ai fini dei controlli antiriciclaggio e, da altro lato, ad estendere la medesima regolamentazione prevista per gli intermediari finanziari anche ai gestori delle piattaforme informatiche dirette a custodire e scambiare le valute virtuali, laddove i servizi offerti siano di fatto finalizzati alla raccolta di fondi ed all’investimento finanziario.
(23) Cfr. sul punto: Carriere, Le “criptovalute” sotto la luce delle nostrane categorie giuridiche di “strumenti finanziari”, “valori mobiliari” e “prodotti finanziari”; tra tradizione e innovazione, in Rivista di diritto bancario, all’indirizzo <http://www.dirittobancario.it/rivista/finanza/mercati-finanziari-e-regole-di-sistema/le-criptovalute-sotto-la-luce-delle-nostrane-categorie-giuridiche>. Per la giurisprudenza: Trib. Verona, 24 gennaio 2017, cit.
GIURISPRUDENZA PENALE
Estorsione via chat e gravi indizi di colpevolezza nel procedimento cautelare Corte di C assazione ; sezione II penale; sentenza 28 febbraio 2019, n. 8794; Pres. De Crescienzo; Rel. Imperiali; P.M. Ceniccola. In tema di applicazione di misure cautelari personali, quando si procede per un reato cibernetico, il giudice deve effettuare una valutazione coordinata e non parcellizzata dei singoli elementi indiziari, così da verificarne la valenza dimostrativa e, successivamente, procedere ad un esame globale degli stessi per valutarne la congruenza rispetto al tema di indagine prospettato nel capo di imputazione provvisoria.
…Omissis… Svolgimento del processo. 1. Con ordinanza del 18/4/2018, il Tribunale di Venezia, sezione del riesame, rigettando l’appello proposto dal Pubblico Ministero presso il Tribunale di Treviso, ha confermato l’ordinanza con la quale il Giudice per le indagini preliminari dello stesso Tribunale aveva rigettato la richiesta di applicazione della misura cautelare della custodia in carcere nei confronti di G.E.A. e di S.E., indagati per i reati di cui all’art. 110 c.p., art. 629 c.p., comma 2 e artt. 110, 56 e 629 c.p. ai danni di M.F., in una vicenda che aveva avuto origine nel …Omissis…, quando quest’ultimo era stato contattato su Facebook da una ragazza sconosciuta presentatasi come F.S., che gli aveva inviato una fotografia che ritraeva nuda ed aveva quindi chattato con lui per qualche mese, per poi dirgli di essere minorenne e chiedergli di versare la somma di 3000,00 Euro per evitare problemi. Il M. aveva raccontato la storia ad altra ragazza di nome L., conosciuta chattando, che si era offerta di aiutarlo mettendolo in contatto con tale A., asseritamente in grado di intervenire sul computer per cancellare i messaggi e, accettato l’aiuto offertogli, dopo aver comunicato le proprie password si era reso conto che le comunicazioni con la F. erano effettivamente scomparse. Il giorno successivo, però, la stessa F. aveva richiesto una nuova somma di denaro per evitare una denuncia per abuso informatico ed egli si era rivolto nuovamente all’A. incaricandolo di presentarsi lui all’incontro con la ragazza, consegnandogli per chiudere la vicenda la somma di Euro 3000,00, alla quale l’A. aveva ottenuto venissero aggiunte altri 2000,00 Euro per il suo intervento. Tale intervento aveva successo, ma qualche giorno dopo era lo stesso A. a chiedere altri 10.000,00 Euro perché aveva dei problemi e, dinanzi al diniego del M., aveva minacciato che in caso di mancato pagamento avrebbe diffuso i dati che aveva salvato dal computer della F. Dopo aver effettuato vari pagamenti, nel settembre del 2017 il M. aveva eliminato il suo account da Facebook e cambiato numero telefonico, ma il …Omissis… un
sedicente poliziotto della polizia postale di…Omissis…, dall’utenza telefonica intestata alla S., gli aveva rivolto un’ulteriore richiesta di pagare 6000,00 Euro per evitare che fosse inviata una chiavetta con i dati sensibili riferiti alla F. A tal punto la offesa, esasperata, aveva sporto denuncia. Lo stesso giorno aveva riconosciuto nel G. il sedicente A. al quale aveva consegnato del denaro, ed aveva esibito alcune ricevute di pagamenti effettuati mediante il servizio Sayfecard, prive di indicazione del beneficiario, ma comunque indicate come relative ai pagamenti di cui sopra, effettuati previo scambi di messaggi con l’utenza telefonica intestata alla S. 2. Sulla base di tali elementi il Tribunale del riesame ha confermato l’ordinanza del giudice per le indagini preliminari, ritenendo che la S. non fosse raggiunta da gravi indizi di colpevolezza in ordine ai reati a lei ascritti, sul rilievo che la sua utenza telefonica poteva essere stata utilizzata a sua insaputa dal sedicente poliziotto e che non vi fossero elementi sufficienti per ritenere che questo fosse il G., a sua volta ritenuto, pertanto, raggiunto da gravi indizi di colpevolezza solo in ordine agli episodi di estorsione anteriori al settembre 2017. Considerato, peraltro, che il predetto era gravato da un solo precedente penale risalente nel tempo, il Tribunale riteneva che non vi fossero elementi per riconoscere un concreto ed attuale pericolo che lo stesso potesse reiterare fatti della stessa specie di quelli per cui si procede. 3. Avverso il provvedimento del Tribunale del riesame ricorre per Cassazione il Pubblico Ministero presso il Tribunale di Treviso, deducendo la violazione di legge ed il vizio di motivazione sotto diversi profili: l’inconferenza dell’assunto del Tribunale secondo cui non si comprenderebbe come nell’immediatezza della denuncia fosse già possibile disporre di una fotografia del G., circostanza valorizzata dal Tribunale del riesame sulla considerazione che si tratterebbe di “elemento di non poco rilievo per la valutazione in ordine alla sua personalità”, assunto che, peraltro, si deduce in contrasto con il riconoscimento della gravità indiziaria a carico
DIRITTO DI INTERNET N. 2/2019
353
GIURISPRUDENZA PENALE del predetto fondata dal Tribunale proprio sull’individuazione fotografica del soggetto qualificatosi come poliziotto nel messaggio inviato al M. nel …Omissis… Soprattutto, deduce l’ufficio ricorrente che il Tribunale avrebbe valutato i fatti in modo del tutto slegato tra loro, senza considerare in alcun modo che il predetto sedicente poliziotto utilizzava il telefono della S., ed aveva fatto riferimento, nell’occasione, ad episodi precedenti che solo gli interessati potevano conoscere. Il Tribunale, invece, avrebbe fondato il suo riconoscimento su un dato del tutto neutro, costituito dal fatto che la persona offesa era stata contattata sul suo nuovo cellulare, circostanza che, invece, rivelerebbe una maggiore capacità delinquenziale, né si vede perché sia stato omesso il collegamento tra l’uso del cellulare della S. da parte del sedicente poliziotto, ed il legame tra la stessa S. ed il G., circostanza che ad avviso del ricorrente indurrebbe a riconoscere nella sedicente L., che ha presentato l’A. (cioè G.) proprio la S. Inoltre, viene evidenziato che nella messaggistica estrapolata da altro telefono della S. ed in uso agli indagati, conviventi, vi sarebbero riferimenti alla fantomatica minorenne St., le cui vicende solo gli estorsori potevano conoscere. …Omissis… Motivi della decisione. …Omissis… Nel caso di specie, difetta proprio la congruità delle ragioni addotte rispetto al fine giustificativo del provvedimento, avendo questo proceduto ad una considerazione frazionata dei diversi elementi portati dal pubblico ministero a sostegno del ricorso, alcuni dei quali, peraltro, sono stati ricordati dal Tribunale del riesame soltanto nell’esposizione dei fatti, senza alcuna successiva considerazione al momento della valutazione del compendio indiziario. Così, del tutto illogica deve ritenersi la svalutazione del riconoscimento fotografico del G., operato dalla persona offesa, sul rilievo che non emerge dagli atti come nell’immediatezza della denuncia fosse già possibile disporre di un fascicolo contenente l’effigie dell’indagato, considerazione accompagnata dal rilievo che l’eventuale pregressa conoscenza dello stesso da parte della P.G. sarebbe stata “elemento di non poco rilievo”: appare evidente, invece, che l’attendibilità o meno di una ricognizione fotografica è del tutto indipendente dalle modalità e dai tempi con i quali la P.G. possa aver acquisito l’effigie mostrata alla persona offesa. La pregressa disponibilità di una fotografia dell’interessato, da parte della P.G. può essere considerata, al più, un elemento neutro - nel difetto di elementi che consentano di attribuire a tale disponibilità una valenza a carico dell’indagato - ma comunque non può essere ritenuto un elemento
354
DIRITTO DI INTERNET N. 2/2019
negativo per l’accusa, tale da svalutare il riconoscimento fotografico effettuato grazie a tale effige. Inoltre, il Tribunale del riesame ha riconosciuto che il pubblico ministero ha prodotto in udienza documentazione relativa al numero telefonico dal quale era stata contattata la persona offesa, ma poi non ha considerato tale elemento significativo per l’individuazione del sedicente poliziotto che utilizzava tale utenza, senza nemmeno considerare che il G. conviveva con la S., titolare dell’utenza telefonica, e che il soggetto qualificatosi come poliziotto nel messaggio inviato al M. nel … Omissis… (in occasione dell’ultimo episodio contestato in continuazione) faceva riferimento a fatti pregressi che potevano conoscere soltanto i protagonisti degli episodi estorsivi precedenti, in relazione ai quali il Tribunale ha pur riconosciuto la gravità del quadro indiziario a carico del G. Analogamente, il Tribunale, limitatosi ad affermare che il sedicente poliziotto ben potrebbe aver utilizzato il telefono della S. a sua insaputa, non risulta aver valutato in modo coordinato la pluralità degli indizi gravanti sulla stessa, ed in particolare il dato che anche la precedente utenza da cui era stato contattato il M. era intestata alla S., e che da tale utenza la sedicente L. era stata l’artefice del contatto tra la persona offesa ed il sedicente A., incaricato di cancellare i messaggi dal computer e riconosciuto dal M. nel G., convivente della coindagata, elementi tutti non valutati dal Tribunale in modo coordinato ai fini dell’eventuale identificazione della sedicente L. nella S. o, comunque, ai fini della valutazione del compendio indiziario gravante su quest’ultima. Ne consegue la manifesta illogicità del provvedimento impugnato, connotato da una valutazione solo parziale e parcellizzata del compendio indiziario portato a sostegno della richiesta del pubblico ministero, in contrasto con la giurisprudenza di questa Corte di cassazione secondo cui, in tema di applicazione di misure cautelari personali, la gravità degli indizi di colpevolezza postula una considerazione non frazionata ma coordinata degli stessi, che consenta di verificare se la valutazione sinottica di essi sia o meno idonea a sciogliere le eventuali incertezze o ambiguità discendenti dall’esame parcellizzato dei singoli elementi di prova, e ad apprezzare quindi la loro effettiva portata dimostrativa e la loro congruenza rispetto al tema di indagine prospettato nel capo di imputazione provvisoria. (Sez. 1, n. 39125 del 22/09/2015; cfr. anche Sez. 1, n. 20461 del 12/04/2016, Rv. 266941; Sez. 1, n. 44324 del 18/04/2013, Rv. 258321). …Omissis… L’ordinanza impugnata va, pertanto, annullata, con rinvio alla sezione per il riesame del Tribunale di Venezia per un nuovo giudizio che, alla luce dei principi dinanzi esposti, proceda ad una valutazione coordinata e non parcellizzata dei singoli elementi indiziari, così da veri-
GIURISPRUDENZA PENALE ficarne la valenza dimostrativa e, successivamente, procedere ad un esame globale degli stessi per valutarne la congruenza rispetto al tema di indagine prospettato nel capo di imputazione provvisoria.
P.Q.M. Annulla l’ordinanza impugnata e rinvia per nuovo giudizio al Tribunale di Venezia sezione per il riesame. …Omissis…
IL COMMENTO
di Alessio Gaudieri Sommario: 1. La vicenda processuale. – 2. Le conclusioni della Cassazione. – 3. Il ricorso alla comunicazione informatica ed ai social network. – 4. La configurabilità dell’indizio. – 5. La valutazione dei gravi indizi di colpevolezza. – 6. Conclusioni. La sentenza in esame tratta della valutazione dei gravi indizi di colpevolezza nel procedimento cautelare penale. La particolarità della pronuncia si ravvisa nel tipo di reato in contestazione (un reato cibernetico in senso improprio) che costringe gli operatori del diritto ad operare, il più delle volte, esclusivamente con elementi indiziari. Il commento proposto, dopo aver rilevato i contrapposti orientamenti in tema di valutazione degli indizi da parte della dottrina e della giurisprudenza, prospetta l’esigenza di compiere una reductio ad unum, in vista del crescente aumento di tali tipi di reato. The reported decision deals with the assessment of serious indication of guilt in criminal precautionary measure. The peculiarity of the pronunciation is found in the kind of offense (a cybercrime in an improper sense) that forces the legal practitioners to work exclusively with the clues, most of the time. The proposed essay, after having noted the opposing view in terms of evaluetion of the clues by doctrine and case-law, suggests to carry out a reductio ad unum, in the view of the crowing increase of these types of crime.
1. La vicenda processuale
Con la sentenza in commento la Suprema Corte si è pronunciata, in tema di applicazione di misure cautelari personali, sulla valutazione dei gravi indizi di colpevolezza da compiere mediante un esame che sia complessivamente coordinato e non già frazionato. La particolarità della vicenda si ravvisa nell’uso di strumenti informatici e telematici al fine di consumare il reato di estorsione. Il fatto merita di essere brevemente richiamato, in modo da poter meglio cogliere le conclusioni della Cassazione. Tizio, utente di Facebook, era stato contattato su tale famoso social network da una ragazza sconosciuta, presentatasi con un nome di fantasia. I due avviavano una conversazione mediante chat durata qualche mese, caratterizzata, in particolare, dall’invio di una foto compromettente della ragazza, la quale, successivamente, dopo aver rivelato di essere minorenne, aveva richiesto una somma di denaro per non divulgare il contenuto dei loro messaggi. Il ragazzo veniva aiutato da una terza utente a mettersi in contatto con un sedicente tecnico informatico, il quale, dopo aver ottenuto le password di accesso al profilo del ragazzo, cancellava il contenuto della chat. Il giorno successivo, la finta minorenne ricontattava il ragazzo, riformulando una nuova richiesta di denaro volta ad evitare una denuncia per accesso abusivo ad un sistema informatico. L’estorto chiamava di nuovo il tecnico informatico, incaricandolo di presentarsi all’in-
contro con la ragazza e consegnando del denaro destinato sia ad essa che al tecnico, per ripagarlo dell’aiuto. Il denaro era trasferito mediante il servizio Paysafecard, sistema che non consentirebbe di risalire al beneficiario, poiché rilascia ricevute prive di indicazione di esso. Successivamente, era il sedicente tecnico informatico a richiedere un’ulteriore somma di denaro, minacciando di diffondere i dati che aveva salvato. Dopo vari pagamenti, la persona offesa tentava di far sparire le proprie tracce, cancellando il profilo Facebook e cambiando numero di cellulare. Senonché, veniva contattato sulla nuova utenza telefonica da un sedicente agente della polizia postale, il quale rivolgeva una richiesta di denaro per evitare che fosse diffuso il contenuto di una chiavetta USB con i dati sensibili delle conversazioni avute con la minorenne. Esasperato, Tizio sporgeva denuncia. Lo stesso giorno, mediante riconoscimento fotografico, individuava il soggetto (che da qui in poi, per praticità, chiameremo Sempronio) qualificatosi come poliziotto. Intanto, nel corso delle indagini preliminari, l’ufficio del Pubblico ministero scopriva che i messaggi relativi ai pagamenti di denaro avvenivano con un’utenza telefonica intestata ad una donna (che chiameremo Mevia); che Mevia era convivente dell’uomo riconosciuto dalla persona offesa; che il sedicente poliziotto era a conoscenza di episodi che solo i protagonisti degli episodi estorsivi precedenti potevano sapere; che dall’utenza telefonica intestata a Mevia erano partiti anche i messaggi
DIRITTO DI INTERNET N. 2/2019
355
GIURISPRUDENZA PENALE dell’utente che aveva aiutato la persona offesa a mettersi in contatto con il finto tecnico informatico; che da un terzo telefono di Mevia sono stati estrapolati messaggi scambiati tra la stessa Mevia e Sempronio, i quali facevano esplicito riferimento alla fantomatica minorenne e, dunque, alle vicende estorsive; che la minorenne non esisteva, ma era stata generata dalla mente dei due estorsori per attuare l’estorsione. Dunque, l’ufficio del Pubblico ministero riteneva che tra i conviventi, Mevia e Sempronio, vi fosse un concorso di persone nel reato di estorsione, e pertanto emetteva una richiesta di applicazione di misura cautelare della custodia in carcere nei loro confronti. A seguito del rigetto della richiesta da parte del Giudice per le indagini preliminari, l’organo inquirente proponeva appello al Tribunale del riesame ai sensi dell’art. 310 c.p.p. Il Tribunale del riesame confermava l’ordinanza del Giudice per le indagini preliminari, ritenendo che nei confronti di Mevia non si potesse configurare l’esistenza di gravi indizi di colpevolezza, poiché il suo telefono poteva essere stato utilizzato, a sua insaputa, da una terza persona, molto probabilmente il suo convivente. Nei confronti di quest’ultimo, però, l’esistenza dei gravi indizi di colpevolezza era riscontrata solo in ordine ai primi episodi, riguardanti la persona offesa, la sedicente minorenne e il finto tecnico informatico. In merito alle esigenze cautelari, invece, si rilevava la mancanza di un concreto ed attuale pericolo in ordine alla reiterazione di fatti della stessa specie di quelli per cui si procedeva, sul rilievo che il predetto era gravato solo da un precedente penale risalente nel tempo. Avverso l’ordinanza del Tribunale del riesame l’ufficio del Pubblico ministero ricorreva per Cassazione deducendo la violazione di legge e il vizio di motivazione sotto molteplici profili: l’inconferenza dell’assunto secondo cui non si comprenderebbe come nell’immediatezza della denuncia fosse già possibile disporre di una fotografia del Sempronio, circostanza valorizzata dal Tribunale del riesame che lo ha ritenuto un elemento negativo per l’accusa; la valutazione dei fatti in modo del tutto slegato tra loro; l’omessa valorizzazione da parte del Tribunale del riesame di tutta una serie di elementi non valutati ai fini del riconoscimento dei gravi indizi di colpevolezza. In ordine alla ritenuta insussistenza delle esigenze cautelari, l’ufficio del Pubblico ministero ricorrente deduceva che il provvedimento impugnato non valutava in alcun modo il recente arresto di entrambi gli indagati per spaccio di stupefacenti.
per un nuovo giudizio formato attraverso un processo di valutazione coordinato e non parcellizzato dei singoli elementi indiziari, in modo da verificarne la valenza dimostrativa e, successivamente procedere ad un esame globale degli stessi affinché si valuti la congruenza rispetto al tema d’indagine prospettato nell’imputazione. Orbene, i motivi per cui è esperibile il ricorso per Cassazione sono quelli previsti dall’art. 606 c.p.p., tra i quali sono compresi la mancanza, la contraddittorietà e la manifesta illogicità della motivazione. Dunque, la Suprema Corte non può entrare nel merito del provvedimento impugnato, non potendo valutare la credibilità ed attendibilità degli elementi che giustificano la misura cautelare (1). Tuttavia, la Corte è granitica nel ritenere che può compiere un controllo di legittimità sui punti devoluti circoscritto all’esame dell’atto impugnato al solo fine di verificare che il testo risponda a due requisiti: l’uno positivo, relativo all’esposizione delle ragioni giuridicamente significative che lo hanno determinato; l’altro negativo, relativo all’assenza di illogicità evidenti, ossia la congruità delle argomentazioni rispetto al fine giustificativo del provvedimento (2). Ciò perché l’ordinamento non conferisce alla Corte di Cassazione nessun potere di revisione né degli elementi materiali, né degli elementi fattuali delle vicende indagate, ivi compreso lo spessore degli indizi, né quello di riconsiderazione delle caratteristiche soggettive degli indagati, essendo questi apprezzamenti che rientrano nelle valutazioni del giudice di merito a cui è stata richiesta l’applicazione della misura cautelare e del Tribunale del riesame (3). Fatta tale premessa, la Corte ha ravvisato un difetto di congruità delle ragioni addotte rispetto al fine giustificativo del provvedimento. Infatti, il giudice di merito ha proceduto ad una valutazione frazionata dei diversi elementi di prova portati dall’ufficio del Pubblico ministero a sostegno del ricorso. Inoltre, alcuni di essi sono stati ricordati solo nell’esposizione dei fatti, ma non è stata compiuta alcuna considerazione successiva al momento della valutazione del compendio indiziario. Da ciò la Corte ha concluso per la manifesta illogicità del provvedimento impugnato, caratterizzato da una valutazione solo parziale e parcellizzata dell’ossatura probatoria portata a sostegno della richiesta dell’ufficio del Pubblico ministero.
2. Le conclusioni della Cassazione
(2) Così, ex multis, Cass., 2 febbraio 2017, n. 9212, in CED; Cass., 7 dicembre 2011, n. 56, in CED; Cass., 21 ottobre 2010, n. 40873, in CED; Cass., 12 novembre 1998, n. 3529, in CED; Cass., 17 agosto 1996, n. 2050, in CED.
Con la sentenza in esame, la Corte di Cassazione ha accolto il ricorso proposto dall’ufficio del Pubblico ministero, annullando con rinvio al Tribunale del riesame
356
DIRITTO DI INTERNET N. 2/2019
(1) In tal senso Tonini, Manuale di procedura penale, Milano, 2018, 488.
(3) Cass., 2 febbraio 2017, n. 9212, cit.
GIURISPRUDENZA PENALE La gravità degli indizi di colpevolezza postula una considerazione coordinata e non frazionata degli stessi, che consenta di verificare se la valutazione sinottica di essi sia o meno idonea a sciogliere le eventuali incertezze o ambiguità discendenti dall’esame parcellizzato dei singoli elementi di prova, e ad apprezzare, quindi, la loro effettiva portata dimostrativa e la loro conseguenza rispetto al tema d’indagine prospettato nel capo d’imputazione provvisoria (4). Pertanto, va verificato se i vari dati probatori, coordinati ed apprezzati globalmente secondo la logica comune, assumano la valenza richiesta dall’art. 273 c.p.p., atteso che essi, in considerazione della loro natura, sono idonei a dimostrare il fatto, se coordinati organicamente (5).
3. Il ricorso alla comunicazione informatica ed ai social network
Nell’era del «digitale», che tende a dematerializzare l’esistente, cambiano le modalità di accesso ed approccio al crimine, e pertanto, anche la criminalità si evolve, trovando nuovi metodi per la consumazione dei reati. L’obiettivo non è unicamente quello di approntare un armamentario efficace per combattere i reati cibernetici (6) in senso proprio, ma di prevedere strumenti in
(4) Cass., 22 settembre 2015, n. 39125, in CED; Cass., 14 marzo 2010, n. 16548, in CED. (5) Cass., 5 dicembre 2012, n. 9269, in CED. (6) Per reato cibernetico o cybercrime si intende un reato commesso in rete o per il tramite della rete. Tali tipi di reato si caratterizzano proprio per l’impiego della rete a fini criminosi e si distinguono dai reati informatici o computercrime, i quali prevedono una connessione dei fatti illeciti con l’informatica. Per un approccio organico al tema, si vedano Aterno, Acquisizione e analisi della prova informatica, in Dir. pen. e proc., 2008, 61 ss; Aterno, Le investigazioni informatiche e l’acquisizione della prova digitale, in Giur. merito, 2013, 955 ss; Aterno - Mattiucci, Cloud forensics e nuove frontiere delle indagini informatiche nel processo penale, in Arch. pen., 2013; Cajani, Il vaglio dibattimentale della digital evidence, in Arch. pen., 2013, 837 ss; Corasaniti, Cybercrime, responsabilità degli enti, prova digitale, Padova, 2009; Daniele, La prova digitale nel processo penale, in Riv. dir. proc., 2011, 283 ss; Di Paolo, voce Prova informatica, in Enc. dir., Milano, 2013, 736 ss; Fiore, L’informatica forense e i modelli di investigazione digitale, in Ciberspazio e diritto, 2014, 99 ss; Flor, Lotta alla “criminalità informatica” e tutela di “tradizionali” e “nuovi” diritti fondamentali nell’era di Internet, 20 settembre 2012, in Diritto penale contemporaneo, all’indirizzo <http://www.dirittopenalecontemporaneo.it>; Galdieri, Teoria e pratica nell’interpretazione del reato informatico, Milano, 1997; Pica, Reati informatici e telematici, in Dig. disc. pen., Agg. I, Torino, 2000, 557; Grillo-Moscato, Riflessioni sulla prova informatica, in Cass. pen., 2011, 370 ss; La Muscatella, La ricerca della prova digitale e la violazione delle best practices: un’attività investigativa complessa tra recenti riforme e principi consolidati, in Ciberspazio e diritto, 2011, 221 ss; La Muscatella, La ricerca delle fonti di prova sulle reti di cloud computing: le nuove frontiere delle investigazioni digitali tra profili giuridici e questioni operative, in Ciberspazio e diritto, 2013, 477 ss; Lupària, Computer crimes e procedimento penale, in Trattato di procedura penale, a cura di Garuti, Torino, 2011, 7, I, 368 ss; Lupària, La ratifica della Convenzione Cybercrime del Consiglio d’Europa (L. 18 marzo 2008 n. 48). I profili processuali, in Dir. pen. e proc., 2008, 717 ss; Lupària, I correttivi
grado di combattere anche i reati comuni ed i reati cibernetici in senso improprio (7), come ad esempio l’estorsione «2.0.». Infatti, il cyberspace diventa un ambiente ideale e privilegiato per realizzare molteplici, diverse e nuove forme di cybercrime da parte di criminali che acquisiscono competenze sempre maggiori in tali ambiti (8). Emblematico è proprio il reato che fa da sfondo alla sentenza in commento, che si affianca all’ormai nutrita serie di fenomeni commessi mediante l’uso di tecnologie informatiche (9). Ed è così, allora, che il crimine si diffonde nel nuovo mondo informatico, creandosi nuovi spazi d’azione, ed arrivando sino a ricorrere alla comunicazione informatica mediante i social network. Qui i criminali spesso realizzano un vero e proprio inganno – di omerica memoria – utile ad attuare, ad esempio, una successiva estorsione, nella consapevolezza che, nascondendo la propria identità (o meglio creandone di false), non solo potrebbero ottenere, mediante artifizi e raggiri, del denaro dalle loro vittime, ma renderebbero anche difficile l’attività investigativa degli inquirenti, volta ad individuare la vera identità dei malfattori, al fine di approdare a risultati utili per le indagini.
alle distorsioni sistematiche contenute nella recente legge di ratifica della Convenzione sul Cybercrime, in Le nuove norme sulla sicurezza pubblica, a cura di Lorusso, Padova, 2008, 63 ss; Lupària, Internet provider e giustizia penale. Modelli di responsabilità e forme di collaborazione processuale, Milano, 2012; Lupària, Le scienze penalistiche nella “tempesta” digitale. Quali approdi?, in Arch. pen., 2013, 880 ss; Lupària, Sistema penale e criminalità informatica, Milano, 2009; Lupària - Ziccardi, Investigazione penale e tecnologia informatica, Milano, 2007; Marafioti, Digital evidence e processo penale, in Cass. pen., 2011, 4509 ss; Perri, voce Computer forensics (indagini informatiche), in Dig. pen., Torino, 2011, 95 ss; Pierro, Introduzione allo studio dei mezzi di ricerca della prova informatica, in Dir. pen. e proc., 2011, 1516 ss; Sarzana di S. Ippolito, Informatica, internet e diritto penale, Milano, 2010; Tonini, Documento informatico e giusto processo, in Dir. pen. e proc., 2009, 401 ss; Vaciago, Digital evidence, Torino, 2012. Per tutte le questioni operative cfr. l’Osservatorio sulla Prova Informatica, di Donato Eugenio Caccavella, di questa Rivista, all’indirizzo «http://dirittodiinternet.it/prova/». (7) I cybercrime sono suddivisibili in reati in senso proprio o stretto, ossia reati che possono essere commessi solo in rete o mediante l’utilizzo della rete; reati in senso improprio o lato, ossia reati che possono essere commessi anche in rete, ma la cui fattispecie incriminatrice potrebbe essere integrata pur senza tale particolarità, come ad esempio nell’ipotesi dell’estorsione. Per un’ampia trattazione sul punto si veda, ex multis, Brenner, Defining Cybercrime: A Review of Federal and State Law, in Cybercrime, a cura di Clifford, Durham, 2011, 257; Picotti, Internet e diritto penale: il quadro attuale alla luce dell’armonizzazione internazionale, in Dir. Internet, 2005, 189 ss. (8) Così, Flor, Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in Riv. it. dir. e proc. pen., 2007, 899; Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Il diritto penale dell’informatica nell’epoca di Internet, a cura di Picotti, Padova, 2004, 21 ss. (9) Ad esempio, il phishing, l’internet fraud, l’abuso di identità «virtuale» e l’identity theft.
DIRITTO DI INTERNET N. 2/2019
357
GIURISPRUDENZA PENALE Innanzi a tale situazione, anche le tecniche investigative devono affinarsi ed essere al passo con i tempi. Vi è, dunque, la necessità che le nuove tecnologie informatiche diventino strumento utile nelle mani degli investigatori, al fine di combattere la criminalità cibernetica che, grazie alla digitalizzazione imperante, sfrutta in modo prevalente nuovi mezzi, anche di comunicazione. Purtroppo, ciò non è semplice, complice un progresso tecnologico inarrestabilmente veloce, che tende a rendere obsolete nel breve periodo non solo le tecnologie utilizzate ma anche la legislazione, se troppo puntuale. Nonostante ciò, l’impiego dell’informatica e della rete si è rivelato estremamente prezioso nella lotta al crimine, sia in un’ottica preventiva sia in un’ottica repressiva (10). Ecco perché oggi si parla sempre più spesso di indagini digitali (11). La criminalità informatica ha trovato nuove vie di fuga, al fine di garantire il proprio anonimato mentre opera in rete. Funzionale a tale circostanza è la darknet (12), strumento privilegiato per celare la propria identità nel caso di commissione di reati mediante l’uso della rete o in rete. Proprio tale anonimato si traduce in un ostacolo all’azione investigativa destinata ad identificare gli autori del reato. In realtà, senza voler scomodare la darknet, per assicurarsi l’anonimato, i criminali possono impiegare modalità tecniche che consentono, ad esempio, di mascherare il proprio indirizzo IP, come ad esempio accade nel caso di utilizzo di Proxy server anonimi o distorcenti (13), ovvero mediante l’utilizzo di servizi VPN (Virtual Private Network) che collegano lo strumento informatico a una rete sicura remota, facendo apparire la connessione in altre località geografiche, o ancora mediante l’uso di Tor, che nasconde l’identità dell’utente facendo migrare la propria connessione su vari router sparsi in tutto il mondo. Grazie a queste tecniche simulatorie, il criminale riesce ad ottenere una vera e propria maschera, diventando
(10) In tema Portesi, Potential Applications of Advances in Tecnology to Prevention and Response to Cases of Terrorism and Criminality: the Role of Information and Communication Technologies, in Ciberspazio e diritto, 2004, 159 ss. (11) Sul tema Signorato, Le indagini digitali. Profili strutturali di una metamorfosi investigativa, Milano, 2018, 43 ss. (12) La darknet o rete oscura è una parte del deep web (web sommerso o invisibile), considerata una parte occulta di internet. (13) Sul punto Bardari, Le identità nei social network: strumenti tecnici virtuali con conseguenze giuridiche reali, in Questioni di informatica forense, a cura di Maioli, Roma, 2015, 151 ss; Lupària, Computer crimes e procedimento penale, in Trattato di procedura penale, a cura di Garuti, cit., 375; Redolfi, Anonimato in rete: note tecniche, in Sicurezza e anonimato in rete, a cura di Maggipinti e Iaselli, Milano, 2005, 34; Vaciago, Internet e crimini informatici, in Computer crimes. Casi pratici e metodologie investigative dei reati informatici, a cura di Piccinni e Vaciago, Bergamo, 2008, 12 ss.
358
DIRITTO DI INTERNET N. 2/2019
nella rete «uno, nessuno, centomila». Ed è così che il «signor Nessuno» può agire creando anche molteplici identità, mediante profili fake su Facebook, volti a nascondere i veri dati anagrafici, e finalizzati alla consumazione di reati, come ad esempio l’estorsione oggetto della sentenza in commento. In questa vicenda, gli estorsori hanno creato una serie di profili fasulli al fine di nascondere la propria identità e far credere alla persona offesa di essere chi non sono. Ed è così che, disponendo di identità supplementari, un’unica donna potrebbe diventare una ragazza minorenne che dopo aver inviato una propria foto in cui è immortalata nuda, chiede del denaro per non rendere pubbliche le loro conversazioni «spinte», ma anche una amichevole ragazza, che per spirito di liberalità, aiuta il povero malcapitato ad entrare in contatto con un tecnico informatico, anch’egli, però, maschera di un uomo che nasconde il vero se stesso dietro una costellazione di travestimenti, in modo da risultare dapprima esperto del mondo informatico e, successivamente, agente della polizia postale, il tutto suggellato da un pactum sceleris. Può accadere, però, che queste maschere cadano grazie proprio alla sapiente opera degli investigatori e degli interpreti del diritto, quando possono disporre di indizi gravi, precisi e concordanti.
4. La configurabilità dell’indizio
Per indizio si intende il ragionamento che da un fatto provato, detto circostanza indiziante, deduce l’esistenza di un ulteriore fatto da provare. Il nesso tra detta circostanza indiziante e il fatto da provare è costituito da una inferenza basata o su una massima di esperienza o su una legge scientifica (14). Altra parte della dottrina, invece, definisce l’indizio come l’elemento da cui inferire con una certa probabilità un risultato (15). Da un punto di vista gnoseologico-giuridico, gli indizi, cui si riferisce la regola di valutazione prevista all’art. 192, comma 2 c.p.p., possono costituire prove indirette (16), poiché non hanno direttamente ad oggetto il
(14) L’indizio si distingue dalla prova rappresentativa, con la quale da un fatto noto si ricava per rappresentazione il fatto da provare. Così Dinacci, Le regole generali delle prove, in Procedura penale. Teoria e pratica del processo, diretto da Spangher, Marandola, Garuti, Kalb, 2015, II, 811; Poi, Indizi cautelari – la valutazione degli indizi nella fase cautelare: una questione da risolvere alla luce della teoria generale della prova, in Giur. it., 2017, 213; Tonini, Manuale di procedura penale, cit., 232. (15) Tuzet, Filosofia della prova giuridica, Torino, 2016, 173. (16) Per la distinzione della prova indiretta in «storica» e «critica», cfr. Carnelutti, Lezioni sul processo penale, Roma, 1947, 210; Carnelutti, Diritto e processo, Napoli, 1958, 129. La dottrina tende a distinguere il concetto di prova critica dal concetto di indizio, ritenendo che in entrambi i casi si tratterebbe di un fatto semplice da cui inferire un fatto giuridico, ma mentre la prova critica presuppone un ragionamento infe-
GIURISPRUDENZA PENALE fatto da provare, ma un fatto secondario, dal quale il giudice potrà risalire al primo solo attraverso un ragionamento di tipo induttivo, basato su regole di esperienza o su regole di logica (17). Infatti, l’indizio, di per sé, non è una prova, tant’è che può possedere un’astratta capacità dimostrativa solo quando siano rispettate determinate condizioni (18). Se ne ricava, dunque, che l’indizio è il risultato di un’inferenza che fa uso anche, o solamente, di leggi scientifiche probabilistiche e/o generalizzazioni di senso comune, quali le massime di esperienza. Infatti, la marcata differenza con la prova in senso stretto si ravvisa nella modalità logica della conclusione relativa all’inferenza basata sull’elemento di prova: solo con la prova in senso stretto vi è un passaggio «univocamente determinato» dall’elemento al risultato di prova (19). L’indizio e la prova rappresentativa differiscono non per l’oggetto da provare, ma per la struttura del procedimento logico (20). Inoltre, parte della dottrina differenzia l’indizio dal mero sospetto, indicato dal legislatore all’art. 116 disp. att. c.p.p., in quanto questo è un fatto noto dal quale non è possibile ottenere la conoscenza del fatto da
renziale condotto mediante l’impiego di leggi logiche o scientifiche non probabilistiche, con l’indizio l’inferenza è operata mediante logica, massime di esperienza e leggi scientifiche probabilistiche e secondo le norme giuridiche stabilite per assicurare che il ragionamento abbia un’affidabile pratica incontrovertibilità. Sul punto, Bargi, Le prove e le decisioni, in Procedura penale, a cura di Gaito, Milano, 2018, 352; Dominioni, Il corpo del diritto delle prove, in Aa.Vv., Procedura penale, Torino, 2017, 264 ss; Ubertis, “Prova indiziaria”. Ossimoro o ridondanza da evitare, in Argomenti di procedura penale, Milano, 2016, 275 ss. A contrario, altra parte della dottrina tende ad identificare la prova critica con l’indizio. In tal senso, Bernasconi, Sistema probatorio e disposizioni generali, in Aa.Vv., Manuale di diritto processuale penale, Torino, 2015, 251; Cordero, Procedura penale, Milano, 2012, 585 ss; Grevi - Illuminati, Prove, in Compendio di procedura penale, a cura di Conso, Grevi e Bargis, Padova, 2018, 310; Lozzi, Lezioni di procedura penale, Torino, 2018, 208 s; D. Siracusano-F. Siracusano, Le prove, il procedimento probatorio e il processo, in Aa.Vv., Diritto processuale penale, a cura di Di Chiara, Patanè e F. Siracusano, Milano, 2018, 280 s; Taormina, Procedura penale, Torino, 2015, 315 ss. (17) In tal senso Grevi, Prove, in Compendio di procedura penale, a cura di Conso, Grevi e Bargis, Padova, 2014, 324. (18) Sul punto Dinacci, Le regole generali delle prove, in Procedura penale. Teoria e pratica del processo diretto da Spangher, Marandola, Garuti, Kalb, cit., 811. (19) Così, Ubertis, Sistema di procedura penale. Principi generali, Torino, 2013, 70. Per l’A. le leggi scientifiche probabilistiche sono assimilabili alle massime di esperienza siccome da entrambe se ne ricavano conclusioni solamente probabili, a differenza delle leggi scientifiche deterministiche. Sul tema anche Garbolino, Probabilità e logica della prova, Milano, 2014, 66 ss; Gianformaggio, Filosofia del diritto e ragionamento giuridico, Torino, 2008, 476; Tuzet, Filosofia della prova giuridica, cit., 173; Ubertis, Fatto e valore nel sistema probatorio penale, Milano, 1979, 115; Ubertis, La prova penale. Profili giuridici ed epistemologici, Torino, 1995, 44 ss. (20) Ferrua, Studi sul processo penale, Torino, 1992, 53; Tonini, Manuale di procedura penale, cit., 234.
provare, poiché non si rinviene nessuna legge scientifica o massima di comune esperienza avente un sufficiente grado di attendibilità. Si tratterebbe, in pratica, di una mera ipotesi senza base probatoria. Altri, invece, ritengono che il mero sospetto sia essenzialmente sinonimo di indizio (21). La distinzione prospettata consente di chiarire quando deve essere applicato l’art. 192, comma 2 c.p.p., il quale dispone che «l’esistenza di un fatto non può essere desunta da indizi, a meno che questi siano gravi, precisi e concordanti». Accanto a questi tre aggettivi, la dottrina e la giurisprudenza è solita indicare una quarta caratteristica: la pluralità. Ed invero, la responsabilità penale non può fondarsi su un unico indizio, poiché insufficiente. Occorre che siano plurimi, essendo necessario un giudizio di comparazione tra più elementi (22). A sostegno di tale tesi milita la circostanza per cui il legislatore ha sempre utilizzato il termine al plurale, anche per le qualificazioni che essi debbano avere per poter essere valutati. La disposizione pone, dunque, un divieto per il giudice, il quale non può inferire un fatto su indizi, a meno che essi non siano qualificati (23). La dottrina si è interrogata sul significato di tali qualifiche. La gravità riguarderebbe il grado di convincimento. Sarebbe grave l’indizio che ha un elevato grado di persuasività e che resiste alle obiezioni. Parte della dottrina ritiene che la massima di esperienza alla base debba esprimere un ampio grado di probabilità (24); altri, invece, parlano di alto grado di fondatezza (25). Vi è precisione quando i relativi elementi indiziari sono certi, in ragione dell’affidabilità delle fonti di prova e dell’attendibilità dei mezzi di prova. Gli indizi non devono risultare, dunque, generici e suscettibili di diversa interpretazione. In tali casi, la circostanza indiziante può dirsi provata.
(21) Furin, Diritto di difesa, indizi e sospetti e l’art. 220 norme att. c.p.p., in Cass. pen., 1999, 2714; Poi, Indizi cautelari – la valutazione degli indizi nella fase cautelare: una questione da risolvere alla luce della teoria generale della prova, cit., 213. (22) Cfr. Tonini, Manuale di procedura penale, cit., 234; Cass., 26 novembre 2018, n. 55410, in CED; Cass., 5 aprile 2016, n. 25239, in CED; Cass., 18 luglio 2013, n. 31448, in CED; Cass., 21 giugno 2012, n. 40061, in CED. (23) Così, Tuzet, Filosofia della prova giuridica, cit., 172. (24) Cfr. Tonini, Manuale di procedura penale, cit., 234. (25) In tal senso, Garbolino, Probabilità e logica della prova, cit., 71; Iacoviello, La motivazione della sentenza penale e il suo controllo in Cassazione, Milano, 1997, 205; Ubertis, Sistema di procedura penale. Principi generali, cit., 100.
DIRITTO DI INTERNET N. 2/2019
359
GIURISPRUDENZA PENALE La concordanza è la convergenza di tutti gli indizi verso la medesima conclusione. Qualora vi siano elementi contrastanti, non essendo possibile una ricostruzione unitaria del fatto cui si riferiscono, è necessario poter escludere ogni altra ricostruzione prospettabile (26). La dottrina e la giurisprudenza si sono interrogate sulla sufficienza del criterio della concordanza ai fini dell’utilizzabilità dell’indizio. Sul punto si sono sviluppate due correnti. Da una parte, vi è la teoria unitaria o molecolare, secondo cui anche un indizio non grave o non preciso può ritenersi sufficiente se integrato da altri elementi che convergono nell’indicare la responsabilità dell’imputato, anche se pure essi siano non gravi e non precisi (27). A questa si è contrapposta una teoria maggiormente garantista, detta pluralistica o atomistica che, nel rigettare la teoria della «convergenza del molteplice» sulla scorta dell’assunto che nel diritto penale non può dirsi applicabile la regola del «più probabile che non» e della probabilità statistica, ormai superata dalla regola dell’«alta probabilità razionale», introdotta con la sentenza Franzese (28), ritiene che sia necessario una valutazione preventiva da parte del giudice sulla sussistenza dei criteri di gravità e precisione di ogni singolo indizio ed un successivo vaglio circa la concordanza di quegli elementi indiziari che abbiano superato la valutazione preliminare, in una prospettiva globale ed unitaria (29). Dunque, in entrambe le teorie è possibile individuare due fasi di valutazione del giudice, logicamente distinte: un primo momento volto a valutare ogni singolo elemento; un secondo momento dedicato ad una valutazione globale degli indizi. Nel modello unitario l’indizio non grave e non preciso entra comunque nella valuta-
(26) Sul punto, Garbolino, Probabilità e logica della prova, cit., 71; Tonini, Manuale di procedura penale, cit., 234; Ubertis, Sistema di procedura penale. Principi generali, cit., 100. (27) Si tratta della teoria della «convergenza del molteplice». In dottrina: Gironi, La prova indiziaria, in La prova penale, vol. I, Il sistema della prova, a cura di Gaito, Torino, 2008, 139 ss; Russo - Abet, La prova indiziaria e il «giusto processo». L’art. 192 c.p.p. e la legge 63/2001, Napoli, 2001, 37; Zaza, Il ragionevole dubbio nella logica della prova penale, Milano, 2008, 118 ss. In giurisprudenza: Cass., 29 luglio 2008, n. 31456, in Cass. pen., 2009, 1840 ss, con commento di Caprioli, Scientific evidence e logiche del probabile nel processo per il “delitto di Cogne”. (28) In tal senso, Tonini, Manuale di procedura penale, cit., 239. (29) In dottrina, v. Battaglio, “Indizio” e “prova indiziaria” nel processo penale, in Riv. It. Dir. Proc. Pen., 1995, 375; Catalano, voce Prova (canoni di valutazione della), in Dig. disc. pen., Agg. II, 2008, 794; Conti, La valutazione della prova indiziaria: precisione, gravità e concordanza tra verifica e falsificazione, in Tonini-Conti, Il diritto delle prove penali, Milano, 2012, 81 ss; Molinari, Dubbio sull’attendibilità della chiamata in correità ed attribuzione alla stessa di un valore indiziante, in Cass. pen., 1996, 1918. In giurisprudenza, Cass., 20 settembre 2005, n. 33748, in Dir. pen. e proc., 2006, 593 ss, con commento di Aito, I limiti all’utilizzabilità della sentenza non definitiva come mezzo di prova documentale.
360
DIRITTO DI INTERNET N. 2/2019
zione complessiva di tutti gli elementi indiziari; contra, nel modello pluralistico l’indizio non caratterizzato da gravità e precisione non può essere utilizzato a fondamento del giudizio complessivo (30). La giurisprudenza, in un’ottica evoluzionistica, ha successivamente chiarito che innanzitutto è necessaria una valutazione dei singoli elementi indiziari volti a verificare la certezza e l’intrinseca valenza dimostrativa (in termini di possibilità e non di probabilità), per poi procedere ad un esame globale degli elementi certi, per appurare se la relativa ambiguità di ciascuno di essi, isolatamente considerato, possa in una visione unitaria risolversi, «consentendo di attribuire il reato all’imputato “ al di là di ogni ragionevole dubbio” e, cioè, con un alto grado di credibilità razionale, sussistente qualora le ipotesi alternative, pur astrattamente formulabili, siano prive di qualsiasi concreto riscontro nelle risultanze processuali ed estranee all’ordine naturale delle cose e della normale razionalità umana» (31).
5. La valutazione dei gravi indizi di colpevolezza
Il sistema della cautela (32), ritenuta da sempre una «ingiustizia necessaria» (33), rappresenta una forma di procedimento incidentale ormai reputato unanimemente indispensabile. Esso costituisce un tema di così tale importanza che il legislatore occupa l’intero libro quarto, dall’art. 272 all’art. 325 c.p.p., per disciplinarlo. Il fascino di esso deriva dal delicato bilanciamento tra le istanze di difesa sociale e le garanzie costituzionali, compiuto dalle continue scelte politico-normative di compromesso, che spesso hanno deciso di non imbrigliare in modo stretto il potere coercitivo alla luce del diritto alla libertà personale, la cui inviolabilità (seppur con eccezioni) è sancita dall’art. 13 Cost. (34), consci del fatto
(30) Così, Poi, Indizi cautelari – la valutazione degli indizi nella fase cautelare: una questione da risolvere alla luce della teoria generale della prova, cit., 213. (31) Cass., 18 aprile 2013, n. 44324, in CED; Cass., 17 maggio 2016, n. 20461, in CED; Cass., 16 gennaio 2018, in CED. (32) In tema di applicazione delle misure cautelari nel procedimento riguardante la responsabilità dell’ente, v. Cimadomo, Prova e giudizio di fatto nel processo penale a carico degli enti, Milano, 2016, 160 ss. Per quanto concerne la valutazione degli indizi a proposito della c.d. «contestazione a catena», cfr. G. Dalia, Commento all’art. 297 c.p.p., in Codice di procedura penale commentato, a cura di Giarda e Spangher, Milano, 2017, 3131. (33) La terminologia è di Carrara, Immoralità del carcere preventivo, in Opuscoli di diritto criminale, Lucca, 1874, 300. (34) In tal senso Amodio, Inviolabilità della libertà personale e coercizione cautelare minima, in Cass. pen., 2014, 12 ss; Canzio, Il processo penale: le riforme “possibili”, in Criminalia, 2013, 487 ss; Fiorio, Misure cautelari personali e sovraffollamento carcerario: “cocci” di un’altra legislatura “sprecata”, in Giur. it, 2013, 735 ss; Gaito, I criteri di valutazione della prova nelle decisioni de libertate, in Materiali d’esercitazione per un corso di procedura penale, a cura di Gaito, Padova, 1995, 159 ss; Presutti, Le cautele nel processo penale
GIURISPRUDENZA PENALE che non si può fare a meno del ricorso alla «custodia senza processo» (35). Invero, tale procedimento esprime un punto di armonico equilibrio tra l’inviolabilità della libertà personale da un lato, la presunzione di non colpevolezza fino alla sentenza passata in giudicato, dall’altro, nonché l’esigenza di non consentire un’anticipazione di un’irrogazione di una sanzione dall’altro ancora. Si delinea così un procedimento caratterizzato da un eventuale provvedimento provvisorio ed immediatamente esecutivo, volto a neutralizzare una serie di pericoli tassativamente indicati all’art. 274 c.p.p., che si distingue dagli altri provvedimenti che possono essere emanati dal giudice penale per strumentalità, urgenza, prognosi di colpevolezza allo stato degli atti, immediata esecutività, provvisorietà, previsione per legge, giurisdizionalità e impugnabilità. Le misure cautelari possono essere applicate se vi sia almeno una delle esigenze di cui all’art. 274 c.p.p. e se si riscontrino le condizioni generali di applicabilità. Queste rappresentano i presupposti di fatto in presenza dei quali sorge in capo al giudice il potere di applicare una misura cautelare. La dottrina individua le seguenti condizioni: la gravità del delitto (36), la punibilità in concreto (37), la presenza dei gravi indizi di colpevolezza. A lungo ci si è interrogati sul significato di «gravi indizi di colpevolezza». In tali procedimenti, la dottrina ritiene che il temine indizio indicherebbe un concetto diverso rispetto a quello sinora prospettato. Ivi, infatti, assumerebbe il significato di prova provvisoria di un fatto, suscettibile di una verifica successiva da parte di un giudice di merito, ma che al momento rappresenta la base per l’adozione di un provvedimento cautelare (38).
come forma di anticipazione della pena, in Riv. dir. proc., 2014, 45 ss; Scaccianoce, Il controllo sul potere cautelare dopo la legge n. 47 del 2015, in Proc. pen. e giustizia, 2016, 136; Scalfati, Scaglie legislative sull’apparato cautelare, in Misure cautelari ad personam in un triennio di riforme, a cura di Diddi e Geraci, Torino, 2015, 1 ss. (35) Le parole sono di Ferrajoli, Diritto e ragione. Teoria del garantismo penale, Bari, 1990, 567, per il quale la custodia preventiva non rappresenterebbe una «necessaria ingiustizia», ma il «prodotto di un’inconfessata concezione inquisitoria del processo che vuole l’imputato in condizione di inferiorità rispetto all’accusa, immediatamente soggetto a pena esemplare e soprattutto, al di là delle virtuose proclamazioni contrarie, presunto colpevole». (36) Tale condizione è posta dall’art. 280 c.p.p. (37) Di cui all’art. 273, comma 2, c.p.p. (38) Corso, Le misure cautelari, in Aa.Vv., Procedura penale, Torino, 2017, 365; Dalia-Ferraioli, Manuale di diritto processuale penale, Padova, 2013, 245; De Caro, Misure cautelari personali. Presupposti e criteri applicativi, in Trattato di procedura penale, a cura di Spangher, Torino, 2008, 48; De Caro, Misure cautelari personali, in Aa.Vv., Manuale di diritto processuale
Seguendo tale definizione, il termine indizio indicherebbe un elemento conoscitivo acquisito durante le indagini preliminari idoneo a ricomprendere tanto le prove di natura critica, quanto quelle di natura rappresentativa. Sul punto si è espressa anche la Suprema Corte, la quale ha affermato che «il quadro di gravità indiziaria a fini cautelari, concetto differente da quello enunciato nell’art. 192, comma 2, c.p.p., che allude alla cosiddetta prova logica o critica, ha, sotto il profilo gnoseologico, una propria autonomia, non rappresenta altro che l’insieme degli elementi conoscitivi, sia di natura rappresentativa che logica, la cui valenza è strumentale alla decisione de libertate» (39). È pur vero che il «sapere giudiziale» sul quale si fonda il giudizio di colpevolezza richiesto dall’art. 273 c.p.p. è rappresentato da elementi valutati rebus sic stantibus. Il giudice dovrà effettuare un giudizio prognostico in termini di ragionevole ed alta probabilità di colpevolezza del chiamato, e dunque, di condanna di esso, in un’ottica di tutela non solo dell’indagato, ma del processo stesso. Tale valutazione è totalmente diversa da quella che compirà il giudice di merito, che dovrà orientare la propria decisione, utilizzando i risultati conseguiti all’esito del legale procedimento probatorio. Gli indizi di cui all’art. 273 c.p.p. non valgono a provare ogni oltre ragionevole dubbio la responsabilità dell’indagato, consentendo, piuttosto, di prevedere che, attraverso la futura acquisizione di ulteriori elementi, saranno idonei a dimostrare la responsabilità dell’imputato, fondando nel frattempo una qualificata probabilità di colpevolezza (40).
penale, Torino, 2015, 331; La Rocca, L’applicazione delle misure cautelari, in Procedura penale, a cura di Gaito, Milano, 2018, 439 s; Scaparone, Procedura penale, Torino, 2015, II, 310; Tonini, Manuale di procedura penale, cit., 239; Tonini, Prova e indizio: alle origini del ragionamento inferenziale, in Tonini-Conti, Il diritto delle prove penali, cit., 55; Zappalà-Patanè, Le misure cautelari personali, in Aa.Vv., Diritto processuale penale, a cura di Di Chiara, Patanè e F. Siracusano, Milano, 2018, 336 ss. Sul punto si è espressa anche la Corte costituzionale con sent. n. 432 del 1995, la quale ha chiarito che la valutazione dei gravi indizi di colpevolezza deve essere compiuta in maniera così incisiva da risolversi in «un giudizio non di mera legittimità ma di merito (sia pure prognostico e allo stato degli atti) sulla colpevolezza dell’imputato». (39) Cass., 30 maggio 2006, n. 36267, in Cass. pen., 2007, 46 ss; Cfr. Cass., 8 luglio 2013, n. 28865, in CED; Cass., 9 febbraio 2004, n. 5043, in CED; Cass., 1 dicembre 1999, n. 5169, in CED. (40) Cass., 8 luglio 2013, n. 28865, in CED.
DIRITTO DI INTERNET N. 2/2019
361
GIURISPRUDENZA PENALE In tal senso, gli indizi rappresenterebbero una «premessa (41)» o una «prova provvisoria (42)», utilizzata per l’adozione di provvedimenti restrittivi della libertà personale. Innanzitutto, l’art. 273 c.p.p. richiede una gravità intesa nel senso di idoneità a dimostrare, con un alto grado di probabilità, non solo l’esistenza di un fatto penalmente rilevante, ma anche la riconducibilità di esso ad un determinato soggetto. Gli indizi, pertanto, hanno un particolare livello quantitativo e qualitativo, poiché devono indicare, con ragionevole precisione, che il reato per cui si procede è probabilmente ascrivibile al soggetto per il quale si richiede la misura cautelare, contenendo una prognosi di colpevolezza del soggetto. A tal fine, è necessario che raggiungano un grado di consistenza tale da essere prossimo a quello indispensabile per giustificare una condanna, pur se inserito in un contesto (quello cautelare) richiedente una valutazione sommaria, cioè meno approfondita di quella normalmente effettuata nel giudizio di merito, in funzione dell’indispensabile tutela delle specifiche esigenze cautelari (43). L’art. 273, comma 1-bis, c.p.p. dispone che la valutazione dei gravi indizi di colpevolezza venga operata appli-
(41) Ubertis, voce «Prova (in generale)», in Dig. Disc. Pen., Torino, 1995, 137. (42) Così, Amicarelli, Indizio e libero convincimento, in Dialectica, 1971, 104; Battaglio, «Indizio» e «prova indiziaria» nel processo penale, cit., 375; Chelazzi, La valutazione della prova in fase istruttoria e in sede dibattimentale, in Quaderni CSM, 1987, 64; Fassone, Riflessioni sul tema della prova, in Quest. Giust., 1985, 507; Fassone, voce «Indizi», in Enc. dir., Milano, 1997, 636; Lauro, Note in tema di prova indiziaria e presunzioni, in Riv. It. dir. e proc. pen., 1980, 1409; Sanna, Parametri di valutazione della prova e riesame delle misure cautelari, in Giur. It., 1992, 272; Saponaro, Dall’indizio alla prova indiziaria: il rapporto tra probabilità e certezza, Milano, 2015, 46; Ubertis, La prova penale. Profili giuridici ed epistemologici, cit., 49. (43) Aprile, Le misure cautelari nel processo penale, Milano, 2003, 61 ss; Battaglio, «Indizio» e «prova indiziaria» nel processo penale, cit., 378; Bellantoni, Precedenti penali, qualificazioni soggettive dell’indagato e gravi indizi di colpevolezza, in Cass. pen., 1999, 2397; Buzzelli, I gravi indizi di colpevolezza nel sistema delle misure cautelari tra probabilità e certezza, in Riv. it. dir. e proc. pen., 1995, 1138; Chiavario, Misure cautelari, in Commento al nuovo codice di procedura penale, Torino, 1990, 32; De Caro, Misure cautelari personali. Presupposti e criteri applicativi, cit., 49; De Caro, Misure cautelari personali, in Aa.Vv., Manuale di diritto processuale penale, cit., 333; Dominioni, Misure cautelari personali, in Commentario del nuovo codice di procedura penale, a cura di Amodio e Dominioni, Milano, 1990, 5; Gaito, I criteri di valutazione della prova nelle decisioni de libertate, cit., 164; Garuti, La gravità degli indizi nei provvedimenti «de libertate», in Giur. it., 1993, 622; Giostra, Le norme del codice in tema di misure cautelari, in Critica dir., 1994, 36; La Rocca, L’applicazione delle misure cautelari, in Procedura penale, a cura di Gaito, cit., 439 s; Lattanzi - Lupo, Codice di procedura penale. Rassegna di giurisprudenza e di dottrina, a cura di Canzio, Spagnolo, De Amicis, Milano, 2003, 16 ss; Spangher, Più rigore e legalità nella valutazione dei gravi indizi per l’applicazione delle misure cautelari personali, in Giusto processo. Nuove norme sulla formazione e valutazione della prova, a cura di Tonini, Padova, 2001, 421; Ubertis, La prova penale. Profili giuridici ed epistemologici, cit., 47; Viggiano, Cautele personali e merito, Padova, 2004, 44 ss.
362
DIRITTO DI INTERNET N. 2/2019
cando le disposizioni degli artt. 192, commi 3 e 4, 195, comma 7, 203 e 271, comma 1, c.p.p. Prima facie, non viene indicato espressamente il comma 2 dell’art. 192 c.p.p., dove il legislatore impone che il giudice debba desumere l’esistenza di un fatto solo se gli indizi siano gravi, precisi e concordanti. Dottrina e giurisprudenza si sono chiesti se nel procedimento cautelare il giudice debba valutare solo la gravità degli indizi, ovvero, sistematicamente, compiere un vaglio anche sui requisiti della precisione e concordanza. Sul tema si sono sviluppati due orientamenti: l’uno restrittivo, l’altro estensivo. Secondo il primo orientamento, legato all’interpretazione letterale dell’art. 273 c.p.p., ai fini dell’applicazione della misura cautelare è sufficiente il requisito della sola gravità degli indizi di colpevolezza (44), poiché tali indizi «non devono avere lo stesso grado di certezza e concludenza delle prove richieste dall’art. 192 c.p.p. per l’affermazione di responsabilità dell’imputato, ma devono essere di valenza tale da potersene desumere un elevato grado di probabilità di commissione del reato ipotizzato da parte dell’indagato, non essendo richiesto dall’art. 273 c.p.p., in questa fase, il requisito della precisione e concordanza ma solo quello della gravità» (45). Un secondo indirizzo interpretativo ritiene che, ai fini dell’emissione della misura cautelare, l’art. 273 c.p.p. renda valutabile non solo la gravità, ma anche precisione e concordanza, subendo, altresì, un vaglio di tipo pluralistico, che li metta in relazione tra loro (46). Ciò perché, se i gravi indizi di colpevolezza sono elementi probatori che rendono seriamente probabile che il sottoposto a misura cautelare sarà riconosciuto, in dibattimento, responsabile per il fatto che gli è stato ascritto, non vi è ragione di ritenere che gli indizi in materia cautelare debbano avere una minore consistenza probatoria
(44) In dottrina, Ramajoli, I gravi indizi di colpevolezza e l’adozione di misure cautelari personali, in Cass. pen., 1992, 701 ss; Romano Barocci, La chiamata di correo de relato e i gravi indizi ex art. 273 comma 1 c.p.p., in Giust. Pen., 1994, 759 ss; Spangher, Le misure cautelari personali, in Procedura penale. Teoria e pratica del processo diretto da Spangher, Marandola, Garuti, Kalb, 2015, III, 12. In giurisprudenza, ex multis, Cass., 30 ottobre 2013, n. 46775, in CED; Cass., 30 gennaio 2013, n. 8125, in CED; Cass., 21 aprile 1995, n. 11, in Cass. pen., 1996, 467 ss. (45) Cfr. Cass, 4 aprile 2007, n. 23050, in CED. (46) In dottrina, Aprile, Punti fermi e incertezze interpretative in tema di regole applicabili per l’utilizzabilità e la valutazione della “prova cautelare”, in Cass. pen., 2006, 1841; Dalia - Ferraioli, Manuale di diritto processuale penale, Padova, 2018, 307 ss; Sanna, Parametri di valutazione della prova e riesame delle misure cautelari, cit., 273; Tonini, Manuale di procedura penale, cit., 441 ss. In giurisprudenza: Cass., 22 luglio 2013, n. 31448, in CED; Cass., 17 giugno 2016, n. 25239, in CED; Cass, 11 dicembre 2018, n. 55410, in CED.
GIURISPRUDENZA PENALE rispetto agli indizi che costituiranno, eventualmente, la prova indiziaria (47). Sul punto la giurisprudenza ha avuto modo di chiarire che, essendo illegittima una valutazione frazionata della pluralità di elementi indiziari acquisiti, è necessario, in un primo momento, accertare proprio il maggiore o minore livello di gravità e precisione dei singoli indizi, per poi procedere ad una valutazione globale ed unitaria, volta a superare le relative ambiguità, in una lettura complessiva che di essi chiarisca l’effettiva portata dimostrativa e la congruenza rispetto al tema d’indagine prospettato dall’accusa nel capo d’imputazione (48). Ne consegue che, in assenza della pluralità e concordanza degli indizi, la discrezionalità valutativa del giudice non può esercitarsi in quanto difetta della certezza del fatto da cui trarre il convincimento. La stessa dottrina ha chiarito che, ai fini della gravità indiziaria, da un lato, possono rilevare anche elementi desunti da circostanze che, se considerate singolarmente, risultano non altamente significative, ma che se valutate in modo globale, complessivo, organico e ordinato determinano un contesto probatorio il quale, seppur incompleto, variabile e suscettibile anche di letture alternative, allo stato degli atti «prospetta una situazione prognosticamente consistente» (49). La pronuncia in commento si inserisce proprio nel solco di tale giurisprudenza, in quanto, nell’annullare con rinvio alla sezione per il riesame del Tribunale di Venezia per un nuovo giudizio, stabilisce che «si proceda ad una valutazione coordinata e non parcellizzata dei singoli elementi indiziari, così da verificarne la valenza dimostrativa e, successivamente, procedere ad un esame globale degli stessi per valutarne la congruenza rispetto al tema di indagine prospettato nel capo di imputazione provvisoria».
6. Conclusioni
Di fronte al costante aumento dei reati cibernetici, gli operatori del diritto stanno sviluppando nuovi anticorpi. Sempre più spesso si assiste ad un’opera di virtuoso adattamento della normativa vigente alle nuove sfide poste dal progresso tecnologico. In tale contesto la giurisprudenza, lungi dal poter sviluppare un armonico dettato normativo che calzi perfettamente con le specificità di tali tipi di reato, continua
(47) Dalia - Ferraioli, Manuale di diritto processuale penale, Padova, 2013, 245. (48) Cfr. Cass. 29 aprile 2010, n. 16548, in CED. (49) Così, Spangher, Le misure cautelari personali, in Procedura penale. Teoria e pratica del processo diretto da Spangher, Marandola, Garuti, Kalb, cit., 13.
– diligentemente – ad adeguare l’esistente attraverso sopraffine tecniche ermeneutiche. Anche nel procedimento cautelare, la Suprema Corte si esprime indicando al giudice di merito una tecnica interpretativa di equilibrio, basata sul bilanciamento di valori contrapposti: da un lato, l’inviolabile diritto alla libertà personale e la presunzione di non colpevolezza; dall’altro, l’esigenza di tutela dell’accertamento del fatto attraverso la dinamica procedimentale e della collettività. Anche nei confronti di chi cela la propria identità mediante un falso profilo Facebook, di chi inganna il prossimo, presentandosi come chi non è, indossando una maschera cibernetica per nascondere se stesso, diventando «Uno, Nessuno, centomila», o ancora di chi tenta di rendersi irrintracciabile mediante tecniche di «rimbalzo» del proprio segnale, possono configurarsi i «gravi indizi di colpevolezza», così come definiti dalla teoria generale della prova penale. Nel navigare in internet, nel creare delle molteplici identità, si rischia di lasciare indizi che, qualora siano gravi, precisi e concordanti, esaminati globalmente, possono risultare congruenti con il tema d’indagine. La vicenda presa in esame ricorda tanto il famoso episodio dell’omerico poema: Ulisse, presentatosi a Polifemo sotto le mentite spoglie del signor «Nessuno», per liberarsi dalla prigionia che lo avrebbe condotto a sicura morte, lo acceca. Ma mentre Polifemo scaglia rocce contro i marosi nel tentativo di affondare la nave che sta portando in salvo l’uomo di multiforme ingegno con i suoi compagni, l’astuto ingannatore peccando di tracotanza, rivela la propria vera identità al ciclope, il quale, ormai accecato – non solo dalla rabbia – invoca il padre Poseidone affinché non faccia ritornare il greco in patria. Un indizio della vera identità di Nessuno (poiché Polifemo non poteva sapere chi effettivamente aveva di fronte a sé) che se grave, preciso e concordante così come gli altri indizi raccolti, avrebbe scatenato l’ira del Dio Poseidone. Così, anche nel processo cautelare, la Suprema Corte impone al giudice di merito di valutare in modo coordinato i singoli elementi indiziari, in modo da verificarne la valenza dimostrativa e, successivamente, procedere ad un esame globale degli stessi per valutarne la congruenza rispetto al tema di indagine prospettato nel capo di imputazione. Questa impostazione va seguita anche per l’applicazione delle misure cautelari personali in caso di reati cibernetici. Bisogna continuare, però, ad ispirarsi ai diritti ed alle garanzie costituzionali, che non possono essere derogati per il solo fine della repressione, a tutti i costi, della criminalità.
DIRITTO DI INTERNET N. 2/2019
363
GIURISPRUDENZA PENALE In fondo, di ciò è consapevole anche la Corte europea dei diritti dell’uomo, tant’è che all’art. 5, par. 1 lettera c), nel sancire il diritto alla libertà ed alla sicurezza, statuisce come per l’applicazione di misure cautelari personali sia necessario che vi siano «motivi plausibili di sospettare» che il sottoposto a misura cautelare abbia commesso un reato o che vi siano «motivi fondati di ritenere che sia necessario impedirgli di commettere un reato o di darsi alla fuga dopo averlo commesso». Ed invero, la Corte EDU, nel differenziare gli indizi necessari per l’applicazione di una misura cautelare e quelli utili per la corretta emanazione di un provvedimento conclusivo, statuisce che i presupposti probatori, nel procedimento cautelare, debbano concretizzarsi in un «ragionevole sospetto» (50) della commissione del reato «basato su fatti ed informazioni obiettive» (51). Dunque, il quantum probatorio non è necessariamente quello richiesto per un provvedimento di condanna, ma è indispensabile che vi siano elementi idonei a convincere un «osservatore imparziale che la persona interessata possa aver commesso il fatto» (52). È attraverso questi sistemi che si smonta la logica del sospetto per far assurgere l’indizio a dignità di elemento probatorio, caricatosi di massime di esperienza o di leggi scientifiche probabilistiche che lo giustificano.
Ed ecco, allora, che i gravi, precisi, concordanti e plurimi indizi, preordinati a un giudizio prognostico in termini di ragionevole ed alta probabilità di colpevolezza del chiamato, devono essere valutati globalmente, in modo da dissolverne la relativa ambiguità e inseriti in una lettura complessiva che di essi chiarisca l’effettiva portata dimostrativa. Di fatto, è il giudizio di merito ad essere orientato all’acquisizione della certezza processuale circa la colpevolezza dell’imputato e non quello cautelare. Di ciò sembra consapevole anche Omero, che da demiurgo del poema epico farà comunque ritornare a casa il protagonista, ristabilendo la pace sociale, non prima, però, di averlo fatto errare per lunghi anni sotto il peso di una misura cautelare. Un’ attenta disamina degli attuali profili applicativi induce ad evidenziare, purtroppo, come nella prassi tale misura sembri rivestire una funzione sanzionatoria che, in ragione di una lettura costituzionalmente orientata, non dovrebbe mai assumere (53), ma la cui efficacia trova conferma nella più volte contestata irragionevolezza della durata del processo con l’inevitabile maturarsi dei termini per la prescrizione.
(50) La Corte europea dei diritti dell’uomo si esprime utilizzando la locuzione «reasonable suspicion». (51) C. eur. dir. umani, 19 ottobre 2000, n. 27785/95, Wloch c. Polonia, in Leg. Pen., 2000, 909. (52) C. eur. dir. umani, 22 ottobre 1997, n. 21890/93, Erdagöz c. Turchia, in Leg. Pen., 1998, 660.
364
DIRITTO DI INTERNET N. 2/2019
(53) Per un esame approfondito delle deviazioni della prassi e della incapacità della giurisprudenza di contenere le spinte verso una deformazione del sistema contra libertatem, cfr. Amodio, Inviolabilità della libertà personale e coercizione cautelare minima, in Aa. Vv., Le fragili garanzie della libertà personale, Milano, 2014, 7 ss.
GIURISPRUDENZA PENALE
Il trattamento illecito di dati all’indomani del Regolamento privacy. Prime ipotesi applicative Tribunale
di
Bologna ; sez. penale; sentenza 10 gennaio 2019; Giudice Cenni.
Tra la precedente fattispecie ex art. 167, 2 co, d. lgs. 30 giugno 2003, n. 196, come già interpretata dalla più recente giurisprudenza di legittimità, e la nuova fattispecie vi è piena omogeneità strutturale, posto che sono analoghi tutti gli elementi costitutivi: la condotta – che nella nuova formulazione si giova di una maggiore specificazione – il dolo specifico e l’evento.
Motivi della decisione … Omissis… 3. Il punto fondamentale della presente vicenda processuale attiene alla correttezza del trattamento dei dati pubblicati con gli articoli summenzionati, da valutarsi in relazione alla normativa di cui al d.lgs. 30 giugno 2003, n. 196 (c.d. Codice privacy). Ciò posto, occorre delineare il quadro giuridico di riferimento in materia di tutela dei dati personali. 3.1. Il c.d. Codice della Privacy è stato novellato ad opera del d.lgs. 10 agosto 2018, n. 101, che ha adeguato la normativa italiana al Reg. UE 2016/679. Il quadro normativo è composito e di non facile comprensione, in quanto strutturato con la tecnica del rinvio sia a fonti interne, sia a fonti europee. Si contesta nel capo d’imputazione la fattispecie di cui all’art. 167 co. 2, disposizione anch’essa novellata dal predetto decreto, imponendo così di stabilire quale rapporto intercorra tra essa e la precedente. In tema di successione di leggi penali nel tempo è principio consolidato in giurisprudenza quello secondo cui debba farsi ricorso al c.d. criterio strutturale, essendo stato affermato che: “In materia di successione di leggi penali, in caso di modifica della norma incriminatrice, per accertare se ricorra o meno “abolitio criminis” è sufficiente procedere al confronto strutturale tra le fattispecie legali astratte che si succedono nel tempo, senza la necessità di ricercare conferme della eventuale continuità tra le stesse facendo ricorso ai criteri valutativi dei beni tutelati e delle modalità di offesa, atteso che tale confronto permette in maniera autonoma di verificare se l’intervento legislativo posteriore assuma carattere demolitorio di un elemento costitutivo del fatto tipico, alterando così radicalmente la figura di reato, ovvero, non incidendo sulla struttura della stessa, consenta la sopravvivenza di un eventuale spazio comune alle suddette fattispecie” (Cass., S.U., sent. n. 24468 del 26/02/2009; nello stesso senso già Cass., S.U., n. 25887 del 26/03/2003).
La precedente formulazione dell’art. 167, co. 2, cod. privacy descriveva la condotta nei termini seguenti: “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27, e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”. Come costantemente affermato dalla Corte di Cassazione per “nocumento” si deve intendere il pregiudizio, anche di natura non patrimoniale, subito dalla persona cui si riferiscono i dati quale conseguenza dell’illecito trattamento (da ultimo, Cass., Sez. 3, n. 29549 del 07/02/2017; nello stesso senso Sez. 5, n. 51089 del 12/05/2014; Sez. 3, n. 7504 del 16/07/2013; Sez. 3, n. 23798 del 24/05/2012; Sez. 3, n. 17215 del 17/02/2011). Peraltro, è stato anche affermato che il nocumento “può anche coincidere, nei fatti, con il c.d. “danno-evento” di matrice civilistica ma non è giuridicamente sovrapponibile ad esso e soprattutto non va confuso con il c.d. “danno-conseguenza” risarcibile ai sensi dell’art. 185 c.p., e artt. 2043 e 2059 c.c.”, in quanto ha la funzione di dare effettività alla tutela della riservatezza dei dati personali e, dunque, ha una portata più ristretta rispetto al danno civilistico (così, Cass., Sez. 3, n. 40103 del 05/02/2015). Così definita la nozione di nocumento, ne va vagliata la sua qualificazione all’interno della struttura del reato. Sin dall’entrata in vigore della fattispecie introdotta nel 2003, la S.C. si era posta il problema e lo aveva risolto in favore della tesi che qualificava il nocumento come condizione obiettiva di punibilità (Cass., Sez. 3, n. 30134 del 28/05/2004). La Corte, difatti, aveva rilevato come fosse irragionevole qualificare elemento costitutivo del reato un elemento che è posto oltre il dolo specifico di danno e, dunque, al di fuori dalla fattispecie. Nello specifico, si riteneva trattarsi di una condizione obiettiva di punibilità “intrinseca”, in quanto vòlta ad attualizzare un’offesa al bene giuridico tutelato già po-
DIRITTO DI INTERNET N. 2/2019
365
GIURISPRUDENZA PENALE tenzialmente realizzata dal fatto tipico (cfr. Sez. 3, n. 7504 del 16/07/2013; Sez. 5, n. 44940 del 28/09/2011; Sez. 3, n. 16145 del 5/03/2008; Sez. 3, n. 28680 del 26/03/2004). A tale qualificazione consegue la necessaria imputazione all’autore della condizione obiettiva di punibilità quantomeno a titolo di colpa, secondo gli insegnamenti delle note sentenze della Corte Costituzionale nn. 364 e 1085 del 1988. A fronte di tale filone ermeneutico, di recente si è consolidato un diverso orientamento interpretativo alla stregua del quale il “nocumento” è stato ritenuto un elemento costitutivo del reato (Cass., Sez. 3, n. 40103 del 5/02/2015; Sez. 3, n. 15221 del 23/11/2016). Infatti, dal punto di vista della struttura del reato, il “nocumento” rappresenta l’elemento che polarizza il disvalore dell’offesa e ad esso è deputato il compito di selezionare le sole condotte offensive ed individuare, dunque, il perimetro di punibilità della norma. Posto tale assunto di partenza, come efficacemente argomentato da Cass., Sez. 3, n. 40103 del 5/02/2015, è stato ritenuto per lo meno anomalo che “a) la condotta di illecito o comunque irregolare trattamento dei dati personali deve essere voluta mentre la conseguenza che ne deriva (che segna il superamento della soglia della penale rilevanza) possa essere imputata indifferentemente anche a titolo di colpa (e dunque non voluta); b) l’elemento soggettivo doloso è cioè necessario per condotte che non rendono attuale l’offesa e che dunque sono penalmente irrilevanti, ma se ne possa prescindere per le conseguenze (il nocumento) che, come detto, rendono concreto e attuale il danno (o il pericolo di danno) e penalmente rilevante la condotta”. Superabile è stata ritenuta l’obiezione che non possa qualificarsi come elemento costitutivo del reato un accadimento che è posto oltre il dolo specifico di danno: si oblitera che la norma prevede anche un dolo specifico di profitto, con la conseguenza che è pienamente coerente con quest’ultimo un evento di danno, stante la loro ontologica eterogeneità. Tali considerazioni sembrano essere state prontamente còlte dal legislatore che, con la novella di cui al d.lgs. 10 agosto 2018, n. 101, ha costruito una fattispecie a dolo specifico di danno o di profitto e di evento, rappresentato dal verificarsi del “nocumento” all’interessato. Ebbene, tra la precedente fattispecie, come già interpretata dalla più recente giurisprudenza di legittimità, e la nuova fattispecie vi è piena omogeneità strutturale, posto che sono analoghi tutti gli elementi costitutivi: la condotta - che nella nuova formulazione si giova di una maggiore specificazione - il dolo specifico e l’evento. Differenti risultano soltanto i riferimenti normativi cui rinvia la disposizione; tuttavia, a ben vedere, tali elementi normativi della fattispecie sono solo formalmente diversi, posto che vi è stata una mera rinume-
366
DIRITTO DI INTERNET N. 2/2019
razione dell’articolato recato dal d.lgs. 196/2003, per adeguarsi alla normativa europea di cui al citato Reg. UE 2016/679. Pure invariata è la cornice edittale della pena, che mantiene la sua estensione tra uno e tre anni di reclusione. Alla luce dei suddetti rilievi occorre, quindi, affermare che tra le due fattispecie vi è piena continuità normativa. Per vero, va osservato che, quand’anche si dovesse ravvisare una discontinuità tra le due norme in ragione della rimodulazione strutturale dell’art. 167 co. 2 cit., per il tramite della trasformazione del “nocumento” da condizione obiettiva di punibilità ad elemento costitutivo del reato, in forza dell’art. 2 co. 4 c.p., andrebbe comunque applicata al caso di specie la nuova fattispecie, senza dubbio più favorevole, in quanto l’elemento soggettivo richiesto sarebbe più rigoroso, dovendo coprire anche l’evento naturalistico. 3.2. Così delineata la disciplina applicabile ratione temporis, occorre ora calarsi nella peculiarità del caso per cui si procede. Va, anzitutto, chiarito che dall’istruttoria dibattimentale non è emerso alcun dubbio circa il fatto che (omissis) non abbia mai inteso prestare il consenso alla divulgazione dei dati personali propri e relativi a (omissis). (omissis) In ogni caso, nella presente vicenda la pubblicazione di dati personali è stata effettuata nell’esercizio della professione di giornalista, per il perseguimento delle relative finalità e per mezzo della stampa periodica (art. 136 d.lgs. 196/2003), dunque essa può avvenire “anche senza il consenso dell’interessato, purché nel rispetto delle regole deontologiche di cui all’art. 139”, fermi restando, altresì, i limiti del diritto di cronaca e dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico (art. 137 d.lgs. 196/2003). Pertanto, ai fini della valutazione della penale responsabilità degli imputati occorre verificare se i dati pubblicati con gli articoli (omissis), a firma di (omissis), attengano a fatti di interesse pubblico e se la loro pubblicazione sia avvenuta nel rispetto del codice deontologico ed entro i limiti dell’essenzialità dell’informazione. 3.3. Alla luce della documentazione in atti e di ogni altro elemento acquisito nell’istruttoria, gli articoli di giornale in oggetto non possono ritenersi espressione di un corretto esercizio del diritto di cronaca quanto al trattamento e alla diffusione dei dati personali e sanitari relativi ad (omissis) ed (omissis), in quanto difettano sia il requisito dell’interesse pubblico, sia quello dell’essenzialità dell’informazione. La difesa degli imputati ha sostenuto che vi fosse un interesse pubblico a conoscere i dati trattati negli articoli in oggetto, in quanto si trattava di fatti connessi ad altra ben più nota e tragica vicenda (il caso “(omissis)”), che aveva interessato non solo la città di (omissis), ma l’intero
GIURISPRUDENZA PENALE territorio nazionale, ed a seguito del quale tanto (omissis) quanto (omissis) erano divenuti dei personaggi pubblici. Tale argomentazione non può essere condivisa, in quanto risente di un vizio di fondo. Va premesso che il rapporto tra diritto alla riservatezza e diritto di cronaca si è sempre presentato come molto delicato e complesso, posto che il primo trova copertura costituzionale negli artt. 2, 14, 15 Cost. e nell’art. 8 CEDU, mentre il secondo è previsto dall’art. 21 Cost. e dall’art. 10 CEDU. Ne consegue che non si può affermare in via aprioristica la prevalenza di un diritto sull’altro, in quanto entrambi necessari in un ordinamento improntato a principi democratici, ma occorre sempre procedere ad un bilanciamento degli interessi in gioco. Secondo la giurisprudenza consolidata della Corte EDU, occorre determinare se l’ingerenza nella vita privata di un individuo corrisponde ad un bisogno sociale imperioso, se essa è proporzionata allo scopo legittimo perseguito e se i motivi forniti dalle autorità nazionali per giustificarla siano pertinenti e sufficienti (cfr., per tutte, Corte EDU, Sunday Times c. Regno Unito). Secondo l’assunto difensivo il trattamento dei dati personali avvenuto con gli articoli in oggetto era legittimo in quanto trovava origine in un episodio di violenza di genere avente rilevanza pubblica. Ed invero, un’aggressione (omissis) a danno di una donna non è certamente evento destinato a rimanere relegato nella sfera privata, in quanto sussiste un apprezzabile interesse a che la collettività acquisisca consapevolezza della gravità del gesto e che - tramite la stigmatizzazione dell’evento e del suo responsabile - si sviluppi una generale riprovazione verso ogni forma di violenza di genere (e di violenza in generale). Secondo la tesi difensiva, quindi, erano sicuramente meritevoli di essere diffusi sia i particolari dell’episodio in sé, sia i dati personali relativi alla (omissis) e alla (omissis). Tuttavia, occorre tenere distinti gli accadimenti che sorreggono distinti trattamenti di dati personali. Il fatto che è sotteso al presente processo, e di cui va valutata la rilevanza pubblica, è non già l’aggressione con (omissis), bensì soltanto (omissis). (omissis) Tale considerazione è del resto in linea con la circostanza che il trattamento e la diffusione di dati relativi alla salute e di dati relativi a minori è sottoposto ad una più stringente disciplina, sia in base della normativa nazionale sia in base a quella europea, in ragione dell’estrema delicatezza degli interessi in gioco (cfr., tra le altre, Corte EDU, Krone Verlag c. Austria, nonché i Considerando 35 e 38 del Reg. UE 2016/679). Quanto al requisito dell’essenzialità dell’informazione, esso è contemplato sia dall’art. 137 d.lgs. 196/2003, sia dall’art. 6 del “Codice di deontologia relativo al trattamento
dei dati personali nell’esercizio dell’attività giornalistica”, cui rinviano gli artt. 137 e 139. Inoltre, ai sensi dell’art. 2 quater, ult. co., d.lgs. 196/2003 il rispetto delle suddette regole deontologiche “costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali”. Fermi gli espressi rinvii normativi appena richiamati, i precetti recati dal codice di condotta sono da considerarsi veri e propri elementi normativi della fattispecie, stante la loro portata vincolante per i giornalisti, come affermato dalla giurisprudenza di legittimità (cfr. Cass., Sez. 3, n. 16145 del 05/03/2008: “In tema di tutela della riservatezza, l’esonero (art. 137 D.Lgs. n. 196 del 2003), per il trattamento dei dati sensibili nell’esercizio della professione di giornalista, dall’autorizzazione del Garante e dal consenso dell’interessato, non può prescindere dal rispetto, oltre che del diritto di cronaca e dell’essenzialità dell’informazione, anche dei principi stabiliti dal codice deontologico delle attività giornalistiche, cui deve riconoscersi natura di fonte normativa”). Ai sensi dell’art. 6 del suddetto codice deontologico, “La divulgazione di notizie di rilevante interesse pubblico o sociale non contrasta con il rispetto della sfera privata quando l’informazione, anche dettagliata, sia indispensabile in ragione dell’originalità del fatto o della relativa descrizione dei modi particolari in cui è avvenuto, nonché della qualificazione dei protagonisti”. Nel caso di specie, ribadita l’assenza a monte di un interesse pubblico a conoscere la notizia, non poteva ravvisarsi neppure l’essenzialità della stessa, posto che non era assolutamente indispensabile divulgare dati personali relativi ad (omissis), dati peraltro in grado di consentirne l’agevole individuazione da parte di chiunque. (omissis) Il fatto poi che detti dati riguardassero un minore di età acuisce la gravità della condotta (per un caso di diffusione di dati personali concernenti una minore, cfr. Cass., Sez. 3, 18 febbraio 2014, n. 7504, secondo la quale “L’esercizio dell’attività giornalistica se riguarda la diffusione di notizie concernenti un minore deve sempre avvenire nel rispetto di determinati limiti e, segnatamente, in quello della essenzialità dell’informazione, la cui valutazione è affidata all’apprezzamento del giudice di merito censurabile soltanto ove lo stesso sia affetto dai vizi di motivazione”). Va, infatti, ricordato che, in relazione ai minori l’art. 7 del codice deontologico per i giornalisti, intitolata ‘Tutela del minore’ dispone: ‘1. Al fine di tutelarne la personalità, il giornalista non pubblica i nomi dei minori coinvolti in fatti di cronaca, né fornisce particolari in grado di condurre alla loro identificazione. 2. La tutela della personalità del minore si estende, tenuto conto della qualità della notizia e delle sue componenti, ai fatti che non siano specificamente reati. 3. Il diritto del minore alla riservatezza deve essere sempre considerato come primario rispetto al diritto di critica e di cronaca; qualora, tuttavia, per motivi di rilevante interesse pubblico e
DIRITTO DI INTERNET N. 2/2019
367
GIURISPRUDENZA PENALE fermo restando i limiti di legge, il giornalista decida di diffondere notizie o immagini riguardanti minori, dovrà farsi carico della responsabilità di valutare se la pubblicazione sia davvero nell’interesse oggettivo del minore, secondo i principi e i limiti stabiliti dalla Carta di Treviso”. A detta disposizione va riconosciuta valenza normativa ed integrativa di clausole generali, con la conseguenza che le norme in esso contenute vanno considerate vere e proprie norme giuridiche, aventi efficacia vincolante. Per tali ragioni il trattamento avvenuto con gli articoli in parola non può dirsi rispettoso dei parametri normativi dettati dall’art. 167 d.lgs. 196/2003. 3.4. Quanto al nocumento, ne è stata provata la sussistenza e derivazione causale dalla pubblicazione dei tre articoli sulla testata suddetta. Dalla testimonianza della (omissis) e del dott. (omissis) si evince come (omissis), a seguito della lettura degli articoli, sviluppò un profondo stato di angoscia, insonnia, disturbi alimentari ed un senso di inadeguatezza nei confronti della (omissis). (omissis) A causa della pubblicazione del suo nome, della sua età, del lavoro che svolgeva e di informazioni riguardanti la sua residenza, la (omissis) iniziò a temere di essere identificata e di subire delle ritorsioni da terzi, annullando conseguentemente la sua vita sociale ed uscendo solo in compagnia di familiari o di amici. Peraltro, tali timori trovavano fondamento nelle allarmanti telefonate di minaccia che ricevette (omissis) e nei commenti che comparvero sui social network, che non a caso riportavano preoccupanti allusioni circa il futuro della (omissis). Lo stato di profondo malessere, infine, è ulteriormente comprovato dalla circostanza che la (omissis) fece ricorso a prolungate cure psicologiche presso il dott. (omissis) e presso il prof. (omissis). 3.5. All’esito del dibattimento non residuano dubbi nemmeno in ordine alla prova dell’elemento psicologico del reato. Le considerazioni svolte in merito all’insussistenza dell’interesse pubblico e dell’essenzialità dell’informazione in qualche modo danno anche contezza dell’intento che l’articolista e, più in generale, il quotidiano si prefiggevano con la pubblicazione degli articoli in questione. Essi, privi di un reale contenuto “informativo” ed evidentemente volti alla ricerca di aspetti torbidi, non avevano altra funzione se non quella di alimentare le vendite della testata giornalistica, collegando gli accadimenti ad una diversa e nota vicenda, che aveva avuto grande risalto mediatico non solo nel territorio (omissis), ma su tutto il territorio nazionale. D’altra parte, dalle stesse dichiarazioni rese dal teste (omissis) emerge che per i giornalisti del Quotidiano era assolutamente pacifico non solo il fatto che la (omissis)
368
DIRITTO DI INTERNET N. 2/2019
non voleva essere coinvolta in alcuna cronaca giudiziaria, ma anche il fatto che (omissis) costituiva un accadimento autonomo rispetto al grave fatto di cronaca giudiziaria; ciononostante, in redazione si era deciso di sfruttare l’accadimento a fini giornalistici. […] Da quanto emerso in dibattimento non può affermarsi che l’articolista ebbe la specifica volontà di arrecare un nocumento alla (omissis) e alla (omissis), ma certamente egli se ne rappresentò la possibilità ed accettò, quindi, una tale eventualità, pur di conseguire il risultato sperato. Tanto emerge dalla dichiarazione della (omissis), che ha riferito di essere stata contattata per ben due volte dalla redazione de “(omissis)”, ma di aver declinato ogni invito, circostanza che, oltre a rendere palese la consapevolezza in capo al giornalista di un’avversa volontà della (omissis), depone anche a favore di una certa pervicacia nel perseguimento del proprio intento ad ogni costo. Neppure poteva essere ignorata da parte del giornalista la circostanza che, almeno in un contesto di una tranquilla cittadina (omissis), ogni notizia in qualche modo collegata al caso “(omissis)” ne potesse risultare amplificata e che, di conseguenza, anche i relativi effetti stigmatizzanti potessero propagarsi su persone diverse da (omissis), ma ad (omissis) comunque riconducibili. Infine, la prova di un’avvenuta analisi costi-benefici (si veda sul richiamo a detto canone, Cass. S.U. n. 38343 del 24/4/2014) circa le conseguenze della pubblicazione degli articoli emerge dalle dichiarazioni del teste della difesa (omissis). Egli ha riferito che i membri della redazione di (omissis) si interrogarono sull’opportunità e sulla liceità della pubblicazione dei dati della (omissis) e della (omissis) e risolsero tale dubbio scegliendo di procedere alla pubblicazione. Nessun dubbio, dunque, vi può essere circa il fatto che (omissis) avesse previsto ed accettato, come conseguenza della pubblicazione degli articoli, un possibile effetto negativo su (omissis) e sulla (omissis). Peraltro, occorre precisare che il dolo di arrecare nocumento, nella forma del dolo eventuale, non è incompatibile con il dolo specifico di profitto, posto che la previsione e volizione del soggetto agente cade su eventi diversi: l’uno potenziale in quanto illuminato dal fuoco del dolo specifico (il profitto), l’altro reale in quanto elemento costitutivo del reato (il nocumento). In questo senso si è espressa anche la giurisprudenza di legittimità: “Il “nocumento” deve essere previsto e voluto come conseguenza della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell’azione stessa; è sufficiente, quando ciò non accada (quando cioè il fine sia quello di trarre profitto dall’illecito trattamento dei dati o di recare danno a persona diversa da quella oggetto di trattamento), che il nocumento sia anche solo previsto e
GIURISPRUDENZA PENALE accettato come conseguenza della condotta” (Cass., Sez. 3, n. 40103 del 5/2/2015). 3.6. Tutti questi elementi impongono di ritenere illecito il trattamento dei dati avvenuto con gli articoli a firma (omissis). Ritiene, tuttavia, il Giudice che debba fare eccezione l’articolo di “spalla” pubblicato nel trafiletto laterale sull’edizione locale, per la semplice ragione che in questo caso non si ravvisa un illecito trattamento di dati personali, bensì unicamente un commento sulla relazione affettiva tra (omissis) e (omissis) che, per quanto fondato su asserzioni del tutto arbitrarie dell’articolista, non integra reato. (omissis) va ritenuto responsabile dei reati quale autore materiale degli articoli. Quanto alla posizione di (omissis), all’epoca dei fatti direttore della testata, si impone una digressione, posto che il capo di imputazione non brilla per chiarezza. (omissis) 4. Ritenuta la responsabilità dell’imputato (omissis) nei termini sopra enunciati, e ritenuto che la fattispecie in contestazione sia integrata dalla pubblicazione di ogni articolo con il quale avvenga un illecito trattamento di dati, si deve ritenere che i reati commessi siano i seguenti: - uno integrato dall’articolo dal titolo “(omissis)”; - l’altro integrato dall’articolo dal titolo “(omissis)”. Tra dette distinte condotte delittuose deve ravvisarsi il vincolo della continuazione, posta la contestualità di esse e la loro direzione verso i medesimi soggetti passivi. L’assenza di precedenti in capo al (omissis) consente di riconoscere le attenuanti generiche. Pertanto, tenuto conto di tutti gli elementi di cui all’art. 133 c.p., appare congruo irrogare la pena di mesi 9 di reclusione, così determinata: ritenuto la continuazione ed individuata l’ipotesi più grave nell’articolo apparso sull’edizione nazionale, pena base anni 1 di reclusione, diminuita per le attenuanti generiche a mesi 8 di reclusione, aumentata a mesi 9 di reclusione per il secondo reato. Per quanto attiene a (omissis), prendendo le mosse dalla pena minima di mesi 8 di reclusione (anni 1, diminuita fino ad un terzo), diminuita per le attenuanti generiche a mesi 6 di reclusione, aumentata ex art. 81 cpv. c.p. a mesi 7 di reclusione. In ragione della personalità dell’imputato (omissis) e dell’assenza di precedenti può operarsi una prognosi negativa circa la commissione di ulteriori reati e concedere, quindi, la sospensione condizionale della pena. Ritiene il Giudice di potere pervenire allo stesso risultato quanto a (omissis), posto che egli non ha mai fruito della sospensione e dovendo ritenersi non ostative le precedenti condanne a pene pecuniarie (Cass., Sez. 7, n. 37402 del 30/06/2016). Ai sensi dell’art. 535 c.p.p. alla condanna segue il pagamento delle spese processuali.
5. L’esito del giudizio impone l’accoglimento della domanda civilistica proposta dalla parte civile. Il pregiudizio non patrimoniale derivante dal reato di trattamento illecito dei dati personali incide sulla lesione del “diritto alla protezione dei dati personali”, previsto dalla disciplina sulla Privacy, che è evidentemente connesso a diritti inviolabili della persona, quali la riservatezza, l’identità personale e la reputazione, i quali a loro volta trovano riferimento normativo nell’art. 2 della Costituzione e nell’art. 8 della Carta dei diritti fondamentali dell’Unione europea. Una recente sentenza della S.C. (Cass., 15.7.2014 n. 16133) ha ritenuto che “nella sua attuale ontologia giuridica (…) il danno risarcibile non si identifica con la lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione”, chiarendo poi che “gravità della lesione e serietà del danno sono (…) connotazioni logicamente indipendenti dalla selezione (legislativa o giudiziale) del diritto/interesse giuridicamente rilevante e suscettibile di tutela aquiliana ai sensi dell’art. 2059 c.c., nel senso che esse presuppongono che tale selezione sia già avvenuta”. Nel caso di specie è sicuramente provato un pregiudizio non patrimoniale patito da (omissis) ed esso è anche caratterizzato dai canoni di gravità e serietà delineati dalla Corte. Si richiama, in proposito, quanto già osservato al paragrafo 3.4. in ordine alle conseguenze negative sortite dalla pubblicazione degli articoli di stampa. Ritiene, dunque, il Giudice debba essere risarcito il danno non patrimoniale occorso a (omissis) e alla (omissis), non essendo dubitabile che la diffusione dei dati summenzionati abbia costituito un’indebita intrusione nella loro sfera intima e privata, contribuendo così a screditarle, per via dell’immediato loro accostamento alla persona di (omissis), e a consentire a terzi di identificarle. In particolare, dalla sincera e credibile deposizione di (omissis) è emersa la sofferenza interiore occorsa in seguito alla pubblicazione degli articoli de quibus e i risvolti anche psicologici conseguenti, per affrontare i quali ha dovuto far ricorso a cure psicologiche. Pertanto, tenuto conto dell’ambito di diffusione locale e nazionale del quotidiano, della rilevanza attribuita alla notizia (tra cui un titolo in prima pagina a caratteri grandi), al numero delle pubblicazioni (si tratta come osservato di due articoli del (omissis)) ed alla rilevanza dell’illecito, appare equo liquidare in via puramente equitativa la somma richiesta dalla parte civile, pari ad € 15.000,00. Su detta somma vanno calcolati gli interessi legali e la rivalutazione monetaria dalla data dell’illecito, secondo il costante insegnamento della Suprema Corte. Non si deve concedere la provvisoria esecutività del relativo capo della sentenza, dovendo ritenersi che le condizioni personali degli imputati offrano allo stato sufficienti garanzie di adempimento.
DIRITTO DI INTERNET N. 2/2019
369
GIURISPRUDENZA PENALE (omissis) P.Q.M. Visti gli artt. 533, 535 c.p.p., dichiara (omissis) e, previa derubricazione del fatto ai sensi degli artt. 57 c.p. e 167, comma 2, d.lgs. 196/2003, (omissis) responsabili dei reati a loro ascritti, fatta eccezione per l’articolo di cui al capo terzo del presente dispositivo, uniti dal vincolo della continuazione e, concesse le attenuanti generiche, li condanna rispettivamente alla pena di mesi 9 di reclusione e mesi 7 di reclusione, oltre al pagamento delle spese processuali. Visto l’art. 163 ss. c.p., ordina la sospensione condizionale della pena per entrambi gli imputati.
Visto l’art. 530 c.p.p., assolve gli imputati dal reato loro ascritto limitatamente all’articolo dal titolo (omissis), perché il fatto non sussiste. Visti gli artt. 538 e 541 c.p.p., condanna gli imputati in solido a pagare a (omissis) la somma di euro 15.000,00 a titolo di risarcimento del danno, oltre alla rivalutazione monetaria e agli interessi legali, questi ultimi calcolati sulla somma mese per mese rivalutata, in entrambi i casi con decorrenza dalla data del fatto illecito al saldo; condanna i medesimi alla rifusione delle spese sostenute dalla parte civile nel giudizio, che liquida in complessivi euro 3.870,00, oltre a spese generali, i.v.a e c.p.a.
IL COMMENTO
di Alessandra Santangelo Sommario: 1. La vicenda. – 2. L’uso (o abuso) della tecnica del rinvio. – 3. Il «nocumento» come evento del reato. – 4. La configurabilità di una fattispecie «bifronte». La decisione in commento costituisce uno dei primi esempi in cui il giudice di prime cure si confronta con i nodi ermeneutici relativi all’art 167, come risulta all’esito dell’intervento di modifica operato dal d. lgs. 10 agosto 2018, n. 101, che adegua la normativa nazionale al Regolamento privacy. L’organo giudicante è chiamato a decifrare il contenuto del precetto e a ridefinirne la portata applicativa, tenendo a mente i caratteri del tutto peculiari del “nuovo” elemento soggettivo. Diventa, così, possibile apprezzare in concreto gli effetti della riforma e iniziare a saggiare il portato empirico di una fattispecie che ha fatto, e continua a fare, molto discutere. The judgement involves the offence established by Art. 167, modified by the legislative decree no. 101 of 2018 which adapts national legislation to GDPR. The judge is required to depict the crime’s content, assessing the actus reus and the “new” mens rea provided by the law. Thus, it became possible to appraise the effective implementation of an offence which has been, and continues to be, subject to discussion.
1. La vicenda
Nella decisione in commento, il Tribunale di Bologna condanna un giornalista e il direttore di un noto quotidiano, a diffusione locale e nazionale, rispettivamente a 9 e 7 mesi di reclusione, con pena sospesa, per il reato di trattamento illecito di dati. Trova, così, applicazione la disposizione dell’art. 167, comma 2, “nuovo” Codice Privacy, introdotta in sede di adeguamento della normativa interna al Regolamento (UE) 2016/679 (1). La sentenza ha a oggetto la pubblicazione di due articoli (2) cui la testata conferisce particolare rilievo (il secon-
do è pubblicato in prima pagina, taglio alto dell’edizione locale) e che, tuttavia, ad avviso del giudice di prime cure, si sono rivelati «privi di un reale contenuto “informativo” ed evidentemente volti alla ricerca di aspetti torbidi che non avevano altra funzione se non quella di alimentare le vendite della testata giornalistica». Ebbene, la vicenda tratta di una delle numerose pubblicazioni su supporto cartaceo che offende il bene riservatezza personale (3). Nondimeno, è evidente l’importanza che la sulla relazione affettiva […] che, per quanto fondato su asserzioni del tutto arbitrarie dell’articolista, non integra reato».
(1) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (2) Gli articoli per cui gli imputati sono tratti a giudizio sono in origine tre, venendo però la rilevanza della terza pubblicazione esclusa in radice dall’autorità giudicante dal momento che non è possibile riscontrare «un illecito trattamento di dati personali, bensì unicamente un commento
370
DIRITTO DI INTERNET N. 2/2019
(3) Quanto alla nozione di riservatezza declinata in relazione alla disposizione di cui all’art. 167, d. lgs. 30 giugno 2003, n. 196: Tripodi, La Cassazione alla prova dello spamming, tra presunzioni e torsioni, in Dir. pen. cont. – Riv. trim., 2013, 391 s.; Manna, Il quadro sanzionatorio penale ed amministrativo del codice sul trattamento dei dati personali, in Dir. inf. e inform., 2003, 729, 754 s., ove l’A. fa riferimento alla natura “anfibia” del bene giuridico protetto dalla disposizione, «in bilico tra la tutela di mere funzioni e la protezione di un assai più pregnante bene giuridico individuale»; nonché con riguardo alle disposizioni introdotte dalla l. 31 dicembre 1996, n. 675, Veneziani, Beni giuridici protetti e tecniche di tutela
GIURISPRUDENZA PENALE decisione assume in prospettiva futura, per saggiare il grado di primo recepimento della riforma: non solo si tratta di uno dei primi casi in cui l’organo giudicante si impegna nell’interpretazione della nuova disposizione dell’art. 167 bensì, pure, sembra ragionevole intravedere una crescita esponenziale del rilievo assunto da tale nodo ermeneutico nel momento in cui a essere coinvolta sia una testata online piuttosto che un blog o un social network, ossia un mezzo a diffusione pressoché illimitata (4). Tornando al fatto oggetto di giudizio, occorre precisare che, a monte, si colloca un caso di aggressione che aveva destato l’attenzione della cronaca nazionale, rimanendo per un certo tempo protagonista del dibattito pubblico. Per contro, la vicenda che ci occupa si pone a valle di detto accadimento, giacché gli articoli sub iudice contengono informazioni personali di alcuni personaggi “secondari”, solo latamente coinvolti dalla narrazione principale. In particolare, viene ripetutamente pubblicata la descrizione dettagliata di un avvenimento privato in spregio all’espresso dissenso dei soggetti de quo a diffondere tali notizie, alla particolare sensibilità dei dati che permettevano di risalire all’abitazione e alla professione dell’interessato nonché, perfino, alla minore età di una delle persone coinvolte. In seguito alle pubblicazioni, la persona offesa, in precedenza pressoché sconosciuta alle cronache, ha sviluppato il costante timore di venire identificata, seguita o di subire vessazioni in ragione della connessione – per quanto labile – con il caso di aggressione di genere. Lo stato di ansia si è sviluppato tanto da ostacolare i gesti più ordinari del vivere sociale: il soggetto in questione, infatti, ha preso a uscire di casa solo se accompagnato, anche per recarsi al lavoro, e ha assunto comportamenti dettati da profondo stress, arrivando a intraprendere un percorso di assistenza psicologica per tentare di far fronte allo svilimento indotto dalla pubblicazione degli articoli in esame.
In ragione di tali premesse, la ricostruzione giudiziaria si preoccupa di vagliare la applicabilità del reato di trattamento illecito di dati, tenendo a mente i mutamenti intervenuti sulla norma in questione in seguito al novum di matrice europea. In merito, è noto, il d. lgs. 10 agosto 2018, n. 101 (5), si è sforzato di coordinare la disciplina interna con la “rivoluzione” prospettica innescata dall’entrata in vigore del c.d. GDPR (6), diritto derivato direttamente vincolante per ciascuno Stato Membro (7). Quanto alla materia penale, è utile premettere che il legislatore europeo si è limitato ex art. 84 a concedere agli Stati un ampio margine di discrezionalità nel valutare se inserire «altre sanzioni» – ossia anche sanzioni penali – da affiancare a quelle amministrative specificamente elencate nell’articolo 83 del Regolamento (8). Al riguardo, superando il parere contrario del gruppo studi (9), il legislatore delegato ha riproposto quasi interamente il previgente impianto sanzionatorio, apportando alcune significative modifiche nonché introducendo nuove fattispecie di rilevante impatto (10).
penale nella nuova legge sul trattamento dei dati personali: prime osservazioni, in Riv. trim. dir. pen. ec., 1997, 136 ss. Per una ricostruzione extra-penale della nozione, si veda Finocchiaro, Introduzione al Regolamento europeo – sulla protezione dei dati, in Nuove leggi civ. comm., 2017, 4 ss.
(8) In riferimento alle sanzioni amministrative si veda Ratti, Il regime sanzionatorio previsto dal Regolamento per l’illecito trattamento dei dati personali, in Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, cit., 595 ss.
(4) Invero, i rapporti tra la stampa cartacea e quella online sono stati oggetto di numerosi interventi della Corte di legittimità, anche a Sezioni Unite (Cass. pen., Sez. Un., 29 gennaio 2015 (dep. 17 luglio 2015), n. 31022, Pres. Santacroce, Rel. Milo), allo scopo di evitare estensioni analogiche con effetti in malam partem di fattispecie sviluppate in relazione al mezzo materiale: si veda, inter multis, Piattoli, Il sequestro preventivo di una pagina web: il funzionalismo della rete e le sue intersezioni nelle dinamiche processuali, in Dir. pen. e proc., 2016, 201 ss.; Paoloni, Le sezioni unite si pronunciano per l’applicabilità alle testate telematiche delle garanzie costituzionali sul sequestro della stampa: ubi commoda, ibi et incommoda?, in Cass. pen., 2015, 3454 ss. Non potendo in questa sede procedere a una ricognizione approfondita del problema, basti ricordare che gli approdi giurisprudenziali più recenti, sul punto, mostrano alcune aperture come rileva Petrini, Diffamazione online: offesa recata con “altro mezzo di pubblicità” o col mezzo della stampa?, in Dir. pen. e proc., 2017, 1485 ss.
(9) In conformità ai più recenti interventi di dequotazione delle norme incriminatrici in illeciti amministrativi (se non addirittura civili), i lavori della commissione di studio istituita con d.M. 14 dicembre 2017, infatti, avevano proposto di depenalizzare la fattispecie di cui all’art. 167, d. lgs. n. 196 del 2003, in ragione della limitata operatività dimostrata sul piano pratico, del rischio di incorrere nel divieto di bis in idem - cui è fatto espresso riferimento nel considerando n. 149 del Regolamento - in relazione alle speculari ipotesi sanzionate in via amministrativa, nonché in ossequio alle istanze di sussidiarietà ed extrema ratio proprie delle sanzioni penali. Si veda, in argomento, la relazione tecnica disponibile sul sito <http://www.camera.it>.
(5) Il decreto è stato adottato in conseguenza della legge di delegazione europea 25 ottobre 2017, n. 163, la quale – ferma la applicabilità diretta del Regolamento – domandava al Governo con specifico riferimento al sistema sanzionatorio di «adeguare, nell’ambito delle modifiche al codice di cui al decreto legislativo 30 giugno 2003, n. 196, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse» (art. 13, lett. e). (6) Da intendere quale acronimo di General Data Protection Regulation. (7) Per approfondire, si veda, inter multis, Finocchiaro, Riflessioni sul poliedrico Regolamento europeo sulla privacy, in Quaderni cost., 2018, 895 ss. e Id. (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017; Cuffaro, Il diritto europeo sul trattamento dei dati personali, in Contratto e Impresa, 2018, p. 1098 ss.; Piraino, Il regolamento generale sulla protezione dei dati personali e i diritti dell’interessato, in Nuove leggi civ. comm., 2017, 369 ss.; Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali – Il Regolamento europeo 2016/679, Torino, 2016.
(10) Con particolare riferimento agli illeciti penali, si veda Manes - Mazzacuva, GDPR e nuove disposizioni penali del Codice privacy, in Dir. pen. e proc., 2019, 171 ss. Quanto, poi, al rischio che il legislatore delegato
DIRITTO DI INTERNET N. 2/2019
371
GIURISPRUDENZA PENALE In tale contesto, il reato di trattamento illecito di dati è riformulato (11) dando seguito, da un lato, alla interpretazione evolutiva seguita dalle più recenti pronunce di legittimità e, dall’altro, alle critiche di scarsa determinatezza prospettate dalla dottrina (12). Ebbene, la decisione in commento considera entrambe le prospettive in maniera approfondita potendosi quindi procedere, nell’analisi che segue, all’esame delle diverse questioni che vengono via via sottoposte all’attenzione dell’organo giudicante.
2. L’uso (o abuso) della tecnica del rinvio
Come rileva l’autorità giudicante, la complessità dell’impianto sanzionatorio posto a presidio della riservatezza personale è aggravata dalla scelta del legislatore di fare ampio uso della tecnica del rinvio (13). Tale opzione non costituisce certo una novità atteso che trovava spazio già nel previgente Codice Privacy e, ancor prima, in riferimento alle norme incriminatrici previste dalla l. 31 dicembre 1996, n. 675 (14). Del resto, la previsione di fattispecie meramente “sanzionatorie” accomuna numerosissime norme penali complementari. Ciò posto, neppure si può ignorare la particolare fatica che è imposta all’interprete a fronte della ultima riforsia incorso in un “eccesso di delega”: Cottu, L’impatto del Regolamento generale sulla protezione dei dati sul sistema punitivo a livello eurounitario e sovranazionale, in Mantelero - Poletti (a cura di), Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, Pisa, 279 s. (11) D. lgs. n. 101 del 2018, art. 15. (12) Manes - Mazzacuva, GDPR e nuove disposizioni penali, cit., 173; Troncone, Il delitto di trattamento illecito dei dati personali, Torino, 2011, 133 ss. Ma, in questo senso, già Sgubbi, Profili penalistici, in Riv. trim. dir. e proc. civ., 1998, 755 s., ove l’A. osservava, con riferimento alla l. 31 dicembre 1996, n. 675, che «[…] le norme penali della l. n. 675 sono norme già di per sé sanzionatorie, sanzionatorie dell’inosservanza di precetti contenuti nella parte organizzativa della legge» con la conseguenza che «[l]’intreccio delle norme si trasforma in un inestricabile groviglio ove si disperdono legalità e certezza». Tali rilievi paiono quanto mai attuali e, del resto, la simmetria strutturale ha fatto sì che le fattispecie incriminatrici di cui alla l. n. 675 del 1996 siano state considerate in rapporto di continuità normativa rispetto alle disposizioni del Codice privacy del 2003: Cass., sez. III, sent. 26 marzo 2004, n. 28680. (13) Si legge, infatti, nella decisione che «il quadro normativo è composito e di non facile comprensione, in quanto strutturato con la tecnica del rinvio sia a fonti interne, sia a fonti europee». In senso critico rispetto all’uso di tale tecnica in riferimento ai reati posti a presidio della riservatezza personale, si veda Seminara, Appunti in tema di sanzioni penali nella legge sulla privacy, in Riv. civ. prev., 1998, 912. (14) Sul punto, magistrale l’analisi di Sgubbi, Profili penalistici, cit., 754, ove l’A. individua come “co-legislatore” non solo l’Unione europea, bensì pure l’Autorità garante, ricostruendo un sistema di “rinvii a catena” che origina inevitabili torsioni rispetto alla garanzia del nullum crimen. Al riguardo, poi, mette in luce le difficoltà generate dal rinvio a norme extra-penali «congegnate avendo a mente esigenze e schemi propri di un settore affatto peculiare» Veneziani, Beni giuridici protetti e tecniche di tutela penale, cit., 143. Quanto all’elemento soggettivo di tale fattispecie, si veda Blaiotta, Note a margine di una sentenza di merito in tema di comunicazione illecita di dati personali, in Cass. pen., 2003, p. 2058 ss.
372
DIRITTO DI INTERNET N. 2/2019
ma: al fine di ricostruire il precetto penale, è necessario vagliare le norme generali puntualmente richiamate dalla disposizione, la presenza di previsioni del Regolamento privacy direttamente applicabili, l’eventuale incidenza dei provvedimenti del Garante. Nel dettaglio, infatti, l’art. 167, comma 2, contestato agli imputati, si riferisce ai dati personali di cui agli artt. 9 e 10 del Regolamento, allorché intervenga violazione delle norme che disciplinano il trattamento per motivi di interesse pubblico rilevante (art. 2 sexies), il trattamento relativo a condanne penali e reati (art. 2 octies), le misure di garanzia inerenti al trattamento di dati genetici, biometrici e relativi alla salute (art. 2 septies) oppure, ancora, in caso di trattamento che presenti rischi elevati per eseguire compiti di interesse pubblico (art. 2 quinquiesdecies). Al riguardo, il giudice di prime cure afferma che «i riferimenti normativi cui rinvia la disposizione […] sono solo formalmente diversi», interpretando le modifiche intervenute come «mera rinumerazione dell’articolato recato dal d. lgs. 196/2003, per adeguarsi alla normativa europea […]». Tale passaggio, invero, pare fin troppo rapido: non è da trascurare, da un lato, l’impegno profuso dal legislatore nazionale per selezionare in maniera più puntuale le condotte penalmente rilevanti (15) e, dall’altro, la complessità della descrizione normativa delle condotte illecite. A quest’ultimo riguardo, infatti, concentrando l’analisi sul secondo comma dell’art. 167, è da osservare che, mentre le condotte penalmente rilevanti mantengono pressoché in toto un analogo riferimento nella normativa previgente, la disciplina extra-penale inerente a tali peculiari categorie di dati è significativamente mutata (16). Viene da domandarsi, allora, se non sia necessario soffermarsi più attentamente sul punto e ricostruire le oscillazioni subite dalle singole norme richiamate per valutare le eventuali ricadute sulla fattispecie sanzionatoria. Detto altrimenti, al variare della norma che integra il precetto penale, non può che trasformarsi il contenuto specifico della violazione con conseguenti rilevanti
(15) Il processo è particolarmente evidente rispetto al primo comma dell’art. 167 che, nella nuova versione, manca di richiamare quelle previsioni dedicate alla enunciazione di principi generali del trattamento (in ptc. artt. 18, 19 e 23) che avevano reso, nella pratica, quasi impossibile definire in maniera esatta i confini applicativi della fattispecie: al riguardo, Manes - Mazzacuva, GDPR e nuove disposizioni penali, cit., 172. (16) Piraino, Il regolamento generale sulla protezione dei dati personali, cit., 373, 381, 392 ss.; Granieri, Il trattamento di categorie particolari di dati personali nel Reg. UE 2016/679, in Nuove leggi civ. comm., 2017, 167 ss.; Busacca, Le “categorie particolari di dati” ex art. 9 GDPR. Divieti, eccezioni e limiti alle attività di trattamento, in Ordine internazionale e diritti umani, 2018, p. 44 ss.
GIURISPRUDENZA PENALE problemi in punto di interpretazione della fattispecie incriminatrice (17). Tali considerazioni, del resto, non possono che riflettersi sul rapporto tra la norma neo introdotta e la previgente fattispecie, come si tenterà di riassumere in chiusura del paragrafo che segue. Inoltre, insistere nell’utilizzo della tecnica del rinvio genera conseguenze nefaste anche rispetto alla prevedibilità del tipo di illecito. Dovendo in queste sede limitarsi a cenni sintetici, la difficoltà che incontra l’interprete nell’individuare in termini esatti la condotta penalmente sanzionata, capace di chiamare in causa tanto norme sovranazionali quanto provvedimenti dell’autorità amministrativa, non può che acuirsi in riferimento al destinatario del comando normativo, non necessariamente un esperto del settore giuridico di riferimento ma, anzi, con tutta probabilità un professionista di altra caratura (i.e. giornalista, esercente la professione sanitaria (18)). Ne deriva il rischio di compromissione della conoscibilità ex ante del precetto, con conseguente violazione del nullum crimen, laddove la sanzione penale si riduca a un accadimento minaccioso che incombe “a sorpresa” sul cittadino.
3. Il nocumento come evento del reato
Prendendo le mosse dall’interpretazione letterale, non può che osservarsi che la nuova disposizione innova significativamente la fattispecie antecedente individuando nel “nocumento” (19) non più una condizione obiettiva di punibilità (20), di regola ritenuta intrinseca (21), bensì l’evento del reato. (17) A ben guardare, del resto, non sembra perdere di attualità quanto scritto in riferimento al previgente Codice privacy, ossia che «la disposizione dell’art. 167 Cdp cela, sotto una descrizione apparentemente sintetica del fatto – ripartita in due commi e sostanzialmente rivolta al trattamento delle categorie di dati personali comuni e sensibili –, una molteplicità di fatti punibili che talvolta sconfina nella indeterminatezza del precetto penale a causa di una scarsa propensione a essere dettagliatamente individuati»: Troncone, Il delitto di trattamento illecito dei dati personali, cit., 133. (18) Quanto al dibattito rispetto ai soggetti attivi del reato in questione, si veda Lotierzo, Trattamento illecito dei dati personali: la punibilità di un reato comune nel filtro dei meccanismi di selezione creati dal legislatore, in Cass. pen., 2012, 1487 ss. In riferimento alla definizione di “titolare del trattamento”, invece, è il legislatore europeo a precisarne i confini ex art. 4, n. 7, Regolamento (UE) 2016/679. (19) Con riferimento alla nozione estesa di “nocumento”, sembra di per sé esaustiva la ricostruzione compiuta nella motivazione della decisione in commento, a cui si fa rinvio. (20) Con riguardo alla distinzione tra “meritevolezza di pena” e “bisogno di pena”, Manna, Il quadro sanzionatorio penale ed amministrativo del codice sul trattamento dei dati personali, cit., 752. (21) Cass., sez. III, sent. 26 marzo 2004, n. 28680, cit.; Cass., sez. III, sent. 17 febbraio 2011, n. 17215; Cass., sez. III, ord. 16 luglio 2013, n. 7504. In origine, il nocumento costituiva invero circostanza aggravante della fattispecie ex art. 35, l. n. 675 del 1996: Cass., sez. III, sent. 28 maggio 2004, n. 30134. Si veda sul punto, Lotierzo, Del nocumento nell’illecito trattamento dei
Sennonché, l’autorità giudicante non manca di considerare l’ampio dibattito che ha anticipato, e in un certo senso giustificato, la riforma intervenuta nel 2018. La giurisprudenza di legittimità, infatti, già da tempo interpretava la fattispecie del 2003 come reato di evento, a dispetto della indicazione formale fornita dalla disposizione (22). Il nocumento, in particolare, era considerato quale elemento strutturale capace di giustificare «la punibilità del reato, cui cioè [era] attribuito il compito di selezionare le condotte offensive da quelle che non lo [erano]» (23). Ad avviso della Suprema Corte, sarebbe altrimenti risultata contraddittoria l’imputazione dolosa del trattamento illecito, di per sé inidoneo a integrare la fattispecie, rispetto al canone della mera colpa ritenuto sufficiente per contestare quelle conseguenze dannose (in ultima analisi, il danno evento) che rendevano penalmente rilevante il fatto di reato (24). Ne deriva che la nuova norma incriminatrice altro non fa che positivizzare tale soluzione ermeneutica, ponendola al riparo da eventuali oscillazioni interpretative future. In questo modo, del resto, ha luogo un’apprezzabile selezione delle condotte penalmente rilevanti essendo l’autorità inquirente tenuta a provare non solo il nesso causale tra condotta illecita ed evento bensì, pure, che il nocumento sia oggetto del dolo e non imputabile, invece, a titolo di mera colpa – come accadeva seguendo la tesi del carattere intrinseco della condizione obiettiva di punibilità. Inoltre, quale elemento costitutivo del reato, il nocumento contribuisce a definire il disvalore della fattispecie, agevolando l’individuazione del bene protetto. La questione, nondimeno, incide sulla individuazione della norma applicabile, cioè a dire sulla definizione del rapporto intertemporale tra le due fattispecie. Ebbene, la decisione in commento si sofferma a lungo sul punto, osservando che solo nel caso in cui si riscontri continuità normativa in base al criterio strutturale, sarà possibile applicare il principio della retroattività in mitius di cui all’art. 2, comma 4 c.p. (25).
dati personali ovvero dell’esigenza di ascendere alle origini di una incriminazione, in Cass. pen., 2013, 1590 ss.; Antonini, Il trattamento illecito di dati personali nel codice della privacy: i nuovi confini della tutela penale, in Dir. pen. e proc., 2005, 343 ss. e, con specifico riferimento alla normativa del 1996, Veneziani, Beni giuridici protetti e tecniche di tutela penale, cit., 170 ss. (22) Cass., sez. III, sent. 5 febbraio 2015, n. 40103; Cass., sez. III, sent. 23 novembre 2016, n. 15221. (23) Cass., 5 febbraio 2015, n. 40103, cit. La Corte di legittimità ricorda, inoltre, che altre ipotesi nell’ordinamento vedono coesistere il medesimo oggetto per quanto riguarda evento e dolo specifico: in particolare, sono richiamate le fattispecie di cui agli artt. 3, 4 e 5, d. lgs. 10 marzo 2000, n. 74. (24) Ibid. (25) In argomento, si veda, inter multis, Pulitanò - Dodaro, voce Art. 2, in Forti - Seminara - Zuccalà (a cura di), Commentario breve al Codice penale, Milano, 2017, 24 ss; Pulitanò, Legalità discontinua? Paradigmi e problemi
DIRITTO DI INTERNET N. 2/2019
373
GIURISPRUDENZA PENALE In particolare, il giudice riscontra una «piena omogeneità strutturale» tra le due ipotesi di reato, ponendo l’accento sulla collocazione del nocumento entro la struttura dell’illecito e sulla capacità di tale elemento di incidere sul disvalore del fatto già con riguardo alla formulazione del 2003. È in questa sede, dunque, che l’organo giudicante richiama l’evoluzione interpretativa seguita dalla Corte di ultima istanza, condividendone a pieno gli ultimi approdi ermeneutici giacché «il “nocumento” rappresenta l’elemento che polarizza il disvalore dell’offesa e ad esso è deputato il compito di selezionare le sole condotte offensive ed individuare, dunque, il perimetro di punibilità della norma». Al riguardo, la conclusione che vede nel caso di specie un’ipotesi di successione di leggi nel tempo sembra condivisibile e, altresì, in linea con l’intento del legislatore di evitare vuoti normativi, tanto da osteggiare in maniera risoluta l’ipotesi di depenalizzazione (cfr. § 1), e assicurare piuttosto che il diritto alla privacy continui a essere assistito da una sanzione penale. Meno lineare pare, invece, il passaggio successivo ove il giudice sostiene che sarebbe applicabile la norma più favorevole anche laddove fallisse il riscontro circa la effettiva corrispondenza strutturale tra le norme incriminatrici (26). In tale ipotesi, si dovrebbe piuttosto parlare di abolitio, ancorché parziale, e contestuale introduzione di una nuova fattispecie, con la conseguente inapplicabilità di quest’ultima se non ai fatti commessi in seguito alla sua entrata in vigore.
4. La configurabilità di una fattispecie «bifronte»
Un altro interessante nodo interpretativo attiene all’elemento soggettivo del reato. Nella decisione in esame, infatti, il giudice riconosce che il giornalista ha agito non avendo la «specifica volontà di arrecare un nocumento alla [persona offesa] ma certamente egli se ne rappresentò la possibilità ed accettò, quindi, una tale eventualità, pur di conseguire il risultato sperato». Ne discende che la istruttoria porta a ritenere provato il solo dolo eventuale di danno nei confronti dell’imputa-
di diritto intertemporale, in Riv. it. dir. e proc. pen., 2002, 1270 ss.; Padovani, Tipicità e successione di leggi penali. La modificazione legislativa degli elementi della fattispecie incriminatrice o della sua sfera di applicazione, nell’ambito dell’art. 2, 2 e 3 comma, c.p., in Riv. it. dir. e proc. pen., 1982, 1354 ss. (26) Si legge nella decisione che «quand’anche si dovesse riscontrare una discontinuità tra le due norme in ragione della rimodulazione strutturale dell’art. 167 co. 2 cit., per il tramite della trasformazione del “nocumento” da condizione obiettiva di punibilità ad elemento costitutivo del reato, in forza dell’art. 2 co. 4 c.p. andrebbe comunque applicata al caso di specie la nuova fattispecie, senza dubbio più favorevole, in quanto l’elemento soggettivo richiesto sarebbe più rigoroso, dovendo coprire anche l’evento naturalistico».
374
DIRITTO DI INTERNET N. 2/2019
to (27) e, tuttavia, il giudice conclude per la sussistenza del reato ex art. 167, comma 2. Né, invero, avrebbe potuto fare altrimenti atteso il peculiare costrutto normativo che si rinviene in punto di dolo. Il reato di trattamento illecito di dati, infatti, da un lato, sanziona chi abbia agito al fine di «trarre per sé o per altri profitto», cagionando un nocumento alla persona offesa. Al contempo, però, è parimenti sanzionato chi agisce al fine di «arrecare danno all’interessato» (28), laddove il medesimo evento di danno si verifichi come conseguenza della condotta. Orbene, la speculare sovrapposizione tra l’oggetto del dolo specifico e l’evento di reato dà origine a non pochi interrogativi. In particolare, a dispetto della formulazione letterale, la fattispecie si potrebbe intendere sorretta da dolo generico con riferimento al danno (29), richiedendo il legislatore che lo stesso si verifichi perché il reato possa dirsi integrato (30). In tal modo, però, perderebbe di consistenza l’idea di utilizzare il criterio soggettivo quale strumento di selezione delle condotte penalmente rilevanti (31): ipotizzando, infatti, il caso in cui il reo abbia agito per arrecare danno a un terzo, ossia per una finalità estranea a quelle previste dalla disposizione in esame, non pare potersi escludere la rilevanza penale della condotta laddove si provi innanzi al giudice il dolo di danno nei confronti dell’interessato, oltre naturalmente all’effettiva sussistenza dell’evento di reato.
(27) Il caso del direttore del giornale è da mantenere distinto trattandosi di incriminazione ex art. 57 c.p. (28) Si è, invero, diffuso in dottrina un intenso dibattito circa l’opportunità di distinguere o accomunare i concetti di “danno” e “nocumento”. Al riguardo, pare da condividere la tesi secondo cui tali nozioni siano in questo frangente sovrapponibili: Sgubbi, Profili penalistici, cit., 762 s. (29) Si veda Tripodi, La Cassazione alla prova dello spamming, cit., 393. (30) Interessante in tal senso l’argomento speso dalla Corte di legittimità in relazione alla previgente disposizione dell’art. 167 per sostenere che il nocumento non fosse da intendere quale evento bensì condizione obiettiva di punibilità: «ove si consideri la generica previsione di un nocumento, estranea dalla sfera dell’offesa, giacché il reato sarebbe configurabile come contrario all’interesse protetto della norma senza bisogno di pensarlo subordinato alla condizione richiesta, la previsione del dolo specifico di danno, [è] rilevante solo se si dia per presupposta la natura di condizione obiettiva di punibilità del nocumento, giacché, altrimenti, sarebbe contraddittorio prevedere quale evento del reato uno dei fini perseguito dal soggetto, che, inserito nel dolo specifico, è notoriamente al di fuori della consumazione del reato, e la stessa struttura del periodo, appare preferibile la configurazione dello stesso ai sensi dell’art. 44 c.p.», Cass., sez. III, sent. 28 maggio 2004, n. 30134, cit. Sul punto, Antonini, Il trattamento illecito di dati personali, cit., 345; Manna, Il quadro sanzionatorio penale ed amministrativo del codice sul trattamento dei dati personali, cit., 748. (31) Sulla opportunità di fattispecie a dolo specifico – a fronte di formulazioni che attingono ampiamente alla tecnica del rinvio – al fine di «meglio precisare i contorni delle incriminazioni»: Veneziani, Beni giuridici protetti e tecniche di tutela penale, cit., 141 s.
GIURISPRUDENZA PENALE In altri termini, come osservato dalla dottrina (32), sembra possibile ricondurre all’art. 167 due distinte ipotesi: la prima richiede un quid pluris, cioè a dire che sia raggiunta la prova del dolo specifico di profitto, oltre a quella del dolo di danno, la seconda, invece, si accontenta del dolo generico e della prova del collegamento eziologico tra condotta ed evento. Si delinea, così, l’immagine di una fattispecie “bifronte”, che mostra un volto diverso a seconda del punto di vista prescelto dallo spettatore. Di talché, sarà ancora una volta l’autorità giudiziaria a dover attribuire consistenza alle due diverse fisionomie – solo si pensi alla necessità di calibrare il trattamento sanzionatorio – in ragione dello scorcio delineato dal caso concreto. Quanto alla decisione in commento, il giudice afferma che la pubblicazione di articoli di un tale tenore non poteva che avere lo scopo di «alimentare le vendite della testata giornalistica», riconoscendo così almeno implicitamente un fine di profitto. Pertanto, una volta provata l’imputazione a titolo di dolo eventuale dell’evento del reato, l’autorità giudicante ritiene inequivocabilmente sussistere l’elemento soggettivo e, quindi, compiutamente integrata la fattispecie de quo (33). In ragione di tali argomenti, il giudice condanna entrambi gli imputati ma opta, come accennato in apertura, per la sospensione condizionale della pena, formulando una prognosi negativa rispetto alla futura commissione di ulteriori reati. A tal riguardo, rimane da domandarsi se effettivamente sia da condividere la scelta del legislatore nazionale di mantenere il “doppio binario sanzionatorio”, nonostante il poderoso rafforzamento degli illeciti amministrativi realizzato dal Regolamento privacy. Considerando, infatti, la ridotta portata applicativa dell’art. 167 nella giurisprudenza di legittimità degli ultimi anni (34), pare lecito chiedersi se l’opzione di
depenalizzazione, che avrebbe ancor più valorizzato l’intervento amministrativo (35), non sarebbe stata più funzionale rispetto allo scopo di proteggere il diritto alla riservatezza attraverso sanzioni dissuasive, proporzionate ed effettive (36). Il persistere della fattispecie incriminatrice, infatti, desta non poche perplessità rispetto al generale divieto di bis in idem previsto ex art. 4, Prot. 7, alla CEDU, e art. 50, Carta di Nizza, non potendosi escludere in radice che i rimedi introdotti dalla legislazione attuale (37) rappresenteranno argine sufficiente per tenere l’ordinamento italiano al riparo da eventuali condanne da parte delle Corti sovranazionali (38). Nondimeno, senza voler spostare il focus dal caso che ci occupa, l’esito del giudizio lascia intravvedere come, anche seguendo l’esclusivo interesse della vittima, un effettivo ristoro al pregiudizio subito sia offerto, più che dalla sanzione penale (sospesa), dal risarcimento del danno computato dall’organo giudicante in euro 15.000,00. Trova conferma, così, la tesi per cui in un settore caratterizzato da elevate punte di tecnicismo, in costante e rapido aggiornamento, sia l’ablazione patrimoniale il rimedio meglio in grado di raggiungere, al contempo, lo scopo di deterrenza e di soddisfazione delle istanze della persona offesa dall’illecito, in ossequio del resto alla scelta sovranazionale di utilizzare la sanzione pecuniaria (amministrativa) quale principale strumento di contrasto ai comportamenti contra ius.
(32) Per dirla con Manes - Mazzacuva, GDPR e nuove disposizioni penali, cit., 173, sono ravvisabili «due fattispecie alternative tra loro, una caratterizzata dallo scopo di profitto e dal dolo generico di nocumento – si deve ritenere, quindi, anche nella forma del dolo eventuale – ed una in cui la finalità dell’agente, coincidendo con l’oggetto del dolo generico, di fatto lo qualifica come intenzionale».
(35) Le sanzioni amministrative, del resto, sono da applicare retroattivamente in caso di depenalizzazione secondo quanto espressamente previsto dall’art. 24, d. lgs. n. 101 del 2018.
(33) Il giudice richiama, sul punto, la decisione della Corte di legittimità 5 febbraio 2015, n. 40103, cit., che espressamente ammette la compatibilità tra il fine specifico di profitto – o di danno a un terzo – e il dolo generico, quand’anche eventuale, in relazione all’evento di reato: «il “nocumento” deve essere previsto e voluto come conseguenza della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell’azione stessa; è sufficiente, quando ciò non accada (quando cioè il fine sia quello di trarre profitto dall’illecito trattamento dei dati o di recare danno a persona diversa da quella oggetto di trattamento), che il nocumento sia anche solo previsto e accettato come conseguenza della condotta». (34) L’esame delle più recenti pronunce di legittimità rivela come numerosissime siano le ipotesi in cui il giudizio si chiude con il proscioglimento dell’imputato oppure con una condanna a pena sospesa. In aggiunta,
non è possibile distinguere casi che dimostrino un peculiare disvalore della condotta (se non si considerano i processi ove il giudice ritiene integrate altre, e ben più significative, fattispecie di reato) potendo, anzi, riscontrarsi diverse ipotesi che coinvolgono vicende piuttosto bagatellari: si consideri Cass., sez. III, sent. 30 marzo 2017, n. 38226; Cass., sez. III, sent. 23 novembre 2016, n. 15221, cit.
(36) Si vedano, in merito, le disposizioni del Regolamento (UE) 2016/679, artt. 83, 84, cons. 152. In riferimento, nondimeno, alla utilità di conservare le fattispecie in parola per fronteggiare i complessi fenomeni di revenge porn e cyberbullismo: Cottu, L’impatto del Regolamento generale sulla protezione dei dati sul sistema punitivo, cit., 281. In argomento, afferma che «la lesione della privacy è solo un punto di partenza per riconoscere una carica offensiva ben più penetrante, incentrata sulla integrità individuale»: Caletti, Revenge porn e tutela penale, in Dir. pen. cont. – Riv. trim., 2018, 83. (37) Il comma 6 dell’art. 167 istituisce un coordinamento quanto al trattamento sanzionatorio tra illecito penale e amministrativo nelle forme di una circostanza attenuante e, al contempo, inevitabilmente ammette il possibile concorso tra i due modelli sanzionatori in relazione al medesimo fatto. (38) Manes - Mazzacuva, GDPR e nuove disposizioni penali, cit., 176 ss.
DIRITTO DI INTERNET N. 2/2019
375
GIURISPRUDENZA AMMINISTRATIVA
Evoluzione tecnologica e trasparenza nei procedimenti “algoritmici” Consiglio di S tato; sezione IV; sentenza 8 aprile 2019, n. 2270; Pres. Carbone; Est. Lamberti; M. A. e altri (Avv. Ursini) c. Ministero dell’Istruzione dell’Università e della Ricerca (Avvocatura Generale dello Stato). La decisione amministrativa automatizzata, assunta mediante l’utilizzo di un algoritmo, comporta che: a) l’algoritmo e le “regole” in esso espresse siano “conoscibili” secondo una declinazione rafforzata del principio di trasparenza, anche se in un linguaggio differente da quello giuridico; b) la motivazione del provvedimento sia “traslata” nell’algoritmo; c) la regola algoritmica sia soggetta alla piena cognizione, e al pieno sindacato, del giudice amministrativo.
…Omissis… 7 – I ricorrenti hanno lamentato che l’intera procedura di assunzioni era stata gestita da un sistema informatico per mezzo di un algoritmo (il cui funzionamento sarebbe rimasto sconosciuto) ed era sfociata in provvedimenti privi di alcuna motivazione, senza l’individuazione di un funzionario dell’amministrazione che abbia valutato le singole situazioni ed abbia correttamente esternato le relative determinazioni provvedimentali. Secondo gli appellanti, tale algoritmo avrebbe disposto i trasferimenti in una provincia piuttosto che in un’altra, in un posto di sostegno piuttosto che in un posto comune, senza tener conto delle preferenze indicate nelle rispettive domande di trasferimento, senza alcuna motivazione e in difetto della benché minima trasparenza. A dimostrazione di ciò gli appellanti hanno rappresentato che a soggetti meglio posizionati in graduatoria, e destinatari di proposta di assunzione a tempo indeterminato in fase “B”, erano state assegnate, ai fini dell’individuazione delle sedi di servizio, province lontane da quella di residenza. Ad ulteriore dimostrazione dell’irrazionalità degli esiti della procedura, gli appellanti hanno dedotto che i docenti immessi in ruolo in fase B, non solo erano stati destinati su posti mai richiesti, ma si erano visti sopravanzare per le assunzioni a tempo indeterminato in fase “C” da docenti che li seguivano in graduatoria con un punteggio inferiore, i quali, a distanza di poche settimane, hanno beneficiato di posti nella provincia di residenza e nella disciplina e nell’ordine di scuola espressi nella domanda di assunzione. 8 - Il tenore dei motivi di ricorso e la peculiarità della controversia in esame impongono, in via preliminare, le considerazioni di seguito esposte. In generale, non può essere messo in discussione che un più elevato livello di digitalizzazione dell’amministrazione pubblica sia fondamentale per migliorare la qualità dei servizi resi ai cittadini e agli utenti.
Il Codice dell’amministrazione digitale rappresenta un approdo decisivo in tale direzione. I diversi interventi di riforma dell’amministrazione susseguitisi nel corso degli ultimi decenni, fino alla legge n. 124 del 2015, sono indirizzati a tal fine; nella medesima direzione sono diretti gli impulsi che provengono dall’ordinamento comunitario (vedasi tra l’altro Comunicazione della Commissione sull’Agenda digitale europea). Anche la dottrina si è interrogata sulle opportunità fornite dalle nuove tecnologie, elaborando la nozione di “e-government”, ovvero l’introduzione di modelli decisionali e di forme gestionali innovative, che si avvalgano della tecnologie informatiche ed elettroniche. Con tale termine, in estrema sintesi, si vuole indicare il processo di informatizzazione della pubblica amministrazione che, per usare le parole della Comunicazione del 26 settembre 2003 della Commissione Europea, può essere definito come “l’uso delle tecnologie dell’informazione e della comunicazione nelle pubbliche amministrazioni, coniugato a modifiche organizzative ed all’acquisizione di nuove competenze al fine di migliorare i servizi pubblici ed i processi democratici e di rafforzare il sostegno alle politiche pubbliche” (Comunicazione della Commissione Europea del 26 settembre 2003 «Il ruolo dell’e-governement per il futuro dell’Europa»). 8.1 - Per quanto attiene più strettamente all’oggetto del presente giudizio, devono sottolinearsi gli indiscutibili vantaggi derivanti dalla automazione del processo decisionale dell’amministrazione mediante l’utilizzo di una procedura digitale ed attraverso un “algoritmo” – ovvero di una sequenza ordinata di operazioni di calcolo che in via informatica sia in grado di valutare e graduare una moltitudine di domande. L’utilità di tale modalità operativa di gestione dell’interesse pubblico è particolarmente evidente con riferimento a procedure seriali o standardizzate, implicanti l’elaborazione di ingenti quantità di istanze e caratterizzate dall’acquisizione di dati certi ed oggettivamente
DIRITTO DI INTERNET N. 2/2019
377
GIURISPRUDENZA AMMINISTRATIVA comprovabili e dall’assenza di ogni apprezzamento discrezionale. Ciò è, invero, conforme ai canoni di efficienza ed economicità dell’azione amministrativa (art. 1 l. 241/90), i quali, secondo il principio costituzionale di buon andamento dell’azione amministrativa (art. 97 Cost.), impongono all’amministrazione il conseguimento dei propri fini con il minor dispendio di mezzi e risorse e attraverso lo snellimento e l’accelerazione dell’iter procedimentale. Per questa ragione, in tali casi – ivi compreso quello di specie, relativo ad una procedura di assegnazione di sedi in base a criteri oggettivi – l’utilizzo di una procedura informatica che conduca direttamente alla decisione finale non deve essere stigmatizzata, ma anzi, in linea di massima, incoraggiata: essa comporta infatti numerosi vantaggi quali, ad esempio, la notevole riduzione della tempistica procedimentale per operazioni meramente ripetitive e prive di discrezionalità, l’esclusione di interferenze dovute a negligenza (o peggio dolo) del funzionario (essere umano) e la conseguente maggior garanzia di imparzialità della decisione automatizzata. In altre parole, l’assenza di intervento umano in un’attività di mera classificazione automatica di istanze numerose, secondo regole predeterminate (che sono, queste sì, elaborate dall’uomo), e l’affidamento di tale attività a un efficiente elaboratore elettronico appaiono come doverose declinazioni dell’art. 97 Cost. coerenti con l’attuale evoluzione tecnologica. 8.2 - L’utilizzo di procedure “robotizzate” non può, tuttavia, essere motivo di elusione dei princìpi che conformano il nostro ordinamento e che regolano lo svolgersi dell’attività amministrativa. Difatti, la regola tecnica che governa ciascun algoritmo resta pur sempre una regola amministrativa generale, costruita dall’uomo e non dalla macchina, per essere poi (solo) applicata da quest’ultima, anche se ciò avviene in via esclusiva. Questa regola algoritmica, quindi: possiede una piena valenza giuridica e amministrativa, anche se viene declinata in forma matematica, e come tale, come si è detto, deve soggiacere ai principi generali dell’attività amministrativa, quali quelli di pubblicità e trasparenza (art. 1 l. 241/90), di ragionevolezza, di proporzionalità, etc.; non può lasciare spazi applicativi discrezionali (di cui l’elaboratore elettronico è privo), ma deve prevedere con ragionevolezza una soluzione definita per tutti i casi possibili, anche i più improbabili (e ciò la rende in parte diversa da molte regole amministrative generali); la discrezionalità amministrativa, se senz’altro non può essere demandata al software, è quindi da rintracciarsi al momento dell’elaborazione dello strumento digitale; vede sempre la necessità che sia l’amministrazione a compiere un ruolo ex ante di mediazione e composizio-
378
DIRITTO DI INTERNET N. 2/2019
ne di interessi, anche per mezzo di costanti test, aggiornamenti e modalità di perfezionamento dell’algoritmo (soprattutto nel caso di apprendimento progressivo e di deep learning); deve contemplare la possibilità che – come è stato autorevolmente affermato – sia il giudice a “dover svolgere, per la prima volta sul piano ‘umano’, valutazioni e accertamenti fatti direttamente in via automatica”, con la conseguenza che la decisione robotizzata “impone al giudice di valutare la correttezza del processo automatizzato in tutte le sue componenti”. In definitiva, dunque, l’algoritmo, ossia il software, deve essere considerato a tutti gli effetti come un “atto amministrativo informatico”. Ciò comporta, ad avviso del collegio, un duplice ordine di conseguenze. 8.3. – In primo luogo, come già messo in luce dalla dottrina più autorevole, il meccanismo attraverso il quale si concretizza la decisione robotizzata (ovvero l’algoritmo) deve essere “conoscibile”, secondo una declinazione rafforzata del principio di trasparenza, che implica anche quello della piena conoscibilità di una regola espressa in un linguaggio differente da quello giuridico. Tale conoscibilità dell’algoritmo deve essere garantita in tutti gli aspetti: dai suoi autori al procedimento usato per la sua elaborazione, al meccanismo di decisione, comprensivo delle priorità assegnate nella procedura valutativa e decisionale e dei dati selezionati come rilevanti. Ciò al fine di poter verificare che gli esiti del procedimento robotizzato siano conformi alle prescrizioni e alle finalità stabilite dalla legge o dalla stessa amministrazione a monte di tale procedimento e affinché siano chiare – e conseguentemente sindacabili – le modalità e le regole in base alle quali esso è stato impostato. In altri termini, la “caratterizzazione multidisciplinare” dell’algoritmo (costruzione che certo non richiede solo competenze giuridiche, ma tecniche, informatiche, statistiche, amministrative) non esime dalla necessità che la “formula tecnica”, che di fatto rappresenta l’algoritmo, sia corredata da spiegazioni che la traducano nella “regola giuridica” ad essa sottesa e che la rendano leggibile e comprensibile, sia per i cittadini che per il giudice. 8.4 – In secondo luogo, la regola algoritmica deve essere non solo conoscibile in sé, ma anche soggetta alla piena cognizione, e al pieno sindacato, del giudice amministrativo. La suddetta esigenza risponde infatti all’irrinunciabile necessità di poter sindacare come il potere sia stato concretamente esercitato, ponendosi in ultima analisi come declinazione diretta del diritto di difesa del cittadino, al quale non può essere precluso di conoscere le modalità (anche se automatizzate) con le quali è stata in concreto assunta una decisione destinata a ripercuotersi sulla sua sfera giuridica.
GIURISPRUDENZA AMMINISTRATIVA Solo in questo modo è possibile svolgere, anche in sede giurisdizionale, una valutazione piena della legittimità della decisione; valutazione che, anche se si è al cospetto di una scelta assunta attraverso una procedura informatica, non può che essere effettiva e di portata analoga a quella che il giudice esercita sull’esercizio del potere con modalità tradizionali. In questo senso, la decisione amministrativa automatizzata impone al giudice di valutare in primo luogo la correttezza del processo informatico in tutte le sue componenti: dalla sua costruzione, all’inserimento dei dati, alla loro validità, alla loro gestione. Da qui, come si è detto, si conferma la necessità di assicurare che quel processo, a livello amministrativo, avvenga in maniera trasparente, attraverso la conoscibilità dei dati immessi e dell’algoritmo medesimo. In secondo luogo, conseguente al primo, il giudice deve poter sindacare la stessa logicità e ragionevolezza della decisione amministrativa robotizzata, ovvero della “regola” che governa l’algoritmo, di cui si è ampiamente detto. 9 – Alla luce delle riflessioni che precedono, l’appello deve trovare accoglimento, sussistendo nel caso di specie la violazione dei principi di imparzialità, pubblicità e trasparenza, poiché non è dato comprendere per quale ragione le legittime aspettative di soggetti collocati in una determinata posizione in graduatoria siano andate deluse. Infatti, l’impossibilità di comprendere le modalità con le quali, attraverso il citato algoritmo, siano stati assegnati i posti disponibili, costituisce di per sé un vizio tale da inficiare la procedura. Non solo, gli esiti della stessa paiono effettivamente connotati dall’illogicità ed irrazionalità denunciate dalle appellanti, essendosi verificate situazioni paradossali per cui docenti con svariati anni di servizio si sono visti assegnare degli ambiti territoriali mai richiesti e situati a centinaia di chilometri di distanza dalla propria città di residenza, mentre altri docenti, con minori titoli e minor anzianità di servizio, hanno ottenuto proprio le sedi dagli stessi richieste. A questo riguardo, l’art. 1, comma 100, della legge n. 107/15, prevede che: “i soggetti interessati dalle fasi di cui al comma 98, lettere b) e c), se in possesso della relativa specia-
lizzazione, esprimono l’ordine di preferenza tra posti di sostegno e posti comuni. Esprimono, inoltre, l’ordine di preferenza tra tutte le province, a livello nazionale”; al successivo comma 101 si prevede che: “la provincia e la tipologia di posto su cui ciascun soggetto è assunto sono determinate scorrendo, nell’ordine, le province secondo le preferenze indicate e, per ciascuna provincia, la tipologia di posto secondo la preferenza indicata”. I risultati scaturiti dalla procedura automatizzata – di cui, come già detto, non è dato comprendere i criteri che li hanno determinati – paiono porsi in contrasto con tali diposizioni, che ai fini dell’assegnazione prevedono lo scorrimento dei posti secondo le preferenze indicate da ciascun aspirante. L’assunto che precede è indirettamente confermato dal decreto del dirigente dell’Ufficio III dell’USR Puglia n. 13891 del 30 agosto 2018, che ha rettificato le assegnazioni delle sedi di servizio a seguito dell’ordinanza di questa Sezione con la quale si ordinava al Ministero, “al di là di automatismi informatici, di offrire agli appellanti sedi disponibili in loco più coerenti con il loro profilo lavorativo e le loro richieste, secondo l’ordine di graduatoria poziore ad essi spettante”. 10 – In definitiva, l’appello deve trovare accoglimento e per l’effetto, in riforma della sentenza di primo grado, deve trovare accoglimento il ricorso di primo grado con conferma dell’assegnazione degli appellanti alle sedi disponibili in loco coerenti con l’ordine di graduatoria e le rispettive preferenze. Le spese di lite del doppio grado di giudizio, liquidate come in dispositivo, seguono la soccombenza. P.Q.M. Il Consiglio di Stato in sede giurisdizionale (Sezione Sesta), definitivamente pronunciando, accoglie l’appello e, per l’effetto, in riforma della sentenza impugnata, accoglie il ricorso di primo grado. Condanna l’amministrazione soccombente alla refusione delle spese di lite del doppio grado di giudizio, che si liquidano in complessivi €6.000, oltre accessori come per legge. Ordina che la presente sentenza sia eseguita dall’autorità amministrativa. …Omissis…
DIRITTO DI INTERNET N. 2/2019
379
GIURISPRUDENZA AMMINISTRATIVA
IL COMMENTO di Stefano Crisci
Sommario: 1. Premessa. – 2. Necessità di una disciplina normativa e di una regolazione del fenomeno. – 3. Vantaggi dell’automazione e maggiore garanzia di imparzialità. – 4. Algoritmo come “atto amministrativo informatico”. – 5. Regola algoritmica accessibile, conoscibile, e “giustiziabile. – 6. Machine learning e trasposizione motivazionale. La sentenza tratta il delicato problema della automazione delle procedure amministrative, fornendo una pietra miliare sulla interpretazione e declinazione dei provvedimenti adottati mediante le stesse e sui conseguenti profili di responsabilità amministrativa. L’affidamento di processi decisionali ad un “algoritmo” comporta che, il risultato derivante da tale applicazione debba essere considerato un “atto amministrativo informatico” con conseguente rispetto dei princìpi che conformano il nostro ordinamento e che regolano lo svolgersi dell’attività amministrativa, con conseguenti obblighi di trasparenza e conoscibilità. The judgment deals with the issue of the administrative procedures automation, setting a milestone on the interpretation and declination of the measures adopted through them and on the consequent profiles of administrative responsibility. The assignment of decision-making processes to an “algorithm” means that the result deriving from this application must be considered as an “administrative IT act” with the consequent compliance with the principles which constitute our system and govern the administrative activity together with the relevant obligation of transparency and publicity.
1. Premessa
Come rilevato dal Parlamento Europeo nella Risoluzione del 16 febbraio 2017, recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica, “l’umanità si trova ora sulla soglia di un’era nella quale robot, androidi e altre manifestazioni dell’intelligenza artificiale sembrano sul punto di avviare una nuova rivoluzione industriale, suscettibile di toccare tutti gli strati sociali, rendendo imprescindibile che la legislazione ne consideri le implicazioni e le conseguenze legali ed etiche, senza ostacolare l’innovazione”. Nella medesima Risoluzione, dopo la premessa secondo cui “lo sviluppo della robotica e dell’intelligenza artificiale è potenzialmente in grado di trasformare le abitudini di vita e lavorative, innalzare i livelli di efficienza, di risparmio e di sicurezza e migliorare il livello dei servizi, nel breve e medio termine”, si rileva che esse “promettono di portare benefici in termini di efficienza e di risparmio economico, non solo in ambito manifatturiero e commerciale, ma anche in settori quali i trasporti, l’assistenza medica, l’istruzione e l’agricoltura, consentendo di evitare di esporre esseri umani a condizioni pericolose, come nel caso della pulizia di siti contaminati da sostanze tossiche”; si sottolinea inoltre che, se da un lato l’elevato livello di tecnologia ormai raggiunta pone le macchine nelle condizioni di poter “apprendere” e “decidere” in maniera indipendente generando risparmi e benefici di carattere economico, per altro verso suscita una serie di “preoccupazioni circa gli effetti diretti e indiretti sulla società nel suo complesso”.
2. Necessità di una disciplina normativa e di una regolazione del fenomeno
Nonostante, infatti, il mondo stia investendo in maniera massiccia nello studio e nell’applicazione dell’Intelligenza Artificiale, ad oggi, non esiste una disciplina
380
DIRITTO DI INTERNET N. 2/2019
normativa che dia dei parametri certi di riferimento in merito a tutte le implicazioni che tale attività può produrre. Non v’è dubbio infatti, come sostenuto (1), e come da ultimo ha sottolineato anche la Commissione Europea, vi sarà la necessità di un’Autorità per la regolazione dell’intelligenza artificiale e di tutti i fenomeni connessi al mercato (2). Come noto, i sistemi neurali complessi e gli algoritmi sono in grado di consentire alle macchine di «imparare», nel senso di affinare le tecniche di ricerca e di risoluzione di problemi rispetto agli obiettivi dati, attraverso un sofisticato sistema di correlazione dei big data. È proprio in relazione all’utilizzo di tali dati, che diventa fondamentale la corretta progettazione dell’algoritmo e, conseguentemente, un controllo sullo stesso (3). È evidente, infatti, che uno dei problemi più importanti da risolvere, dato il continuo e crescente sviluppo e utilizzo dell’intelligenza artificiale è la necessità di fare in modo, che le relative applicazioni rispondano a criteri etici accettabili, al fine di tutelare i cittadini da ogni possibile deriva ed abuso derivante da tali applicazioni. (1) Cfr. Crisci, Intelligenza artificiale ed etica dell’algoritmo, in Foro Amm., 2018, 1787. (2) Cfr. Com. Comm., COM(2018) 237 final del 25.4.2018, “L’intelligenza artificiale per l’Europa”. (3) Cfr. Asimov, nel racconto «Circolo vizioso» del 1942 aveva teorizzato quelle che vengono definite «Le 3 leggi della robotica», al fine di facilitare una futura convivenza tra uomo e macchina. In queste leggi si afferma che: Prima Legge «Un robot non può crear danno a un essere umano né può permettere che a causa del proprio mancato intervento un essere umana riceva danno». Seconda Legge «Un robot deve obbedire agli ordini impartiti dagli essere umani purché tali ordini non contravvengano alla prima legge». Terza Legge «Un robot deve proteggere la propria esistenza purché questo non contrasti con la prima e la seconda legge».
GIURISPRUDENZA AMMINISTRATIVA Qualsiasi cosa accada in questo processo tecnologico virtuoso, appare fondamentale salvaguardare il necessario spazio per il libero movimento circolare costantemente in atto, fra Diritto ed Economia, in cui l’interprete non deve mai perdere di vista il contesto nel quale le regole sono applicate e i fatti sono decifrati. Tutto ciò, in un mondo in cui fasi di regolazione e liberalizzazione si rincorrono, alla ricerca di un equilibrio all’interno di un market place, in continua evoluzione e soggetto a feroci attacchi inferti dai centri del potere economico, o da isolati e cinici avventurieri, che deve costantemente difendersi in nome dei principi fondamentali della nostra società: libertà, trasparenza, proporzionalità, sussidiarietà, tanto faticosamente raggiunti e allo stato ineludibili, per salvaguardare il bene comune, il patrimonio, i diritti fondamentali dell’uomo e del consumatore finale, in senso ampio. In tale contesto, osservo, che è in atto un processo di continua trasformazione dell’attività giuridica, in cui il diritto amministrativo e il diritto civile, sembrano cedere ciascuno, progressivamente alcuni spazi prima riservati, a favore di un nuovo diritto Comune (4). Esso diventa sempre di più, a mio avviso, una sorta di piattaforma, sempre più vasta, in cui si incontreranno, nutrendosi di volta in volta del proprio ambito di competenza, la libertà di iniziativa privata e la sua regolazione. Ciò, naturalmente, deve avvenire in un mercato globale ideale, in cui la ricerca del bene della vita, deve necessariamente declinarsi in una sempre più sottile ed efficiente forma di tutela del consumatore. In questo contesto, di volta in volta, un determinato diritto, diventerà recessivo a fronte di un altro, il quale perderà improvvisamente vigore e forza, di fronte a quello immediatamente sovraordinato, sol che lo si guardi dalla corretta prospettiva (si immagini infatti il diritto di proprietà intellettuale, o alla segretezza industriale, di fronte al diritto di accesso al codice sorgente dell’algoritmo come si vedrà infra). In questi ambiti, il giurista è chiamato a “riflettere in una prospettiva duplice: da un lato volta al presente, e perciò allo studio e all’interpretazione delle utilizzazioni attuali e potenziali delle tecniche e degli strumenti informatici, siccome recepite nel diritto positivo, in funzione di decisioni amministrative sempre più effettivamente partecipate e condivise dai cittadini; dall’altro, proiettata verso un futuro dell’amministrazione che ai più pare tuttora avveniristico, ma che non può sorprenderci né coglierci impreparati” (5).
(4) In tal senso Cirillo, Sistema istituzionale di diritto comune, Milano 2018. (5) In tal senso, cfr. Viola, L’intelligenza artificiale nel procedimento e nel processo amministrativo: lo stato dell’arte, in <Federalismi.it>, n. 21/2018 e Id., Combinazione di dati e prevedibilità della decisione giudiziaria, in questa Rivista, 2019, 215.
Come noto, le prime applicazioni dell’intelligenza artificiale al campo del diritto hanno condotto alla creazione dei cd. sistemi basati sulla conoscenza. Questi sistemi si fondano sull’utilizzo di modelli concettuali predeterminati, attinti dalla teoria del diritto. In altri termini, partendo dalla « base di conoscenza », ovverosia dall’insieme di asserzioni o dichiarazioni espresse in linguaggio informatico, ed operando su di essa attraverso un meccanismo inferenziale, si arriva al risultato desiderato. L’utilizzo di tale meccanismo consente di ottenere risultati differenti, semplicemente modificando la base di conoscenza, senza dover intervenire sulle procedure di elaborazione. Le inferenze espresse, inoltre, consentono di « giustificare» il risultato, potendosi procedere ad una ricostruzione dell’iter deduttivo seguito. Il limite di tale sistema è ovviamente nella natura assiomatica della base di conoscenza, rispetto alla quale il motore inferenziale non è in grado di operare alcuna valutazione (6). Va da sé, che il risultato differirà anche in base al modello giuridico prescelto, che detta le regole di inferenza (7). Si è visto, tuttavia, che l’apporto « intelligente » in questi sistemi risulta fortemente limitato, data la loro evidente vicinanza degli stessi a dei veri e propri modelli matematici. Pertanto, si è successivamente cercato un diverso approccio attraverso le cd. reti neurali che copiassero alcuni caratteri del cervello umano. Come i neuroni interagiscono tra loro ai vari livelli, che formano la struttura neurale, così nelle reti neurali vi sono vari livelli connessi tra loro: un livello di input, che elabora lo stimolo dall’esterno (l’informazione), un livello nascosto, che comunica con altri neuroni ed un livello di output, che veicola all’esterno il risultato dell’elaborazione.
(6) Sartor, Intelligenza artificiale e diritto. Un’introduzione, Milano, 1996, 16-17. (7) Tradizionalmente si individuano quattro possibili modelli di conoscenza: 1) modello positivistico, basato sua una meccanica e rigida applicazione delle norme; 2) modello del normativismo kelseniano, in cui il centralismo della norma è temperato dal momento interpretativo; 3) modello antigiuridico o del realismo giuridico americano, basato su atteggiamento scettico rispetto alla norma; 4) modello integrativo che «integrando», appunto, svariati aspetti concettuali e metodologici della descrizione e dell’applicazione delle norme, fonda la sua struttura sulla «razionalità della giustificazione». Da tale ultimo modello è gemmato anche il positivismo hartiano che, partendo dal postulato dell’esaustività delle norme consente al giudice una nuova interpretazione solo nei casi non chiari. Il modello integrativo sarebbe quello più aderente alla realtà giuridica attuale, da cui avrebbe poi preso le mosse anche la scuola analitica di Bobbio. Cfr. Tiscornia, II diritto nei modelli dell’intelligenza artificiale, Bologna, 1996, 65; Wroblesky, Modelli operativi e sistemi giuridici, in Preatti del Convegno Logica, Informatica e Diritto, Firenze, 1981.
DIRITTO DI INTERNET N. 2/2019
381
GIURISPRUDENZA AMMINISTRATIVA È la connessione tra i livelli a consentire di arrivare alla risposta (output) corretta. Più connessioni saranno effettuate, maggiore sarà la capacità di elaborare nuovi input con adeguati output. Il meccanismo è di tipo « addestrativo »: si forniscono alla rete neurale un gruppo di coppie di input (caso giuridico) output (qualificazione del caso) corretti, o magari attinti da raccolte giurisprudenziali. L’elaborazione delle necessarie connessioni consente alla rete di « imparare » a leggere gli input offrendo la corretta associazione per arrivare all’output più idoneo (8). Non è più necessario, quindi, modificare di volta in volta la base di conoscenza. Ciò è possibile, soprattutto attraverso l’informatizzazione del ragionamento analogico che permette al sistema di trascendere dalla semplice inferenza premessa-conseguenza, sfruttando un modello di inferenza « comparativo » (mapping) tra un dominio source (fatti noti) e un dominio target (fatti sconosciuti). L’attività di mapping andrà poi circoscritta con i cd. constraints (restrizioni) che impediranno un defatigante confronto tra elementi irrilevanti e concentreranno il mapping sui profili di interesse (9). In questo, dunque, consiste quello che oggi chiamiamo machine learning; approccio all’intelligenza artificiale che ha completamente soppiantato i sistemi esperti (id est, sistemi basati sulla conoscenza), divenuti ormai obsoleti, come detto, in ragione del potenziamento dei sistemi di archiviazione, che permette un accesso praticamente illimitato a tutti i dati necessari all’elaborazione senza l’aggravio di doverli codificare. Deve però specificarsi che le macchine « non « imparano a fare qualcosa » nel senso comunemente espresso da questa frase, cioè non sviluppano una comprensione di principio delle relazioni e delle proprietà del loro mondo. Piuttosto, esse assomigliano a imitatori incredibilmente talentuosi, capaci di trovare le correlazioni e a rispondere a nuovi input come se dicessero «questo mi ricorda di …», e, nel fare ciò, di imitare le migliori strategie « distillandole » da un gran numero di esempi» (10). In tale contesto, l’informatizzazione della valutazione amministrativa è divenuto un processo ormai inarrestabile. Il passaggio dalla “carta” al “digitale” ha, infatti,
(8) Sartor, Intelligenza artificiale e diritto. Un’introduzione, Milano, 1996, 19 e ss. (9) Sull’analogia nell’I.A. vedi Tiscornia, II diritto nei modelli dell’intelligenza artificiale, Bologna, 1996, 164 ss., che tuttavia sembra applicare tale tipo di inferenza ai sistemi basati sulla conoscenza. (10) Kaplan, Intelligenza artificiale. Guida al futuro prossimo, Roma, 2017, 56.
382
DIRITTO DI INTERNET N. 2/2019
ceduto il passo alla c.d. “decisione robotica” (11) quale provvedimento amministrativo assunto mediante algoritmi sempre meno dipendenti dall’intervento umano. Ciò posto, l’evoluzione digitale e la diffusione dell’e-government (12), con conseguente affidamento dei processi decisionali della Pubblica Amministrazione a sistemi di intelligenza artificiale non poteva non essere colta nella sua intima essenza, dal Supremo Consesso Amministrativo, attesi gli interessi giuridici che di volta in volta potrebbero essere coinvolti (13). In particolare, il Consiglio di Stato è stato chiamato a pronunciarsi – in sede di appello – sulla legittimità della procedura adottata dal MIIUR tesa ad attuare un piano straordinario di assunzioni a tempo indeterminato di personale docente per le istituzioni scolastiche statali di ogni ordine e grado. La suddetta procedura, gestita da un sistema informatico per mezzo di un algoritmo (il cui funzionamento e la cui struttura sorgente sarebbero rimasti sconosciuti), sarebbe, invero, sfociata in provvedimenti privi di alcuna motivazione, senza [l’individuazione] di un funzionario dell’amministrazione che avesse valutato le singole situazioni e correttamente elaborato le relative determinazioni provvedimentali. A fronte delle doglianze degli appellanti, il Consiglio di Stato – pur evidenziando i pregi derivanti dalla digitalizzazione dei processi della Pubblica Amministrazione, attesi i numerosi vantaggi quali, ad esempio, la notevole riduzione della tempistica procedimentale per operazioni meramente ripetitive e prive di discrezionalità, l’esclusione di interferenze dovute a negligenza (o addirittura, talvolta, dolo) dell’essere umano (funzionario) e la conseguente maggior garanzia di imparzialità della decisione automatizzata – ha rilevato, che l’utilizzo di procedure siffatte “robotizzate” non possa, tuttavia, “essere motivo di elusione dei princìpi che conformano il nostro ordinamento e che regolano lo svolgersi dell’attività amministrativa”.
3. Vantaggi dell’automazione e la maggiore garanzia di imparzialità
Se da un lato, infatti, i vantaggi derivanti dalla automazione dei processi decisionali della PA mediante l’utilizzo di una procedura digitale ed attraverso un “algo-
(11) Cfr. Patroni Griffi, La decisione robotica e il giudice amministrativo, <https://www.giustizia-amministrativa.it> del 28.8.18. (12) Cfr. Comunicazione del 26 settembre 2003 del Parlamento Europeo alla Commissione Europea. (13) D’altra parte come rilevato da Celotto, I “non” diritti al tempo di internet, in questa Rivista, 2019, 235, nella Carta dei diritti fondamentali dell’Unione Europea è espressamente sottolineata la necessità impellente di “rafforzare la tutela dei diritti fondamentali alla luce dell’evoluzione della società, del progresso sociale e degli sviluppi scientifici e tecnologici”.
GIURISPRUDENZA AMMINISTRATIVA ritmo” (14) sono indiscutibili, posto che nello stesso è delineato a priori, il procedimento di “calcolo” decisionale in cui si esercita, sostanzialmente, la discrezionalità (anche minima) amministrativa, e posto che questa deve essere esercitata conformemente ai canoni di efficienza ed economicità (e più in generale ai principi costituzionali di buon andamento ed imparzialità dell’azione amministrativa di cui all’articolo 97 Cost.), è pur vero che non può, per altro verso, essere trascurata la necessità di operare un “controllo” dell’algoritmo, al fine di garantire una corretta applicazione dello stesso e, comunque, l’adozione di un provvedimento amministrativo “legittimo”. Sebbene, infatti, la capacità di uno strumento dotato di “intelligenza artificiale” di mettere in correlazione grandi quantità di informazioni e dati, elaborarli secondo un determinato schema (l’algoritmo) progettato dall’uomo e dare il risultato previsto e richiesto, può dirsi essere simile all’intelligenza umana, è fuori di dubbio che alla stessa manchi la capacità del c.d. “discernimento”. Vale a dire, la capacità, tutta umana, di valutare e adattarsi alle molteplici variabili impreviste e/o imprevedibili. In ogni caso, e ciò appare di ancora maggior rilievo, qualora l’algoritmo non sia stato congegnato in guisa da rispettare tutti i dettami dell’ordinamento sopra accennati, allora, ancor più stringente deve essere il controllo a monte, sull’algoritmo e non solo a valle, sul provvedimento che ne scaturisce. Conseguentemente, il giurista è chiamato a “interpretare” tale fenomeno, vieppiù tenuto conto della inevitabile antinomia giuridica che potrebbe crearsi tra un risultato “algoritmico”, vìs à vìs la salvaguardia dei diritti ineludibili, posti a presidio del bene della vita anelato. In tale prospettiva, il Supremo Consesso ha rilevato, infatti, che la regola tecnica che governa ciascun algoritmo resta, infatti, pur sempre una regola amministrativa generale, costruita dall’uomo e non dalla macchina. Essa, pertanto: “- possiede una piena valenza giuridica e amministrativa, anche se viene declinata in forma matematica, e come tale, come si è detto, deve soggiacere ai principi generali dell’attività amministrativa, quali quelli di pubblicità e trasparenza (art. 1 l. 241/90), di ragionevolezza, di proporzionalità, etc.; non può lasciare spazi applicativi discrezionali (di cui l’elaboratore elettronico è privo), ma deve prevedere con ragionevolezza una soluzione definita per tutti i casi possibili, anche i più improbabili (e ciò la rende in parte diversa da molte regole amministrative generali); la discrezionalità amministrativa, se senz’altro non può essere demandata al software, è quindi
(14) L’algoritmo un procedimento che risolve un determinato problema attraverso un numero finito di passi elementari, chiari e non ambigui, in un tempo ragionevole.
da rintracciarsi al momento dell’elaborazione dello strumento digitale; vede sempre la necessità che sia l’amministrazione a compiere un ruolo ex ante di mediazione e composizione di interessi, anche per mezzo di costanti test, aggiornamenti e modalità di perfezionamento dell’algoritmo (soprattutto nel caso di apprendimento progressivo e di deep learning); deve contemplare la possibilità che – come è stato autorevolmente affermato – sia il giudice a “dover svolgere, per la prima volta sul piano ‘umano’, valutazioni e accertamenti fatti direttamente in via automatica”, con la conseguenza che la decisione robotizzata “impone al giudice di valutare la correttezza del processo automatizzato in tutte le sue componenti”.
4. Algoritmo come “atto amministrativo informatico”
Da ciò discende che l’algoritmo, ossia il software, deve essere considerato a tutti gli effetti come un “atto amministrativo informatico”, comportandone un “duplice ordine di conseguenze”. In primo luogo, la “conoscibilità” del meccanismo attraverso il quale si concretizza la decisione robotizzata (ovvero l’algoritmo), secondo una declinazione rafforzata del principio di trasparenza, al fine di poter verificare che gli esiti del procedimento robotizzato siano conformi alle prescrizioni e alle finalità stabilite dalla legge, o dalla stessa amministrazione, a monte di tale procedimento e affinché siano chiare – e conseguentemente sindacabili – le modalità e le regole in base alle quali esso è stato impostato. Tale conoscibilità deve essere garantita in tutti gli aspetti: dai suoi autori, al procedimento usato per la sua elaborazione, al meccanismo di decisione, comprensivo delle priorità assegnate nella procedura valutativa e decisionale e dei dati selezionati come rilevanti. In altri termini, la “caratterizzazione multidisciplinare” dell’algoritmo, non esime dalla necessità che la “formula tecnica” sia corredata da spiegazioni che la traducano nella “regola giuridica” ad essa sottesa e che, la rendano leggibile e comprensibile, sia per i cittadini, che per il giudice.
5. Regola algoritmica accessibile, conoscibile, e “giustiziabile”
In secondo luogo, e a maggior ragione, la regola algoritmica deve essere non solo conoscibile in sé, ma anche soggetta alla piena cognizione e al pieno sindacato del giudice amministrativo, al fine di poter concretamente vagliare il legittimo esercizio del potere amministrativo; vale a dire, la correttezza del processo informatico in tutte le sue componenti: dalla sua costruzione, all’inserimento dei dati, alla loro validità, alla loro gestione. Solo in questo modo è possibile svolgere, anche in sede giurisdizionale, una valutazione piena della legittimità
DIRITTO DI INTERNET N. 2/2019
383
GIURISPRUDENZA AMMINISTRATIVA della decisione finale dell’amministrazione; valutazione che, anche se si è al cospetto di una scelta assunta attraverso una procedura informatica, non può che essere effettiva e di portata analoga a quella che il giudice adotta sull’esercizio del potere operato con modalità tradizionali. In sostanza, il giudice deve poter sindacare la stessa logicità e ragionevolezza della decisione amministrativa ancorchè robotizzata, ovvero della “regola” che governa l’algoritmo, con i medesimi strumenti a sua disposizione.
6. Machine learning e trasposizione motivazionale
A parere di chi scrive, ciò che avviene con l’ingresso dell’intelligenza artificiale ed i provvedimenti c.d. “algoritmici” è sostanzialmente una trasposizione della motivazione del provvedimento ad un momento antecedente il provvedimento stesso, il cui nucleo fondante risiede in un algoritmo autoproducente (attraverso il c.d. machine learning (15)) un risultato finale, ma etero-introdotto nel meccanismo fasico parametrico (progettazione dell’algoritmo). Pertanto, l’indagine del giudice, eterna sentinella a presidio del diritto e dell’economia, dovrà necessariamente concentrarsi sul momento fasico antecedente l’elaborazione algoritmica (peraltro scontata e quasi matematica), quello della progettazione dei presupposti oggettivi e soggettivi posti alla base della decisione dell’Amministrazione, atteso che in tale sede si esplica in concreto, la discrezionalità amministrativa. Ed è proprio al fine di evitare che possano nascondersi nelle pieghe oscure dell’algoritmo modelli di preconfezionamento dei requisiti necessari a superare una competizione di qualsivoglia tipo, che il Consiglio di Stato ha, in sostanza, confermato – in continuità con quanto già riconosciuto in precedenza dal TAR Lazio Roma (16) – la necessità di trasparenza del codice sorgente dell’algoritmo, atteso che è proprio tale codice che
(15) Quando si parla di machine learning si parla di differenti meccanismi che permettono a una macchina intelligente di migliorare le proprie capacità e prestazioni nel tempo. La macchina, quindi, sarà in grado di imparare a svolgere determinati compiti migliorando, tramite l’esperienza, le proprie capacità, le proprie risposte e funzioni. Il machine learning è un metodo di analisi dei dati che consente ai computer di apprendere autonomamente dei dati. Il deep learning è quel sistema di apprendimento che, utilizzando le architetture di reti neurali, elabora grandi set di dati. Attraverso questo sistema la macchina impara con l’esempio. (16) In particolare, il TAR Lazio ha stabilito, relativamente ad una procedura di mobilità dei docenti affidata ad un algoritmo, che, nel caso in cui algoritmi vengano utilizzati per l’attività amministrativa, deve essere sempre garantito il diritto di accesso all’algoritmo (cfr. sentenza Sez. III bis, n. 3769/2017, nell’ Osservatorio del @ Diritto Costituzionale Telematico di Alfonso Celotto e Giovanna Pistorio, di questa Rivista, all’indirizzo <http://dirittodiinternet.it/diritto-accesso-allalgoritmo-tar-lazio-a-
384
DIRITTO DI INTERNET N. 2/2019
gestisce l’istruttoria del relativo procedimento amministrativo. Di talché, solo esaminando il sorgente, è possibile verificare che la gestione del procedimento sia conforme a quanto previsto dalla normativa. Alla luce delle suddette riflessioni, il Supremo Consesso ha accolto l’appello attesa l’impossibilità di comprendere, per quale ragione le legittime aspettative di soggetti collocati in una determinata posizione in graduatoria, siano andate deluse. Infatti, l’impossibilità di comprendere le modalità con le quali, attraverso il citato algoritmo, siano stati assegnati i posti disponibili, costituisce ex se, un vizio tale, da inficiare la procedura. Nonostante, infatti, i giudici amministrativi abbiano incoraggiato l’ingresso delle tecnologie informatiche nei procedimenti amministrativi, ivi incluso l’utilizzo di algoritmi coerenti con i principi di efficienza ed economicità dell’azione amministrativa e con il principio del buon andamento posti dalla Costituzione, essi hanno, altresì, come detto, espressamente precisato che l’uso di algoritmi e di procedure automatizzate deve essere considerato, a tutti gli effetti, come un «atto amministrativo informatico», regola amministrativa costruita dall’uomo che dovrà cedere a principi di ragionevolezza, proporzionalità, di pubblicità e trasparenza. In ogni caso, gli algoritmi non potranno essere usati per decisioni aventi natura pienamente discrezionale e dovranno comunque essere sottoposti «al pieno sindacato del giudice amministrativo». La pronuncia in commento è dunque, espressione del riconoscimento e dell’identificazione dei valori e dei diritti fondamentali che, pur riconoscendo l’importanza della digitalizzazione dei processi, legittima espressamente un proprio controllo, non più solo sui risultati e sui procedimenti, ma anche sui codici sorgente e, dunque, sugli algoritmi. In conclusione, può dirsi che è più che corretto affermare almeno una breve serie di principi cardine per il futuro “tecnologico” della nostra convivenza civile e per l’Amministrazione. Che l’algoritmo sia progettato correttamente; che vi sia un controllo ex ante ed ex post su di esso, al fine di garantire, che le applicazioni di intelligenza artificiale rispondano anche a criteri etici, rispondenti a loro volta a consolidate garanzie costituzionali, nazionali ed euro-unitarie; che quindi, l’algoritmo sia accessibile, conoscibile, e possa essere oggetto della piena cognizione da parte del Giudice.
pre-nuovi-scenari//>, con breve annotazione di Bellini, Diritto di accesso all’algoritmo, TAR Lazio apre nuovi scenari).
GIURISPRUDENZA AMMINISTRATIVA
La tassazione delle locazioni brevi attraverso le piattaforme digitali: il caso della cd. “airbnb tax” T.a.r. Lazio, Roma; sezione II-ter; sentenza 18 febbraio 2019, n. 2207; Pres. Morabito; Est. Maddalena; Airbnb Ireland Unlimited Company (Avv.ti Clarich, Cassano e Borocci) – Airbnb Payments Uk Limited (Avv.ti Clarich e Cassano) c. Agenzia delle Entrate (Avvocatura Generale dello Stato) - Presidenza del Consiglio dei Ministri, Ministero dell’Economia e delle Finanze (Avvocatura Generale dello Stato) - Renting Services Group S.r.l.s (Avv. Salmeri) - Federazione delle Associazioni Italiane Alberghi e Turismo (Avv.ti Gambaro, Mazzocchi, Rossi, Ferrante e Manzi). Una misura di carattere fiscale, perché sia rilevante ai fini dell’obbligo di notifica alla Commissione europea previsto dalla direttiva 1535/2015/UE, deve essere comunque in via diretta incidente sulla prestazione del servizio della società dell’informazione e sulle sue caratteristiche intrinseche. Dunque, non ogni misura di carattere fiscale connessa ai servizi della società dell’informazione è, soggetta a notifica ma solo quelle misure che possano influenzare il consumo di detti servizi, ad esempio mediante incentivi o sgravi, al fine di promuovere determinate specifiche tecniche dei servizi commercializzati. L’esigenza di assicurare la riscossione di un’imposta e la lotta all’evasione fiscale possono costituire motivi imperativi di interesse generale idonei a giustificare, in deroga all’art. 56 TFUE, una misura restrittiva della libertà di prestazione di servizi.
…Omissis… Fatto e diritto. 1. L’odierno ricorso concerne il provvedimento dell’Agenzia delle Entrate che ha dato attuazione al regime fiscale introdotto per le locazioni brevi dall’art. 4, commi 4, 5 e 5-bis del d.l. 24 aprile 2017, n. 50 (convertito con modificazioni dalla legge 21 giugno 2017, n. 96). Tale normativa ha previsto l’obbligo per società come Airbnb, che gestiscono portali telematici preordinati a mettere in contatto persone in cerca di un immobile con persone che dispongono di unità immobiliari da locare, di operare una ritenuta del 21% sull’ammontare dei canoni e corrispettivi all’atto del pagamento, da versare poi al Fisco. La normativa, inoltre, prevede che chi svolge attività di intermediazione immobiliare o gestisce portali telematici, se residente in Italia o ivi avente una stabile organizzazione, dovrà operare come sostituto d’imposta. Nel caso in cui il medesimo soggetto non risieda in Italia e sia riconosciuto privo di una stabile organizzazione, lo stesso sarà tenuto a nominare un rappresentante fiscale per adempiere agli obblighi fiscali in qualità non già di sostituto d’imposta, bensì di responsabile d’imposta (art. 4, commi 5 e 5-bis, d.l. n. 50/2017). Il soggetto che gestisce il portale telematico sarà tenuto a raccogliere e trasmettere all’Agenzia delle entrate tutti i dati relativi ai contratti di locazione breve conclusi per il loro tramite (art. 4, comma 4, d.l. n. 50/2017). Il Direttore dell’Agenzia delle entrate ha adottato il provvedimento n.132395/2017, attuativo delle disposi-
zioni legislative sopra richiamate, impugnato nel presente giudizio. …Omissis… I. Sull’omessa disapplicazione dell’art. 4 del d.l. 50/2017 quale atto normativo in contrasto con la direttiva 1535/2015/UE per omessa previa comunicazione alla Commissione europea dell’introduzione di regole tecniche nella società dell’informazione: violazione e falsa applicazione degli artt. 4, 5 ss. della direttiva 1535/2015/UE, dell’art. 8 della direttiva 98/34/CE, dell’art. 56 TFUE, del principio di inopponibilità delle regole tecniche non notificate e del principio della libera prestazione di servizi all’interno dell’Unione, eccesso di potere in tutte le figure sintomatiche e in particolare travisamento in diritto, irragionevolezza, illogicità, difetto di istruttoria. L’art. 5 della direttiva del Parlamento europeo e del Consiglio del 9 settembre 2015, n. 1535 prevede una procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione. L’omessa previa notificazione alla Commissione europea di emanande regole tecniche dei servizi della società dell’informazione determina automaticamente l’inopponibilità delle regole medesime (cfr. ex multis Corte di Giustizia UE, sez. VI, sent. 1° febbraio 2017, causa C144/16; Corte giustizia UE, sez. I, sent. 4 febbraio 2016, n. 336, causa C- 336/14; Cass. Pen. Sez. III, sent. 25 febbraio 2016, n. 23678).
DIRITTO DI INTERNET N. 2/2019
385
GIURISPRUDENZA AMMINISTRATIVA Pertanto, ad avviso di parte ricorrente, l’amministrazione resistente avrebbe dovuto disapplicare il decreto legislativo n. 50/2017 ed astenersi dal dare alcuna attuazione alle misure tecniche qui in rilievo, e tale omessa disapplicazione costituisce motivo di annullamento del provvedimento impugnato, per violazione di legge e travisamento in diritto. In subordine, parte ricorrente ha chiesto di sollevare, ai sensi dell’art. 267 del Trattato UE, davanti alla Corte di Giustizia, questione pregiudiziale al fine di stabilire se gli articoli del TFUE di cui in epigrafe ostino all’applicazione di una norma nazionale, nella specie l’art. 4 del d.l. 50/2017, che introduce regole tecniche per la prestazione di un servizio della società dell’informazione nel territorio italiano, in difetto di una previa comunicazione delle regole medesime alla Commissione europea. II. Sull’imposizione degli obblighi di operare come sostituto/responsabile d’imposta, di istituire un rappresentante fiscale in Italia e di raccogliere/trasmettere dati all’amministrazione finanziaria: violazione e falsa applicazione degli artt. 3, 18, 32, 44, 49, 56, 101 ss., 116, 120, 127 ss. TFUE, dei principi del diritto dell’UE in materia di concorrenza, diritto di stabilimento e libera prestazione dei servizi, disapplicazione della normativa nazionale contrastante con il diritto europeo, delle direttive 2000/31/ CE e 2006/123/CE. Violazione e falsa applicazione dei principi di proporzionalità e ragionevolezza e degli artt. 3, 23, 41 e 117 Cost. Eccesso di potere in tutte le figure sintomatiche e in particolare irragionevolezza, illogicità, travisamento in fatto e in diritto, sviamento. Il provvedimento impugnato, che impone alla parte ricorrente lo svolgimento di un’attività di vero e proprio sostituto d’imposta (nonché di raccogliere e trasmettere un’ingentissima mole di dati all’amministrazione finanziaria, e di nominare un rappresentante fiscale in Italia), e la normativa presupposta, del quale esso costituisce attuazione, contrasterebbero con varie disposizioni di diritto europeo, e in particolare con le disposizioni in materia di concorrenza e non discriminazione, diritto di stabilimento e libertà di circolazione dei servizi (quali racchiuse negli artt. 56 e 101 ss. del TFUE e nelle direttive 2006/123 e 2000/31/CE). L’art. 4 del d.l. n. 50/2017 si porrebbe in contrasto con i principi europei di libera prestazione dei servizi e di diritto di stabilimento all’interno degli Stati membri, nonché, più in generale, con le disposizioni dei Trattati UE volte a garantire l’effettività della concorrenza attraverso il divieto di normative nazionali che abbiano per oggetto o per effetto di impedire, restringere o falsare il gioco della concorrenza all’interno del mercato, nonché un ostacolo allo sviluppo di modelli di business innovativi nell’ambito della c.d. sharing economy. Né ricorrerebbero nel caso di specie motivi imperativi di interesse generale che in astratto potrebbero giustificare
386
DIRITTO DI INTERNET N. 2/2019
restrizioni dell’accesso al mercato, non potendo essi essere individuati nella generica esigenza del contrasto all’evasione fiscale nel settore immobiliare, anche tenuto conto che, per ferma giurisprudenza della Corte dell’unione europea, uno Stato Membro non può mai ricorrere al bisogno di assicurare un gettito fiscale per giustificare una restrizione alle libertà di stabilimento o di fornire servizi (C-243/01, Gambelli and Others, par. 61; conclusioni dell’Avvocato Generale C-49/16 Unibet International, par. 39). …Omissis… Con riferimento all’obbligo di nomina del rappresentante fiscale e sulla discriminazione degli operatori non stabiliti nel territorio italiano, parte ricorrente denuncia un ulteriore profilo di illegittima discriminazione, attinente al proprio status di soggetto non stabilito in Italia e all’obbligo di nomina di un rappresentante fiscale in Italia, previsto dal d.l. 50/2017 e dal provvedimento impugnato. Simile obbligo, secondo gli orientamenti consolidati della giurisprudenza comunitaria, costituirebbe una misura illegittima e contrastante con il diritto europeo e, in particolare, con l’art. 56 TFUE, che statuisce il principio della libera prestazione di servizi. (cfr. Corte di giustizia UE causa C-522/2004 e causa C-678/2011). Secondo la Corte di giustizia, vi sarebbe una violazione del principio stabilito all’art. 56 del TFUE, là dove i legislatori nazionali avrebbero potuto adottare “misure, volte a conseguire l’obiettivo di garantire il pagamento di detta imposta, le quali sono meno pregiudizievoli per la libera prestazione di servizi rispetto all’obbligo di nominare un rappresentante responsabile residente” (Cort. giust. causa C-522/2004, punto 55). …Omissis… 7. Venendo al merito del ricorso originario, esso è infondato e pertanto deve essere respinto. 7.1. Con il primo motivo di ricorso, Airbnb lamenta l’omessa disapplicazione da parte dell’Agenzia delle entrate dell’art. 4 del d.l. 50/2017, quale atto normativo in contrasto con la direttiva 1535/2015/UE per omessa previa comunicazione alla Commissione europea dell’introduzione di regole tecniche nella società dell’informazione. Sostiene pertanto, in mancanza di detta notifica, l’inopponibilità delle regole tecniche in questione. In subordine, ha chiesto che della questione venisse investita in via pregiudiziale la Corte di giustizia dell’UE. La censura è infondata. Ai sensi dell’art. 1 della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che prevede una procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione, si intende per: «servizio»: qualsiasi servizio della società dell’informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi.
GIURISPRUDENZA AMMINISTRATIVA «regola relativa ai servizi»: un requisito di natura generale relativo all’accesso alle attività di servizio di cui alla lettera b) e al loro esercizio, in particolare le disposizioni relative al prestatore di servizi, ai servizi e al destinatario di servizi, ad esclusione delle regole che non riguardino specificamente i servizi ivi definiti. i) una regola si considera riguardante specificamente i servizi della società dell’informazione quando, alla luce della sua motivazione e del testo del relativo dispositivo, essa si pone come finalità e obiettivo specifici, nel suo insieme o in alcune disposizioni puntuali, di disciplinare in modo esplicito e mirato tali servizi; ii) una regola non si considera riguardante specificamente i servizi della società dell’informazione se essa riguarda tali servizi solo in modo implicito o incidentale; «regola tecnica»: una specificazione tecnica o altro requisito o una regola relativa ai servizi, comprese le disposizioni amministrative che ad esse si applicano, la cui osservanza è obbligatoria, de jure o de facto, per la commercializzazione, la prestazione di servizi, lo stabilimento di un fornitore di servizi o l’utilizzo degli stessi in uno Stato membro o in una parte importante di esso, nonché, fatte salve quelle di cui all’articolo 7, le disposizioni legislative, regolamentari o amministrative degli Stati membri che vietano la fabbricazione, l’importazione, la commercializzazione o l’utilizzo di un prodotto oppure la prestazione o l’utilizzo di un servizio o lo stabilimento come fornitore di servizi. Costituiscono in particolare regole tecniche de facto: (…) “le specificazioni tecniche o altri requisiti o le regole relative ai servizi connessi con misure di carattere fiscale o finanziario che influenzano il consumo di prodotti o di servizi promuovendo l’osservanza di tali specificazioni tecniche o altri requisiti o regole relative ai servizi; non sono contemplati le specificazioni tecniche, o altri requisiti o le regole relative ai servizi connessi con i regimi nazionali di sicurezza sociale.” Ora, nel caso di specie la disciplina di cui si discute non appare rientrare nell’ambito di applicazione della citata direttiva. Va preliminarmente rilevato che essa si applica a tutti gli intermediari, sia che essi si avvalgano di mezzi elettronici sia che operino in modo tradizionale. I destinatari dei contestati obblighi informativi e di ritenuta alla fonte della cedolare secca sono infatti “soggetti che esercitano attività di intermediazione immobiliare, nonché soggetti che gestiscono portali telematici, mettendo in contatto persone in cerca di un immobile con persone che dispongono di unità immobiliari da locare”. Ciò, tuttavia, non escluderebbe di per sé che, per la parte che riguarda gli obblighi dei gestori dei portali telematici, la norma in esame possa in astratto rientrare nell’ambito di applicazione della direttiva UE sui servizi della società dell’informazione.
A tal fine, occorre tuttavia verificare se si tratti di regola relativa ai servizi o di una regola tecnica, nei sensi indicati dalla direttiva. In relazione al primo profilo, occorre rilevare che la previsione in esame attiene non ha ad oggetto propriamente un “requisito per l’accesso”, quale potrebbe essere ad esempio la richiesta di una specifica autorizzazione per l’esercizio del servizio, ma l’imposizione di un obbligo accessorio al servizio di intermediazione, avente ad oggetto – come si è detto - obblighi informativi, che sono imposti indistintamente a tutti gli intermediari, e l’obbligo di ritenuta alla fonte della cedolare secca sui proventi delle locazioni brevi, riferita ai soli intermediari che intervengano nel pagamento. Peraltro, – come evidenziato dall’Avvocatura dello Stato – la normativa in esame, laddove prevede l’obbligo di ritenuta alla fonte, non condiziona in modo assoluto l’accesso al servizio di intermediazione immobiliare né tanto meno esso incide sul suo esercizio, ben potendo il servizio essere esercitato secondo modalità non implicanti l’intervento nel pagamento, come peraltro altri operatori del settore fanno. Nemmeno può dirsi che la disposizione in contestazione abbia introdotto una “regola relativa ai servizi” in quanto essa solo in via incidentale ed accessoria riguarda il servizio di intermediazione ma certamente non incide sulle modalità con cui tale servizio deve essere prestato. La misura in contestazione, infatti, non riguarda la tassazione della prestazione del servizio di intermediazione ma la tassazione del corrispettivo della locazione breve e le modalità di esazione di questa. Come ha rilevato la Corte di giustizia nel caso Uber contro Francia (decisione 10 aprile 2018 della Grande Sezione, nella causa C-320/16), in fattispecie non certo identica ma caratterizzata da profili di interesse per la vicenda in esame, in caso di servizi di intermediazione effettuati in via elettronica occorre distinguere tra il servizio della società di informazione e il servizio oggetto dell’attività di intermediazione (nel caso di Uber c/ Francia, il servizio di trasporti, nel nostro caso, il servizio di locazione breve di immobili). Nel caso della sentenza Uber, la Corte di giustizia UE ha riconosciuto l’intermediazione come meramente accessoria rispetto al servizio di trasporto, in quanto “il servizio di intermediazione fornito dalla società interessata era indissolubilmente legato all’offerta di servizi di trasporto urbano non collettivo creata dalla stessa” (par. 21). Nel caso oggetto del presente giudizio, vale l’esatto contrario del caso Uber: l’attività di intermediazione di Airbnb è ben distinta da quella di locazione breve posta in essere dai proprietari di immobili, la quale peraltro non è regolata da disciplina comunitaria ed è soggetta, per quanto riguarda i proventi della locazione, alla disciplina nazionale della tassazione sui redditi.
DIRITTO DI INTERNET N. 2/2019
387
GIURISPRUDENZA AMMINISTRATIVA Sul punto appaino rielevanti le conclusioni dell’avvocato generale Maciej Szpunar presentate il 4 luglio 2017, rese nel medesimo caso Uber, secondo cui: “(..) in presenza di un siffatto servizio misto, la sua componente erogata per via elettronica può essere considerata un servizio della società dell’informazione, ai fini dell’applicazione della definizione di siffatti servizi di cui all’articolo 1, punto 2, della direttiva 98/34 modificata, solo a condizione che la stessa sia economicamente indipendente dalla componente che non è erogata per tale via o che la stessa rappresenti la prestazione principale del servizio misto. Invero, l’applicazione dalla normativa dell’Unione in materia di servizi della società dell’informazione (…) a prestazioni che non sono né indipendenti né principali rispetto a quelle che non rientrano nell’ambito di tale normativa sarebbe contraria al tenore delle disposizioni in questione, eluderebbe il loro obiettivo e genererebbe una situazione di incertezza giuridica, in quanto tali altre prestazioni possono essere disciplinate in modo differente nel diritto nazionale, (..).” Nel caso di specie, pertanto, non è possibile applicare la normativa in materia di servizi alle società dell’informazione, con riferimento alle prestazioni di servizio di locazione di immobili, che devono essere tenute distinte da quelle di intermediazione. Dunque, una misura fiscale che incida sulle modalità di esazione di imposte dirette (materia non armonizzata) sui proventi dei locatari di un servizio di locazione breve di immobili e non sui proventi del servizio di intermediazione non può dirsi rilevante ai fini degli obblighi di notifica di cui alla direttiva sopra citata, perché non riguarda direttamente la prestazione del servizio di intermediazione, che sola rientra nell’ambito dei servizi della società dell’informazione. Una conferma di quanto si è detto può trarsi proprio dalla previsione della direttiva UE 2015/1535 relativa alle misure fiscali rilevanti come regole tecniche. La direttiva specifica, infatti, che deve trattarsi di “misure di carattere fiscale o finanziario che influenzano il consumo di prodotti o di servizi promuovendo l’osservanza di tali specificazioni tecniche o altri requisiti o regole relative ai servizi”. È chiaro dunque che non ogni misura di carattere fiscale “connessa” ai servizi della società dell’informazione è, a questi fini, rilevante ma solo quelle misure che possano influenzare il consumo di detti servizi, ad esempio mediante incentivi o sgravi, al fine di promuovere determinate specifiche tecniche dei servizi commercializzati. La finalità cioè della misura fiscale, perché essa sia rilevante ai fini dell’obbligo di notifica, deve essere comunque in via diretta incidente sulla prestazione del servizio della società dell’informazione (nel caso di specie di intermediazione) e sulle sue caratteristiche intrinseche e può riguardare solo profili accessori ed eventuali, come quelli in esame, concernenti invece il diverso servizio di locazione breve di immobili.
388
DIRITTO DI INTERNET N. 2/2019
Nel caso di specie, in particolare, si tratta di misure fiscali che non hanno alcun carattere incentivante rispetto a particolari caratteristiche del servizio, in quanto sono relative alle modalità di esazione di tributi comunque dovuti dai proprietari degli immobili dati in locazione. Vale la pena infatti di ribadire che comunque il tributo deve essere dagli stessi pagato e che anzi la misura in esame ha semplificato il regime di riscossione, prevedendo la possibilità di aderire al regime della cedolare secca al 21 per cento. Per tutte queste ragioni non è dato rinvenire nel caso di specie alcuna “regola relativa ai servizi” o “regola tecnica” per la quale fosse necessaria la previa notifica alla Commissione europea. 7.2. Con il secondo motivo di ricorso, Airbnb ha denunciato la violazione artt. 3, 18, 32, 44, 49, 56, 101 ss., 116, 120, 127 ss. TFUE, dei principi del diritto dell’UE in materia di concorrenza, diritto di stabilimento e libera prestazione dei servizi, nonché delle direttive 2000/31/ CE (direttiva sul commercio elettronico) e 2006/123/ CE (relativa ai servizi nel mercato interno). La contestata normativa nazionale, nell’imporre all’intermediario obblighi informativi e quale, sostituto o responsabile di imposta, obblighi di ritenuta della tassazione sulle locazioni brevi, avrebbe per effetto di impedire, restringere o falsare il gioco della concorrenza all’interno del mercato e costituirebbe un ostacolo allo sviluppo di modelli di business innovativi nell’ambito della c.d. sharing economy. Né ricorrerebbero nel caso di specie motivi imperativi di interesse generale che in astratto potrebbero giustificare restrizioni dell’accesso al mercato, non potendo essi essere individuati nella generica esigenza del contrasto all’evasione fiscale nel settore immobiliare. La censura non è fondata. Occorre preliminarmente rilevare che l’unica libertà sancita nel TFUE che può avere rilevanza nel caso di specie è quella di prestazione di servizi, in quanto la società Airbnb non è stabilita in Italia. Secondo consolidata giurisprudenza della Corte di giustizia, l’articolo 56 TFUE osta all’applicazione di qualsiasi normativa nazionale che abbia l’effetto di rendere la prestazione di servizi tra Stati membri più difficile rispetto alla prestazione di servizi puramente interna. …Omissis… Ora nel caso in esame, la normativa contestata impone identici obblighi sia a carico dei soggetti intermediari che hanno residenza in Italia sia di quelli non residenti né stabiliti in Italia che gestiscono portali telematici mettendo in contatto persone in ricerca di un immobile con persone che dispongono di unità immobiliari da locare (art. 4, comma 5, d.l. n. 50/2017), qualora essi “incassino i canoni o i corrispettivi relativi ai contratti di cui
GIURISPRUDENZA AMMINISTRATIVA ai commi 1 e 3, ovvero qualora intervengano nel pagamento dei predetti canoni o corrispettivi”. L’unica differenza, dunque, è che i mentre i soggetti residenti o stabiliti nel territorio dello Stato operano, in qualità di sostituti d’imposta, una ritenuta del 21 per cento sull’ammontare dei canoni e corrispettivi all’atto del pagamento al beneficiario e provvedono al relativo versamento, i soggetti che – come Airbnb – non sono stabiliti in Italia, ottemperano ai medesimi obblighi in qualità di responsabili di imposta, mediante la nomina di un rappresentante fiscale (art. 4, comma 5 bis). Sotto il profilo della imposizione degli obblighi informativi e degli obblighi di ritenuta e versamento, dunque, non si ravvisa nessuna disparità di trattamento. Tutti gli operatori del mercato, residenti, stabiliti in Italia e non stabiliti soggiacciono alla medesima normativa e devono adempiere ai medesimi obblighi. Nemmeno la diversa previsione del ruolo di sostituto di imposta e di responsabile di imposta costituisce disparità di trattamento e comunque tale profilo non è stato censurato, anzi parte ricorrente sostiene nel ricorso di essere stata assoggettata agli stessi obblighi del sostituto di imposta. In ogni caso va rilevato che, trattandosi di situazione diverse, una in cui l’operatore è residente o stabilito in Italia e l’altra in cui esso non ha in Italia una stabile organizzazione, si è reso necessario prevedere un diverso regime (e cioè la posizione di sostituto di imposta nel primo caso e di responsabile di imposta nel secondo). …Omissis… L’assenza di alcuna discriminazione nel trattamento dell’operatore non residente e non stabilito, né in via diretta né dissimulata, con riferimento ai citati obblighi di informazione e di ritenuta e versamento della cedolare secca, in conclusione, consente di escludere che vi sia, ad opera della normativa in questione, una violazione della libertà di prestazione di servizi garantita dal Trattato UE e che pertanto vi sia motivo per investire della questione al Corte di giustizia. Peraltro, laddove i soggetti non residenti e non stabiliti che operano come intermediari fossero stati sottratti al regine imposto invece ai soggetti residenti, ciò si sarebbe tramutato in un illegittimo vantaggio competitivo nei loro confronti a discapito dei soggetti residenti per i maggiori oneri connessi all’adempimento degli obblighi informativi e di ritenuta e versamento della cedolare secca. …Omissis… 7.7. Con riferimento all’obbligo di nomina del rappresentante fiscale e sulla discriminazione degli operatori non stabiliti nel territorio italiano, parte ricorrente sostiene che simile obbligo, secondo gli orientamenti consolidati della giurisprudenza comunitaria, costituirebbe una misura illegittima e contrastante con il diritto europeo e, in particolare, con l’art. 56 TFUE, che statuisce
il principio della libera prestazione di servizi (cfr. Corte di giustizia UE causa C- 522/2004 e causa C-678/2011). Secondo la Corte di giustizia, vi sarebbe in tali casi una violazione del principio stabilito all’art. 56 del TFUE, là dove i legislatori nazionali avrebbero potuto adottare “misure, volte a conseguire l’obiettivo di garantire il pagamento di detta imposta, le quali sono meno pregiudizievoli per la libera prestazione di servizi rispetto all’obbligo di nominare un rappresentante responsabile residente” (Cort. giust. causa C-522/2004, punto 55). La questione merita un particolare approfondimento in quanto essa è stata esaminata dalla Corte di giustizia in due arresti, menzionati da parte ricorrente, concernenti, per la verità, fattispecie non del tutto sovrapponibili alla vicenda in esame. Occorre, in primo luogo, rilevare che a proposito di tale censure, a differenza delle precedenti, si ravvisa certamente una lesione dell’art. 56 del Trattato, in quanto al misura dell’obbligo del responsabile fiscale è rivolta unicamente ai soggetti che, come parte ricorrente, non sono stabiliti in Italia. Il punto centrale da esaminare è dunque se, nel caso di specie, detta misura, potenzialmente lesiva della libertà di prestazione di servizi nell’Unione sia o meno giustificata per motivi imperativi di interesse pubblico, come enucleati secondo i parametri indicati dalla stessa Corte di giustizia. Secondo una giurisprudenza consolidata della Corte europea, i provvedimenti nazionali che possono ostacolare o scoraggiare l’esercizio delle libertà fondamentali garantite dal Trattato possono infatti essere ammessi, a condizione che perseguano uno scopo legittimo compatibile con il Trattato e siano giustificati da motivi imperativi d’interesse pubblico, che siano idonei a garantire il raggiungimento dello scopo perseguito e non eccedano quanto necessario per raggiungerlo (v., in tal senso, sentenze 11 marzo 2004, causa C-9/02, De Lasteyrie du Saillant, Racc. pag. I-2409, punto 49; 7 settembre 2006, causa C-470/04, N, Racc. pag. I-7409, punto 40, e Commissione/Danimarca, cit. supra, punto 46). Nei casi citati da parte ricorrente, la Corte di giustizia non ha ritenuto sussistente tale giustificazione. …Omissis… In linea di principio, dunque, l’esigenza di assicurare la riscossione di un’imposta e la lotta all’evasione fiscale possono costituire motivi imperativi di interesse generale idonei a giustificare una misura restrittiva della libertà di prestazione di servizi. Occorre però che la misura sia proporzionata e che non si ravvisino strumenti alternativi meno restrittivi. Ora, nel caso all’esame del Collegio, come si è detto, è assodato che il livello di evasione fiscale delle imposte sui proventi delle locazioni brevi è altissimo. Come emerge dalla relazione tecnica di accompagnamento al decreto –legge, dalle indagini condotte dalla Guardia di Finanza sulle dichiarazioni dei redditi delle persone fisiche, pre-
DIRITTO DI INTERNET N. 2/2019
389
GIURISPRUDENZA AMMINISTRATIVA sentate per l’anno 2015, è emerso che solo un soggetto su quattro, tra quanti affittano la propria abitazione o una singola camera, dichiara al Fisco il canone percepito, per un ammontare dichiarato complessivo pari a 221 milioni di euro, per la quasi totalità assoggettato al regime della cedolare secca. Sulla base di tale dato l’imponibile non dichiarato è stato stimato in 663 milioni di euro con una maggiore ritenuta pari a 139,3 milioni di euro. L’impatto finanziario derivante dall’applicazione della contestata disposizione risulta, dunque, essere stato stimato in 813 milioni di euro per l’anno 2017 e, a regime a partire, dall’anno 2018, in 139, 3 milioni di euro. In questo quadro appare, in primo luogo, imprescindibile la collaborazione dei soggetti intermediari per informare il fisco circa le transazioni effettuate. A fronte di tale entità di economia sommersa, lo Stato italiano ha perciò ritenuto di imporre su tutti indistintamente gli operatori del mercato sia obblighi informativi che obblighi di ritenuta e versamento (della cedolare secca o di una ritenuta a tiolo di acconto), qualora intervengano nel pagamento. Rispetto a tali obblighi in sé, si è già chiarito che non si ravvisa alcuna lesione della libera prestazione di servizi, in quanto non vi è alcuna disparità di trattamento tra residenti e non residenti. L’unico profilo da valutare resta dunque se per i soggetti non stabiliti e non residenti in Italia il correlato obbligo di nominare un rappresentante fiscale costituisca una misura eccedente i parametri di proporzionalità e necessità, fissati dalla Corte di giustizia, per ammettere una misura restrittiva di una libertà fondamentale. Occorre premettere che, come ha rilevato l’avvocatura dello Stato nella sua memoria di replica, la Corte di Giustizia ha chiarito che la designazione del rappresentante fiscale ha unicamente lo scopo di consentire al Fisco di avere un interlocutore nazionale quando il soggetto passivo è stabilito all’estero (Causa C-1/08, punto 34) e tale designazione, per ammissione della stessa Corte, non presuppone quel minimum di dotazione di risorse umane e strumentali necessaria ad integrare la stabile organizzazione (causa C- 323/12, punti 46-48). La misura della nomina del responsabile fiscale è dunque sicuramente idonea allo scopo. …Omissis… In questo quadro la proporzionalità in concreto della misura prescelta dallo Stato italiano per garantire la riscossione delle imposte sulle locazioni brevi risulta fondata sulla inidoneità di altre misure in astratto potenzialmente meno onerose, quale ad esempio la cooperazione amministrativa. Infatti, come ha osservato la difesa erariale, “l’attivazione di tale strumento sarebbe, nel concreto caso di specie, priva di effetto utile, poiché essa implicherebbe l’instaurazione di
390
DIRITTO DI INTERNET N. 2/2019
un incessante dialogo con le Autorità fiscali irlandesi, onde ottenere, per il loro tramite, dalla società Airbnb informazioni relative a centinaia di migliaia, se non a milioni di utenti, per di più relative ad immobili siti in Italia e a redditi ivi prodotti.” A ciò si aggiunga anche la difficoltà, con questi strumenti, di ottenere da parte di intermediari non stabiliti in Italia, in caso di loro inottemperanza, il versamento delle trattenute. Obbligo quest’ultimo che non è in discussione per le ragioni sopra più volte declinate, ma che diverrebbe sostanzialmente incoercibile in assenza di un responsabile fiscale. Infine, ad avviso del collegio, la proporzionalità della misura adottata sussiste anche in ragione della peculiarità della fattispecie, caratterizzata dall’esistenza di un numero enorme di precettori di redditi assai modesti (spesso si tratta di poche centinaia di euro per ogni locazione breve) e alle connaturate difficoltà di accertamento del presupposto dell’imposta, dovuta alla natura breve della locazione. Lo sforzo richiesto allo Stato per ottenere la riscossione effettiva di tali imposte nei confronti dei proprietari degli immobili, atteso il numero degli accertamenti da effettuare e l’entità del sommerso, sarebbe probabilmente addirittura maggiore del vantaggio che ne deriverebbe per il fisco, considerato che si tratta di redditi molto modesti ma diffusi su una enorme platea di soggetti. In questo quadro, quindi, la misura alternativa, invocata da parte ricorrente, di rimettere allo Stato italiano l’accertamento e la riscossione di queste imposte, secondo gli ordinari strumenti a disposizione del fisco, risulterebbe sostanzialmente una misura inidonea. Per tutte queste ragioni, il Collegio ritiene che la previsione dell’obbligo di nomina del rappresentante fiscale sia nel caso di specie giustificata da motivi imperativi di pubblico interesse e che risulti proporzionata allo scopo di garantire la riscossione di un imposta che è stato in concreto accertato essere oggetto di una rilevantissima evasione fiscale, non ravvisandosi misure meno gravose effettivamente e concretamente idonee ad assicurare lo stesso risultato. …Omissis… P.Q.M. Il Tribunale Amministrativo Regionale per il Lazio (Sezione Seconda Ter), definitivamente pronunciando sul ricorso, come in epigrafe proposto, integrato da motivi aggiunti, così provvede: respinge il ricorso originario; dichiara il difetto assoluto di giurisdizione in relazione al ricorso per motivi aggiunti; compensa le spese tra tutte le parti del giudizio. Ordina che la presente sentenza sia eseguita dall’autorità amministrativa. …Omissis…
GIURISPRUDENZA AMMINISTRATIVA
IL COMMENTO
di Carmine Marrazzo Sommario: 1. Introduzione. – 2. La legittimità della sostituzione (o della responsabilità) tributaria nell’ambito delle locazioni brevi. – 3. La pretesa incostituzionalità e incompatibilità del regime in quanto discriminatorio: la risposta della Corte e l’utilizzo del principio di proporzionalità – 4. Conclusioni (necessariamente) provvisorie. Il commento ripercorre le ragioni di diritto e di fatto che hanno condotto il Tribunale Amministrativo del Lazio a salvare, per il momento, la cd. “airbnb tax”. Come è noto, infatti, il decreto-legge n. 50/2017 ha sancito che gli affitti brevi (di durata non superiore ai 30 giorni) sono assoggettati al pagamento della cd. cedolare secca del 21%, che viene trattenuta e versata al fisco subito in caso il pagamento sia gestito da “intermediari immobiliari” (agenzie e portali e quindi compresa Airbnb) o al momento della dichiarazione dei redditi se i contratti sono gestiti direttamente. Attraverso l’individuazione di un responsabile o sostituto d’imposta, la norma mira ad assoggettare a tassazione una tipologia di redditi che, difficilmente, nella pratica riusciva a essere intercettata. In questa fattispecie emerge in tutta la sua evidenza l’importanza della figura della sostituzione d’imposta, unitamente alla ritenuta, come l’istituto a cui ricorre più di frequente il legislatore per garantire l’accertamento e la riscossione dei tributi anche nell’ambito dell’economia digitale. The article examines the legal and factual reasons in support of the judgement given by TAR del Lazio (Regional Administrative Court) that saves temporarily Italian Airbnb Tax. It is well known that, the law no. 50/2017 establishes that the tourist locations (so-called “short leases”) are taxed with a withholding tax charged on the price of leasing by the intermediary, when the payments is made through an online platform (such as Airbnb). Through the identification of a responsible or withholding agent, the norm aims to tax a type of income that, in practice, has been intercepted only hardly. In this case, the whole importance of the withholding agent’s role emerges in all its evidence, together with the retention, as the most used tool used by the lawmaker to ensure the assessment and the collection of taxes even within the digital economy area.
1. Introduzione
Con la sentenza in epigrafe (1), il Tar del Lazio ha respinto il ricorso di Airbnb, noto portale online, volto a contestare la legittimità del provvedimento dell’Agenzia delle Entrate n. 132395/2017, emanato in attuazione del regime fiscale per le locazioni brevi introdotto dal d.l. n. 50 del 24 aprile 2017 (2). Utilizzando una metafora sportiva, l’Agenzia delle Entrate, con il sostegno della Federalberghi, ha vinto il primo round della battaglia contro un importante player dell’economia digitale come Airbnb. Tale figura retorica non è stata usata casualmente, considerando che, fin dal giorno di pubblicazione dell’ordinanza cautelare dello stesso Tar laziale (3) prodromica alla decisione odierna, la stampa generalista, anche non specializzata, ha dedicato ampio spazio alla vicenda e, anche alla luce delle reazioni dell’operatore economico irlandese, il quale, ha già preannunciato il gravame al Consiglio di Stato. Al di là di quali possano essere gli sviluppi futuri, la decisione in esame appare tanto più importante non solo perché si colloca tra le prime decisioni di un giudice italiano su una norma ad hoc introdotta per affrontare il tema della tassazione dell’economia digitale o, meglio, di un modello d’impresa specifico di questa eco-
nomia (4), ma anche per le argomentazioni attraverso cui il Tar del Lazio è arrivato a respingere le doglianze di Airbnb. Il ricorso dell’operatore irlandese, sviluppato essenzialmente in quattro motivi, mirava a infirmare il provvedimento dell’Agenzia delle Entrate sopracitato e, più in generale, a contestare la validità dell’art. 4 di questo decreto, in cui il legislatore ha positivizzato un particolare “regime fiscale delle locazioni brevi”. Sotto l’aspetto processuale, infatti, il Tar ha ritenuto inammissibile il ricorso nei confronti della Circolare dell’Agenzia delle Entrate n. 24/E del 12 ottobre 2017, data la natura di semplice parere di quest’atto dell’Amministrazione Finanziaria e, dunque, non immediatamente e direttamente lesivo dei diritti e degli interessi legittimi. L’impugnazione del provvedimento, invece, aveva lo scopo di sospenderne l’efficacia e di far dichiarare l’illegittimità del regime fiscale degli affitti brevi, senza aspettare l’emanazione di avviso di accertamento nei confronti dell’operatore irlandese e l’instaurazione di un giudizio dinanzi alle Commissioni Tributarie. In sostanza, questa normativa, già rinominata in modo evocativo “Airbnb Tax” (5), aveva lo scopo specifico di lottare contro l’evasione fiscale nel settore economico degli affitti di breve durata, cioè non superiore a tren-
(1) Tar del Lazio, 18 febbraio 2019, sent. n. 2207, reperibile per esteso all’indirizzo <www.giustizia-amministrativa.it>. (2) Per un approfondimento su questo regime fiscale si veda Beretta, Il regime fiscale delle locazioni brevi, in Dir. pratica trib., 2018, 1011.
(4) Marè, Le basi imponibili che sfuggono nei bit, Il sole 24 ore, 20 aprile 2017, 23.
(3) Tar del Lazio, 18 ottobre 2017, ord. n. 5442, reperibile all’indirizzo <www.giustizia-amministrativa.it>.
(5) Allena, The Web Tax and Taxation of the Sharing Economy: Challenges for Italy, in European Taxation, 2017, 7, 1.
DIRITTO DI INTERNET N. 2/2019
391
GIURISPRUDENZA AMMINISTRATIVA ta giorni (art. 4, co. 1) e fuori dall’esercizio d’attività d’impresa (6). Per raggiungere tale scopo, il legislatore ha onerato taluni soggetti (7), incluso il portale Airbnb, di obblighi formali e sostanziali tipici della sostituzione d’imposta che si concretano nell’operare una ritenuta a titolo d’imposta del 21% sull’ammontare dei canoni e corrispettivi riscossi all’atto del pagamento al beneficiario e nel provvedere al relativo versamento, oltre a raccogliere ogni dato relativo al contratto concluso per il loro tramite (8). Una piccola variazione a tale sistema è prevista nel caso in cui l’impresa esercente l’attività di intermediazione non sia residente e non abbia una stabile organizzazione in Italia. In tale ipotesi, il soggetto estero, senza collegamento alcuno con il territorio dello Stato, deve nominare un rappresentante fiscale per adempiere agli obblighi fiscali, in qualità non di sostituto d’imposta, ma di responsabile d’imposta (9). Ciò considerato, ben si comprendono le doglianze dell’operatore digitale, il quale è passato da una sostanziale de-regulation a una serie di stringenti obblighi di natura tributaria (10). Sulla scorta di quanto sostenuto nel ricorso, la presente nota affronterà la principale questione di natura fiscale che è stata affrontata dal giudice amministrativo e, in particolare, la possibile incompatibilità con il diritto europeo ovvero incostituzionalità dell’obbligo
(6) Probabilmente anche alla luce della giurisprudenza della Corte di Giustizia dell’Unione Europea sarebbe stato più opportuno parlare di “attività economica” così come interpretata in Corte di Giustizia del 26 settembre 1996, Enkler, C-230/94, in Racc. 1996, I-04517. (7) L’art. 4 recita testualmente “soggetti che esercitano attività di intermediazione immobiliare, ovvero soggetti che gestiscono portali telematici, mettendo in contatto persone in cerca di un immobile con persone che dispongono di unità immobiliari da locare”. (8) Sostanzialmente si tratta dei dati relativi a nome, cognome e codice fiscale del locatore, nonché la durata del contratto, il corrispettivo lordo e l’indirizzo dell’immobile (cfr. par. 3.1. del Provvedimento del Direttore dell’Agenzia delle Entrate del 12.07.2017). Peraltro, Lombardi, La regolarizzazione delle ritenute al 21% non operate dai property managers e dalle agenzie immobiliari. Il caso Airbnb, in Immobili e proprietà, 2018, 11, 657, rileva significativamente che “la comunicazione dei dati relativi ai contratti in cui gli intermediari sono intervenuti è divenuto il tema più conteso, a causa della sua importanza strategica. Airbnb e l’Amministrazione Finanziaria hanno infatti finalità e motivazioni strategiche contrapposte sulle informazioni relative alle proprietà e ai beneficiari dei pagamenti”. (9) Sebbene entrambe le figure siano disciplinate dall’art. 64 del d.P.R. n. 600/1973, fondamentalmente, il sostituto (commi 1-2) si distingue dal responsabile (comma 3), poiché il primo è obbligato “in luogo di altri”, mentre il secondo è obbligato “insieme ad altri”. Cfr. Carinci - Tassani, Manuale di diritto tributario, Torino, 2018, 23. (10) Autorità della Concorrenza e del Mercato, Segnalazione del 24 novembre 2017, prot. nn. 13, n. 8, trasmessa ai Presidenti delle Camere, al Ministro dell’Economia e delle Finanze e Direttore dell’Agenzia delle Entrate.
392
DIRITTO DI INTERNET N. 2/2019
per la piattaforma di svolgere attività sostanzialmente tipiche del sostituto d’imposta (11) o della responsabilità d’imposta.
2. La legittimità della sostituzione (o della responsabilità) tributaria nell’ambito delle locazioni brevi
In prima battuta si deve rilevare che, apparentemente, la misura introdotta non riguarda la tassazione dei portali online, ma gli aspetti sostanziali e procedurali della tassazione dei corrispettivi derivanti da locazione breve. È ovvio, però, che la soluzione individuata incida pesantemente e particolarmente sul soggetto ricorrente e, in generale, su tutte le piattaforme online che offrono servizi simili. Per raggiungere lo scopo di tassare effettivamente i redditi derivanti da locazioni brevi, il legislatore ha pensato di istituire un meccanismo di ritenuta alla fonte sui corrispettivi pagati dal cliente della piattaforma e versati dalla stessa piattaforma al possessore dell’immobile. La soluzione, in verità, non appare così originale, visto che una ritenuta alla fonte (withholding taxation) (12) sui pagamenti da parte di residenti di un Paese per l’acquisizione di beni e servizi acquistati online da fornitori non residenti è da sempre una delle alternative proposte al sistema attuale di tassazione dell’economia digitale in generale (13). Peraltro, si deve evidenziare che, più di altri, questo modello di business, praticato dalle piattaforme online di intermediazione immobiliare, ben si presta all’applicazione di questo tipico istituto del diritto tributario. La ritenuta, infatti, costituisce lo strumento utilizzato per effettuare alla fonte il prelievo tributario, nel momento cioè in cui il reddito viene erogato da un soggetto al suo titolare (14). Nel sistema congegnato da Airbnb, il necessario passaggio del flusso di denaro presso di sé consente alla stessa di poter effettivamente intervenire nel pagamento, operando la cd. stoppage at source.
(11) Sul tema della procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi per tali società si rinvia al commento che segue, in questa Rivista, di Piacentini. (12) Brauner - Pistone, Adapting Current International Taxation to New Business Models: Two Proposals for the European Union, in Bulletin for International Taxation, 2017, 12, 1; Kofler - Mayr - Schlager, Taxation of the Digital Economy: A Pragmatic Approach to Short-Term Measures, in European Taxation, 2018, 32. (13) Si veda, per esempio, OECD (2015), Addressing the Tax Challenges of the Digital Economy, Action 1 - 2015 Final Report, OECD/G20 Base Erosion and Profit Shifting Project, OECD Publishing, Paris, reperibile all’indirizzo <http://dx.doi.org/10.1787/9789264241046-en>. (14) Cipolla, Ritenuta alla fonte, in Dig. disc. priv., Sez. comm., 1996, 1.
GIURISPRUDENZA AMMINISTRATIVA È, comunque, di interesse che un istituto assai antico (15) come la sostituzione riesca ad essere così malleabile da poter essere adattato anche all’economia digitale. In effetti, come in questo caso, la sostituzione tributaria consente di raggiungere molteplici finalità (16): l’anticipazione del prelievo al momento dell’erogazione del reddito, la riduzione dei soggetti da sottoporre a controlli, l’effettuazione del prelievo in capo ad un soggetto che non ha interesse a celare la ricchezza imponibile. In considerazione del modulo procedimentale della sostituzione e delle sue finalità pare possibile affermare che, in prima battuta, sia ragionevole l’individuazione di un sostituto, quale la piattaforma digitale, se e solo se tale soggetto abbia la detenzione di una somma che costituisce una ricchezza potenzialmente imponibile in capo al sostituito. La detenzione, infatti, è la ragione di fatto che giustifica l’individuazione di un soggetto sostituto e che gli permette di operare la ritenuta, trattenendo una certa somma dal debito contratto nei confronti del sostituito, all’atto della sua corresponsione al sostituito medesimo. In tal modo, operando la ritenuta, il sostituto assolve, contemporaneamente, all’obbligo di rivalsa, che realizza il trasferimento dell’onere tributario sul sostituito. Ciò considerato, è però chiaro che non basta che il soggetto abbia la detenzione di una somma che dovrà essere erogata ad un altro perché questo sia individuabile come sostituto d’imposta. Infatti, bisogna far riferimento ai criteri della ragionevolezza o della proporzionalità nell’individuazione di un sostituto. Richiamando gli obblighi formali che incombono ex lege sulla figura del sostituto, si sostiene che questo principio risulti rispettato laddove si individui come sostituto un soggetto già provvisto, in ragione della propria attività, di una seppur minimale organizzazione amministrativa e contabile che gli consenta di adempiere ai già menzionati obblighi (17).Proprio per questa ragione, l’ordinamento ha previsto un regime di responsabilità d’imposta con nomina di un rappresentante per i soggetti i quali non abbiano una presenza fisica nel territorio dello Stato. Insomma, sotto questo profilo, non pare essere problematica l’individuazione astratta della piattaforma come sostituto d’imposta. Tuttavia, l’attribuzione di tale qualifica onera il soggetto a compiere una serie di attività formali (dichiarazioni, comunicazioni) e so-
(15) Pignatone, Sostituzione tributaria e prelievo alla fonte, Padova, 1993, 174. (16) Parlato, Il responsabile ed il sostituto d’imposta, in Trattato di diritto tributario, diretto da Amatucci, II, Il rapporto giuridico tributario, Padova, 1994. (17) Basilavecchia, Sostituzione tributaria, in Dig. comm., IV, Torino, 1998, 78.
stanziali (adempimento e versamento delle ritenute) che, chiaramente, incidono profondamente nell’attività del player digitale. Come vedremo, questo è stato uno degli argomenti forti utilizzati dal ricorrente affinché il giudice dichiarasse l’illegittimità della norma perché discriminatoria nei confronti di altri soggetti non aventi tali obblighi. Un’altra critica, invero, è stata mossa nei confronti dell’obbligo di nomina del rappresentante fiscale, su cui si tornerà nel par. 4. Si è affermato che un simile obbligo, secondo gli orientamenti consolidati della giurisprudenza comunitaria, costituirebbe una misura illegittima e contrastante con il diritto europeo e, in particolare, con l’art. 56 TFUE, che statuisce il principio della libera prestazione di servizi. In questo caso, il giudice amministrativo ha risposto negativamente alla doglianza, affermando, sempre in ragione del principio di proporzionalità che questa misura era idonea e proporzionata per raggiungere lo scopo di lottare contro una “rilevantissima evasione fiscale, non ravvisandosi misure meno gravose effettivamente e concretamente idonee ad assicurare lo stesso risultato”. In aggiunta a ciò, ha sottolineato che la nomina di un rappresentante fiscale per la società non residente rappresenta un vantaggio nell’adempimento degli obblighi tributari, in particolare, di quelli formali, poiché cristallizzerebbe il fatto che l’impresa digitale non abbia costituito una stabile organizzazione nel territorio dello Stato con le note conseguenze sul piano della determinazione dell’imponibile. Su questo specifico punto, la Corte passa in rassegna un unico mezzo alternativo e, significativamente, meno oneroso per l’impresa che è la cooperazione amministrativa tra Stati e, nello specifico, lo scambio di informazioni. È ovvio, però, che in un settore come la sharing economy, in cui vi sono una molteplicità di contratti conclusi tra una molteplicità di soggetti non sembra ipotizzabile che uno Stato interessato ad accertare la singola evasione dell’imposta sulla percezione di un reddito da affitto breve attivi uno scambio di informazioni con un altro Stato. A parere del Tribunale amministrativo, la mancanza di mezzi diversi giustifica la scelta del mezzo svolta dal governo italiano.
3. La pretesa incostituzionalità e incompatibilità del regime in quanto discriminatorio: la risposta della Corte e l’utilizzo del principio di proporzionalità
Ciò premesso, secondo l’operatore digitale, tra i diversi motivi, il regime fiscale sopra descritto si porrebbe in contrasto in contrasto con i principi europei di libera prestazione dei servizi e di diritto di stabilimento all’interno degli Stati membri, oltreché, più in gene-
DIRITTO DI INTERNET N. 2/2019
393
GIURISPRUDENZA AMMINISTRATIVA rale, con le disposizioni dei Trattati dell’Unione volte a garantire l’effettività della concorrenza, nonché un ostacolo allo sviluppo di modelli di business innovativi nell’ambito della c.d. sharing economy. In aggiunta, la norma sarebbe in contrasto con i principi costituzionali di ragionevolezza ed eguaglianza, di libertà di iniziativa economica e di tutela della concorrenza, alla luce dell’ingiustificata selezione degli operatori soggetti alle prescrizioni ex art. 4 d.l. n. 50/2017. Partendo da quest’ultima doglianza di diritto interno, il giudice ha ritenuto che l’imposizione di questi obblighi non incida sulla possibilità per gli operatori di continuare la loro attività economica, comportando solo in capo ad essi alcuni oneri gestionali aggiuntivi, i quali, peraltro, sono stati resi necessari per fronteggiare un grave fenomeno di evasione fiscale. Pertanto, questa normativa sarebbe giustificata e proporzionata alla luce della preminente esigenza dello Stato di garantire gli introiti tributari, dovendo l’art. 41 Cost. essere bilanciato anche con gli artt. 2 e 53 Cost. Per quanto riguarda i profili di diritto europeo, anche se comunque collegati alla tutela costituzionale della concorrenza, i motivi addotti dalla parte sono sinteticamente riconducibili a tre tipi: a) discriminazione tra operatori digitali del medesimo settore merceologico a seconda che intervengano o meno nel pagamento; b) discriminazione tra operatori dell’intermediazione immobiliare a seconda che siano tradizionali o digitali; c) discriminazione tra operatori di diversi settori, ma, comunque, legati all’intermediazione digitale. Dunque, una prima forma di discriminazione riguarderebbe il diverso trattamento tra operatori in ragione del diverso modello di business adottato, poiché attribuirebbe agli intermediari che non intervengono nel pagamento un’indebita agevolazione in riferimento agli adempimenti amministrativi ovvero tra operatori che utilizzano mezzi alternativi. Secondo il giudice, invece, la normativa esaminata è proporzionale comparando mezzo utilizzato e obiettivi prefissati. In particolare, afferma che l’eccezione di disparità di trattamento non può essere accolta poiché il legislatore ha disciplinato in maniera differente situazioni di fatto differenti. Sarebbe stato illogico e, probabilmente, aggiungiamo noi, incostituzionale, onerare l’intermediario che non interviene nel pagamento di operare una ritenuta su un flusso su cui teoricamente non avrebbe alcun potere di intervenire di fatto e di diritto. In secondo luogo, Airbnb sostiene che vi sarebbe discriminazione anche rispetto alle piattaforme peer to peer operanti in ambiti diversi da quello immobiliare, ma che, esattamente come Airbnb, mettono in contatto soggetti che agiscono all’infuori della propria attività imprenditoriale per la conclusione di una tran-
394
DIRITTO DI INTERNET N. 2/2019
sazione come, ad esempio, la vendita di prodotti o la fornitura di servizi. Secondo il giudice, la fattispecie in esame riguarda la tassazione dei proventi delle locazioni brevi e pertanto non è invocabile alcuna disparità di trattamento rispetto a fattispecie del tutto diverse, concernenti altri settore dell’economia digitale, non disciplinate (al momento) dal legislatore. È evidente che la norma discrimini un modello di business rispetto agli altri. Ciò che, però, deve essere valutato è se questa discriminazione sia proporzionata con l’obiettivo da raggiungere, ossia l’emersione dell’economia nera degli affitti brevi. Sembra chiaro, in premessa, che un soggetto che non voglia sottoporsi agli obblighi fiscali si possa rivolgere ad altri intermediari non soggetti a questa disciplina. Tuttavia, la tendenza al monopolio e, soprattutto, all’auto-regolamentazione dell’economia digitale spinge sempre di più le persone a rivolgersi a intermediari qualificati, soprattutto, quando si discute dell’economia della condivisione. Il modello di business di Airbnb ha avuto un certo successo anche perché garantisce un certo grado di certezza alle transazioni, anche grazie al fatto che i pagamenti transitano sulla piattaforma stessa e non sono lasciati alle parti offline. Premesso questo, onerare questo modello di business di un aggravio procedimental-fiscale apparrebbe giustificato poiché è un modello assolutamente non assimilabile ad altri, sebbene contigui. Pertanto, almeno sul punto specifico, la disciplina opera sì una discriminazione, ma giustificata dalla diversità di situazioni di fatto.
4. Conclusioni (necessariamente) provvisorie
Al di là dei ragionamenti appena svolti, sembra comunque emergere in tutta evidenza che in questa partita abbia giocato un ruolo fondamentale il dato fattuale sui fenomeni di evasione. Ciò è di tutta evidenza se si analizzano le motivazioni utilizzate nella decisione, in cui il giudice relatore ha fatto più volte cenno a dati numerici sia sul volume d’affari di Airbnb sia, genericamente, all’evasione fiscale delle locazioni brevi. In questo modo si giustificano strumenti di esazione che possono garantire un gettito sicuro e pone al riparo da fenomeni di evasione come questa Airbnb tax. Ciò detto, questo regime presenta alcune perplessità che, però, nella sentenza non sono state valorizzate appieno. La normativa, infatti, sembra essere stata costruita, pensando non tanto al fenomeno degli “affitti in nero”, quanto al modello economico della società ricorrente, contrariamente al fatto che questa misura dovrebbe riguardare la tassazione dei canoni e non già degli operatori economici. Agendo così, però, il legislatore, da un lato, onera questo operatore economico di pesanti obblighi fiscali, dall’altro, paradossalmente,
GIURISPRUDENZA AMMINISTRATIVA sembra garantirne una posizione dominante. In altre parole, per ottemperare a questi obblighi, gli intermediari si dovranno dotare di una serie di strumenti in grado di gestire il gran numero di dati da comunicare all’Erario, oltre che per adempiere gli obblighi sostanziali. È di tutta evidenza che a soffrirne saranno le start-up del settore, le quali potrebbero essere tagliate fuori dal mercato, a meno che non si adoperino con i mezzi di cui sopra ovvero cambino il loro business model. Viceversa, la dimensione raggiunta da Airbnb consentirà alla stessa di poter ottemperare a tali obblighi in modo assai più agebole. In effetti, questa disciplina non opera una distinzione su base quantitativa e, per questo, anche piccolissime imprese digitali sarebbero soggette a tale regime, differentemente con quanto pensato nelle due versioni di web tax approvate dal Parlamento italiano nelle leggi di bilancio 2018 e 2019, ma mai entrate in vigore (18). Oltre a questo, sulle altre perplessità si è dato conto nel corso dell’analisi, tra cui la proporzionalità nell’indicazione di un rappresentante fiscale da parte dell’operatore non residente e, ancora, nei pesanti obblighi in capo alla piattaforma responsabile d’imposta. Insomma, la sentenza in epigrafe, a causa della notorietà del soggetto coinvolto, sicuramente sarà fonte di un incessante dibattito, anche perché, in seguito alla crisi economica del 2008, è invalso l’uso di ritenere
ormai insopportabile le sperequazioni del carico fiscale concentrato tanto sul lavoro e poco sul capitale e non in grado di lottare efficacemente contro gli schemi elusivi ed evasivi predisposti dalle multinazionali e, in particolare, da quelle del settore digitale. Sostenendo che queste imprese abbiano eroso le loro basi imponibili, allocando i propri redditi in Stati a fiscalità privilegiata per ridurre pesantemente il proprio carico fiscale sia nello Stato di residenza sia nello Stato della fonte con strumenti contrattuali e societari altamente sofisticati. Tuttavia, questa “caccia” ai redditi digitali si impone nel dibattito, alterandone i termini essenziali. Non si tratta, qui, di tassare le multinazionali perché non contribuiscono alle pubbliche spese, ma si cerca, attraverso le stesse, di intercettare dei redditi che altrimenti non sarebbero mai stati individuati. Partendo da questo presupposto, la strada di una collaborazione con gli intermediari digitali affinché questi aiutino l’Erario a combattere forme di evasione diffusa come, ma non solo, quella degli affitti brevi, potrebbe aprire nuovi scenari in cui il tema non sarà solo quello della tassazione dell’economia digitale, ma quello dell’utilizzo del digitale nel procedimento tributario. Per questo, si potrebbero modificare i termini del discorso, parlando più che di “Airbnb tax” di “tassazione attraverso Airbnb”.
(18) Pedrotti, Prime riflessioni in merito all’abrogato Imposta sulle Transazioni Digitali e all’Imposta sui Servizi Digitali introdotta dalla l. 30 dicembre 2018 n. 145, in Riv. Dir. Trib., 2019, 1.
DIRITTO DI INTERNET N. 2/2019
395
GIURISPRUDENZA AMMINISTRATIVA
IL COMMENTO
di Matteo Piacentini Sommario: 1. Introduzione. – 2. La società dell’informazione e il procedimento di notifica alla Commissione. – 3. I limiti del principio comunitario di libera prestazione di servizi. L’incessante crescita del fenomeno delle locazioni turistiche (c.d. “locazioni brevi”) non è passata inosservata agli occhi del legislatore che con D.L. 50 del 2017 recante “Disposizioni urgenti in materia finanziaria, iniziative a favore degli enti territoriali, ulteriori interventi per le zone colpite da eventi sismici e misure per lo sviluppo”, convertito con L. 96 del 2017, ha previsto nuovi obblighi per chi concede in locazione immobili ad uso abitativo per una durata non superiore a trenta giorni. In particolare, l’articolo 4, D.L. 50/2017, oltre a fornire una definizione delle locazioni brevi precisa, pure, che i soggetti che esercitano attività di intermediazione immobiliare, anche tramite la gestione di portali telematici, dovranno trattenere l’importo dell’imposta dovuta sul canone di locazione direttamente dal compenso incassato, per poi versare il corrispettivo all’erario. L’emissione del provvedimento di attuazione da parte dell’Agenzia delle Entrate permette di affrontare il tema dei servizi delle società dell’informazione, per comprenderne caratteristiche e aspetti essenziali, alla luce della direttiva UE, 9 settembre 2015, n. 1535 che prevede una procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi per tali società. The incessant growth of the phenomenon of tourist locations (so-called “short leases”) has not gone unnoticed to the eyes of the legislator that with D.L. 50 of 2017 on “Urgent provisions in financial matters, initiatives in favor of local authorities, further interventions for areas affected by seismic events and development measures”, converted with Law 96 of 2017, provided for new obligations for those who grant in lease properties for residential purposes for a period not exceeding thirty days. In particular, Article 4, Legislative Decree 50/2017, not only provides a definition of short leases, but also states that the one who carry out real estate brokerage activities, including through the management of telematic portals, must withhold the amount of tax due on the rent directly from the fee cashed, and then pay the fee to the Tax Authorities. The implementation measure by the Revenue Agency allows us to address the issue of information society services, as well as to understand their characteristics and essential aspects, in the light of the EU directive, September 9, 2015, no. 1535 which provides for an information procedure in the sector of technical regulations and rules relating to services for these companies.
1. Introduzione
Con la sentenza del T.A.R. Lazio in esame il giudice amministrativo si pronuncia sul ricorso proposto da Airbnb (società che gestisce il noto portale telematico che offre servizi di intermediazione immobiliare) avverso il provvedimento dell’Agenzia delle Entrate che ha dato attuazione al regime fiscale introdotto per le locazioni brevi dall’art. 4, commi 4, 5 e 5-bis del D.L. 24 aprile 2017 n. 50. A mente della norma citata si definiscono locazioni brevi quei contratti di locazioni di immobili ad uso abitativo di durata non superiore a trenata giorni, stipulati da persone fisiche direttamente o tramite soggetti che esercitano attività di intermediazione immobiliare ovvero che gestiscono portali telematici, mettendo in contatto persone in cerca di un immobile con persone che dispongono di unità immobiliari da locare (art. 4, comma 1). La normativa, inoltre, prevede che le società che svolgono attività di intermediazione immobiliare o gestiscono portali web in tale ambito – come Airbnb – devono operare una ritenuta del 21% sull’ammontare dei canoni e corrispettivi all’atto del pagamento, da versare poi al Fisco in qualità di sostituti d’imposta. Nel caso, poi, in cui il medesimo soggetto non risieda in Italia e sia riconosciuto privo di una stabile organizzazione, lo stesso sarà tenuto a nominare un responsabile fiscale in qualità di responsabile d’imposta. Alla luce di tale assetto normativo è stato, dunque, emanato, ai sensi dell’art. 4, comma 6, D.L. 50/2017, il
396
DIRITTO DI INTERNET N. 2/2019
provvedimento del direttore dell’Agenzia delle Entrate oggetto di impugnazione. In particolare la società ricorrente lamenta illegittimità in punto di omessa disapplicazione dell’articolo 4 quale atto normativo in contrasto con la direttiva UE, 9 settembre 2015, n.1535 (1) per mancata previa comunicazione alla Commissione europea dell’introduzione di regole tecniche nella società d’informazione e, oltre a ciò, deduce una serie di doglianze del provvedimento medesimo per illegittima imposizione di obblighi di operare come sostituto o responsabile d’imposta e di istituire un rappresentante fiscale in Italia in violazione del principio di libera prestazione di servizi dettato dall’articolo 56 TFUE. Questo scritto si pone l’obbiettivo di enucleare i principi di diritto trattati nella pronuncia del giudice amministrativo per fornire una completa disamina delle procedure che possono rientrare nel perimetro dei servizi della società dell’informazione.
2. La società dell’informazione e il procedimento di notifica alla Commissione
L’Unione europea si è trasformata da semplice spazio comune con finalità di condivisione di regole economi-
(1) Il testo è disponibile al seguente indirizzo <http://www.juscivile. it/normativaeuropea/Direttiva_2015_1535_UE_servizi_della_societa_ dell_informazione.pdf>.
GIURISPRUDENZA AMMINISTRATIVA che, in un organismo internazionale al quale gli Stati membri hanno affidato il compito di realizzare un’integrazione effettiva, giuridica, politica, economica e sociale, tra i membri di una Comunità che oramai si avvia a rappresentare la quasi totalità del territorio europeo (2). Il percorso che sta conducendo verso una sempre maggiore valorizzazione delle istituzioni comunitarie ha ricevuto un decisivo e positivo impulso dalle innovazioni tecnologiche, che hanno permesso di ridurre le distanze tra gli Stati e i popoli costituenti l’UE, accelerando il processo di integrazione che conduce verso la formazione di un soggetto giuridico ogni giorno meglio delineato e rappresentativo. In tale prospettiva, la trasformazione del quadro industriale del mondo sviluppato è stata accompagnata, negli anni recenti, dalla liberalizzazione e dalla diffusione spasmodica di Internet. La caratteristica reticolare che hanno assunto attualmente l’economia e le società ha determinato la nascita delle cosiddette “società dell’informazione” (3). Conseguenza naturale dell’imporsi di questa nuova forma societaria è stata l’emanazione di una normativa che ne regolasse gli aspetti e i principi di maggiore rilevanza nell’ottica di formare un mercato interno di settore in cui fosse assicurata la libera circolazione delle merci, delle persone, dei servizi e dei capitali (4). Il 14 aprile 2003, con la pubblicazione nella Gazzetta Ufficiale del D.Lgs. n. 70, è stata attuata nel nostro ordinamento l’importante direttiva UE 8 giugno 2000, n. 31 relativa alla disciplina dei servizi della società dell’informazione (5). Tale direttiva rappresenta una tappa decisiva nella creazione a livello comunitario di un quadro organico, specifico e chiaro di regole giuridiche per un fenomeno, quello del commercio elettronico, che si è imposto all’attenzione degli studiosi e si è arricchito di figure (2) Per approfondimenti: Ganino, Venturini (a cura di), Europa di domani: Verso l’allargamento dell’Unione, Milano, 2002; Nelli Feroci, L’allargamento dell’Unione europea. Implicazioni geo-politiche e aspetti istituzionali, Milano, 2002; La Pergola, Costituzione ed integrazione europea: il contributo della giurisprudenza costituzionale, Milano, 1999. (3) Il termine “società dell’informazione” è stato coniato, nell’ambito degli organismi UE, in occasione della stesura del libro bianco della Commissione Europea del 1993, c.d. “rapporto Delors”, nel quale venivano analizzate le conseguenze economico-sociali prodotte dallo sviluppo tecnologico nei diversi paesi europei. (4) La normazione delle innovazioni nel settore delle tecnologie dell’informazione e della comunicazione riflette, infatti, la necessità, da parte delle istituzioni comunitarie, di garantire servizi ed attività finalizzati al miglioramento delle condizioni di vita in generale, e capace di incentivare i processi d’interazione tra soggetti, pubblici e privati, non più vincolati da distanze di carattere fisico. (5) I testi sono disponibili ai seguenti link <https://www.camera.it/ parlam/leggi/deleghe/03070dl.htm>; <https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32000L0031&from=IT>.
negoziali atipiche, in cui largo spazio di influenza hanno l’accesso gratuito ai servizi di Internet, la cessione di beni e servizi, o l’utilizzo di prodotti incorporali a titolo oneroso (6). Il considerando 18 della direttiva 31/2000 in tal senso è confermativo. Si legge infatti che i servizi della società dell’informazione abbracciano una vasta gamma di attività economiche svolte on line e non sempre si tratta di servizi che portano a stipulare contratti on line ma anche servizi non remunerati dal destinatario nella misura in cui costituiscono un’attività economica quale può essere l’offerta di informazioni commerciali. La sempre maggior attenzione all’aspetto informativo ha portato all’emanazione della più recente direttiva europea di settore che, a tutela del buon funzionamento del mercato interno, prevede una procedura d’informazione nel settore delle regole relative ai servizi delle società dell’informazione. La direttiva UE 1535/2015 si basa, infatti, sul presupposto che in un mercato interno in cui si assicuri un contesto favorevole alla competitività delle imprese, un migliore sfruttamento – da parte delle imprese stesse – dei vantaggi inerenti a detto mercato esige una maggiore informazione. Pertanto, secondo la menzionata direttiva, è opportuno, ai fini della certezza giuridica, che gli Stati membri rendano pubblico che una regola tecnica nazionale è stata adottata nel rispetto delle formalità presenti nella direttiva stessa (7). A mente dell’articolo 5 della norma europea, infatti, “(…) gli Stati membri comunicano immediatamente alla Commissione ogni progetto di regola tecnica (…)” e ancora “All’occorrenza, e a meno che non sia già stato trasmesso in relazione con una comunicazione precedente, gli Stati membri comunicano contemporaneamente alla Commissione il testo delle disposizioni legislative e regolamentari fondamentali, essenzialmente e direttamente in questione, qualora la conoscenza di detto testo sia necessaria per valutare la portata del progetto di regola tecnica”. Rispetto a tale obbligo di comunicazione si ritiene opportuno dover valutare la possibile disapplicazione da parte dell’Agenzia delle Entrate dell’articolo 4 del D.L. 50/2017 stante che una disposizione che impone obblighi per l’esercizio del servizio offerto tramite un portale telematico rientrerebbe nel novero di quei “progetti di regola tecnica” richiamati dalla direttiva e quindi soggetti a notifica alla Commissione UE. L’articolo 1 della disposizione europea fornisce la definizione di alcuni concetti chiave per comprendere se effettivamente il contenuto del D.L. 50/2017 debba essere soggetto a previa comunicazione o meno. In particolare,
(6) Panuccio Dattola (a cura di), Servizi della società dell’informazione e mercato informatico, Milano, 2003. (7) Si vedano i considerando (6), (7), e (8) della direttiva (UE) 1535/2015.
DIRITTO DI INTERNET N. 2/2019
397
GIURISPRUDENZA AMMINISTRATIVA le definizioni utili a fini dirimenti la questione trattata sono quelle di “regola relativa ai servizi” e “regola tecnica” pure richiamate nella pronuncia del T.A.R. Lazio qui in esame. Secondo la direttiva 1535/2015 si intende per “regola relativa ai servizi” qualsiasi requisito di natura generale relativo all’accesso alle attività di servizio della società dell’informazione e al loro esercizio, in particolare le disposizioni relative al prestatore di servizi, ai servizi e al destinatario di servizi, ad esclusione delle regole che non riguardino specificatamente i servizi ivi definiti. La norma precisa pure che “una regola non si considera riguardante specificamente i servizi della società dell’informazione se essa riguarda tali servizi solo in modo implicito ed incidentale”. Il concetto di “regola tecnica”, invece, lo si identifica nella specificazione tecnica relativa ai servizi, comprese le disposizioni amministrative, la cui osservanza è obbligatoria per la commercializzazione e la prestazione di servizi in uno Stato membro, nonché le disposizioni legislative, regolamentari o amministrative degli Stati membri che vietano la prestazione o l’utilizzo di un servizio. La norma, inoltre, precisa che costituiscono regole tecniche “le specificazioni tecniche o altri requisiti o le regole relative ai servizi connessi con misure di carattere fiscale o finanziario che influenzano il consumo di prodotti o di servizi promuovendo l’osservanza di tali specificazioni tecniche o altri requisiti o regole relative ai servizi; non sono contemplati le specificazioni tecniche, o altri requisiti o le regole relative ai servizi connessi con i regimi nazionali di sicurezza sociale”. Ora, nel caso di specie, il giudice amministrativo ammette che una norma nazionale che obbliga soggetti che esercitano attività di intermediazione immobiliare attraverso la gestione di portali on line, qualora incassino i canoni o i corrispettivi relativi ai contratti di locazione, ad operare, in qualità di sostituti/responsabili d’imposta, una ritenuta del 21% sull’ammontare dei canoni e corrispettivi all’atto dell’accredito e a provvedere al relativo versamento, possa in astratto rientrare nell’ambito di applicazione della direttiva UE e quindi essere condizionata alla previa comunicazione alla Commissione. Ciò detto, pare opportuno verificare se l’obbligo contenuto nella normativa nazionale rientri nel perimetro delle menzionate definizioni. In primo luogo, come sottolinea il T.A.R Lazio, si rileva che la previsione del D.L. 50/2017 non ha ad oggetto propriamente un requisito di accesso al servizio ma solamente l’imposizione di un dovere incidentale all’espletamento dell’esercizio del servizio stesso – nel caso di specie servizio di intermediazione immobiliare – consentendo, quindi, di rientrare nel secondo periodo della definizione di “regola relativa ai servizi” che espressamente esclude ogni disposizione che abbia una mera natura implicita ed incidentale rispetto al servizio.
398
DIRITTO DI INTERNET N. 2/2019
D’altronde, il ragionamento del giudice amministrativo pare del tutto condivisibile se si riflette sulla circostanza che una previsione normativa che indica le modalità di esazione di un’imposta diretta sui proventi di un servizio di locazioni brevi di immobili – imposta, tra l’altro, prevista da normative nazionali interne che nulla riguardano l’attività di società dell’informazione – e non sui proventi del servizio di intermediazione non può certo ritenersi rilevante ai fini informativi richiesti dalla direttiva comunitaria. Tale interpretazione trova conferma nella recente sentenza della Corte di Giustizia 10 aprile 2018 Grande Sezione, nella causa C-320/16, chiamata a pronunciarsi sula caso Uber contro Francia, pure citata nella sentenza qui in oggetto. Dalla disamina della sentenza europea, in una fattispecie non identica ma caratterizzata da profili di interesse per la vicenda Airbnb, emerge come in caso di servizi di intermediazione effettuati in via elettronica occorre fare un distinguo tra il servizio della società dell’informazione e il servizio oggetto dell’attività di intermediazione. La Corte europea ha, infatti, riconosciuto l’intermediazione come meramente accessoria al servizio di trasporto, in quanto “il servizio di intermediazione fornito dalla società interessata era indissolubilmente legato all’offerta di servizi di trasporto urbano non collettivo creata dalla stessa”. Nel caso Airbnb, invece, l’attività di intermediazione è ben distinta da quella di locazione breve posta in essere dai proprietari di immobili, la quale, come detto, è regolata dalla disciplina nazionale della tassazione sui redditi. Il T.A.R. Lazio, quindi, conclude statuendo che “Nel caso di specie (…) non è possibile applicare la normativa in materia di servizi alle società dell’informazione, con riferimento alle prestazioni di servizio di locazioni di immobili, che devono essere tenute distinte da quelle di intermediazione”. Un’ulteriore conferma dell’estraneità dell’articolo 4 del D.L. 50/2017 alla disposizione comunitaria può trarsi poi dal contenuto della definizione di “regola tecnica” sopra richiamata. La direttiva specifica, infatti, che deve trattarsi di misure di carattere fiscale o tributario che influenzano il consumo dei prodotti o servizi offerti. Quindi, non ogni misura di carattere fiscale connessa ai servizi della società dell’informazione è rilevante ai fini della comunicazione alla Commissione, ma solo quelle misure che possono influenzare il consumo di detti servizi, ad esempio, come riporta il giudice amministrativo nella sentenza in commento, “mediante incentivi o sgravi, al fine di promuovere determinate specifiche tecniche dei servizi commercializzati”. Nel caso di specie si tratta di misure fiscali inerenti la modalità di esazioni di tributi comunque dovuti dai proprietari senza alcun carattere incentivante rispetto al servizio. Escludendo, in conclusione, che la disciplina contenuta nella disposizione nazionale possa rientrare nella defini-
GIURISPRUDENZA AMMINISTRATIVA zione sia di “regola relativa ai servizi” sia di “regola tecnica” il T.A.R. Lazio nega che l’articolo 4 D.L. 50/2017 debba essere soggetto a previa notifica alla Commissione europea.
3. I limiti del principio comunitario di libera prestazione di servizi
Secondo la direttiva UE 1535/2015 si definisce servizio della società dell’informazione qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. Pare chiaro, quindi, che da una così ampia definizione, i servizi delle società dell’informazione rientrano, di certo, nel novero di quelle attività meritevoli di tutela secondo il principio comunitario di libera prestazione di servizi. Ed infatti, Airbnb, lamenta proprio la violazione del principio contenuto nell’articolo 56 del Trattato sul Funzionamento dell’Unione Europea (TFUE) – in materia di libera prestazione di servizi – a mente del quale “…le restrizioni alla libera prestazione dei servizi all’interno dell’Unione sono vietate nei confronti dei cittadini degli Stati membri stabiliti in uno Stato membro che non sia quello del destinatario della prestazione”. Per comprendere, dunque, se l’articolo 4 in commento possa, effettivamente, essere considerato come disposizione ostativa della libera prestazione di servizi, pare opportuno scindere la questione in due sottoinsiemi: il primo comprendente la natura dell’obbligo di corrispondere l’imposta diretta sui canoni degli immobili locati a carico dei gestatori di portali web che esercitano l’attività di intermediazione immobiliare ed il secondo in riferimento all’obbligo, per gli stessi, di nominare di un rappresentante fiscale in Italia. In merito alla prima questione, occorre rilevare come, stante la ormai consolidata giurisprudenza della Corte di Giustizia, l’articolo 56 TFUE osti all’applicazione di qualsivoglia normativa nazionale che abbia l’effetto di rendere la prestazione di un servizio tra Stati membri più difficoltoso rispetto alla prestazione del medesimo servizio puramente interna. Infatti, la norma europea, esige l’eliminazione di ogni restrizione alla libera prestazione di servizi derivante dal fatto che il prestatore – nel caso qui discusso Airbnb – sia stabilito in uno Stato membro diverso da quello in cui sia fornita la prestazione (8). Ora, nel caso in esame, non pare di rilevare tale restrizione, dal momento che la disciplina dettata dall’articolo 4, comma 5 del D.L. 50/2017 impo (8) CGCE 25 luglio 2018, n. C-553/16, CGCE 8 marzo 2017, n. C-14/16, CGCE 24 novembre 2016, n. C-464/14, CGCE 21 dicembre 2016, n. C-593/14, CGCE 13 luglio 2016, n. C-18/15, in Dir. Pub. Comp. ed Eur. On line, 2018/1, 327 ss.
ne identici obblighi sia a carico di soggetti intermediari che hanno la residenza in Italia sia di quelli non residenti né stabiliti in Italia che gestiscono portali telematici mettendo in contatto persone in ricerca di un immobile con persone che dispongono di unità immobiliari da locare, qualora essi “incassino i canoni o i corrispettivi relativi ai contratti di cui ai commi 1 e 3, ovvero qualora intervengano nel pagamento dei predetti canoni o corrispettivi”. L’unica differenza è che mentre i soggetti residenti e stabiliti in Italia ottemperano all’obbligo di imposta diretta in qualità di sostituti di imposta, i soggetti transfrontalieri non stabiliti in Italia, ottemperano al medesimo obbligo mediante la nomina di un rappresentante fiscale in qualità di responsabili d’imposta. La seconda questione – la nomina di un responsabile d’imposta - merita particolare attenzione perché se è vero che l’obbligo di versare la cedolare secca al Fisco si applica a tutti i soggetti, sia stabiliti sia non stabiliti in Italia, la nomina del rappresentante fiscale, invece, è prevista unicamente per soggetti non residenti e non stabiliti in territorio italiano. In tale prospettiva si potrebbe, quindi, prospettare una chiara violazione del principio di libera prestazione di servizi sancito dalla Trattato comunitario. Sul punto, infatti, è lo stesso T.A.R. Lazio ad ammettere che “a proposito di tale censure, a differenza delle precedenti, si ravvisa certamente una lesione dell’art. 56 del Trattato, in quanto la misura dell’obbligo del responsabile d’imposta fiscale è rivolta unicamente ai soggetti che, come parte ricorrente, non sono stabiliti in Italia”. Airbnb, nella fattispecie qui in esame, richiamando alcune pronunce della Corte di Giustizia, rileva una violazione dell’articolo 56 TFUE, là dove i legislatori nazionali avrebbero potuto adottare “misure, volte a conseguire l’obbiettivo di garantire il pagamento di detta imposta, le quali sono meno pregiudizievoli per la libera prestazione di servizi rispetto all’obbligo di nominare un rappresentante responsabile residente” (9). Il punto centrale da valutare è dunque se detta misura, potenzialmente lesiva della libertà di prestazione di servizi sia o meno giustificata per motivi imperativi di interesse pubblico, come enucleati secondo i parametri indicati dalla stessa Corte UE. Secondo consolidata giurisprudenza, infatti, i provvedimenti nazionali che possono restringere l’esercizio delle libertà fondamentali garantite dal Trattato FUE possono essere ammessi a condizione che perseguano uno scopo legittimo compatibile con il Trattato e siano giustificati da motivi imperativi d’interesse pubblico, che siano idonei a garantire
(9) CGCE 23 dicembre 2004, n. C-522/04.
DIRITTO DI INTERNET N. 2/2019
399
GIURISPRUDENZA AMMINISTRATIVA il raggiungimento dello scopo perseguito e non eccedano quanto necessario per raggiungerlo (10). Sotto tale profilo, le pronunce richiamate dalla ricorrente, come giustamente evidenzia il T.A.R. Lazio, sanciscono una violazione del principio comunitario perché la
(10) CGCE 11 marzo 2004, n. C-9/02; CGCE 7 settembre 2006, n. C-470/04.
400
DIRITTO DI INTERNET N. 2/2019
Corte non ha ritenuto sussistere una idonea giustificazione, ma non pongono un principio assoluto di non compatibilità con il diritto europeo di nominare un rappresentante fiscale in capo ad un soggetto non stabilito.
GIURISPRUDENZA AMMINISTRATIVA
Sulla pubblicazione telematica dei provvedimenti di ammissione delle imprese concorrenti T.a .r. P uglia , Bari ; sezione I; sentenza 24 gennaio 2019, n. 109; Pres. Scafuri; Est. Fanizza; Omissis (avv. V. Martinelli) c. Comune di Acquaviva delle Fonti (avv. T. Milella) ed altro. La pubblicazione sul sito internet della stazione appaltante nella sezione “amministrazione trasparente” e in quella “bandi di gara” di un provvedimento di ammissione delle imprese concorrenti, adottato ai sensi dell’art. 29 del d.lgs. 50/2016, è idonea a concretare una presunzione di conoscenza di tale provvedimento e, quindi, a far decorrere il termine per la proposizione di un gravame ex art. 120, comma 2, bis, c.p.a.
…Omissis… La società omissis ha impugnato, chiedendone l’annullamento, l’avviso di aggiudicazione dell’appalto dei “lavori di arredo urbano pozzo Zuccaro, piazza Kennedy e dei percorsi del nucleo antico”, emesso dal Comune di Acquaviva delle Fonti in data 4 ottobre 2018, la nota di comunicazione di aggiudicazione definitiva del dirigente del settore tecnico - sezione lavori pubblici del 3 ottobre 2018; la determinazione n. 1038 dell’8 settembre 2018, relativa alla verifica sul possesso dei requisiti dell’aggiudicataria società omissis ed alla presa d’atto di tutti i verbali (dal n. 1 dell’8 febbraio 2018 al n. 11 dell’1 giugno 2018), questi ultimi pure impugnati “nella sola parte” in cui è stata ammessa in gara la predetta aggiudicataria, nonché la nota del Rup del 4 giungo 2018 (riguardante la comunicazione della proposta di aggiudicazione dell’appalto), la nota del Presidente della commissione di gara del 28 maggio 2018, la nota del Rup del 23 marzo 2018, la determinazione del dirigente del settore tecnico n. 98 dell’1 febbraio 2018 (istitutiva della commissione giudicatrice). …Omissis… All’udienza in camera di consiglio del 9 gennaio 2019 il Collegio ha avvisato i difensori delle parti costituite della possibile definizione della controversia con sentenza in forma semplificata ai sensi dell’art. 60 del codice del processo amministrativo e, non avendo registrato opposizioni, la causa è stata trattenuta per la decisione. Il ricorso è, in parte, irricevibile (primi due motivi) e, in parte, inammissibile per carenza d’interesse ed infondato (dal terzo all’ottavo motivo), nei sensi di seguito precisati. Con riguardo al primo e secondo motivo, si può prescindere dall’eccezione di tardività, opposta dalla società ricorrente, al deposito – da parte della controinteressata (in data 8 gennaio 2019) – della Pec che la stazione appaltante ha inviato il 4 giugno 2018 ai partecipanti alla procedura controversa – dunque anche alla società
omissis – per comunicare la proposta di aggiudicazione in favore della società omissis. Si tratta, infatti, di una circostanza incontestata in giudizio ai sensi dell’art. 64, comma 2 del codice del processo amministrativo, non avendo allegato prova, la ricorrente, del mancato adempimento, da parte dell’amministrazione, della previsione del bando secondo cui “la stazione appaltante, ai sensi dell’art. 40 e art. 50 del D.lgs. 50/2016, si avvarrà per tutte le comunicazioni inerenti la presente procedura di gara del mezzo elettronico e specificamente della posta elettronica certificata”. Senza contare, peraltro, che la controinteressata ha dato tempestiva prova in giudizio (produzione del 3 dicembre 2018) della pubblicazione di tale comunicazione: a) nell’albo pretorio on line; b) nella sezione “amministrazione trasparente” del sito internet comunale. Ciò premesso, occorre considerare, relativamente al regime di pubblicità degli atti volti a produrre effetti legali nelle procedure di evidenza pubblica, che ai sensi dell’art. 32 della legge 69/2009 “gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetti di pubblicità legale si intendono assolti con la pubblicazione degli stessi sui rispettivi siti informatici da parte delle amministrazioni e degli enti pubblici obbligati”. In attuazione della legge 69/2009 è stato emanato, con particolare riguardo ai contratti pubblici, il d.P.C.m. 26 aprile 2011, che ha fissato le modalità di pubblicazione nei siti informatici delle amministrazioni e degli enti pubblici, in particolare prevedendo, all’art. 4 che “le amministrazioni aggiudicatrici pubblicano i bandi, gli avvisi e gli esiti di gara sul profilo di committente in una apposita sezione dedicata, denominata ‘Bandi di gara’, direttamente raggiungibile dalla home page, dotata di caratteristiche di indirizzabilità e di ergonomicità tali da consentire un’immediata e agevole consultazione” (comma 1).
DIRITTO DI INTERNET N. 2/2019
401
GIURISPRUDENZA AMMINISTRATIVA Il richiamato regime di pubblicità è finalizzato a garantire una presunzione di conoscenza – o, a tutto concedere, di conoscibilità – degli atti pubblicati e, per quel che più interessa il presente giudizio, a produrre gli effetti giuridici cui tale pubblicità è preordinata, ossia la decorrenza dei termini per l’impugnazione degli atti della procedura reputati lesivi ai fini della spettanza dell’affidamento. Altro significato non può, del resto, ricavarsi dal disposto di cui all’art. 120, comma 2 bis del codice di rito, che ha fissato la decorrenza del termine per impugnare il provvedimento (in questo caso di ammissione) “dalla sua pubblicazione sul profilo del committente della stazione appaltante”. Tale profilo è la sezione “amministrazione trasparente” cui fa espresso cenno l’art. 29, comma 1 del d.lgs. 50/2016, ove è previsto che “al fine di consentire l’eventuale proposizione del ricorso ai sensi dell’articolo 120, comma 2 bis, del codice del processo amministrativo, sono altresì pubblicati” (appunto nella sezione “amministrazione trasparente”, non potendosi diversamente interpretare l’uso dell’avverbio “altresì”), nei successivi due giorni dalla data di adozione dei relativi atti, “il provvedimento che determina le esclusioni dalla procedura di affidamento e le ammissioni all’esito della verifica della documentazione attestante l’assenza dei motivi di esclusione di cui all’articolo 80, nonché la sussistenza dei requisiti economico-finanziari e tecnico-professionali”. Diversamente opinando, non si comprenderebbe la funzione stessa di tale disciplina nell’ordinamento degli appalti, alla quale fa da contrappunto l’onere dei con-
correnti di consultare, a tutela di proprie prerogative di (eventuale) censura, sia la sezione del sito informatico “bandi di gara” per conoscere lo stato della procedura di gara, sia la sezione “amministrazione trasparente” per avvedersi del momento in cui siano stati comunicati gli esiti della selezione soggettiva dei concorrenti. Un sistema improntato alla responsabilizzazione dei concorrenti, come, del resto, conferma la recente giurisprudenza secondo cui “la pubblicazione telematica dell’atto solo quando sia prevista e prescritta da specifiche determinazioni normative costituisce una forma di pubblicità in grado di integrare di per sé gli estremi della conoscenza erga omnes dell’atto pubblicato e di far decorrere il termine decadenziale di impugnazione (C. Stato, sez. V, 30 novembre 2015, n. 5398; Id., sez. IV, 26 aprile 2006, n. 2287)” (cfr. C. Stato, sez. III, 28 settembre 2018, n. 5570). …Omissis… La società ricorrente non ha allegato una prova idonea a superare, con riguardo al momento di conoscenza dell’ammissione dell’aggiudicataria (fatto implicito nella conoscenza dell’aggiudicazione), la presunzione fissata dalla legge, di cui più sopra si è detto. Certo è, invece, che è abbondantemente decorso, a partire dal 4 giugno 2018, il termine previsto dall’art. 120, comma 2 bis del codice del processo amministrativo, con la conseguenza che “l’omessa impugnazione preclude la facoltà di far valere l’illegittimità derivata dei successivi atti delle procedure di affidamento”. … Omissis…
IL COMMENTO
di Angelo Giuseppe Orofino Sommario: 1. La vicenda oggetto del giudizio. – 2. Le argomentazioni spese nella sentenza a supporto della decisione assunta. – 3. Brevi riflessioni conclusive. La pubblicità telematica di atti inerenti l’indizione e lo svolgimento delle pubbliche procedure concorsuali richiede l’individuazione di regole certe e chiare di divulgazione degli documenti pubblicizzati, giacché la capacità diffusiva della rete può essere sfruttata al meglio solo quando al cittadino siano offerte indicazioni puntuali su come e dove reperire le informazioni ricercate. The online publicity of documents concerning the organization of public procurement procedures requires the identification of clear rules for the disclosure of documents. This is due to the very fact that the significant capacity of dissemination that internet holds needs to be fully exploited to the extent that citizens are offered indications on how and where to access sources of information
1. La vicenda oggetto del giudizio
La sentenza annotata trae spunto da una procedura concorsuale per l’affidamento di un appalto di lavori, indetta da un’amministrazione locale con il metodo dell’offerta economicamente più vantaggiosa, e svoltasi
402
DIRITTO DI INTERNET N. 2/2019
nel rispetto della scansione procedimentale voluta dal d.lgs. n. 50/2016, a mente del quale è dapprima necessario adottare un provvedimento con il quale si decida in ordine al possesso dei requisiti di ammissione in gara delle imprese concorrenti, per poi passare, solo succes-
GIURISPRUDENZA AMMINISTRATIVA sivamente, al vaglio delle offerte prodotte dalle imprese ed alla scelta della migliore, alla quale affidare l’appalto. Nessuno dei partecipanti ha proposto gravame ex art. 120, comma 2 bis, c.p.a. avverso i provvedimenti di ammissione. È, però, accaduto che, all’esito della gara, il concorrente classificatosi alle spalle del vincitore, ha impugnato l’aggiudicazione facendo valere sia doglianze riferite ai requisiti di ammissione della aggiudicataria, sia censure riferite al momento della valutazione delle offerte tecniche ed alla composizione della commissione. Il Tar ha ritenuto tardive le prime ed infondate le altre. Non appare utile analizzare le motivazioni spese per rigettare i motivi appuntati sull’offerta tecnica e sulla composizione della commissione. Sicuro interesse riveste, invece, il percorso argomentativo seguito per dichiarare l’inammissibilità dei primi dei motivi di gravame volti a far valere la mancanza dei requisiti di ammissione da parte della concorrente vincitrice. Tali motivi vengono dichiarati inammissibili in quanto proposti entro il termine di trenta giorni decorrenti dalla adozione del provvedimento di aggiudicazione e non, invece, entro il termine decorrente dal momento dell’adozione del provvedimento con il quale è stata disposta l’ammissione in gara delle imprese concorrenti. Ciò ha reso irricevibili le doglianze che, ai sensi dell’art. 120, comma 2 bis, c.p.a. [nda: nelle more della pubblicazione di questo scritto, con d.l. 32/2019, non ancora convertito, si è provveduto ad abrogare l’art. 120, comma 2 bis, c.p.a.], avrebbero dovuto essere fatte valere in sede di impugnazione dell’atto con cui si è statuito sul possesso dei requisiti generali e speciali di ammissione dei concorrenti, ed entro trenta giorni decorrenti dalla piena conoscenza di tale atto. Siffatta piena conoscenza, ad avviso del collegio, può dirsi concretata all’esito della pubblicità telematica data mediante la divulgazione sul sito dell’amministrazione appaltante: l’espletamento di tale forma comunicativa fa, infatti, sorgere in capo al privato un onere di consultare il sito per verificare se vi sia stata la partecipazione di atti della procedura e, conseguentemente, è idonea a concretare il decorso dei termini di impugnativa di tali atti.
2. Le argomentazioni spese a supporto della decisione assunta
Nella pronuncia in commento, dunque, si afferma il pieno valore legale (e non solo notiziale) della divulgazione effettuata telematicamente mediante il sito internet della stazione appaltante. Il percorso motivazionale che porta il giudice amministrativo a svolgere siffatta affermazione prende le mosse dal rilievo attribuito a tale forma di pubblicità dall’art.
32 della l. 69/2009, dal d.P.C.m. 26 aprile 2011 e dall’art. 29 del d.lgs. n. 50/2016. La prima disposizione conferisce valore specifico alla pubblicità effettuata mediante internet, che diviene strumento sostitutivo di quella cartacea (1); la seconda offre, con riferimento agli appalti pubblici, alcune embrionali indicazioni sulle sezioni dei siti internet delle stazioni appaltanti deputati alla pubblicazione; la terza, infine, prevede la pubblicazione sul profilo committente della stazione appaltante, nella sezione “amministrazione trasparente”, in tal senso operando un esplicito rinvio alle modalità (anche tecniche) di affissione stabilite dal d.lgs. n. 33/2013. Tali norme sono servite ad offrire indicazioni sempre più precise e puntuali in merito alle modalità di divulgazione informatica dei documenti. Il che pare certamente opportuno, ove si consideri che la partecipazione telematica delle notizie è efficace purché effettuata nel rispetto di regole ben precise, volte a garantire l’effettività del processo comunicativo (2). Internet, infatti, non è solo un mezzo virtuoso, che consente di abbattere barriere e di accedere virtualmente alle informazioni di interesse. La Rete, come ogni strumento tecnico, può anche porre delle barriere e, quindi, se adoperata senza le dovute cautele, assumere valenza discriminante. Occorre, dunque, che si diano regole certe sulla pubblicità telematica, volte a presidiare il buon esito dei processi partecipativi (3). Sennonché, tali regole sono a lungo mancate, anche perché l’attenzione del legislatore per le misure di conoscenza on line è apparsa, almeno in un primo momento, alquanto tiepida. Solo per gli appalti pubblici (e, in particolare, per i bandi di gara) si sono avute indicazioni di maggiore dettaglio – dovute soprattutto all’interesse comunitario per la materia –, ma anche in tale settore i problemi non sono mancati (4).
(1) Sia consentito rinviare ad Orofino, Profili giuridici della trasparenza amministrativa, Bari, 2013, 75. (2) Sulla comunicazione degli atti amministrativi v. Ottaviano, La comunicazione degli atti amministrativi (1953), ora in Id., Scritti giuridici, vol. III, Milano, 1992, 143; Gardini, La comunicazione degli atti amministrativi. Uno studio alla luce della Legge 7 agosto 1990, n. 241, Milano, 1996; Iudica, Comunicazione del provvedimento amministrativo e funzione procedimentale, Milano, 2012. (3) Valgono, infatti, anche per l’albo “virtuale” le considerazioni svolte dalla dottrina che ha evidenziato come esso debba risultare “permanentemente visibile al pubblico” e idoneo “a fornire a questo partecipazioni di notizie, mediante apposizione di segni o di documenti” (si è trascritto da Giannini, Albo, in Enc. dir., vol. I, Milano, 1958, 1013). (4) Cfr. Orofino, Sull’obbligo di pubblicazione in Internet di bandi ed avvisi di gara ex art. 24, l. 20 novembre 2000 n. 340, in Foro amm. Tar, 2003, 678;
DIRITTO DI INTERNET N. 2/2019
403
GIURISPRUDENZA AMMINISTRATIVA Prima delle (tutto sommato, recenti) riforme in tema di pubblicità telematica, dunque, la normativa statale recava un fugace cenno a siffatti mezzi conoscitivi, che aveva prodotto non poche incertezze in merito al loro valore giuridico (5). Solo da ultimo, dapprima con l’art. 32 della l. n. 69/2009 e, poi, con le disposizioni promulgate con l’espresso intento di contrastare la corruzione (6), si sono recate prescrizioni sulle misure di conoscenza collettive on line non limitate a singoli procedimenti amministrativi, ma aventi rilievo generale: l’avvento di tali prescrizioni, offrendo chiarezza in merito ai presupposti ed alle modalità di espletamento delle forme conoscitive informatiche, ne ha implementato e reso più agevole l’utilizzo.
tico degli atti con cui sia provveduto a vagliare il possesso dei requisiti generali e speciali di ammissione da parte dei concorrenti, la stazione appaltante è chiamata ad inviare un messaggio di posta elettronica certificata (8) con il quale si informi l’impresa dell’avvenuta pubblicazione (9). Prima dell’invio di tale messaggio (o in mancanza di esso) non appare ragionevole immaginare che possano decorrere i termini di impugnativa e chiedere che i privati siano chiamati, con la loro sollecitudine e diligenza, a sopperire alle mancanze dell’amministrazione che, pur tenuta a farlo, non ha provveduto ad assolvere ad un obbligo che la legge pone a suo carico, ed inviare il messaggio di Pec.
3. Riflessioni conclusive
Alla luce di quanto precede può condividersi quanto detto nella pronuncia in rassegna, laddove si afferma che la previsione di un chiaro regime di pubblicità legale fa sorgere un onere di diligenza in capo ai cittadini, chiamati a responsabilizzarsi e consultare periodicamente il sito istituzionale dell’amministrazione, alla eventuale ricerca di atti o informazioni di proprio interesse. Ciò è vieppiù vero ove si ponga mente alla diffusività e capillarità dello strumento comunicativo adoperato e, quindi, alla maggiore comodità nella ricerca delle informazioni rispetto a quanto accade con i mezzi cartacei di trasmissione delle notizie. Perché simili oneri possano sorgere è, però, necessario che siano chiari gli obblighi diffusivi posti a carico delle amministrazioni, e le conseguenti incombenze fatte ricadere su coloro che con tali amministrazioni si relazionano; sicché può dubitarsi che la divulgazione telematica possa produrre i suoi effetti quando la norma che la disciplina dispone che essa debba essere accompagnata da altri strumenti conoscitivi, come possono essere notificazioni o comunicazioni alle parti interessate: in tal caso, infatti, è comprensibile che gli operatori privati maturino un legittimo affidamento in ordine alla attesa di una comunicazione individuale, che dovrà precedere l’affissione telematica, e quindi rimangano inerti sino a quanto tale comunicazione non vi sia stata (7). Una simile forma partecipativa è, per esempio, prevista dall’art. 29 del d.lgs. n. 50/2016, dove viene stabilito che, subito dopo aver proceduto all’inserimento telemaMoraca, Valore giuridico della pubblicazione on line dei bandi di gara negli appalti pubblici, in Giur. it., 2008, 2869. (5) Sia permesso richiamare quanto scritto in Orofino, Forme elettroniche e procedimenti amministrativi, Bari, 2008, 157. (6) Il riferimento è alla l. n. 190/2012 ed al d.lgs. n. 33/2013. (7) Orofino, Forme elettroniche, cit., 163.
404
DIRITTO DI INTERNET N. 2/2019
(8) Ancorché l’art. 29 del d.lgs. n. 50/2016 si limiti a rinviare all’art. 5 bis del d.lgs. n. 52/2005, che parla genericamente di strumenti di scambio di informazioni e documenti, tra le imprese e le pubbliche amministrazioni, mediante il ricorso alle tecnologie dell’informazione e della comunicazione, senza fare riferimento a precise tecniche comunicative, solo l’utilizzo della Pec è idoneo a fornire certezza ai processi partecipativi e, dunque, mette al riparo la stazione appaltante da contestazioni in merito alla ricezione del messaggio. Sul punto v. Marongiu, La trasmissione del documento informatico: il ruolo della posta elettronica certificata, in Inf. dir., 2005, 135. (9) Conviene riportare per esteso il passo dell’art. 29, comma 1, del d.lgs. n. 50/2016, dove si legge: “Al fine di consentire l’eventuale proposizione del ricorso ai sensi dell’ articolo 120, comma 2 bis, del codice del processo amministrativo, sono altresì pubblicati, nei successivi due giorni dalla data di adozione dei relativi atti, il provvedimento che determina le esclusioni dalla procedura di affidamento e le ammissioni all’esito della verifica della documentazione attestante l’assenza dei motivi di esclusione di cui all’articolo 80, nonché la sussistenza dei requisiti economico-finanziari e tecnico-professionali. Entro il medesimo termine di due giorni è dato avviso ai candidati e ai concorrenti, con le modalità di cui all’articolo 5 bis del decreto legislativo 7 marzo 2005, n. 82, recante il Codice dell’amministrazione digitale o strumento analogo negli altri Stati membri, di detto provvedimento, indicando l’ufficio o il collegamento informatico ad accesso riservato dove sono disponibili i relativi atti. Il termine per l’impugnativa di cui al citato articolo 120, comma 2 bis, decorre dal momento in cui gli atti di cui al secondo periodo sono resi in concreto disponibili, corredati di motivazione”.
PRASSI
Le disposizioni sulla telematizzazione del Processo per responsabilità contabile amministrativa con riguardo anche alla disciplina del Codice dell’Amministrazione Digitale (CAD) di Alfonso Contaldo Sommario: 1. Le fonti normative per la telematizzazione dei processi contabili-amministrativi. – 2. SPID e il processo contabile amministrativo- telematico. – 3. Il deposito telematico degli atti anche nel processo contabile amministrativo. – 3 1. La nuova disciplina delle copie informatiche dei documenti analogici. – 4. Il punto di accesso, funzioni ed abilitazioni, i delegati dell’avvocato e gli ausiliari del giudice. – 5. Il deposito degli atti nel processo contabile amministrativo telematico alla luce del d.M.G. 21 febbraio 2011, n. 44 e del C.A.D. – 6. Il Registro generale degli indirizzi elettronici nel previgente sistema e nel nuovo decreto. – 7. La rilevanza del documento informatico nel processo contabile amministrativo telematico e la nuova disciplina delle copie informatiche dei documenti analogici. – 8. Il valore probatorio della firma digitale e di quella elettronica avanzata nel processo contabile amministrativo telematico: cenni problematici. Con l’art. 43, comma 2, decreto-legge 24 giugno 2014, n. 90, convertito, con modificazioni, nella legge 11 agosto 2014, n. 114 sono dettate appunto alcune disposizioni in tema di informatizzazione del processo contabile, sussumendo le norme giuridiche e le regole tecniche già dettate per il Processo Civile Telematico (PCT) dal legislatore, nonché dalle norme del Codice dell’Amministrazione Digitale. I giudizi dinanzi alla Corte dei conti possono così essere svolti con modalità telematiche e i relativi atti processuali sono validi e rilevanti a tutti gli effetti di legge, purché sia garantita la riferibilità soggettiva, l’integrità dei contenuti e la riservatezza dei dati personali. Le relative regole tecniche e procedurali sono stabilite con i decreti di cui all’art. 20 bis decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221. Con il decreto del Presidente della Corte dei Conti del 3 novembre 2015 vengono dettate le prime regole tecniche ed operative in materia di utilizzo della posta elettronica certificata nell’ambito dei giudizi dinanzi alla Corte dei conti, ivi incluse le comunicazioni e le notifiche e il deposito di atti o documenti, facendo salva la disciplina delle comunicazioni tra uffici delle pubbliche amministrazioni. Tutte le comunicazioni e notifiche a cura delle segreterie delle Sezioni giurisdizionali della Corte dei conti sono effettuate esclusivamente per via telematica, salvo che sia diversamente disposto dal Giudice per uno specifico atto o procedimento ed avvengono mediante invio di un messaggio dall’indirizzo di posta elettronica certificata della Segreteria della Sezione giurisdizionale all’indirizzo di posta elettronica certificata del destinatario. Gli stessi avvocati abilitati ai sensi della legge 21 gennaio 1994, n. 53, possono avvalersi della posta elettronica certificata per l’effettuazione di notificazioni relative a procedimenti dinanzi alla Corte dei conti applicando le regole tecniche stabilite per il processo civile, in quanto compatibili con il d.P.C.C. 3 novembre 2015. L’art. 6 d.lgs. 26 agosto 2016, n. 174 prevede la digitalizzazione degli atti e l’informatizzazione delle attività giudiziarie del processo per responsabilità contabile amministrativa. Art. 43, paragraph 2, of the Law-Decree of June 24, 2014, no. 90, converted, with modifications, by the law of August 11, 2014, no. 114, embodies precisely some provisions on the computerization of the accounting process, subsuming the legal rules and technical rules already provided for by the civil telematic process (PCT) by the legislator, and by the norms of the Code of the Digital administration. The judgments before the Court of Auditors can be carried out with computer and telematic modalities and the related procedural acts are valid and relevant to all legal effects, provided that the subjective referability, the integrity of the contents and the confidentiality of personal data is ensured. The relevant technical and procedural rules are laid down with the decrees referred to in art. 20 bis of the Law-Decree of October 18, 2012, No. 179, converted, with modifications, by law December 17, 2012, No. 221. The decree of the President of the Court of Auditors of November 3, 2015 provides for the first technical and operative rules on the use of certified e-mails in the framework of judgments before the Court of Auditors, including notices and notifications and the filing of documents or records, subject to the regulation of Communications between public administrations’ offices. All notices and notifications by the secretariats of the Court of Auditors’ jurisdictional sections shall be effected only electronically, unless otherwise provided by the Court for a specific act or proceeding and shall take place by sending a message from the certified e-mail address of the secretariat of the Judicial section to the certified e-mail address of the recipient. The same lawyers empowered under the law of January 21, 1994, no. 53, may avail themselves of the certified e-mail for the making of notifications relating to proceedings before the Court of Auditors. The art. 6 of Legislative Decree August 26, 2016, no. 174, provides for the digitalization of the Acts and the computerization of the judicial activities of the administrative accounting process.
DIRITTO DI INTERNET N. 2/2019
405
PRASSI 1. Le fonti normative per la telematizzazione dei processi contabili-amministrativi
La telematizzazione del Processo per responsabilità contabile amministrativa viene disciplinata in alcune fasi del suo dispiegarsi per la prima volta con l’art. 43, comma 2, del decreto-legge 24 giugno 2014, n. 90, convertito, con modificazioni, dalla legge 11 agosto 2014, n. 114 che detta appunto alcune disposizioni in tema di informatizzazione del processo contabile. In tal modo si prevede la sussunzione di norme giuridiche e regole tecniche già dettate per il Processo Civile Telematico (PCT) dal legislatore e dagli competenti uffici amministrativi, nonché dalle norme del Codice dell’Amministrazione Digitale. I processi dinanzi alla Corte dei conti possono coì essere svolti con modalità informatiche e telematiche e i relativi atti processuali sono validi e rilevanti a tutti gli effetti di legge, purché sia garantita la riferibilità soggettiva, l’integrità dei contenuti e la riservatezza dei dati personali, in conformità ai principi stabiliti nel decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni. Le relative regole tecniche e procedurali sono stabilite con i decreti di cui all’articolo 20 bis del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221. Viene prevista altresì l’impiego della posta elettronica certificata da parte del pubblico ministero contabile che può effettuare notificazioni previste dall’ordinamento direttamente ad uno degli indirizzi di posta elettronica certificata previsti dal PCT, i1 Pubblico Ministero può così effettuare direttamente a mezzo della posta elettronica certificata le notificazioni previste dall’ordinamento, secondo le regole tecniche ed operative stabilite per le Segreterie delle Sezioni giurisdizionali con il presente decreto, ai sensi dell’art. 43 decreto legge 24 giugno 20 14, n. 90, convertito, con modificazioni, dalla legge 1 1 agosto 20 14, n. 114. Con il Decreto del Presidente della Corte dei Conti del 3 novembre 2015 vengono così dettate le prime regole tecniche ed operative in materia di utilizzo della posta elettronica certificata nell’ambito dei giudizi dinanzi alla Corte dei Conti, ivi incluse le comunicazioni e notificazioni e il deposito di atti o documenti, facendo salva la disciplina delle comunicazioni tra uffici delle pubbliche amministrazioni mediante sistemi di cooperazione applicativa di cui al capo VIII del decreto legislativo 7 marzo 2005, n. 82 (1). Tutte le comunicazioni e le notifiche a cura delle segreterie delle Sezioni giurisdizionali della Corte dei conti sono effettuate esclusivamente per via telematica (1) Vedi i saggi in Il codice della pubblica amministrazione digitale. Commentario al D.Lgs. n. 82 del 7 marzo 2005, a cura di Cassano - Giurdanella, Milano, 2005.
406
DIRITTO DI INTERNET N. 2/2019
secondo le disposizioni del decreto, salvo che sia diversamente disposto dal Giudice per uno specifico atto o procedimento ed avvengono mediante invio di un messaggio dall’indirizzo di posta elettronica certificata della segreteria della Sezione giurisdizionale all’indirizzo di posta elettronica certificata del destinatario (2). Ai fini delle comunicazioni, il testo che si intende comunicare è trascritto nel messaggio oppure è allegato mediante copia informatica al messaggio stesso; ai fini delle notificazioni, l’atto che si intende notificare è allegato al messaggio in forma integrale quale documento informatico firmato digitalmente. La comunicazione e la notifica per via telematica si intendono perfezionate, per il destinatario, nel momento in cui viene generata la ricevuta di avvenuta consegna da parte del gestore di posta elettronica certificata del destinatario e, per il mittente, nel momento in cui viene generata la ricevuta di accettazione del messaggio da parte del gestore di posta elettronica certificata del mittente. Pertanto qualora l’atto o documento allegato sia illeggibile o mancante o vi siano altre anomalie il destinatario è tenuto a darne immediata comunicazione al mittente a mezzo posta elettronica certificata. Gli stessi avvocati abilitati ai sensi della legge 21 gennaio 1994, n. 53, possono avvalersi della posta elettronica certificata per l’effettuazione di notificazioni relative a procedimenti dinanzi alla Corte dei conti applicando le regole tecniche stabilite per il processo civile, in quanto compatibili con il decreto del Presidente della Corte dei Conti 3 novembre 2015. Qualora sia espressamente disposta la notificazione di un atto a mezzo di ufficiale giudiziario ai sensi degli artt. 137 ss. codice di procedura civile, da parte delle segreterie o delle Procure, l’atto è rimesso all’Ufficio Notificazioni Esecuzioni e Protesti mediante la posta elettronica certificata (3). La relazione di notificazione può essere restituita all’ufficio richiedente mediante posta elettronica certificata. L’impossibilità di effettuare comunicazioni e notificazioni per via telematica per causa imputabile alla parte destinataria o al suo rappresentante o difensore comporta che la parte interessata ove costituita si intende domiciliata in Segreteria della Corte. Quando l’impossibilità non dipenda da causa imputabile alla parte destinataria o al suo rappresentante o difensore ovvero riguardi sog-
(2) Vedi Pisani, Manuale di teoria e pratica del processo amministrativo telematico, Milano, 2013, 84 ss.; Macchiavello - Anselmi, Il processo amministrativo telematico. Le istruzioni e gli esempi pratici per la compilazione dei moduli di deposito, Piacenza, 2018, 172 ss. (3) Ci si permette di rinviare a Contaldo - Peluso, La posta elettronica certificata nella prassi amministrativa, in Rass. avv. stato, 2016, 216 ss., ed alla bibliografia colà citata.
PRASSI getti diversi dalle parti costituite si procede alla comunicazione o alla notificazione secondo le disposizioni vigenti per il processo civile (artt. 136, terzo comma, e 137 e ss. c.p.c.). L’utilizzo generalizzato della posta elettronica certificata comporta che le Sezioni giurisdizionali e le Procure della Corte dei conti si avvalgono della posta elettronica certificata anche per l’invio e per la ricezione di atti processuali, pre-processuali o istruttori, purché sottoscritti o dichiarati conformi all’originale con firma digitale o con firma elettronica qualificata, nonché in generale per la trasmissione di documenti e per ogni altra comunicazione che necessiti di una ricevuta di invio o di una ricevuta di consegna, fatto salvo l’utilizzo dei sistemi di cooperazione applicativa. Gli atti e i documenti trasmessi mediante posta elettronica certificata nonché le relative ricevute e avvisi di consegna conservano il regime giuridico e probatorio loro proprio, secondo quanto stabilito dalla legge; mentre il Giudice (4) o il Pubblico Ministero titolare del fascicolo possono disporre che per uno specifico atto o procedimento siano utilizzate particolari modalità di comunicazione o trasmissione, anche non telematiche. La trasmissione per via telematica si intende perfezionata, per il destinatario, nel momento in cui viene generata la ricevuta di avvenuta consegna da parte del gestore di posta elettronica certificata del destinatario e, per il mittente, nel momento in cui viene generata la ricevuta di accettazione del messaggio da parte del gestore di posta elettronica certificata del mittente (5). I messaggi di posta elettronica certificata si considerano pervenuti alle segreterie delle Sezioni giurisdizionali o alle Procure nel giorno di ricezione del messaggio, qualora la ricevuta di consegna sia generata entro le ore ventiquattro di una giornata di apertura al pubblico degli uffici stessi, o il primo giorno lavorativo seguente, se la ricevuta di consegna è generata in orario posteriore. Nel caso di trasmissione di atti processuali mediante posta elettronica certificata, la procura alle liti contenuta in documento separato si considera congiunta all’atto a condizione che essa contenga riferimenti univoci al giudizio cui si riferisce e che sia allegata, mediante copia informatica, allo stesso messaggio di posta elettronica certificata mediante il quale l’atto è trasmesso; l’’autografia della sottoscrizione e la conformità della copia informatica all’originale analogico possono essere attestate dal difensore mediante apposizione della propria
firma digitale o firma elettronica qualificata, se espressamente previsto nella procura. Qualora l’atto o documento allegato sia illeggibile o mancante o vi siano altre anomalie il destinatario è tenuto a darne immediata comunicazione al mittente a mezzo posta elettronica certificata. Nel caso di deposito di atti o documenti processuali a mezzo posta elettronica certificata le Segreterie delle Sezioni giurisdizionali confermano al mittente entro il giorno lavorativo successivo, a mezzo posta elettronica certificata, il relativo numero di protocollo e l’avvenuta presa in carico dell’atto o documento. Inoltre ai fini dell’applicazione del d.P.C.C. 3 novembre 2015, le segreterie delle Sezioni giurisdizionali e le Procure provvedono ad effettuare, ove occorra, una copia informatica per immagine degli atti o documenti cartacei da comunicare ovvero da notificare. Nel caso delle notificazioni, l’attestazione di conformità prevista dall’art. 22, co. 2 C.A.D. è sottoscritta con firma digitale o firma elettronica qualificata ed inserita nell’atto o nel documento dichiarati conformi o in apposita dichiarazione facente parte del medesimo file in cui è contenuto il documento sottoscritto (6). Le ricevute di avvenuta consegna o gli avvisi di mancata consegna vengono stampati e conservati nel fascicolo processuale cartaceo, previa sottoscrizione da parte del funzionario incaricato agli effetti di legge da parte delle segreterie e delle Procure interessate. In caso di trasmissione alle segreterie delle Sezioni giurisdizionali a mezzo posta elettronica certificata di atti processuali di parte, il relativo originale, se cartaceo, ovvero la copia cartacea conforme all’originale informatico, sono depositati in Segreteria entro la prima udienza utile o, in mancanza, entro cinque giorni lavorativi, ai fini dell’inserimento nei relativi fascicoli processuali. Alle attestazioni di conformità che si rendano necessarie provvedono le parti interessate ovvero i loro difensori. Decorso inutilmente il termine, o anche su richiesta della parte, vi provvedono le segreterie delle Sezioni, con addebito alla parte interessata dei relativi diritti di copia. In caso di trasmissione a mezzo posta elettronica certificata di documenti, ai fini del deposito in giudizio, la relativa nota di deposito o comunque l’elenco dei documenti depositati sono stampati e inseriti nel fascicolo cartaceo a cura delle segreterie, con l’annotazione che i corrispondenti documenti informatici sono memorizzati nei sistemi informativi della Corte dei conti. Nelle
(4) Vedi le analisi di Viola, Combinazione di dati e prevedibilità della decisione giudiziaria, in questa Rivista, 2019, 215 ss.
(6) Ci si permette di rinviare a Contaldo - Gorga, Le novità della disciplina del Processo Civile telematico (PCT) anche con riguardo alla recente normativa del Codice dell’Amministrazione Digitale (CAD), in Rass. avv. stato, 2016, 238 ss.; vedi Previti - Colarocco, Il processo civile telematico, Roma, 2016, 121 ss.
(5) Vedi Bassoli, Fondamenti di diritto della comunicazione elettronica, Padova, 2018, II ed, 146 ss.
DIRITTO DI INTERNET N. 2/2019
407
PRASSI more dell’attivazione del servizio di accesso telematico diretto al fascicolo processuale informatico, la segreteria garantisce l’accesso al fascicolo stesso con le modalità più idonee, ivi incluso l’invio di un messaggio di posta elettronica. In fase di prima applicazione dell’informatizzazione del processo contabile, le comunicazioni e notificazioni nonché la trasmissione in via telematica di atti o documenti sono effettuate all’indirizzo di posta elettronica certificata indicato dalle parti medesime o dai loro rappresentanti o difensori nei propri atti processuali, indirizzo telematico presso il quale si intendono domiciliate a tutti gli effetti ai fini del procedimento, fatti salvi eventuali cambiamenti di indirizzo di posta elettronica certificata comunicati alla competente Sezione giurisdizionale, a far data dal secondo giorno lavorativo successivo a quello della formale comunicazione alla Sezione medesima. Le parti costituite per le quali la legge preveda l’obbligo di avvalersi di un indirizzo di posta elettronica certificata ma che non abbiano provveduto a indicarlo nei propri atti processuali si intendono domiciliate presso la segreteria della Sezione, così come per le parti costituite in caso di mancata consegna del messaggio di posta elettronica certificata per cause imputabili al destinatario. La disciplina normativa necessita di regole tecnico-operative per le quali sarà competente ad assumerle la Direzione Generale per i Servizi Informativi Automatizzati; in particolare dovranno essere assunte le specifiche tecniche di dettaglio relative alla dimensione massima dei messaggi, ai formati ammissibili, al contenuto e all’oggetto dei messaggi, alle modalità di accesso ai messaggi contenenti dati sensibili. Parimenti possono essere istituiti, in via sperimentale, servizi accessori di informazione e di avviso nonché forme di semplificazione procedurale, gestiti anche mediante sistemi informativi automatizzati, in favore delle parti che abbiano comunicato la propria domiciliazione presso una casella di posta elettronica certificata; tale comunicazioni sperimentali non comportano agli effetti processuali alcuna responsabilità, decadenza o remissione in termini in caso di malfunzionamento dei sistemi informativi e di errato, omesso o incompleto invio di dati. Il Codice di giustizia contabile (d.lgs. 26 agosto 2016, n. 174) (7), prevede all’art. 6 la digitalizzazione degli atti e l’informatizzazione delle attività giudiziarie, modificando il comma 2 dell’art. 43 del decreto-legge 24 giugno 2014, n. 90, convertito, con modificazioni, dalla legge 11 agosto 2014, n. 114, il legislatore applica anche al processo contabile, in quanto compatibili, alcune delle
(7) Per un commento alla legge vedi i saggi in Il codice della giustizia contabile, a cura di Gribaudio, Rimini, 2017.
408
DIRITTO DI INTERNET N. 2/2019
disposizioni del decreto-legge 18 ottobre 2012, n. 179, convertito con modifiche con la legge di conversione 17 dicembre 2012, n. 221 già in vigore nel processo civile telematico con le indicazioni tecniche, operative e temporali stabilite per: a) i biglietti di cancelleria, comunicazioni e notificazioni per via telematica; b) i pubblici elenchi per notificazioni e comunicazioni; c) le facoltà per le notifiche in proprio degli avvocati; d) potere (obbligo) del difensore, quando deposita con modalità telematiche la copia informatica, anche per immagine, di un atto processuale di parte o di un provvedimento del giudice formato su supporto analogico e detenuto in originale o in copia conforme, di attestarne la conformità della copia al predetto atto; e) le modalità con le quali deve essere apposta l’attestazione di conformità prevista con le diverse ipotesi a seconda che la medesima si riferisca ad una copia analogica (cartacea) o ad una copia informatica. Pertanto gli atti processuali, i registri, i provvedimenti del giudice, dei suoi ausiliari, del personale degli uffici giudiziari, dei difensori, delle parti e dei terzi vengono definiti come documenti informatici e sono validi e rilevanti a tutti gli effetti di legge, purché venga garantita la riferibilità soggettiva e l’integrità dei contenuti, in conformità ai principi stabiliti nel decreto legislativo 7 marzo 2005, n. 82 e s.m.i. Inoltre le modalità per la tenuta informatica dei registri, per l’effettuazione delle comunicazioni e notificazioni mediante posta elettronica certificata o altri strumenti di comunicazione telematica, le modalità di autenticazione degli utenti e di accesso al fascicolo processuale informatico, nonché le specifiche per la formazione, il deposito, lo scambio e l’estrazione di copia di atti processuali digitali, con garanzia di riferibilità soggettiva, integrità dei contenuti e riservatezza dei dati personali, sono stabilite dai decreti previsti dall’articolo 20 bis del decreto legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 e successive modificazioni. Pertanto anche i giudizi dinanzi alla Corte dei conti sono svolti mediante le tecnologie dell’informazione e della comunicazione. La disciplina del C.A.D. per la riferibilità soggettiva e l’integrità dei contenuti vige così anche per gli atti processuali, i registri, i provvedimenti del giudice, dei suoi ausiliari, del personale degli uffici giudiziari, dei difensori, delle parti e dei terzi sono previsti quali documenti informatici e sono validi e rilevanti a tutti gli effetti di legge. La disciplina del decreto crescita (18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221) che prevede (art. 20-bis) così i decreti che stabiliscono indicazioni tecniche, operative e temporali, disciplinano, in particolare, le modalità per la tenuta informatica dei registri, per l’effettuazione delle comunicazioni e notificazioni mediante posta elettronica certificata o altri strumenti di comunicazione telematica, le modalità’ di autentica-
PRASSI zione degli utenti e di accesso al fascicolo processuale informatico, nonché le specifiche per la formazione, il deposito, lo scambio e l’estrazione di copia di atti processuali digitali, con garanzia di riferibilità soggettiva, integrità dei contenuti e riservatezza dei dati personali. Viene altresì: a) ribadita la condizione che sia garantita la riferibilità soggettiva, l’integrità dei contenuti e la riservatezza dei dati personali; b) stabilita anche la facoltà del pubblico ministero contabile di effettuare le notificazioni degli atti direttamente agli indirizzi di posta elettronica certificata contenuti nei pubblici elenchi o registri; c) prevista in alternativa all’obbligo di elezione di domicilio nel luogo in cui ha sede il giudice adito, l’indicazione di un indirizzo di posta elettronica certificata presso il quale effettuare le comunicazioni e le notificazioni, mentre per il conto e le memorie è prevista la facoltà di compilazione e deposito anche mediante modalità telematiche.
2. SPID e il processo contabile amministrativotelematico
Con l’inserimento della previsione dell’adeguamento alle modalità di identificazione ed autenticazione degli utenti tramite Sistema Pubblico di Identità Digitale (SPID) (8), previsione che si è materializzata nell’art. 2 comma 6 decreto legislativo 26 agosto 2016 n. 179 dove è stato previsto che il C.A.D. si applichi anche al processo telematico contabile se non diversamente disposto e al successivo e all’ art. 50 – sempre del decreto in esamedove è stato previsto che un atto giuridico può essere posto in essere da un soggetto identificato mediante SPID, nell’ambito di un sistema informatico avente i requisiti fissati nelle regole tecniche adottate ai sensi dell’art. 71, attraverso processi idonei a garantire, in maniera manifesta e inequivoca, l’acquisizione della sua volontà è stata resa possibile che anche tramite l’identità digitale è oggi possibile accedere ai servizi del PCT tramite la metodologia SPID. Nell’ambito delle fonti normative italiane, il primo diretto riferimento all’Identità Digitale, e nello specifico al SPID, si ha con il comma 2-sexies dell’art. 64 d.lgs. 7 marzo 2005, n. 82, così come modificato dal co. 2 dell’art.17-ter del d.l. 21 giugno 2013 n 69 convertito con modificazioni dalla L. 9 agosto 2013, n. 98. Analizzando detta norma vi si possono individuare le caratteristiche necessarie a garanzia dei modelli di protezione di SPID individuandole in riferimento: “a) al modello architetturale e organizzativo del sistema; b) alle modalità e ai requisiti necessari per l’accreditamento dei gestori dell’identità digitale; c) agli standard tecnologici e (8) Ci si permette di rinviare a Contaldo, La disciplina dello Spid e la definizione giuridica dei suoi gestori, in Giustiziacivile.com, 2017; vedi anche Trojani, Il nuovo codice dell’amministrazione digitale, Rimini, 2017, 84 ss.
alle soluzioni tecniche e organizzative da adottare anche al fine di garantire l’interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell’identità digitale nei riguardi di cittadini e imprese; d) alle modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete; e) ai tempi e alle modalità di adozione da parte delle pubbliche amministrazioni – ed imprese interessate – in qualità di erogatori di servizi in rete. Dunque, si può dire che, la funzione dell’Identità Digitale dettata dalla normativa italiana, può essere inquadrata nel costrutto identificato dal comma 2-bis dell’art. 64 C.A.D. che prevede, per favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi ai cittadini e alle imprese, anche in mobilità, che il sistema pubblico per la gestione dell’identità digitale è a cura dell’Agenzia per l’Italia Digitale. Così definito, il Sistema Pubblico di Identità Digitale, appare come un sistema di login che, grazie al riconoscimento dell’utente sullo schema di differenti livelli di sicurezza, consente l’accesso ad una vasta gamma di servizi on-line della pubblica amministrazione o di privati aderenti. La normativa europea di riferimento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche è il Regolamento n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 che ha esplicitamente abrogato la preesistente direttiva 1999/93/CE. Il regolamento in commento, è conosciuto con l’acronimo di eIDAS (electronic IDentification Authentication and Signature) (9) e si è posto l’obbiettivo di fornire una base normativa europea che possa garantire strumenti per rafforzare la fiducia nelle transazioni elettroniche e favorire l’interazione fra cittadini, imprese e la pubblica amministrazione. In particolare si deve segnalare che l’art. 1 Regolamento chiarisce che, ai fini del raggiungimento degli scopi “a) fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro, b) stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche; e c) istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web”. Per supportare codesta finalità, acquisisce vitale importanza la piena interoperabilità a livello comunitario di particolari tipologie di firme elettroniche e dei sistemi
(9) Vedi Buffa, Firme elettroniche e grafometriche, Vicalvi (FR), 2016, 63 ss.
DIRITTO DI INTERNET N. 2/2019
409
PRASSI di validazione temporale. Elementi noti in Italia con le definizioni di firma digitale e marca temporale. Il regolamento eIDAS, visto nel suo complesso, non si discosta in modo significativo dalla disciplina giuridica introdotta nell’ordinamento italiano dal d.lgs. 7 marzo 2005, n. 82 recante la disciplina del “Codice dell’Amministrazione Digitale”. Regolamento, infatti, conferma a livello comunitario il principio di neutralità tecnologica e garantisce un adeguato livello di sicurezza dei mezzi di identificazione elettronica e dei servizi fiduciari (10). Il n. 1 dell’art. 3 del Regolamento eIDAS definisce “«identificazione elettronica», il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica”. Risulta rilevante anche il testo dell’art. 6 il quale stabilisce che “Ove il diritto o la prassi amministrativa nazionale richiedano l’impiego di un’identificazione elettronica mediante mezzi di identificazione e autenticazione elettroniche per accedere a un servizio prestato da un organismo del settore pubblico online in uno Stato membro, i mezzi di identificazione elettronica rilasciati in un altro Stato membro sono riconosciuti nel primo Stato membro ai fini dell’autenticazione transfrontaliera di tale servizio online, purché soddisfino le seguenti condizioni: a) i mezzi di identificazione elettronica sono rilasciati nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione a norma dell’art. 9; b) il livello di garanzia dei mezzi di identificazione elettronica corrisponde a un livello di garanzia pari o superiore al livello di garanzia richiesto dall’organismo del settore pubblico competente per accedere al servizio online in questione nel primo Stato membro, sempre che il livello di garanzia di tali mezzi di identificazione elettronica corrisponda al livello di garanzia significativo o elevato; c) l’organismo del settore pubblico competente usa il livello di garanzia significativo o elevato in relazione all’accesso a tale servizio online”. Dunque, i cittadini possono avvalersi della loro identificazione elettronica anche in un altro Stato membro, purché i regimi nazionali di identificazione elettronica del loro paese siano riconosciuti nello Stato membro, e che il procedimento di identificazione sia effettuato nel rispetto dei principi relativi alla protezione dei dati personali. Si segnala che dallo scorso 1° luglio 2016, con l’entrata in vigore del Regolamento n. 910/2014, tutte le pub-
(10) Ibidem.
410
DIRITTO DI INTERNET N. 2/2019
bliche amministrazioni hanno l’obbligo di accettare firme digitali o qualificate così come definite dal 3° co. dell’art. 25 del Regolamento medesimo “una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri”. L’Italia, oltre ad esser stata il primo stato europeo ad adottare un sistema di autenticazione legalmente riconosciuto per le comunicazioni telematiche, grazie all’adozione della firma digitale, ha intrapreso un cammino di modernizzazione della macchina burocratica. È chiaro che il percorso è molto lungo, complesso e necessiterà di molti interventi che verranno dilazionati nel tempo. Tuttavia un passo importante verso la realizzazione di un meccanismo efficiente di open-government (11) passa, indubbiamente, attraverso l’adozione del Sistema Pubblico di Identità Digitale. Come si è detto in precedenza, i servizi offerti attraverso l’uso di SPID possono essere innumerevoli e di variegata natura consentendo di spaziare dalla prenotazione sanitarie, alle iscrizioni scolastiche ovvero dall’accesso alla rete wi-fi pubblica fino alle pratiche anagrafiche. In realtà, però, i servizi collegati sono decisamente molto più numerosi e riguardano anche la possibilità di effettuare pagamenti di tasse e tributi, l’accesso ai servizi INAIL ed INPS, l’accesso al fascicolo sanitario elettronico, l’accesso allo sportello unico delle attività produttive ecc. Questa vasta gamma non esaustiva di servizi che, comunque, sarà implementata nel prossimo futuro, comporta una importante differenziazione in ambito di esigenze di sicurezza e di trattamento dei dati personali. Sicché l’impostazione voluta è stata quella di graduare i livelli di protezione richiesti per l’erogazione dei singoli servizi e, congiuntamente, di fornire all’utente quanto necessario per avere il controllo dei propri dati, fermo restando che, in ogni caso, non vi sarà alcuna attività di profilazione. Alla luce di quanto testé chiarito, il Sistema Pubblico per l’Identità Digitale definisce tre livelli di sicurezza, corrispondenti ad altrettante categorie previste nella norma internazionale ISO-IEC 29115 e dall’art. 6 d.P.C.m. 24 ottobre 2014 recante “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese”: a) il primo livello garantisce, con un buon grado di affidabilità, l’identità accertata nel corso dell’attività di
(11) Vedi al riguardo Carloni, L’amministrazione aperta. Regole strumenti limiti dell’open government, Rimini, 2014, 82 ss. ed alla bibliografia colà citata. Sul concetto di open government più recentemente vedi i saggi nel collettaneo, Nuova trasparenza amministrativa e libertà di accesso alle informazioni, a cura di Ponti, Rimini, 2016.
PRASSI autenticazione, in quanto a tale livello è associato un rischio moderato e compatibile con l’impiego di un sistema autenticazione a singolo fattore (password associata alla digitazione di una UserID), poiché questo livello è tipicamente associato ad attività che, comunque, non siano particolarmente pericolose ed il danno causato, da un utilizzo indebito dell’identità digitale, possa avere un basso impatto per le attività del cittadino, dell’impresa o della pubblica amministrazione. Per il livello 1 la credenziale di accesso sarà, dunque, una password di almeno 8 caratteri, da rinnovarsi ogni 180 giorni, formulata secondo i consueti criteri di sicurezza. b) Il secondo livello garantisce con un alto grado di affidabilità e l’identità accertata nel corso dell’attività di autenticazione attraverso l’adozione di un duplice sistema di autenticazione, poiché tale livello è associato ad operazioni con un rischio maggiore e, pertanto, è compatibile con l’impiego di un sistema di autenticazione informatica a due fattori, non necessariamente basato su certificati digitali (password e One Time Password associati alla digitazione di una UserID). c) Il terzo livello garantisce con un altissimo grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione, poiché vi è un altissimo rischio e, pertanto, è richiesto un sistema di autenticazione informatica a due fattori basato su certificati digitali e criteri di custodia delle chiavi private su dispositivi che soddisfano i requisiti dell’Allegato 3 della Direttiva 1999/93/CE, richiedendo l’utilizzo della firma digitale come strumento di ulteriore garanzia. Occorre anche dire che codesti tre distinti livelli di sicurezza, a ben vedere, trovano spunto nel Regolamento eIDAS. Il cui 2° co. dell’art. 8 prevede tre livelli: “il livello di garanzia basso si riferisce a mezzi di identificazione elettronica nel contesto di un regime di identificazione elettronica che fornisce un grado di sicurezza limitato riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre il rischio di uso abusivo o alterazione dell’identità; b) il livello di garanzia significativo si riferisce a mezzi di identificazione elettronica nel contesto di un regime di identificazione elettronica che fornisce un grado di sicurezza significativo riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità; c) il livello di garanzia elevato si riferisce a un mezzo di identificazione elettronica nel contesto di un regime di identificazione elettronica che fornisce riguar-
do all’identità pretesa o dichiarata di una persona un grado di sicurezza più elevato dei mezzi di identificazione elettronica aventi un livello di garanzia significativo ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di impedire l’uso abusivo o l’alterazione dell’identità”. A quanto fin qui detto occorre aggiungere il disposto del successivo 3° co. dell’art. 8 del Regolamento eIDAS che, coerentemente con le esigenze di garanzia di procedure tecniche di sicurezza, specifica “procedure tecniche minime sono fissate facendo riferimento all’affidabilità e alla qualità dei seguenti elementi: a) della procedura di controllo e verifica dell’identità delle persone fisiche o giuridiche che chiedono il rilascio dei mezzi di identificazione elettronica; b) della procedura di rilascio dei mezzi di identificazione elettronica richiesti; c) del meccanismo di autenticazione mediante il quale la persona fisica o giuridica usa i mezzi di identificazione elettronica per confermare la propria identità a una parte facente affidamento sulla certificazione; d) dell’entità che rilascia i mezzi di identificazione elettronica; e) di qualsiasi altro organismo implicato nella domanda di rilascio dei mezzi di identificazione elettronica; e f) delle specifiche tecniche e di sicurezza dei mezzi di identificazione elettronica rilasciati”. Il d.P.C.m. 24 ottobre 2014 è venuto a delineare l’impianto generale e le modalità di funzionamento di SPID. L’art. 3 della norma citata individua in modo preciso i soggetti, che come vedremo, possono essere sia pubblici che privati. Dalla lettura dell’art. 3 emergono i seguenti soggetti coinvolti nel funzionamento di SPID “i gestori dell’identità digitale; b) i gestori degli attributi qualificati; c) i fornitori di servizi; d) l’Agenzia [per l’Italia Digitale]; e) gli utenti”. Seguendo la struttura del decreto, l’art. 4 individua le funzioni svolte dall’AgID che è chiamata a tre attività distinte: a) gestire l’accreditamento delle imprese o delle Pubbliche Amministrazioni che opereranno come fornitori dei servizi on-line; b) curare l’aggiornamento del registro SPID con possibilità di verificare, attraverso il gestore, i dati identificativi dell’utente e le modalità di rilascio delle identità digitali; c) stipulare convenzioni con soggetti che attestino la validità degli attributi identificativi (12). La definizione di gestori dell’identità digitale è fornita dalla lettera l) dell’art. 1 del medesimo d.P.C.m. e stabilisce che siano le “persone giuridiche accreditate allo SPID che, in qualità di gestori di servizio pubblico, previa identificazione certa dell’utente, assegnano, (12) Ci si permette di rinviare a Contaldo - Sturni, La Società dell’informazione e l’Agenda digitale nell’ordinamento giuridico italiano, in Riv. amm. rep. it., 2014, 352 ss.
DIRITTO DI INTERNET N. 2/2019
411
PRASSI rendono disponibili e gestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica”. Quanto ai gestori degli attributi qualificati si può dire che, ai sensi della lettera m) dell’art. 1 sono “i soggetti accreditati ai sensi dell’art. 16 che hanno il potere di attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi”. In altre parole sono gli Identity provider che, previa una pregresso accreditamento e la successiva richiesta di iscrizione a SPID da parte dell’utente richiedente, provvedono a verificare l’identità ed il tipo di afferenza senza interagire direttamente con l’utente. La risorsa infatti reindirizzerà la richiesta di autenticazione all’Identity provider di riferimento dell’utente. In questo modo sarà possibile gestire tutte le informazioni sensibili direttamente sui sistemi del servizio richiesto, evitandone il transito in rete o verso servizi di ignota affidabilità. I fornitori di servizi, invece, non vengono identificati in modo particolarmente preciso dalla d.P.C.m. 24 ottobre 2014 che, infatti, si limita a porre in essere richiami al altre disposizioni di legge. In particolare si fa riferimento all’art. 2 co. 1 lett. a) d. lgs. 9 aprile 2003, n. 70 e, quest’ultimo, a sua volta, rimanda all’art.1 co. 1 lett. b) l. 21 giugno 1986, n. 317 che stabilisce come servizio della società dell’informazione “qualsiasi servizio della società dell’informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. Ai fini della presente definizione si intende: per «servizio a distanza» un servizio fornito senza la presenza simultanea delle parti; per «servizio per via elettronica» un servizio inviato all’origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento, compresa la compressione digitale e di memorizzazione di dati e che è interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici o altri mezzi elettromagnetici; per «servizio a richiesta individuale di un destinatario di servizi» un servizio fornito mediante trasmissione di dati su richiesta individuale”. Il d.P.C.m. 24 ottobre 2014 si occupa, inoltre, di indicare le modalità di gestione e di rilascio delle Identità Digitali. Sempre nell’ottica di garantire la sicurezza nel trattamento dei dati, è stato anche previsto che le informazioni che sono state autorizzate in sede di registrazione, non siano conservate dal sistema dal Provider fornitore del servizio. Pertanto, i dati identificativi di ogni singola ID saranno, detenuti unicamente in via provvisoria per il tempo strettamente necessario alla gestione del servizio. Benché apparentemente sembrerebbe poca cosa, ciò consente di evitare la stratificazione di imponenti quantità di dati in grado di generare big data.
412
DIRITTO DI INTERNET N. 2/2019
Resta ora da espungere l’annoso problema della tutela dell’identità digitale e le modalità di applicazione del data protection. Come noto l’identità personale è costituita da quel complesso di risultanze anagrafiche che servono a identificare univocamente il soggetto nei suoi rapporti con i poteri pubblici e a distinguerlo dagli altri consociati. Dunque, secondo un principio ormai consolidato, appartiene al novero di quei diritti, definiti “inviolabili”, protetti dall’art. 2 Cost. È, quindi, deducibile per analogia, dalla disciplina prevista per il diritto al nome, il diritto all’identità personale, quale interesse, giuridicamente meritevole di tutela. Il diritto all’identità personale ha ricevuto molti riconoscimenti giurisprudenziali, la Corte Costituzionale, ad esempio, configura il diritto all’identità personale come “il diritto ad essere se stesso, inteso come rispetto dell’immagine di partecipe alla vita associata, con le acquisizioni di idee ed esperienze, con le convinzioni ideologiche, religiose, morali e sociali che differenziano, ed al tempo stesso qualificano, l’individuo”. “Maggiori punti di contatto si evidenziano tra il diritto all’identità personale e il diritto al nome (si veda Corte cost., sent. n. 297/1996), riconosciuto e tutelato dal codice civile (artt. 6 e 7), in cui si dispone che la persona a cui viene contestato il diritto all’uso del proprio nome, o che possa subire un danno dal suo impiego indebito da parte di altri, “può chiedere giudizialmente la cessazione del fatto lesivo, salvo il risarcimento del danno”. Tuttavia, parlando di tutela dell’identità personale, la norma cardine è la l. n. 675 del 1996 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” seguita dal d. lgs. n. 196 del 2003, recante “il Codice in materia di protezione dei dati personali”. La nozione di Identità Digitale, fino all’entrata in vigore del Regolamento eIDAS, non aveva precisi e specifici riscontri normativi, tuttavia era comunque entrata a far parte dell’ambiente giuridico anche se declinata in diversi modi. In una prima, e più ampia accezione, l’espressione era utilizzata come sinonimo d’identità virtuale, essendo impiegata per spiegare la possibilità di assumere diverse identità personali in rete. Tuttavia la corretta accezione dovrebbe essere di “identità informatica” impiegata per designare, quindi, l’insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore dello stesso e protette da un sistema di autenticazione. Infatti, non si può parlare di identità digitale se non collegandola alla presenza di tecniche d’identificazione ovvero autenticazione del soggetto che utilizza gli strumenti informatici.
3. Il deposito telematico degli atti anche nel processo contabile amministrativo
Il deposito telematico degli atti nel processo contabile rimanda all’ art.16-bis del decreto legge 18 ottobre 2012
PRASSI n. 179, convertito con modificazioni dalla legge 17 dicembre 2012 n. 221, norma che ha sancito l’obbligatorietà del deposito telematico degli atti processuali e dei documenti, a decorrere dal 30 giugno 2014, nei procedimenti civili, contenziosi o di volontaria giurisdizione, innanzi al tribunale, da parte dei difensori delle parti precedentemente costituite (13) e dei loro consulenti. Questa norma ha subito varie modifiche e integrazioni che spaziano dall’introduzione dell’obbligatorietà del deposito telematico, a far data dal 30 giugno 2015, di tutti gli atti del processo civile presso le Corti di Appello della Repubblica, a quello dell’obbligatorietà delle notifiche a mezzo PEC. Per quanto riguarda il deposito telematico degli atti questo nella sua prima fase di applicazione, ha posto non pochi problemi alla dottrina e si è posta il problema di verificare se, alla stregua del diritto vigente, il deposito telematico in giudizio della comparsa, e dei documenti ad essa allegati, potesse ritenersi valido anche in mancanza del decreto abilitativo emesso dalla DGSIA ex art. 35 d.m. 21 febbraio 2011, n. 44 posto che nessuna norma processuale ricollega la sanzione dell’inammissibilità all’ipotesi d’irregolarità nel deposito telematico di atti giudiziari. Si è, altresì, evidenziato che la DGSIA è priva del potere di individuare il novero degli atti che comportano la possibilità di essere depositati telematicamente, nonché la tipologia dei procedimenti rispetto ai quali è esercitabile la facoltà di deposito digitale, ed in merito è stato ritenuto, anche in giurisprudenza, che sarebbe comunque sempre rimessa unicamente al giudice, sulla base della normativa processuale vigente, la possibilità di verificare se nello specifico il deposito telematico dell’atto ha raggiunto o meno lo scopo al quale era finalizzato (14). (13) Per poter depositare atti nel processo telematico è necessario che si sia procuratori costituiti e ciò è possibile solo se si accede al PolisWeb del Tribunale di riferimento. Il deposito telematico degli atti nel processo può avvenire tramite due modalità distinte e separate. La prima è quella che consente il deposito degli atti dell’atto senza utilizzare la relativa funzione del software redattore, ma tramite invio con PEC alla PEC del Tribunale. Se il Tribunale destinatario ha attivato i servizi della piattaforma per il PCT occorre verificare se il tribunale è stato autorizzato, con il decreto ministeriale, a consentire e ricevere la tipologia dell’atto da depositare. Diversamente in assenza dei decreti autorizzativi si procederà come sempre fatto. Sul portale dei servizi telematici (PST) occorre rintracciare la PEC tribunale da copiare nel software della PEC dell’avvocato e allegare la busta (es. memoria) al messaggio. Si invia e dopo l’invio si attende il messaggio di accettazione per il buon fine della spedizione. Vedi Buonomo, Il nuovo processo telematico nell’era dell’amministrazione digitale, Milano, 2009, 92 ss. Al riguardo vedi anche Sileni - Gargano, Codice Commentato del Processo Civile Telematico, Milano, 2017, 82 ss. ed alla bibliografia cola citata. Ci si permette di rinviare a Contaldo, L’informatica del diritto, in L’informatica per il giurista, a cura di Cassano, Rimini, 2019, 24 ss. (14) In tal senso si è espresso il Tribunale di Roma, laddove invece il Tribunale di Milano aveva ritenuto che la memoria depositata solo in forma telematica, senza il deposito cartaceo della copia di “cortesia” , giustificava la condanna e il pagamento di una penale. Il Tribunale di Genova ha ritenuto valido il deposito telematico del ricorso introduttivo e
Tra questi contrasti interpretativi e la necessità di raccordo, tra norme primarie e regolamentari, una risposta chiara è intervenuta con il d.l. 27 giugno 2015 n. 83, con il quale è stato introdotto il comma 1-bis all’art. 16bis del d.l. 18 ottobre 2012, n. 179, con il quale si è estesa la possibilità di deposito telematico – già previsto per gli atti delle parti precedentemente costituite in giudizio –, anche all’atto introduttivo, al primo atto difensivo e a tutti i documenti offerti in comunicazione specificandosi che in questi casi il deposito degli atti si perfeziona esclusivamente con la modalità telematica. A tale obbligo sono tenuti non solo le parti ma anche i soggetti nominati o delegati dall’autorità giudiziaria e il deposito è previsto anche per i procedimenti esecutivi ma solo per gli atti successivi al pignoramento, per le procedure concorsuali nonché per tutti gli atti del curatore, del commissario giudiziale, del liquidatore, del commissario liquidatore e del commissario straordinario. Altra novità che va segnalata, che si aggiunge a quelle dell’art. 16, è che è stato generalizzato il regime delle comunicazioni e delle notificazioni di cancelleria, già previsto dall’art. 51 d.l. n. 112 del 2008, reso possibile anche per i soggetti privati diversi, quindi, dalle imprese e dai professionisti con la possibilità di notificare personalmente alla parte, che si vuole portare in giudizio, se questa è dotata di casella di posta elettronica certificata. Queste innovazione si aggiungono a quelle esistenti che già consentivano a tutte le parti del processo di eleggere domicilio digitale, e dell’obbligo della comunicazione “integrale” del provvedimento e per le pubbliche amministrazioni, di indicare un unico indirizzo di Posta Elettronica Certificata per ricevere le comunicazioni e notificazioni di cancelleria. L’art.16-quater ha, poi, modificato la legge n.53 del 1994, rendendo sostanzialmente possibili le notificazioni via PEC da parte degli avvocati. L’ art. 17 ha apportato significativi cambiamenti alla legge fallimentare prevedendo: a) un nuovo regime di instaurazione del contraddittorio in sede prefallimentare basato sulla notificazione (a cura della Cancelleria) all’indirizzo PEC dell’imprenditore risultante dal registro delle imprese o dall’Indice generale degli indirizzi; b) un nuovo regime di comunicazioni endoprocedimentali basato sulla posta elettronica certificata; c) un nuovo regime di insinuazione allo stato passivo basato
ciò anche in mancanza del decreto abilitativo emesso dalla DGSIA ex art. 35 d. m. 21 febbraio 2011, n. 44, i Tribunali di Lodi e di Torino hanno ritenuto invece che il PCT non consente il deposito dell’atto introduttivo e che non sarebbero neppure applicabili i principi di libertà delle forme e di salvezza dell’atto per il raggiungimento dello scopo. Vedi Villecco Bettelli, Il processo civile telematico, Torino, 2011, 141 ss.; ci si permette sul punto di rinviare a Contaldo - Gorga, Il processo civile telematico, Torino, 2012, spec. 143 ss. ed alla bibliografia colà citata
DIRITTO DI INTERNET N. 2/2019
413
PRASSI esclusivamente sull’uso della PEC e non più gestito dalle cancellerie. L’art. 52 del decreto legge n. 90 del 2014 ha aggiunto anche l’art. 16-sexies al d.l. n. 179 del 2012 per cui, salvo quanto previsto dall’art. 366 c.p.c., quando la legge prevede che le notifiche di atti in materia civile al difensore siano eseguite, ad istanza di parte, presso la cancelleria dell’ufficio giudiziario, alla notifica in cancelleria può procedersi quando non sia possibile, per causa imputabile al destinatario, la notifica presso l’indirizzo PEC, risultante da INIPEC e REGINDE.
3.1. La nuova disciplina delle copie informatiche dei documenti analogici
La disciplina delle copie informatiche e dei documenti analogici risulta essere stata ampiamente modificata con l’entrata in vigore dell’art. 15 del d. lgs. 30 dicembre 2010, n. 235, di modifica dell’art. 22 del d.lgs. 7 marzo 2005, n. 82 in tema di copie informatiche di documenti analogici. Prevede la novella che i documenti informatici contenenti copie di atti pubblici, di scritture private e di documenti in genere - compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico -, spediti o rilasciati dai depositari pubblici autorizzati - e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli artt. 2714 e 2715 c.c., se ad essi è apposta o associata, da parte di colui che li spedisce o rilascia, una firma digitale o altra firma elettronica qualificata. In questi casi, per le predette copie di documenti, la loro esibizione e la loro produzione sostituisce quella dei relativi originali. Per quanto attiene, invece, le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico, si è stabilito che le stesse copie hanno la medesima efficacia probatoria degli originali da cui esse sono estratte, se la loro conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche stabilite ai sensi dell’art.71. Inoltre è stato espressamente previsto che le copie per immagine su supporto informatico dei documenti originali formati in origine su supporto analogico, sempre nel rispetto delle regole tecniche di cui all’art.71, hanno, invece, la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformità all’originale, però, non è espressamente disconosciuta. Tutte le copie formate secondo i modi anzi descritti sostituiscono, quindi, ad ogni effetto di legge gli originali formati in origine su supporto analogico, e sono idonee ad assolvere gli obblighi di conservazione previsti dalla legge, fatte salve quelle particolari categorie di documenti – da individuarsi con decreto del Presidente del Consiglio dei Ministri – che quali particolari tipologie di documenti analogici originali unici, in ragione di esigenze di natura pubbli-
414
DIRITTO DI INTERNET N. 2/2019
cistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la loro conformità all’originale sia autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione firmata digitalmente da allegare al documento informatico. In ogni caso si tenga presente che sia per i documenti da conservare in originale o con le modalità determinate nell’apposito d.P.C.m., sia per i documenti analogici originali unici permane l’obbligo della conservazione dell’originale analogico oppure, per i casi di conservazione sostitutiva, la loro conformità all’originale dovrà essere autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico. Per le copie analogiche di documenti informatici, l’art. 16 della medesima novella legislativa ha modificato l’art. 23 d. lgs. 7 marzo 2005 n. 82, prevedendo che le copie su supporto analogico di documento informatico, anche sottoscritto con firma elettronica avanzata, qualificata o digitale, hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformità all’originale in tutte le sue componenti è attestata da un pubblico ufficiale a ciò autorizzato. Le copie e gli estratti su supporto analogico del documento informatico, conformi alle vigenti regole tecniche, hanno, perciò, la stessa efficacia probatoria dell’originale se la loro conformità non è espressamente disconosciuta. Resta fermo, ove previsto l’obbligo di conservazione dell’originale informatico. Dopo l’art. 23 è stato, infine, inserito l’art. 23-bis in tema di duplicati e copie informatiche di documenti informatici e si è stabilito che i duplicati informatici hanno il medesimo valore giuridico, a ogni effetto di legge, del documento informatico da cui sono tratti, sempre se prodotti in conformità alle regole tecniche di cui all’art. 71. Inoltre che le copie e gli estratti informatici del documento informatico, se prodotti in conformità alle regole tecniche ex art.71, hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformità all’originale, in tutti le sue componenti, è attestata da un pubblico ufficiale a ciò autorizzato o se la conformità non è espressamente disconosciuta, ma che resta sempre fermo, ove previsto, l’obbligo di conservazione dell’originale informatico. In merito alle copie informatiche l’ art. 52, d.l. n. 90 del 2014, innovando in modo significativo, ha attribuito importanti poteri di autentica sia ai difensori che al consulente tecnico nonché al professionista delegato, al curatore e commissario giudiziale prevedendo che questi possano estrarre, con modalità telematiche, copie analogiche o informatiche degli atti e dei provvedimenti, in cui sono costituiti, e attestarne la conformità ai corrispondenti atti contenuti nel fascicolo informatico.
PRASSI Queste previsioni, di ordine generale, hanno subito modifiche, in tema di atti processuali, in quanto con il d.l. 27 giugno 2015 n. 83 sono state introdotte, in ordine alle modalità di attestazione di conformità degli atti processuali notificati da parte del difensore, rilevanti novità. Il potere di autentica ai difensori e agli ausiliari del giudice era già stato introdotto con l’art. 16-bis co. 9-bis d.l. n. 179 del 2012, con il quale si stabiliva innanzitutto che le copie informatiche, anche per immagine, di atti processuali di parte e degli ausiliari del giudice, nonché dei provvedimenti di quest’ultimo (quindi, decreti, ordinanze e sentenze), presenti nei fascicoli informatici dei procedimenti civili, contenziosi o di volontaria giurisdizione, equivalgono all’originale anche se prive della firma digitale del cancelliere. Inoltre, che il difensore, il consulente tecnico, il professionista delegato, il curatore e il commissario giudiziale possono autonomamente estrarre, con modalità telematiche duplicati, copie analogiche o informatiche di tali atti e provvedimenti, attestandone la conformità delle copie estratte ai corrispondenti atti contenuti nel fascicolo informatico. Pertanto, tali copie – analogiche e informatiche, anche per immagine – estratte dal fascicolo informatico e munite dell’attestazione di conformità da parte degli avvocati e degli altri soggetti menzionati, equivalgono all’originale. Per i duplicati, rimaneva, invece, fermo quanto previsto dall’art. 23-bis, co. 1, d. lgs. 7 marzo 2005, n. 82. Con i nuovi articoli 16-decies e 16-undecies introdotti con il d.l.27 giugno 2015 n. 83 è stato previsto che il difensore, o uno degli altri soggetti autorizzati, può attestare, ai fini del deposito, la conformità della copia informatica, anche per immagine, di un atto formato su supporto analogico e notificato “con modalità non telematiche”. La norma non richiama, in merito il C.A.D. né le Regole tecniche sulla formazione del documento informatico - di cui al d.P.C.m. 13 novembre 2014 - che contemplano disposizioni dedicate proprio alla corretta attestazione di conformità delle copie informatiche di documento informatico o analogico e delle copie analogiche di documento informatico. È quindi da ritenere che quest’ultima norma, quale lex specialis, attribuisca uno speciale potere certificativo agli gli avvocati limitatamente agli atti da essi stessi prodotti, potere non molto dissimile da quello tradizionalmente riconosciuto ed esercitato dagli avvocati per le copie cartacee da notificare quando la conformità è data formalmente dell’ufficiale giudiziario o dall’Ufficio postale.
4. Il punto di accesso, funzioni ed abilitazioni, i delegati dell’avvocato e gli ausiliari del giudice
Il Processo Civile Telematico è stato sussunto per quanto non espressamente disciplinato dalle norme sulla
informatizzazione del processo contabile dalla specifica normativa ora sostituita con quella del d.M.G. n. 44 del 2011 e relative specifiche tecniche. Con la precedente normativa era stata realizzata l’interoperabilità tra utenti esterni quali: avvocati, ausiliari del giudice, altre pubbliche amministrazioni e utenti interni quali: magistrati, cancellieri, personale di cancelleria e dell’U.N.E.P. L’architettura prevedeva che gli utenti esterni interagissero con il sistema previa autenticazione con un punto di accesso esterno, autorizzato dal Ministero della giustizia. I punti di accesso erano collegati al gestore centrale, attualmente non previsto dalla nuova normativa. Il punto di accesso, quindi, come per la vecchia architettura, anche per la nuova è l’unica porta di accesso al sistema del dominio giustizia ossia al sistema informatico della giustizia civile (15). I principali punti di forza dell’architettura sono, nella nuova normativa, da individuare nella esternalizzazione della responsabilità di autenticare l’utente, e nella certificazione dello status del difensore. Il “punto di accesso” è definito nel nuovo d.M.G. n. 44 del 2011, il quale assuma valenza per il processo contabile telematico, come la struttura tecnologica-organizzativa che fornisce ai soggetti abilitati esterni al dominio giustizia i servizi di connessione al portale dei servizi telematici, secondo le regole tecnico-operative riportate nel decreto stesso. Esso fornisce un’adeguata qualità dei servizi, dei processi informatici e dei relativi prodotti, idonea a garantire la sicurezza del sistema, nel rispetto dei requisiti tecnici previsti. L’accesso, infatti, ai servizi di consultazione delle informazioni rese disponibili dal Dominio avviene mediante autenticazione sul punto di accesso o sul portale dei servizi telematici. Il punto stabilisce la connessione con il portale dei servizi telematici mediante un collegamento sicuro con mutua autenticazione, il tutto secondo le specifiche tecniche stabilite dal responsabile per i sistemi informativi automatizzati del Ministero della giustizia. A seguito dell’autenticazione viene in ogni caso trasmesso al gestore dei servizi telematici il codice fiscale del soggetto che effettua l’accesso. Il “punto di accesso” garantisce, inoltre, un’adeguata sicurezza del sistema secondo le modalità tecniche specificate in un apposito piano depositato unitamente al modello dal richiedente, a pena di inammissibilità, e con le modalità stabilite dal responsabile per i sistemi informativi automatizzati del Ministero della giustizia con apposito decreto per il PCT. Anche nel nuovo sistema il “punto di accesso” fornisce adeguati servizi di formazione e assistenza ai propri utenti, anche relativamente ai profili tecnici. La violazione da parte del gestore di (15) Vedi Di Giacomo, Il processo civile telematico , Milano, 2014, 94 ss.; Corona - Iaselli, Il processo civile telematico. I quesiti della pratica, Pisa, 2015, 82 ss.; Sirotti Gaudenzi - Riem, Problematiche e soluzioni del processo telematico, Rimini, 2015, 110 ss.
DIRITTO DI INTERNET N. 2/2019
415
PRASSI un punto di accesso dei livelli di sicurezza e di servizio comporta la sospensione dell’autorizzazione ad erogare i servizi fino al ripristino degli stessi livelli ed all’uopo sono disposte ispezioni tecniche, anche a campione, per verificare l’attuazione delle prescrizioni di sicurezza. Il punto di accesso può essere attivato e gestito esclusivamente da soggetti determinati. Questi possono essere: i consigli degli ordini professionali, limitatamente ai propri iscritti; il Consiglio nazionale forense, ove delegato da uno o più consigli degli ordini degli avvocati e sempre limitatamente agli iscritti del consiglio delegante; il Consiglio nazionale del notariato, limitatamente ai propri iscritti; l’Avvocatura dello Stato. Possono attivare, altresì, punti di accesso: le amministrazioni statali o equiparate e gli enti pubblici, limitatamente ai loro iscritti e dipendenti; le Regioni; le città metropolitane; le provincie ed i Comuni, o enti consorziati allo scopo. Sempre le Camere di Commercio, per le imprese costituite in forma societaria iscritte nel relativo registro. Tutti questi soggetti si noti bene possono gestire uno o più punti, così come punti di accesso possono essere gestiti da società per azioni in possesso di un capitale sociale e dei requisiti di onorabilità di cui all’art. 25, co. 1, d.lgs. 1 settembre 1993, n. 385. L’elenco pubblico dei punti attivi presso il Ministero della giustizia contiene le informazioni relative all’identificativo del punto di accesso. Il soggetto che intende costituire un punto di accesso deve inoltrare la domanda di iscrizione nell’elenco pubblico dei punti di accesso secondo il modello e con le modalità stabilite, con apposito decreto, dal responsabile per i sistemi informativi automatizzati del Ministero della giustizia. Ad eccezione della fase che disciplina l’aspetto del processo telematico penale, relativamente alla fase delle indagini preliminari, il dominio giustizia consente, quindi solo per il processo civile telematico, al soggetto abilitato esterno, l’accesso alle informazioni contenute nei fascicoli dei procedimenti in cui è costituito o svolge attività di esperto o ausiliario. L’utente privato, invece, può accedere alle informazioni contenute nei fascicoli dei procedimenti in cui è parte mediante il portale dei servizi telematici e mediante i punti di accesso attivati dalle Regioni, oppure dalle città metropolitane, provincie, Comuni o loro consorzi, ovvero tramite le Camere di Commercio. È sempre consentito l’accesso alle informazioni necessarie per la costituzione o l’intervento in giudizio in modo tale da garantire la riservatezza dei nomi delle parti e limitatamente ai dati identificativi del procedimento. Com’è noto, con atto ricevuto dal cancelliere del tribunale o della Corte d’appello, da comunicarsi in copia al Consiglio dell’Ordine, il procuratore legale (avvocato) può, sotto la sua responsabilità, procedere alla nomina di sostituti, in numero non superiore a tre, fra i procuratori compresi nell’albo in
416
DIRITTO DI INTERNET N. 2/2019
cui egli è iscritto. In questo caso il Dominio Giustizia consente l’accesso alle informazioni contenute nei fascicoli dei procedimenti patrocinati dal delegante, previa comunicazione, a cura di parte, di copia della delega stessa al responsabile dell’ufficio giudiziario, che provvede ai conseguenti adempimenti. L’accesso è consentito fino alla comunicazione della revoca della delega. La delega, sottoscritta con firma digitale, è rilasciata in conformità alle specifiche di strutturazione dei modelli informatici definite con decreto del responsabile per i sistemi informativi automatizzati del Ministero della giustizia e pubblicate nell’area pubblica del portale dei servizi telematici. Gli esperti e gli ausiliari del giudice accedono ai servizi di consultazione nel limite dell’incarico ricevuto e dell’autorizzazione concessa dal giudice. È sempre consentito l’accesso alle informazioni necessarie per la costituzione o l’intervento in giudizio in modo tale da garantire la riservatezza dei nomi delle parti e limitatamente ai dati identificativi del procedimento. Gli avvocati ed i procuratori dello Stato accedono alle informazioni contenute nei fascicoli dei procedimenti in cui è parte una pubblica amministrazione per la quale si sono costituiti. L’accesso ai servizi di consultazione resi disponibili dal dominio giustizia si ottiene previa registrazione presso il punto di accesso (16) autorizzato o presso il portale dei servizi telematici, secondo le specifiche tecniche stabilite dal responsabile per i sistemi informativi del Ministro della giustizia, sentito AgID e il Garante per la protezione dei dati personali. Il punto di accesso si occupa, oltre che della sua completa gestione, di realizzare una connessione direttamente al sito PolisWeb, la mutua autenticazione (SSL3), basata su certificato server e certificato cliente.
5. Il deposito degli atti nel processo contabile amministrativo telematico alla luce del d.M.G. 21 febbraio 2011, n. 44 e del C.A.D.
Relativamente al deposito degli atti, il d. lgs n. 179 del 2016 prevede interventi finalizzati a: a) individuare le modalità di deposito telematico degli atti processuali e dei documenti; b) rilasciare l’attestazione di avvenuto deposito in via automatica da parte del sistema informatico al momento del caricamento degli atti processuali e dei documenti; c) - individuare i casi in cui il giudice assicura il deposito telematico dei propri provvedimenti, in particolare al fine di consentire le rilevazioni statistiche o per evitare il pericolo di falsificazione dei
(16) Il Punto d’Accesso al Processo Contabile Telematico è il servizio che consente agli avvocati di depositare gli atti presso gli Uffici Giudiziari, di ricevere biglietti di cancelleria, di inviare e ricevere notifiche e di consultare i dati (eventi in agenda, Fascicoli, ecc.) presso gli U.G. Inoltre è possibile accedere alle funzionalità del redattore per il confezionamento delle buste telematiche utili al deposito.
PRASSI provvedimenti di autorizzazione al prelievo di somme di denaro vincolate all’ordine del giudice. Il sistema del Processo Civile Telematico prevedeva, del resto, tre nodi e il Processo Contabile Telematico li sussume: il punto di accesso (PdA), il Gestore Centrale(GC) e il Gestore Locale (GL). I singoli legali – nella posizione di attore o di convenuto – dopo aver compiuto l’attività di redazione dell’atto, della sua segnatura e cifratura ed imbustamento – attività certificata mediante smart-card – accedevano, tramite internet, al punto di accesso del sistema. Dal punto di accesso che faceva parte della rete privata del sistema, la cartella dei documenti firmati arrivava al gestore centrale che le inviava al gestore locale del singolo tribunale della cancelleria interessata. Qui il gestore locale della rete provvedeva ad autenticare i soggetti interni che potevano accedere alla rete ed il contesto applicativo prevedeva l’interazione tra i Soggetti Abilitati Esterni, (17) vale a dire avvocati e ausiliari del giudice, ed i Sistemi di Gestione dei Registri (SGR) installati presso gli uffici giudiziari civili di primo e secondo grado. Il d.M.G. n. 44 del 2011 detta norme specifiche anche in relazione al deposito degli atti sul presupposto di quelle che abbiamo già enunciato come modifiche sostanziali all’architettura del PCT e ciò sia grazie alle modifiche apportate al C.A.D. in materia di documento informatico, sia in ordine al deposito dell’atto del processo da parte dei magistrati, del personale interno alle cancellerie e degli uffici U.N.E.P. Per tutti detti soggetti è stato previsto che l’atto del processo, re-
(17) Soggetto abilitato esterno che: poteva redigere e firmare l’atto di parte ed a tal fine si avvaleva di uno o più strumenti per la redazione, la firma, la cifratura e l’imbustamento; poteva depositare l’atto di parte, ricevendo in risposta la relativa attestazione temporale e successivamente le ricevute elettroniche di avvenuta presa in carico da parte dell’Ufficio Giudiziario e di inserimento nel fascicolo informatico; poteva ricevere comunicazioni da parte dell’Ufficio Giudiziario nella propria “Casella di Posta Elettronica Certificata del Processo Telematico” CPECPT; poteva effettuare consultazioni dei fascicoli di propria pertinenza tramite i servizi di consultazione esposti dai Gestori Locali presso gli Uffici Giudiziari. L’avvocato, pertanto, interagiva con il SICI necessariamente per il tramite di un Punto di Accesso Esterno (PdA), presso cui era registrato come utente. Il PdA era, ed è, l’unico fornitore dei servizi di interfacciamento del dominio giustizia per gli avvocati, ed era, ed è, autorizzato in quanto offriva, ed offre, ai propri Utenti una schermatura dei protocolli e dei formati di interfaccia previsti dal PCT per il colloquio con gli Uffici Giudiziari (UG), salvaguardando i principi di sicurezza e di riservatezza. Presso il PdA è attiva un’apposita anagrafica alla quale si accede in fase di autenticazione, in fase di prelievo o consultazione dei messaggi provenienti dal SICI ed in fase di deposito degli atti, per eseguire, se è in funzione l’Albo elettronico del Consiglio dell’Ordine di appartenenza dell’avvocato, la certificazione dello status del professionista; relativamente alla ricezione di comunicazioni di cancelleria, il PdA forniva all’avvocato una casella di posta elettronica certificata del Processo Telematico (CPECPT). La comunicazione del provvedimento per mezzo del biglietto di cancelleria invece era trasmesso dal gestore locale al centrale e quindi al punto di accesso locale da dove mediante la rete internet perveniva allo studio legale. Vedi Ancona - Gargano - Sileni, Tecniche di redazione dell’atto amministrativo, Milano, 2008, 42 ss.
datto in formato elettronico e sottoscritto con firma digitale, sia depositato nel fascicolo informatico, previa attestazione del deposito da parte dell’ausiliario mediante apposizione della data e della propria firma digitale. Il provvedimento del Ministero della Giustizia del 16 febbraio 2014 (previsto ex art. 34 d.M.G. n. 44 del 2011), reca le specifiche tecniche del Processo Civile Telematico (PCT) ed in particolare, all’art. 12, comma 2, stabilisce, riguardo alla trasmissione di atti e documenti informatici, il formato da utilizzare per la firma digitale, che allo stato appaiono sussunte nel processo contabile. Gli utenti, sia esterni (avvocati ed ausiliari del giudice) che interni (magistrati e cancellieri), possono utilizzare per la sottoscrizione digitale dei documenti informatici lo standard PAdES oppure in alternativa il CAdES. È tuttavia evidente che, potendo il PAdES essere utilizzato unicamente per firmare digitalmente file PDF, solo il CAdES potrà essere usato per la sottoscrizione di tutti i restanti tipi di file previsti dall’art. 13 del provvedimento (rtf, txt, jgp, gif, tiff, xml, eml, msg, zip, rar, arj). I medesimi formati di firma sono previsti per le notificazione in proprio degli avvocati a mezzo PEC e legge n. 53 del 1994 e successive modifiche, rimandando l’art. 19 bis delle menzionate specifiche tecniche. La maggior parte dei software PCT dedicati ad avvocati ed ausiliari del giudice, così come allo stesso modo i più diffusi programmi per la firma digitale (es. ArubaSign, Dike, Firma Certa) consentono di scegliere alternativamente tra PAdES e CAdES per la sottoscrizione di documenti informatici, producendo come già specificato documenti altrettanto validi giuridicamente. Esistono tuttavia diversi casi in cui per motivi pratici un formato può essere preferibile all’altro. Si riportano due casi concreti in cui, a parere dello scrivente, l’uso del formato PAdES è preferibile: a) notificazione in proprio a mezzo PEC (ai sensi della l. n.53 del 1994) per cui l’atto ed i documenti notificati se firmati in PAdES, sono immediatamente visualizzabili dal destinatario utilizzando qualsiasi software per la lettura dei file PDF; b) procura alle liti speciale nativa digitale ex art. 83 co. 3 c.p.c. per cui il cliente, può sottoscriverla con la sua firma digitale, senza necessità di programmi specifici, utilizzando una versione recente di Adobe Reader, che integra al suo interno le funzioni di firma, aggiungendovi la rappresentazione grafica della stessa. Quando a depositare è un organo collegiale, l’originale del provvedimento è sottoscritto con firma digitale anche dal Presidente. Con la sentenza 10 novembre 2015 n. 22871, la Corte di Cassazione, Sez. I, si è pronunciata per la prima volta su un tema fondamentale per il processo civile telematico, ovvero se sia affetta da inesistenza giuridica la sentenza contenente la sola firma digitale del giudice e non la sottoscrizione di costui ai sensi dell’art. 132 n. 5 c.p.c. Il caso posto all’esame della Suprema Corte parte dalla
DIRITTO DI INTERNET N. 2/2019
417
PRASSI considerazione che la firma digitale non è una sottoscrizione e quindi come si sarebbe potuto conciliare la stessa con il disposto di cui all’art. 132 c.p.c., che presuppone invece come obbligatoria la sottoscrizione da parte dell’autore della sentenza. La Corte esplicita che “la sottoscrizione della sentenza… deve essere costituita da un segno grafico che abbia caratteristiche di specificità sufficienti e possa quindi svolgere funzioni identitarie e di riferibilità soggettiva, pur nella sua eventuale illeggibilità, se sussistono adeguati elementi per il collegamento del segno grafico con un’indicazione nominativa contenuta nell’atto. Si desume da quest’ultimo indirizzo che la sottoscrizione della sentenza è elemento essenziale perché la sentenza sia riconoscibile come tale e ne sia resa palese la provenienza dal giudice che l’ha deliberata”. Tale premessa è di importanza fondamentale innanzitutto in chiave evolutiva; il Supremo Collegio ci dice infatti una cosa molto chiara e cioè che la funzione della sottoscrizione prevista dall’art. 132 c.p.c. è, in sostanza, quella di far comprendere chi sia l’autore di quella determinata sentenza. Bene, a fronte di tale condivisibile affermazione non è difficile fare un passo in avanti e ipotizzare la possibilità che addirittura, in futuro, si possa fare a meno anche della stessa firma digitale, laddove la sentenza (o altro provvedimento giudiziale) sia resa all’interno di un sistema informatico che assicuri l’esistenza di un’area alla quale può accedere solo il giudice. Tutti questi soggetti abilitati interni utilizzano appositi strumenti per la redazione degli atti del processo in forma di documento informatico e per la loro trasmissione alla cancelleria od alla segreteria dell’ufficio giudiziario. L’atto è inserito nella medesima busta telematica ossia un file in formato MIME che riporta tutti i dati necessari per l’elaborazione da parte del sistema ricevente (gestore dei servizi telematici). Per l’accesso ai sistemi dall’interno degli uffici giudiziari, l’identificazione è effettuata mediante coppia di credenziali “nome utente/ password” ovvero mediante identificazione informatica sul portale dei servizi telematici mediante carta d’identità elettronica o carta nazionale dei servizi e sul punto di accesso mediante token crittografico, smart card, chiavetta USB o altro dispositivo sicuro. Sempre il magistrato avrà sulla “console” il ruolo laddove va ad aprire il programma per la relativa attività della lista dei fascicoli per il periodo selezionato dello stato della causa e delle attività da compiersi. Viene consentita al magistrato la visione di tutti i fascicoli da trattare all’udienza selezionata, in modo tale da poterli disciplinare in base all’agenda immediatamente consultabile. Potrà, quindi, visionare il contenuto dei fascicoli, fare ricerche, scrivere il relativo provvedimento ed inserirlo immediatamente nel fascicolo. All’interno del fascicolo il magistrato potrà avere una visione completa ed unitaria dello stesso e non solo dei dati delle parti e dell’oggetto, ma anche
418
DIRITTO DI INTERNET N. 2/2019
della nota di iscrizione a ruolo, della procura, degli allegati e dei provvedimenti adottati. Mediante poi la funzione dell’agenda il magistrato avrà un quadro completo dello scadenzario giornaliero dei termini assegnati dei provvedimenti in minuta. Potrà navigare in tutti i fascicoli, vederne le statistiche ed esaminare le cartelle condivise. Il d.M.G. n. 44 del 2011 prevede, poi, per la trasmissione dei documenti da parte dei difensori delle parti private, degli avvocati iscritti negli elenchi speciali, degli esperti e gli ausiliari del giudice e per l’impresa e il cittadino, quando non operano come soggetti abilitati esterni, che i documenti informatici, come atti del processo o allegati agli atti del processo, siano trasmessi da parte di questi mediante l’indirizzo di posta elettronica certificata risultante dal registro generale degli indirizzi elettronici, all’indirizzo di posta elettronica certificata dell’ufficio destinatario. In questi casi i documenti informatici come atti del processo, o allegati agli atti del processo, si intendono ricevuti dal dominio giustizia nel momento in cui viene generata la ricevuta di avvenuta consegna da parte del gestore di posta elettronica certificata del Ministero della Giustizia. Si intendono ricevuti dal dominio giustizia quando la ricevuta di avvenuta consegna attesta, altresì, l’avvenuto deposito dell’atto o del documento presso l’ufficio giudiziario competente. Quando la ricevuta è rilasciata dopo le ore 14, il deposito si considera effettuato il giorno feriale immediatamente successivo. L’atto del processo in forma di documento informatico, la nota di iscrizione a ruolo ed i documenti informatici allegati all’atto del processo sono trasmessi, quindi, anche da parte dei soggetti abilitati esterni e degli utenti privati mediante l’utilizzo dell’indirizzo di posta elettronica certificata risultante dal registro generale degli indirizzi elettronici, all’indirizzo di posta elettronica certificata dell’ufficio destinatario, nella cosiddetta “busta telematica”, ossia in quel file in formato MIME che riporta tutti i dati necessari per l’elaborazione da parte del sistema ricevente ossia dal gestore dei servizi telematici. In particolare la busta contiene il file “Atto.enc,”, ottenuto dalla cifratura del file “Atto.msg”, il quale contiene a sua volta altre indicazioni. Ai fini dello scambio previsto dall’art. 170 co. 4 c.p.c., il quale consente che le comparse e le memorie annesse dal giudice si comunicano mediante deposito in cancelleria oppure mediante notificazione o scambio documentato con l’apposizione sull’originale, in calce o a margine del visto della parte o del procuratore, ed inoltre che il giudice può autorizzare per singoli atti, in qualunque stato e grado del giudizio, che lo scambio o la comunicazione possa avvenire anche a mezzo telefax o posta elettronica nel rispetto della normativa, anche regolamentare, concernente la sottoscrizione, la trasmissione e la ricezione dei documenti informatici e teletrasmessi, si è stabilito che la parte che procede al deposito
PRASSI deve inviare ai procuratori delle parti costituite copia informatica dell’atto e dei documenti allegati con le modalità previste per la notifica di atti tra avvocati nel rispetto della disciplina di cui all’art. 4 della legge 21 gennaio 1994, n. 53. Fuori del caso di rifiuto per omessa sottoscrizione, il rigetto del deposito, della “Busta telematica” da parte dell’ufficio non impedisce il successivo deposito entro i termini assegnati o previsti dal codice di procedura civile. La certificazione dei professionisti abilitati e dei soggetti abilitati esterni pubblici è effettuata dal gestore dei servizi telematici sulla base dei dati presenti nel registro generale degli indirizzi elettronici, secondo le specifiche tecniche stabilite dal responsabile per i sistemi informativi automatizzati del Ministero della giustizia, sentito DigitPa (oggi AgID) e il Garante per la protezione dei dati personali. Al fine di garantire la riservatezza dei documenti da trasmettere, il soggetto abilitato esterno utilizza un meccanismo di crittografia. Il gestore dei servizi telematici restituisce al mittente l’esito dei controlli effettuati dal dominio giustizia nonché dagli operatori della cancelleria o della segreteria
6. Il Registro generale degli indirizzi elettronici nel previgente sistema e nel nuovo decreto
Ai sensi dell’art. 7 d.P.R. n. 123 del 2001, le comunicazioni e le notificazioni con biglietto di cancelleria, nonché le notificazione degli atti, effettuata come documento informatico, sottoscritto con firma digitale, potevano essere eseguite per via telematica, oltre che attraverso il sistema informatico civile, anche all’indirizzo elettronico dichiarato, ossia all’indirizzo elettronico del difensore comunicato al Consiglio dell’ordine e da quest’ultimo reso disponibile al Ministero della giustizia. Per gli esperti e gli ausiliari del giudice, l’indirizzo elettronico era quello comunicato dai medesimi ai propri ordini professionali od all’albo dei consulenti presso il tribunale (18). Per tutti i soggetti diversi da questi ultimi, l’indirizzo elettronico era quello dichiarato al certificatore della firma digitale al momento della richiesta di attivazione della procedura informatica di certificazione della firma, ove reso disponibile nel certificato. Gli indirizzi elettronici dovevano, poi, nel previgente sistema essere comunicati tempestivamente dagli ordini professionali al Ministero della giustizia. Il d.M.G. n. 44 del 2011 in materia prevede, sempre all’art. 7, che il registro generale degli indirizzi elettronici (ReGIndE), gestito dal Ministero della giustizia, contiene i dati identificativi e l’indirizzo di posta elettronica certificata dei soggetti abilitati esterni non iscritti negli albi ed elenchi istituiti con legge dello Stato e così parimenti per le persone (18) Ci si permette di rinviare Contaldo - Gorga, La disciplina del Processo Civile Telematico (PCT) alla luce della normativa più recente, in Manuale di diritto dell’informatica, a cura di Valentino, Napoli, 2016, III ed., 346 ss.
fisiche, quali utenti privati, che non operano nelle qualità di liberi professionisti. Per i professionisti, invece, iscritti in albi ed elenchi istituiti con legge dello Stato, il registro generale degli indirizzi elettronici è costituito per mezzo dei dati contenuti negli elenchi riservati di cui all’art. 16, comma 7, d.l. 29 novembre 2008, n. 185, convertito nella legge 28 gennaio 2009, n. 2, inviati al Ministero della Giustizia secondo le specifiche tecniche che qui adesso analizziamo. Per i soggetti abilitati esterni non iscritti negli albi od elenchi riconosciuti, il registro generale degli indirizzi è conforme alle stesse specifiche tecniche. Per le persone fisiche, quali utenti privati, che non operano nelle qualità di liberi professionisti o come abilitati esterni non iscritti negli albi dei professionisti, gli indirizzi sono consultabili, invece, ai sensi dell’art. 7 d.P.C.m. 6 maggio 2009. Per le imprese, gli indirizzi sono consultabili, senza oneri, ai sensi dell’art. 16, comma 6, d.l. 29 novembre 2008, n. 185, convertito nella legge 28 gennaio 2009, n. 2, con le modalità di cui al comma 10 del medesimo. Il Registro Generale degli Indirizzi Elettronici (ReGIndE) contiene altresì gli indirizzi di PEC dei soggetti abilitati esterni che intendono fruire dei servizi telematici. Lo stesso, naturalmente, interagisce con la gestione informatizzata dei registri di cancelleria e ciò al fine di evitare ogni possibilità di inserimento manuale dei dati, rigidità che pone non pochi problemi pratici agli operatori delle cancellerie e del diritto. Il ReGIndE è alimentato dal profilo anagrafico dei soggetti e degli enti che possiamo distinguere per categoria secondo che i soggetti appartenenti ad un ente pubblico svolgano anche uno specifico ruolo nell’ambito di procedimenti: ad esempio avvocati e funzionari dell’INPS e dell’Avvocatura dello Stato; avvocati e funzionari delle PP.AA.; professionisti iscritti in albi ed elenchi istituiti con legge: ad esempio consiglio dell’ordine degli avvocati o consiglio nazionale del Notariato; professionisti non iscritti ad alcun albo, ad esempio tutti quei soggetti nominati dal giudice come consulenti tecnici d’ufficio, o più in generale ausiliari del giudice non appartenenti ad un ordine di categoria o che appartengono ad ente/ ordine professionale che non abbia ancora inviato l’albo al Ministero della giustizia. Il ReGIndE è direttamente accessibile dai sistemi interni al dominio giustizia, attraverso un apposito web service, ed è consultabile dai soggetti abilitati esterni tramite il proprio punto di accesso o tramite l’area riservata del Portale dei Servizi Telematici. L’alimentazione del ReGIndE avviene previo invio al responsabile per i sistemi informativi automatizzati di un documento di censimento, contenente le informazioni necessarie ad identificare l’ente attraverso il codice ente e la sua descrizione. Terminate le operazioni di censimento da parte del responsabile per i sistemi informativi automatizzati, l’ente mittente del documento di censimento riceve una risposta; in caso
DIRITTO DI INTERNET N. 2/2019
419
PRASSI di esito positivo, l’ente può procedere all’invio dell’albo secondo le vigenti specifiche. Il mancato rispetto di uno o più dei vincoli di cui alle prescrizioni delle specifiche tecniche comporta la generazione di un messaggio automatico di esito negativo e pertanto ad ogni inoltro di messaggi corrisponde, da parte del sistema, una risposta tramite PEC. Ad ogni nuovo indirizzo di PEC registrato nelle anagrafiche a seguito dell’inserimento di un nuovo soggetto o di modifica di uno esistente, viene inviato un messaggio di PEC di cortesia in cui si attesta l’avvenuta registrazione. I professionisti non iscritti all’albo, oppure per i quali il proprio ordine di appartenenza non abbia provveduto all’invio di copia dell’albo (ad eccezione degli avvocati), si possono registrare al ReGIndE attraverso un punto di accesso (PdA) o attraverso il Portale dei Servizi Telematici, previa loro identificazione, inserendo il file che contiene copia informatica, in formato PDF, dell’incarico di nomina da parte del giudice. Quest’ultimo file deve essere sottoscritto con firma digitale o firma elettronica qualificata dal soggetto che intende iscriversi. Il PdA provvede a trasmettere l’avvenuta registrazione con le medesime modalità di cui abbiamo innanzi detto con la differenza che il file ComunicazioniSoggetti.xml è digitalmente sottoscritto con firma digitale o firma elettronica qualificata dal PdA. Qualora il professionista s’iscriva ad un albo, oppure pervenga copia dell’albo da parte dell’ordine di appartenenza, prevalgono i dati trasmessi dall’ordine stesso. L’art. 6 d.lgs. 26 agosto 2016 n. 174 prevede altresì che il Pubblico Ministero presso la Corte dei Conti possa effettuare, nel rispetto dei decreti previsti dall’articolo 20 bis del decreto legge 18 ottobre 2012, n. 179, le notificazioni degli atti direttamente agli indirizzi di posta elettronica certificata contenuti in pubblici elenchi o registri. Per il deposito degli atti giudiziari tramite PEC, in particolare, valgono le suddette modalità stabilite nel Decreto Presidente Corte dei Conti n. 98 del 2015 il quale definisce le prime regole tecniche e operative per l’utilizzo della PEC nei giudizi dinanzi alla Corte dei conti, ivi incluse le comunicazioni e notificazioni.
7. La rilevanza del documento informatico nel processo contabile amministrativo telematico e la nuova disciplina delle copie informatiche dei documenti analogici
Con il d.P.R. 28 dicembre 2000 n. 445, all’art. 1 lett. a) il “documento amministrativo” è stato definito, invece, come «ogni rappresentazione, comunque formata, del contenuto di atti, anche interni, delle pubbliche amministrazioni o, comunque, utilizzati ai fini dell’attività amministrativa» quindi con un’eccezione molto più ampia rispetto a quella precedente e con la possibilità di ricomprendervi anche le rappresentazioni sonore o visive di atti interni o utilizzati dalla P.A., e con la sola restrizione in ordine
420
DIRITTO DI INTERNET N. 2/2019
al soggetto che produce il documento amministrativo. Identica è poi la definizione data sia all’art. 1 lettera a) d.P.R. 13 febbraio 2001 n.123, dove, il documento informatico, è definito come la «la rappresentazione informatica del contenuto di atti, fatti o dati giuridicamente rilevanti ai sensi del decreto del Presidente della Repubblica 10 novembre 1997, n. 513» sia all’art. 1 lettera p) d.lgs. n. 85 del 2005 dove pure è definito come «la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti» e al successivo art. 20 co. 1, come modificato dall’art. 8, d.lgs. 4 aprile 2006, n. 159, viene definito come documento «da chiunque formato», quindi sia essa autorità pubblica o mero privato, registrato su supporto informatico trasmesso con strumenti telematici conformi alle regole tecniche previste nello stesso C.A.D. Orbene con questa previsione di documento informatico come documento da «chiunque formato» è da ritenere che il legislatore non abbia inteso limitare la definizione alla sola natura pubblica o privata del soggetto agente ma che abbia aperto alla piena, e già quindi riconosciuta, giuridicità dei “documenti cibernetici”, ossia alla creazione cibernetica di uno scritto originale, cioè non copiato, ma prodotto “ex novo” dal computer e di cui, quindi non esiste un originale formato dall’uomo. E proprio la creazione “cibernetica” degli scritti “originali”, possibile solo a proposito della scrittura informatica, è la più grande rivoluzione nella scrittura perché, prima dell’avvento del computer solo all’uomo è stato possibile creare uno scritto, espressione del suo pensiero e della sua cosciente volontà, mentre con lo “scritto cibernetico” ciò sarà possibile anche al computer. Proprio in relazione a ciò deve essere letta un’altra fondamentale norma qual è quella dell’art. 40, co.1, C.A.D., che prevede: «Le P.A., che dispongono di idonee risorse tecnologiche, “formano gli originali” dei propri documenti con mezzi informatici secondo le disposizioni del presente codice e le regole tecniche di cui all’art. 71», norma modificata dall’art. 27 d.lgs. 30 dicembre 2010 n. 235, che ha soppresso l’inciso «che dispongono di idonee risorse tecnologiche» e abrogato il 2 co., dello stesso articolo, sicché la nuova formulazione della norma è nel senso che «Le P.A. “formano gli originali” dei propri documenti con mezzi informatici secondo le disposizioni del presente codice e le regole tecniche di cui all’art. 71». È quindi legittimo e corretto ritenere che l’art. 40 C.A.D. detti le linee d’azione per la P.A. nella formazione dei documenti amministrativi informatici, ordinariamente, attraverso atti cibernetici. Non diversa dalla nozione in esame e la nozione di documento amministrativo informatico che il legislatore ha specificato con una dizione molto ampia ed estesa e che è restrittiva solo in ordine al requisito soggettivo della P.A., indipendentemente dal contenuto della disciplina sostanziale e per il quale dobbiamo intendere, in forza della legge 11 febbraio 2005 n.15, di
PRASSI modifica dell’art. 22 legge n. 241 del 1990 e della relativa lettera d), come «ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale». A tale nozione, poi, precede l’art. 3-bis, in ordine alla necessità dell’uso della telematica nei rapporti interni, tra pubbliche amministrazioni e tra queste e i privati, e ciò al fine di conseguire una maggiore efficienza dell’attività. Previsione quest’ultima ulteriormente sviluppata con la disposta eliminazione dei documenti cartacei, con la prevista obbligatorietà della pubblicazione sui siti informatici dal 1 gennaio 2010 e con la perdita, ex art. 32 legge 18 giugno 2009 n.69, di ogni valore legale per la pubblicazione cartacea dal 1 gennaio 2013. Inoltre, l’art.16 d.lgs. 30 dicembre 2010 n. 235 ha introdotto il nuovo articolo il 23-ter in forza del quale gli atti formati dalle pubbliche amministrazioni con strumenti informatici, nonché i dati e i documenti informatici detenuti dalle stesse, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi o identici tipi di supporto, duplicazioni e copie per gli usi consentiti dalla legge. Inoltre è stabilito che i documenti costituenti atti amministrativi con rilevanza interna al procedimento amministrativo (e prodotti nel processo contabile amministrativo telematico) sottoscritti con firma elettronica avanzata hanno l’efficacia prevista dall’art. 2702 c.c. Disciplina particolare è poi riservata alle copie su supporto informatico dei documenti formati dalla pubblica amministrazione in origine su supporto analogico ovvero dalla stessa detenuti. Qui si è stabilito che essi hanno il medesimo valore giuridico, ad ogni effetto di legge, degli originali da cui sono tratte, se, però, la loro conformità, all’originale, è assicurata dal funzionario a ciò delegato nell’ambito dell’ordinamento proprio dell’amministrazione di appartenenza, mediante l’utilizzo della firma digitale o di altra firma elettronica qualificata, purché nel rispetto delle regole tecniche stabilite ex art. 71 C.A.D. Per quest’ultima ipotesi si è stabilito che l’obbligo di conservazione dell’originale del documento è soddisfatto con la conservazione della copia su supporto informatico (19). Per quanto attiene poi alle regole tecniche in materia di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni si è stabilito che queste saranno definite con decreto del Presidente del Consiglio dei Ministri
(19) La copia informatica di documento informatico, come precisato dal Decreto Legislativo 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale), è il documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto informatico con diversa sequenza di valori binari.
o del Ministro delegato per la pubblica amministrazione e l’innovazione, di concerto con il Ministro per i beni e le attività culturali, nonché d’intesa con la Conferenza unificata di cui all’art. 8 d.lgs. 28 agosto 1997, n. 281, e sentiti AgID (già DigitPA) e il Garante per la protezione dei dati personali. Esigenza particolare, meritevole di tutela, è apparsa poi quella di garantire, in modo obiettivo ed automatico, la conformità del documento analogico a quello informatico (20) sia in ordine alla sua provenienza che in ordine alla sua conformità all’originale dei predetti documenti informatici sicché in vista di questa necessità si è stabilito che sulle copie analogiche dei documenti informatici è apposto, a stampa, sulla base dei criteri definiti con linee guida emanate da AgID (già DigitPA), un contrassegno generato elettronicamente, formato nel rispetto delle regole tecniche stabilite ai sensi dell’art.71 C.A.D. Con l’art. 15 d.lgs. 30 dicembre 2010, n. 235 è stato anche modificato l’art. 22 d.lgs. 7 marzo 2005, n. 82 in tema di copie informatiche di documenti analogici. Prevede la novella legislativa che i documenti informatici contenenti copie di atti pubblici, di scritture private e di documenti in genere – compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico –, spediti o rilasciati dai depositari pubblici autorizzati - e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli artt. 2714 e 2715 c.c., se ad essi è apposta o associata, da parte di colui che li spedisce o rilascia, una firma digitale o altra firma elettronica qualificata. In questi casi, per le predette copie di documenti, la loro esibizione e la loro produzione sostituisce quella dei relativi originali. Per quanto attiene, invece, le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico, si è stabilito che le stesse copie hanno la medesima efficacia probatoria degli originali da cui esse sono estratte, se la loro conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche stabilite ai sensi dell’art.71 C.A.D. Inoltre è stato espressamente previsto che le copie per immagine su supporto informatico dei documenti originali formati in origine su supporto analogico, sempre nel rispetto delle regole tecniche di cui all’art. 71 C.A.D., hanno, invece, la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformità all’originale, però, non è espressamente disconosciuta. Tutte le copie formate secondo i modi anzi descritti sostituiscono, quindi, ad ogni effetto di legge gli originali formati in origine su (20) La copia informatica di documento analogico, come precisato dal Decreto legislativo 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale), è il documento informatico avente contenuto identico a quello del documento analogico da cui è tratto.
DIRITTO DI INTERNET N. 2/2019
421
PRASSI supporto analogico, e sono idonee ad assolvere gli obblighi di conservazione previsti dalla legge, fatte salve quelle particolari categorie di documenti – da individuarsi con decreto del Presidente del Consiglio dei Ministri – che quali particolari tipologie di documenti analogici originali unici, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la loro conformità all’originale sia autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione firmata digitalmente da allegare al documento informatico. In ogni caso si tenga presente che sia per i documenti da conservare in originale o con le modalità determinate nell’apposito d.P.C.m., sia per i documenti analogici originali unici permane l’obbligo della conservazione dell’originale analogico oppure, per i casi di conservazione sostitutiva, la loro conformità all’originale dovrà essere autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico. Per le copie analogiche di documenti informatici l’art. 16 della medesima novella legislativa ha modificato l’art. 23 d.lgs. 7 marzo 2005, n. 82 prevedendo che le copie su supporto analogico di documento informatico, anche sottoscritto con firma elettronica avanzata, qualificata o digitale, hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformità all’originale in tutte le sue componenti è attestata da un pubblico ufficiale a ciò autorizzato. Le copie e gli estratti su supporto analogico del documento informatico, conformi alle vigenti regole tecniche, hanno, perciò, la stessa efficacia probatoria dell’originale se la loro conformità non è espressamente disconosciuta. Resta fermo, ove previsto l’obbligo di conservazione dell’originale informatico. Dopo l’art. 23 è stato, infine, inserito l’art. 23-bis in tema di duplicati e copie informatiche di documenti informatici e si è stabilito che i duplicati informatici hanno il medesimo valore giuridico, a ogni effetto di legge, del documento informatico da cui sono tratti, sempre se prodotti in conformità alle regole tecniche di cui all’art. 71. Inoltre che le copie e gli estratti informatici del documento informatico, se prodotti in conformità alle regole tecniche ex art.71, hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformità all’originale, in tutti le sue componenti, è attestata da un pubblico ufficiale a ciò autorizzato o se la conformità non è espressamente disconosciuta, ma che resta sempre fermo, ove previsto, l’obbligo di conservazione dell’originale informatico. L’art. 19-ter del Provvedimento DGSIA del Ministero della Giustizia del 28 dicembre 2015 prevede che quando si deve procedere ad attestare la conformità di una copia informatica, anche per immagine, ai sensi del terzo comma dell’art. 16-undecies d.l. 18 ottobre 2012, n. 179,
422
DIRITTO DI INTERNET N. 2/2019
convertito con modificazioni nella legge 17 dicembre 2012, n. 212, l’attestazione è inserita in un documento informatico in formato PDF e contiene una sintetica descrizione del documento di cui si sta attestando la conformità nonché il relativo nome del file. Il documento informatico contenente l’attestazione è sottoscritto dal soggetto che compie l’attestazione con firma digitale o firma elettronica qualificata. Se la copia informatica è destinata ad essere depositata secondo le regole tecniche previste dall’art. 4 del decreto-legge 29 dicembre 2009, n. 193, convertito con modificazioni nella legge 22 febbraio 2010, n. 24, il documento informatico contenente l’attestazione è inserito come allegato nella “busta telematica” di cui all’art. 14; i dati identificativi del documento informatico contenente l’attestazione, nonché del documento cui essa si riferisce, sono anche inseriti nel file DatiAtto.xml di cui all’art. 12, comma 1, lett. e). Se la copia informatica è destinata ad essere notificata ai sensi dell’art. 3-bis della legge 21 gennaio 1994, n. 53, gli elementi indicati al primo comma, sono inseriti nella relazione di notificazione. In merito alle copie informatiche l’ art. 52 d.l. n. 90 del 2014, innovando in modo significativo, come detto, ha attribuito importanti poteri di autentica sia ai difensori che al consulente tecnico nonché al professionista delegato, al curatore e commissario giudiziale prevedendo che questi possano estrarre, con modalità telematiche, copie analogiche o informatiche degli atti e dei provvedimenti, in cui sono costituiti, e attestarne la conformità ai corrispondenti atti contenuti nel fascicolo informatico. Quest’ultimo potere di attestazione non è soggetto al pagamento di diritti di copia, ma la norma in esame non si applica agli atti processuali che contengono provvedimenti giudiziali che autorizzano il prelievo di somme di denaro vincolate all’ordine del giudice.
8. Il valore probatorio della firma digitale e di quella elettronica avanzata nel processo contabile amministrativo telematico: cenni problematici
L’art. 20 co. 2 C.A.D. – attualmente abrogato – prevedeva in ordine al valore probatorio del documento informatico sottoscritto con firma elettronica la libera valutazione del giudice, fattispecie molto diversa da quella introdotta con l’inserimento del comma 1-bis allo stesso art. 20, che ora prevede, invece, l’idoneità del documento informatico a soddisfare il requisito della forma scritta ed il valore probatorio che va valutato liberamente in giudizio, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e non modificabilità, fermo restando quanto disposto dall’art.21. In sede di valore probatorio, quindi, il documento informatico ex art. 21 C.A.D., come modificato dall’art. 9 del d. lgs. 4 aprile
PRASSI 2006 n. 159, e come risulta dall’art.14 co. 2 d.lgs. 30 dicembre 2010 n. 235, cui è apposta una firma digitale qualificata, avanzata o meno, non può essere liberamente valutato in giudizio come avveniva nella versione ante riforma, ma ha, per legge, l’efficacia prevista dall’articolo 2702 c.c. e si presume riconducibile al titolare del dispositivo di firma, salvo che questi dia prova contraria. Orbene in relazione al fatto che gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche amministrazioni, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge, e che le copie su supporto informatico di documenti formati in origine su altro tipo di supporto sostituiscono, ed in seguito alla riforma hanno “valenza”, agli effetti di legge, dagli stessi originali da cui sono tratti, appare evidente che la parificazione degli originali e delle copie degli atti su supporto informatico (sia esso elettronico, magnetico o ottico) corrispondono esattamente a quelle sul tradizionale supporto cartaceo. Tuttavia prevedeva l’art. 23 C.A.D., così come modificato dal d. lgs. 4 aprile 2006 n. 159 e dal d.l. 29 novembre 2008 n. 185, che i duplicati, le copie, gli estratti del documento informatico, anche se riprodotti su diversi tipi di supporto, fossero validi a tutti gli effetti di legge, se conformi alle regole tecniche. Inoltre che quelli contenenti copia o riproduzione di atti pubblici, scritture private e documenti in genere, compresi gli atti ed i documenti amministrativi di ogni tipo, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, avessero piena efficacia, ai sensi degli artt. 2714 e 2715 c.c., se ad essi era apposta o associata, da parte di colui che li spediva o rilasciava, una firma digitale o altra firma elettronica qualificata (21). Con l’art. 16 d.lgs.
(21) La giurisprudenza della Corte di Cassazione e del Consiglio di Stato al riguardo è nutrita. Vedasi Cass., sez. lav., 12 dicembre 1997, n. 12949; Cass, sez. lav., 20 gennaio 1998, n.476; Cass, sez. lav. 6 settembre 2001, n. 11445; Cass., sez. lav., 24 marzo 2003, n. 4297; Cass., sez. III civ., 10 settembre 1997 n. 8901. C. Stato, sez. cons. atti amministrativi , 7 febbraio 2005, n.11995, per il quale i tipi di firma sono solo due, la firma elettronica pure e semplice e quella qualificata, di cui la firma digitale e un tipo; C. Stato, sez. IV, 11 aprile 2007, n.1653 per tale decisione la firma digitale costituisce soltanto una modalità diversa rispetto alla sottoscrizione tradizionale per iscritto e quindi essa non va ad alterarla struttura dei documenti generati in via telematica. In tal senso vedi Cass., sez. I, 24 settembre 1997, n.9394; Cass., sez. I, 14 novembre 2003, n. 17186; Cass.,sez. I, 31 maggio 2005 n. 11499; C. Stato, sez. cons. atti amministrativi, 7 febbraio 2005,n.11995, per il quale i tipi di firma sono solo due la firma elettronica pure e semplice e quella qualificata, di cui la firma digitale e un tipo; C. Stato, sez. IV, 11 aprile 2007, n.1653 per tale decisione la firma digitale costituisce soltanto una modalità diversa rispetto alla sottoscrizione tradizionale per iscritto e, quindi, essa non va ad alterarla struttura dei documenti generati in via telematica. Cass., sez. II, 19 giugno 2009,n. 14520. C. Stato, Sez. V, 9 marzo 2009, n. 1361. Cass., SS. UU., 22 novembre 1994, n. 9968 , con la quale la Corte ha dichiarato inammissibile un ricorso perché la procura era apposta su un foglio aggiunto e non su una pagina occupata dal testo dell’atto. In seguito
30 dicembre 2010 n.235, modificando l’art. 23 C.A.D., prevede che le copie su supporto analogico di documento informatico, anche sottoscritto con firma elettronica avanzata, qualificata o meno, abbiano la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformità all’originale in tutte le sue componenti è attestata da un pubblico ufficiale a ciò autorizzato. Le copie e gli estratti su supporto analogico del documento informatico, conformi alle vigenti regole tecniche, hanno la stessa efficacia probatoria dell’originale se la loto conformità non è espressamente disconosciuta e resta fermo, ove previsto, l’obbligo di conservazione dell’originale informatico. L’art 17 d.lgs. 30 dicembre 2010 n. 235, che modifica l’art. 25 d.lgs. 7 marzo 2005, n.82, prevede, inoltre, che si abbia per riconosciuta, ai sensi dell’art. 2703 c.c., la firma digitale o qualsiasi altro tipo di firma elettronica avanzata autenticata dal notaio o da altro pubblico ufficiale a ciò autorizzato. Inoltre è stato previsto che l’autenticazione della firma elettronica, anche mediante l’acquisizione digitale della sottoscrizione autografa, o di qualsiasi altro tipo di firma elettronica avanzata, si sostanzia nell’attestato, da parte del pubblico ufficiale, che la firma sia stata apposta in sua presenza dal titolare, e che la sottoscrizione sia avvenuta previo accertamento della sua identità personale, della validità dell’eventuale certificato elettronico utilizzato e del fatto che il documento sottoscritto non è in contrasto con l’ordinamento giuridico. In merito si tenga poi conto che l’apposizione della firma digitale da parte del pubblico ufficiale abbia l’efficacia e sostituisca l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente. Se al documento informatico autenticato deve essere allegato altro documento formato in originale su altro tipo di supporto, il pubblico ufficiale può allegare copia informatica autenticata dell’originale, secondo quanto previsto con apposito decreto del Presidente del Consiglio dei ministri. Con quest’ultimo provvedimento vengono anche individuate le particolari tipologie di Cass. SS. UU., 30 marzo 1999, n. 3034 ha ritenuto valida il rilascio della procura su un foglio aggiunto , purché il foglio aggiunto fosse materialmente unito e numerato all’atto al quale si riferiva, e con sentenza del 24 gennaio 1997 n. 571 ne ha stabilito la regolarità purché non vi fossero tra la stessa ed il testo spazi vuoti intermedi. Cass. SS. UU., 10 marzo 1998, n. 2642 ha affermato la validità del mandato su foglio spillato anche se redatto in termini generici. Cass., sez. I, 4 gennaio 2000 n. 11, ha affermato che la procura rilasciata su foglio congiunto è equiparabile a quella apposta subito dopo l’ultimo rigo dell’ultima pagina dell’atto, mentre Cass., sez. I, 30 agosto 2002, n. 12709, più acutamente, ha ritenuto sufficiente ogni forma di congiunzione a patto che la procura fosse collocata nell’atto prima della relazione di notifica. Con Cass., sez. I, 4 gennaio 2000, n. 11, è stato affermato che la procura rilasciata su foglio congiunto è equiparabile a quella apposta subito dopo l’ultimo rigo dell’ultima pagina dell’atto, mentre Cass., sez. I, 30 agosto 2002, n. 12709, più acutamente, ha ritenuto sufficiente ogni forma di congiunzione a patto che la procura fosse collocata nell’atto prima della relazione di notifica.
DIRITTO DI INTERNET N. 2/2019
423
PRASSI documenti analogici originali unici per i quali, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione ottica sostitutiva, la conformità
424
DIRITTO DI INTERNET N. 2/2019
all’originale deve essere autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico.
PRASSI
Il processo telematico alla prova dei fatti. Dieci dubbi e relativi chiarimenti alla luce della giurisprudenza recente di Maurizio Reale Sommario: 1. La tempestività della notifica PEC ai sensi della legge 21 gennaio n. 53 del 1994. – 2. La prova dell’avvenuta notifica PEC. – 3. Come dare la prova della notifica PEC ricevuta (subita) mediante deposito cartaceo. – 4. La nullità della notifica PEC e il raggiungimento dello scopo. - 5. La modalità di produzione in giudizio dei file non depositabili telematicamente. – 6. I pubblici elenchi validi per le notifiche PEC nei processi telematici. – 7. Distinguere le diverse tipologie di documenti informatici. – 8. Il potere di attestazione della conformità. – 9. Processi telematici e modalità di sottoscrizione digitale. – 10. La facoltà e l’obbligo della notifica PEC l. n. 53 del 1994. Obiettivo di quanto contenuto nelle pagine successive, è quello di porre all’attenzione del lettore alcuni aspetti inerenti i processi telematici che, per molti versi, ancora risultano poco chiari, non solo ai professionisti ma anche a chi, sempre più, deve giudicare, oltre che in punto di diritto anche sotto il profilo tecnico informatico. Al termine dell’esposizione, saranno più chiari o comunque meno complicati i relativi contenuti, cosa questa di fondamentale importanza, in quanto, una loro errata interpretazione e applicazione potrebbe rendere inutile quanto in maniera corretta dedotto sotto il profilo esclusivamente giuridico e, di conseguenza, esporre il professionista ad ulteriori forme di responsabilità professionale e deontologica. The topic dealt by the following pages brings to the attention of the reader some aspects concerning the telematic processes which, in many ways, are still unclear, not only to professionals but also to those who, increasingly, must judge, as well as from a technical point of view. At the end of the essay the relative contents will be clearer or at least less complicated, this being of fundamental importance since their incorrect interpretation and application could render as useless as correctly alleged from an exclusively legal point of view and, consequently, to expose the lawyers to professional and ethical responsibility.
1. La tempestività della notifica PEC ai sensi della legge 21 gennaio n. 53 del 1994
La legge 21 gennaio 1994 n. 53 attribuisce all’avvocato il potere di effettuare notifiche avvalendosi della posta elettronica certificata. L’art. 45 bis, introdotto nel decreto legge 24 giugno 2014, n. 90 dalla legge di conversione dell’11 agosto 2014 n. 114, nel modificare ulteriormente il decreto legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 ottobre 2012, n. 221, introduceva l’articolo 16 septies con il quale veniva precisato che l’articolo 147 c.p.c. doveva intendersi riferibile e quindi applicabile anche alle notifiche in proprio ex l. n. 53 del 1994 eseguite dagli avvocati tramite PEC con la conseguenza che, ove ricevuta di consegna giunga dopo le ore 21, la notifica deve intendersi perfezionata (per il destinatario della stessa) alle ore 7.00 del giorno successivo. Il comma 3 dell’articolo 3 bis della l. n. 53 del 1994 contiene invece il principio della scissione dell’efficacia della notifica tra il notificante e il destinatario della notifica per cui, mentre per il notificante la notifica PEC deve intendersi effettuata nel momento in cui viene generata la ricevuta di accettazione, per il destinatario, come già anticipato, si considera formalmente effettuata
nel momento in cui viene generata la ricevuta di avvenuta consegna; tale principio è stato recentemente confermato anche dalla Corte di Cassazione con l’ordinanza n. 28864 del 12 novembre 2018 (1): “…il principio della scissione degli effetti della notificazione per il notificante e il destinatario trova fondamento nell’esigenza di non far ricadere sul notificante incolpevole le conseguenze negative del ritardo nel compimento di attività del procedimento notificatorio sottratte al suo controllo; mentre ove si discorra di notifiche fatte via PEC l’intera attività notificatoria avviene sotto diretto controllo del notificante; a sua volta la regola posta dal D.L. n. 179 del 2012, art. 16-septies, convertito con modifiche, dalla L. n. 221 del 2012, secondo cui le notificazioni non possono farsi prima delle ore 7 e dopo le ore 21, ha la funzione di disciplinare espressamente i tempi relativi al corretto ed efficace svolgimento dell’attività notificatoria a tutela di un diverso e meritevole interesse, qual è quello di non costringere i professionisti alla continua
(1) Cass. 12 novembre 2018 n. 28864, in Altalex, all’indirizzo <https://www.altalex.com/documents/news/2018/11/29/scissione-efficacia-non-applicabile-alla-notifica-pec-inviata-dopo-le-21>, con nota di Reale, Scissione dell’efficacia non applicabile alla notifica Pec inviata dopo le 21.
DIRITTO DI INTERNET N. 2/2019
425
PRASSI
426
verifica, a qualsiasi ora del giorno e della notte, dell’arrivo di atti processuali…”. Dalle norme richiamate appare evidente che: - alle notifiche PEC si applica l’art. 147 c.p.c - la notifica PEC si intende effettuata per il notificante, nel momento in cui viene generata la ricevuta di accettazione mentre, per il destinatario, nel momento in cui viene generata la ricevuta di avvenuta consegna. Quella appena descritta era la situazione esistente prima del 9 aprile 2019; infatti, la Corte di Appello di Milano, con ordinanza del 16 ottobre 2017 (2), riteneva di sollevare l’eccezione di legittimità costituzionale - per violazione degli artt. 3, 24 e 111 Costituzione - della norma secondo la quale “la disposizione dell’articolo 147 del codice di procedura civile si applic[hi] anche alle notificazioni eseguite con modalità telematiche. Quando è eseguita dopo le ore 21, la notificazione si considera perfezionata alle ore 7 del giorno successivo”. In particolare la Corte di Appello di Milano riteneva che la questione di legittimità costituzionale dell’art. 16 septies, l. n. 221 del 2012 fosse meritevole di un rinvio alla Corte Costituzionale sotto i seguenti profili: a) per violazione dell’art. 3 Costituzione, in quanto situazioni differenti vengono trattate dal legislatore in modo ingiustificatamente uguale o simile; b) per violazione dell’art. 3 Costituzione, sotto il profilo dell’irragionevolezza dell’art. 16-septies, che estende il termine previsto dall’art. 147 c.p.c. alle notifiche a mezzo PEC senza tener conto della differente natura del mezzo di notificazione; c) per violazione degli artt. 24 e 111 Costituzione, in quanto, nel caso di notifica effettuata a mezzo PEC, la previsione di un limite irragionevole alle notifiche l’ultimo giorno utile per proporre appello comporta una grave limitazione del diritto di difesa del notificante. La Corte di Appello di Milano, tra la scelta di applicare letteralmente l’art. 16 septies, l. n. 221 del 2012 e quindi dichiarare la tardività dell’appello, violando, così, gli articoli 3, 24 e 111 Costituzione o di interpretare la norma citata in modo costituzionalmente conforme ma, di fatto, segnandone la sua abrogazione, non potendo violare la Costituzione né oltrepassare i limiti del potere giurisdizionale, sollevava la questione di legittimità costituzionale con riferimento all’art. 16 septies, l. n. 221 del 2012. A distanza di diciotto mesi dall’ordinanza, con la quale la Corte di Appello di Milano, sollevava l’eccezione di legittimità costituzionale, la Consulta, con la sentenza
n. 75 del 9 aprile 2019 (3), ritiene, nel merito, fondata la questione e, nel farlo, ribadisce che il divieto di notifica per via telematica oltre le ore 21 risulta, infatti, introdotto (attraverso il richiamo dell’art. 147 c.p.c.), nella prima parte del censurato art. 16 septies l. n. 221 del 2012, allo scopo di tutelare il destinatario, per salvaguardarne, cioè, il diritto al riposo in una fascia oraria (dalle 21 alle 24) in cui egli sarebbe stato, altrimenti, costretto a continuare a controllare la propria casella di posta elettronica. Ciò appunto giustifica la fictio iuris, contenuta nella seconda parte della norma in esame, per cui il perfezionamento della notifica – effettuabile dal mittente fino alle ore 24 (senza che il sistema telematico possa rifiutarne l’accettazione e la consegna) – è differito, per il destinatario, alle ore 7 del giorno successivo. Tutto ciò, aggiunge la Corte, non anche giustifica la corrispondente limitazione nel tempo degli effetti giuridici della notifica nei riguardi del mittente, al quale – senza che ciò sia funzionale alla tutela del diritto al riposo del destinatario e nonostante che il mezzo tecnologico lo consenta – viene invece impedito di utilizzare appieno il termine utile per approntare la propria difesa: termine che l’art. 155 c.p.c. computa “a giorni” e che, nel caso di impugnazione, scade, appunto, allo spirare della mezzanotte dell’ultimo giorno. È per i motivi sopra richiamati che la Corte Costituzionale, con la sentenza n. 75 del 2019, dichiara l’illegittimità costituzionale dell’art. 16 septies l. n. 221 del 2012, nella parte in cui prevede che la notifica eseguita con modalità telematiche la cui ricevuta di accettazione è generata dopo le ore 21 ed entro le ore 24 si perfeziona per il notificante alle ore 7 del giorno successivo, anziché al momento di generazione della predetta ricevuta. Da tale decisione in poi se il notificante inizia il processo notificatorio dopo le 21.00 ma la ricevuta di accettazione giunge prima delle ore 23.59.59 del giorno di scadenza assegnato per la notifica, la notifica è, per lui, valida mentre, per il notificato, si considera perfezionata alle ore 7 del giorno successivo.
(2) Corte di Appello di Milano 16 ottobre 2017, in Il Caso.it, all’indirizzo <http://mobile.ilcaso.it/sentenze/proc%20civile/19034>.
(3) Corte Costituzionale. 9 aprile 2019 n. 75, per esteso nell’Osservatorio sul @ Processo Telematico di Maurizio Reale di questa Rivista.
DIRITTO DI INTERNET N. 2/2019
2. La prova dell’avvenuta notifica PEC
Nei processi telematici, la prova dell’avvenuta notifica effettuata tramite la posta elettronica certificata, deve darsi (o meglio, dovrebbe darsi) mediante il deposito telematico delle ricevute di accettazione e consegna nei formati ammessi dalle rispettive regole e specifiche tecniche. Vediamo, in relazione alla tipologia di processo, quali sono le norme vigenti. Il processo civile telematico, ormai dal 2015, è a pieno regime sia nel Tribunale che in Corte d’Appello e, pur
PRASSI non essendovi obbligo di iscrizione a ruolo telematica (fatta eccezione per il processo esecutivo) o obbligo di notifica telematica, nelle citate sedi giudiziarie, per la prova dell’avvenuta notifica devono essere osservate sia le norme della l. n. 53 del 1994 sia quelle contenute nell’articolo 19 bis comma 5 delle specifiche tecniche del PCT del 16 aprile 2014; il difensore quindi, effettuata la notifica PEC, dopo aver salvato sul proprio computer la ricevuta di accettazione e quella di consegna in formato .eml o .msg, provvederà al loro deposito attraverso il software utilizzato per predisporre la “busta telematica” ed effettuare il relativo deposito presso la cancelleria competente a riceverlo. Il processo amministrativo telematico prevede un procedimento simile a quello del PCT, differenziandosi per il modo con il quale il deposito viene preparato ed effettuato, essendo noto che le ricevute di accettazione e consegna in formato .eml o .msg dovranno essere inserite nella preposta sezione del modulo (modulo deposito ricorso o modulo deposito atto) PDF che raccoglie sia informazioni testuali che file. Nel processo tributario telematico, incredibile ma vero, cambia del tutto il modo attraverso il quale rendere la prova delle notifica effettuata tramite la posta elettronica certificata; infatti le regole e specifiche tecniche del processo tributario telematico non contemplano il deposito di file con estensione .eml o .msg per cui sarebbe, teoricamente, preclusa la possibilità di fornire la prova della notifica PEC, tramite il deposito digitale delle ricevute di accettazione e consegna; in realtà, se da una parte le regole e specifiche tecniche del PTT non prevedono tra le tipologie di file depositabili quelli in formato .eml o .msg, è pur vero che il SIGIT consente comunque di gestire i soli file .eml anche se, come precisato nel portale della Giustizia Tributaria, pur essendone garantita la ricezione e l’archiviazione al fascicolo processuale, non è prevista la conservazione documentale sostitutiva. Sempre seguendo i suggerimenti presenti nel portale della Giustizia tributaria, si apprende che il professionista dovrà, quindi, salvare la ricevuta di accettazione e di consegna in formato pdf, firmarla digitalmente e depositarla in allegato al ricorso. Naturalmente la “stampa” PDF delle ricevute non consentirà al magistrato di verificare con assoluta certezza la corrispondenza di quanto offerto alla sua visione rispetto a quanto effettivamente inviato dal mittente delle notifica al destinatario ma, come vedremo, a seguito delle ultime novità normative, il notificante potrà attestare la conformità della stampa delle ricevute ai sensi e per gli effetti della l. 21 gennaio 1994, n. 53 e quindi senza dover ricorrere a quanto stabilito dall’articolo 22 comma 3 del d.lgs. n. 546 del 31 dicembre 1992 per le notifiche consegnate o spedite a mezzo del servizio postale.
Ulteriore modalità di fornire la prova delle notifica è quella esposta dai vertici della Giustizia Tributaria nel corso di convegni per cui, posto che le ricevute di accettazione e consegna della PEC oggetto di notifica hanno al loro interno un file denominato “daticert.xml”, contenente tutte le informazioni della notifica, potrebbe aprirsi tale file, salvarlo in PDF/A, firmarlo digitalmente e, così, depositarlo. Recentemente è intervenuta una significativa modifica normativa che, anche per il processo tributario, ha disposto, quanto meno per la prova della notifica PEC, l’applicabilità della l. 21 gennaio 1994, n. 53; infatti, il comma 3 dell’articolo 16 del decreto legge n. 119 del 2018, dispone che “in tutti i casi in cui debba essere fornita la prova della notificazione o della comunicazione eseguite a mezzo di posta elettronica certificata e non sia possibile fornirla con modalità telematiche, il difensore o il dipendente di cui si avvalgono l’ente impositore, l’agente della riscossione ed i soggetti iscritti nell’albo di cui all’articolo 53 del d.lgs. 15 dicembre 1997 n.446, provvedono ai sensi dell’articolo 9, commi 1 bis e 1 ter della l. 21 gennaio 1994, n. 53. I soggetti di cui al periodo precedente nel compimento di tali attività assumono ad ogni effetto la veste di pubblico ufficiale.”. La l. n. 53 del 1994 che, come abbiamo visto, disciplina le notifiche in proprio degli avvocati nel settore civile, amministrativo e stragiudiziale, viene quindi utilizzata anche nel processo tributario ove, effettuata la notifica o comunicazione attraverso la posta elettronica certificata, della stessa non sia possibile fornirne la prova mediante modalità telematiche. L’articolo 9 comma 1 bis della l. n. 53 del 1994 prevede che, in questi casi l’avvocato estrae copia su supporto analogico del messaggio di posta elettronica certificata, dei suoi allegati e della ricevuta di accettazione e di avvenuta consegna e ne attesta la conformità ai documenti informatici da cui sono tratte ai sensi dell’articolo 23, comma 1, del d.lgs. 7 marzo 2005, n. 82.
3. Come dare la prova della notifica PEC ricevuta (subita) mediante deposito cartaceo
È doverosa una premessa: se l’informatizzazione del processo fosse stata già estesa anche al processo dinanzi la Corte di Cassazione, nessuna spiegazione sarebbe necessaria posto che, ricevuta dal difensore una notifica PEC, quest’ultimo sarebbe in grado di dare, con assoluta certezza, la prova non solo del momento in cui la stessa è pervenuta nella casella PEC del destinatario ma anche degli allegati in essa contenuti, mediante deposito in formato .eml o .msg del messaggio PEC ricevuto; purtroppo però, ad oggi, il processo telematico in Cassazione è solo in fase sperimentale e ciò, come si dirà di seguito, ha creato non pochi problemi ai difensori.
DIRITTO DI INTERNET N. 2/2019
427
PRASSI Infatti la Corte di Cassazione, con l’ordinanza n. 30765 del 2017 (4) depositata il 22 dicembre 2017, non ha avuto incertezza alcuna nell’estendere anche al difensore destinatario della notifica PEC, quanto disposto dell’articolo 9 comma 1 ter della l. n. 53 del 1994 e tale orientamento è stato da ultimo ribadito con la decisione n. 4764 resa all’udienza del 20 settembre 2018 e pubblicata il 19 febbraio 2019 (5). Dalla lettura delle citate decisioni appare evidente che, se il difensore non potrà fornire, mediante deposito telematico, la prova della notifica PEC ricevuta, dovrà procedere ai sensi e per gli effetti del comma 1 bis dell’art. 9 della l. n. 53 del 1994 il quale prevede che “in tutti i casi in cui l’avvocato debba fornire prova della notificazione e non sia possibile fornirla con modalità telematiche, procede ai sensi del comma 1 bis” il quale a sua volta dispone che “qualora non si possa procedere al deposito con modalità telematiche dell’atto notificato a norma dell’art. 3 bis, l’avvocato estrae copia su supporto analogico del messaggio di posta elettronica certificata, dei suoi allegati e della ricevuta di accettazione e di avvenuta consegna e ne attesta la conformità ai documenti informatici da cui sono tratte ai sensi del D.Lgs. 7 marzo 2005, n. 82, art. 23, comma 1”. L’avvocato quindi, nei procedimenti dinanzi al Giudice di Pace e alla Corte di Cassazione, dopo aver stampato il messaggio PEC ricevuto e tutti gli allegati presenti nel messaggio PEC, dovrà attestare la conformità ai sensi dell’articolo 9 comma 1 ter e comma 1 bis della l. n. 53 del 1994 e quindi che le copie cartacee allegate sono conformi ai documenti informatici da cui sono tratte e presenti nella PEC ricevuta il giorno XXXXXX dall’indirizzo PEC YYYY@ZZZ.PEC al seguente indirizzo PEC WWW@KKK.PEC. Massima attenzione dovrà essere rivolta dal lettore a tale problematica in quanto, per quanto disposto dal comma 2, n. 2 dell’articolo 369 c.p.c., centinaia sono stati i ricorsi dichiarati improcedibili dalla Corte di Cassazione per la mancanza del deposito cartaceo delle sentenza e della relata di notifica, notificate al difensore tramite PEC, prive dell’attestazione di conformità; a tal proposito si precisa che solo di recente la Corte di Cassazione a
(4) Cass. 22 dicembre 2017 n. 30765, in Judicium, all’indirizzo <http://www.judicium.it/lart-369-comma-2-n-2-c-p-c-doppia-attestazionesi-doppia-attestazione-no/>. (5) Cass. 19 febbraio 2019, n. 4764, in Il Quotidiano Giuridico, all’indirizzo <http://www.quotidianogiuridico.it/documents/2019/03/06/ pct-no-al-ricorso-se-non-si-deposita-copia-autentica-della-sentenza-con-la-relata-di-notifica>, con commento di Sigillò, PCT: no al ricorso se non si deposita copia autentica della sentenza con la relata di notifica. Orientamento diverso viene manifestato da Gargano - Sileni, Il codice del PCT commentato, Milano, 2017, 407 ss.
428
DIRITTO DI INTERNET N. 2/2019
Sezioni Unite con la decisione n. 22438 del 2018 (6) ha recepito un principio presente nell’articolo 23 comma 2 del CAD (7) il quale prevede che la stampa cartacea di un documento informatico, in assenza di disconoscimento, ha la stessa efficacia probatoria del documento informatico da cui è tratta “…potrà ben trovare applicazione ai fini della prova della tempestività della notificazione, in riferimento al mancato disconoscimento ad opera del controricorrente dei messaggi PEC e della relata di notifica depositati in copia analogica non autenticata dalla parte ricorrente…”. Ciò significa che, in assenza di formale disconoscimento dall’avente diritto, se l’avvocato, rispettando il termine indicato dall’articolo 369 c.p.c., depositasse la stampa del messaggio PEC, delle ricevute di accettazione e consegna e degli allegati presenti nella ricevuta di consegna, pur mancando l’attestazione di conformità, richiesta dall’articolo 9, commi 1 bis e ter, della l. n. 53 del 1994, tutto quanto in cartaceo depositato, avrebbe la medesima efficacia probatoria degli originali informatici da cui sono stati stampati. Proprio in relazione a tale fattispecie, si segnala ed evidenzia che la Corte di Cassazione, dal marzo 2017, ha quasi sempre ignorato o non ritenuto applicabile, in mancanza del deposito di copia autentica della sentenza o della decisione impugnata con la relazione di notificazione, l’articolo 23 comma 2 CAD e, di conseguenza, ha dichiarato improcedibile il ricorso ogni qual volta lo stesso veniva proposto a seguito di decisione notificata dal difensore tramite PEC ai sensi della l. n. 53 del 1994. Lo scenario è pero, finalmente, recentemente mutato; infatti, le Sezioni Unite della Corte di Cassazione, con la sentenza n. 8312 del 25 marzo 2019 (8), cambiano, radicalmente l’orientamento che ormai, da diversi anni, non solo si era consolidato ma che, anche di recente, era stato confermato e avallato dagli Ermellini; con tale importantissima decisione si ammette, tra l’altro, l’applicabilità dell’articolo 23 comma 2 del codice dell’amministrazione digitale e, conseguentemente, si afferma, definitivamente, che il ricorso non può essere dichiarato improcedibile per la mancanza dell’attestazione di conformità sulla copia cartacea della sentenza e della
(6) Cass. S.U. 24 settembre 2018 n. 22438, in Altalex, all’indirizzo <https://www.altalex.com/documents/altalex/massimario/cassazione-civile/2018/22438/impugnazioni-civili-cassazione-ricorso-per-deposito-di-atti-del-ricorso-deposito>, con nota redazionale Processo civile telematico, ricorso per Cassazione, deposito di copia non autenticata, improcedibilità, limiti. (7) Tra i primi a sostenere l’applicabilità del principio presente nell’art. 23 comma 2 CAD, si segnala Arcella, all’indirizzo <https:// avvocatotelematico.wordpress.com/>. (8) Cass. S.U. 25 marzo 2019 n. 8312, per esteso nell’Osservatorio sul @ Processo Telematico di Maurizio Reale di questa Rivista.
PRASSI relata di notifica, ove l’unico controricorrente o uno dei controricorrenti (e ciò anche in caso di tardiva costituzione) depositi copia analogica della decisione stessa ritualmente autenticata ovvero non abbia disconosciuto, ex art. 23 del comma 2 del D.Lgs. n. 82 del 2005 la conformità della copia informale all’originale notificatogli.
4. La nullità della notifica PEC e il raggiungimento dello scopo
L’articolo 11 della l. n. 53 del 1994 dispone che le “notificazioni sono nulle e la nullità è rilevabile d’ufficio, se mancano i requisiti soggettivi ed oggettivi ivi previsti, se non sono osservate le disposizioni di cui agli articoli precedenti e, comunque, se vi è incertezza sulla persona cui è stata consegnata la copia dell’atto o sulla data della notifica.”. Davanti a tale disposizione sarebbe logico, in caso di notifica PEC nulla, ipotizzare comunque la costituzione nel processo magari al solo fine di far rilevare al giudice la nullità della notifica ritenendo, erroneamente, che alle notifiche PEC non si applichi l’articolo 156 c.p.c. il quale ha fissato, per le notifiche tradizionali, un principio a dir poco granitico: la nullità non può essere mai pronunciata se l’atto ha raggiunto lo scopo a cui è destinato! Attenzione però, perché la Corte di Cassazione a Sezioni Unite, con la decisione n. 7665 del 18 aprile 2016 (9), ha affermato non solo che il principio più sopra enunciato vale anche per le notificazioni eseguite tramite PEC ai sensi della l. n. 53 del 1994, motivo per cui la nullità non può essere mai pronunciata se l’atto ha raggiunto lo scopo a cui è destinato ma ha anche evidenziato che deve intendersi inammissibile l’eccezione con la quale si lamenti un mero vizio procedimentale, senza prospettare anche le ragioni per le quali l’erronea applicazione della regola processuale abbia comportato, per la parte, una lesione del diritto di difesa o possa comportare altro pregiudizio per la decisione finale della Corte. A tal proposito non tragga in inganno la decisione della Corte di Cassazione, sezione tributaria, che con l’ordinanza n. 8560 del 27 marzo 2019 (10) ha ritenuto la notifica PEC, effettuata ai sensi della l. n. 53 del 1994, inesistente ed assolutamente priva di efficacia e non semplicemente nulla e sanabile; nel caso di specie, infatti, il difensore del contribuente, nel 2011, notificava atto
(9) Cass. S.U. 18 aprile 2016, n. 7665, in Il Caso.it, all’indirizzo <http://mobile.ilcaso.it/sentenze/ultime/15002>. (10) Cass. 27 marzo 2019, n. 8560, in Il Quotidiano Giuridico, all’indirizzo <http://www.quotidianogiuridico.it/documents/2019/04/15/ ptt-inammissibile-la-notifica-in-proprio-degli-avvocati-via-pec>, con commento di Minazzi, PTT: inammissibile la notifica in proprio degli Avvocati via PEC; per esteso nell’Osservatorio sul @ Processo Telematico di Maurizio Reale di questa Rivista.
di appello tramite posta elettronica certificata, ricorrendo alla disciplina enunciata nella l. n. 53 del 1994, in materia di notificazioni in proprio degli avvocati. La Cassazione, accogliendo le censure sollevate dall’Agenzia delle Entrate, rileva non solo che, nel 2011, la l. n. 53 del 1994, non prevedeva che la notifica in proprio potesse effettuarsi tramite PEC ma anche che, non essendovi espressamente menzionata la materia tributaria, la l. n. 53 del 1994 non fosse applicabile alle notifiche tributarie ed è per tali motivi che la notifica dell’appello viene ritenuta inesistente.
5. La modalità di produzione in giudizio dei file non depositabili telematicamente
Il processo civile telematico è regolato anche da norme tecniche, nello specifico le regole tecniche (decreto ministeriale n. 44 del 2011) e le specifiche tecniche (la cui ultima modifica risale all’aprile del 2016). Il contenuto dell’articolo 13 delle specifiche tecniche del PCT non prevede, tra i formati consentiti dei documenti informatici depositabili telematicamente quelli con le estensioni tipiche di file dal contenuto audio e/o video. Tra le soluzioni ad oggi ipotizzate per il deposito telematico di file dal contenuto audio e/o video, due sono le “soluzioni” sicuramente da escludere: - “zippare” il file audio o video e allegarlo in formato consentito .rar, .zip, .arj; - utilizzare un file PDF come “contenitore” del file audio o video. Con il primo “rimedio” il file audio o video viene “compresso” e, in quanto tale, avrebbe uno dei formati consentiti dalle specifiche tecniche del PCT; purtroppo però l’articolo 13 delle specifiche tecniche, nel consentire l’utilizzo di file compressi, prevede che al loro interno possano essere contenuti solo i file indicati nel comma 1 tra i quali, come detto, non sono presenti file con estensioni audio o video. La seconda “soluzione” consiste nell’incorporare in un documento PDF, il file audio o il file video e procedere, quindi, al deposito di tale file. Anche l’utilizzo di tale modalità è assolutamente sconsigliata in quanto, per poter visualizzare il contenuto del PDF e di ciò che è nello stesso incorporato, il Giudice dovrebbe avere nella propria consolle un software particolare, Adobe Flash Player senza il quale nessuna della parti del processo, potrebbe visualizzarlo in quanto, aprendo il PDF, altro non vedrebbero che un banalissimo quanto insignificante riquadro bianco. I file così depositati, non essendo consentiti dalle regole tecniche del PCT, non potrebbero neanche essere oggetto di conservazione a norma. Il deposito non potrà che effettuarsi in cancelleria, masterizzando i file su supporto CD o DVD ma non anche
DIRITTO DI INTERNET N. 2/2019
429
PRASSI su memoria USB in quanto ciò che viene masterizzato, non potrà più essere modificato / sostituito / cancellato, per cui nessuno ne potrà mai alterare il contenuto. È opportuno depositare copie di CD / DVD in numero uguale a quello delle parti del processo (oltre, naturalmente, a quella destinata al fascicolo) e questo per rendere più agevole la conoscenza del mezzo istruttorio alle altre parti del processo; accompagnare il deposito in cancelleria con nota nella quale indicare a cosa lo stesso è riferito, il tipo di file contenuti nell’unità CD / DVD e il motivo per il quale si procede al deposito in cancelleria in luogo di quello telematico. L’avvocato, nel rispetto dei termini assegnati dal Giudice o dal codice di rito, dovrà naturalmente depositare telematicamente, ad esempio, la seconda memoria 183 c.p.c., indicare i mezzi di prova di cui intende avvalersi rappresentando altresì che, dovendo produrre file audio e/o video non depositabili telematicamente in ossequio a quanto prescritto nelle specifiche tecniche, il loro deposito, nel rispetto dei termini, verrà effettuato su supporto informatico in cancelleria. Non si ritiene necessario richiedere autorizzazione preventiva al Giudice in quanto, se è vero come è vero che spetta al magistrato ammettere o meno i mezzi istruttori richiesti, è anche vero che le parti hanno, devono avere, la possibilità di provare, con ogni mezzo, le ragioni del proprio assistito; posto che il deposito di file audio / video non è consentito dal legislatore con la modalità telematica, appare scontato che le parti depositino in cancelleria il CD /DVD senza dover richiedere la preventiva autorizzazione al Giudice in quanto quest’ultimo, da una parte non potrebbe non autorizzare e, dall’altra, potrebbe non essere in grado di provvedere tempestivamente sulla richiesta ove la stessa giungesse, ad esempio, in pendenza o addirittura in prossimità della scadenza del termine perentorio indicato dall’articolo 183 c.p.c. e ciò non per ritardo addebitabile al difensore ma perché l’assistito potrebbe averlo reso edotto dell’esistenza di quel determinante file audio / video, solo in prossimità della scadenza del termine. Ove si sostenesse come necessaria la preventiva autorizzazione per il deposito, bisognerebbe vedere come la stessa potrebbe conciliarsi con quanto disposto dagli articoli 414 e 416 del codice di procedura civile i quali prevedono che, a pena di decadenza, sia il ricorrente che il resistente devono indicare i mezzi di prova dei quali intendono avvalersi ed in particolare i documenti che devono contestualmente depositare.
6. I pubblici elenchi validi per le notifiche PEC nei processi telematici
L’articolo 3 bis della l. n. 53 del 1994 prevede che, nel processo civile, in quello amministrativo e nello stragiudiziale, l’avvocato possa procedere alla notifica in pro-
430
DIRITTO DI INTERNET N. 2/2019
prio tramite la posta elettronica certificata a condizione che l’indirizzo di posta elettronica certificata del destinatario della notifica e del mittente risulti da pubblici elenchi; quanto alle notifiche PEC degli avvocati nel processo tributario, si dirà alla fine. È di fondamentale importanza individuare, con assoluta certezza, i pubblici elenchi previsti dalla legge attraverso i quali l’avvocato potrà verificare, prima di procedere alla notifica in proprio, se l’indirizzo PEC del destinatario è, in effetti, in essi presente. La norma di riferimento è quella contenuta nell’art. 16 ter della l. n. 221 del 2012 di conversione, con modificazioni, del decreto legge 18 ottobre 2012, n. 179, così come a sua volta modificata dall’art. 45 bis, comma 2, del decreto legge n. 90 del 2014 convertito con la l. 11 agosto 2014 n. 114 pubblicata in G.U. il 18 agosto 2014 ed in vigore dal 19 agosto 2014: Il citato articolo 16 ter l. n. 17 del 2012 dispone che, ai fini della notificazione e comunicazione degli atti in materia civile, penale, amministrativa e stragiudiziale, si intendono per pubblici elenchi quelli previsti dagli articoli 4 e 16, comma 12, l. 17 del 2012, dall’articolo 16, comma 6, del decreto legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla l. 28 gennaio 2009, n. 2, dall’articolo 6 bis del d.lgs. 7 marzo 2005, n. 82, nonché il registro generale degli indirizzi elettronici, gestito dal ministero della giustizia. Dalla lettura della norma si evince che, ad oggi, i pubblici elenchi richiamati dall’art. 3 bis della l. n. 53 del 1994, sono i seguenti (11): 1) IL DOMICILIO DIGITALE DEL CITTADINO (previsto dall’art. 4 l. n. 221 del 2012). Non è ancora istituito e, conseguentemente, non utilizzabile. 2) REGISTRO PP.AA. (d.l. n. 179 del 2012, art. 16, comma 12) Contiene gli indirizzi PEC delle Amministrazioni pubbliche ed è consultabile esclusivamente dagli uffici giudiziari, dagli uffici addetti alle notificazioni, esecuzioni e protesti, e dagli avvocati. Il completamento di tale elenco era stato fissato entro il 30 novembre 2014, termine questo stabilito dall’art. 47 n. 1 del decreto legge n. 90 del 2014 ma ad oggi molte sono le PA a non aver comunicato il proprio indirizzo PEC. Tale registro non è liberamente consultabile, essendo necessaria l’identificazione c.d. “forte” tramite token crittografico (esempio: smart card, chiavetta USB) contenente un certificato di autenticazione.
(11) Critica lo snellimento del numero di elenchi previsti dall’art. 16 ter, Carollo, Lo stato dell’arte delle notifiche a mezzo PEC ad indirizzi non estratti da pubblici elenchi, in Portale del Processo Telematico, Milano, 2016, ritenendo che gli effetti della riduzione siano stati, per molti versi, estremamente gravi.
PRASSI È possibile consultare l’elenco tramite l’area riservata del Portale dei Servizi Telematici del Ministero della Giustizia. 3) REGISTRO IMPRESE (previsto dal decreto legge 29 novembre 2008, n. 185, art. 16, comma 6). 4) INDICE NAZIONALE DELLA POSTA ELETTRONICA CERTIFICATA (INI-PEC) (previsto dal d.lgs. 7 marzo 2005, n. 82). 5) ReGIndE. Il Registro Generale degli Indirizzi Elettronici (ReGIndE) è gestito dal Ministero della Giustizia e contiene i dati identificativi nonché l’indirizzo di posta elettronica certificata (PEC) dei soggetti abilitati esterni, ovverossia: a) appartenenti ad un ente pubblico b) professionisti iscritti in albi ed elenchi istituiti con legge c) ausiliari del giudice non appartenenti ad un ordine di categoria o che appartengono ad ente/ordine professionale che non abbia ancora inviato l’albo al Ministero della giustizia (questo non si applica per gli avvocati, il cui specifico ruolo di difensore implica che l’invio dell’albo deve essere sempre fatto dall’Ordine di appartenenza o dall’ente che si difende). Tale registro non è liberamente consultabile, essendo necessaria l’identificazione c.d. “forte” tramite token crittografico (esempio: smart card, chiavetta USB) contenente un certificato di autenticazione. Ciò premesso è possibile consultare il ReGIndE sia tramite funzionalità disponibili nei Punti di Accesso (PDA) privati sia tramite l’area riservata del Portale dei Servizi Telematici del Ministero della Giustizia. Quanto fino ad ora scritto vale per la notificazione e comunicazione degli atti in materia civile, amministrativa e stragiudiziale mentre, per le notifiche PEC nel processo tributario, si applicano norme diverse, al punto che al fine di individuare gli indirizzi PEC degli enti impositori, degli agenti e delle società di riscossione, dei professionisti e delle imprese, bisognerà fare esclusivamente riferimento agli elenchi pubblici esistenti rispettivamente nell’IPA (indice delle pubbliche amministrazioni) e nell’INI-PEC. Quindi, mentre l’indice delle pubbliche amministrazioni non è più valido dall’agosto 2014 (12), quale pubblico elenco per estrapolare le PEC dei destinatari nel civile e nell’amministrativo, processo tributario telematico è assolutamente consentito il suo utilizzo! Non è però possibile concludere l’argomento senza prima fare riferimento, seppur brevemente, alla recente decisione della Corte di Cassazione che, con la sentenza (12) Come rilevato da Gargano - Sileni, Il codice del PCT commentato, cit., 82 ss., l’originario elenco è stato radicalmente modificato dal d.l. n. 90 del 2014, il quale ha eliminato il riferimento sia ai registri tenuti da Albi e Collegi professionali che quello al registro IPA.
n. 3709 dell’8 febbraio 2019 (13), perviene ad un, a dir poco, tanto desolante quanto erroneo principio di diritto, di seguito integralmente trascritto, in applicazione del quale ritiene di dover dichiarare la nullità di una notifica effettuata (nel processo civile) in proprio dal difensore tramite PEC ai sensi della l. n. 53 del 1994: “Il domicilio digitale previsto dal D.L. n. 179 del 2012, art. 16 sexies, conv. con modif. in l. n. 221 del 2012, come modificato dal D.L. n. 90 del 2014, conv., con modif., in L. n. 114 del 2014, corrisponde all’indirizzo PEC che ciascun avvocato ha indicato al Consiglio dell’Ordine di appartenenza e che, per il tramite di quest’ultimo, è inserito nel Registro Generale degli Indirizzi Elettronici (ReGIndE) gestito dal Ministero della giustizia. Solo questo indirizzo è qualificato ai fini processuali ed idoneo a garantire l’effettiva difesa, sicchè la notificazione di un atto giudiziario ad un indirizzo PEC riferibile - a seconda dei casi - alla parte personalmente o al difensore, ma diverso da quello inserito nel ReGIndE, è nulla, restando del tutto irrilevante la circostanza che detto indirizzo risulti dall’Indice Nazionale degli Indirizzi di Posta Elettronica Certificata (INI-PEC)”. In tale principio si afferma, erroneamente, che solo la notifica effettuata (ai sensi della l. n. 53 del 94) dal difensore all’indirizzo PEC del destinatario risultante dal Registro Generale degli Indirizzi Elettronici (ReGIndE) sarebbe valida ed efficace mentre, ove la stessa venga effettuata all’indirizzo PEC del destinatario risultante dall’INI-PEC (Indice Nazionale degli Indirizzi di Posta Elettronica Certificata) dovrebbe qualificarsi come nulla! Molto probabilmente i Giudici di Piazza Cavour hanno confuso il pubblico elenco INI-PEC, qualificato ad oggi dalla vigente normativa quale pubblico elenco valido per estrapolare gli indirizzi PEC dei destinatari in caso di notifica effettuata tramite PEC ai sensi della L. 53/94, con quello IPA (indice delle pubbliche amministrazioni), il quale, in effetti, dall’agosto 2014, a seguito della modifica apportata all’art. 16 ter della L. 17.12.2012 n. 221, dall’art. 45-bis, comma 2, decreto legge n. 90 del 2014, convertito con la Legge 11 agosto 2014 n. 114 pubblicata in G.U. il 18 agosto 2014 ed in vigore dal 19 agosto 2014, non è più considerato pubblico elenco valido per attingere l’indirizzo PEC del destinatario in caso di notifica in proprio eseguita ex L. 53/94! Solo così è spiegabile il grossolano errore in cui la Cassazione è incorsa, non potendo assolutamente pensare che, non solo il Collegio non conoscesse l’attuale con-
(13) Cass. 8 febbraio 2019 n. 3709, per esteso nell’Osservatorio sul @ Processo Telematico di Maurizio Reale di questa Rivista. Per la massima e le relative riflessioni estese alle ultime sentenze in tema cfr. Fabbi, La notificazione via posta elettronica certificata ed i depositi telematici nella recentissima giurisprudenza della Corte di Cassazione, in questa Rivista, 2019, 75.
DIRITTO DI INTERNET N. 2/2019
431
PRASSI tenuto dell’art. 16 ter della L. 17.12.2012 n. 221 ma che, altresì ignorasse (avendolo citato nella sentenza) anche l’art. 52 del decreto legge 90/14 il quale ha aggiunto l’art. 16 sexies al DL 179/12 per cui, salvo quanto previsto dall’art. 366 c.p.c., quando la legge prevede che le notifiche di atti in materia civile al difensore siano eseguite, ad istanza di parte, presso la cancelleria dell’ufficio giudiziario, alla notifica in cancelleria può procedersi quando non sia possibile, per causa imputabile al destinatario, la notifica presso l’indirizzo PEC, risultante da INI-PEC e ReGIndE. Si segnala che, a tal proposito, il Presidente del Consiglio Nazionale Forense, Avv. Andrea Mascherin, ha inviato, il 5 marzo 2019, lettera al Primo Presidente della Corte di Cassazione, dott. Giuseppe Mammone, al fine di porre rimedio all’accaduto onde evitare ripercussioni negative della decisione in tema di notifica telematica.
Da ultimo, è doveroso ricordare che, pubblici elenchi e domicilio digitale, riguardano anche le comunicazioni e le notificazioni che giungono dalle cancellerie civili e penali dei tribunali, delle corti d’appello e della Cassazione; a norma dell’art. 16 del d.l. n. 179 del 2012, “le notificazioni e comunicazioni ai soggetti per i quali la legge prevede l’obbligo di munirsi di un indirizzo di posta elettronica certificata, che non hanno provveduto ad istituire o comunicare il predetto indirizzo, sono eseguite esclusivamente mediante deposito in cancelleria. Le stesse modalità si adottano nelle ipotesi di mancata consegna del messaggio di posta elettronica certificata per cause imputabili al destinatario”. I difensori sono, infatti tenuti, a norma dell’articolo 7 comma 2 del D.M. n. 44 del 2011, a comunicare al ReGIndE (tramite i rispettivi Consigli dell’Ordine degli Avvocati), l’indirizzo di posta elettronica certificata al quale ricevere dalle cancellerie le citate comunicazioni e notificazioni e, ove il difensore non abbia provveduto ad istituire o comunicare il predetto indirizzo, le notificazioni e comunicazioni sono eseguite esclusivamente mediante deposito in cancelleria e le stesse modalità si adottano nelle ipotesi
432
DIRITTO DI INTERNET N. 2/2019
di mancata consegna del messaggio di posta elettronica certificata per cause imputabili al destinatario. A tal proposito si segnala che di recente, la Corte di Cassazione, sezione terza penale, con la sentenza n. 13729 del 2019 (14), ha ritenuto regolarmente perfezionata la notifica in cancelleria dell’avviso di fissazione di udienza alla parte civile costituita, in considerazione del fatto che non era stato possibile effettuarla tramite la posta elettronica certificata, in quanto il difensore domiciliatario non risultava presente nel ReGIndE.
7. Distinguere le diverse tipologie di documenti informatici
Una delle difficoltà maggiormente incontrate dai professionisti, nei depositi telematici e nelle notifiche effettuate tramite PEC, è quella di distinguere tra le diverse tipologie di documenti informatici utilizzati; da tale conoscenza, però, non è possibile prescindere, posto che, per alcuni di essi, la normativa impone l’obbligo di attestarne la conformità in mancanza della quale l’atto, se non addirittura tutto il procedimento, potrebbe essere irrimediabilmente invalido e non produttivo, processualmente, di effetti. Scopo delle prossime pagine sarà quello di spiegare e chiarire le differenze esistenti tra le diverse tipologie di documenti informatici e le relative attività da predisporre in caso di utilizzo per notifiche tramite PEC o per depositi telematici; per tale motivo, il linguaggio utilizzato sarà volutamente non tecnico nella speranza che la lettura sia agevole e dal contenuto comprensibile per tutti e quindi anche per coloro che non hanno familiarità con l’informatica. Cominciamo col dire che sono solo quattro le tipologie di documenti informatici con le quali dobbiamo quotidianamente confrontarci nello svolgimento dell’attività professionale: a) documento informatico (nativo digitale) b) copia informatica di documento analogico (cartaceo) c) duplicato informatico d) copia informatica di documento informatico Esaminiamoli singolarmente al fine di indicare se e come dovrà essere attestata la conformità per il suo utilizzo ai fini della notifica tramite PEC o per deposito telematico. a) documento informatico (nativo digitale) – articoli 1 lettera “p” e 20 d.lgs. 7 marzo 2005 n. 82:
(14) Cass. 29 marzo 2019, n. 13729, in Il Quotidiano Giuridico, all’indirizzo <http://www.quotidianogiuridico.it/documents/2019/04/16/ inesistente-la-pec-del-difensore-la-notificazione-avviene-con-il-deposito-in-cancelleria>, con commento di Cerqua, Inesistente la PEC del difensore? La notificazione avviene con il deposito in cancelleria; per esteso nell’Osservatorio sul @ Processo Telematico di Maurizio Reale di questa Rivista.
PRASSI è quel documento generato attraverso un qualsiasi programma di videoscrittura, trasformato direttamente in formato PDF senza scansione. Nasce quindi digitale e viene predisposto o per essere depositato telematicamente o per essere notificato tramite PEC. Tutti gli atti predisposti dai professionisti e per i quali è previsto, per legge, l’obbligo del deposito telematico devono essere così realizzati (15). Così dovranno essere predisposti, ad esempio, i seguenti atti: ricorso per decreto ingiuntivo, memorie 183, comparse conclusionali e repliche, ricorsi amministrativi ecc. Nella stessa maniera dovrà essere predisposto anche, ad esempio, l’atto di citazione o l’atto di precetto in caso di notifica in proprio tramite PEC; anche la relata di notifica da allegare alla PEC, dovrà essere così predisposta. L’atto, prima di essere depositato telematicamente o allegato alla PEC per essere notificato in proprio, dovrà essere sottoscritto con firma digitale; in pratica, ciò che prima dei processi telematici si firmava con la penna, adesso è obbligo sottoscriverlo con il dispositivo di firma digitale. Tale tipo di documento informatico, essendo originale informatico, nativo digitale, non richiede nessuna attestazione di conformità, a condizione che non venga stampato per uso tradizionale cartaceo. b) copia informatica di documento analogico – art. 22 d.lgs. 7 marzo 2005 n. 82): è quel documento informatico generiamo e ottenuto in formato PDF dopo aver effettuato la scansione di un documento cartaceo. Perché si definisce copia informatica di documento analogico? Perché l’originale sarà sempre il documento cartaceo dal quale, tramite scansione, abbiamo ottenuto la copia informatica. Esempio ancora più pratico e facile: è come se del nostro originale cartaceo facessimo una fotocopia: avremmo l’originale cartaceo e la copia cartacea (fotocopia); con la scansione, il nostro originale sarà, naturalmente, il cartaceo mentre, ciò che otteniamo dalla scansione, sarà la nostra copia informatica di documento cartaceo in formato PDF. Ad esempio, sono copie informatiche di documenti analogici in formato PDF: - i file PDF che abbiamo ottenuto dalla scansione dei documenti cartacei che dobbiamo depositare telematicamente come, ad esempio, le fatture, contratti ecc. Nei casi sopra citati, effettuata la scansione dei documenti ed ottenute le corrispondenti copie informatiche
(15) Sul formato dell’atto e dei documenti da depositare telematicamente nel processo civile, si rimanda per l’approfondimento alle osservazioni di Salmeri, Il processo civile telematico, in Tecnologia e Diritto. Fondamenti d’informatica per il giurista, a cura di Ziccardi e Perri (a cura di), Milano 2017, 171 ss.
di documenti analogici in formato PDF, potremo depositare telematicamente le stesse, a corredo del nostro atto, senza attestarne la conformità e senza necessità di sottoscriverle con firma digitale; attenzione però perché, nel processo tributario telematico le regole e le specifiche tecniche prevedono che anche le scansioni dei documenti debbano essere sottoscritte con firma digitale. - i file PDF che abbiamo ottenuto dalla scansione di atti e provvedimenti cartacei la cui conformità è stata rilasciata dalla cancelleria. L’esempio tipico è quello del decreto ingiuntivo provvisoriamente esecutivo da notificare tramite PEC; in questo caso dobbiamo necessariamente chiedere alla cancelleria il rilascio di una copia conforme cartacea del decreto ingiuntivo provvisoriamente esecutivo, scansionarlo, ottenendo così la copia informatica di quest’ultimo in formato PDF. Anche in tale ipotesi non sarà necessario sottoscrivere digitalmente il PDF ottenuto dalla scansione ma, volendo effettuare dello stesso la notifica tramite PEC, dovremo attestarne la conformità alla copia conforme cartacea ottenuta dalla cancelleria, inserendo l’attestazione nella relata di notifica. Procederemo nella stessa maniera ove volessimo notificare tramite PEC decreto ingiuntivo emesso dal Giudice di Pace, stante l’inesistenza del fascicolo informatico del procedimento non essendo ancora attivo, presso il Giudice di Pace, il processo telematico. - i file PDF che abbiamo ottenuto dalla scansione di atti e provvedimenti cartacei che, ai sensi dell’art. 16 decies del decreto legge n. 179 del 2012, dobbiamo depositare telematicamente. L’esempio tipico è quello dell’atto di citazione notificato tramite UNEP o, in proprio, tramite ufficio postale, ove si voglia procedere con iscrizione a ruolo telematica. In questo caso, effettuata l’integrale scansione dell’atto di citazione notificato (comprese le eventuali cartoline di ritorno comprovanti la notifica), avremo ottenuto la copia informatica del nostro atto di citazione in formato PDF. Essendo però il PDF ottenuto, a seguito di scansione, una copia informatica, dovremo attestarne la conformità all’originale di notifica cartaceo, così come disposto dall’art. 19 ter delle specifiche tecniche del PCT, introdotto dal decreto 28 dicembre 2015 e in vigore dal 9 gennaio 2016. La conformità potrà essere attestata, a nostra insindacabile scelta, trattandosi di attestazione finalizzata al deposito telematico, o all’interno del PDF o su un documento informatico separato. - il file PDF che abbiamo ottenuto dalla scansione della procura alle liti cartacea che dobbiamo depositare telematicamente o allegare alla PEC in caso di utilizzo per notifica in proprio. Anche la procura alle liti, che abbiamo scansionato e che dobbiamo depositare telematicamente o allegare
DIRITTO DI INTERNET N. 2/2019
433
PRASSI alla PEC in caso di utilizzo per notifica in proprio, è copia informatica di documento analogico in quanto: - è predisposta con il software di video scrittura - si stampa - il cliente la sottoscrive (a penna) per il conferimento del mandato - la sottoscrive, da ultimo, il difensore (a penna) per autenticare la firma apposta dal cliente - si scansiona Così procedendo si ottiene la copia informatica di documento analogico in formato PDF (della quale la procura alle liti cartacea sarà sempre l’originale) che sottoscriveremo con la nostra firma digitale che, solo in questo caso, attesterà la conformità all’originale cartaceo della stessa, così come disposto dall’art. 83 c.p.c.: “…Se la procura alle liti è stata conferita su supporto cartaceo, il difensore che si costituisce attraverso strumenti telematici ne trasmette la copia informatica autenticata con firma digitale…”. c) duplicato informatico – (art. 23 bis comma 1 d.lgs. 7 marzo 2005 n. 82): “I duplicati informatici hanno il medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui sono tratti…” (art. 23 comma 1 d.lgs. 7 marzo 2005 n. 82). Per tale motivo, se dal fascicolo informatico estraiamo i file nello stesso presenti sotto forma di duplicati informatici al fine di utilizzarli per una notifica PEC, nella relata di notifica non dovremo attestare alcuna conformità in quanto “I duplicati informatici hanno il medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui sono tratti…” (art. 23 comma 1 d.lgs. 7 marzo 2005 n. 82). Se il duplicato informatico viene però stampato e utilizzato per una notifica tradizionale cartacea, tramite UNEP o in proprio tramite Ufficio Postale, dello stesso dovrà esserne attestata la conformità. d) copia informatica di documento informatico (art. 23 bis comma 2 d.lgs. 7 marzo 2005 n. 82): immaginiamo di aver depositato telematicamente la nostra memoria 183 c.p.c; essendo atto di nostra produzione, prima del deposito, lo abbiamo firmato digitalmente (ad esempio, con firma CAdES = .p7m). Se, dopo l’accettazione del deposito telematico da parte del cancelliere, entriamo nel fascicolo informatico del relativo procedimento possiamo, non solo visualizzare ma, anche estrarre e importare (download) sul nostro computer il duplicato informatico o la copia informatica della nostra memoria 183 c.p.c. Se estraiamo dal fascicolo informatico la copia informatica della nostra memoria 183 c.p.c. avremo importato sul nostro computer la memoria 183 c.p.c. ma questa non sarà munita di sottoscrizione digitale (il file, se sottoscritto con firma CAdES, sarà privo dell’estensione .p7m): la memoria presente nel fascicolo informa-
434
DIRITTO DI INTERNET N. 2/2019
tico e quella presente nel nostro computer (che abbiamo estratto dal fascicolo informatico come copia informatica) non saranno “uguali” tra loro, e ciò sia sotto il profilo formale (la memoria presente nel fascicolo informatico, sottoscritta con firma CAdES, recherà l’estensione .p7m ma, tale estensione, non sarà presente nella copia informatica importata nel nostro computer in quanto la stessa, come detto, sarà priva di sottoscrizione digitale) sia sotto il profilo dei contenuti (la memoria presente nella copia informatica recherà sul bordo destro quella che ormai è comunemente chiamata e conosciuta come “coccardina” che non ha nessun valore giuridico e che ha solo il fine di “informare” che il documento informatico dal quale è estratta [nel nostro esempio la memoria 183 c.p.c. presente nel fascicolo informatico a seguito di deposito telematico] risulta sottoscritto digitalmente). Per tale motivo, se dal fascicolo informatico estraiamo i file quali copie informatiche al fine di utilizzarli per una notifica PEC, nella relata di notifica dovremo attestare la conformità di tali copie informatiche a quelle presenti nel fascicolo informatico dalle quali sono estratte. La copia informatica di documento informatico non deve essere sottoscritta digitalmente ove venga utilizzata per una notifica PEC in quanto la sua conformità, come richiesto dall’articolo 16 undecies comma 3 del d.l. n. 179 del 2012, dovrà essere attestata nella relata di notifica mentre, in ipotesi di utilizzo per deposito telematico, sarà firmata digitalmente solo ove l’attestazione sarà apposta all’interno del documento informatico mentre se l’attestazione verrà eseguita su documento informatico separato non dovrà essere firmata digitalmente posto che sottoscritto digitalmente sarà il documento informatico contenente l’attestazione e ciò osservando scrupolosamente le disposizioni contenute rispettivamente nell’articolo 16 undecies comma e comma 3 del d.l. n. 179 del 2012. Se la copia informatica viene stampata e utilizzata per una notifica tradizionale cartacea tramite UNEP o in proprio tramite Ufficio Postale, dello stesso dovrà esserne attestata la conformità.
PRASSI 8. Il potere di attestazione della conformità
Il primo luglio 2019 sarà obbligatorio il deposito di tutti gli atti e documenti anche nel processo tributario. La giustizia tributaria, quanto al potere di conformità, si adegua a quella civile e amministrativa e, al comma 1 capo B) dell’articolo 16 del decreto legge n. 119 del 2018, introducendo l’art. 25 bis al d.lgs. n. 546 del 1992, consente al difensore, al dipendente di cui si avvale l’ente impositore, all’agente della riscossione ed ai soggetti iscritti nell’albo di cui all’articolo 53 del d.lgs. 15 dicembre 1997 n. 446, al fine del deposito e/o della notifica con modalità telematiche della copia informatica (scansione), anche per immagine, di un atto processuale di parte, di un provvedimento del giudice o di un documento formato su supporto analogico (cartaceo) e detenuto in originale o in copia conforme all’originale, attestano la conformità della copia al predetto atto secondo le modalità di cui al d.lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale) e analogo potere di attestazione di conformità è esteso, anche per l’estrazione di copia analogica (cartacea), degli atti e dei provvedimenti presenti nel fascicolo informatico, formato dalla segreteria della Commissione tributaria ai sensi dell’articolo 14 del decreto del Ministro dell’economia e delle finanze 23 dicembre 2013, n. 163, o trasmessi in allegato alle comunicazioni telematiche dell’ufficio di segreteria precisando da una parte che gli atti e provvedimenti, presenti nel fascicolo informatico o trasmessi in allegato alle comunicazioni telematiche dell’ufficio di segreteria, equivalgono all’originale anche se privi dell’attestazione di conformità all’originale da parte dell’ufficio di segreteria e, dall’altra che le copie informatiche (scansioni) o cartacee munite dell’attestazione di conformità del difensore e degli altri soggetti come sopra meglio indicati, equivalgono agli originali o alla copie conformi degli atti o dei provvedimenti detenuti ovvero presenti nel fascicolo informatico. Nell’eseguire l’attestazione di conformità, secondo le disposizioni contenute nel Codice dell’Amministrazione Digitale, i difensori assumono la veste di pubblici ufficiali. Come già disposto nel processo civile e in quello amministrativo, anche nel processo tributario l’estrazione di copie autentiche esonera i difensori dal pagamento dei diritti di copia.
9. Processi telematici e modalità di sottoscrizione digitale
I processi telematici ad oggi a regime, considerando tale anche quello tributario il cui obbligo di deposito telematico degli atti entrerà in vigore il 1 luglio 2019, si contraddistinguono per avere pochissimi elementi
in comune, posto che si caratterizzano, purtroppo, per avere modi diversi con i quali deve essere realizzato e depositato il documento informatico, regole diverse che disciplinano il perfezionamento del deposito telematico degli atti e le modalità con le quali devono essere sottoscritti digitalmente gli atti, diverse modalità di notifiche tramite PEC da parte degli avvocati e di metodi con i quali dare la prova dell’avvenuta notifica PEC mediante deposito telematico, modi differenti per attestare la conformità delle copie informatiche o cartacee e per effettuare il pagamento del contributo unificato, nonché per determinare il domicilio digitale. Nel premettere che tutte le “diversità” elencate non appaiono logiche, comprensibili e quindi tali da essere giustificate, è impossibile non evidenziare come una delle più “bizzarre” sia rappresentata dall’obbligo di utilizzare diverse modalità di sottoscrizione digitale in ragione al processo nel quale il deposito dell’atto/documento informatico deve essere effettuato. Nel processo tributario telematico, sia l’atto che tutti i documenti, devono essere sottoscritti con firma CAdES Bes: infatti, a differenza di quanto avviene nel civile telematico dove è possibile sottoscrivere digitalmente l’atto sia con la modalità CAdES Bes che con quella PAdES Bes e dall’amministrativo telematico dove invece è prevista la sola ed esclusiva sottoscrizione digitale in modalità PAdES Bes, nel processo tributario telematico, l’unica modalità di sottoscrizione digitale consentita è quella CAdES Bes; tutto ciò nonostante la vigenza del regolamento europeo eIDAS il quale, all’articolo 46 prevede e dispone che “a un documento elettronico non sono negati gli effetti giuridici e la ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica”. Queste modalità diverse, non solo rappresentano una ulteriore difficoltà per i professionisti, i quali dovranno ricordare la tipologia di sottoscrizione da utilizzare in questo o quel processo, ma anche per coloro che devono giudicare, ormai non solo più in diritto ma anche sotto il profilo tecnico – informatico, al punto che, per affermare, nel processo civile, il principio secondo il quale è possibile utilizzare sia la sottoscrizione digitale PAdES quella CAdES, si sono addirittura “scomodate” le Sezioni Unite della Corte di Cassazione che, con la sentenza n. 10266 del 2018, hanno affermato che secondo il diritto dell’UE e le norme, anche tecniche, di diritto interno, le firme digitali di tipo CAdES e di tipo PAdES, sono entrambe ammesse ed equivalenti, sia pure con le differenti estensioni <*.p7m> e <*.pdf>, e devono, quindi, essere riconosciute valide ed efficaci, anche nel processo civile di cassazione, senza eccezione alcuna.
DIRITTO DI INTERNET N. 2/2019
435
PRASSI Con ordinanza interlocutoria n. 20672 del 31 agosto 2017 (16), la Sezione Sesta della Corte di Cassazione, rimetteva gli atti al Primo Presidente al fine di valutare l’opportunità di assegnare la trattazione del ricorso alle Sezioni Unite sulla questione giudicata di massima importanza così come indicata nella motivazione e riferita al contenuto dell’eccezione sollevata dal ricorrente relativamente alla ritualità della notifica di uno dei controricorsi effettuata tramite PEC, posto che i messaggi allegati alla PEC della notifica avevano estensione .pdf e non anche .pdf.p7m e, in quanto tali, a dire del Collegio rimettente, da ritenersi privi di firma digitale. Riteneva al riguardo il Collegio di poter “rimettere direttamente la questione alle Sezioni Unite, anziché alla pubblica udienza della sezione ordinaria ... visto che la problematica della ritualità della notifica di uno o più degli atti di costituzione della parte dinanzi a questa Corte, eseguita con documento nativo informatico a mezzo p.e.c. ma con file - ricorso o controricorso e soprattutto relativa indispensabile procura speciale - con estensione (e quindi forma o struttura informatica) diversa da quella espressamente prescritta, attiene all’ammissibilità o meno dei medesimi e quindi rileva agli effetti dell’applicazione del n. 1) dell’art. 375 cod. proc. civ., materia che è riservata appunto di norma proprio alla cognizione della sesta sezione ai sensi degli artt. 376, primo comma, primo periodo, nonché 380-bis c.p.c., come novellato ... neppure può trovare diretta ed immediata applicazione il principio generale di sanatoria della nullità, perché l’osservanza delle specifiche tecniche sullo stesso confezionamento dei file informatici nativi dovrebbe poter attenere all’esistenza stessa dell’atto e, quanto alla procura speciale, all’ufficiosa indispensabile verifica dell’instaurazione di un valido e rituale rapporto processuale dinanzi a questa Corte, alla stregua della disciplina ormai applicabile...”. Il Collegio rimettente, purtroppo, poneva alla base della sua decisione due premesse assolutamente errate: 1) ritenere che nella notifica tramite PEC in esame la stessa fosse avvenuta in modalità non rituale in quanto “eseguita con documento nativo informatico a mezzo p.e.c. ma con file ... con estensione ... diversa da quella espressamente prescritta” mentre, sul punto, è pacifico che l’articolo 19 bis delle specifiche tecniche del processo telematico (notificazioni per via telematica eseguite dagli avvocati, modificate nell’aprile 2016), emanate in attuazione a quanto previsto nel codice dell’amministrazione digitale, al comma 1 e al comma 2 consentono l’utilizzo del file con estensione .pdf (16) Cass. 31 agosto 2017, n. 20672, in Judicium, all’indirizzo <https://www.judicium.it/wp-content/uploads/2017/09/Cass.-31-agosto2017-n.-20672.pdf>.
436
DIRITTO DI INTERNET N. 2/2019
2) considerare firmato digitalmente il solo file con l’estensione .p7m ritenendo, erroneamente, che un file con la sola estensione .pdf dovrà sempre ritenersi privo di firma digitale; illogicamente viene a conferirsi valore non tanto all’essenza informatica del file ma alla sua (irrilevante) estensione posta in coda al suo nome che lo “rappresenta” su carta. Nel rispetto dell’art. 374 del codice di procedura civile, dopo attenta e scrupolosa analisi delle vigenti normative nazionali e non, le Sezioni Unite enunciano il seguente (scontato) principio di diritto: “secondo il diritto dell’UE e le norme, anche tecniche, di diritto interno, le firme digitali di tipo CAdES e di tipo PAdES, sono entrambe ammesse ed equivalenti, sia pure con le differenti estensioni <*.p7m> e <*.pdf>, e devono, quindi, essere riconosciute valide ed efficaci, anche nel processo civile di cassazione, senza eccezione alcuna”.
10. La facoltà e l’obbligo della notifica PEC l. n. 53 del 1994
Nel premettere che nella maggior parte dei casi l’utilizzo della notifica PEC, da eseguirsi ai sensi e per gli effetti della l. n. 53 del 1994, rappresenta una facoltà, è importante evidenziare che, a seguito dell’introduzione del cosiddetto “domicilio digitale” (d.l. n. 179 del 2012, art. 16-sexies, modificato dal decreto legge 24 giugno 2014 n. 90, convertito con modificazioni dalla l. n. 114 del 2014), non è più possibile procedere, ai sensi del R.D. 22 gennaio 1934, n. 37, art. 82, alle comunicazioni o alle notificazioni presso la cancelleria dell’ufficio giudiziario davanti al quale pende la controversia nell’ipotesi in cui il destinatario abbia omesso di eleggere il domicilio nel comune in cui ha sede l’ufficio giudiziario innanzi al quale pende la causa, a meno che, oltre a tale omissione, non ricorra altresì la circostanza per la quale il suo indirizzo di posta elettronica certificata (desumibile da REGINDE o INI-PEC) non sia accessibile per cause al medesimo imputabili. A dire il vero, anche prima dell’introduzione della norma appena citata, le Sezioni Unite della Corte di Cassa-
PRASSI zione, con la decisione n. 10143 del 20 giugno 2012 (17), avevano anticipato il legislatore e ciò a seguito dell’introduzione dell’obbligo, per il difensore di indicare nell’atto difensivo il proprio indirizzo PEC (cfr. artt. 366 e 125 c.p.c, come modificati dall’art. 25 della L. 12 novembre 2011, n. 183, in vigore dal 1° febbraio 2012) in quanto “…dopo l’entrata in vigore delle modifiche degli artt. 366 e 125 c.p.c., apportate rispettivamente dalla L. 12 novembre 2011, n. 183, art. 25, comma 1, lett. i), n. 1), e dallo stesso art. 25, comma 1, lett. a), quest’ultimo modificativo a sua volta del D.L. 13 agosto 2011, n. 138, art. 2, comma 35-ter, lett. a), conv. in L. 14 settembre 2011, n. 148, e nel mutato contesto normativo che prevede ora in generale l’obbligo per il difensore di indicare, negli atti di parte, l’indirizzo di posta elettronica certificata comunicato al proprio ordine, si ha che dalla mancata osservanza dell’onere di elezione di domicilio
di cui all’art. 82 per gli avvocati che esercitano il proprio ufficio in un giudizio che si svolge fuori della circoscrizione del tribunale al quale sono assegnati consegue la domiciliazione ex lege presso la cancelleria dell’autorità giudiziaria innanzi alla quale è in corso il giudizio solo se il difensore, non adempiendo all’obbligo prescritto dall’art. 125 c.p.c., non abbia indicato l’indirizzo di posta elettronica certificata comunicato al proprio ordine”. La decisione appena richiamata e il successivo intervento del legislatore, hanno determinato che la notifica in proprio tramite PEC, disciplinata dalla l. n. 53 del 1994, pur essendo nata come modalità alternativa e, soprattutto, facoltativa a quella tradizionale, è divenuta, in alcuni casi, obbligatoria al punto che, ove effettuata in modalità diversa, deve intendersi nulla.
(17) Cass. S.U. 20 giugno 2012, n. 10143, in Altalex, all’indirizzo <https://www.altalex.com/documents/news/2013/08/28/la-pec-esonera-l-avvocato-dall-elezione-di-domicilio>.
DIRITTO DI INTERNET N. 2/2019
437
Responsabilità Medica Diritto e pratica clinica Rivista trimestrale Diretta da Roberto Pucella
1
ISSN 2532-7607 ISSN 2532-7607
La nuova rivista digitale e cartacea con periodicità trimestrale online sul sito www.rivistaresponsabilitamedica.it
RESPONSABILITÀ RESPONSABILITÀ MEDICA MEDICA
Diritto Dirittoeepratica praticaclinica clinica
La rivista è indirizzata non solo ai professionisti del diritto, ma anche a tutti coloro che hanno a che fare con il mondo della sanità. L’intento della direzione, composta da illustri Giuristi e Medici, è proprio quello di creare un forte dialogo tra il mondo del diritto e quello della medicina.
UN UN NUOVO NUOVO DIRITTO DIRITTO PER PER LALA RELAZIONE RELAZIONE DIDI CURA? CURA? DOPO DOPO LALA LEGGE LEGGE N.N. 219/2017 219/2017 Con Con i contributi i contributi di: di: Francesco Donato Busnelli, Francesco Donato Busnelli, Luciano Orsi, Luciano Orsi, Lucia Fontanella, Lucia Fontanella, Nereo Zamperetti, Nereo Zamperetti, Paolo Zatti, Paolo Zatti, Gilda Ferrando, Gilda Ferrando, Michele Graziadei, Michele Graziadei, Elisabetta Palermo-Fabris, Elisabetta Palermo-Fabris, Giovanni Di Rosa, Giovanni Di Rosa, Stefano Canestrari, Stefano Canestrari, Luigi Gaudino, Luigi Gaudino, Mariassunta Piccinni, Mariassunta Piccinni, Roberto Pucella, Roberto Pucella, Vittorina Zagonel, Vittorina Zagonel, Lucia Busatta, Lucia Busatta, Marina Munari, Marina Munari, Carla Faralli, Carla Faralli, Marco Azzalini, Marco Azzalini, Attilio Terrevoli, Attilio Terrevoli, Vincenzo Durante, Vincenzo Durante, Anna Aprile, Anna Aprile, Leonardo Lenti, Leonardo Lenti, Luciano Olivero, Luciano Olivero, Silvio Riondato, Silvio Riondato, Giuseppe Gristina, Giuseppe Gristina, Francesca Giardina, Francesca Giardina, Giovannella Baggio, Giovannella Baggio, Maria Maria Chiara Chiara Corti, Corti, Antonio Scalera, Antonio Scalera, Paolo Benciolini Paolo Benciolini
Gennaio-Marzo Gennaio-Marzo 2019 2019 Rivista Rivista trimestrale trimestrale diretta diretta dada Roberto Roberto Pucella Pucella
Pacini Pacini
€ 68,00 Abbonamento online + cartaceo ITALIA € 120,00 Abbonamento online (+ iva 4%)
Il codice della privacy Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR)
Riccardo Sciaudone, Eleonora Caravà (a cura di) Il presente volume è il primo a commentare, articolo per articolo, il Codice della privacy e il D.lgs. 101/2018.
IL CODICE DELLA PRIVACY
All’opera hanno contribuito accademici, avvocati, consulenti, funzionari del Garante per la protezione dei dati personali, della Consob e dell’Autorità per le garanzie nelle comunicazioni.
COMMENTO AL D.LGS. 30 GIUGNO 2003, N. 196 E AL D.LGS. 10 AGOSTO 2018, N. 101 ALLA LUCE DEL REGOLAMENTO (UE) 2016/679 (GDPR)
A CURA DI RICCARDO SCIAUDONE ELEONORA CARAVÀ
ISBN: 978-88-3379-043-5 1056 PAGINE
€ 89,00