@ Diritto Mercato Tecnologia di Alberto M. Gambino - @ Diritto costituzionale telematico di Alfonso Celotto e Giovanna Pistorio - @ Privacy e Garante per la protezione dei dati personali di Bruno Inzitari con Valentina Piccinini - @ AGCom (Autorità per le Garanzie nelle Comunicazioni) di Mario Morcellini - @ AGID (Agenzia per l’Italia Digitale) di Alfonso Contaldo - @ AGCM (Autorità Garante della Concorrenza e del Mercato) di Antonio Catricalà con Carlo Edoardo Cazzato - @ Data protection e data governance di Pierluigi Perri - @ Odio, cyberbullismo, cyberstalking e discriminazioni online di Giovanni Ziccardi - @ Contratti informatici di Lucilla Gatt e Ilaria Caggiano - @ Smart contract e negoziazione algoritmica di Francesco Di Ciommo - @ Consumatori di Giovanna Capilli e Massimiliano Dona - @ Intellectual property e digital rights di Giuseppe Cassano - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto civile) di Mariangela Ferrari - @ Gioco a distanza di Alessandro Orlandi - @ Cybercrime di Lorenzo Picotti con Roberto Flor - @ Reati in Internet di Vittorio Manes e Francesco Mazzacuva - @ Responsabilità penale dell’internet provider di Adelmo Manna - @ Digital evidence nel procedimento penale di Luca Lupària con Marco Pittiruti - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto penale) di Francesco G. Catullo - @ Amministrazione digitale di Fernanda Faini e Marco Mancarella - @ Appalti pubblici e informatica di Elio Guarnaccia - @ Diritto del lavoro e nuove tecnologie di Roberto Pessi e Raffaele Fabozzi - @ Diritto tributario digitale e fiscalità dell’economia digitale di Andrea Carinci - @ Diritto internazionale, europeo e comparato di Giovanni Maria Riccio - @ Tecnologie emergenti di Fulvio Sarzana di S. Ippolito - @ Intelligenza artificiale e robotica di Marco Scialdone e Guido Scorza - @ Automazione di Stefano Pellegatta - @ Applicazione del GDPR di Vincenzo Colarocco - @ Processo Telematico di Maurizio Reale - @ Legal-Tech di Giuseppe Vaciago - @ Prova informatica di Donato Eugenio Caccavella - @ Informatica Giuridica di Michele Iaselli - @ Convegni, Recensioni, Spigolature
Il comitato dei Tecnici Luca Attias, Paolo Cellini, Massimo Chiriatti, Cosimo Comella, Gianni Dominici, Corrado Giustozzi, Giovanni Manca, Michele Melchionda, Luca Tomassini, Andrea Servida, Carlo Mochi Sismondi, Giuseppe Virgone
Il comitato editoriale Eleonora Addante, Denise Amram, Stefano Aterno, Livia Aulino, Fabio Baglivo, Francesca Bailo, Mauro Balestrieri, Elena Bassoli, Ernesto Belisario, Maria Letizia Bixio, Luca Bolognini, Chantal Bomprezzi, Simone Bonavita, Francesco Brugaletta, Leonardo Bugiolacchi, Luigi Buonanno, Donato Eugenio Caccavella, Giandomenico Caiazza, Luca Antonio Caloiaro, Alessia Camilleri, Stefano Capaccioli, Giovanna Capilli, Domenico Capra, Mario Capuano, Diana Maria Castano Vargas, Francesco Giuseppe Catullo, Aurora Cavo, Carlo Edoardo Cazzato, Francesco Celentano, Federico Cerqua, Celeste Chiariello, Antonio Cilento, Donatello Cimadomo, Giuseppe Colangelo, Vincenzo Colarocco, Alfonso Contaldo, Mariarosaria Coppola, Fabrizio Corona, Francesca Corrado, Gerardo Costabile, Stefano Crisci, Luca D’Agostino, Vittoria D’Agostino, Gaspare Dalia, Eugenio Dalmotto, Antonio Davola, Edoardo De Chiara, Maurizio De Giorgi, Paolo De Martinis, Maria Grazia Della Scala, Mattia Di Florio, Francesco Di Giorgi, Giovanni Di Lorenzo, Sandro Di Minco, Massimiliano Dona, Giulia Escurolle, Caterina Esposito, Alessandro Fabbi, Raffaele Fabozzi, Alessandra Fabrocini, Fernanda Faini, Pietro Falletta, Mariangela Ferrari, Roberto Flor, Federico Freni, Maria Cristina Gaeta, Fabrizio Galluzzo, Davide Gianti, Carmelo Giurdanella, Chiara Graziani, Raffaella Grimaldi, Paola Grimaldi, Elio Guarnaccia, Pierluigi Guercia, Ezio Guerinoni, Aldo Iannotti Della Valle, Michele Iaselli, Alessandro Iodice, Daniele Labianca, Luigi Lambo, Katia La Regina, Alessandro La Rosa, Jacopo Liguori, Andrea Lisi, Matteo Lupano, Armando Macrillò, Domenico Maffei, Angelo Maietta, Marco Mancarella, Amina Maneggia, Daniele Marongiu, Carmine Marrazzo, Silvia Martinelli, Marco Martorana, Corrado Marvasi, Dario Mastrelia, Francesco Mazzacuva, Stefano Mele, Ludovica Molinario, Anita Mollo, Andrea Monti, Roberto Moro Visconti, Davide Mula, Simone Mulargia, Antonio Musio, Sandro Nardi, Gilberto Nava, Raffaella Nigro, Romano Oneda, Alessandro Orlandi, Angelo Giuseppe Orofino, Roberto Panetta, Giorgio Pedrazzi, Stefano Pellegatta, Flaviano Peluso, Pierluigi Perri, Alessio Persiani, Edoardo Pesce, Valentina Piccinini, Marco Pierani, Giovanna Pistorio, Marco Pittiruti, Federico Ponte, Francesco Posteraro, Eugenio Prosperetti, Maurizio Reale, Nicola Recchia, Federica Resta, Giovanni Maria Riccio, Alessandro Roiati, Angelo Maria Rovati, Rossella Sabia, Alessandra Salluce, Ivan Salvadori, Alessandro Sammarco, Alessandra Santangelo, Fulvio Sarzana di S.Ippolito, Emma Luce Scali, Roberto Scalia, Marco Schirripa, Marco Scialdone, Andrea Scirpa, Guido Scorza, Francesco Scutiero, Carla Secchieri, Massimo Serra, Serena Serravalle, Raffaele Servanzi, Irene Sigismondi, Giuseppe Silvestro, Matteo Siragusa, Rocchina Staiano, Samanta Stanco, Marcello Stella, Gabriele Suffia, Giancarlo Taddei Elmi, Bruno Tassone, Maurizio Tidona, Enzo Maria Tripodi, Luca Tormen, Giuseppe Trimarchi, Emilio Tucci, Giuseppe Vaciago, Matteo Verzaro, Luigi Viola, Valentina Viti, Giulio Votano, Raimondo Zagami, Alessandro Zagarella, Ignazio Zangara, Maria Zinno, Martino Zulberti, Antonio Dimitri Zumbo
Direttore scientifico Giuseppe Cassano
Diritto di Internet 3 2019
Gli osservatori on line <www.dirittodiinternet>
Ettore Battelli, Maurizio Bellacosa, Alberto M. Benedetti, Giovanni Bruno, Alberto Cadoppi, Ilaria Caggiano, Stefano Canestrari, Giovanna Capilli, Giovanni Capo, Andrea Carinci, Alfonso Celotto, Sergio Chiarloni, Antonio Cilento, Donatello Cimadomo, Renato Clarizia, Giuseppe Colangelo, Giovanni Comandè, Claudio Consolo, Pasquale Costanzo, Gaspare Dalia, Eugenio Dalmotto, Enrico Del Prato, Astolfo Di Amato, Francesco Di Ciommo, Giovanni Di Lorenzo, Fabiana Di Porto, Ugo Draetta, Giovanni Duni, Alessandro Fabbi, Raffaele Fabozzi, Valeria Falce, Mariangela Ferrari, Francesco Fimmanò, Giusella Finocchiaro, Carlo Focarelli, Vincenzo Franceschelli, Massimo Franzoni, Federico Freni, Tommaso E. Frosini, Maria Gagliardi, Cesare Galli, Alberto M. Gambino, Lucilla Gatt, Aurelio Gentili, Stefania Giova, Andrea Guaccero, Antonio Gullo, Bruno Inzitari, Luigi Kalb, Luca Lupária, Amina Maneggia, Vittorio Manes, Adelmo Manna, Arturo Maresca, Ludovico Mazzarolli, Raffaella Messinetti, Pier Giuseppe Monateri, Mario Morcellini, Antonio Musio, Raffaella Nigro, Angelo Giuseppe Orofino, Nicola Palazzolo, Giovanni Pascuzzi, Roberto Pessi, Valentina Piccinini, Lorenzo Picotti, Dianora Poletti, Alessandro Sammarco, Giovanni Sartor, Filippo Satta, Paola Severino, Caterina Sganga, Pietro Sirena, Giorgio Spangher, Giovanni Maria Riccio, Francesco Rossi, Elisa Scaroina, Serena Serravalle, Marcello Stella, Paolo Stella Richter, Giancarlo Taddei Elmi, Bruno Tassone, Giuseppe Trimarchi, Luigi Carlo Ubertazzi, Paolo Urbani, Romano Vaccarella, Daniela Valentino, Giovanni Ziccardi, Andrea Zoppini, Martino Zulberti
Issn: 2612-4491
Il comitato di referaggio
Comitato scientifico Michele Ainis Maria A. Astone Alberto M. Benedetti Giovanni Bruno Alberto Cadoppi Stefano Canestrari Giovanni Capo Andrea Carinci Antonio Catricalà Sergio Chiarloni Renato Clarizia Alfonso Celotto Giovanni Comandè Claudio Consolo Giuseppe Corasaniti Pasquale Costanzo Enrico Del Prato Astolfo Di Amato Ugo Draetta Francesco Di Ciommo Giovanni Duni Valeria Falce Francesco Fimmanò Giusella Finocchiaro Carlo Focarelli Giorgio Floridia Vincenzo Franceschelli Massimo Franzoni Tommaso E. Frosini Cesare Galli Alberto M. Gambino Lucilla Gatt Aurelio Gentili Andrea Guaccero Bruno Inzitari Luigi Kalb Luca Lupária Vittorio Manes Adelmo Manna Arturo Maresca Ludovico Mazzarolli Raffaella Messinetti Pier Giuseppe Monateri Mario Morcellini Nicola Palazzolo Giovanni Pascuzzi Roberto Pessi Lorenzo Picotti Francesco Pizzetti Dianora Poletti Giovanni Sartor Filippo Satta Paola Severino Pietro Sirena Antonello Soro Giorgio Spangher Paolo Stella Richter Luigi Carlo Ubertazzi Romano Vaccarella Daniela Valentino Giovanni Ziccardi Andrea Zoppini
Diritto di INTERNET
Digital Copyright e Data Protection RIVISTA TRIMESTRALE
2019 23 14 IN EVIDENZA
• La direttiva Copyright • Cybersecurity e contrasto ai cyber-attacks • Algoritmo e atto amministrativo informatico • Collegamento via Skype e danni della lontananza • Mancata informativa privacy: l’utilizzo dei dati personali di terzi ignari
• Prove digitali, quali? il punto della giurisprudenza • Saga del copyright e ritorsioni digitali • Contratto di web hosting e responsabilità per la perdita di dati non salvati
• Copia forense, acquisizione di immagini e atti irripetibili
• Videosorveglianza in luoghi di lavoro e scuole • Followers virtuali e rappresentatività di un ente portatore di interessi diffusi
• Aspetti operativi criptoattività
e ricadute giuridiche delle
Pacini
DIRITTO DI INTERNET • ANNO I
SOMMARIO ■■SAGGI A CRITICAL OVERVIEW OF THE DIRECTIVE ON COPYRIGHT IN THE DIGITAL SINGLE MARKET di Gustavo Ghidini e Francesco Banterle 443 CYBERSECURITY ED IL CONTRASTO AI CYBER-ATTACKS A LIVELLO EUROPEO: DALLA CIA-TRIAD PROTECTION AI PIÙ RECENTI SVILUPPI di Roberto Flor 453 ALGORITMO E ATTO AMMINISTRATIVO INFORMATICO: LE BASI NEL CAD di Marco Mancarella 469
■■GIURISPRUDENZA EUROPEA RESPONSABILITÀ DEL SITO INTERNET PER COMMENTI OSCENI E VIOLENZA ONLINE CONTRO LE DONNE 477 Corte Europea Dei Diritti Umani; sezione II; sentenza 19 marzo 2019, ric. n. 43624/14; Pres. Spano; Høiness c. Norvegia commento di Emma Luce Scali 478
CIVILE IMMIGRAZIONE: IL COLLEGAMENTO VIA SKYPE CON I GENITORI NON LIMITA I DANNI DELLA LONTANANZA 487 Corte di Cassazione; sezione I civile; ordinanza 24 aprile 2019, n. 11274 commento di Livia Aulino 489 commento di Mariangela Ferrari 495 SULLE MODALITÀ DI PRODUZIONE DI DOCUMENTI INFORMATICI NEL PROCESSO 505 Tribunale di Milano; sezione V civile; ordinanza 4 aprile 2019 commento di Donato Eugenio Caccavella 505 SAGA DEL COPYRIGHT, RITORSIONI DIGITALI E CONDANNA PER LITE TEMERARIA 511 Tribunale di Torino; sez. spec. imprese; sentenza 1° aprile 2019 commento di Bruno Tassone e Marco Barbone 517 LE DIMENSIONI DELL’ILLECITO ED IL COMPORTAMENTO DEL TITOLARE DEL TRATTAMENTO NELLA DETERMINAZIONE DELLA SANZIONE AMMINISTRATIVA PER ILLECITO TRATTAMENTO DI DATI PERSONALI 527 Tribunale di Milano; sezione II civile; sentenza 26 marzo 2019, n. 3371 commento di Simone Bonavita 535 LA RESPONSABILITÀ DEL PROVIDER, INADEMPIMENTO, OBBLIGO DI DILIGENZA PROFESSIONALE E CLAUSOLE DI ESONERO DA RESPONSABILITÀ 541 Tribunale di Roma; sezione XVII spec. imprese; 28 marzo 2019 commento di Luigia Carolina Santaniello 542
PENALE INSTALLAZIONE DI TELECAMERE PRIVATE SU STRADE PUBBLICHE: NON SEMPRE È VIOLENZA PRIVATA 549 Corte di Cassazione; sezione V penale; sentenza 13 maggio 2019, n. 20527 commento di Michele Iaselli 553
DIRITTO DI INTERNET N. 3/2019
441
DIRITTO DI INTERNET • ANNO I L’UTILIZZABILITÀ PROBATORIA DELLE RIPRESE AUDIO E VIDEO IN CONTESTI AMBIENTALI RISERVATI 557 Corte di Cassazione; sezione V penale; sentenza 18 aprile 2019, n. 17155 Corte di Cassazione; sezione VI penale; sentenza 1° aprile 2019, n. 14150 commento di Marco Pittiruti 559 ESTRAZIONE DI IMMAGINI DA UN SISTEMA DI VIDEOSORVEGLIANZA: LE ACQUISIZIONI INFORMATICHE TRA PASSATO, PRESENTE E FUTURO 565 Corte di Cassazione; sezione VI penale; sentenza 10 aprile 2019, n. 15838 commento di Elisa Lorenzetto 569 RESPONSABILITÀ DEL BLOGGER PER FATTO ILLECITO ALTRUI: LA SUPREMA CORTE PERCORRE LA “VIA” DELLA PLURALITÀ DI REATI 575 Corte di Cassazione; sezione V penale; 20 marzo 2019, n. 12546 commento di Pierluigi Guercia 576
AMMINISTRATIVA SUL PRETESO VALORE DOCUMENTALE DEL FILE NON SOTTOSCRITTO ED ALLEGATO AGLI ATTI DI GARA 585 T.a.r. Lazio, Roma; sezione III quater; sentenza 29 maggio 2019, n. 6775 commento di Angelo Giuseppe Orofino 586 SOCIAL NETWORK E RILEVANZA DEI “FOLLOWERS” AI FINI DELLA RAPPRESENTATIVITÀ DEGLI ENTI 589 T.a.r. Calabria; sezione I; sentenza 18 febbraio 2019, n. 302 commento di Giovanna Capilli 590
■■PRASSI ASPETTI OPERATIVI E RICADUTE GIURIDICHE DELLE CRIPTO-ATTIVITÀ di Stefano Capaccioli 593 APPALTI PUBBLICI DI BENI E SERVIZI INFORMATICI: DISCIPLINA GIURIDICA IN COSTANTE EVOLUZIONE di Elio Guarnaccia 603
442
DIRITTO DI INTERNET N. 3/2019
SAGGI
A critical overview of the Directive on copyright in the Digital Single Market di Gustavo Ghidini e Francesco Banterle Summary: 1. Foreword. – 2. General Remarks. – 3. Text and data mining exceptions. – 4. New ancillary right for press publishers. – 5. Mandatory cooperation between Internet Service Providers and copyright holders on User Generated Contents. – 6. Use of out-of-commerce works by cultural heritage institutions. – 7. Fair remuneration in contracts of authors and performers. This paper analyses the Directive on copyright in the Digital Single Market (EU) 2019/790. After a critical overview of the Directive, that fails to provide a real – long awaited – reform of European copyright law, the paper focuses on the most salient and problematic provisions, namely (i) text and data mining exceptions; (ii) new ancillary right for press publishers; (iii) mandatory cooperation between Internet Service Providers and copyright holders on User Generated Contents; (iv) use of out-of-commerce works by cultural heritage institutions; and (v) fair remuneration in contracts of authors and performers. And it provides remarks and suggestions. As a general view, the paper is suggesting the abandonment of an “exclusionary” copyright mechanism in all cases where the public interest to spread culture and information may marry economic exploitation, by adopting instead a mechanism of open paying access. Il presente saggio analizza la Direttiva sul diritto d’autore nel mercato unico digitale (UE) 2019/790. Dopo una panoramica critica della Direttiva, che non fornisce una vera e propria – a lungo attesa – riforma del diritto d’autore europeo, lo scritto si concentra sulle disposizioni più rilevanti e problematiche, vale a dire (i) eccezioni di estrazione di testi e dati; (ii) nuovi diritti connessi per gli editori della stampa; (iii) obblighi di cooperazione tra i fornitori di servizi Internet e i titolari dei diritti d’autore sui contenuti generati dagli utenti; (iv) uso di opere fuori commercio da parte delle istituzioni culturali; e (v) equa remunerazione nei contratti degli autori e degli interpreti. E fornisce osservazioni e suggerimenti. In generale, il saggio suggerisce l’abbandono di un meccanismo “escludente” del diritto d’autore in tutti i casi in cui l’interesse pubblico alla diffusione della cultura e dell’informazione può coniugarsi con lo sfruttamento economico, adottando invece un meccanismo di accesso aperto a pagamento.
1. Foreword
As known, on 14 September 2016, the European Commission issued a Proposal for a Directive on copyright in the Digital Single Market (1) (the “Proposal”). Its de-
clared purpose was to update the EU copyright framework to adapt it to new digital challenges; as such, it plays a major role in the European Commission’s strategy for the creation of a digital single market.
* Questo scritto è frutto di ricerca e riflessione comune dei due autori. I paragrafi 1 e 2 sono stati redatti congiuntamente dagli autori. La redazione dei paragrafi 6-7 deve attribuirsi a Gustavo Ghidini, mentre quella dei paragrafi 3-5 a Francesco Banterle. (1) Proposal for a Directive of the European Parliament and of the Council on copyright in the Digital Single Market, Brussels, 14 September 2016, COM(2016) 593 final, available at: <http://eur-lex.europa.eu/ legal-content/EN/TXT/?uri=CELEX:52016PC0593>. For an overview on the academic debate about the Proposal, see Hilty-Moscon (eds.), Modernisation of the EU Copyright Rules, Position Statement of the Max Planck Institute for Innovation and Competition, Max Planck Institute for Innovation & Competition Research Paper No. 17-12, 2017; European Copyright Society, General Opinion on the EU Copyright Reform Package, (24 January 2017) available at: <https://europeancopyrightsociety.org/ how-the-ecs-works/ecs-opinions/>; Senftleben - Angelopoulos - Frosio - Moscon - Peguera - Rognstad, The Recommendation on Measures to Safeguard Fundamental Rights and the Open Internet in the Framework of the EU Copyright Reform, (17 October 2017) available at: <https://ssrn.com/ abstract=3054967>; Stalla - Bourdillon - Rosati - Turk - Angelopoulos - Kuczerawy - Peguera - Husovecf, An academic perspective on the copyright reform, in Computer Law & Security Review, 2017, 33(1), 3-13; Castets Renard, ‘Digital Single Market’: The European Commission Presents Its First Measures in Copyright Law, in Recueil Dalloz, 2016, 7, 388; Senftleben Kerk - Buiten - Heine, New Rights or New Business Models? An Inquiry into the Future of Publishing in the Digital Era, in IIC, 2017, 48(5), 538-561;
A.A. V.V., Copyright reform: Open letter from European Research Centres, (24 February 2017), available at: <http://www.create.ac.uk/wp-content/uploads/2017/02/OpenLetter_EU_Copyright_Reform_24_02_2017.pdf>; A.A. V.V., Better regulation for copyright, academics meet policy makers, European Parliament, (6 September 2017), available at: <https://juliareda.eu/ wp-content/uploads/2017/09/2017-09-06_Better-Regulation-for-Copyright-Academics-meet-Policy-Makers_Proceedings.pdf>; Bently et al., Response to Article 11 of the Proposal for a Directive on Copyright in the Digital Single Market, entitled ‘Protection of press publications concerning digital uses’ on behalf of 37 professors and leading scholars of Intellectual Property, Information Law and Digital Economy’, (6 December 2016), available at: <https:// www.cipil.law.cam.ac.uk/press/news/2016/12/cambridge-academics-respond-call-views-europeancommissions-draft-legislation>; Bently, Call For Views: Modernising the European Copyright Framework, (5 December 2016), available at: <www.iposgoode.ca/wp-content/uploads/2016/12/ IPOModernisingIPProfResponsePressPublishers.pdf>; Falce-Bixio, Verso un nuovo diritto connesso a favore degli editori on line. Brevi note su recenti derive (iper)-protezionistiche, in DIMT, 2016; Ramalho, Beyond the Cover Story - An Enquiry into the EU Competence to Introduce a Right for Publishers, in IIC, 2017, 71-91; Peukert, An EU Related Right for Press Publishers Concerning Digital Uses, A Legal Analysis, Research Paper of the Faculty of Law, Goethe University Frankfurt am Main, No. 22/2016, available at: <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2888040>.
DIRITTO DI INTERNET N. 3/2019
443
SAGGI The Proposal has been discussed in the course of 2017 by the European Parliament and the Council. Almost 1000 amendments were submitted. There has been no clear consensus on the main and still controversial provisions. The ‘shadow rapporteurs’ negotiated compromises to the most debated provisions, with different proposed amendments and even new unannounced additions. The final text was approved by the European Parliament on 26 March 2019, giving light to Directive (EU) 2019/790 (2) (the “DSM Copyright Directive”). Member States now have 24 months for adopting regulations and provisions for transposing the Directive under national laws. Thus, there is still some time ahead to contribute to the debate. To this purpose, we wish here to submit our remarks and suggestions on the salient problematic points of the DSM Copyright Directive.
2. General remarks
The Proposal has been criticized for lacking ambitiousness, and so does the DSM Copyright Directive. We share this view. The unbalanced approach of the InfoSoc Directive (2001/29/CE) has been only partially – very partially – remedied by the DSM Copyright Directive. Indeed, the DSM Copyright Directive is not intervening in many of the most problematic aspects of InfoSoc Directive, such as: the fragmentation of the EU copyright law framework, particularly in the current exceptions and limitations system; (3) the often unclear scope of the making available right; an update to the new digital uses (e.g., user generated contents, freedom of panorama, hyperlinking, etc.); and to open source schemes (i.e., prohibition to apply Technological Protection Measures -or similar locking systems- on contents distributed under open licenses). (4) In other words, the chance of a real systematic reshape and update of the InfoSoc framework has been missed. Instead, the Proposal (and now DSM Copyright Directive) mostly focuses on adding new ad hoc heterogeneous provisions. Some of them deserve approval, as the envisaged extension of the range of mandatory exceptions
3. Text and data mining exceptions
The DSM Copyright Directive (Articles 3-4) introduces two mandatory exceptions for reproductions and extractions to carry out text and data mining of works or other subject-matter (hereinafter “TDM”), where the user has lawful access to them. A first exception (Article 3) is granted to research organizations for the sole purpose
(3) The DSM Copyright Directive does not tackle, inter alia, one of the main problems of EU copyright system, i.e., fragmentation. This is more evident with regard to exception and limitations (parody, quotation right, etc.), where the optional nature of the list of the exceptions set out in InfoSoc (Member States are free to determine which exceptions to implement and to what extent), has led to an inconsistent implementation.
(5) Namely: 1. “reproductions and extractions made by research organizations in order to carry out text and data mining […] for the purpose of scientific research” (Article 3); 2. “the digital use of works […] for the sole purpose of illustration, for teaching, to the extent justified by the non-commercial purpose…” (Article 5, dictating further restrictive conditions for the enjoyment of the exception); 3. making copies, by cultural heritage institutions, of works permanently in their collections, for the purposes of preservation of such works (Article 6).
(4) If such measures were nonetheless illegally applied, they should swiftly be removed by Communication Authorities through a notice-andtake down mechanism. In such context, illegal TPMs should be further and expressly declared unenforceable even on the basis of the general copyright protection afforded to software.
(6) Thus, for example, the ‘new’ exceptions would not allow either the market exploitation by research organizations of the results (reports) of their work, or the chance of universities and other teaching institutions to edit and publish texts assembling lessons and other outcomes of their educational activities.
(2) Directive (EU) 2019/790 of the European Parliament and of the Council of 17 April 2019 on copyright and related rights in the Digital Single Market and amending Directives 96/9/EC and 2001/29/EC.
444
for research or cultural purpose. (5) These provisions are to be welcomed, of course, as they upgrade to the rank of mandatory exceptions that InfoSoc provides as discretionary (Articles 5,2(c), (e), and 3(a)). But their impact is weakened by their persistent subjection – as all other exceptions and limitations foreseen by InfoSoc Directive – to the barrier of the (in)famous three-step test (Article 5,5) which allows the copyright holder to oppose in judiciary sitting the actual enjoyment of even statutory exceptions. Moreover, they are equally subject to the criterion of ‘strict interpretation’, also dictated by InfoSoc Directive (confirmed by Article 7 of the DSM Copyright Directive). (6) On the other hand, as a general systemic remark, the DSM Copyright Directive holds fast, across-the-board, to the traditional “exclusionary” copyright paradigm. In this regard, in all the cases where the public interest to spread culture and information may marry economic exploitation, would not be wiser – and truly consistent with the proclaimed aim to enhance the diffusion of culture and information – to adopt a mechanism of open paying access? In the next paragraphs we will come back on how this mechanism might apply also in other cases. Let us now go through the most problematic proposals, concerning: (i) text and data mining exceptions; (ii) new ancillary right for press publishers; (iii) mandatory cooperation between Internet Service Providers and copyright holders on User Generated Contents; (iv) use of out-of-commerce works by cultural heritage institutions; (v) fair remuneration in contracts of authors and performers.
DIRITTO DI INTERNET N. 3/2019
SAGGI of scientific research. A second mandatory TDM exception (Article 4) is applicable to any entity, but with an opt-out mechanism: insofar as the copyright holder has not reserved such use. TDM relates to new analysis techniques to process large amounts of data, particularly to identify correlations and trends, which can be helpful in different sectors (health, marketing, IoT, artificial intelligence, etc.). In this regard, as acknowledged by Recital 8 “[i]n certain instances, text and data mining can involve acts protected by copyright, by the sui generis database right or by both, in particular, the reproduction of works or other subject matter, the extraction of contents from a database or both which occur for example when the data are normalised in the process of text and data mining. Where no exception or limitation applies, an authorisation to undertake such acts is required from rightholders”. The exception would therefore limit copyright and database rights with respect to reproductions and extractions. In particular, the initial version of the TDM exception in the Proposal was set out with a triple limitation: it applied only to research organizations; for the purpose of scientific research; and only in case these organizations have lawful access to the work at stake. In the academic debate, the TDM exception has been criticized under two main profiles. The Max Planck Institute (“MPI”) (7) affirmed that: i. data mining exception should apply also to commercial uses “as far as concerns content to which the persons performing the mining have lawful access”. In other words, data mining should be regarded as a normal use of a work, not requiring further authorization once a lawful access to the work is obtained; ii. the new exception should be extended to cover data mining for research purposes even in cases of unauthorized access to protected works, i.e. research organizations should be able to carry out data mining without having to acquire access to the protected works. We agree on this view. TDM should not be considered as a “use” of a protected work once a lawful access is obtained. As regards the reproduction right under copyright law, the “normalization” of a work necessary for data mining (8) entails a temporary reproduction, that is however
(7) Hilty -Richter, Text and Data Mining (Article 3 COM(2016) 593 final), in Hilty - Moscon (eds.), Modernisation of the EU Copyright Rules, Position Statement of the Max Planck Institute for Innovation and Competition, cit., 25. (8) All TDM activities (and more in general data analysis operations) generally require a series of actions: (i) obtaining the sources: selecting an input (the source of the data), that can be either a protected work or data-
aimed at performing TDM only: (9) a “functional” reproduction, similar to that occurring when installing a software. (10) And indeed the Software Directive (2009/24/ EC) provides that a -permanent or temporary- reproduction of software does not require authorisation where it is necessary for the use of the computer program by the lawful user (Article 5(1)). A similar reasoning should apply to extraction under the database right. (11) The use for TDM purpose should not be considered as an independent use of a work or database, as it is not an exploitation, nor a reworking, of the expressive form of the protected materials. It is just a process technically necessary to carry out TDM. In other words, it is not a new distinct use of the creative contents to which the user already got lawful access. Moreover, the use for TDM is not in any case competing with the normal exploitation of a work or of the original database (in line with Article 8.2 of the Database Directive) and seems instead a good mechanism to ensure flexibility and open data (that is a real instrument to foster a European data market). This is particularly significant in the context of the European Commission’s strategy on data, that has meanwhile explored the adoption of new exclusive
base, or a work or database in public domain; (ii) transformation of data: a pre-processing activity, which requires the adaptation of the contents to the specific technique to be used, and the digitization of the work, if necessary. These activities are more generally defined as “normalization” of the data, by which all materials are converted in a suitable format; (iii) loading the data: loading all materials on a dedicated repository; (iv) the analysis of the data: the “real” mining activity, where new information is extracted from the data; (v) drafting of a report: the outcome of the analysis. Generally, the report is not containing any of the specific material or data that were “mined”. See Triaille J.P. et al., Study on the legal framework of text and data mining (TDM), De Wolf & Partners, 2014, at 28; Montagnani, Il text and data mining e il diritto d’autore, in AIDA, 2017, 376. (9) Triaille, Study on the legal framework of text and data mining (TDM), cit., 45, investigates to what extent the temporary copy exception set out by Infosoc (Article 5.1) can apply to the reproduction of a work in the context of TDM, stating that said exception would not easily apply. In general terms, that study concludes that in light of the extensive interpretation of the concepts of reproduction and extraction, in many cases TDM would require the right-holder’s authorization. We believe that a different interpretation applicable to TDM is necessary, instead. (10) In the same sense see Hilty - Richter, Text and Data Mining (Article 3 COM(2016) 593 final), cit. (11) During the TDM activity there is not necessarily a transfer of the materials/contents of a substantial part of the database on another media or in other form. If there is only a temporary extraction for the purpose of TDM only and the materials extracted are not made available, this seems more similar to an access/consultation of the database and in any case a normal and insubstantial use of its contents (exempted from the scope of the database right under Articles 6 and 8 of Database Directive). Additionally, an extraction is not generally occurring when the database maker is making available APIs (application programming interfaces) for the consultation of the database.
DIRITTO DI INTERNET N. 3/2019
445
SAGGI rights in data (12) and a review of the database sui generis right, (13) whereas the TDM remains the sole concrete choice to adopt a new exception that would foster data analysis techniques. The final version of the TDM exception provided by the DSM Copyright Directive improves the initial proposal, as it applies also to commercial uses. However, the optout mechanism in fact will likely neutralize its effect. Thus, regrettably, the effect of the new TDM exception remains reduced: acknowledging that (only) TDM for research purpose is exempted, entails that TDM per se is falling under the copyright and database rights and therefore TDM for commercial purpose would require the authorization of the copyright holder even in case of lawful access to the work/database. We instead believe that a TDM exception would be really useful if it allowed TDM in the absence of lawful access to a work. In this case, research organizations should be able to carry out data mining without having to acquire a general access to the protected works. TDM for research purpose should be allowed without any compensation. We add that, in light of the concurring collective interests (TDM is useful for allowing artificial intelligence accessing training data), data mining for commercial purposes should not in any case be subject to exclusive rights but rather, as hinted, to a regime of open paying access. Business entities should be able to carry out data mining without having to acquire a general access to the protected works but rather by paying a reasonable fee/ compensation for the sole purpose of data mining. A similar provision should stimulate the market towards creating offers for TDM licenses. At least, the opt-out mechanism could be modified by adding an optional fair compensation mechanism. We hope that the Italian lawmaker will take this opportunity when implementing the DSM Copyright Directive under Italian law.
4. New rights on press publications against digital uses
The DSM Copyright Directive introduces (Article 15) a new right, lasting 2 years, in favour of newspapers and magazines publishers to bar third parties (except the authors of the articles) from unauthorized extraction and online exploitation of parts of published articles. The introduction of this new right should solve difficulties that press publishers are facing in negotiating with
(12) See European Commission, Building a European Data Economy, Brussels, 10 January 2017, COM(2017) 9 final; and Id., A Digital Single Market Strategy for Europe, Brussels, 6 May 2015, COM(2015) 192 final. (13) See European Commission, Commission launches public consultation on Database Directive, (24 May 2017) available at: <https://ec.europa.eu/ digital-single-market/en/news/commission-launches-public-consultation-database-directive> (last accessed 2 June 2019).
446
DIRITTO DI INTERNET N. 3/2019
online service providers (news aggregators, social media, search engines) for the online use of their press products. In fact, the European Commission’s Impact Assessment estimated that 57% percent of EU online users read press news through online intermediaries and 47% of them do not click on links to access the whole article in the newspaper webpages, thus eroding advertising revenues from the newspaper website. (14) Online intermediaries would therefore make profit from using press contents whereas publishers would not receive compensation for their investments (i.e., production of press contents). The European Commission apparently believes that this situation is due to the lack of copyright ownership for press publishers on the press products in many Member States. In addition to current fragmentation under national copyright laws (which do not always recognize publishers as copyright owners), the publishers’ position should be further threatened by the CJEU jurisprudence in the Reproblel case (15), which may cause national legislations to limit sharing copyright levies between authors and publishers. In the European Commission’s view, only a new right would give publishers the ability and title to negotiate with online intermediaries and solve the existing market failure. This provision represents a ‘hardened’ version of the German (16) and Spanish (17) ancillary rights for press publishers, introduced in 2013 and 2014 respectively. In fact, this right is commonly labelled “ancillary”: in truth it is a straight copyright (albeit with a reduced term) since it simply confirms the faculty of copyright holders (newspapers and magazine publishers that --in spite of the European Commission’s position-- may easily [as typically happens] acquire exploitation rights from authors via contract) to grant or deny the authorization to exploit derivative works (any “digital use”). This is confirmed by Recital 57: “the rights granted to the publishers of press publications under this Directive should have the same scope as the rights of reproduction and making available to the public”. In particular, the German version – possibly on the blueprint of an ancient jurisprudence of French origin – expressly condoned the extraction and use of ‘imperceptible thefts’ (‘larcins imperceptibles’). In this regard, by
(14) European Commission, Impact Assessment on the modernization of EU copyright rules, Bruxelles, 14 September 2016 SWD(2016) 301 final, part 1, 156. (15) Court of Justice of the European Union, 12 November 2015, C-572/13, Hewlett-Packard Belgium SPRL/13 v Reprobel SCRL, Epson Europe BV intervening. (16) Article 87f of the German Copyright Act of 9 September 1965. (17) Article 32 of the Spanish Ley de Propiedad Intelectual 1/1996.
SAGGI introducing a new exclusive right on press publications, the (undisclosed) aim of the provision seems to be the extension of copyright scope even to short, very short extracts of press articles (so called ‘snippets’). This is indeed supported by the extensive interpretation given by the CJEU in the Infopaq case (18), where the Court held that capturing 11-word fragments of a newspaper article may constitute an unauthorized reproduction of part of that work (if that fragment is expression of the intellectual creation of the author). Indeed, there is a specific reference to this judgment in the Impact Assessment (19) and the last amendments to the DSM Copyright Directive are confirming this view. (20) The position of snippets under EU copyright laws is far from clear. Excerpts are indeed ‘reductions’, typically derivative works (hence included in the provision of Article 12 of the Berne Convention): excerpt collection works (e.g., news aggregations) are ultimately similar to the ‘condensed [sic!] books’ that were traditionally published by the American magazine Reader’s Digest. And the extreme brevity of the extracted text does not per se deny – particularly considering the typical ultra-synthetic mode of today’s digital communications (in the age of “tweets”) – that the ‘snippet’ can well feature an ‘informational product’ as such apt to be sold and/or draw advertising revenues, thus ‘subtracted’ to the publisher of the original article. Snippets could however be protected under the quotation right provided by the Berne Convention (Article 10(1)). The Berne Convention’s quotation right is quite extensive and flexible, and expressly allows revues de presse. (21) Additionally, Berne excludes mere news from copyright protection: “[t]he protection of this Convention shall not apply to news of the day or to miscellaneous facts having the character of mere items of press information” (Article 2(8)). Therefore, snippets would be mostly exempted under Berne framework. The
(18) Court of Justice of the European Union, 16 July 2009, C-5/08, Infopaq International A/S v Danske Dagblades Forening. (19) Impact Assessment, cit., 157. (20) During the discussion of the Directive, see the proposed amendment of the Council (option A) adding the following paragraph to Article 11 of the Proposal: “the rights referred to in the first subparagraph shall also apply in respect of extracts of a press publication provided that the extracts are the expression of the intellectual creation of their authors”; Council of the European Union, Presidency compromise proposal regarding Articles 1, 2 and 10 to 16, 2016/0280 (COD), Bruxelles, 30 August 2017. This addition that would have restricted the scope of the exclusive rights has not been accepted. (21) Article 10(1): “It shall be permissible to make quotations from a work which has already been lawfully made available to the public, provided that their making is compatible with fair practice, and their extent does not exceed that justified by the purpose, including quotations from newspaper articles and periodicals in the form of press summaries”.
quotation right version of the InfoSoc is still a flexible provision although more limited. (22) National implementations of InfoSoc exceptions instead resulted often in restrictive transpositions. As a matter of fact, though, in many cases snippets might not be exempted under national copyright exceptions. Indeed, snippets serve a distinct function (vis-à-vis a traditional quotation) since they work as systematic “previews” in the context of news aggregating services offered to the public. It is not merely an informative use for reporting of current events (as it may happen in a newspaper article or in blog or social media posts), nor a selected press summary offered to a particular limited circle of clients. (23) Rather, they represent an online service that automatically provides news summary from around the globe to the general public. Now, as hinted, this use can well compete with the normal exploitation of the press works by subtracting revenues of the original article (as recalled above, according to the European Commission, 47% of users do not click on the link placed next to the snippets to access the original article). (24) In sum, there is a conundrum: on the one hand, the fragmented implementation of the InfoSoc exceptions contributes in fact to extend the scope of the copyright protection and to the potential negative effects that the introduction of a new ancillary right may have (i.e., reduction of news circulation). On the other hand, it is undoubted that snippets and similar fragments have economic value and it is not improper to assume that in certain cases their use may deserve compensation. (22) InfoSoc Directive, Article 5.3: “(c) reproduction by the press, communication to the public or making available of published articles on current economic, political or religious topics or of broadcast works or other subject-matter of the same character, in cases where such use is not expressly reserved, and as long as the source, including the author’s name, is indicated, or use of works or other subject-matter in connection with the reporting of current events, to the extent justified by the informatory purpose and as long as the source, including the author’s name, is indicated, unless this turns out to be impossible; (d) quotations for purposes such as criticism or review, provided that they relate to a work or other subject-matter which has already been lawfully made available to the public, that, unless this turns out to be impossible, the source, including the author’s name, is indicated, and that their use is in accordance with fair practice, and to the extent required by the specific purpose”. (23) See in this sense a recent decision of the Court of Rome, 18 January 2017, in marchiebrevettiweb.it, that held that press summaries are exempted under the quotation right of the Italian Copyright Act (Article 65) -- in contrast however with prior case-law. (24) It is also true that online intermediaries bring traffic to newspaper websites. The actual situation is unclear and is lacking true economic evidence. See study for the JURI committee, Strengthening the Position of Press Publishers and Authors and Performers in the Copyright Directive, (September 2017) available at: <http://www.europarl.europa.eu/RegData/etudes/ STUD/2017/596810/IPOL_STU%282017%29596810_EN.pdf>.
DIRITTO DI INTERNET N. 3/2019
447
SAGGI In light of this situation, what is the real scope of the new so called ancillary right (in truth, straight shortterm copyright)? Recital 57 specifies that the new rights “should also not extend to mere facts reported in press publications”, and Recital 58 states that “use of individual words or very short extracts of press publications by information society service providers may not undermine the investments made by publishers of press publications in the production of content”. On the other hand, it then specifies that the new rights relate to “use of entire publications or articles but also of parts of press publications. Such uses of parts of press publications have also gained economic relevance”. Hence, is the use of any even minimal “part” of press publications (i.e., also snippets, regardless originality of such parts (25)) affected by the new rights? The answer is probably ‘yes’. Indeed, the final version of Recital 58 adds that “it is important that the exclusion of very short extracts be interpreted in such a way as not to affect the effectiveness of the rights provided for in this Directive”. This suggests that the interpretation of these rules will be restrictive, and snippets (even very short ones) will fall under the scope of the new exclusive rights. This solution, then, adheres to the traditional “close”/ exclusionary copyright paradigm. Now let us ask: was this indispensable for the purpose of providing a remuneration vis-à-vis third parties’ lucrative uses? The answer is ‘no’. That legitimate purpose does not necessarily imply the adoption of a straight ‘proprietary/exclusionary’ approach (just grazed by the research/teaching exception), to facts-assembling (are we in fact introducing copyright on information and facts?). Which (contrast with Feist’s liberal inspiration aside) (26) represents an objective factor of slowdown of the circulation of culture and information (27). Now, if the real goal is to achieve remuneration for the use of snippets, once again, would not it have been wiser adopting an ‘open paying access’ scheme in dealing with (derivative) commercial journalistic uses of copyrighted materials? For example, by
(25) See note 21. (26) Feist Publications, Inc. v. Rural Telephone Service Company, Inc., 111 Sup. Ct. 1282 (1991) [499 U.S. 340 (1991)]. See Geller, Copyright in Factual Compilations: U.S. Supreme Court Decides the Feist Case, in IIC, 1991, 802. (27) If instead the actual need was giving publishers representation powers over press publications, in a balancing attempt, the proposal of the European Parliament Committee on Legal Affair (rapporteur Therese Comodini) (Draft Report of 10 March 2017, 2016/0280(COD) then echoed by the Council’s compromise (Council of the European Union, Presidency compromise proposal regarding Articles 1, 2 and 10 to 16, cit.). should have been preferred: introducing a presumption of representation of authors and title to enforce copyright on press publications. This solution would have granted press publisher the title to negotiate with online intermediaries – the need stressed by the European Commission.
448
DIRITTO DI INTERNET N. 3/2019
considering news fragments as informative products and providing to press publishers a right of being fairly compensated for their online commercial use by online intermediaries, e.g., by sharing part of the actual direct or indirect incomes generated by the derivative uses, if any. (28) We suggested this compensation right should last a limited time (e.g., 3 months), since it relates to press news subject to obsolescence and informative uses. The 2-year term set out by the DSM Copyright Directive is a shorten version from the 10 years protection advanced by the Proposal, but it still proves to be a too long period for such a right. Thus, the future Italian lawmaker might well introduce a right to fair compensation in lieu of an exclusive right. Otherwise, it will be also necessary to avoid these rights to be abused, resulting in blocking online services, as the Italian Competition Authority caselaw has already shown (29). Evaluating in case a compulsory license at fair conditions, in order to facilitate the born of a licensing market like that of press reviews (e.g., Promopress). Additionally, the new right should be limited to snippets that exceed a minimal threshold – e.g., 10 words (excluding the terms searched) (30) – not only individual words or very short extracts. This in order to preserve the functioning of many online services that fulfil purely functional informative purposes. (31)
(28) As happened in the German ancillary right case, where snippets’ tariff was derived from turn-over (the license fee was set to 11% or 6%). License fees for small startups have been thus reasonable. See Strengthening the Position of Press Publishers and Authors and Performers in the Copyright Directive, cit., 32. (29) See the case L’Adige, AGCM, A503, Bullettin no. 51 of 8 January 2018, Società Iniziative Editorial v. Servizi di Rassegna Stampa nella Provincia di Trento. Cfr. Banterle, Rassegne stampa digitali e diritto d’autore a condizioni FRAND, in Concorrenza e Mercato 2018, forthcoming 2019. L’Adige is a local periodical in the autonomous province of Trento, published by S.I.E. S.p.A. - Società Iniziative Editoriali. The case relates the refusal to grant a licence to Infojuice S.r.l. GmbH (formerly Euregio S.r.l. GmbH) for its press reviews. The Authority found an abuse of a dominant position that prevented the development of a downstream service of offering press reviews and therefore invited the publisher to offer a copyright license under FRAND conditions. Faced with the inertia of the publisher, the Authority then determined them. (30) A bit more than the 7 words considered fair by the German Trademark and Patent Office, DPMA - 24 September 2015 (summary available at: <https://www.dpma.de/service/dasdpmainformiert/hinweise/tarifpresseverleger/index.html>, in relation to the German ancillary right on press news. (31) In this direction see Senftleben - Angelopoulos - Frosio - Moscon - Peguera - Rognstad, The Recommendation on Measures to Safeguard Fundamental Rights and the Open Internet in the Framework of the EU Copyright Reform, cit. Of course, the envisaged approach leaves unprejudiced the possible full copyrightable nature of creative 10-word snippets - see Infopaq case, cit. See also Hilty-Bauerin, Use of Protected Content on Online Platforms (Article 13 COM(2016) 593 final), in Hilty and Moscon (eds.), Modernisation of the EU Copyright Rules, Position Statement of the Max Planck Institute for Innovation and Competition, cit.; Frosio, To Filter
SAGGI 5. Mandatory cooperation between ISPs and copyright holders on UGCs
The DSM Copyright Directive (Article 17) tries to regulate User Generated Content (“UGC”) platforms. The initial version of this provision set out in the Proposal mandated Internet Service Providers (“ISPs”) to “take measures to ensure the functioning of agreements concluded with rightholders for the use of their works or other subject-matter or to prevent the availability on their services of works or other subject-matter identified by rightholders through the cooperation with the service providers” (the so called ‘value gap’ provision). (32) This provision has been vivaciously criticized for imposing to ISPs the adoption by default of filtering mechanism, thus raising a risk of censorship. The revised version has apparently been amended to avoid such risk. Yet, as we will see, the substantive core of the provision has not significantly changed. The final version of Article 17 sets out that an “online content-sharing service provider” performs an act of communication to the public when it gives the public access to copyright-protected works uploaded by its users. As a consequence, it needs to get an authorization from the copyright holder. The new language of Recital 61 adds that the value gap provisions are justified by the fact that there is legal uncertainty “as to whether the providers of such services engage in copyright-relevant acts, and need to obtain authorisation from rightholders for content uploaded by their users who do not hold the relevant rights in the uploaded content”. UGC platforms (online content-sharing service providers) in fact would not be liable for direct copyright infringement, as they merely contribute to the infringement done by their users. The fact that secondary liability is not harmonized at EU level creates some legal uncertainty as regards the liability of such providers (jointly with the debated applicability of the Ecommerce Directive safe harbour provisions). Thus, the new provision of the DSM Copyright Directive specifies that, on the contrary, these providers are or Not to Filter? That Is the Question in EU Copyright Reform, in Cardozo Arts & Entertainment Law Journal, 2017, 35, 2, available at: <https:// ssrn.com/abstract=3058680>; Id., Reforming Intermediary Liability in the Platform Economy: A European Digital Single Market Strategy, in Northwestern University Law Review, 2017, 112, 19; Angelopoulos, On Online Platforms and the Commission’s New Proposal for a Directive on Copyright in the Digital Single Market, (January 2017) available at: <https://ssrn.com/ abstract=2947800>; Stalla - Bourdillon - Rosati - Turk - Angelopoulos - Kuczerawy - Peguera - Husovecf, An academic perspective on the copyright reform, cit.; Rosati, Why a Reform of Hosting Providers’ Safe Harbour is Unnecessary Under EU Copyright Law, CREATe Working Paper 2016/11, available at SSRN: <https://ssrn.com/abstract=2830440>. (32) As it aims to compensate and re-balance the gaps currently existing in the economic compensation received by copyright holders for the use of their works on online platforms.
liable for direct copyright infringement. This solution is in line with the recent tendency of the CJEU that in fact extended the notion of act of communication to the public also to facilitating the access to a work uploaded by a third party, where the provider is acting knowingly (33). Instead, under the classic notion of copyright infringement the psychologic/subjective status of the infringer should play no role. And indeed, to set this framework, the CJEU case law has drafted a complex test to determine direct liability. The DSM Directive is following a similar approach. We do not think this is the right solution. It would have been wiser regulating for the first time secondary liability at EU level in order to create a more harmonized and coherent framework. Instead, after stating that giving the public access to copyright-protected works uploaded by users on a platform configures an act of communication to the public, Article 17(3) rules out the application of the Ecommerce Directive (2000/31/EC) safe harbour (for hosting providers) to “online content sharing service providers”. Indeed, it sets out a brand new regime for copyright liability: i. When an online service provider performs an act of communication to the public under the new conditions laid down in the Directive, the limitation of liability established in Article 14(1) of Ecommerce Directive shall not apply. ii. If online content-sharing service providers did not get an authorization from the right holder, they shall be liable for unauthorised acts of communication to the public, unless they have: (a) made best efforts to obtain an authorisation, and (b) made, in accordance with high industry standards of professional diligence, best efforts to ensure the unavailability of specific works and other subject matter for which the rightholders have provided the service providers with the relevant and necessary information; and, in any event, (c) acted expeditiously, upon receiving a sufficiently substantiated notice from the rightholders, to disable access to, or to remove from, their websites the notified works or other subject matter, and made best efforts to prevent their future uploads in accordance with point (b) (art. 17(4)). The main concern here relates the fact that point (b) above is in fact reintroducing the filtering obligation that was declared banned after the initial version of the Proposal, as the language “best efforts to ensure the unavailability of specific works” appears to many a synonymous of “filtering user contents” (as it is still very similar to the previous “prevent the availability on their services
(33) Court of Justice of the European Union, 14 June 2017, C-610/15, The Pirate Bay.
DIRITTO DI INTERNET N. 3/2019
449
SAGGI of works” of the Proposal). And this is confirmed by the end period of point (c) which in fact implements a general stay-down obligation for all removed contents. In this regard, Article 17(5) introduces a proportionality principle to calibrate best effort commitments. It sets out that evaluation of such commitments shall consider (a) the type, the audience and the size of the service and the type of works or other subject matter uploaded by the users of the service; and (b) the availability of suitable and effective means and their cost for service providers. This should in principle exempt startups from implementing costly filtering or similar technologies (34), whereas it requires big platforms to demonstrate they have taken all necessary steps. This is confirmed also by Art. 17(6) stating that new service providers (i.e. whose services have been available for less than 3 years in the EU), with an annual turnover below EUR 10 million, shall comply only with point (a) of Art. 17(4) (i.e., best efforts to get an authorisation), and to act expeditiously, upon receiving a sufficiently substantiated notice, to disable access to or remove the notified works. However, an exception to the exception is provided: if the average number of monthly visitors exceeds 5 million, they shall also demonstrate that they have made best efforts to prevent further uploads of the notified works and other subject matter for which the rightholders have provided relevant and necessary information (as provided in point (c) of Article 17(4)). Despite the declared intention of Article 17(8) (“the application of this Article shall not lead to any general monitoring obligation”) the DSM Copyright Directive raises some concerns as it seems – again – dictated exclusively by the attempt to expand the copyright’s scope. In fact, a general obligation to do “best efforts to ensure the unavailability of specific works and other subject matter” should be carefully intended as an exception to the net neutrality principle (that should not even be imposed on “active” hosting providers, but only to content providers). The final version has abandoned the reference to “the use of effective content recognition technologies”, thus the interpretation of such best efforts shall not be intended to necessarily mean filtering mechanisms. However, it is likely that said “best efforts” will be defined in such terms. For this reason, apparently, the Polish government has already filed a complaint against Art. 17, in particular due to the risk “preventive
(34) As noted by Senftleben - Angelopoulos - Frosio - Moscon - Peguera - Rognstad, The Recommendation on Measures to Safeguard Fundamental Rights and the Open Internet in the Framework of the EU Copyright Reform, cit. Filtering technologies can be really expensive and thus not affordable for new European startups or many SMEs.
450
DIRITTO DI INTERNET N. 3/2019
censorship” (35). In this regard, it is important to keep a balanced interpretation, as suggested by Recital 66, that concludes that: “[d]ifferent means to avoid the availability of unauthorised copyright-protected content could be appropriate and proportionate depending on the type of content, and, therefore, it cannot be excluded that in some cases availability of unauthorised content can only be avoided upon notification of rightholders”. This would confirm that in certain cases the duty to monitor infringements remains on rightholders. Who are “online content-sharing service providers”? Recital 62 explains that “[t]he definition of an online content-sharing service provider laid down in this Directive should target only online services that play an important role on the online content market by competing with other online content services, such as online audio and video streaming services, for the same audiences”. Recital 62 continues stating that: “the services covered by this Directive are services, the main or one of the main purposes of which is to store and enable users to upload and share a large amount of copyright-protected content with the purpose of obtaining profit therefrom, either directly or indirectly, by organising it and promoting it in order to attract a larger audience, including by categorising it and using targeted promotion within it”. This determination should be done on a case-bycase basis and should take account of a combination of elements, such as the audience of the service and the number of files of copyright-protected content uploaded by the users of the service (Recital 63). The notion of online content-sharing service provider is similar to that of “active hoster” drafted by the CJEU case-law on Article 14 of the Ecommerce Directive (i.e, organising, promoting, and categorizing contents), adding relevance to a quantitative element, i.e., the large number of works hosted. Mere hosting services such as cloud services are left out from this provision. Due to many complaints against the Proposal, Recital 62 adds that “[p]roviders of services such as open source software development and sharing platforms, not-for-profit scientific or educational repositories as well as not-for profit online encyclopedias should also be excluded from the definition of online content-sharing service provider”. It is apparent that the intent of this provision is to solve by an ad hoc legal intervention a market situation where platforms (reluctantly) created by rightholders have not been able to compete with (American) UGC platforms. This however does not support the harmonic development of the copyright system. Indeed, Recital 64 (35) Tomasz Targosz, ‘Poland’s Challenge to the DSM Directive – and the Battle Rages On…’, Kluwer Copyright Blog, June 10 2019, <http:// copyrightblog.kluweriplaw.com/2019/06/10/polands-challenge-to-thedsm-directive-and-the-battle-rages-on/>.
SAGGI explains that the notion of right of communication to the public shall be intended as amended only for this specific case, while “[t]his does not affect the concept of communication to the public or of making available to the public elsewhere under Union law, nor does it affect the possible application of Article 3(1) and (2) of Directive 2001/29/EC to other service providers using copyright-protected content”. Similarly, the Ecommerce Directive safe harbour regimes will not apply to copyright infringement only. Again, would had not been wiser to reform and harmonize entirely the EU secondary liability system? In addition, Article 17 promotes, again, a close copyright system. While Recital 64 acknowledges the important role of UGC platforms, as they “are a means of providing wider access to cultural and creative works and offer great opportunities for cultural and creative industries to develop new business models […] enable diversity and ease of access to content”, it then states that “rightholders should not be obliged to give an authorisation or to conclude licensing agreements”. Recital 61 criticizes the fact that contents uploaded by users represent the main sources of access to content online. While this is not supported by particular evidence, (36) as regards the imposition of agreements concluded with rightholders the DSM Copyright Directive is justified as it compensates copyright holders by placing on ISPs the burden of the unauthorized use of protected works on UGC platforms (which ISPs monetize), possibly by sharing part of advertising revenues. Again, if the goal is the development a licensing market, fair and with a reasonable balance between both parties, in order to grant rightholders receiving appropriate remuneration for the use of their works (Recital 64), would not had been better introducing a right of compensation instead of an exclusionary one? In this negative scenario, the final version of Article 17 has been amended introducing some positive provisions. Additional obligations for online content-sharing service providers include transparency duties towards copyright holders (providing adequate information on the functioning of their practices) and the duty to put in place an effective and expeditious compliant and redress mechanism available to users in the event of disputes over disabling access to works uploaded by them (art. 17(8)). In this last regard, as many scholars suggested, the DSM Copyright Directive innovates the Proposal by introducing a general obligation to respect copyright exception and limitations applicable to contents uploaded by users (Art. 17(7)). And by stating that when right (36) On the other hand, it would confirm the failure of online distribution mechanisms that have not allowed a proper offer of online legal contents --that should be instead stimulated.
holders request to have specific works removed, they have to duly justify the reasons for their request. Moreover, Article 17 adds that decisions to disable access or remove contents shall be subject to human review. This provision was introduced due to wide concerns about the ability of automatic filtering mechanisms to recognise online fair uses. Sadly, this is not enough. The DSM Copyright Directive is further unbalanced in that it extends the scope of copyright protection against Ecommerce Directive safe harbours without attempting to expand and adapt the existing framework of copyright exceptions to the online environment. And this despite the fragmented and restrictive implementation of InfoSoc’s exception list. This is particularly the case of those exceptions that could better fit online uses, i.e., quotation right (InfoSoc, Article 5,3(d)), parody (Article 5,3(k)) and incidental inclusion of works in other materials (Article 5,3(i)); in most cases restrictively transposed into national laws (if not implemented at all). In other words, the formalized obligation to monitor UGC platforms is not balanced by any legal tools to safeguard new fair uses deserving freedom: and all proposals to introduce a general UGC exception have been watered down. Thus, it should have been advisable, at least, to request Member States to fully transpose all InfoSoc exceptions without reducing their scope. With no need to recall what already observed about the three-step test and the need of adapting it as a balancing criterion rather than a further restrictive mechanism. In sum, the final version of the DSM Copyright Directive has improved the initial text of the Proposal, but the result is still unsatisfactory. We agree on the need of imposing on ISPs cooperation and transparency obligations, that may lead to the mandatory fair sharing with copyright holders of incomes obtained by same ISPs. But we object to a general mandatory introduction --by default-- of filtering technologies. All measures, as well as agreements between copyright holders and ISPs, should in any case take into consideration exceptions and limitations set out by InfoSoc Directive, whose full implementation we hoped to become mandatory. Finally, the introduction of a novel non-commercial UGC exception should be considered by the Italian legislator when implementing the DSM Copyright Directive.
6. Use of out-of-commerce works by cultural heritage institutions
The DSM Copyright Directive provides for non-exclusive licences stipulated by collective management organizations with cultural heritage institutions for the digitization, distribution, communication, and making available to the public of out-of-commerce works whose copyright belongs also to right holders not represented
DIRITTO DI INTERNET N. 3/2019
451
SAGGI by the collective management organization – and this with cross-border effect (Articles 8–9). The mechanism that empowers cultural institutions to (store and also) publish works ‘out-of-commerce’ is quite precarious, as the right holders ‘may at any time object to their works ... be[ing] deemed to be out of commerce and exclude the application of the licence to their works’ (Article 8.4). And this, without any obligation to resume the publication of the ‘forgotten’ works. As matter of fact, in its weakness, the new regime apparently amounts to a tentative compromise solution with the principle, recently re-stated by the CJEU in interpreting InfoSoc, whereby collecting societies cannot by their own initiative (i.e., substituting themselves to authors) authorize cultural institutions to digitize, store, communicate, and make available to the public out-ofcommerce works. (37)
defend the legitimate rights of authors to obtain their slice of the pie from these other commercial revenues, stemming from the exploitation, direct or indirect, of their works, and also – especially – vis-à-vis ‘free’ online distribution models. (38)
7. Fair remuneration in contracts of authors and performers An innovation that deserves full approval is the modified regime of contractual relations between authors and publishers that allows the former to request not only an improvement of the level of royalties previously agreed upon, but also (read Articles 19,1 and 19,2 in functional connection with Article 20) a fair share of the revenues from the ‘other’ sources of income, i.e. advertising, commercial offers, public representations, etc. In case of disagreement, the dispute between author and publisher might be entrusted to alternative dispute resolution (ADR) (Article 21). Realistically, though, the chances of achieving such revisions will depend on general agreements stipulated by collecting societies and publishers’ associations – ultimately, by said societies and the major ‘platforms’. However, this provision is of high systemic relevance, as it allows alterations of the contractually agreed balance of the parties’ interests beyond the classical boundary of exceptional/unforeseeable new supervening circumstances of dramatic economic impact. And, above all, it fills a manifest lacuna of the InfoSoc Directive, which, as hinted above, missed the chance of providing regulatory support to new ‘business models’ for the dissemination of works associated with the advent of the Internet and digital technology. Models that are often characterized by there being no payment obligations for the user for the enjoyment of single works disseminated online, and where the commercial revenues stem, wholly or in part, from advertising and the sale of various services and other similar sources. Hence, InfoSoc failed also to
(37) Court of Justice of the European Union, 16 November 2016, C-301/15, Soulier and Doke.
452
DIRITTO DI INTERNET N. 3/2019
(38) On the many ambiguities of ‘free’ offers, see Gal-Rubinfeld, The Hidden Costs of Free Goods: Implications for Antitrust Enforcement, New York University Law and Economics Working Papers, 2015, Paper 403.
SAGGI
Cybersecurity ed il contrasto ai cyber-attacks a livello europeo: dalla CIA-Triad Protection ai più recenti sviluppi di Roberto Flor Sommario: 1. Il concetto di cyber-attack. – 2. Il concetto di cybersecurity. – 3. L’approccio c.d. pragmatico a livello europeo (tentando una ricostruzione sistematica). – 3.1. Il riferimento alla “(cyber)security” nell’attuale contesto europeo. 3.2. La Risoluzione del Parlamento europeo su una politica industriale europea globale in materia di robotica e intelligenza artificiale (cenni). – 3.3. Il Cybersecurity Act.– 4. L’EU Law Enforcement Emergency Response Protocol (cenni). – 5. Public-private cooperation nella cybersecurity governance, CIA-Triad e profili di responsabilità per i fornitori di servizi anche nella prospettiva del Cybersecurity Act. L’utilizzo e la progressiva evoluzione delle Information and Communication Technologies in ogni settore o attività della vita umana comportano che un qualsiasi cyber security incident possa potenzialmente coinvolgere o interessare enti o organizzazioni di più Stati membri se non, persino, dell’intera Unione. L’EU Law Enforcement Emergency Response Protocol e, più di recente, il Cybersecurity Act, si inseriscono in un contesto di cybersecurity governance in cui la CIA-Triad costituisce, al tempo stesso, il nucleo essenziale degli interessi meritevoli di protezione e un criterio guida per il contrasto e la prevenzione dei cyber-attacks. The use and the progressive development of the Information and Communication Technologies in every sector or activity of the human life entail that any cyber security incident may potentially involves entities or organizations of more Member States or of the entire European Union. The EU Law Enforcement Emergency Response Protocol and, most recently, the Cybersecurity Act, join a context of cybersecurity governance, in which the CIA-Triad is, at the same time, the core area of the interests deserving protection and a guideline in the fight and for the prevention of cyber-attacks.
1. Il concetto di cyber-attack
Gli attacchi informatici di vaste proporzioni che nel 2017 hanno reso noti al grande pubblico i ransomware WannaCry (1) e NotPetya (2) hanno messo in evidenza alcuni rilevanti difetti della collaborazione fra settore pubblico e settore privato nella gestione della cybersecurity a livello europeo. L’utilizzo e la progressiva evoluzione delle Information and Communication Technologies, la loro dimensione globale e la dipendenza da esse di ogni settore o attività della vita umana comportano inevitabilmente che un qualsiasi cybersecurity incident possa potenzialmente coinvolgere o interessare enti o organizzazioni di più Stati membri se non, persino, dell’intera Unione. Tale motivo basterebbe di per sé per ritenere che una risposta efficace alle diverse crisi dovute a cybersecurity incidents o, più in specifico, a cyber-attacks diretti a produrre tali “incidenti”, debba essere cercata in un EU Cyber Crisis Management-Governance, ovvero una cooperazione rapida ed operativa tra i molteplici portatori di interessi, (1) Cfr. Garon, Cyber-World War III: Origins, in Journal of Law & Cyber Warfare, 7, 1, 2018, 1 ss., in specie 14 ss. (2) Si veda Yaqoub - Fayi, What Petya/NotPetya Ransomware is and what its remidiations are, in Latifi (Ed.), Information Technology - New Generations. 15th International Conference on Information Technology, Cham, 2018, 93 ss.
in particolare fra quelli pubblici, nonché fra questi ultimi e quelli privati. Il riferimento ai c.d. cyber-attacks rimane, nelle fonti europee (3), assai generico. In difetto di una sua precisa definizione legale è possibile avanzare alcune distinzioni concettuali, per ora sul piano fenomenico, che possono risultare utili per delineare i contorni della nozione di cybersecurity. È anzitutto necessario distinguere i cyber-attacks in base all’oggetto dell’attacco, ossia il sistema in senso lato e/o le sue infrastrutture fisiche o logiche, ovvero i dati e le informazioni ivi archiviati o trattati tramite di esso. Negli “attacchi passivi” l’attività malevola è diretta ad acquisire, alterare o danneggiare dati o informazioni, o a utilizzare abusivamente dati e informazioni provenienti (3) Si vedano, ad esempio, la Direttiva 2013/40/Ue del 12 agosto 2013 relativa agli attacchi contro i sistemi di informazione (che sostituisce la Decisione quadro 2005/222/GAI) e la Direttiva 2016/1148/Ue del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, a cui si aggiunge il Regolamento di esecuzione 2018/151/Ue della Commissione, del 30 gennaio 2018, recante modalità di applicazione della Direttiva 2016/1148/Ue per quanto riguarda l’ulteriore specificazione degli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi e dei parametri per determinare l’eventuale impatto rilevante di un incidente. Con riferimento al Cybersecurity Act vedi infra, par. 3.
DIRITTO DI INTERNET N. 3/2019
453
SAGGI da tali sistemi senza incidere in sé sulle risorse di questi ultimi. Negli “active attacks”, invece, l’attacco è diretto ad alterare o a danneggiare il sistema e/o le sue risorse e/o le sue infrastrutture, compresi anche i devices collegati, ovvero la loro operabilità od affidabilità. Una ulteriore distinzione può essere proposta in relazione alla vulnerabilità o alla “sensibilità” del sistema, dei dati o delle informazioni, tenendo in considerazione la loro natura pubblica o privata. In tal caso le stesse modalità di realizzazione dell’attacco possono comportare gradi di offensività minore o maggiore in base proprio alla natura delle risorse, che potrebbero riguardare, ad esempio, un operatore di servizi essenziali – pubblico o privato, nel settore dell’energia, del traffico aereo o dei mercati finanziari – o un fornitore di servizi digitali di primaria importanza nel sistema euro-unitario, quali quelli legati all’e-commerce, ai search engines o al cloud computing (4). Da essi si distinguono i cyber-attacks che mirano non a cagionare seri pregiudizi a sistemi, dati o informazioni, bensì ad assumere un valore simbolico, per ciò che il sistema o i suoi contenuti “rappresentano”, ovvero per ciò che rappresenta l’ente o l’organizzazione che ne è titolare o, ancora, per sostenere una “causa” o per dimostrare le capacità e le potenzialità dell’attaccante (5). Con riferimento alle “modalità” di realizzazione di un cyber-attack in rapporto al fattore umano si distinguono anzitutto almeno tre tipologie di attacchi: fisico, sintattico e semantico. Il primo riguarda attività malevole dirette alle infrastrutture fisiche, ossia computer, server, dispositivi informatici – in generale hardwares – cavi, satelliti o altre infrastrutture indispensabili per mantenere attivi o funzionanti sistemi, networks o linee di comunicazione. L’attacco c.d. sintattico coinvolge, invece, applicativi o altre soluzioni software-logiche che forniscono le istruzioni per il corretto funzionamento dei sistemi e delle reti. Infine, l’attacco c.d. semantico (o “cognitivo”) incide anche sulle interazioni – e sulle interpretazioni delle informazioni delle dimensioni interazionali – uomo-macchina (sistemi, networks, softwares e dati da essi generati) (6). (4) Cfr. art. 4 e all. II e III della Direttiva 2016/1148/Ue (c.d. direttiva NIS), che definisce gli operatori di servizi essenziali e i fornitori di servizi digitali. (5) Per uno studio relativo alla scienza della profilazione nel mondo dell’hacking e, inevitabilmente, delle metodologie di attacco, si veda Chiesa - Ciappi, Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, Boca Raton, 2008. Con specifico riferimento al cyber-hacktivism, fra la ormai sterminata letteratura basti il rinvio, in questa sede, a Ragan, Hacktivism: An Inside Look at the Motives and Methods of Cyber Activists, Rockland, 2012. (6) Cfr. National Research Council (Ed.), Proceedeings of a workshop on deterring cyberattacks, Washington DC, 2010; Libicki, Cyberdetterence and Cyberwar, Santa Monica-Pittsburgh, 2009. Cfr. altresì Osservatorio
454
DIRITTO DI INTERNET N. 3/2019
In secondo luogo, si possono distinguere i cyber-attacks attuati con “violenza” – o in modo “subdolo” – attraverso captazione abusiva di dati o informazioni personali o accessi abusivi, ovvero alterando, modificando o cancellando in tutto o in parte dati, informazioni o softwares, o impedendo o turbando il funzionamento di un sistema informatico (7), da quelli in cui vi è una cooperazione artificiosa della vittima – soggetto attaccato, o uno schema fraudolento (8). In ultima analisi, prendendo come riferimento gli interessi meritevoli di tutela, i cyber-attacks compromettono o certamente pongono in pericolo la c.d. CIA-Triad – la triade Confidentiality, Integrity e Availability – che costituisce, al tempo stesso, il fulcro, la core area della information security o cybersecurity e il modello guida della sua governance (9). CIA-Triad che potrebbe subire pregiudizi sia dalla distruzione, dalla cancellazione, dal deterioramento, ovvero dall’alterazione del funzionamento di sistemi informatici o telematici, dati, informazioni o programmi, sia dalla “invasione” abusiva o illecita in spazi informatici riservati, a prescindere dalla quantità o dalla qualità/natura dei dati e delle informazioni ivi archiviati o trattati attraverso gli strumenti tecnologici e a prescindere da eventuali “danni” cagionati a sistemi, dati, informazioni o programmi. Sul piano penalistico, con specifico riferimento alle fonti europee, la Direttiva 2013/40/Ue ha fra i suoi obiettivi primari quelli di ravvicinare le discipline incriminatrici degli Stati membri nel settore degli attacchi contro i sistemi di informazione, stabilendo norme minime relative alla definizione dei reati e delle sanzioni, e migliorare la cooperazione fra le autorità competenti, compresi la polizia e gli altri servizi specializzati degli Stati membri incaricati dell’applicazione della legge, nonché le competenti agenzie e gli organismi specializzati dell’Unione, come Eurojust, Europol e il suo Centro europeo per la criminalità informatica, e l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA). La protezione della CIA Triad è affidata ad un nucleo essenziale di fattispecie incriminatrici volte a sanzionare l’accesso illecito a sistemi di informazione (art. 3), l’interferenza illecita relativamente ai sistemi (art. 4), l’interferenza illecita relativamente ai dati (art. 5) e l’in-
per la Sicurezza Nazionale (cur.), Cyberworld. Capire, proteggersi e prevenire gli attacchi in Rete, Milano, 2013.
(7) Si pensi, ad esempio, all’uso di Trojan horse, di tecniche di man in the middle, ovvero ad attacchi DOS. (8) Si pensi, per ipotesi, ai c.d. phishing attacks o, in genere, alle ID frauds. (9) Cfr. Whitman - Mattord, Principles of Information Security, VI ed., Boston, 2017, in particolare 10 ss.
SAGGI tercettazione illecita (art. 6). In particolare, le incriminazioni di cui agli artt. 3 e 6 sono dirette alla protezione della confidenzialità di dati e sistemi, mentre quelle di cui agli artt. 4 e 5 tutelano l’integrità e la disponibilità di dati e sistemi (10). All’interesse all’esclusività dell’accesso ad uno o più spazi informatici che costituiscono, nell’odierna società, un’espansione ideale ed una evoluzione naturale dell’area afferente alla sfera personale dell’individuo (“riservatezza informatica”), si affianca l’interesse all’affidabilità e alla fiducia della collettività nella sicurezza dello svolgimento dei rapporti giuridici on-line e off-line, che si instaurano attraverso l’uso di strumenti tecnologici, nonché alla integrità e disponibilità dei sistemi, dei dati e delle informazioni (“sicurezza informatica”). A prescindere dalle funzioni che si vogliono attribuire alla tutela, anche penale, della sicurezza informatica – positiva e negativa (11) – comunque orientate alla generale correttezza dello svolgimento dei rapporti giuridici, essa deve trovare un bilanciamento con l’esigenza di garantire la libertà di circolazione dei dati e delle informazioni, nonché la loro libera accessibilità e fruibilità. Tale bilanciamento risulta essere più complesso per la crescente vulnerabilità dei sistemi informatici, dei dati e delle informazioni, dovuta a forme di aggressione sia “tradizionali” che “tecnologiche” che si evolvono con lo stesso sviluppo tecnologico. In questi termini la necessità di tutela della sicurezza informatica (12), dunque, corrisponde ad una esigenza non costruita artificialmente, bensì espressiva dell’opportunità «di assicurare una condizione condivisa nella società dell’informazione» (13). Evidente appare la connessione funzionale fra “riservatezza” (o “confidenzialità”) e “sicurezza” – da intendersi altresì come integrità e disponibilità di sistemi informatici e dati – essendo la prima pregiudicata anche da aggressioni che possono danneggiare, disperdere od alterare i dati e le informazioni, o le relative misure di protezione, oltre che da mirati accessi abusivi che possono consentire a soggetti non legittimati di introdursi, (10) La direttiva si inserisce armonicamente in un quadro di contrasto alla cyber-criminalità delineato a livello internazionale dalla Convenzione Cybercrime del Consiglio d’Europa del 2001 (Convenzione di Budapest sulla criminalità informatica). La CIA Triad trova protezione nel titolo I del Trattato («Offese contro la confidenzialità, l’integrità e la disponibilità di dati e sistemi informatici»), in cui si impone agli Stati di prevedere come reati l’accesso illegale (art. 2), l’intercettazione illegale (art. 3), l’interferenza [illecita] relativa ai dati (art. 4) e l’interferenza [illecita] relativa ai sistemi (art. 5). Cfr. volendo Flor, Cyber-criminality: le fonti internazionali ed europee, in Aa.Vv., Cybercrime - Diritto e procedura penale dell’informatica, Torino, 2019, 98 e ss. (11) Cfr. Picotti, Sicurezza informatica e diritto penale, in Donini (cur.), Sicurezza e diritto penale, Bologna, 2011, 217 ss. (12) Vedi infra, nota 15. (13) Picotti, Sicurezza, cit., 231-232.
interferire, operare nell’area o nello “spazio” di pertinenza di altri, pur senza venire a conoscenza effettiva di specifici contenuti informativi riservati o segreti, la cui violazione va eventualmente distinta da quella della cybersecurity. Questo ultimo termine è divenuto maggiormente popolare soprattutto in tempi recenti. Ferma restando l’individuazione del suo nucleo essenziale che si vuole tutelare – la CIA-Triad – il suo significato viene variamente ricondotto a information security, a computer and network security, ovvero a infrastructure protection o, ancora, a cybersafety (14). Nell’era dell’interconnessione e della comunicazione globale, nonché dell’accessibilità e della fruibilità delle risorse attraverso la rete e qualsiasi strumento di comunicazione mobile, l’esigenza di una sua compiuta definizione nasce dalle trasformazioni che i sistemi informatici in generale hanno subito e subiscono nel mutato contesto tecnologico, passando da una dimensione privata o singola ad una dimensione anche “pubblica” o “collettiva” (15).
2. Il concetto di cybersecurity
Cybersecurity costituisce il risultato della combinazione di due «fuzzy concepts», che possono essere interpretati in modo diverso (16). In estrema sintesi, un approccio teorico è di ordine grammaticale e basato sulla combinazione dei termini “cyber” e “security”. Mentre il primo trae origine dal concetto di “cyberspace” (17), “security” sembra esprimere
(14) Il dibattito sul suo significato, a livello teorico, nasce negli Stati Uniti negli anni ’70 in risposta alle innovazioni tecnologiche ed ai cambiamenti delle condizioni geo-politiche, per poi svilupparsi, in particolare, dopo la Guerra Fredda. Cfr. Dunn Cavelty, The Militarisation Of Cyber Security As A Source Of Global Tension, in Möckli (Ed.), Strategic Trends 2012: Key Developments in Global Affairs, Zurigo (Center for Security Studies), 2012, 103 ss. (15) Sul concetto di “sicurezza informatica” quale nuovo bene giuridico protetto, con riferimento al diritto interno, cfr. Flor, Riservatezza informatica e sicurezza informatica quali nuovi beni giuridici penalmente protetti, in Militello - Spena (cur.), Mobilità, sicurezza e nuove frontiere tecnologiche, Torino, 2018, 463 ss. (16) Cfr. Adams - Brokx - Dalla Corte - Galic - Kala - Koops - Skorvánek, The governance of cybersecurity: A comparative quick scan of approaches in Canada, Estonia, Germany, the Netherlands and the UK, Tilburg University, Tilburg, 2015, 15 ss. (17) La stessa definizione di cyberspace non è immediatamente afferrabile. Esso deve essere tenuto distinto dalla nozione di “Internet”, con cui spesso, invece, viene confuso. In estrema sintesi, la rete costituisce il mezzo di accesso ad un’area per sua natura a-territoriale e immateriale, la quale però rappresenta un mondo “reale” in continua evoluzione, oltre che un “luogo” dove - o attraverso cui - persone “reali” commettono reati. Il termine “cyberspace” trae origine da Gibson, Burning Chrome, in Omni (1982), ripreso dallo stesso Autore in Neuromante (1984). Sulla sua rilevanza per il diritto penale si veda, senza pretesa di esaustività, Sieber - Neubert, Transnational Criminal Investigations in Cyberspace: Challenges to
DIRITTO DI INTERNET N. 3/2019
455
SAGGI molteplici significati, che possono essere riferiti, in subiecta materia, alla generica libertà da pericoli o minacce, intesa quale interesse alla protezione di persone, enti o organizzazioni, Stati e “cose” nel contesto tecnologico. Interesse di estrazione non solo politica o militare, ma anche economica, sociale e culturale. Un secondo approccio è di carattere propriamente ermeneutico. Il Klimburg NATO National Cybersecurity framework manual (18) fa inizialmente riferimento al concetto di “computer security”, ossia all’interesse ad assicurare la disponibilità e la corretta operabilità dei computer systems, senza necessariamente considerare le informazioni archiviate o trattate attraverso un sistema informatizzato. Una ulteriore accezione si collega a “information security”, alla quale è legata la “information assurance”, centrata sull’esigenza di tutela della confidenzialità, della integrità e della disponibilità delle informazioni e dei dati in generale (19). Il termine “ICT security”, invece, è maggiormente associato alle origini tecniche della computer security ed è direttamente collegato agli information security principles, che includono anche la necessità di proteggere la confidenzialità (riservatezza), l’integrità e la disponibilità di dati e informazioni, estendendosi ai computer systems e ai devices (connessi o non connessi in rete) (20). Questi tentativi di concettualizzazione sistematica vengono arricchiti dai riferimenti, in primo luogo, alla “network security” che riguarda, in genere, l’implementazione e l’operatività dei networks necessari per raggiungere i fini della information security nell’ambito di organizzazioni, fra organizzazioni e fra queste e gli utenti e, in secondo luogo, a “infrastracture protection”, la quale si riferisce prevalentemente alla protezione di sistemi forniti o gestiti da providers di infrastrutture critiche, ad esempio nei settori energetico o delle telecomunicazioNational Sovereignty, in Max Planck Yearbook of United Nations Law Online, 20, 1, 2017; Koops, Criminal law and Cyberspace as a Challenge for Legal Research, in 9:3 SCRIPTed 354, 2012, reperibile al link <http://scripted.org/?p=695>; Adams et al., The governance, cit.; Picotti, La tutela penale della persona e le nuove tecnologie dell’informazione, in Picotti (cur.), Tutela penale della persona e nuove tecnologie, Padova, 2013, 29 ss.; volendo anche Flor, La legge penale nello spazio, fra evoluzione tecnologica e difficoltà applicative, in Aa.Vv., Cybercrime, cit., 141 ss. Katyal, nel 2001, si riferiva al cyberspace scrivendo «Some academics see cyberspace as a new area in which first principles of law need to be rethought» (Katyal, Criminal Law in Cyberspace, in 149 U. Pa. L. Rev., 2001, 1003 ss., in specie 1004). (18) Klimburg (Ed.), National cybersecurity framework manual, NATO CCD COE Publication,Tallinn, 2012. (19) Adams et al., The governance, cit. (20) Sulle diverse sfumature del concetto “ICT Security” cfr. Colbert - Kott (Ed.), Cyber-security of SCADA and other Industrial Control Systems, Cham, 2016; Information Resources Management Association (Ed.), Cyber Security and Threats: Concepts, Methodologies, Tools and Applications, Hershey, 2018.
456
DIRITTO DI INTERNET N. 3/2019
ni (21). Infine, a questi ultimi si aggiungono i termini cybersafety («the condition of being protected against physical, social, spiritual, financial, political, emotional, occupational, psychological, educational or other types or consequences of failure, damage error, accidents, harm or any other event in the Cyberspace which could be considered non-desirable») o, semplificando, la sicurezza nell’ambito della “struttura sociale” di Internet, o il c.d. cyber-risk management. (22) Rispetto a questo complesso quadro terminologico a contenuti variabili, oggi sembra preferibile o auspicabile adottare una c.d. working definition of cybersecurity, che trae origine dallo stesso significato astratto di cyberspace. Questo ultimo, infatti, viene inteso nella sua dimensione immateriale, come spazio concettuale dove le persone interagiscono usando tecnologie per la comunicazione mediata dal computer [computer mediated communication (CMC)]. CMC che mettono in contatto comunicativo i sistemi informatici in un’unica rete globale, consentendo a utenti, istituzioni, enti, organizzazioni e “cose” di interagire tra loro (23). Il cyberspace, così definito, assume connotati diversi, dunque, rispetto alla c.d. “infosfera”, che nella filosofia dell’informazione intende la globalità dello spazio delle informazioni, includendo il ciberspazio (24). Il concetto di cybersecurity non può che essere concepito come un comprehensive concept, che trova fondamento in tutte le “componenti” del cyberspace: computers, informazioni, ICTs, reti e ICT-based infrastructures, inglobando necessariamente computer security, information security, ICT security, network security e infrastructure protection. In linea con questo approccio “integrato”, che comprende l’information security, dunque, esso esprime anche – e forse in modo preminente – l’interesse alla protezione contro le minacce alla riservatezza, all’integrità, alla disponibilità ed all’affidabilità di dati e informazioni, nonché dei computers, di ogni device o di ogni rete o sistema attraverso cui tali dati e tali informazioni vengono trattati. Cybersecurity che, in tal senso, da un lato si distingue dalla nozione di cybersafety, la quale sembra includere i rischi connessi agli informational contents dei dati e delle informazioni trattati nel cyberspace; dall’altro lato, può essere intesa quale processo proattivo e reattivo volto proprio alla protezione ideale dell’interesse degli uomini e delle organizzazioni ad essere liberi da minacce, in specie da quelle alla CIA-Triad, cui può collegarsi l’esigenza di pro-
(21) Adams et al., The governance, cit. (22) Klimburg (Ed.), National cybersecurity, cit. Cfr. altresì Stol, Cybersafety overwogen, Den Haag, 2010, 16 ss. (23) Cfr. ampiamente Rheingold, The Virtual Community: Homesteading on the Electronic Frontier, 2nd Ed., Cambridge, 2000. (24) Cfr. per tutti Floridi, La quarta rivoluzione. Come l’infosfera sta trasformando il mondo, Milano, 2017.
SAGGI tezione dell’affidabilità di sistemi informatici, reti, dati e informazioni ivi contenuti o tramite di essi trattati.
3. L’approccio c.d. pragmatico a livello europeo (tentando una ricostruzione sistematica)
Agli approcci grammaticale (relativo alle componenti terminologiche) ed ermeneutico (riguardante l’interpretazione e la correlazione delle componenti terminologiche) alla cybersecurity, si aggiunge quello pragmatico, basato sull’uso della terminologia nelle fonti internazionali, europee e nazionali. In particolare, per quanto interessa il presente lavoro, a livello Ue il Consiglio europeo già nel 2011 (25) ha invitato a «rafforzare la collaborazione tra gli Stati membri e contribuire, sulla base di esperienze e risultati nazionali in materia di gestione delle crisi e in collaborazione con l’ENISA (European Network and Information Security Agency), a sviluppare i meccanismi di una cooperazione europea in materia di incidenti informatici […]». Nella comunicazione congiunta al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni su una «Strategia dell’Unione europea per la cibersicurezza: un ciberspazio aperto e sicuro» (2013) (26) sono stati delineati i principi della cybersecurity, impostati sui valori costitutivi dell’Ue, che dovrebbero valere sia nel mondo digitale che nel mondo fisico e dovrebbero essere diretti alla protezione dei diritti fondamentali, della libertà di espressione, dei dati personali e della vita privata. L’Ue, da un lato, ha inteso e intende incentivare una governance partecipativa, democratica ed efficiente fra i soggetti interessati, tra cui emergono anche entità commerciali e non governative. Dall’altro lato ha affermato la necessità di modelli di responsabilità condivisa per garantire la sicurezza delle reti, dei sistemi e dei dati. La strategia europea si articola in cinque priorità: raggiungere la cyber-resilience (27), ridurre il cybercrime (28), sviluppare una capacità di cyber-difesa connessa alla po-
(25) Conclusioni del Consiglio sulla comunicazione dal titolo «Protezione delle infrastrutture critiche informatizzate - Realizzazioni e prossime tappe: verso una sicurezza informatica mondiale», documento 10299/11, Bruxelles, 27 maggio 2011. (26) Document 52013JC0001, JOIN/2013/01 final. (27) Con tale termine si fa riferimento, in estrema sintesi, alla capacità di prepararsi, rispondere e riprendersi dagli attacchi informatici e/o dai rischi ad essi connessi. Cfr. Tanque - Foxwell, Cyber Resilience for the Internet of Things, in Fields (Ed.), Handbook of Research on Information and Cyber Security in the Fourth Industrial Revolution, Hershey (PA), 2018, 304 ss.; Kott - Linkov (Eds.), Cyber Resilience of Systems and Networks, Cham, 2019. (28) Nel definire la “criminalità informatica”, tenendo conto della classificazione sistematica dei reati informatici, è preferibile ricorrere all’ampia concezione ricavabile dall’interpretazione delle disposizioni della Convenzione Cybercrime. Vedi retro, nota 10.
litica di sicurezza e di difesa comune (PSDC), sviluppare le risorse industriali e tecnologiche per la cybersecurity, creare una politica internazionale coerente promuovendo i valori costitutivi dell’Unione. In questo contesto la Commissione sostiene l’attività del Centro europeo per la lotta alla criminalità informatica (EC3), in specie quelle di intelligence, di assistenza alle indagini, nonché di agevolazione alla cooperazione e allo scambio di informazioni tra le autorità competenti degli Stati membri, il settore privato e gli altri soggetti interessati.
3.1. Il riferimento alla “(cyber)security” nel contesto europeo
La citata Direttiva 2013/40/Ue, nei suoi considerando (29), evidenzia l’importanza dell’individuazione e della comunicazione di minacce e rischi posti dagli attacchi informatici, o relativi alla vulnerabilità dei sistemi di informazione, dei programmi o dei dati, in quanto fattori rilevanti per un’efficace prevenzione e contrasto ai cyber-attacks. Dovrebbe costituire parte essenziale di tale approccio assicurare un adeguato livello di protezione e di sicurezza dei sistemi di informazione e, in tal senso, gli Stati membri, in collaborazione con l’Unione, dovrebbero cercare di migliorare la cooperazione internazionale relativamente alla sicurezza dei sistemi di informazione, delle reti informatiche e dei dati informatici. “Sicurezza” bisognosa di tutela anche rispetto a gravi minacce “globali” come, ad esempio, quelle collegate al “cyber-terrorismo” [e all’uso di Internet per propositi terroristici] (30). Tale fenomeno criminoso, anche se non è ben definito, è certamente rappresentativo del ruolo che l’evoluzione tecnologica svolge nel pianificare e/o nell’eseguire attacchi terroristici. La Direttiva 2017/541/Ue del 15 marzo 2017 sulla lotta contro il terrorismo (che sostituisce la Decisione quadro 2002/475/GAI) richiama espressamente la Direttiva 2013/40/Ue ed impone agli Stati membri di adottare le misure necessarie affinché siano considerati reati di terrorismo gli atti intenzionali definiti illeciti penali in base al diritto nazionale che, per la loro natura o per il contesto in cui si collocano, possono arrecare grave danno a un Paese o a un’organizzazione internazionale, quando sono commessi allo scopo di intimidire
(29) Vedi soprattutto i considerando 6, 12, 24 e 26. Sulle fonti europee in materia di cyber-criminality si veda Flor, Cyber-criminality, cit. 98 e ss. (30) Con riferimento alla definizione di tale fenomeno, in prospettiva interna ed europea, si veda, volendo, Flor, Cyber-terrorismo e diritto penale in Italia, in Wenin - Fornasari, Diritto penale e modernità. Le nuove sfide fra terrorismo, sviluppo tecnologico e garanzie fondamentali, Trento, 2017, 325 ss.; cfr. altresì Cajani, Le indagini informatiche per i reati di cyberterrorismo, in Aa. Vv., Cybercrime, cit., 1522 ss.
DIRITTO DI INTERNET N. 3/2019
457
SAGGI
458
gravemente la popolazione, costringere indebitamente i poteri pubblici o un’organizzazione internazionale a compiere o astenersi dal compiere un qualsiasi atto, destabilizzare gravemente o distruggere le strutture politiche, costituzionali, economiche o sociali fondamentali di un paese o di un’organizzazione internazionale. In particolare, con riferimento ai cyber-attacks, l’art. 3, comma 1, lett. i, impone agli Stati di prevedere come reati di terrorismo o riconducibili ad un gruppo terroristico, se sussistono le citate finalità, l’interferenza illecita relativamente ai sistemi e ai dati (31), ovvero la “minaccia di” [l’istigazione a] commettere tali reati (32). La ratio di un simile richiamo è da ricondurre alla consapevolezza, a livello europeo, che gli attacchi realizzati tramite le tecnologie possono cagionare il danneggiamento o l’alterazione del funzionamento di sistemi informatici altamente “sensibili” o “critici”, di sistemi di comunicazione, oppure delle infrastrutture dello Stato o degli enti pubblici essenziali per la stessa vita umana, ovvero causare il danneggiamento o la perdita di dati anche “segreti” o “sensibili”. La cybersecurity e l’esigenza di protezione nei confronti dei cyber-attacks costituiscono altresì uno dei pilastri su cui è stato (ri)edificato il sistema europeo di protezione dei dati personali. Il Regolamento 2016/679/Ue (GDPR) impone, infatti, di trattare i dati personali in modo da garantirne un’adeguata «sicurezza» e «riservatezza», anche per impedire l’accesso o l’utilizzo non autorizzato delle informazioni e dei sistemi impiegati per il loro «trattamento». Questo ultimo – la cui definizione, ex art. 4, n. 2, analogamente a quella prevista dall’art. 2, lett. b. dell’abrogata Direttiva 95/46/Ce, è talmente generica da risultare omnicomprensiva – deve essere posto in essere in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti, dei sistemi informatici e dei dati: vale a dire, ai sensi del GDPR, la capacità di una rete o di un sistema di resistere a eventi imprevisti o atti illeciti o dolosi che possano compromettere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la affidabilità e integrità dei relativi servizi, offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comu-
nicazione elettronica e fornitori di tecnologie e servizi di sicurezza (33). A partire dalla direttiva NIS (34), a livello europeo sono state adottate misure volte a conseguire un livello comune elevato di sicurezza della rete e dei sistemi informativi attraverso: 1. la previsione di obblighi in capo agli Stati membri di adottare una strategia nazionale in materia di sicurezza; 2. l’istituzione di un gruppo di cooperazione al fine di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra Stati membri e di sviluppare la fiducia tra di essi; 3. la creazione della rete di intervento per la sicurezza informatica in caso di incidente (Network of the National Computer Security Incident Response Teams – «rete CSIRT») per contribuire allo sviluppo della fiducia tra Stati membri e promuovere una cooperazione operativa rapida ed efficace; 4. la previsione di obblighi di sicurezza e di notifica per gli operatori di servizi essenziali e per i fornitori di servizi digitali; 5. la previsione dell’obbligo, in capo agli Stati membri, di designare autorità nazionali competenti, punti di contatto unici e CSIRT con compiti connessi alla sicurezza della rete e dei sistemi informativi. La Direttiva NIS definisce, da un lato, la «sicurezza della rete e dei sistemi informativi», da intendersi (in senso analogo al GDPR) quale «capacità di una rete e dei sistemi informativi di resistere, a un determinato livello di riservatezza, a ogni azione che comprometta la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati o trasmessi o trattati e dei relativi servizi offerti o accessibili tramite tali reti o sistemi informativi»; dall’altro lato, il concetto di «incidente» come «ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi» (35). Assumono primaria rilevanza, in particolare, gli obblighi in materia di sicurezza e notifica degli incidenti per gli operatori di servizi essenziali e per gli operatori di servizi digitali.
(31) In specifico: ai sensi dell’art. 4 della Direttiva 2013/40/Ue, nei casi in cui si applica l’art. 9, paragrafo 3 o 4, lettere b) o c), nonché ai sensi dell’art. 5 nei casi in cui si applica l’art. 9, paragrafo 4, lettera c), di tale direttiva.
(34) Vedi la già citata Direttiva 2016/1148/Ue del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, attuata in Italia con il d.lgs. 18 maggio 2018, n. 65.
(32) Ex art. 3, comma 1, lett. j della Direttiva 2017/541/Ue.
(35) Cfr. art. 4, rispettivamente n. 2 e n. 7, Direttiva 2016/1148/Ue.
DIRITTO DI INTERNET N. 3/2019
(33) Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche, o la diffusione di malware o codici malevoli. La sezione II del capo IV del GDPR (artt. 32-34) è dedicata alla «Sicurezza dei dati personali», con la previsione di obblighi di notifica di una violazione all’autorità di controllo e obblighi di comunicazione all’interessato, mentre la sezione III disciplina la «Valutazione d’impatto sulla protezione dei dati e consultazione preventiva», che deve almeno contenere le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR, tenuto conto dei diritti e degli interessi legittimi dei soggetti interessati. Altre disposizioni richiedono genericamente il rispetto del regolamento e delle garanzie di sicurezza, ad esempio per il trasferimento di dati verso paesi terzi o organizzazioni internazionali.
SAGGI Con riferimento ai primi, gli Stati membri provvedono affinché questi adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi inerenti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni. Tenuto conto delle migliori conoscenze in materia, dette misure devono assicurare un livello di sicurezza adeguato al rischio esistente. Le misure devono essere altresì adeguate per prevenire e minimizzare l’impatto degli incidenti che coinvolgono la rete e i sistemi informativi utilizzati per la fornitura di tali servizi essenziali, al fine di assicurare la loro continuità. A ciò si aggiungono gli obblighi di notifica, senza indebito ritardo, all’autorità competente o al CSIRT, degli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati. Le notifiche includono le informazioni che consentono di determinare qualsiasi impatto transfrontaliero dell’incidente e non espongono la parte che le effettua a una maggiore responsabilità. Per determinare la rilevanza dell’impatto di un incidente si tiene conto, in particolare, di alcuni parametri, quali il numero di utenti interessati dalla interferenza o dal turbamento del servizio essenziale, la durata dell’incidente e la sua diffusione geografica. Con riferimento ai secondi, sulla base delle conoscenze più aggiornate o attuali in materia, tali misure devono assicurare un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente considerando anche ulteriori elementi quali, oltre a quelli già previsti per gli operatori di servizi essenziali, la portata dell’alterazione o del turbamento del funzionamento del servizio e la portata dell’impatto sulle attività economiche e sociali. Anche i fornitori di servizi digitali sono obbligati a notificare senza indebito ritardo all’autorità competente o al CSIRT qualsiasi incidente avente un impatto rilevante sulla fornitura di uno dei servizi inerenti al mercato online, ai motori di ricerca online o al cloud computing. Se l’incidente riguarda due o più Stati membri, l’autorità competente o il CSIRT informa gli altri Stati membri coinvolti. A tal fine le autorità competenti, i CSIRT e i punti di contatto unici tutelano, nel rispetto del diritto dell’Unione o della legislazione nazionale conforme al diritto europeo, la sicurezza e gli interessi commerciali del fornitore del servizio digitale, nonché la riservatezza delle informazioni fornite. Dopo aver consultato il fornitore di servizi digitali interessato, l’autorità competente o il CSIRT e, se del caso, le autorità o i CSIRT degli altri Stati membri interessati, possono informare il pubblico riguardo ai singoli incidenti, o chiedere al fornitore di servizi digitali di provvedervi, qualora sia necessaria la sensibilizzazione collettiva per evitare un incidente o gestirne uno in corso, o
qualora la sua divulgazione sia altrimenti nell’interesse pubblico. Gli Stati membri devono, inoltre, stabilire le norme relative alle sanzioni da irrogare in caso di violazione delle disposizioni nazionali di attuazione della direttiva. Nella comunicazione del 2016 (36) dal titolo «Rafforzare il sistema di resilienza informatica dell’Europa e promuovere la competitività e l’innovazione nel settore della cibersicurezza» la Commissione ha incoraggiato gli Stati membri a usufruire di tutti i meccanismi di cooperazione della direttiva NIS e di cooperazione transfrontaliera per poter adeguatamente rispondere e reagire ad un incidente cibernetico su vasta scala. Ha inoltre valorizzato e auspicato un approccio cooperativo coordinato tra le varie “componenti” dell’ecosistema cibernetico nelle situazioni di crisi, che dovrebbe trovare una sua compiuta definizione in un «programma» atto a garantire sinergie e coerenza con i meccanismi esistenti di gestione delle crisi. La Commissione ha consultato gli Stati membri in due distinti seminari, svoltisi a Bruxelles rispettivamente il 5 aprile e il 4 luglio 2017, ai quali hanno partecipato rappresentanti degli Stati membri, dei CSIRT, del gruppo di cooperazione istituito dalla direttiva NIS e del gruppo orizzontale del Consiglio per le questioni riguardanti il ciberspazio, nonché rappresentanti del Servizio europeo per l’azione esterna (SEAE), dell’ENISA, di Europol/ EC3 e del segretariato generale del Consiglio (SGC). Con la Raccomandazione 2017/1584 del 13 settembre 2017 relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala, la Commissione ha evidenziato che in alcuni settori i meccanismi di gestione delle crisi, a livello europeo, prevedono già strumenti di cooperazione. Ad esempio, nel quadro del sistema globale di navigazione satellitare (GNSS), la Decisione 2014/496/PESC del Consiglio definisce i rispettivi ruoli del Consiglio medesimo, dell’Alto rappresentante, della Commissione, dell’Agenzia del GNSS europeo e degli Stati membri nell’ambito della catena di responsabilità operative per reagire a una minaccia per l’Unione, gli Stati membri o il GNSS, anche in caso di attacchi cibernetici. A livello euro-unitario, i principali attori coinvolti nella risposta alle cybersecurity crisis comprendono, nell’ambito delle strutture e dei meccanismi previsti dalla direttiva NIS, la rete CSIRT, ENISA, Europol/EC3, il Centro dell’Ue di analisi dell’intelligence (INTCEN), la direzione di intelligence dello Stato maggiore dell’Ue (EUMS INT) e la Sitroom – che collaborano come capacità unica di analisi dell’intelligence (SIAC) – la cellula dell’Ue per l’analisi delle minacce ibride (presso l’INTCEN), la squa-
(36) COM(2016) 410 final del 5 luglio 2016.
DIRITTO DI INTERNET N. 3/2019
459
SAGGI dra di pronto intervento informatico delle istituzioni dell’Ue (CERT-UE) e il Centro di coordinamento della risposta alle emergenze della Commissione europea. La conoscenza e la comprensione della situazione in tempo reale, della posizione di rischio e delle minacce, acquisite attraverso relazioni, valutazioni, ricerche, indagini e analisi («conoscenza situazionale») sono, infatti, ritenute fattori fondamentali per un intervento efficace. Il Programma per una risposta coordinata agli incidenti e alle crisi di cibersicurezza transfrontalieri su vasta scala (Racc. 2017/1584 del 13 settembre 2017) si applica agli incidenti di cibersicurezza tali da non poter essere gestiti autonomamente dallo Stato membro interessato, o che interessano due o più Stati membri o istituzioni dell’Ue e hanno un impatto di rilevanza tecnica o politica di così vasta portata da richiedere un coordinamento tempestivo e una risposta immediata a livello europeo. Il Regolamento 2018/151 ha, infine, specificato ulteriormente gli elementi che i fornitori di servizi digitali devono prendere in considerazione nell’identificazione e nell’adozione delle misure volte a garantire un livello di sicurezza delle reti e dei sistemi informativi, precisando anche i parametri per determinare se un incidente ha un impatto rilevante sulla fornitura dei servizi relativi al mercato online, ai motori di ricerca online e di cloud computing. Un ulteriore riferimento alla sicurezza dei rapporti giuridici che si instaurano attraverso i sistemi informatici e, in generale, la tecnologia si rinviene anche nella Direttiva 2019/713/Ue relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti (che sostituisce la Decisione quadro 2001/413/GAI), le quali rappresentano un ostacolo al mercato unico digitale, intaccando la fiducia dei consumatori e l’affidabilità di tali strumenti, causando considerevoli perdite economiche. L’atto europeo richiama espressamente la Direttiva 2016/1148/Ue, in quanto le attività criminali aventi ad oggetto gli strumenti di pagamento elettronici e virtuali possono essere all’origine di incidenti che dovrebbero essere segnalati alle autorità nazionali competenti. In altri termini, la Direttiva 713 si pone l’obiettivo di promuovere un ambiente sicuro, affidabile e più resiliente per i «mezzi di scambio digitali», fra i quali è compresa espressamente la «valuta virtuale», quest’ultima intesa quale rappresentazione di valore digitale non emessa o garantita da una banca centrale o da un ente pubblico, non legata necessariamente a una valuta legalmente istituita e priva dello status giuridico di valuta o denaro, ma accettata da persone fisiche o giuridiche come mezzo di scambio (37). Pertanto la c.d. “criptova (37) Tale definizione è analoga a quella adottata, a livello europeo, dalla Direttiva 2018/843/Ue del 30 maggio 2018 (“V Direttiva antiriciclaggio”) che modifica la Direttiva 2015/849/Ue relativa alla prevenzione
460
DIRITTO DI INTERNET N. 3/2019
luta” trova protezione penale quale «strumento di pagamento diverso dai contanti», che permette al titolare o all’utente di trasferire denaro o “valore monetario”, anche attraverso mezzi di scambio digitali (38). La Direttiva 713, inoltre, estendendo la tutela agli strumenti di pagamento immateriali attraverso la punizione di condotte che possono essere realizzate o “manifestarsi” in ambito digitale o nel contesto tecnologico – se non esclusivamente in simili contesti – intende rafforzare il sistema di protezione previsto dalla direttiva relativa agli attacchi contro i sistemi di informazione. Nel considerando n. 15 si legge, infatti, che «l’ottenimento illecito di uno strumento di pagamento immateriale diverso dai contanti dovrebbe costituire reato, almeno se esso comporta la commissione di una delle fattispecie incriminatrici di cui agli artt. da 3 a 6 della Direttiva 2013/40/Ue», ovvero l’uso consapevole e senza diritto di simili strumenti a vantaggio proprio o di altri, o l’atto di procurare per sé o per altri, a fini di una utilizzazione fraudolenta, i medesimi strumenti già illecitamente ottenuti.
3.2. La Risoluzione del Parlamento europeo su una politica industriale europea globale in materia di robotica e intelligenza artificiale (cenni)
La cybersecurity costituisce anche una componente essenziale della strategia politica industriale europea in materia di robotica e intelligenza artificiale. Nei considerando della Risoluzione del Parlamento europeo del 12 febbraio 2019 (39), alle tecnologie di cibersicurezza – quali le identità digitali, la crittografia o il ridell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che modifica le Direttive 2009/138/Ce e 2013/36/Ue. In particolare, la Direttiva n. 2018/843 amplia la portata della normativa antiriciclaggio, imponendo obblighi anche in capo ai prestatori di servizi di cambio tra valute virtuali e valute legali e ai prestatori di servizi di portafoglio digitale per la prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, che possono essere realizzati attraverso l’utilizzo del sistema finanziario. Il nostro ordinamento aveva anticipato questo “approccio” con il d.lgs. n. 90/2017. Fra i più recenti lavori su questo tema vedi Sicignano, Bitcoin e riciclaggio, Torino, 2019. La “sicurezza della catena di pagamento elettronico” e l’esigenza di protezione dei dati contro i cyber-attacks, fra cui sono compresi altresì gli abusi identitari, costituiscono un elemento cardine della Direttiva 2015/2366/Ue (c.d. PSD2) relativa ai servizi di pagamento nel mercato interno. Il capo V, infatti, prevede specifici obblighi in capo ai prestatori di servizi di pagamento in relazione ai meccanismi di autenticazione, alla gestione dei rischi operativi e di sicurezza ed alla notifica di cyber-incidents. (38) Le criptovalute possono essere connotate da effetti dissimulatori e potenzialmente criminogeni, ma la loro natura tecnologica è neutra e, dunque, anche meritevole di tutela contro abusi o cyber-attacks di vario tipo. Sotto questo secondo profilo la Direttiva 2019/713/Ue costituisce senza dubbio un primo step verso la protezione dell’ecosistema crittografico, dello stesso “legame matematico” che lo caratterizza, delle procedure di validazione e di quelle atte a garantire l’affidabilità e la sicurezza di tale strumento. (39) P8_TA-PROV(2019)0081
SAGGI levamento delle intrusioni – e alle loro applicazioni nei settori finanziario, dell’industria 4.0, dell’energia, dei trasporti, della sanità e della pubblica amministrazione elettronica, è dedicata approfondita attenzione, al fine di salvaguardare la sicurezza e la fiducia da parte dei cittadini, delle istituzioni e delle imprese, perché ritenute di fondamentale importanza per garantire che i dati e le informazioni non siano deliberatamente alterati o usati impropriamente al fine di consentire un funzionamento pregiudizievole dell’Intelligenza Artificiale, nella consapevolezza che i progressi in questo settore aumentano la dipendenza dai sistemi basati su algoritmi [o processi algoritmici] decisionali, che richiede a sua volta standard elevati di resilienza cibernetica. La risoluzione, infatti, sottolinea che un utilizzo doloso o negligente dell’IA potrebbe minacciare la sicurezza digitale e la sicurezza fisica e pubblica, in quanto essa potrebbe essere usata per condurre attacchi su larga scala ai servizi della società dell’informazione, nonché per campagne di disinformazione e, in generale, per limitare il diritto dei singoli all’autodeterminazione, che potrebbe costituire un pregiudizio per la democrazia ed i diritti fondamentali dell’uomo. In questo ambito invita la Commissione a proporre un quadro normativo che incrimini le pratiche di manipolazione della percezione sociale, quando i contenuti personalizzati o i “news feed” conducono a sentimenti negativi e alla distorsione della realtà con possibili conseguenze negative (ad esempio, in relazione a risultati elettorali o a questioni-allarmi sociali come la migrazione). È evidenziata altresì l’importanza dell’interoperabilità e della veridicità dei dati, al fine di assicurare un elevato livello di affidabilità e standard di sicurezza nelle nuove tecnologie, che deve costituire una componente irrinunciabile dell’IA, soprattutto alla luce delle problematiche associate alla trasparenza algoritmica ad alto livello. La Risoluzione auspica e richiede la rapida attuazione delle disposizioni in materia di cybersecurity, richiamando la necessaria elaborazione di sistemi di certificazione a livello di Unione, che dovrebbe assicurare uno sviluppo più resiliente e la diffusione di sistemi di IA e robotica sicuri. Essa affronta, in sostanza, le più attuali questioni relative all’IA non solo sui piani sociale, culturale, politico, economico e industriale, ma anche su quello “criminale” riguardante i cyber-attacks, sia quale minaccia per la sicurezza informatica, sia come strumento di contrasto agli attacchi informatici, richiamando il ruolo di ENISA, che dovrebbe preparare un piano d’azione nell’ambito della AI cybersecurity. In questo contesto, ad esempio, esorta la Commissione a valutare l’uso di applicazioni basate sulla tecnologia blockchain e su modelli disintermediati di cifratura dei
dati per migliorare la resilienza, l’affidabilità e la solidità delle infrastrutture, dei programmi e dei dati. Traspare l’esigenza del rafforzamento industriale, che costituisce una delle componenti strategiche dello sviluppo sicuro dell’IA, per assicurare la protezione dei sistemi, dei processi e dei servizi tecnologici, nel prisma della CIA-Triad Protection.
3.3. Il Cybersecurity Act
A seguito della risoluzione del Parlamento europeo del 12 marzo 2019 sulla proposta di regolamento – che abroga il Regolamento 2013/526/Ue – relativo all’ENISA e alla certificazione di cybersecurity, il 7 giugno 2019 è stato adottato il c.d. Cybersecurity Act, con l’obiettivo di realizzare un quadro europeo per la certificazione della sicurezza informatica delle Information and Communication Technologies e dei digital services. (40) L’intervento europeo si colloca all’interno della strategia nazionale per la sicurezza della rete e dei sistemi informativi, come definita dall’art. 4 della Direttiva 2016/1148/Ue. Si tratta di un programma di lavoro progressivo dell’Unione strutturato in più fasi (preparazione, adozione e revisione), in cui l’ENISA assume un ruolo centrale, e che presuppone consultazioni con tutti i portatori di interessi mediante un processo formale, aperto, trasparente e inclusivo. Il regolamento fa salve le competenze degli Stati membri per quanto riguarda le attività nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale, nonché quelle in materia penale (41). Il Cybersecurity Act ha fra i suoi obiettivi quelli di rafforzare la resilienza dell’Unione agli attacchi informatici, di creare un mercato unico della sicurezza informatica di prodotti, servizi e processi tecnologici e di accrescere la fiducia dei consumatori nelle tecnologie digitali. In tal senso l’istituzione di un sistema europeo di certificazione dovrebbe favorire la c.d. “security by design” e il consolidamento di una cybersecurity culture fin dagli stadi iniziali della progettazione o della realizzazione dei prodotti e dei servizi tecnologici, in cui sono compresi
(40) P8_TA-PROV(2019)0151 - Risoluzione legislativa del Parlamento europeo del 12 marzo 2019 sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo all’ENISA, che abroga il Regolamento 526/2013/Ue, e relativo alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione (“regolamento sulla cibersicurezza”) [COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)]. (41) Sotto questo ultimo profilo l’Ue potrebbe intervenire, eventualmente, ai sensi dell’art. 83 TFUE, par. 1, aggiornando o sostituendo la direttiva 2013/40/Ue nell’ambito delle competenze dirette nel settore della criminalità informatica. Sulle competenze penali europee in subiecta materia si veda già Picotti, La nozione di «criminalità informatica» e la sua rilevanza per le competenze penali europee, in Riv. trim. dir. pen. ec., 2011, 827 ss.; Flor, Cyber-criminality, cit., 98 ss.
DIRITTO DI INTERNET N. 3/2019
461
SAGGI i dispositivi di consumo connessi alla rete o il c.d. IoT (Internet of Things) (42). In primis il regolamento, da un lato, definisce genericamente la “cibersicurezza” come l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, nonché gli utenti, dalle minacce informatiche; dall’altro lato, adotta una nozione omnicomprensiva di “minaccia informatica”, intesa come una qualsiasi circostanza, evento o azione che potrebbe danneggiare, turbare o avere un impatto negativo di altro tipo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e/o su altre persone. In secondo luogo, il Cybersecurity Act vuole istituire un quadro europeo di certificazione al fine di migliorare il livello di cybersecurity in Europa, anche attraverso l’armonizzazione dei sistemi europei di certificazione della sicurezza informatica. In terzo luogo, questo quadro dovrebbe prevedere un meccanismo volto a creare sistemi europei di certificazione dei prodotti, dei servizi e dei processi tecnologici, al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza – ossia proprio la c.d. CIATriad – dei dati conservati, trasmessi o trattati, ovvero le funzioni o i servizi offerti da tali prodotti, servizi e processi, o accessibili tramite essi per tutto il loro ciclo di vita. Come anticipato l’ENISA, i cui ruoli e mandato sono stati rafforzati, si trova ad essere al centro del sistema. Essa, infatti, dovrà non solo sostenere attivamente gli Stati membri, le istituzioni e gli organismi dell’Unione per il miglioramento della cibersicurezza, ma costituire, al contempo, un punto di riferimento operativo per pareri e competenze in materia di cybersecurity, favorendo la cooperazione fra le istituzioni e fra queste ultime e gli altri portatori di interessi (43).
(42) Riferimenti in tal senso si rinvengono anche nel report pubblicato da ENISA nel 2017: cfr. Cyber Security Culture in Organisations, European Union Agency for Network and Information Security (ENISA), 2017, in cui si legge «Cybersecurity Culture (CSC) of Organizations refers to the knowledge, beliefs, perceptions, attitudes, assumptions, norms and values of people regarding cybersecurity and how they manifest in people’s behaviour with information technologies. […] (T)echnologies cannot protect organisations if incorrectly integrated and utilised.» (7 ss.). In un secondo report del 2019 ENISA riprende il difetto di una nozione universale di cybersecurity («there is no universally accepted definition of cybersecurity, with descriptions of the term varying across authors on multiple dimensions, including the nature of what is protected, from whom, and whether or not unintentional actions are included Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity»), concentrandosi su human aspects of cybersecurity, dal punto di vista “defending organisations”, e socio-technical perspective. Cfr. Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity, European Union Agency for Network and Information Security (ENISA), 2019, che parte dai risultati del report Definition of Cybersecurity: Gaps and overlaps in standardization, European Union Agency for Network and Information Security (ENISA), 2016. (43) La previsione di schemi di certificazione per prodotti, sistemi o processi tecnologici esiste già nella maggior parte degli Stati membri. In
462
DIRITTO DI INTERNET N. 3/2019
I sistemi europei di certificazione devono raggiungere molteplici obiettivi, fra i quali: proteggere i dati dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati, ovvero dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzate; individuare e documentare le vulnerabilità note, nonché i dati, i servizi o le funzioni a cui è stato effettuato l’accesso, compresa l’individuazione dell’utente; ripristinare la disponibilità e l’accesso ai dati, ai servizi e alle funzioni in modo tempestivo in caso di incidente; assicurare che software e hardware dei prodotti, dei servizi e dei processi siano aggiornati, non soggetti a vulnerabilità pubblicamente note e in grado di fornire aggiornamenti protetti. Il livello di affidabilità deve essere commisurato al livello del rischio associato all’utilizzo dei prodotti e dei servizi, in termini di probabilità e impatto di un incidente (44). La certificazione della cibersicurezza è intesa, in questa fase iniziale, volontaria, salvo quanto diversamente specificato dal diritto dell’Unione o degli Stati membri. La Commissione, però, si dovrà concentrare in via prioritaria sui settori oggetto della direttiva NIS, che dovranno essere sottoposti a valutazione entro due anni dall’adozione del primo sistema europeo di certificazione, anche al fine di proporre il modo più efficace per realizzare la transizione dal sistema volontario a quello obbligatorio. Il Cybersecurity Act dispone, inoltre, che ogni Stato membro designi una o più autorità nazionali di certificazione nel suo territorio oppure, con l’accordo di un altro Stato membro, una o più autorità nazionali di certificazione stabilite in tale ultimo Stato, affinché siano responsabili dei compiti di vigilanza nello Stato designante. A ciascuna autorità nazionale di certificazione della cibersicurezza sono attribuiti poteri di indagine nella forma di verifiche contabili nei confronti degli organismi di valutazione della conformità, dei titolari dei certificati europei di cibersicurezza e degli emittenti di dichiarazioni Ue di conformità. Essa può adottare misure appropriate, nel rispetto del diritto nazionale, per accertare il rispetto, da parte di tutti questi soggetti, del regolamento o di un sistema europeo di certificazione della ciberItalia, ad esempio, l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (Iscom, presso il Ministero dello Sviluppo Economico) svolge ruoli di certificazione secondo lo schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione, istituito dal d.P.C.m. del 30 ottobre 2003 (ex art. 10, comma 1, d.lgs. 23 febbraio 2002, n. 10). (44) L’affidabilità è suddivisa, in particolare, in livelli “di base”, “sostanziale” e “elevato”, che i sistemi europei di certificazione possono precisare in funzione del rigore e della specificità della metodologia di valutazione utilizzata. Ciascun livello di valutazione, infatti, deve corrispondere a uno dei livelli di affidabilità. Un sistema europeo di certificazione può consentire altresì un’autovalutazione della conformità da parte del fabbricante o del fornitore, limitatamente a prodotti, servizi e processi che presentano un basso rischio corrispondenti al livello di affidabilità “di base”.
SAGGI sicurezza. In particolare, può ottenere l’accesso ai locali degli organismi di valutazione della conformità o dei titolari dei certificati europei al fine di svolgere indagini nel rispetto del diritto europeo o del diritto processuale degli Stati membri, ovvero revocare, conformemente al diritto nazionale, i certificati europei rilasciati dalle autorità nazionali di certificazione o i certificati europei rilasciati dagli organismi di valutazione della conformità, qualora non rispettino i requisiti previsti dal regolamento o da un sistema europeo di certificazione. All’autorità nazionale sono conferiti altresì poteri sanzionatori (nei limiti previsti dall’art. 65) e inibitori, volti ad ottenere la cessazione immediata delle violazioni degli obblighi previsti dal regolamento. Questo ultimo prevede ulteriori disposizioni, quali quelle relative alla valutazione inter pares al fine di ottenere norme equivalenti in tutta l’Unione e dirette ad istituire gli organismi di valutazione della conformità, nonché quelle concernenti la creazione del Gruppo europeo per la certificazione della cibersicurezza. A queste devono aggiungersi le disposizioni inerenti al diritto di presentare reclamo all’emittente di un certificato europeo o, se il reclamo riguarda un certificato europeo rilasciato da un organismo di valutazione della conformità, all’autorità nazionale di certificazione competente, nonché le norme relative al diritto a un ricorso giurisdizionale. Sul piano strettamente penalistico rimane agli Stati membri la competenza nello stabilire sanzioni, anche eventualmente incriminatrici, applicabili in caso di violazione delle disposizioni e degli obblighi relativi al quadro europeo di certificazione della cybersecurity, nonché di violazione dei sistemi europei di certificazione. In conclusione, l’approccio c.d. pragmatico alla cybersecurity a livello europeo, anche se inizialmente è apparso settoriale, sembra orientato a garantire un elevato livello di cibersicurezza, ciberresilienza, fiducia e affidabilità del moderno contesto tecnologico in cui, prendendo più specificatamente come riferimento gli interessi meritevoli di tutela, la c.d. CIA-Triad costituisce la core area della cybersecurity, il modello guida della sua governance nonché, de iure condito, il nucleo essenziale della protezione penale, come emerge dall’analisi sistematica delle fonti europee alla luce delle previsioni della Convenzione Cybercrime del Consiglio d’Europa (45).
4. L’EU Law Enforcement Emergency Response Protocol (cenni)
In questo complesso quadro si inserisce l’EU Law Enforcement Emergency Response Protocol (LEERP) adottato
(45) Vedi retro, par. 1, nota 10.
recentemente dal Consiglio europeo (46). Il protocollo affida un ruolo centrale all’ Europol European Cybercrime Centre (EC3) e costituisce parte dell’ EU Blueprint for Coordinated Response to Large-Scale Cross-Border Cybersecurity Incidents and Crises. Si tratta di uno strumento fondamentale di ausilio alle EU law enforcement authorities per fornire una efficace e rapida risposta ai cross-border cyber-attacks, anche attraverso un effettivo coordinamento e scambio di informazioni nell’attività investigativa. In particolare, il protocollo determina le procedure, i ruoli e le responsabilità dei key players in ambito europeo ed extra europeo, canali di comunicazione sicuri e 24/7 contact points per lo scambio di informazioni considerate critiche, facilitando la collaborazione con gli operatori europei ed internazionali attraverso l’utilizzo delle risorse di Europol. Il protocollo ha ad oggetto esclusivamente eventi dolosi o malevoli e di sospetta natura criminale non coprendo, dunque, incidenti o crisi dovuti a disastri naturali, errori umani o system failure. Al fine di stabilire la natura criminale di un attacco è indispensabile che sia richiesta, al primo intervento e al fine di attivare correttamente le indagini penali e le relative procedure giudiziarie, la garanzia di adottare le misure richieste e necessarie per la conservazione della prova elettronica, che potrebbe essere acquisita all’interno dell’ IT system oggetto di attacco, ovvero attraverso di esso. Il protocollo, quindi, costituisce un multi-stakeholder process che implica sette fasi centrali possibili, dalla tempestiva segnalazione o dal rilevamento, e dalla classificazione delle minacce, alla conclusione dell’Emergency Response Protocol (47). La prima fase è la early detection e l’identificazione di cyber-attacchi su vasta scala, che pongono un imminente e un elevato impatto su molteplici vittime e/o possono compromettere gravemente infrastrutture critiche o interrompere il funzionamento di key services. In questa fase i gruppi degli stakeholders coinvolti sono l’Open Source Intelligence Monitoring function svolta dall’Europol’s European Cybercrime Centre (EC3) Cyber Intelligence Team, le competenti autorità di law enforcement, il CSIRT, le agenzie partners e le istituzioni (quali, ad esempio, ENISA, CERT-EU, EDA, Eurojust, EU INTCEN, EEAS, INTERPOL, UNODC, OSCE), i partners del settore privato e le ulteriori risorse, comprese quelle offerte dall’accademia o dagli enti di ricerca. (46) ST 14893 2018 INIT (30 novembre 2018 – 10 dicembre 2018, data del meeting – nonché Europol Press Release, 18 marzo 2019). (47) Cfr. 15738/17 - LIMITE - COSI 332 - CYBER 214 - TELECOM 361 - JAI 1205, Brussels, 13 dicembre 2017, da Europol al Standing Committee on Operational Cooperation on Internal Security (COSI).
DIRITTO DI INTERNET N. 3/2019
463
SAGGI A tale fase segue la classificazione della minaccia che, se fornisce una risposta emergenziale, porta all’attivazione dell’ Emergency Response Coordination Centre, in cui l’EC3 svolge un ruolo centrale identificando il team competente anche in relazione alla natura dell’emergenza, che potrebbe richiedere, ad esempio, malware analysts, digital forensic experts, decryption experts, cryptocurrency analysts o operational analysts. Rimane in capo all’EC3 l’onere di comunicazione agli internal ed external Europol stakeholders. Fra questi ultimi sono inclusi, fra gli altri, i 24/7 LE PoCs, la rete CSIRT, Eurojust, Interpol e la Commissione europea. La fase successiva riguarda l’ Early Warning Notification (EWN), ossia un processo che include gli input ricevuti e raccolti dall’EC3 e dai key stakeholders, utilizzati al fine di predisporre un tactical assessment iniziale e le possibili misure da adottare, che risultano determinanti per la produzione dell’EWN da comunicare ai diversi stakeholders con l’obiettivo di scambiare la sensibilità situazionale in relazione al large-scale cross-border cybersecurity incidents and crises. Il Law Enforcement Operational Action Plan costituisce lo step successivo prima dell’attivazione dell’Investigation and Multi-Layered Analysis e, infine, dell’Emergency Response Protocol Closure, ossia la fase finale del LEERP, quando la minaccia immediata è stata contenuta. In questo caso con il termine “containment” si intende che l’attività investigativa è giunta ad un successo operativo, oppure che le autorità competenti procederanno con le attività investigative seguendo le normali procedure operative una volta “mitigati” gli aspetti emergenziali del cyber attack.
5. Public-Private Cooperation nella cybersecurity governance, CIA-Triad e profili di responsabilità per i fornitori di servizi anche nella prospettiva del Cybersecurity Act
L’approccio pragmatico alla cybersecurity a livello europeo appare dipendere in larga misura dall’efficacia della cooperazione tecnica, operativa e strategica/politica per il raggiungimento di tre obiettivi principali: risposta coordinata, condivisione della conoscenza situazionale, comunicazioni pubbliche e fra gli operatori. Nel contesto così delineato il Cybersercurity Act ed il LEERP assumono un ruolo chiave nella strategia europea volta a prevenire gravi minacce alla cibersicurezza, per perseguire e prevenire cyber incidents su larga scala e di natura criminale. Anche perché la direttiva NIS non prevede un quadro di cooperazione dell’Unione in tal senso, in caso di simili incidenti e crisi connesse alla cybersecurity. Si tratta di adottare un modello che può trovare una sintesi in due binomi: government versus governance e governance versus regulation.
464
DIRITTO DI INTERNET N. 3/2019
Nella società moderna gli attori non governativi hanno acquisito un ruolo crescente, influenzando riconfigurazioni sociali, economiche e politiche, comprese le scelte di politica criminale. È mutato il rapporto pubblico-privato, che trova conferma nell’esigenza del riconoscimento di funzioni di rilievo pubblico ad organismi privati (48) quali, ad esempio, gli Internet Service Providers (ISPs) o i fornitori, in generale, di servizi digitali. Lo slittamento concettuale da “government” a “governance”, nonché la ricerca e la comprensione dei meccanismi emergenti di coordinamento e cooperazione fra i molteplici livelli – europeo e statale – e la società civile pongono nuove questioni relative agli stessi meccanismi di regolamentazione (49). Alcuni autori descrivono la governance come l’insieme di una moltitudine di attori e di processi che guidano le decisioni collettive. Le scelte governative nelle società moderne sono generalmente concettualizzate come un interplay, una interazione o sinergia, fra istituzioni statali, forze economiche e attori sociali e civili (50). Si tratta, in ogni caso, di un concetto dinamico che si adatta – e deve adattarsi – ai cambiamenti sociali e, per quanto attiene al contrasto ai cyber-attacks, al continuo mutamento del contesto tecnologico, che comporta la nascita di nuovi attori e nuovi ruoli che possono riconfigurare il modello di governance. La prima conseguenza non può che riguardare l’imputazione della responsabilità, anche penale, per prevenire (anzitutto) minacce gravi alla cybersecurity ed alle sue
(48) “Funzioni di rilievo pubblico” da non intendersi quale “pubblica funzione” (ai sensi del nostro art. 357 c.p.). Più in specifico il riferimento, in subiecta materia, è al perseguimento dell’interesse generale alla prevenzione ed all’accertamento dei reati che, nell’attuale società, comporta sempre più spesso il necessario ricorso da parte delle autorità investigative pubbliche alla cooperazione attiva da parte di operatori privati, sia per poter rendere efficaci “investigazioni ad alto contenuto tecnologico”, sia per poter accedere a dati ed informazioni trasmesse per via telematica, nel rispetto delle garanzie e dei diritti inviolabili dei cittadini, sia per garantire la sicurezza e l’affidabilità delle reti pubbliche di comunicazione. Sul ruolo di rilievo pubblico degli attori privati e, in particolare, degli ISPs, si rinvia, anche per ulteriori spunti bibliografici, a Flor, La Corte di Giustizia considera la direttiva europea 2006/24 sulla c.d. “data retention” contraria ai diritti fondamentali. Una lunga storia a lieto fine?, in Dir. pen. cont. trim., 2, 2014, 178 ss., in commento alla nota sentenza CGCE, 8 aprile 2014 (Digital Rights Ireland Ltd. - C-293/12 e C-594/12). (49) Su tali aspetti si veda il lavoro di Tropina - Callanan, Self- and Co-regulation in Cybercrime, Cybersecurity and National Security, Cham, Heidelberg, New York, Dordrecht, London, 2015, in cui gli Autori, già nelle pagine introduttive, affermano che l’ecosistema della lotta al cybercrime e della protezione della cybersecurity comporta oggi una interdipendenza internazionale e nazionale fra diversi attori, pubblici e privati, connessi o collegati a reti, infrastrutture, sistemi e servizi della società dell’informazione, compresi quelli afferenti a settori essenziali. (50) Cfr. Van Asselt - Renn, Risk Governance, in 14 Journal of Risk Research, 2011, 431 ss.; Trim - Lee, Cybersecurity management. A Governance, Risk and Compliance Framework, London-New York, 2014. Cfr. altresì Adams et al., The governance, cit.
SAGGI componenti, comprensive della riservatezza, della integrità e della disponibilità di computers, reti, programmi, dati e informazioni, che contribuiscono a formare parte del c.d. cyberspace, quale spazio concettuale che permette la digitalizzazione e l’interconnessione nella rete globale delle attività umane. In questa sede non si intendono ripercorrere le perplessità e le criticità nell’affermare una possibile responsabilità penale in capo a diversi operatori, quali Internet Service Providers, fornitori di servizi essenziali o di servizi digitali, produttori o fornitori di prodotti tecnologici (51). Come noto, fermi i profili di responsabilità commissiva per fatto proprio, ovvero a titolo di concorso materiale commissivo, che non sembrano sollevare particolari questioni, particolarmente discussa è la configurabilità di una responsabilità penale di carattere omissivo, ovvero per mancato impedimento dell’evento secondo il paradigma dell’art. 40 cpv. c.p., che comporterebbe la punibilità a titolo autonomo o, combinandosi con la disposizione di cui all’art. 110 c.p., per concorso omissivo nel reato realizzato da altri. Ciò che più preme evidenziare in questa sede è che a livello europeo si sta registrando la tendenza alla valorizzazione del ruolo dei diversi operatori e, per quanto attiene alla cybersecurity, dei fornitori di diversi servizi, fra cui quelli di servizi essenziali e digitali, sia nella fase di prevenzione che in quella di contrasto degli illeciti, in quanto destinatari di obblighi di adozione di misure tecniche e organizzative che devono risultare adeguate e proporzionate alla gestione dei rischi inerenti alla sicurezza delle reti e dei sistemi informativi che utilizzano nelle loro operazioni, per prevenire e minimizzare l’impatto degli incidenti, al fine di assicurare la loro continuità. Obblighi nell’adozione di misure di sicurezza, nonché di notifica degli incidenti presidiati da un apparato sanzionatorio.
(51) Basti il rinvio, in questa sede e senza alcuna pretesa di esaustività, ai classici contributi di Picotti, Fondamento e limiti della responsabilità penale dei service-providers in Internet, in Dir. pen. e proc., 1999, 379 e ss.; Picotti, La responsabilità penale dei service-providers in Internet, in Dir. pen. e proc., 1999, 501 e ss.; Seminara, La responsabilità penale degli operatori su Internet, in Dir. inf. e inform., 1998, 745 e ss.; Seminara, La pirateria su internet e il diritto penale, in Riv. trim. dir. pen. ec., 1997, 71 e ss.; Sieber, Responsabilità penali per la circolazione di dati nelle reti internazionali di computer, in Riv. trim. dir. pen. ec., 1997, 755 e ss.; Sieber, Responsabilità penali per la circolazione di dati nelle reti internazionali di computer. Parte seconda, in Riv. trim. dir. pen. ec., 1997, 1193 e ss.; Petrini, La responsabilità penale per i reati via internet, Napoli, 2004. Per alcuni riferimenti più recenti cfr. Flor, Tutela penale e autotutela tecnologica dei diritti d’autore nell’epoca di Internet, Padova, 2010, 417 e ss.; Ingrassia, Il ruolo dell’ISP nel ciberspazio: cittadino, controllore o tutore dell’ordine? Le responsabilità penali dei provider nell’ordinamento italiano, in Lupària (cur.), Internet provider e giustizia penale. Modelli di responsabilità e forme di collaborazione processuale, Milano, 2012, 15 ss.; Panattoni, Il sistema di controllo successivo: obbligo di rimozione dell’ISP e meccanismi di notice and take down, in Diritto pen. cont., 5/2018, 249 ss.
Sul piano interno, con specifico riferimento all’ordinamento italiano, nell’attuazione della direttiva NIS il legislatore ha optato per la previsione di sanzioni prevalentemente di natura amministrativa, «salvo che il fatto non costituisca reato». In primo luogo ha inteso sanzionare la violazione, da parte sia dell’operatore dei servizi essenziali sia del fornitore di servizi digitali (52) – seppur, con riferimento a questo ultimo, con una sanzione ridotta – degli obblighi di adozione delle misure tecniche e organizzative adeguate e proporzionate per la gestione del rischio per la sicurezza della rete e dei sistemi informativi, nonché di adozione delle misure adeguate per prevenire o minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali (53). In secondo luogo, il decreto attuativo sanziona l’omessa notifica al CSIRT italiano degli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti, nonché la mancata ottemperanza degli obblighi di cui al comma 2 dell’art. 13, ovvero delle istruzioni di cui al comma 4 (54) del medesimo articolo. Ulteriori sanzioni amministrative sono previste altresì in capo al fornitore di servizi digitali ed all’operatore di servizi essenziali dipendente da terze parti che fornisce servizi digitali indispensabili per il mantenimento di attività economiche e sociali fondamentali (55). Tale assetto normativo si inserisce nella strategia nazionale di sicurezza cibernetica, delineata nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico del 2013 (56) e ulteriormente sviluppata dal Piano
(52) L’operatore dei servizi essenziali e il fornitore di servizi digitali sono definiti dall’art. 4 della Direttiva NIS. (53) Definiti, in modo del tutto generico, rispettivamente dai commi 1 e 2 dell’art. 12 del d.lgs n. 65 del 2018. (54) Il comma 4 prevede che a seguito della valutazione delle informazioni o dei risultati degli audit sulla sicurezza di cui al comma 2, l’autorità competente NIS può emanare istruzioni vincolanti per gli operatori di servizi essenziali al fine di porre rimedio alle carenze individuate. (55) In particolare, salvo che il fatto costituisca reato, il fornitore di servizio digitale che non notifica al CSIRT italiano gli incidenti aventi un impatto rilevante sulla fornitura di un servizio fornito, ai sensi dell’art. 14, comma 4, è soggetto ad una sanzione amministrativa pecuniaria da 25.000 euro a 125.000 euro. Salvo che il fatto costituisca reato, l’operatore di servizi essenziali dipendente da terze parti che fornisce servizi digitali per la fornitura di un servizio che è indispensabile per il mantenimento di attività economiche e sociali fondamentali, che ometta la notifica, ai sensi dell’art. 14, comma 9, è soggetto ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro. Salvo che il fatto costituisca reato, il fornitore di servizi digitali che non osserva gli obblighi ai sensi dell’art. 15, comma 2, è soggetto ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro. (56) Si veda <https://www.sicurezzanazionale.gov.it/sisr.nsf/ wp-content/uploads/2014/02/quadro-strategico-nazionale-cyber. pdf>.
DIRITTO DI INTERNET N. 3/2019
465
SAGGI nazionale per la protezione cibernetica e la sicurezza informatica del 2017 (57) e dal Decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017 (Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali). Per quanto riguarda gli operatori di servizi essenziali, le autorità competenti NIS valutano il rispetto degli obblighi imposti dalla disciplina europea ed interna, nonché i relativi effetti sulla sicurezza della rete e dei sistemi informativi. Gli operatori di servizi essenziali sono tenuti a fornire all’autorità competente NIS: a) le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza; b) la prova dell’effettiva attuazione delle politiche di sicurezza, come i risultati di un audit sulla sicurezza svolto dall’autorità competente NIS o da un revisore abilitato e, in questo ultimo caso, metterne a disposizione dell’autorità competente NIS i risultati, inclusi gli elementi di prova. L’autorità competente NIS può emanare istruzioni vincolanti per gli operatori di servizi essenziali al fine di porre rimedio alle carenze individuate. I fornitori di servizi digitali sono tenuti non solo a fornire le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza, ma anche a porre rimedio ad ogni mancato adempimento degli obblighi sicurezza. In questo settore specifico – pur ammettendo in generale, da un lato, la frammentarietà delle fonti e degli interventi in materia (partendo dalla nota Direttiva 2000/31/Ce sul commercio elettronico e dalla sua attuazione in Italia con il d.lgs. 9 aprile 2003, n. 70) e, dall’altro lato, le diverse tipologie di operatori e fornitori e delle rispettive attività, ormai del tutto atipiche rispetto a quelle disciplinate dalle fonti appena citate – l’interpretazione delle più recenti disposizioni in materia di cybersecurity sembrano rafforzare la funzione di rilevanza pubblica rispetto alla insita natura privatistica, economico-commerciale attribuita a diversi operatori nella società tecnologica. Rafforzamento che appare coerente con la natura dell’interesse meritevole di tutela, ossia la cybersecurity nella sua dimensione super-individuale e collettiva, il cui nucleo essenziale è costruito sulla c.d. CIA-Triad. Se dovessimo volgere lo sguardo all’ordinamento interno, le fattispecie incriminatrici coinvolte potrebbero essere individuate in quelle di cui agli artt. 615 ter, 615 quater, 615 quinquies, 617 quater, 617 quinquies, 617
(57) Si veda <https://www.sicurezzanazionale.gov.it/sisr.nsf/ wp-content/uploads/2017/05/piano-nazionale-cyber-2017.pdf>.
466
DIRITTO DI INTERNET N. 3/2019
sexies, 635 bis, 635 ter, 635 quater e 635 quinquies e 640 ter c.p. (58) Viene in rilievo anzitutto il diritto ad una sfera esclusiva quale nuovo bene giuridico della persona, nascente dallo svolgersi di relazioni e attività di ogni tipo nel cyberspace. Si tratta di un ambito da tenere ben distinto da quello del segreto e dell’inviolabilità della corrispondenza e del domicilio, con cui peraltro confina e sembra talora confondersi. In verità si tratta di una sfera speciale di protezione, che ha ad oggetto l’interesse all’esclusività dell’accesso ad uno o più spazi informatici, a prescindere dalla natura dei dati e delle informazioni ivi archiviati, nonché alla loro disponibilità rispetto ad illegittime interferenze da parte di terzi soggetti, anticipando la protezione rispetto ad aggressioni all’integrità di sistemi e dati. Il rafforzamento della tutela penale è assicurata sia dalla fattispecie ostacolo di cui all’art. 615 quater c.p. – che sanziona condotte prodromiche all’accesso abusivo ad un sistema informatico o telematico tramite una decisa anticipazione della punibilità – sia dalla norma di cui all’art. 615 quinquies c.p. – la quale anticipa a sua volta la tutela della riservatezza e dell’integrità dei dati e dei sistemi, sanzionando una serie di condotte, riconducibili alla diffusione di dispositivi atti a danneggiare o interrompere un sistema, caratterizzate dal dolo specifico dello «scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni i dati o i programmi in esso contenuti o ad esso pertinenti, ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento» – sia, infine, dalle disposizioni di cui agli artt. 617 quater, 617 quinquies e 617 sexies, che riguardano le intercettazioni di comunicazioni informatiche o telematiche intercorrenti fra sistemi, senza alcuna rilevanza della conversazione e a prescindere dal loro contenuto (privato o meno). Queste ultime fattispecie incriminatrici tutelano la riservatezza e la sicurezza delle comunicazioni informatiche, da intendersi quale bene giuridico “personale” maggiormente delimitato o ristretto, contenuto nel più ampio “insieme” della “riservatezza e sicurezza informatiche”. Si tratta, infatti, dell’interesse dell’individuo a non subire intercettazioni o interferenze illecite nelle proprie comunicazioni informatiche, pur se non dirette a persone determinate, (58) Con riferimento al delitto di frode informatica, l’art. 9, comma 1, lett. a), della l. 15 ottobre 2013, n. 119, che ha convertito in legge, con modificazioni, il d.l. 14 agosto 2013, n. 93, ha inserito nell’art. 640 ter c.p. una nuova ipotesi aggravata, che sanziona la frode informatica commessa mediante sostituzione («furto o indebito utilizzo») «dell’identità digitale in danno di uno o più soggetti». Si tratta di una formulazione che presenta serie criticità, evidenziate nel report curato da Picotti, «Reati informatici, riservatezza, identità digitale», par. 4.5. di Flor, «Il “furto d’identità digitale” fra tutela del patrimonio e tutela della persona», presentato durante il Convegno Nazionale dell’Associazione Italiana dei Professi di Diritto Penale (Napoli 30-31 Maggio 2019), sul tema «La riforma dei reati contro la persona», reperibile nel sito dell’AIPDP (<https://www.aipdp.it/>).
SAGGI anche se prive di contenuto personale, segreto o riservato, andando oltre la tradizionale sfera di protezione dei segreti e della corrispondenza. Per quanto attiene ai “fatti” tipizzati dai delitti di danneggiamento informatico, la dimensione del bene giuridico tutelato non sembra potersi ridurre al patrimonio del titolare dei sistemi o dei dati, che rimane sullo sfondo. Essa è invece estesa all’integrità e alla disponibilità dei dati e dei sistemi informatici e telematici se non persino, per quanto riguarda le incriminazioni di cui agli artt. 635 ter e 635 quinquies c.p. – strutturati come delitti di attentato – l’ordine pubblico (59). Questo sistema penale di protezione evidenzia la rilevanza proprio degli emergenti interessi giuridici della riservatezza informatica, dell’integrità e della disponibilità dei sistemi informatici e dei dati (60), da cui dipende il corretto funzionamento anche delle cd. infrastrutture critiche, oltre che la certezza, la speditezza e lo sviluppo dei rapporti che sempre più spesso si svolgono mediante i nuovi “strumenti” informatici. In un simile contesto, dunque, non è del tutto improponibile il riconoscimento di una posizione di garanzia in capo ai diversi operatori, destinatari di specifiche discipline di fonte europea, cui può ricollegarsi il ricorso a strumenti di early warning, fondati su disposizioni che impongono obblighi di intervento e di notifica, tipici di un paradigma afferente tanto al “controllore” quanto al “tutore dell’ordine”, superando quello del mero fornitore inerte o passivo. Il Cybersecurity Act europeo sembra confermare tale tendenza con la definizione di un quadro europeo di certificazione della cibersicurezza, che prevede puntuali adempimenti anche in capo a fabbricanti o fornitori di prodotti, servizi o processi tecnologici. Spetteranno ai singoli legislatori nazionali le scelte di politica criminale nei casi di violazione del quadro europeo di certificazione della cybersecurity e dei sistemi europei di certificazione, che non escludono a priori l’approccio appena sopra proposto. Ciò vale, si intende, per la protezione della CIA-Triad, come ricavabile dall’esegesi delle fonti europee, per la tutela della cybersecurity ed il miglioramento della cd. Infosfera (61), che richiede un costante,
dinamico e flessibile bilanciamento tra sicurezza, tutela della dignità e della libertà attraverso un irrinunciabile confronto dialogico tra tutti gli attori della società ad “alto contenuto tecnologico”.
(59) Questa interpretazione potrebbe sollevare alcune perplessità. In estrema sintesi, se il legislatore avesse effettivamente voluto tutelare, con gli artt. 635 ter e 635 quinquies c.p., l’ordine pubblico non si spiegherebbe la loro collocazione sistematica. Cfr. Aterno, Le fattispecie di danneggiamento informatico, in Lupària (cur.), Sistema penale e criminalità informatica, Milano, 2009, 55; Salvadori, Il “microsistema” normativo concernente i danneggiamenti informatici. Un bilancio poco esaltante, in Riv. it. dir. e proc. pen., 2012, 204 ss. Più di recente vedi Cappellini, I delitti contro l’integrità dei dati, dei programmi e dei sistemi informatici, in Aa.Vv., Cybercrime, cit., 762 ss. (60) Cfr. Flor, Riservatezza informatica, cit., 463 ss. (61) Cfr. Floridi, La quarta rivoluzione, cit.
DIRITTO DI INTERNET N. 3/2019
467
SAGGI
Algoritmo e atto amministrativo informatico: le basi nel CAD di Marco Mancarella Sommario: 1. La sentenza del Consiglio di Stato, sezione VI, 8 aprile 2019, n. 2270. – 2. Dal timore dell’algoritmo al “procedimento amministrativo algoritmico”. – 3. I principi e diritti del Codice dell’Amministrazione Digitale. – 4. L’algoritmo come ”atto amministrativo informatico”. La sentenza del Consiglio di Stato, sezione VI, 8 aprile 2019, n. 2270, è da considerarsi come punto di arrivo di una riflessione informatico-giuridica avviata da tempo e che affonda le sue basi nel Codice dell’Amministrazione Digitale e nelle elaborazioni dottrinarie ad esso connesse, in parte non ancora consolidatesi nel medesimo Codice e nella giurisprudenza ma necessarie per avere un quadro normativo-operativo di insieme, all’interno del quale collocare l’importate arresto e le sue future declinazioni. The decision of the Council of State, section VI, 8 April 2019, n. 2270, is to be considered as the arrival point of a legal informatics reflection started some time ago and which has its bases in the Code of the Digital Administration and in the doctrine, in part not yet consolidated in the Code and in the jurisprudence, but necessary to have a complete regulatory and operational framework in which to place the important judgment and its future variations.
1. La sentenza del Consiglio di Stato, sezione VI, 8 aprile 2019, n. 2270
Ad oggi molteplici sono stati gli interventi in Dottrina volti all’analisi del contenuto, fortemente innovativo per il nostro ordinamento, della recente sentenza del Consiglio di Stato, sezione VI, 8 aprile 2019, n. 2270 (1). Gli autorevoli contributi si sono concentrati sull’analisi dei suoi vari passaggi logici e testuali, per i quali, ad avviso di chi scrive, occorre ulteriormente precisare la riflessione informatico-giuridica sottesa all’arresto giurisprudenziale, con fondamenta nel Codice dell’Amministrazione Digitale – CAD (D.Lgs. n. 82 del 7 marzo 2005) e, sotto diversi aspetti, non sviluppata nella sentenza. In tal modo, l’interpretazione del disposto giurisprudenziale può assumere una veste collocabile storicamente nella (lenta) evoluzione dell’Amministrazione digitale in Italia e arricchita da basi giuridiche utili all’operatore del diritto. Per procedere ad un approfondimento di tali aspetti, occorre primariamente partire dalla fattispecie concreta oggetto di disamina da parte del Consiglio di Stato. La vicenda giudiziaria ha inizio presso il TAR Lazio, chiamato a pronunciarsi in ordine al procedimento amministrativo del MIUR, piano straordinario di mobilità territoriale e professionale, caratterizzato da una totale informatizzazione della procedura, priva di intervento umano. I ricorrenti rilevavano l’illegittimità nell’uso di un algoritmo il cui funzionamento sarebbe rimasto sconosciuto, generando peraltro provvedimenti privi di al (1) Si consiglia, tra tutti, la lettura di: Crisci, Evoluzione tecnologica e trasparenza nei procedimenti “algoritmici”, in questa Rivista, 2019, 377-384.
cuna motivazione e senza l’individuazione di un funzionario MIUR in grado di valutare le singole situazioni. In secondo grado si è giunti alla sentenza di cui si discute, con la quale il Consiglio di Stato ha ritenuto illegittimo il procedimento amministrativo informatizzato del Ministero dell’Istruzione, su basi però diverse rispetto ad altra sentenza TAR Lazio che nel frattempo era intervenuta nella medesima materia (Tar Lazio, Sez. III bis, 10 settembre 2018, n. 9227) (2). Il Giudice di Palazzo Spada, nell’ottica di una maggiore digitalizzazione dell’amministrazione pubblica, ha ritenuto che il demandare l’intera procedura ad un sistema informatizzato sia corretto e auspicabile nell’ottica di una maggiore efficienza ed economicità, sempre che si ricada nel caso di operazioni meramente ripetitive e prive di discrezionalità. Ciò permetterebbe una maggiore imparzialità, in quanto si eviterebbero interferenze dovute a negligenza, se non dolo, del funzionario. Ovviamente, automatizzare il procedimento amministrativo non può significare discostarsi dai principi fondamentali dell’attività amministrativa, che devono sempre applicarsi alla regola tecnica seguita dall’algoritmo automatizzato, come giustamente sottolineato dal Consiglio di Stato. Da quanto detto consegue che l’algoritmo “delegato” alla decisione amministrativa, per non incorrere in illegittimità, (2) Il TAR Lazio ha evidenziato come il c.d. piano straordinario non era stato corredato da alcuna attività amministrativa ma demandato in toto ad un algoritmo, in grado di “decidere” autonomamente trasferimenti e assegnazioni, questo in contrasto, sempre secondo i giudici, con il principio della strumentalità del ricorso all’informatica nelle procedure amministrative e con un’attività provvedimentale sprovvista di previa e adeguata istruttoria procedimentale.
DIRITTO DI INTERNET N. 3/2019
469
SAGGI deve in ogni caso essere pienamente conoscibile e, conseguentemente, sindacabile dal giudice amministrativo: ciò può avvenire se la formula tecnica, rappresentante l’algoritmo, venga corredata da spiegazioni che la traducano nella “regola giuridica” ad essa sottesa e che la rendano leggibile e comprensibile dall’interprete. Principi, questi, perfettamente in linea anche con il contenuto di: - “Linee guida in materia di intelligenza artificiale e protezione dei dati” del 25 gennaio 2019, predisposte dal Comitato consultivo della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione 108) ; - “Declaration on Ethics and Data Protection in Artifical Intelligence”, predisposta nell’ambito della 40th International Conference of Data Protection and Privacy Commissioners - 23 ottobre 2018 ; - “Ethics guidelines for trustworthy AI” dell’8 aprile 2019, predisposte dall’High-Level Expert Group on Artificial Intelligence per conto della Commissione Europea . Per onere di completezza, ai fini di un inquadramento generale dell’evoluzione giudiziaria di settore e delle posizioni in campo, occorre citare la recente sentenza TAR Lazio, Sez. III-bis, 27 maggio 2019, n. 6606, con la quale il Giudice di primo grado ha nuovamente affermato la sua contrarietà all’utilizzo dell’algoritmo in ambito amministrativo considerato che, con esso, non vi sarebbe più alcuna reale attività amministrativa, la quale, al contrario, sarebbe caratterizzata dall’avere natura personale, quindi compiuta da un essere umano. A fondamento della sentenza sono poste le medesime argomentazioni di una pregressa pronuncia del Tar Lazio, Sez. III-bis, 10 settembre 2018, n. 9224 secondo la quale non è possibile permettere che lo svolgimento dell’attività amministrativa avvenga ad opera di un impersonale algoritmo. A ben leggere le sentenze TAR Lazio, però, la distanza con il Consiglio di Stato appare colmabile. Infatti, il Giudice di primo grado reclama con forza un procedimento amministrativo che sia sempre rispondente al canone di trasparenza, di partecipazione procedimentale (includendo la possibilità di interlocuzione personale con il funzionario), di obbligo di motivazione delle decisioni amministrative. Tutti principi mai messi in discussione dal Consiglio di Stato, in realtà. Il Giudice di secondo grado ha invece affermato tali principi, ma ammettendo la possibilità di un algoritmo che non possa lederli. Diversamente, il “potere informatico” della Pubblica Amministrazione, da intendersi sempre come potere al servizio del cittadino (3), si svuoterebbe del suo contenuto essenziale. A parere di chi scrive, la via
(3) Frosini, Il nuovo diritto del cittadino, in Riccobono, Nuovi diritti dell’età tecnologica, Roma, 1991, 78.
470
DIRITTO DI INTERNET N. 3/2019
da perseguire è quella tracciata dal Consiglio di Stato. Diversamente, il diritto continuerà a restare in affanno rispetto all’affermazione progressiva dell’algoritmo, iniziata con Eratostene e ora giunta ad una chiara presenza anche nel mondo giuridico (4).
2. Dal timore dell’algoritmo al “procedimento amministrativo algoritmico”
L’arresto del Consiglio di Stato di cui si discute appare dunque un primo step, essenziale, nel superamento dei timori lucidamente avanzati da Stefano Rodotà nelle sue riflessioni in tema di “dittatura dall’algoritmo”: “Questo confidare negli algoritmi ne determina una presenza sempre più pervasiva, che sembra non conoscere confini. L’algoritmo disegna le modalità di funzionamento di larghe aree delle nostre organizzazioni sociali, e così redistribuisce poteri. Incarna anzi le nuove forme del potere e ne modifica la qualità. E tutto questo suscita diverse domande. Saremo sempre più intensamente alla mercé delle macchine? Quali sono gli effetti su libertà e diritti, quali le conseguenze sullo stesso funzionamento democratico di una società?”. (5) Parole che rappresentano anche la “sfida” necessaria nell’età tecnologica tra la tecnologia come progresso e la tecnologia come involuzione, secondo l’analisi di Sergio Cotta, per il quale la situazione tecnologica è da intendersi come situazione aperta e non chiusa, in primis come “problema” e non come “dato”: “Invero, solo se avvertita come problema, essa resta una situazione a misura d’uomo, in cui è impegnata la nostra intera personalità intellettuale e morale in un responsabile sforzo di comprensione e, insieme, di controllo”. (6) Comprensione e controllo per i quali lo stesso Rodotà auspicava una forte trasparenza degli algoritmi, al pari di quella disposta dalla sentenza dell’8 aprile 2019, onde evitare che gli stessi diventino “una nuova versione degli arcana imperii”, in grado di impadronirsi, segretamente, della vita stessa delle persone, professionale e non. L’”intelligenza artificiale” (7), di cui gli algoritmi ne costituiscono l’attuazione, deve sempre perseguire il precetto (4) Il primo algoritmo è stato il cd. “setaccio di Eratostene” (matematico greco, 276-195 a.c.), come ricostruito da: Ziccardi, Manuale breve di Informatica giuridica, Milano, 2008, 11-12. Sulla necessità di una scienza giuridica computazionale: Faro, Scienze sociali computazionali, diritto, informatica giuridica (verso la scienza giuridica computazionale), in Peruginelli, Ragona, L’informatica giuridica in Italia, Napoli, 2014, 603-619. (5) Rodotà, Il mondo nella rete, Bari-Roma, 2014, 38. (6) Cotta, La sfida tecnologica, Bologna, 1968, 103. (7) Per “intelligenza artificiale” è giusto accogliere la definizione dell’Università di Stanford, che la identifica come “una scienza e un insieme di tecniche computazionali che vengono ispirate - pur operando tipicamente in maniera diversa - dal modo in cui gli esseri umani utilizzano il proprio sistema nervoso e il proprio corpo per sentire, imparare, ragionare e agire” (Cfr. Stanford University, Artificial Intelligence and life in 2030.
SAGGI delineato dallo stesso Libro Bianco AGID del 2018 (8), nella cui parte introduttiva si legge il giusto riferimento al concetto greco di “Eudaimonia”, in grado di rappresentare “una condizione complessiva di benessere in cui l’essere umano percepisce i propri benefici a partire dalla contemplazione cosciente delle considerazioni etiche che ci aiutano a definire come desideriamo vivere”. Da tale presupposto, AGID, nel citato Libro Bianco, sposa l’idea secondo la quale “è possibile dare la priorità all’aumento del benessere umano come parametro per il progresso nell’“età algoritmica”. Riconoscendo il potenziale di un approccio olistico, la prosperità dovrebbe in questo modo diventare più importante del perseguimento di obiettivi monodimensionali come l’aumento della produttività o la crescita del PIL di un Paese”. Al di là dell’approccio sistemico all’introduzione dell’intelligenza artificiale, ciò che più rileva è l’impossibilità, oggi, di sottrarsi al processo. L’impossibilità di non iniziare a riflettere, compiutamente e senza barricate ideologiche, all’introduzione dell’intelligenza artificiale nelle attività procedimentali della Pubblica Amministrazione. Se queste sono delle prime conclusioni, è probabilmente lecito riflettere, quindi, su quanto la migliore Dottrina ha evidenziato in termini di evoluzione nel tempo della struttura del procedimento amministrativo (9). La Legge n. 241/1990 sul procedimento amministrativo è stata ideata e scritta con obiettivi essenzialmente “analogici” (si pensi che non era ancora nata Internet come oggi la intendiamo), poi nel tempo integrata sempre più in senso “digitale”. Si veda, ad esempio, l’art. 3-bis, introdotto con la Legge n. 15/2005, secondo il quale la Pubblica Amministrazione, per conseguire maggiore efficienza nella sua attività, deve incentivare l’uso della telematica, nei rapporti interni, tra le diverse Amministrazioni e tra queste e i privati. Ma, a parere di chi scrive, l’impianto di fondo della Legge n. 241/1990 rimane comunque “analogico”, motivo per il quale autorevole Dottrina ha giustamente sottolineato come il modello del “procedimento sequenziale” di tale legge, quindi ripartito per rigide fasi, sia in realtà in un momento di totale superamento a causa del processo di informatizOne hundred year study on Artificial Intelligence, 2016, p. 4, disponibile al link <https://ai100.stanford.edu/sites/g/files/sbiybj9861/f/ai100report10032016fnl_singles.pdf>, consultata nel mese di giugno 2019). (8) Il documento è disponibile al link <https://ia.italia.it/assets/librobianco.pdf>, consultata nel mese di giugno 2019. (9) Per “procedimento amministrativo” è da intendersi una sequenza di atti amministrativi che portano all’emanazione di un atto finale (il provvedimento), e che quindi concorrono al conseguimento di un interesse pubblico. Pertanto, il procedimento amministrativo rappresenta la forma esteriore attraverso la quale si dispiega l’azione amministrativa, ovvero quel particolare iter procedurale che rende l’atto efficace e perfetto, nel pieno rispetto dell’art. 97 della nostra Costituzione e della disciplina primaria di settore dettata dalla Legge n. 241/1990.
zazione pubblico, con un passaggio al “procedimento a stella”: “il concetto di procedimento a stella, alternativo al classico procedimento sequenziale, non è un’invenzione o una proposta dottrinale, ma una constatazione, derivante dalla scomparsa del fascicolo cartaceo che imponeva una sequenzialità legata alla necessità di disporre della documentazione cartacea per ogni intervento. La disponibilità in Rete del fascicolo informatico, contenente tutti gli elementi, consente di compiere le attività necessarie contemporaneamente, salvo il caso di diversa prescrizione legislativa o di palese inopportunità” (10). Da questa riflessione scaturisce la convinzione di un progressivo “impoverimento applicativo” della Legge n. 241/1990: ancora vigente, ma che prosegue il suo cammino lungo modelli procedimentali inadatti alla realtà digitale. Lo stesso Consiglio di Stato, con i rilievi allo schema del CAD svolti dalla sezione consultiva per gli atti normativi (Adunanza del 7 febbraio 2005), richiamava l’attenzione del Legislatore sulla necessità di una “perimetrazione” del Codice con riferimento alla disciplina del procedimento amministrativo. Richiamo non considerato appieno dal Legislatore nel testo finale del CAD. Ad oggi, quindi, una disciplina unica e puntuale sul procedimento amministrativo informatico, contenuta
(10) Duni, L’Amministrazione digitale, Milano, 2008, 53. Una prima compiuta spiegazione del concetto di “procedimento a stella” è rinvenibile in: Id., Ancora sul procedimento amministrativo telematico: le ultime ricerche, relazione al Convegno DAE, Catania, 2-3 luglio 2004, 3-7, disponibile al link: <http://www.cesda.it/quadernidae/pdf/Duni_DAE2004.pdf>, consultato nel mese di giugno 2019: “In sostanza l’accesso contemporaneo al server dove è collocato il dossier informatico fa sparire la sequenzialità tipica del procedimento, trasformando lo schema operativo lineare e sequenziale in uno schema a raggi o, se si preferisce, a stella. Naturalmente vi sono delle eccezioni e delle attenuazioni all’assolutezza di queste affermazioni. Sicuramente è una verità di principio che allo schema operativo lineare e sequenziale si sostituisce lo schema a stella, ma occorre essere consapevoli di alcune importanti eccezioni: a) nel mondo cartaceo lo schema a stella già opera in tutti i casi in cui la Pubblica Amministrazione. (a volte la stessa legge) esige la duplicazione la documentazione cartacea appositamente per consentire che più uffici o amministrazioni lavorino in contemporanea; b) viceversa, nel mondo telematico, può essere necessario mantenere una sequenzialità tra fasi procedimentali. Ciò può essere imposto dalle norme in modo esplicito o implicito: l’operatore amministrativo b non può (non deve) operare se prima non ha compiuto la sua fase l’operatore a. Ma la sequenzialità può anche essere suggerita da motivi di opportunità: poniamo che per l’accoglimento di una istanza del cittadino si debbano fare alcune valutazioni complesse e dei riscontri facili, ma dal cui esito negativo discende necessariamente la reiezione dell’istanza: ebbene l’economia di attività suggerisce di fare precedere questi riscontri facili alle valutazioni complesse. Gli operatori coinvolti in queste ultime attenderanno quindi che nel dossier informatico appaia l’avvenuto superamento di detti riscontri agevoli. Dopo queste precisazioni, va comunque confermato che in generale, forse almeno nell’80% dei casi, si cambia dalla sequenzialità allo schema a stella”. Di parere concorde, da ultimo: Maddalena, La digitalizzazione della vita dell’amministrazione e del processo, in <Astrid>, n. 253/2016, 31, disponibile al link: <http://www.astrid-online.it/static/upload/madd/maddalena_varenna_2016.pdf>, consultato nel mese di giugno 2019.
DIRITTO DI INTERNET N. 3/2019
471
SAGGI in un unico testo legislativo e al passo con una visione procedimentale “a stella”, non esiste. È fondata, comunque, la posizione in Dottrina secondo la quale, in base alla normativa vigente (essenzialmente CAD e DPR n. 445/2000), sia possibile oggi espletare e gestire il procedimento amministrativo esclusivamente in forma elettronica (11). L’interprete, dunque, può oggi ricostruire una disciplina compiuta del procedimento amministrativo informatico, ma sempre da una sommatoria di norme contenute in diversi testi normativi di settore. Vi è ora da chiedersi se l’affermarsi progressivo dell’algoritmo ha reso già superata, o meno, la stessa esistenza del procedimento “a stella”. Oggi il procedimento può divenire l’algoritmo in sé, ovviamente nei limiti di quanto statuito dal Consiglio di Stato. Si giunge, nei casi consentiti, ad una totale fusione del procedimento nell’algoritmo, che opera anche autonomamente rispetto al funzionario e, con logiche machine learning, nel breve periodo da esso apprende. La configurazione “a stella” non appare quella dell’algoritmo. Si viene delineando, a parere di chi scrive, una terza forma di struttura del procedimento amministrativo: il procedimento amministrativo algoritmico. Anch’esso non si pone come costruzione dottrinaria, ma come mera constatazione di fatto. Il CAD, probabilmente, poteva già essere il luogo ideale ove ricostruire un’unica disciplina sul procedimento amministrativo informatico o, comunque, è auspicabile possa divenirlo in futuro per il nuovo “procedimento amministrativo algoritmico”.
3. I principi e diritti del Codice dell’Amministrazione Digitale
La sentenza in esame del Consiglio di Stato detiene molteplici spunti di riflessione in termini di Amministrazione digitale. Per coglierli al meglio occorre richiamare per intero un passaggio effettuato dal Giudice amministrativo: “In generale, non può essere messo in discussione che un più elevato livello di digitalizzazione dell’amministrazione pubblica sia fondamentale per migliorare la qualità dei servizi resi ai cittadini e agli utenti. Il Codice dell’amministrazione digitale rappresenta un approdo decisivo in tale direzione. I diversi interventi di riforma dell’amministrazione susseguitisi nel corso degli ultimi decenni, fino alla legge n. 124 del 2015,
(11) Cfr. Masucci. Procedimento amministrativo e nuove tecnologie. Il procedimento amministrativo elettronico ad istanza di parte, Torino, 2011. Per un approfondimento in tema di procedimento amministrativo informatico: Duni, L’Amministrazione digitale, cit.; Orofino, Forme elettroniche e procedimenti amministrativi, Bari, 2008; Giurdanella, Guarnaccia, Elementi di Diritto Amministrativo Elettronico, Matelica., 2005. Una riflessione più attenta al rapporto tra informatica e Amministrazione, con uno sguardo d’analisi informatico-giuridica ai procedimenti e ai principi che li sovraintendono, è rinvenibile in: Taddei Elmi, Corso di Informatica giuridica, Napoli, 2007, 213-228.
472
DIRITTO DI INTERNET N. 3/2019
sono indirizzati a tal fine; nella medesima direzione sono diretti gli impulsi che provengono dall’ordinamento comunitario (vedasi tra l’altro Comunicazione della Commissione sull’Agenda digitale europea). Anche la dottrina si è interrogata sulle opportunità fornite dalle nuove tecnologie, elaborando la nozione di “e-government”, ovvero l’introduzione di modelli decisionali e di forme gestionali innovative, che si avvalgano della tecnologie informatiche ed elettroniche. […] Per quanto attiene più strettamente all’oggetto del presente giudizio, devono sottolinearsi gli indiscutibili vantaggi derivanti dalla automazione del processo decisionale dell’amministrazione mediante l’utilizzo di una procedura digitale ed attraverso un “algoritmo” – ovvero di una sequenza ordinata di operazioni di calcolo–che in via informatica sia in grado di valutare e graduare una moltitudine di domande. L’utilità di tale modalità operativa di gestione dell’interesse pubblico è particolarmente evidente con riferimento a procedure seriali o standardizzate, implicanti l’elaborazione di ingenti quantità di istanze e caratterizzate dall’acquisizione di dati certi ed oggettivamente comprovabili e dall’assenza di ogni apprezzamento discrezionale. Ciò è, invero, conforme ai canoni di efficienza ed economicità dell’azione amministrativa (art. 1 l. 241/90), i quali, secondo il principio costituzionale di buon andamento dell’azione amministrativa (art. 97 Cost.), impongono all’amministrazione il conseguimento dei propri fini con il minor dispendio di mezzi e risorse e attraverso lo snellimento e l’accelerazione dell’iter procedimentale. Per questa ragione, in tali casi – ivi compreso quello di specie, relativo ad una procedura di assegnazione di sedi in base a criteri oggettivi – l’utilizzo di una procedura informatica che conduca direttamente alla decisione finale non deve essere stigmatizzata, ma anzi, in linea di massima, incoraggiata: essa comporta infatti numerosi vantaggi quali, ad esempio, la notevole riduzione della tempistica procedimentale per operazioni meramente ripetitive e prive di discrezionalità, l’esclusione di interferenze dovute a negligenza (o peggio dolo) del funzionario (essere umano) e la conseguente maggior garanzia di imparzialità della decisione automatizzata. In altre parole, l’assenza di intervento umano in un’attività di mera classificazione automatica di istanze numerose, secondo regole predeterminate (che sono, queste sì, elaborate dall’uomo), e l’affidamento di tale attività a un efficiente elaboratore elettronico appaiono come doverose declinazioni dell’art. 97 Cost. coerenti con l’attuale evoluzione tecnologica.” L’intero ragionamento del Giudice di Palazzo Spada si fonda primariamente, come si legge, nel Codice dell’Amministrazione Digitale (D.Lgs. 82 del 2005, come riformato da ultimo con D.Lgs. 217/2017) (12), del quale, però, non vengono citate direttamente le norme di riferimento per il caso. Esse possono essere rinvenute di certo:
(12) Cfr. Guarnaccia - Mancarella, Codice dell’Amministrazione Digitale 2018, Roma, 2018.
SAGGI - nell’art. 12, comma 1, in base al quale: “Le pubbliche amministrazioni nell’organizzare autonomamente la propria attività utilizzano le tecnologie dell’informazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione nel rispetto dei principi di uguaglianza e di non discriminazione, nonché per l’effettivo riconoscimento dei diritti dei cittadini e delle imprese di cui al presente Codice in conformità agli obiettivi indicati nel Piano triennale per l’informatica nella pubblica amministrazione”; - nell’art. 15, commi 1 e 2, in base al quale: “La riorganizzazione strutturale e gestionale delle pubbliche amministrazioni volta al perseguimento degli obiettivi di cui all’articolo 12, comma 1, avviene anche attraverso il migliore e più esteso utilizzo delle tecnologie dell’informazione e della comunicazione nell’ambito di una coordinata strategia che garantisca il coerente sviluppo del processo di digitalizzazione. In attuazione del comma 1, le pubbliche amministrazioni provvedono in particolare a razionalizzare e semplificare i procedimenti amministrativi, le attività gestionali, i documenti, la modulistica, le modalità di accesso e di presentazione delle istanze da parte dei cittadini e delle imprese, assicurando che l’utilizzo delle tecnologie dell’informazione e della comunicazione avvenga in conformità alle prescrizioni tecnologiche definite nelle Linee guida”; - nell’art. 40, in base al quale: “Le pubbliche amministrazioni formano gli originali dei propri documenti, inclusi quelli inerenti ad albi, elenchi e pubblici registri, con mezzi informatici secondo le disposizioni di cui al presente codice e le Linee guida”; - nell’art. 41, comma 1, in base al quale: “Le pubbliche amministrazioni gestiscono i procedimenti amministrativi utilizzando le tecnologie dell’informazione e della comunicazione.[...]”. Se, dunque, l’algoritmo è una “soluzione” con chiara base giuridica nelle disposizioni del CAD, consegue anche la possibilità per “chiunque” (rectius: qualsiasi soggetto giuridico) di richiederne l’uso, soprattutto ai fini della fornitura da parte dell’Amministrazione di servizi innovativi. Il diritto (soggettivo) in questione è disciplinato nell’art. 3 del CAD: “Chiunque ha il diritto di usare, in modo accessibile ed efficace, le soluzioni e gli strumenti di cui al presente Codice nei rapporti con i soggetti di cui all’articolo 2, comma 2 (13), anche ai fini dell’esercizio dei diritti di accesso e della partecipazione al procedimento amministrativo, fermi restando i diritti (13) Si tratta delle Pubbliche Amministrazioni, gestori di servizi pubblici (ivi comprese le società quotate) in relazione ai servizi di pubblico interesse, società controllate.
delle minoranze linguistiche riconosciute.” La disposizione pone l’accento anche sulla necessità di assicurare sempre i diritti di accesso e di partecipazione al procedimento: pertanto, nel caso dell’algoritmo, occorrerebbe sempre più progettare soluzioni in grado di permettere a “chiunque” l’esercizio di tali diritti, con soluzioni possibilmente SPID (14) e in remoto. L’evoluzione tecnologica permette soluzioni di questo tipo che, attuate, minerebbero uno dei costrutti dei citati TAR Lazio, contrari all’introduzione dell’algoritmo nei procedimenti amministrativi. Lo sviluppo degli algoritmi nella Pubblica Amministrazione diverrebbe, in tal modo, sviluppo dei diritti di accesso e partecipazione, con notevoli risparmi gestionali pubblici e operativi privati (15).
4. L’algoritmo come ”atto amministrativo informatico”
Proseguendo nella disamina della sentenza, al fine di meglio comprenderne i contenuti in base alla normativa di Amministrazione digitale oggi esistente, occorre ora richiamare il successivo passaggio compiuto dal Giudice amministrativo: “L’utilizzo di procedure “robotizzate” non può, tuttavia, essere motivo di elusione dei princìpi che conformano il nostro ordinamento e che regolano lo svolgersi dell’attività amministrativa. Difatti, la regola tecnica che governa ciascun algoritmo resta pur sempre una regola amministrativa generale, costruita dall’uomo e non dalla macchina, per essere poi (solo) applicata da quest’ultima, anche se ciò avviene in via esclusiva. Questa regola algoritmica, quindi: - possiede una piena valenza giuridica e amministrativa, anche se viene declinata in forma matematica, e come tale, come si è detto, deve soggiacere ai principi generali dell’attività amministrativa, quali quelli di pubblicità e trasparenza (art. 1 l. 241/90), di ragionevolezza, di proporzionalità, etc.; - non può lasciare spazi applicativi discrezionali (di cui l’elaboratore elettronico è privo), ma deve prevedere con ragionevo (14) Sistema Pubblico di Identità Digitale, ovvero la soluzione che permette a cittadini e imprese di accedere a tutti i servizi online della Pubblica Amministrazione con un’unica Identità Digitale (username e password) utilizzabile da computer, tablet e smartphone. In base all’art. 3-bis del CAD, chiunque detiene il diritto ad accedere ai servizi online delle Pubbliche Amministrazioni e gestori di pubblici servizi tramite SPID. (15) In continuità con le conclusioni formulate da: Patroni Griffi, La decisione robotica e il giudice amministrativo, 28 agosto 2018, al link <https://www.giustizia-amministrativa.it/documents/20142/147941/ Patroni+Griffi+-+La+decisione+robotica+e+il+giudice+amministrativo+-+28+agosto+2018.pdf/24218a2e-47b7-1c0a-b2ee-c1b670347f95>, consultato nel mese di giugno 2019. In base all’Autore, “la decisione amministrativa robotizzata è indirizzata su un cammino che può essere ragionevolmente percorso in molti settori della vita quotidiana che richiedano l’intermediazione della pubblica amministrazione. E’ un percorso che impone cautele, che necessita di un adattamento del sindacato giurisdizionale sui provvedimenti amministrativi e che probabilmente richiede regole europee comuni; ma è una strada senz’altro percorribile. In altre parole, l’automazione dei processi decisionali dell’amministrazione sembra essere ben avviata”.
DIRITTO DI INTERNET N. 3/2019
473
SAGGI lezza una soluzione definita per tutti i casi possibili, anche i più improbabili (e ciò la rende in parte diversa da molte regole amministrative generali); la discrezionalità amministrativa, se senz’altro non può essere demandata al software, è quindi da rintracciarsi al momento dell’elaborazione dello strumento digitale; - vede sempre la necessità che sia l’amministrazione a compiere un ruolo ex ante di mediazione e composizione di interessi, anche per mezzo di costanti test, aggiornamenti e modalità di perfezionamento dell’algoritmo (soprattutto nel caso di apprendimento progressivo e di deep learning); - deve contemplare la possibilità che – come è stato autorevolmente affermato – sia il giudice a “dover svolgere, per la prima volta sul piano ‘umano’, valutazioni e accertamenti fatti direttamente in via automatica”, con la conseguenza che la decisione robotizzata “impone al giudice di valutare la correttezza del processo automatizzato in tutte le sue componenti”. In definitiva, dunque, l’algoritmo, ossia il software, deve essere considerato a tutti gli effetti come un “atto amministrativo informatico”. A ben vedere, la conclusione del ragionamento giudiziario trova le sue basi nel citato art. 40 del CAD, in tema di obbligatorietà della forma informatica per i documenti amministrativi originali, che permette di configurare l’“atto amministrativo informatico”, in una duplice veste: - “atto amministrativo in mera forma informatica”, ovvero creato dal PC che viene utilizzato come macchina da scrivere evoluta, quindi senza un’elaborazione automatica di tutto o parte del contenuto dell’atto, visto che ogni decisione è presa dal funzionario scrivente; - “atto elaborato informaticamente”, ovvero formato direttamente nella memoria dell’elaboratore, con un apporto o meno del funzionario pubblico, in perfetta aderenza alle istruzioni contenute nel relativo programma utilizzato. Nello specifico, l’arresto giunge quindi a legittimare il secondo caso considerato, l’atto elaborato informaticamente, meglio definito in passato come l’“atto amministrativo automatizzato”, ovvero la possibilità, o meno, dei sistemi informatici di porre in essere atti, in toto o in parte, senza l’ausilio umano ma solo tramite l’elaborazione automatica dei dati inseriti sulla base delle istruzioni contenute nel software (16). Addentrandoci nel processo, come rilevato da autorevole Dottrina, con il “provvedimento algoritimico” avviene “una trasposizione della motivazione del provve-
dimento ad un momento antecedente il provvedimento stesso, il cui nucleo fondante risiede in un algoritmo autoproducente (attraverso il c.d. machine learning) un risultato finale, ma etero-introdotto nel meccanismo fasico parametrico (progettazione dell’algoritmo). Pertanto, l’indagine del giudice, eterna sentinella a presidio del diritto e dell’economia, dovrà necessariamente concentrarsi sul momento fasico antecedente l’elaborazione algoritmica (peraltro scontata e quasi matematica), quello della progettazione dei presupposti oggettivi e soggettivi della decisione dell’Amministrazione, atteso che in tale sede si esplica in concreto, la discrezionalità amministrativa.” (17) La gestione algoritmica dei procedimenti comporta quindi “un’anticipazione del momento decisionale rispetto alle singole evenienze concrete” (18). La manifestazione di volontà è da intendersi contenuta nell’”atto programma”, ovvero nell’atto con il quale la Pubblica Amministrazione approva le istruzioni complessive impartite all’algoritmo adottato e con il quale la Pubblica Amministrazione pone un “autolimite” al suo agire: in tal modo l’atto finale generato dall’algoritmo non può che configurarsi come il precipitato delle determinazioni già assunte in sede di programmazione. Con l’informatizzazione delle procedure non si realizza uno scollamento tra volontà dell’autorità e la volontà dell’atto, perché l’elaboratore compie solo le operazioni prefissate a monte dall’Amministrazione quali possibili soluzioni a fattispecie concrete. (19) Compresa l’essenza giuridica dell’atto amministrativo informatico, occorre ora soffermarsi su ulteriori profili di analisi connessi alla sua peculiare natura. I limiti dell’atto amministrativo informatico sono essenzialmente connessi al principio di discrezionalità che sovraintende all’agere amministrativo (20) e che, solo in alcuni casi, può permettere la “normalizzazione”, ovvero la traduzione a mezzo di algoritmi dei testi giuridici in simboli comprensibili dall’elaboratore, quindi la conver-
(17) Crisci, Evoluzione tecnologica e trasparenza nei procedimenti “algoritmici”, cit., 377-384. (18) Puddu, Contributo ad uno stato sull’anormalità dell’atto amministrativo informatico, Napoli, 2006, 146. Per maggiore chiarezza, “possiamo dire che abbiamo trovato una soluzione algoritmica a un problema, quando abbiamo escogitato un algoritmo la cui esecuzione produce la soluzione corretta al nostro problema, per tutti gli input ammissibili (per tutti quei dati che noi vogliamo trattare, quali possibili input per il nostro algoritmo, cioè quali possibili casi del problema cui intendiamo dare soluzione” (Sartor, Corso d’informatica giuridica. Volume I, Torino, 89-90). (19) Puddu, cit., 147. L’Autrice richiama: Masucci, L’atto amministrativo informatico, Napoli, 1993, 85.
(16) Cfr. Masucci, Procedimento amministrativo e nuove tecnologie. Il procedimento amministrativo elettronico ad istanza di parte, cit., 95 ss.; Duni, L’Amministrazione digitale, cit., 75 ss.; Marongiu, L’attività amministrativa automatizzata, Santarcangelo di Romagna, cit., 69; Costantino, Autonomia dell’amministrazione e innovazione digitale, Napoli, 2012, 169.
474
DIRITTO DI INTERNET N. 3/2019
(20) La discrezionalità amministrativa può essere definita come la possibilità di scelta, o meglio quell’attività “ponderativa” di tutti gli interessi in gioco, relativi ad un determinato contesto, riconosciuta alla Pubblica Amministrazione, tra più comportamenti ugualmente leciti per il soddisfacimento dell’interesse pubblico individuato dalla norma giuridica.
SAGGI sione del linguaggio naturale in un linguaggio artificiale atto a supportare un’elaborazione automatica, totale o parziale, di un atto amministrativo (21). Il Consiglio di Stato, nella sentenza in esame, è consapevole di tale problematica e si preoccupa, infatti di circoscrivere l’applicabilità dell’algoritmo: “L’utilità di tale modalità operativa di gestione dell’interesse pubblico è particolarmente evidente con riferimento a procedure seriali o standardizzate, implicanti l’elaborazione di ingenti quantità di istanze e caratterizzate dall’acquisizione di dati certi ed oggettivamente comprovabili e dall’assenza di ogni apprezzamento discrezionale.” Cambiando prospettiva, si può quindi affermare che ove risiede la discrezionalità amministrativa non vi sarebbe margine, oggi, per l’introduzione di soluzioni amministrative algoritmiche. In caso di utilizzo dell’algoritmo secondo i parametri dettati dal Consiglio di Stato si possono comunque generare profili di illegittimità dei provvedimenti amministrativi da esso scaturenti. Secondo la più attenta Dottrina, occorre integrare le categorie dell’illegittimità tenendo conto dell’incidenza delle tecnologie sul procedimento. In altre parole, i tradizionali vizi di legittimità dell’atto amministrativo, che ne comportano l’annullabilità, dovranno essere ulteriormente estesi in relazione alla digitalizzazione del procedimento (22). Un caso di incompetenza legata al digitale, potrebbe derivare dall’utilizzo in una Pubblica Amministrazione di un algoritmo non aggiornato per quanto riguarda le eventuali novità legislative in tema di competenza ad emanare l’atto, quindi potenzialmente in grado di continuare a generare atti amministrativi elettronici nel tempo secondo schemi e processi non più a norma (23).
(21) Cfr. Sartor, Corso di Informatica giuridica. Volume I, cit.; Masucci, L’atto amministrativo informatico, cit. (22) Di seguito i tradizionali vizi di legittimità dell’atto amministrativo: 1) incompetenza: deve essere “relativa” (atto predisposto da un organo amministrativo che non è quello competente per grado, materia o per territorio) e non “assoluta” (atto predisposto da un’autorità appartenente ad altro ordine di poteri o ad altro settore della Pubblica Amministrazione) poiché quest’ultima comporta la nullità dell’atto; 2) eccesso di potere: si configura ogni qual volta l’autorità amministrativa persegue un fine diverso da quello per il quale le è stato riconosciuto dall’ordinamento il potere di emanare l’atto, oppure ogni qual volta siano presenti le cosiddette “figure sintomatiche” elaborate dalla giurisprudenza (ad es. il travisamento o l’erronea valutazione dei fatti, l’illogicità o contraddittorietà dell’atto, la motivazione insufficiente o incongrua, la contraddittorietà tra più atti, l’ingiustizia manifesta, etc.); 3) violazione di legge: ha carattere residuale, comprendendo tutti quei vizi che non rientrano nelle precedenti due categorie e che si sostanziano in un’inosservanza dell’ordinamento giuridico. (23) Puddu, Contributo ad uno stato sull’anormalità dell’atto amministrativo informatico, cit., 217-218.
Il digitale applicato al procedimento amministrativo di certo potrebbe anche comportare nuove figure di eccesso di potere, come ad es. la decontestualizzazione della fase istruttoria, ovvero i casi in cui l’intento di velocizzare e semplificare le procedure fa si che l’Amministrazione circoscriva ex ante in maniera troppo rigida gli apporti partecipativi dei quali terrà conto, precludendo alle parti la possibilità di produrre documenti diversi da quelli contemplati in una modalità telematica predefinita (24). In giurisprudenza appare delinearsi anche una precisa figura sintomatica: l’eccesso di potere per violazione dell’obbligo di assicurare da parte dell’Amministrazione il buon funzionamento dei sistemi informatici di cui si avvale, soprattutto nel momento in cui obbliga l’istante all’uso degli stessi (25). La violazione di legge di certo potrebbe configurarsi nel momento in cui sia violata una norma imperativa del CAD (in primis l’art. 3) o di normative connesse (anche altre leggi e codici che si occupano di declinazioni del digitale non contemplate direttamente nel CAD o solo da esso richiamate). Volendo catalogare i peculiari vizi dell’atto amministrativo informatico, è possibile farlo concentrandosi sulla loro potenziale fonte: - vizi di macchina: attinenti al malfunzionamento dell’hardware (per es. anomalie per interferenze magnetiche o elettrostatiche); - vizi di software: attinenti al programma utilizzato (per es. errore di programmazione); - vizi di input: attinenti alle informazioni che sono gestite dall’elaboratore (per es. errore del funzionario o del cittadino nell’inserimento dati o inserimento in modalità automatica da parte dello stesso elaboratore di informazioni presenti in database lacunosi) (26). Taluni esempi: l’esistenza di difficoltà tecniche nelle comunicazioni telematiche potrebbe essere motivo di illegittimità per lesione della partecipazione procedimentale dei soggetti tenuti a interloquire con l’Amministrazione (vizio di macchina); il programma utilizzato per la raccolta delle istanze potrebbe non essere in grado (24) Id., 173. (25) Nella sentenza del C.d.S., III sezione, n. 481/2013 si legge: “Il rischio inerente alle modalità di trasmissione [della domanda di partecipazione ad una gara] non può far carico che alla parte che unilateralmente aveva scelto il relativo sistema e ne aveva imposto l’utilizzo ai partecipanti; e se rimane impossibile stabilire se vi sia stato un errore da parte del trasmittente, o piuttosto la trasmissione sia stata danneggiata per un vizio del sistema, il pregiudizio ricade sull’ente che ha bandito, organizzato e gestito la gara”. Sulle medesime posizioni: TAR Puglia, sede di Bari, n. 1094/2015. (26) Per una completa disamina delle categorie di vizio citate nel testo, si rinvia a: Puddu, Contributo ad uno stato sull’anormalità dell’atto amministrativo informatico, cit., pp. 179-249.
DIRITTO DI INTERNET N. 3/2019
475
SAGGI di gestire una certa mole di dati (per es. nomi troppo lunghi), generando in via automatica atti amministrativi elettronici di diniego dell’istanza (vizio di programma); il difetto di istruttoria che potrebbe emergere in relazione al comprovato malfunzionamento del sistema di interoperabilità delle banche dati o per la sua non adeguatezza tecnica o incompletezza (vizio di input). Ma le ipotesi di vizio sono realmente infinite. Come giustamente sottolineato in Dottrina, “è probabile però che la sanzione dell’annullabilità dovrà essere in questi casi attentamente soppesata, potendosi anche riscontrare mere irregolarità o addirittura fare uso dell’art. 21-octies L. n. 241/90” (27), quindi, in quest’ultimo caso, non generando alcuna invalidità o irregolarità. Particolare attenzione dovrà essere riposta dalle Amministrazioni anche in fase di progettazione dell’algoritmo (ad es. per evitare il possibile verificarsi di violazioni del Regolamento UE sulla privacy n. 679/2016 per mancata progettazione privacy by design e by default) o di gestione dei provvedimenti da esso generati (ad es. per mancata conservazione digitale a norma degli atti amministrativi informatici o, peggio, per mancata apposizione di firme digitali o qualificate in caso di produzione di “atti pubblici” (28)). Com’è facilmente intuibile, la materia digitale è multiforme e, oramai, ricca di connessioni giuridiche, che al migliore interprete del diritto non dovrebbero sfuggire, soprattutto all’interno delle aule giudiziarie. Il moderno giurista acquisisce sempre più una forma poliedrica e dovrebbe porre alla base del suo agire l’assunto in base al quale l’informatica può far evolvere e cambiare il diritto (29). Sinora il Giudice amministrativo si è in buona parte interessato dei profili di validità delle comunicazioni e notifiche effettuate in via elettronica e della validità delle pubblicazioni effettuate sui siti Internet delle Amministrazioni, ovvero, in materia di appalti pubblici, della validità dei documenti informatici o del valore delle firme elettroniche, non scendendo, in maniera sensibile, nell’attuazione dei diritti e obblighi del CAD. È lecito supporre che si sia trattato solo di un atteggiamento
cauto, visto che profondamente innovativa è la materia. La sentenza del Consiglio di Stato, oggetto del presente contributo, costituisce di certo un salto evolutivo nella riflessione giudiziaria, che lascia ben sperare per una progressiva attenzione verso l’introduzione delle più moderne tecnologie nell’agere amministrativo (30), sorretta da giuristi desiderosi di scrivere nuove pagine nella storia dell’evoluzione del diritto, magari anche solo “una fra tante che ha un senso solo se si sono lette tutte quelle che la precedono, ma che potrà dare un senso alle tante altre che restano da scrivere”. (31)
(27) Maddalena, La digitalizzazione della vita dell’amministrazione e del processo, cit., 36. (28) Gli atti pubblici necessitano di una firma qualificata o digitale a pena di nullità ai sensi dell’art. 21 co. 2-ter CAD e non di una semplice firma elettronica avanzata (men che meno di una firma elettronica semplice). Nello specifico, l’art. 21 co. 2-ter CAD dispone: “Fatto salvo quanto previsto dal decreto legislativo 2 luglio 2010, n. 110, ogni altro atto pubblico redatto su documento informatico è sottoscritto dal pubblico ufficiale a pena di nullità con firma qualificata o digitale. Le parti, i fidefacenti, l’interprete e i testimoni sottoscrivono personalmente l’atto, in presenza del pubblico ufficiale, con firma avanzata, qualificata o digitale ovvero con firma autografa acquisita digitalmente e allegata agli atti.” (29) Cfr. Masucci, Il diritto dell’era digitale, Bologna, 14.
476
DIRITTO DI INTERNET N. 3/2019
(30) Cfr. Moro, Libertà del robot?, in Brighi, Zullo, Filosofia del diritto e nuove tecnologie, Ariccia, 2015. (31) Zeno - Zencovich, Informatica ed evoluzione del diritto, in Il diritto dell’informazione e dell’informatica, n. 1/2003, 93. Sostanzialmente sulle medesime posizioni: Viola, L’intelligenza artificiale nel procedimento e nel processo amministrativo: lo stato dell’arte, in <Federalismi.it>, n. 21/2018 e Id., Combinazione di dati e prevedibilità della decisione giudiziaria, in questa Rivista, 2019, 215.
GIURISPRUDENZA EUROPEA
Responsabilità del sito Internet per commenti osceni e violenza online contro le donne Corte E uropea dei Diritti Umani ; sezione II; sentenza 19 marzo 2019, ric. n. 43624/14; Pres. Spano; Høiness c. Norvegia. Il rifiuto delle corti nazionali di affermare la responsabilità civile di un sito Internet per commenti osceni contro una donna pubblicati anonimamente dagli utenti di un forum non viola l’art. 8 della Convenzione europea dei diritti umani.
…Omissis… Le considerazioni della Corte …Omissis… 65. La Corte osserva che ad essere in questione nel caso di specie non è un atto dello Stato ma la presunta inadeguatezza della protezione offerta dalle corti nazionali alla vita privata della ricorrente. Sebbene lo scopo essenziale dell’art. 8 della Convenzione sia quello di proteggere l’individuo dall’interferenza arbitraria delle autorità pubbliche, esso non obbliga lo Stato soltanto ad astenersi da tale interferenza; oltre a questo obbligo negativo, possono esservi obblighi positivi insiti nell’obbligo di garantire effettivamente il rispetto della vita privata o famigliare. Tali obblighi possono anche includere l’adozione di misure predisposte al fine di assicurare il rispetto della vita privata anche nella sfera delle relazioni interindividuali. Non è semplice definire quale sia il confine tra gli obblighi positivi e negativi dello Stato derivanti dell’art. 8; tuttavia, i principi applicabili sono simili. In entrambi i contesti, si deve avere riguardo all’equo bilanciamento da raggiungere tra i rilevanti interessi contrapposti […]. 66. A tale riguardo, per quanto riguarda gli interessi contrapposti [protetti] dagli artt. 8 e 10 della Convenzione, la Corte ha stabilito i seguenti principi generali, riassunti in Delfi AS […]: “[…] in linea di principio, i diritti garantiti dagli artt. 8 e 10 meritano lo stesso rispetto, e l’esito di un ricorso non dovrebbe, in principio, variare a seconda del fatto che questo sia stato presentato alla Corte, ai sensi dell’art. 10 della Convenzione, dall’editore di un articolo offensivo piuttosto che, ai sensi dell’art. 8 della Convenzione, dalla persona oggetto di tale articolo. Di conseguenza, il margine di apprezzamento dovrebbe in principio essere uguale in entrambi i casi […]. Laddove il compito di bilanciamento di questi due diritti sia stato svolto dalle autorità nazionali in conformità con i criteri esposti nella giurisprudenza della Corte, la Corte dovrebbe avere fondati motivi per sosti-
tuire la propria opinione a quella delle corti nazionali […]. In altre parole, la Corte riconoscerà generalmente un ampio margine [di apprezzamento] allo Stato cui sia richiesto di realizzare un equilibrio tra interessi privati contrapposti o contrapposti diritti tutelati dalla Convezione […].” 67. Nel valutare la proporzionalità [di un tale esercizio], la Corte ha inoltre identificato i seguenti aspetti specifici della libertà di espressione quali rilevanti per la concreta valutazione dell’interferenza [statale] in questione: il contenuto dei commenti, le misure applicate dal [fornitore del servizio] al fine di prevenire o rimuovere i commenti diffamatori, la responsabilità dei reali autori dei commenti quale alternativa alla responsabilità dell’intermediario, e le conseguenze per il gestore del sito di eventuali provvedimenti adottati a livello nazionale […]. 68. La questione è dunque se, nel presente caso, lo Stato abbia attuato un giusto equilibrio tra il diritto al rispetto della vita privata della ricorrente ai sensi dell’art. 8 e il diritto alla libertà di espressione del portale online d’informazione ospitante il forum, ai sensi dell’art. 10 della Convenzione. 69. A tale riguardo, la Corte nota innanzitutto che la Corte cittadina [di Oslo] non ha ritenuto che i commenti espressi sulla ricorrente costituissero diffamazione ai sensi degli artt. 246 o 247 del c.p. [norvegese] […] mentre l’Alta Corte [di Borgarting] non ha ritenuto necessario doversi esprimere [a riguardo]. Anche la Corte [europea] non ritiene necessario esaminare nel dettaglio la natura dei commenti impugnati, in quanto essi, in ogni caso, non rappresentano discorsi d’odio o di incitamento alla violenza […]. …Omissis… 71. Per quanto riguarda il contesto nel quale i commenti sono stati espressi, la Corte tiene contro del fatto che Hegnar Online era un grande portale online di informazione, gestito a fini commerciali, e che i forum di discus-
DIRITTO DI INTERNET N. 3/2019
477
GIURISPRUDENZA EUROPEA sione [ad esso collegati] erano popolari. Non sembra, tuttavia, dalle sentenze delle corti nazionali, che tali forum di discussione fossero particolarmente integrati nella presentazione delle notizie [del sito] così da poter essere considerati una prosecuzione degli articoli [da esso] pubblicati. 72. Con riguardo alle misure adottate da Hegnar Online, sembra che vi fosse un sistema consolidato di moderatori che monitoravano i contenuti [del forum], sebbene nella sentenza dell’Alta Corte sia stato affermato che questi potevano non aver identificato un gran numero di commenti illeciti da rimuovere di propria iniziativa. Inoltre, i lettori potevano premere dei pulsanti di “av-
viso” per notificare [al portale] la propria reazione ai commenti. […] Infine, emerge dal presente caso che una risposta agli avvisi [della ricorrente] era stata data anche tramite altri mezzi, quali i messaggi di posta elettronica. …Omissis… 75. In considerazione di ciò, la Corte ritiene che le corti nazionali abbiano agito nell’ambito del loro margine di apprezzamento nel tentativo di definire un equilibrio tra i diritti della ricorrente ai sensi dell’art. 8 ed il contrapposto diritto alla libertà di espressione del portale di informazione ospitante i forum di discussione, ai sensi dell’art. 10. …Omissis…
IL COMMENTO
di Emma Luce Scali Sommario: 1. Introduzione. – 2. I fatti e i precedenti giudiziari all’origine del caso. – 3. Responsabilità del sito per la pubblicazione anonima di commenti offensivi e bilanciamento tra libertà di espressione e tutela della vita privata. – 4. Alcune (importanti) osservazioni a margine sulla dimensione di genere delle offese nel caso di specie, alla luce del recente dibattito in tema di violenza online contro le donne Nel caso Høiness c. Norvegia la Corte europea dei diritti umani si è nuovamente pronunciata sulla questione della responsabilità degli intermediari internet per commenti offensivi di utenti anonimi, nel caso di specie contro una donna, escludendo la violazione dell’art. 8 della Convenzione europea dei diritti umani e confermando l’approccio più restrittivo adottato dalla Corte su tale questione, successivamente e in parziale controtendenza rispetto al caso Delfi. Sia le corti nazionali che la C. eur. dir. umani non sembrano aver prestato attenzione, tuttavia, alla dimensione di genere dei commenti offensivi nel caso in esame, cui il presente commento dedica invece alcune osservazioni, alla luce del più ampio dibattito sulla violenza online contro le donne. In Høiness v. Norway, the European Court of Human Rights has once again addressed the issue of the responsibility of internet intermediaries for third-party offensive comments, in this case against a woman, holding that there has been no violation of Article 8 of the European Convention on Human Rights. The judgement confirms the more restrictive approach on the issue adopted by the Court after the Delfi case. The comment reviews the ECtHR’s case law on the matter, before drawing attention to the specific gendered dimension of the offensive comments under consideration, in light of the broader debate on online violence against women.
1. Introduzione
Il 19 marzo 2019, la Seconda Sezione della Corte europea dei diritti umani si è pronunciata nuovamente sulla questione della responsabilità del gestore di un sito Internet per commenti offensivi, nel caso di specie contro una donna, pubblicati da utenti anonimi in un forum di discussione collegato al sito. La Corte ha escluso la violazione dell’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, ritenendo che le corti nazionali abbiano agito nell’ambito del loro margine di apprezzamento nell’attuare un giusto bilanciamento tra il diritto al rispetto della vita privata (art. 8 Conv. eur. dir. umani), invocato dalla donna offesa, e il diritto alla libertà di espressione del sito ospitante il forum in questione (art. 10 Conv. eur. dir. umani). La Corte di Strasburgo ha, essenzialmente, concordato con i giudici nazionali circa la scarsa
478
DIRITTO DI INTERNET N. 3/2019
gravità delle offese mosse contro la donna e l’adeguatezza delle misure di rimozione dei commenti adottate dal sito. L’iter argomentativo e le conclusioni della Corte sul caso in esame si allineano alla sua più recente giurisprudenza in tema di responsabilità dei siti per contenuti generati dagli utenti e consentono, dunque, di ripercorrerne alcuni aspetti essenziali. Oltre ad affrontare la questione della responsabilità del sito per commenti offensivi degli utenti (Sezione 3), tuttavia, la presente annotazione intende suggerire in conclusione (Sezione 4), una lettura diversa da quella della C. eur. dir. umani e delle corti norvegesi dei commenti offensivi in esame, alla luce del recente dibattito sulla violenza online contro le donne, ritenendo degno di nota il fatto che né i giudici nazionali né quelli di Strasburgo abbiano accennato alla dimensione di genere delle offese nel caso di
GIURISPRUDENZA EUROPEA specie, pur tuttavia evidenziata dalla ricorrente. Per tale ragione, il resoconto dei fatti e dei precedenti giudiziari all’origine del caso, che segue (Sezione 2), si soffermerà piuttosto estesamente su dettagli solo apparentemente “secondari” per l’analisi della sentenza della Conv. eur. dir. umani, quali il contenuto dei commenti in esame (riportato anche nella sua scurrilità, al fine di dare percezione della natura “tipizzata” delle offese in questione) o la lettura datane dalle corti norvegesi. Tali dettagli appaiono, infatti, necessari a riconsiderare la vicenda attraverso la lente della violenza online contro le donne.
2. I fatti e i precedenti giudiziari all’origine del caso
La sentenza in commento trae origine dalla pubblicazione online, nel 2010, di commenti offensivi in forma anonima nei confronti della nota avvocata nonché conduttrice televisiva norvegese, Mona Høiness, a quel tempo coinvolta in una lite sull’eredità di un’anziana vedova, della quale la Sig.ra H. era stata accusata di aver emotivamente ed economicamente approfittato (accuse poi smentite, in prima e in seconda istanza, dalla corti norvegesi). A seguito della pubblicazione sul settimanale norvegese Kapital e sul quotidiano Finansavisen di alcuni articoli relativi alla vicenda (contro i quali la ricorrente aveva avviato a settembre e agosto 2010 due ricorsi dinanzi alla Commissione per i reclami sulla stampa norvegese - Pressens Faglige Utvalg), il 5 novembre 2010, in un forum Internet collegato al portale d’informazione Hegnar Online (del medesimo proprietario dei due giornali, Trygve Hegnar), era stata avviata una discussione (thread) dal titolo “Mona Høiness – secondo Kapital, il caso sta crescendo”, in risposta alla quale, nei giorni successivi, erano stati pubblicati in forma anonima una serie di commenti offensivi, a sfondo sessuale, contro la Sig.ra H. In particolare, un utente aveva affermato di “conoscere qualcuno che conosce[va] qualcuno” che aveva avuto la “fortuna di sc——e” la Sig.ra Høiness (nella traduzione inglese della C. eur. dir. umani, “‘know someone who knows someone […] lucky to have shagged’ the applicant”; d’ora in avanti, commento 1), mentre un altro utente aveva pubblicamente annunciato che “[p]er sc——[s]ela, [avrebbe dovuto] essere bendato”, in quanto la Sig.ra H. era, a suo parere, “schifosamente brutta – sembra una p——” (“If I were to s—— her, it would have to be blindfolded. The woman is dirt-ugly – looks like a wh——”, d’ora in avanti, commento 2). Tali dichiarazioni si inserivano in un più ampio contesto di affermazioni e dozzinali giochi di parole, offensivi e di pubblico scherno, a sfondo più o meno implicitamente sessuale o contenenti riferimenti al corpo e all’aspetto fisico della Sig.ra H.: “Donna sexy. Di cosa tratta il caso?” – “Il caso Kapital sta crescendo?” – “È il ‘coso’ di Hegnar che sta crescendo.” – “Se state cercando belle donne, andate a
vedere il thread ‘Orgoglio della nazione’” – “[Høiness] è incinta, o è solo ingrassata?”, etc. (§ 9). Nonostante il giorno successivo il Sig. Hegnar avesse ricevuto una copia della lettera con la quale il legale della Sig.ra H. aveva nel frattempo informato del thread in questione la Commissione per i reclami sulla stampa (in connessione ai ricorsi contro i due quotidiani, di cui sopra) – dichiarando che “Hegnar ‘stava consentendo agli utenti [del suo sito] di pubblicare gravi e umilianti molestie sessuali’ contro la ricorrente” (§ 10) – i commenti 1 e 2 non erano stati rimossi. Il 17 novembre 2010, pertanto, a 10 giorni dalla loro pubblicazione, il legale della Sig.ra H. aveva contattato tramite e-mail il Sig. B. e il Sig. H. (quest’ultimo uno dei direttori del sito) chiedendone l’immediata cancellazione. Il Sig. B. aveva risposto 13 minuti dopo, scusandosi per il fatto che i due commenti, i quali violavano le linee guida del forum, non fossero stati rimossi, e confermandone l’avvenuta cancellazione (§ 13). Tuttavia, a seguito dell’avvio, il 28 novembre successivo, di un altro thread dal titolo “Mona Høiness vs Trygve Hegnar”, erano apparsi sul forum altri commenti offensivi, anche in questo caso anonimi, uno dei quali chiedeva se la ricorrente stesse “ancora sco——ndo” (“still shagging”) qualcuno soprannominato “trønderbjørn” (commento 3). Quest’ultimo commento era stato cancellato il giorno stesso, su iniziativa autonoma di uno dei moderatori del forum. Il 22 febbraio 2011, la Commissione per i reclami sulla stampa, nel frattempo adita dalla Sig.ra H. anche con riguardo agli eventi occorsi sul forum, aveva dichiarato che “sia i commenti con contenuto sessuale, sia quelli che accusavano la ricorrente di comportamenti immorali o illeciti nel caso relativo all’eredità, violavano il codice di condotta dei giornalisti e, di conseguenza, i redattori [del sito] avrebbero dovuto immediatamente rimuover[li], come previsto da una disposizione di tale codice” (§ 19). La Sig.ra H. aveva, comunque, presentato ricorso in sede civile dinanzi alla Corte cittadina di Oslo, contro la Hegnar Media AS (società proprietaria del sito Hegnar Online) e contro il Sig. H., lamentando la natura diffamatoria dei commenti 1-3, i quali, secondo la ricorrente, rappresentavano molestie sessuali (sexual harassment) eccessive ed intollerabili anche per una figura pubblica ed avevano offeso il suo onore, in violazione dell’art. 246 del c.p. norvegese (1). La ricorrente soste (1) L’art. 246 del c.p. norvegese prevede che “chiunque, con parole o fatti, offende illegalmente l’altrui reputazione o è complice di tale offesa sarà punito con una multa o con la reclusione fino a sei mesi”; l’art. 247 del medesimo codice dispone, inoltre, che “chiunque, con parole o fatti, si comporta in modo tale da danneggiare il buon nome o la reputazione altrui o da esporre altri ad odio, denigrazione o perdita della fiducia necessaria alla posizione o attività economica da essi svolta, o è complice di tale comportamento, sarà punito con una multa o con la reclusione fino ad un anno. Se l’offesa è recata col mezzo della stampa o attraverso
DIRITTO DI INTERNET N. 3/2019
479
GIURISPRUDENZA EUROPEA neva, inoltre, che fosse ormai “principio consolidato del diritto che tali commenti offensivi, discriminatori contro le donne, non potessero in nessun caso essere protetti dal diritto alla libertà di espressione ai sensi dell’art. 10 Conv. eur. dir. umani”. Pertanto, ella chiedeva un risarcimento pari a circa 25.000 euro e 2.000 euro, rispettivamente, alla società proprietaria del sito e al suo direttore (§ 20). I convenuti, dal canto loro, asserivano che i commenti 1-3 “non avevano nulla a che fare con il lavoro giornalistico della società, né con la sua responsabilità editoriale”, poiché essa non li aveva “espressi né provocati”, né “ne aveva autorizzato la pubblicazione” (§ 21). In ogni caso, non si poteva invocare alcuna responsabilità editoriale del sito e del suo direttore per la situazione preesistente al momento in cui questi erano venuti a conoscenza dei commenti offensivi, i quali, a quel punto, erano stati prontamente rimossi (§ 23). I convenuti facevano, inoltre, presente che (come è generalmente prassi per i portali Internet) il sito offriva ai lettori la possibilità di segnalare eventuali commenti inappropriati tramite un “pulsante di avviso” (warning button), posto al lato di ciascun commento. Esso, inoltre, usufruiva di moderatori incaricati di rimuovere di propria iniziativa eventuali commenti che risultassero in violazione delle linee guida del forum (§ 21). La Corte cittadina di Oslo aveva respinto la posizione della ricorrente, affermando che i tre commenti in questione non costituivano diffamazione in quanto “incapaci di offender[n]e l’onore o la reputazione” (§ 24). Secondo la Corte, tali commenti erano certamente stati “di cattivo gusto” (tasteless), “volgari” (vulgar), “inappropriati” (inappropriate) e “superficiali” (unserious). Tuttavia, il commento 1 in particolare, non avendo di per sé “accusato la ricorrente di promiscuità o di comportamenti immorali”, non poteva averne ferito la reputazione, né poteva averne ferito l’onore, non avendo “espresso disprezzo o disapprovazione” nei suoi confronti (§ 25). Neppure poteva, secondo la Corte, danneggiare la reputazione o l’onore della ricorrente un commento “anonimo” quale il commento 2, il quale, sebbene potesse essere considerato “derisorio” (ridicule), non aveva ecceduto la soglia oltre la quale un commento derisorio diviene illecito. Inoltre, secondo la Corte, la pagina del forum sulla quale i commenti erano stati pubblicati, frequentata principalmente da utenti anonimi, era in generale una pagina “leggera” (unserious) e la maggior
mezzi di telecomunicazione o in altre circostanze particolarmente aggravanti, la durata della condanna alla reclusione può arrivare fino a due anni”. La C. eur. dir. umani ha precisato che la Corte suprema norvegese ha interpretato l’art. 247 quale applicabile (in analogia all’art. 246 che, però, lo prevede espressamente) solo ad espressioni “illecite” (unlawful/ rettsstridig), § 43.
480
DIRITTO DI INTERNET N. 3/2019
parte dei lettori avrebbe convenuto che “i commenti [ivi postati] dicessero più dei loro autori che delle persone in essi menzionate” (§ 26). La Corte aveva, ciononostante, affermato di “comprendere perfettamente che la Sig. ra H. avesse potuto trovare spiacevole [unpleasant] il fatto che delle persone anonime avessero pubblicato su Internet commenti squallidi [sleazy remarks] su di lei” (§ 26). Con riguardo, infine, al commento 3, la Corte cittadina di Oslo aveva affermato che “un commento anonimo che suggerisce che la ricorrente abbia avuto un rapporto sessuale con una persona non identificata non può nuocerne l’onore o la reputazione”, non essendovi nulla di “esplicitamente negativo in tale commento”. Inoltre, “dal momento che l’autore era anonimo, non vi era ragione”, secondo la Corte, “di prenderlo sul serio” (§ 27). La Corte di Oslo aveva, pertanto, condannato la Sig.ra Høiness al pagamento delle spese legali dei convenuti per un totale di circa 25.000 euro (§ 29). Nel suo ricorso in appello dinanzi all’Alta Corte di Borgarting, oltre a reiterare il convincimento che i tre commenti in questione fossero diffamatori, la ricorrente aveva lamentato, tra l’altro, anche la violazione – interessante per quello che si dirà infra (Sezione 4) – della Sezione 8a (Molestie fondate sul genere e molestie sessuali) della Legge sull’uguaglianza di genere (Gender Equality Act) norvegese (2) (§ 30). Pur ammettendo che la ricorrente avesse avuto “buone ragioni per reagire alle affermazioni espresse sul forum di Hegnar Online […] [in quanto] superficiali (unserious) e sessualmente tendenziose” e che “Hegnar Online avrebbe dovuto individuare e rimuovere di propria iniziativa i commenti più velocemente di quanto avesse fatto” (§ 33), l’Alta Corte aveva raggiunto le medesime conclusioni della Corte cittadina, sebbene per ragioni diverse. A differenza di quest’ultima, infatti, l’Alta Corte non aveva ritenuto necessario esaminare il contenuto dei tre commenti – ancora una volta dichiarati “inappropriati, superficiali e di cattivo gusto” ma “non gravi” – alla luce della normativa sulla diffamazione. A parere dell’Alta Corte, infatti, “la richiesta di risarcimento della ricorrente non avrebbe in ogni caso potuto avere successo a meno di [provare] la sufficiente colpevolezza dei convenuti” (§ 35), decisiva nel caso in cui fosse stato dimostrato che il sito ed il suo direttore “non avevano fatto abbastanza per individuare e dunque rimuovere i commenti impugnati” (§ 35). L’Alta Corte aveva osservato (2) La Sez. 8 della Legge sull’uguaglianza di genere norvegese, del 1978, vieta le “molestie fondate sul genere e le molestie sessuali”, corrispondenti, rispettivamente, alle “condotte indesiderate, connesse al genere di una persona, che hanno l’effetto o l’obiettivo di danneggiarne la dignità” e alle “attenzioni sessuali indesiderate che risultano moleste [troublesome] per la persona che le riceve”. Alle violazioni, sia intenzionali che per negligenza, di tale legge si applicano, ai sensi della sua Sez. 17, le norme generali sulla responsabilità civile.
GIURISPRUDENZA EUROPEA che, come è caratteristico per i commenti espressi sul tipo di forum in questione, così come per i commenti espressi, più in generale, in risposta a contenuti editoriali online, essi “sono pubblicati in tempo reale senza che sia possibile alcuna censura preventiva”, il che “significa che eventuali controlli devono essere effettuati ex post, a prescindere che si tratti di contenuti soggetti a responsabilità editoriale [del gestore del sito] o […] interamente generati dagli utenti (user-generated)” (§ 36). Secondo l’Alta Corte, nel caso di specie, la reazione dei responsabili del sito alla segnalazione effettuata dalla ricorrente sui commenti in esame era stata “chiaramente appropriata”: 13 minuti dopo la notifica da parte del legale della Sig.ra H., infatti, i commenti 1 e 2 erano stati rimossi, mentre il commento 3 era stato “rapidamente cancellato su autonoma iniziativa del personale” del sito (§§ 38-39). L’Alta Corte aveva, pertanto, confermato, la decisione della Corte cittadina sulle spese legali, addebitando alla ricorrente anche il pagamento di circa 20.000 euro per le spese sostenute dai convenuti nel procedimento di appello. Infine, il Comitato per l’esame preliminare dei ricorsi della Corte suprema, adita dalla ricorrente (la quale lamentava, tra l’altro, che le spese legali addebitatele erano “così elevate che avrebbero avuto un effetto dissuasivo sugli individui che intendessero ricorrere contro violazioni dell’art. 8 Conv. eur. dir. umani”, § 41), aveva respinto il ricorso della Sig.ra H. avverso la decisione dell’Alta Corte (§§ 41-42). Quest’ultima si era, dunque, rivolta alla C. eur. dir. umani, lamentando che le autorità norvegesi, non avendo affermato la responsabilità civile di Hegnar Online ed avendole imposto un tale pagamento di spese legali, non avessero “sufficientemente protetto il suo diritto al rispetto della vita privata”, in violazione dell’art. 8 Conv. eur. dir. umani (§ 48). Al contrario, il governo norvegese sosteneva, inter alia, che “i commenti in questione non avevano raggiunto un livello di gravità tale, né erano stati espressi in modo tale da causare un pregiudizio al godimento individuale del diritto al rispetto della vita privata” della ricorrente (§ 57). Inoltre, le misure adottate dal sito al fine di prevenire e/o rimuovere i commenti offensivi erano state, secondo il governo, “valutate coerentemente con i criteri elaborati dalla C. eur. dir. umani” (di cui infra) (§ 59).
3. Responsabilità del sito per la pubblicazione anonima di commenti offensivi e bilanciamento tra libertà di espressione e tutela della vita privata
È necessario, innanzitutto, precisare che la tutela della libertà di espressione, quale valore sociale essenziale e garanzia di democrazia, rimane parametro determinante nell’indirizzare sia le tendenze giurisprudenziali che
la prassi statale in tema di responsabilità dei siti Internet (3). La C. eur. dir. umani ha affrontato per la prima volta la questione della responsabilità di siti Internet per contenuti illeciti o offensivi degli utenti nella sentenza Delfi AS c. Estonia (2015) (4), nella quale la Corte aveva stabilito che l’attribuzione della responsabilità ad un portale di informazione che, in quel caso, forniva a fini commerciali una piattaforma agli utenti per commentare i contenuti pubblicati dal portale stesso e sulla quale alcuni utenti, in forma o meno anonima, avevano pubblicato commenti contenenti discorsi d’odio e di incitamento alla violenza, configurava una restrizione giustificata e proporzionata alla libertà di espressione del portale e, dunque, non violava l’art. 10 Conv. eur. dir. umani. Tale sentenza aveva, in particolare, lasciato incerta (in contraddizione, come è stato correttamente osservato, con la tendenza prevalente negli strumenti internazionali in materia e nella prassi degli Stati (5)) l’esistenza di un obbligo (ex ante) per il portale di prevenire la pubblicazione di commenti illeciti, ulteriore all’obbligo (ex post), generalmente accolto, di rimuovere tali commenti, anche autonomamente (ovvero a prescindere dalla notifica da parte della vittima o di terzi). La Corte, infatti, in quel caso si era limitata ad affermare che “se il portale avesse rimosso senza ritardi i commenti dopo che questi erano stati pubblicati [cosa che, in quel caso, esso non aveva fatto], ciò sarebbe stato sufficiente ad escluderne la responsabilità ai sensi del diritto nazionale” rilevante (§ 135). Nel caso Delfi, la Corte aveva anche elaborato quattro criteri – che, come si dirà, sono stati applicati anche nel caso in (3) Cfr. tra gli altri, Koltay, Internet Gatekeepers as Editors — The Case of Online Comments, in Comparative Perspectives on Privacy in an Internet Era a cura di Weaver - Reichel - Friedland, Durham, 2019, 113 ss.; Vozza, La responsabilità civile degli “Internet Service Provider” tra interpretazione giurisprudenziale e dettato normativo, in Danno e resp., 2018, 1, 95-103; Barra Caracciolo, La tutela della personalità in internet, in Dir. inf. e inform., 2018, 2, 201-212; Di Tano, Prospettive de “iure condendo” sulla responsabilizzazione dei “content provider”, in Inf. e dir., 2017, 1-2, 113-126; Falconi, La responsabilità dell’“internet service provider” tra libertà di espressione e tutela della reputazione altrui, in La Comunità internazionale, 2016, 2, 235-253; Horten, Liability and responsibility: new challenges for Internet intermediaries, 20 ottobre 2016 <https://blogs.lse.ac.uk/mediapolicyproject/2016/10/20/ liability-and-responsibility-new-challenges-for-internet-intermediaries/>; De Cata, La responsabilità civile dell’internet service provider, Milano, 2010. (4) Corte europea dei diritti umani, sentenza del 16 giugno 2015 nel caso Delfi AS c. Estonia, ric. n. 64569/09; cfr., tra gli altri, anche Nigro, La responsabilità degli Internet service providers e la Convenzione europea dei diritti umani: il caso Delfi AS, in DUDI, 2015, 9, III, 681-689; Vigevani, La responsabilità civile dei siti per gli scritti anonimi: il caso Delfi c. Estonia, in Quad. Cost., 2014, 457-459; Alma, Libertà di espressione e diritto all’onore in Internet secondo la sentenza “Delfi AS contro Estonia”, in Dir. inf. e inform., 2014, 2, 242-254. (5) Tra gli strumenti internazionali in materia, cfr. in particolare, Consiglio per i diritti umani, Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, Frank La Rue, UN Doc. A/HRC/17/27, 16 maggio 2011.
DIRITTO DI INTERNET N. 3/2019
481
GIURISPRUDENZA EUROPEA commento – per valutare la proporzionalità dell’interferenza da parte dello Stato con la libertà di espressione del sito: 1) il contesto nel quale i commenti sono stati pubblicati; 2) le misure adottate dal sito per prevenire e/o rimuovere eventuali commenti illeciti o offensivi; 3) la possibilità di affermare la responsabilità diretta degli autori dei commenti, invece che del sito stesso; e 4) le conseguenze (anche economiche) per il sito dei procedimenti condotti a livello nazionale. È da rimarcare che, in quel caso, i commenti che avevano fatto sorgere la responsabilità del portale 1) erano palesemente illeciti, le parti in causa non avendo mai obiettato al parere delle corti estoni che essi contenessero discorsi d’odio e di incitamento alla violenza, espressamente vietati dalla legge, e 2) erano stati pubblicati dagli utenti in riposta a contenuti prodotti dal portale stesso, il quale, secondo la C. eur. dir. umani, “esercitava un significativo grado di controllo sui commenti pubblicati sul proprio sito” (§ 145) (6). Nel successivo caso Magyar Tartalomszolgáltatók Egyesülete e Index.hu Zrt. c. Ungheria (2016) (7), la C. eur. dir. umani ha riaffermato la possibilità, in generale, per gli Stati Parti alla Convenzione, di affermare la responsabilità di un portale Internet che non abbia adottato misure adeguate a rimuovere tempestivamente – anche autonomamente – eventuali commenti illeciti pubblicati dagli utenti (reiterando dunque l’esistenza di un obbligo ex post, § 91), senza che questo comporti una violazione della libertà di espressione del portale ex art. 10 Conv. eur. dir. umani. Tuttavia, in quel caso specifico, a differenza del caso Delfi, la Corte aveva ritenuto che l’interferenza delle corti ungheresi con la libertà di espressione dei ricorrenti (un portale di informazione ed un ente di autoregolamentazione dei fornitori di servizi Internet) avesse violato dell’art. 10 Conv. eur. dir. umani, in ragione tra l’altro del fatto che, “seppure offensivi e volgari”, i commenti pubblicati dagli utenti non avevano contenuti “chiaramente illeciti” o “diffamatori” e che, a differenza del caso Delfi ove il ricorrente aveva tratto benefici economici dalla pubblicazione dei commenti, in questo caso uno dei due ricorrenti era un ente non-pro-
482
fit di autoregolamentazione, pertanto privo di interessi economici (§ 64). Anche nel successivo caso Pihl c. Svezia (2017) (8), relativo ad un commento diffamatorio pubblicato in risposta al post, sul proprio blog, di una piccola organizzazione non-profit, la C. eur. dir. umani ha concordato con le corti svedesi (respingendo dunque la violazione dell’art. 8 Conv. eur. dir. umani invocata dal ricorrente) nell’escludere la responsabilità per il commento dell’utente dell’organizzazione che gestiva il blog, nonostante la natura in questo caso illecita di tale commento, ritenuto dalle corti nazionali, per l’appunto, diffamatorio. A convincere in tal senso la Corte nel caso Pihl, era stata soprattutto la natura non-profit dell’organizzazione in questione e la ridotta visibilità del suo blog e dei relativi commenti. Anche in questo caso, la C. eur. dir. umani ha ribadito, come già nel caso Magyar (§ 82), che “attendersi che l’associazione presuma che alcuni dei commenti non filtrati possono violare la legge, corrisponderebbe a chiederle un’eccessiva e inattuabile lungimiranza, capace di indebolire il diritto di offrire informazioni attraverso Internet” (§ 31), lasciando dunque intendere che la Corte avesse escluso l’esistenza di un obbligo per il sito Internet di prevenire la pubblicazione di contenuti illeciti/offensivi. Ne consegue che, attualmente, per quello che riguarda la responsabilità e gli obblighi dei gestori di siti Internet per contenuti pubblicati da terzi, a) è certamente esclusa la responsabilità “automatica” del sito per contenuti dei quali esso non sia autore diretto (9), o sui quali non eserciti una qualche forma di controllo editoriale (come appunto nel caso di un Internet discussion forum quale quello del ricorso Høiness, i cui contenuti sono interamente user-generated); b) è tendenzialmente esclusa (seppure, alla luce soprattutto del caso Delfi, ipotizzabile) l’attribuzione di responsabilità al sito per non aver prevenuto la pubblicazione di contenuti illeciti o offensivi da parte degli utenti (obbligo ex ante); c) è, invece, ammessa la possibilità, per gli Stati Parti alla Conv. eur. dir. umani, di affermare la responsabilità del sito che non abbia istituito procedure/misure adeguate ad identificare l’eventuale pubblicazione di contenuti offensivi da parte di terzi, e/o non abbia rimosso tempestivamente – anche autonomamente – eventuali contenuti illeciti o offensivi (a maggior ragione qualora ciò gli sia stato richiesto da un organo giudiziario che ne abbia accertato l’illiceità)
(6) La C. eur. dir. umani aveva tenuto, inoltre, a precisare, che le conclusioni raggiunte nel caso Delfi potevano riguardare soltanto “portali Internet di informazione che forniscono, su base commerciale, una piattaforma per commenti generati dagli utenti relativi a contenuti precedentemente pubblicati” dal portale stesso e non, anche, “altri tipi di spazi su Internet dove parti terze possono pubblicare commenti, quali ad esempio forum di discussione, bacheche online o social media”, §§ 115-116.
(8) Corte europea dei diritti umani, sentenza del 9 marzo 2017 nel caso Pihl c. Svezia, ric. n. 74742/14.
(7) Corte europea dei diritti umani, sentenza del 2 febbraio 2016 nel caso Magyar Tartalomszolgáltatók Egyesülete e Index.hu Zrt. c. Ungheria, ric. n. 22947/13; cfr. tra gli altri, Vimercati, Magyar c. Ungheria: la Corte europea ritorna sulla responsabilità dei portali web, in Quad. Cost., 2016, 2, 393-397.
(9) In linea con il principio generale secondo il quale “nessuno può essere considerato responsabile per un contenuto su Internet del quale non sia autore”, Consiglio per i diritti umani, Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, cit., par. 43.
DIRITTO DI INTERNET N. 3/2019
GIURISPRUDENZA EUROPEA (obbligo ex post). Il caso di specie si inserisce in questa più recente tendenza giurisprudenziale. La C. eur. dir. umani ha, innanzitutto, reiterato che, ai fini della protezione accordata dall’art. 8 Conv. eur. dir. umani (10), la nozione di “vita privata” è concetto ampio che include anche il diritto della persona alla protezione della propria reputazione (§ 63) (11). Eventuali attacchi alla reputazione, tuttavia, rilevano ai sensi dell’art. 8 Conv. eur. dir. umani soltanto se a) l’offesa raggiunge un certo livello di gravità e b) essa effettivamente pregiudica il godimento del diritto al rispetto della vita privata della persona coinvolta (§ 64) (12). Osservando, inoltre, come il caso di specie non riguardi una condotta attiva dello Stato ma la lamentata inadeguatezza della protezione garantita dalle corti nazionali alla vita privata della ricorrente, la Corte ha sottolineato che, sebbene lo scopo principale dell’art. 8 Conv. eur. dir. umani sia la protezione dell’individuo dall’interferenza arbitraria delle autorità pubbliche, esso non solo impone allo Stato di astenersi da tale interferenza (dunque, un obbligo negativo) ma anche obblighi positivi, tra i quali l’adozione di misure intese ad assicurare il rispetto della vita privata anche nella sfera dei rapporti interindividuali. Il confine tra obblighi negativi e positivi, per la Corte, “non si presta ad essere identificato con precisione” ma “è necessario tenere conto del giusto equilibrio da assicurare tra i diversi interessi rilevanti tra loro in competizione” (§ 65). Nel caso di specie, gli interessi contrapposti sono, come menzionato e come anche nei citati precedenti, quelli della tutela della vita private, inclusa la reputazione, della ricorrente (art. 8 Conv. eur. dir. umani) e della tutela della libertà di espressione del sito che ospita il forum (art. 10 Conv. eur. dir. umani) (13) (§
(10) L’art. 8 Conv. eur. dir. umani tutela il diritto di “ogni persona […] al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza” (comma 1) e dispone che “[n]on può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui” (comma 2). (11) La Corte rinvia anche ad Axel Springer AG c. Germania [GC], § 83; Chauvy e altri c. Francia, § 70; Pfeifer c. Austria, § 35; Petrina c. Romania, § 28; e Polanco Torres e Movilla Polanco c. Spagna, § 40. (12) La Corte rinvia anche ad Axel Springer AG c. Germania [GC], § 83; Bédat c. Svizzera [GC], § 872; Medžlis Islamske Zajednice Brčko e altri c. Bosnia-Erzegovina [GC], § 76; Denisov c. Ucraina [GC], § 112. (13) L’art. 10 Conv. eur. dir. umani protegge il diritto di “[o]gni persona […] alla libertà d’espressione”, il quale “include la libertà d’opinione e la libertà di ricevere o di comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche e senza limiti di frontiera […]” (comma 1). Poiché “[l]’esercizio di queste libertà […] comporta doveri e responsabilità, [esso] può essere sottoposto alle formalità, condizioni, restrizioni o sanzioni che sono previste dalla legge
68) i quali, in principio, meritano uguale tutela (sicché l’esito di un ricorso, in teoria, non dovrebbe variare a seconda del fatto che esso si fondi sull’art. 10 Conv. eur. dir. umani invocato dall’editore di un articolo offensivo, piuttosto che sull’art. 8 Conv. eur. dir. umani invocato dalla persona presa di mira da tale articolo). Nell’operare un bilanciamento tra questi due diritti, gli Stati godono di un ampio margine di apprezzamento e laddove tale bilanciamento avvenga in conformità con i criteri identificati dalla Corte in Delfi (di cui si è detto sopra), quest’ultima potrà imporre la propria eventuale valutazione discordante da quella delle corti nazionali, solo in presenza di “serie motivazioni” (strong reasons) (§ 66). Con riguardo al contenuto dei commenti nel caso di specie, la Corte ha semplicemente ribadito che le corti norvegesi ne hanno escluso la natura diffamatoria ai sensi degli artt. 246 e 247 c.p. norvegese, ed ha aggiunto di “non ritenere necessario esaminare nel dettaglio la natura dei commenti impugnati, poiché questi, in ogni caso, non rappresentano discorsi d’odio o di incitamento alla violenza” (§ 69). La Corte ha, tuttavia, convenuto con la ricorrente “sul fatto che questa avrebbe incontrato considerevoli ostacoli nel tentare” di perseguire l’individuo o gli individui anonimi, autori diretti dei commenti offensivi (§ 70). Per quanto riguarda il contesto nel quale i commenti in esame erano stati espressi e pubblicati, la Corte ha osservato che, nonostante “Hegnar Online fosse un grande portale d’informazione gestito a fini commerciali”, i cui “forum di discussione erano [particolarmente] popolari”, dalle sentenze delle corti nazionali non emergeva che questi “fossero particolarmente integrati nelle notizie riportate, così da poter essere considerati prosecuzione degli articoli redatti” dal sito stesso (§ 71) e pertanto soggetti al controllo (ed alla responsabilità) editoriale di quest’ultimo. In merito alle misure adottate da Hegnar Online rispetto ai commenti in oggetto, è sembrato alla Corte che “vi fosse un sistema consolidato di moderatori a sorvegliare i contenuti” del forum, sebbene la Corte abbia ammesso che l’Alta Corte aveva riconosciuto nella sua sentenza che tali moderatori potrebbero “non aver rilevato un gran numero di commenti offensivi da rimuovere di propria iniziativa”. La Corte ha osservato, tuttavia, che “i lettori potevano notificare la propria reazione ai commenti tramite pulsanti di ‘avviso’” e che, comunque, nel caso di specie, la notifica da parte della ricorrente aveva
e che costituiscono misure necessarie, in una società democratica, alla sicurezza nazionale, all’integrità territoriale o alla pubblica sicurezza, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, alla protezione della reputazione o dei diritti altrui, per impedire la divulgazione di informazioni riservate o per garantire l’autorità e l’imparzialità del potere giudiziario” (comma 2).
DIRITTO DI INTERNET N. 3/2019
483
GIURISPRUDENZA EUROPEA ricevuto risposta anche tramite altri mezzi, quali la posta elettronica (§ 72). Il legale della ricorrente aveva, infatti, ricevuto un riscontro al suo messaggio appena 13 minuti più tardi, con la conferma dell’avvenuta cancellazione dei commenti segnalati, mentre il commento 3 era stato subito cancellato su iniziativa di un moderatore del sito. La Corte ha ribadito come l’Alta Corte norvegese abbia riscontrato che, alla luce di una valutazione complessiva delle misure adottate per monitorare i commenti del forum in questione – considerato che si era trattato di un controllo ex post e che gli utenti del sito non avevano l’obbligo di registrarsi – il sito ed il suo direttore avevano agito adeguatamente (§ 73). La Corte ha, dunque, concluso, in linea con i criteri definiti in Delfi, che “non vi sono motivi […] per sostituire una valutazione diversa a quella delle corti nazionali” (§ 74), le quali “hanno agito nell’ambito del loro margine di apprezzamento nel tentativo di raggiungere un equilibrio tra i diritti della ricorrente ai sensi dell’art. 8 ed il contrapposto diritto alla libertà di espressione, ai sensi dell’art. 10, del sito ospitante il forum di discussione” (§ 75). Sulla base di quanto appena esposto è, pertanto, possibile affermare che le considerazioni della C. eur. dir. umani nel caso di specie sembrano confermare l’approccio più “restrittivo” adottato dalla Corte successivamente e in parziale controtendenza rispetto al caso Delfi, sulla responsabilità del sito Internet per commenti illeciti/ offensivi degli utenti. Tale approccio richiede, perché sia affermata compatibilmente con la Conv. eur. dir. umani la responsabilità del sito che non abbia rimosso (dunque, ex post, anche se autonomamente) eventuali commenti illeciti/offensivi, il superamento di una soglia di “gravità” piuttosto elevata, che la Corte considera certamente oltrepassata nel caso di commenti contenenti discorsi d’odio o di incitamento alla violenza, non necessariamente, invece, quando si tratti di commenti diffamatori o altrimenti illeciti (affidati ad una valutazione caso per caso), difficilmente oltrepassata, ad oggi, per quanto riguarda commenti puramente offensivi (harmful but lawful). Sembrerebbe invece esclusa anche dal caso di specie, l’eventualità che il sito possa essere in qualche modo obbligato a prevenire la pubblicazione di commenti illeciti o offensivi. Un aspetto, tuttavia, particolarmente interessante che sia le corti norvegesi che la C. eur. dir. umani sembrano avere completamente trascurato nella loro valutazione del caso in esame – che ci accingiamo, infine, a trattare concisamente nella successiva sezione – è quello della dimensione prettamente di genere dei commenti offensivi diretti contro la Sig.ra H.
4. Alcune (importanti) osservazioni a margine sulla dimensione di genere delle offese nel caso di specie, alla luce del recente dibattito in tema di violenza online contro le donne
Sia dinanzi alla Commissione per i reclami sulla stampa, che dinanzi alle corti norvegesi, la Sig.ra H. (invocando, come menzionato, anche la Legge sull’uguaglianza di genere norvegese) aveva espresso l’opinione che i commenti ricevuti anonimamente dagli utenti di Hegnar Online fossero non solo offensivi in senso “generico” ma, più precisamente, “discriminatori contro le donne” e costituissero “molestie sessuali” che, a suo parere, non potevano godere della tutela offerta dall’art. 10 Conv. eur. dir. umani (§ 20). Le corti norvegesi, al contrario, pur avendo ammesso che tali commenti erano stati “di cattivo gusto”, “volgari”, “inappropriati”, “derisori”, e che la ricorrente aveva potuto trovare “spiacevole” il fatto di essere divenuta bersaglio di tali “squallide affermazioni”, avevano teso a minimizzarne la serietà, affermando che i commenti in questione “non avevano espresso disprezzo o disapprovazione” nei confronti della Sig.ra H. (quasi a voler suggerire che, dopotutto, avevano riconosciuto la ricorrente come una donna “bella”, “sexy”, con cui qualcuno aveva avuto la “fortuna” di avere rapporti sessuali), presumendo spontanea riprensione sociale (“dicevano più dei loro autori” che della vittima) e che, proprio in quanto anonimi, non fossero “da prendere sul serio”. La C. eur. dir. umani, dal suo canto, oltre ad osservare che non erano stati ritenuti diffamatori dalle corti nazionali, si è limitata ad escludere che tali commenti contenessero discorsi d’odio o di incitamento alla violenza. Entrambi i giudici nazionali e di Strasburgo, dunque, non sembrano aver (voluto?) cogliere la dimensione prettamente di genere dei commenti in questione, né il loro eventuale significato più ampio quali possibili espressioni di violenza online contro le donne. La violenza online contro le donne, la quale rappresenta una forma di violenza contro le donne, si identifica con qualsiasi atto di violenza fondata sul genere (gender-based violence) – ovvero “diretta contro una donna in quanto donna e/o che colpisce le donne in maniera sproporzionata (14)” – che sia commesso, assistito o aggravato, in parte o del tutto, dall’uso di tecnologie di informazione e comunicazione (ICTs), quali telefoni cellulari e smartphone, Internet, social media o posta elettronica (15).
(14) Comitato per l’eliminazione della discriminazione contro le donne (CEDAW), General Recommendation No. 19 (11th Session, 1992): Violence against women, par. 6; General recommendation No. 35 on gender-based violence against women, updating general recommendation No. 19, UN Doc. CEDAW/C/GC/35 (26 luglio 2017), par. 1. (15) Consiglio per i diritti umani, Report of the Special Rapporteur on violence against women, its causes and consequences on online violence against women and girls from a human rights perspective, 18 giugno 2018, UN Doc. A/
484
DIRITTO DI INTERNET N. 3/2019
GIURISPRUDENZA EUROPEA Il Comitato delle Nazioni Unite per l’eliminazione della discriminazione contro le donne ha osservato che “l’opinio juris e la prassi statale suggeriscono che il divieto di violenza contro le donne fondata sul genere si è trasformato in un principio di diritto internazionale consuetudinario (16)”. Oltre al fatto che le donne risultano maggiormente vittime di violenza online (un sodaggio del 2014 dell’Agenzia dell’Unione Europea per i diritti fondamentali ha rivelato che il 23% delle donne intervistate aveva riferito di aver subito offese o molestie online almeno una volta nella vita (17)), la violenza online contro le donne ha cause, manifestazioni e conseguenze caratteristiche (da cui la necessità di riconoscerla ed affrontarla quale fenomeno distinto da altre forme di violenza online) ed è essenzialmente attuata, in parallelo con quanto avviene offline, al fine di “creare online un ambiente ostile per le donne, con l’obiettivo di colpevolizzarle, intimidirle, umiliarle, screditarle o metterle a tacere (18)”. Attualmente, la violenza online contro le donne fondata sul genere (è importante ribadire che tale violenza colpisce le donne in quanto donne) si manifesta attraverso: 1) minacce dirette o indirette di violenza fisica o sessuale; 2) offese riguardanti uno o più aspetti dell’identità di una donna (l’etnia, l’identità di genere, l’orientamento sessuale, l’età, l’aspetto fisico, lo status socio-economico o civile, eventuali disabilità, etc.), nonché la diffusione di menzogne atte a danneggiare la reputazione di una donna (19); 3) molestie “mirate” o “organizzate” (targeted harassment) da parte di una o più persone che si coordinano per “attaccare” ripetutamente (c.d. flaming o trolling) una donna online, con violenze e insulti di vario tipo, in un arco di tempo più o meno breve, al fine di umiliarla o causarle altrimenti sofferenza (distress) (le “molestie sessuali” online, in particolare, identificano “qualsiasi forma di condotta online indesiderata, verbale o non verbale, di natura sessuale che abbia l’obiettivo o l’effetto
di violare la dignità di una persona, sopratutto creando un contesto intimidatorio, ostile, degradante, umiliante o offensivo (20)”); 4) azioni di c.d. “sabotaggio elettronico”, ovvero l’invio di virus e spam, l’impersonificazione o il furto dell’identità online della donna ed il successivo invio di e-mail e spam offensivi o la pubblicazione, a suo nome, di commenti, tweet e altre comunicazioni online; 5) violazioni della privacy, ad esempio attraverso il c.d. doxing (espressione gergale dall’inglese “docs/documents”), corrispondente alla divulgazione online di documenti o informazioni personali o che consentono di identificare una donna – quali l’indirizzo dell’abitazione, il nome reale, i nomi dei figli, i numeri di telefono o l’indirizzo e-mail – senza il consenso di questa e al fine di causarle ansia, panico o allarme; 6) atti di c.d. sextortion, quando una donna riceve, tramite ICTs, richieste estorsive di inviare foto o video espliciti o di fornire prestazioni sessuali, dietro minaccia di pubblicazione di sue foto intime; o 7) la condivisione online, senza il consenso della donna, di immagini erotiche o intime di questa, ottenute con o senza il suo consenso, al fine di esporla al pubblico ludibrio, stigmatizzarla o danneggiarla in altro modo (talvolta c.d. revenge porn). Il fatto che, nella maggior parte dei casi, tali forme di violenza online non siano gender-neutral, è testimoniato, ad esempio, dalla circostanza che il 90% delle vittime di atti di condivisione online non consensuale di immagini intime sono donne (21). Oltre alle molestie sessuali online, di cui al punto 3), le offese di cui al punto 2) – rilevanti per quello che riguarda il caso in esame e tra le forme più diffuse di violenza online contro le donne (22) – in genere si estrinsecano attraverso l’uso di un linguaggio (o l’invio di immagini) fortemente offensivo, irrispettoso e violento contro le donne in quanto donne, con l’obiettivo di colpevolizzarle, intimidirle o umiliarle. Sono offese solitamente di natura sessista o misogina (ad esempio, spesso fondate e che perpetuano stereotipi negativi sulle donne), molto spesso “sessualizzate” (contenendo quasi sempre
HRC/38/47, par. 23; Association for Progressive Communications e Humanist Institute for Cooperation with Developing Countries, Global Information Society Watch 2013: Women’s rights, gender and ICTs, 2013. (16) CEDAW, General recommendation No. 35, cit., par. 2.
(20) Ibid., par. 40.
(17) Agenzia dell’Unione Europea per i diritti fondamentali, Violence against women: an EU-wide survey, 2014; Stevens - Fraser, Digital Harassment of Women Leaders: A review of the evidence, 5 ottobre 2015 <http:// www.sddirect.org.uk/media/1633/q-210-digital-harassment-of-women-leaders-evidence-review.pdf>.
(21) Ibid., par. 42.
(18) Amnesty International, Toxic Twitter: A Toxic Place for Women, marzo 2018 <https://www.amnesty.org/en/latest/research/2018/03/online-violence-against-women-chapter-1/#topanchor>; Pinto, What is online violence and abuse against women?, 20 novembre 2017 <https://www.amnesty.org/en/latest/campaigns/2017/11/what-is-online-violence-and-abuse-against-women/>. (19) Consiglio per i diritti umani, Report of the Special Rapporteur on violence against women, cit., par. 31.
(22) Amnesty International, Toxic Twitter, cit., capitolo 3. Il 61% delle donne intervistate nell’ambito del sondaggio online condotto in otto paesi (Regno Unito, Stati Uniti, Svezia, Spagna, Polonia, Nuova Zelanda, Italia e Danimarca) da IPSOS Mori per Amnesty International nel 2017, ha dichiarato di aver ricevuto commenti offensivi online ed il 46% commenti sessisti o misogini (in Italia, rispettivamente, il 47% e 46% delle donne intervistate), ibid. In media, il 25% delle donne intervistate negli otto paesi ha riferito di aver ricevuto minacce dirette/indirette di violenza fisica o sessuale, il 16% è stata vittima di doxxing e l’8% ha subito la divulgazione di proprie immagini intime senza consenso, ibid. Cfr. anche Dhrodia, Unsocial Media: The Real Toll of Online Abuse against Women, 20 novembre 2017 <https://medium.com/amnesty-insights/unsocial-media-the-real-toll-of-online-abuse-against-women-37134ddab3f4>.
DIRITTO DI INTERNET N. 3/2019
485
GIURISPRUDENZA EUROPEA riferimenti a condotte sessuali, attive o passive, di una donna, nonché insulti osceni o volgari) o che, in qualche modo, contengono giudizi “di valore” sul corpo delle donne (il quale è “oggettificato” o comunque inteso da una prospettiva e in funzione – ad “uso e consumo” – maschile). Questi elementi sembrano trasparire abbastanza chiaramente dai commenti 1-3 impugnati nel caso Høiness dinanzi alla C. eur. dir. umani. È chiaro che la violenza online contro le donne ha radici ed è riflesso del medesimo contesto socio-culturale che sottende la violenza contro le donne più in generale. È pertanto importante, come ha ammesso anche la Rappresentante Speciale delle Nazioni Unite sulla violenza contro le donne, “riconoscere che la rete è utilizzata in un più ampio contesto di diffusa e sistemica discriminazione e violenza contro le donne fondata sul genere (23)”. La violenza online espone o può esporre le donne a danni e sofferenze psicologici, fisici, sessuali ed economici (molte donne vittime di violenza online riferiscono di aver sofferto di depressione, ansia e paure, e di avere, in alcuni casi, sviluppato tendenze suicide (24)) e ha effetti di auto-censura, auto-emarginazione e auto-esclusione delle donne, sia online, sia, potenzialmente, nella “vita reale” (poiché, ad esempio, può scoraggiare la partecipazione delle donne alla vita pubblica e, in particolare, politica). Essa ha, in breve, un impatto sia diretto che indiretto sul godimento di molti diritti umani delle donne, dal diritto a vivere libere dalla violenza di genere, al diritto alla libertà di espressione e informazione, anche online (limitato, ad esempio, nel caso in cui le donne si auto-censurino o auto-escludano dalla rete), al diritto alla privacy, al diritto all’istruzione, etc. In risposta a tale tipo di violenza, gli Stati hanno l’obbligo, ai sensi del diritto internazionale dei diritti umani, di assicurare che gli attori, sia statali (delle cui azioni/ omissioni essi risultano direttamente responsabili) che non-statali, si astengano dal commettere atti di discriminazione o violenza contro le donne online. Gli Stati hanno, in particolare, l’obbligo di due diligence di prevenire, indagare e punire atti di violenza online contro le donne commessi da società private, incluse quelle inter-
(23) Consiglio per i diritti umani, Report of the Special Rapporteur on violence against women, cit., par. 14. (24) Sono purtroppo ben noti alcuni casi di suicidio commessi da giovani donne a seguito della divulgazione online non-consensuale di loro immagini intime, cfr. ad esempio il caso della diciassettenne canadese Rehtaeh Parsons <https://www.independent.co.uk/news/world/americas/two-arrested-over-photos-of-alleged-sex-assault-on-girl-that-later-committed-suicide-8754324.html>, a seguito del quale il Canada ha introdotto nel c.p. canadese il reato di diffusione non-consensuale di immagini intime, o quello dell’italiana Tiziana Cantone <https://napoli.repubblica.it/cronaca/2017/12/13/news/napoli_suicida_dopo_video_hard_il_ gip_archivia_l_inchiesta_su_istigazione-184031560/>.
486
DIRITTO DI INTERNET N. 3/2019
mediatrici su Internet (ad esempio gli Internet content providers o hosting services). Tale obbligo include, tra le altre cose, anche la creazione di procedure per la rimozione immediata di contenuti offensivi (harmful) fondati sul genere, sia per la cancellazione del materiale originale, che per impedirne la diffusione (§§ 67 e 100). Gli Stati dovrebbero incoraggiare i media online, inclusi i social media, a creare o rafforzare meccanismi per eradicare gli stereotipi di genere, e per porre fine a qualsiasi forma di violenza fondata sul genere commessa tramite le loro piattaforme (25). La Rappresentante Speciale ha raccomandato, in particolare, agli Stati di “applicare una prospettiva di genere a tutte le forme di violenza online, le quali invece sono generalmente criminalizzate in modo gender-neutral, al fine di esaminarle [propriamente] quali atti di violenza fondata sul genere (26)”, notando, inoltre, come “gli organi giudiziari spesso banalizzino [trivialize] la violenza online contro le donne” e adottino “un atteggiamento di colpevolizzazione delle vittime (27)”. La Rappresentante Speciale ha anche osservato che gli elevati “costi dei ricorsi impediscono a molte vittime, soprattutto alle donne più povere, di far valere i propri diritti dinanzi alle corti nazionali (28)”. Alla luce di quanto brevemente accennato in questa sezione e di quanto riportato con riguardo ai fatti del caso in esame, ci si sarebbe attesi, dunque, una più attenta e sensibile analisi da parte della C. eur. dir. umani e delle corti nazionali – perlomeno il riconoscimento – della dimensione prettamente di genere delle offese mosse contro la ricorrente. L’auspicio è che, in futuro, maggiore attenzione sia prestata anche dalla Corte di Strasburgo al tema della violenza online contro le donne, e all’impatto di questa sul godimento da parte delle donne dei diritti protetti dalla Convenzione.
(25) CEDAW, General recommendation No. 35, cit.; Consiglio per i diritti umani, Report of the Special Rapporteur on violence against women, cit., par. 119; Suzor - Dragiewicz - Harris - Gillett - Burgess - Van Geelen, Human Rights by Design: The Responsibilities of Social Media Platforms to Address Gender-Based Violence Online, in Policy & Internet, 2019, 11, 84-103. (26) Consiglio per i diritti umani, Report of the Special Rapporteur on violence against women, cit., par. 102. (27) Ibid., par. 68. (28) Ibid.
GIURISPRUDENZA CIVILE
Immigrazione: il collegamento via skype con i genitori non limita i danni della lontananza Corte di cassazione; sezione I civile; ordinanza 24 aprile 2019, n. 11274; Pres. Sambito; Rel. Falabella; K.K., K.E. (Avv. Feroci) c. Procuratore della Repubblica presso il Tribunale per i minorenni di Ancona; Procuratore Generale della Repubblica presso Corte di Appello di Ancona. L’art. 31 del T.U. sull’immigrazione, non può essere interpretato in senso restrittivo, in quanto tutela il diritto del minore ad avere rapporti continuativi con entrambi i genitori anche in deroga alle altre disposizioni del decreto, comprendendo la norma qualsiasi danno grave che il minore potrebbe subire. Svaluta la figura genitoriale in un’età cruciale per lo sviluppo dei minori, il giudice che nega ai familiari extra UE la permanenza in Italia ritenendo che i contatti con i figli possano essere mantenuti tramite i sempre più facili contatti audio-video e recandosi nel “vicino” paese straniero durante i periodi di vacanza scolastica.
…Omissis… Sul ricorso 16084/2018 proposto da: K.K., K.E., elettivamente domiciliati in …Omissis…, presso lo studio dell’avvocato …Omissis…, rappresentati e difesi dall’avvocato C. F. giusta procura a margine del ricorso; - ricorrenti contro Procuratore della Repubblica presso il Tribunale Minorenni di Ancona; Procuratore Generale della Repubblica presso Corte di Appello di Ancona; - intimati avverso il decreto della Corte di Appello di Ancona, depositata il 27/04/2018; udita la relazione della causa svolta nella Camera di consiglio del 26/02/2019 dal Consigliere Dott. M. Falabella. Svolgimento del processo. 1. - K.K. ed E., cittadini albanesi, padri di due gemelli, D. e F., nati il …Omissis…, proponevano ricorso al Tribunale dei minorenni di Ancona per ottenere l’autorizzazione prevista dal D. Lgs. n. 286 del 1998, art. 31, comma 3, a permanere nel territorio nazionale per un tempo determinato, per gravi motivi connessi allo sviluppo psico-fisico dei minori, i quali dimoravano in Italia presso il loro zio paterno K.A., in possesso di regolare permesso di soggiorno. Il Tribunale dei minorenni respingeva la domanda. 2. - Era proposto reclamo che la Corte di appello di Ancona rigettava con Decreto 27 aprile 2018. Il giudice del gravame osservava che non era possibile pronosticare che il distacco fisico dei minori dai genitori compromettesse gravemente lo sviluppo normale della personalità dei primi: ciò in considerazione dell’età dei ragazzi, del fatto che questi ultimi erano inseriti in un ambito familiare “allargato”, in cui era presente lo zio, al quale i
minori avrebbero potuto essere legalmente affidati sulla base delle “cospicue risorse, morali ed economiche” di cui lo stesso disponeva, e dei contatti che i figli avrebbero potuto agevolmente mantenere coi genitori, tenuto conto sia delle “sempre più facili ed articolate possibilità di contatti audio-video”, sia dalla ridotta distanza tra l’Italia e l’Albania, che i ragazzi avrebbero potuto raggiungere nei periodi di vacanza scolastica. 3. - K.K. ed E. ricorrono per cassazione contro detto provvedimento: l’impugnazione si fonda su quattro motivi. …Omissis… Motivi della decisione. 1. - I motivi posti a fondamento del ricorso si riassumono come segue. Primo motivo: violazione del D. Lgs. n. 286 del 1998, art. 31, comma 3, avendo particolare riguardo all’interpretazione restrittiva dei “gravi motivi”, asseritamente contrastante con la giurisprudenza di legittimità prevalente a seguito della pronuncia delle Sezioni Unite n. 21779 del 2010. Spiegano i ricorrenti che la valutazione della Corte di merito “si sarebbe dovuta concentrare principalmente sui minori che sono in piena età scolare e pre-adoloscenziale, che sono in Italia da ormai più un anno e sono perfettamente ambientati e radicati”. Lamentano che il giudice del reclamo avrebbe mancato di formulare alcun giudizio prognostico sulle conseguenze del diniego dell’autorizzazione e osservano come quest’ultima non rivesta carattere eccezionale, potendo essere accordata anche in assenza di situazioni di pericolo per la salute del minore. Secondo motivo: violazione del diritto all’unità familiare. Viene dedotto che nulla sarebbe stato chiarito, nel provvedimento impugnato, circa il perché il nucleo fa-
DIRITTO DI INTERNET N. 3/2019
487
GIURISPRUDENZA CIVILE miliare potesse essere sradicato dal territorio nazionale. Gli istanti richiamano, poi, l’art. 8 della CEDU circa il diritto alla vita privata e familiare, osservando come al giudice che debba giudicare di tali diritti competa di apprezzare la natura e l’effettività del vincolo familiare, l’esistenza di legami familiari, culturali e sociali col paese di origine e la durata del soggiorno nel territorio nazionale. Terzo motivo: violazione del D. Lgs. n. 286 del 1998, art. 19, in relazione agli artt. 9 ss. della Convenzione di New York sui diritti del fanciullo ratificata con L. n. 176 del 1991. I ricorrenti rilevano come a norma del cit. art. 19 cit. il minore non possa essere espulso dal territorio nazionale e costretto a seguire i genitori non muniti del titolo di soggiorno. Richiamano la predetta Convenzione e osservano, poi, che la Corte di appello avrebbe decretato una “espulsione di fatto” dei minori: espulsione che discendeva dal rigetto della domanda di autorizzazione dei genitori a permanere nel territorio nazionale. Quarto motivo: violazione del D. Lgs. n. 286 del 1998, art. 31; carenza ed illogicità della motivazione. I ricorrenti tornano a sostenere che il giudice del reclamo avrebbe omesso di effettuare il giudizio prognostico quanto alla sussistenza di un danno grave allo sviluppo psico-fisico dei minori. 2. - Il terzo e il quarto motivo, da esaminarsi congiuntamente, sono fondati. Deve premettersi che la disciplina di cui del cit. art. 31, comma 3, non possa essere intesa come volta ad assicurare una generica tutela del diritto alla coesione familiare del minore e dei suoi genitori: onde sul richiedente l’autorizzazione incombe l’onere di allegazione della specifica situazione di grave pregiudizio che potrebbe derivare al minore dall’allontanamento del genitore (Cass. 16 aprile 2018, n. 9391; cfr. pure Cass. 10 novembre 2017, n. 26710, secondo cui la parte richiedente ha l’onere di dedurre, in modo specifico, il grave disagio psico-fisico del minore, non essendo sufficiente la mera indicazione della necessità di entrambe le figure genitoriali, o l’allegazione di un disagio in caso di rimpatrio insieme ai genitori o a causa dell’allontanamento di un genitore). Una tale lettura è coerente con la funzione di bilanciamento cui l’art. 31, comma 3, assolve: bilanciamento tra l’interesse del minore e l’interesse pubblico alla sicurezza nazionale, nonché all’osservanza della disciplina in tema di immigrazione. Ed è opportuno ricordare, in proposito, come la richiamata disposizione si inserisca in un più ampio quadro normativo che è segnato, sul piano delle fonti sovranazionali, proprio dalla contrapposizione dell’istanza di tutela del minore con l’esigenza di assicurare agli Stati una ordinata regolamentazione dei flussi migratori: come ricordato dalle Sezioni Unite,
488
DIRITTO DI INTERNET N. 3/2019
è proprio nella prospettiva del contemperamento di questi interessi che la Corte Europea dei diritti dell’uomo (Corte EDU 24 novembre 2009, Omojudi; Corte EDU 22 marzo 2007, Maslov) ha disconosciuto al diritto alla vita privata e familiare natura di diritto assoluto, dichiarando che lo stesso possa essere sacrificato sulla base di politiche statuali di disciplina dell’immigrazione. Del resto, il diritto all’unità familiare, previsto del D. Lgs. n. 286 del 1998, art. 28, art. 8 della CEDU e artt. 3, 7, 9 e 10 della Convenzione di New York, ratificata con la L. n. 176 del 1991, non ha carattere assoluto nel nostro ordinamento, atteso che il legislatore, nel contemperamento dell’interesse dello straniero al mantenimento del nucleo familiare con gli altri valori costituzionali sottesi dalle norme in tema di ingresso e soggiorno degli stranieri, può prevedere delle limitazioni, sicché è legittimo il mancato accoglimento dell’istanza di autorizzazione alla permanenza sul territorio italiano di un genitore straniero per la ritenuta insussistenza dei gravi motivi di cui al citato D. Lgs. n. 286 del 1998, art. 31, comma 3 (Cass. 10 settembre 2015, n. 17942). Ciò posto, secondo la giurisprudenza delle Sezioni Unite di questa Corte, la temporanea autorizzazione alla permanenza in Italia del familiare del minore, prevista dal D. Lgs. n. 286 del 1998, art. 31, in presenza di gravi motivi connessi al suo sviluppo psico-fisico, può comprendere qualsiasi danno effettivo, concreto, percepibile ed obiettivamente grave che, in considerazione dell’età o delle condizioni di salute ricollegabili al complessivo equilibrio psico-fisico, deriva o deriverà certamente al minore dall’allontanamento del familiare o dal suo definitivo sradicamento dall’ambiente in cui è cresciuto (Cass. Sez. U. 25 ottobre 2010, n. 21799; in senso conforme, ad es.: Cass. 12 dicembre 2017, n. 29795; Cass. 17 dicembre 2015, n. 25419). Il D. Lgs. n. 286 del 1998, art. 31, non può essere allora interpretato in senso restrittivo, tutelando esso il diritto del minore ad avere rapporti continuativi con entrambi i genitori anche in deroga alle altre disposizioni del decreto, sicché la norma non esige la ricorrenza di situazioni eccezionali o necessariamente collegate alla salute del minore, ma comprende qualsiasi danno grave che lo stesso potrebbe subire, sulla base di un giudizio prognostico circa le conseguenze di un peggioramento delle condizioni di vita che abbia incidenza sulla sua personalità: peggioramento cui il detto soggetto sarebbe esposto a causa dell’allontanamento dei genitori o dello sradicamento dall’ambiente in cui il medesimo è nato e vissuto, qualora segua il genitore espulso nel luogo di destinazione (Cass. 21 febbraio 2018, n. 4197). Il giudizio espresso dalla Corte di appello non appare allora rispondente ai principi esposti. Si legge infatti nel decreto impugnato che non sarebbe possibile “pronosticare in caso di distacco fisico dei ge-
GIURISPRUDENZA CIVILE nitori, pessime prospettive e drammi insuperabili”. In tal modo, la Corte di merito finisce per attribuire rilievo al fatto che il distacco dei minori dai loro genitori non comporterebbe, per i primi, una situazione di disagio estremo: quasi che l’autorizzazione alla permanenza del familiare si giustifichi solo ove si delinei una tale situazione di eccezionale difficoltà e sofferenza; il che, secondo quanto precisato, non è. Allo stesso modo, il giudice del gravame mostra di pervenire a una incongrua svalutazione del ruolo della figura genitoriale in un’età ancora cruciale per lo sviluppo del minore ed elude, in tal modo, l’esigenza di bilanciamento tra i diversi interessi che la norma sottende, allorquando rileva che la relazione tra i genitori e i figli possa attuarsi attraverso le “sempre più facili ed articolate possibilità di contatti audio-video” e mercé una frequentazione personale ridotta ai periodi di vacanza scolastica. Da ultimo, la Corte prospetta un uso strumentale del reclamo - che assume finalizzato all’ottenimento del permesso di soggiorno, al fine esclusivo di sottrarre gli istanti all’espulsione dal territorio nazionale, con ciò
formulando un giudizio che risulta condotto su di un piano di totale astrazione, trascurando inoltre di considerare il portato derogatorio della previsione del D. Lgs. n. 286 del 1998, art. 31 (si veda, in tema, Cass. 21 febbraio 2018, n. 4197). I motivi in esame vanno quindi accolti. …Omissis… 3. - Il decreto è cassato con rinvio della causa alla Corte di Ancona, che è pure incaricata di provvedere sulle spese processuali del giudizio di legittimità. P.Q.M. La Corte: accoglie il terzo e il quarto motivo di ricorso; dichiara assorbiti i restanti; cassa il decreto impugnato e rinvia alla Corte di appello di Ancona, in diversa composizione, cui demanda di provvedere anche sulle spese del giudizio di legittimità. In caso di diffusione del presente provvedimento si omettano le generalità e gli altri dati identificativi, a norma del D. Lgs. n. 196 del 2003, art. 52. Così deciso in Roma, nella Camera di consiglio della Sezione Prima Civile, il 26 febbraio 2019. Depositato in Cancelleria il 24 aprile 2019.
IL COMMENTO di Livia Aulino
Sommario: 1. Introduzione. – 2. La tutela del minore immigrato in Italia. – 3. Il superiore interesse del minore. Il diritto all’amore e alla famiglia. – 4. Il collegamento via skype: opportunità e limiti al diritto alla bigenitorialità. – 5. Conclusioni. Il presente contributo è un commento alla recente ordinanza della Corte di Cassazione, 24 aprile 2019, n. 11274, con cui il Supremo Collegio ha affrontato il tema dell’autorizzazione a permanere nel territorio nazionale, come disciplinato dall’art. 31 del t.u. immigrazione, precisando che la norma non può essere interpretata in senso restrittivo, in quanto tutela il diritto del minore ad avere rapporti continuativi con entrambi i genitori anche in deroga alle altre disposizioni del decreto. La Corte ha altresì chiarito i limiti, rispetto allo sviluppo dei minori, dell’utilizzo dei programmi di comunicazione audio-video come Skype nel rapporto genitori-figli. A tal proposito si affronta il tema del superiore interesse del minore, del suo diritto all’amore e a crescere in una famiglia. This article is a comment on the recent injunction of the Supreme Court, 24th April 2019, n. 11274, in which the Court has dealt with the issue of authorization to remain in the national territory, as regulated by article 31 of immigration consolidated law; the Court has confirmed that the rule cannot be interpreted in a restrictive sense, as it protects the right of minors to have continuous relations with both parents also in derogation of the other provisions of the decree. The Supreme Court has, also, clarified the limits, with respect to the development of minors, of the use of audio-video communication programs, such as Skype, in the relationship between parents and children. In this regard, the topic of the best interests of minors, of their right to love and to grow up in a family will be discussed.
1. Introduzione
Con l’ordinanza n. 11274, la Suprema Corte ha chiarito che l’articolo 31, del d.lgs., 25 luglio 1998, n. 286 (cd. t.u. immigrazione), che regola l’autorizzazione a permanere nel territorio nazionale, non va interpretato in sen-
so restrittivo (1), prediligendo la tutela della personalità del minore.
(1) La norma in questione attribuisce al Tribunale per i minorenni, in presenza di “gravi motivi connessi con lo sviluppo psicofisico”, e tenuto conto dell’età e delle condizioni di salute del minore che si trova nel territorio italiano, il potere di autorizzare l’ingresso o la permanenza del familiare, per un periodo di tempo determinato, anche in deroga alle altre disposizioni dello stesso d.lgs., 25 luglio 1998, n. 286.
DIRITTO DI INTERNET N. 3/2019
489
GIURISPRUDENZA CIVILE La vicenda trae origine dal ricorso presentato innanzi al Tribunale per i minori di Ancona da una coppia di cittadini albanesi, genitori di due gemelli di dieci anni, che richiedevano l’autorizzazione a permanere nel territorio nazionale, ai sensi dell’art. 31, 3° co., cit., per un tempo determinato, per gravi motivi connessi allo sviluppo psico-fisico dei minori, i quali vivono in Italia presso lo zio paterno in possesso di regolare permesso di soggiorno. La domanda veniva rigettata, sia dal Tribunale per i minori che dalla Corte di Appello di Ancona, a cui era stato proposto successivo reclamo; in particolare, la Corte di gravame precisava che non era possibile pronosticare che il distacco fisico dei figli dai genitori compromettesse gravemente lo sviluppo della personalità dei minori; ciò in considerazione sia dell’età dei ragazzi, che del fatto che questi erano inseriti in un ambito familiare allargato in cui era presente lo zio, al quale i minori sarebbero potuti essere legalmente affidati stante le “cospicue risorse, morali ed economiche” di cui lo stesso disponeva. La Corte stabiliva, altresì, che i figli avrebbero potuto mantenere i contatti con i genitori sia telematicamente, attraverso l’uso di tecnologie che permettono contatti audio-video, sia fisicamente, considerato che i minori avrebbero potuto raggiungere l’Albania nei periodi di vacanza scolastica, anche alla luce della ridotta distanza tra i due Paesi. I genitori, stante il provvedimento della Corte di Appello, ricorrevano alla Corte di Cassazione che ha accolto la domanda di legittimità proposta. Secondo la Suprema Corte, l’art. 31, 3° co., cit., assolve ad una funzione di bilanciamento tra due esigenze di tutela: la salvaguardia del minore e la necessità di assicurare agli Stati una regolamentazione dei flussi migratori. A tal proposito la Suprema Corte ha rilevato che la Corte Europea dei diritti dell’uomo, in alcuni precedenti (2), non ha riconosciuto natura di diritto assoluto al diritto alla vita privata e familiare, dichiarando che lo stesso potesse essere sacrificato sulla base della disciplina dell’immigrazione ricondotta nell’alveo degli interessi statali superiori per la sicurezza nazionale. Altresì, ha precisato che comunque il diritto all’unità familiare può subire limitazioni proprio in virtù del contemperamento tra l’interesse dello straniero alla conservazione del nucleo familiare con gli altri valori la cui tutela è perseguita dalle norme in tema di immigrazione. La Corte di Cassazione ha evidenziato, inoltre, che la disciplina di cui all’art. 31, cit., non può essere interpretata nel senso di assicurare una tutela generica del diritto alla coesione familiare del minore e dei suoi genitori, per cui è onere della parte interessata allegare la
(2) C. eur. dir. umani, 24 novembre 2009, c. n. 1820/08, Omojudi c. Regno Unito; C. eur. dir. umani, 22 marzo 2007, Maslov c. Austria.
490
DIRITTO DI INTERNET N. 3/2019
specifica situazione di grave pregiudizio che deriverebbe al minore dall’allontanamento del genitore. Alla luce delle seguenti motivazioni, la Corte di Legittimità ha stabilito che l’art. 31, cit., non può essere interpretato in senso restrittivo, in quanto tutela il diritto del minore ad avere rapporti continuativi con entrambi i genitori, anche in deroga alle altre disposizioni del decreto. La nozione “gravi motivi”, di cui al 3° co., comprende qualsiasi danno grave o peggioramento delle condizioni di vita (3), che abbia incidenza sulla formazione e sulla personalità del minore, e a cui sarebbe esposto a causa dell’allontanamento dai genitori o dello sradicamento dall’ambiente in cui il medesimo è nato o vissuto, qualora seguisse il genitore espulso nel luogo di destinazione (4); pertanto la norma non esige la ricorrenza di situazioni eccezionali o necessariamente collegate alla salute del minore per l’autorizzazione all’ingresso o alla permanenza del familiare sul territorio nazionale. La Corte ha dunque cassato il decreto impugnato, in quanto non rispondente ai principi esposti, rinviando dinanzi ad altra sezione della Corte d’Appello per il prosieguo del giudizio.
2. La tutela del minore immigrato in Italia
La legislazione sull’immigrazione ha attribuito alla magistratura minorile un ruolo fondamentale nell’applicazione dei diritti degli stranieri irregolari, prevedendo alcune possibilità di deroga rispetto alle disposizioni su ingresso e permanenza, in senso più favorevole al minore rispetto all’adulto. La statuizione di maggiore interesse è sancita all’art. 31, cit., che regola l’autorizzazione all’ingresso o alla permanenza del familiare per un periodo di tempo determinato, per gravi motivi connessi con lo sviluppo del minore che si trova nel territorio italiano. Gli orientamenti giurisprudenziali hanno riguardato l’individuazione dei gravi motivi che costituiscono il presupposto dell’autorizzazione. Un primo orientamento giurisprudenziale (5), seguendo un’interpretazione letteraria della norma, li ha intesi in
(3) La norma va bilanciata, da un lato, con l’interesse dello straniero a mantenere unito il nucleo familiare e, dall’altro, con l’interesse pubblico alla sicurezza nazionale. La Corte di Cassazione, nella pronuncia in commento, ha chiarito che per il soggiorno temporaneo non è necessario far coincidere le gravi ragioni con situazioni eccezionali collegate alla salute, ma basta che sia prevedibile un peggioramento delle condizioni di vita del bambino che incida sulla sua personalità; tale peggioramento si può verificare sia in caso di allontanamento del padre e della madre sia per lo sradicamento dall’ambiente in cui è nato e vissuto. (4) Sul punto v. Cass., 21 febbraio 2018, n. 4197, in Lex24, all’indirizzo <https://www.diritto24.ilsole24ore.com>. (5) In particolare la Suprema Corte (Cass., 17 settembre 2001, n. 11624, in Familia, 2002, 552), in un caso simile a quello in commento, pur riconoscendo il diritto del minore alla famiglia, ha ritenuto che la
GIURISPRUDENZA CIVILE senso restrittivo stante il requisito di “temporaneità della autorizzazione” che precludeva la tutela di esigenze di lunga durata. Secondo quest’orientamento, il diritto del minore di crescere ed essere educato nell’ambito della propria famiglia è tutelato dal solo istituto del ricongiungimento, azionabile nell’ipotesi di regolare presenza in Italia del genitore o del minore e, in caso contrario dal diritto di seguire il genitore espulso nel luogo di destinazione ex art. 19, 2 co., d.lgs., 25 luglio 1998, n. 286. Questa tesi si è posta in contrasto sia con la Convenzione di New York del 1989, (cd. Convenzione Onu), in relazione ai concetti di benessere (6) e di interesse (7) del minore, che con alcuni precedenti della Corte Costituzionale (8). Il Giudice delle leggi ha, più volte, affermato che il fenomeno migratorio, anche caratterizzato da posizioni di irregolarità amministrativa, deve riconoscere i diritti fondamentali della persona e precisamente la protezione e la cura del minore, ritenutane la prevalenza quali diritti fondamentali dell’individuo e del minore. La Corte Costituzionale, così, non solo ha affermato la prevalenza del diritto alla vita e alla salute, ma ha ricordato che lo Stato è impegnato a garantire, ai sensi dell’art. 35 d.lgs. n. 286/98 le cure essenziali per ogni persona e, in particolare, “la tutela della salute del minore in esecuzione della Convenzione sui diritti del fanciullo” per cui non vi può essere allontanamento dal territorio dello Stato che arrechi irreparabile pregiudizio a tale diritto.
salvaguardia di tale diritto potesse aver luogo mediante il rimpatrio del minore. La Corte di Cassazione, con successivi provvedimenti (Cass., 10 marzo 2010, n. 5856, e Cass., 10 marzo 2010, n. 5857, Lex24, all’indirizzo <https://www.diritto24.ilsole24ore.com>) ha preferito un’interpretazione letterale dell’art. 31, 3° co., contemperando con il generale interesse della tutela delle frontiere. (6) In quanto interpreta il presupposto dell’autorizzazione ex art. 31, 3 co. ritenendo prevalente l’esigenza di tutela solo se apprezzata in relazione all’età e alle condizioni del minore, e solo in quanto assuma carattere di emergenza non necessariamente correlata a condizioni di salute e sia altresì contingente ed eccezionale, dunque non abbia tendenziale stabilità. Questa conclusione riduce il concetto di “sviluppo psico-fisico”, non interpretandolo alla stregua delle norme costituzionali ed internazionali come “benessere globale”, bensì riducendolo a mero fattore organico; in questo modo si ignora che l’art. 27 della Convenzione afferma il diritto di ogni fanciullo “ad un livello di vita sufficiente per garantire il suo sviluppo fisico, mentale, spirituale, morale o sociale”. (7) Questo orientamento giurisprudenziale fornisce un’interpretazione di interesse del minore in contrasto con la convenzione dell’Onu che individua una serie di diritti del minore, tra cui il diritto alla vita, inteso come diritto a uno sviluppo globale della personalità. (8) Corte Cost., 17 luglio 2001, n. 252, in Dir. fam., 2001, 1395; Corte Cost., 27 luglio 2000, n. 376, in Dir. fam., 2000, 86. La Corte, richiamando la Convenzione di New York, ha dichiarato l’illegittimità della norma che permetteva l’espulsione del marito irregolare convivente della donna in stato di gravidanza.
Un altro orientamento giurisprudenziale di legittimità (9) e di merito (10) ha ritenuto il superiore interesse del fanciullo un parametro imprescindibile di valutazione interpretativa, anche in considerazione delle tutele riconosciute dai dettati della Costituzione e dalle fonti di diritto internazionale. Inoltre, l’art. 31 sancisce il potere di autorizzare all’ingresso o alla permanenza dei familiari nel nostro Paese, in deroga alle altre disposizioni del t.u. immigrazione, anche per prestare le cure genitoriali indispensabili ai figli: nel caso in cui il minore fosse affetto da malattia non adeguatamente curabile nel suo Paese di origine; per non interrompere un anno scolastico o un ciclo di studio; per evitare il grave pregiudizio psicologico che poteva subire il minore in caso di sradicamento dal nostro Paese. Questo orientamento ha privilegiato la tutela della personalità e dello sviluppo dell’individuo ed ha contrastato l’interpretazione restrittiva che garantiva il controllo delle frontiere e salvaguardava il diritto all’unità familiare attraverso il ricongiungimento. Inoltre, ha stigmatizzato l’interpretazione restrittiva del concetto di temporaneità dell’autorizzazione. A dirimere questo contrasto interpretativo era intervenuta la Corte di Cassazione a Sezioni Unite (11), secondo cui i gravi motivi di cui all’art. 31 non possono essere limitati a patologie mediche o evenienze terapeutiche; al contrario possono essere integrati dalla preoccupazione di evitare qualsiasi danno effettivo anche di natura psichica al minore. In questo contesto si è inserita la pronuncia in oggetto, che in conformità a quella delle Sezioni Unite ed ad altre pronunce della Suprema Corte (12), riconosce che l’art. 31, 3° co., t.u. immigrazione, assolve ad una funzione di bilanciamento tra due esigenze di tutela contrapposte: la tutela del minore e la necessità di assicurare agli Stati una regolamentazione dei flussi migratori; la pronuncia in oggetto precisa altresì che il concetto gravi motivi connessi allo sviluppo psico-fisico del minore può comprendere qualsiasi danno effettivo, concreto, percepibile ed obiettivamente grave che, in considera (9) Cass., 16 ottobre 2009, n. 22080, in Lex24, all’indirizzo <https:// www.diritto24.ilsole24ore.com>. (10) La giurisprudenza di merito, in casi simili a quello in commento, aveva autorizzato, ai sensi dell’art. 31 T.U. immigrazione la permanenza in Italia del genitore espulso dal territorio italiano in quanto privo del permesso di soggiorno, per evitare al figlio il trauma di “dover separare la propria vita da quella del padre e di rimanere in Italia senza le cure della propria famiglia”. Sul punto: App. Bari, 31 dicembre 2001, in Familia, 2002, 549; App. Roma, 19 aprile 2004, in Fam. dir., 2004, 492. (11) Cass., S.U., 25 ottobre 2010, n. 21799, in Lex24, all’indirizzo <https://www.diritto24.ilsole24ore.com>. (12) Cass., S.U., n. 21799/2010, cit.; in senso conforme, Cass., 12 dicembre 2017, n. 29795, e Cass. 17 dicembre 2015, n. 25419, entrambe in Lex24, all’indirizzo <https://www.diritto24.ilsole24ore.com>.
DIRITTO DI INTERNET N. 3/2019
491
GIURISPRUDENZA CIVILE zione dell’età o delle condizioni di salute ricollegabili al complessivo equilibrio psico-fisico, deriva o deriverà al minore dall’allontanamento del familiare o dal suo definitivo sradicamento dall’ambiente in cui è cresciuto.
3. Il superiore interesse del minore. Il diritto all’amore e alla famiglia
La protezione del minore è sempre stata oggetto di attenzione da parte dell’ordinamento interno (13) ed internazionale (14). In particolare, la pronuncia in oggetto si conforma al principio ispiratore della normativa a tutela del minore, cd. best interests of the child (15), in quanto soggetto debole della relazione e pertanto bisognoso di maggiori garanzie. Il principio del superiore interesse del minore garantisce che tutte le decisioni giurisdizionali siano finalizzate a promuovere il benessere psicofisico del bambino e a privilegiare l’assetto di interessi più favorevole ad una crescita e maturazione sana e equilibrata. Corollario applicativo è che i diritti degli adulti siano funzionali alla protezione del minore, con l’ulteriore conseguenza che essi stessi trovino tutela solo nel caso in cui questa coincida con la protezione della prole. Con il passaggio dal concetto di patria potestà a quello di responsabilità genitoriale (16), il fanciullo ha acqui-
(13) La Costituzione, all’art. 30, sancisce i doveri del genitore nei confronti dei figli e, all’art. 31 disciplina le tutele che lo Stato deve applicare nei confronti dei meno abbienti per garantire pari dignità sociale. Il Codice Civile regola, più dettagliatamente, la tutela del minore ove all’art. 315 bis c.c. sancisce il suo diritto ad essere “mantenuto, educato, istruito e assistito moralmente dai genitori nel rispetto delle sue capacità, delle sue inclinazioni naturali e delle sue aspirazioni”. (14) La Convenzione di New York del 1989 (o convenzione ONU), ratificata in Italia con L., 27 maggio 1991, n. 176, afferma l’importanza di garantire parità di diritti a tutti i minori, a prescindere da razza, sesso, nazionalità e religione; inoltre fa anche riferimento all’importanza degli affetti e dell’amore familiare, come elementi essenziali per poter garantire al minore una vita dignitosa e felice. L’articolo 3, in particolare, stabilisce l’obbligo di rispettare il “principio del migliore interesse del minore” in tutte le decisioni che lo vedono coinvolto. Le Convenzioni dell’Aja del 1993 e del 1996, fanno un riferimento all’essenzialità dell’interesse del minore come punto fermo per le decisioni che lo vedono coinvolto. (15) Il principio è stato formulato, per la prima volta, nella Dichiarazione delle Nazioni Unite sui diritti del fanciullo del 1959 e poi è stato sancito in maniera formale in tutte le convenzioni e dichiarazioni dedicate al fanciullo; altresì, l’art. 24, par. 2. della Carta dei diritti fondamentali dell’Unione europea dichiara: «in tutti gli atti relativi ai bambini (...) l’interesse superiore del bambino deve essere considerato preminente». (16) Il padre e la madre non esercitano più un potere verso il minore, ma assumono la responsabilità di assistere, educare e mantenere la prole nella sua crescita quale autonomo soggetto, divengono garanti del rispetto dei suoi diritti fondamentali che egli esercita prima di tutto nel contesto familiare. A ciò è seguita una progressiva affermazione della parità tra padre e madre, che comportava il superamento del concetto di patria potestà verso il più ampio concetto di autorità genitoriale. Il minore, pertanto, era oggetto delle relazioni familiari, sottoposto alle decisioni dei genitori, che dovevano certamente essere prese in considerazione del
492
DIRITTO DI INTERNET N. 3/2019
stato la propria autonoma considerazione giuridica, ed è passato ad essere da oggetto di diritto (17) a soggetto di diritto (18). In tal senso, si rileva che il diritto alla bigenitorialità garantisce il superiore interesse del minore ad intrattenere relazioni stabili e significative con entrambi i genitori (19). È evidente che convenzioni, trattati e leggi nazionali vincolano direttamente e indirettamente il giudice ad assumere decisioni che siano in grado di garantire la protezione del minore. In questa ottica, un elemento certamente essenziale è il suo ascolto. Le nozioni di interesse e benessere del minore, accolte nel d.lgs., 25 luglio 1998, n. 286, sono quelle consolidate della Convenzione di New York da cui va tratta la concezione di sviluppo psicofisico richiamato dall’art. 31, 3 co., rispetto alla quale i parametri di età e di salute non possono che essere esemplificativi ed aggiuntivi. Pertanto, secondo i principi ispiratori del titolo IV del t.u. immigrazione, l’interesse superiore del fanciullo funge, quando si tratti di diritto all’unità familiare e di tutela dei minori, da criterio valutativo funzionale alla verifica dell’esercizio o meno del diritto. Ne consegue che il giudice dovrà valutare, dapprima, se tale esercizio sia nell’interesse del minore, e poi se il mancato esercizio determini una lesione grave del suo globale sviluppo psicofisico, quindi fisico, mentale, spirituale, morale o sociale, così come è richiamato dalla convenzione di New York. La pronuncia in commento contempla, altresì, il diritto del minore ad una famiglia (20), e quindi a crescere in un contesto familiare sano ed equilibrato, ove gli adulti
suo interesse, nel rispetto delle sue inclinazioni ed esigenze, come cita lo stesso art. 147 c.c. (17) Il minore era inteso come parte passiva nelle relazioni familiari e sottoposto all’autorità degli esercenti la patria potestà. (18) Egli è soggetto di diritto, titolare di una propria soggettività giuridica da tutelare e proteggere, avendo cura che i diritti fondamentali riconosciutigli trovino compiuta affermazione nelle sue relazioni familiari e sociali. (19) L’art. 337 ter c.c. dispone il diritto del figlio minore a mantenere un rapporto equilibrato e continuativo con ciascuno dei genitori, di ricevere cura, educazione, istruzione e assistenza morale da entrambi e di conservare rapporti significativi con gli scendenti ed i parenti di ciascun ramo genitoriale. La norma, aggiunta dall’art. 55 del d.lgs., 28 dicembre 2013, n. 154, di riforma della filiazione, riproduce con poche modifiche l’art. 155 c.c. nel testo vigente prima della riforma della L., 8 febbraio 2006, n. 54. (20) Il diritto a crescere in una famiglia è sancito all’art. 1, L. 4 maggio 1983, n. 184 (cd. legge sull’adozione) riformata dalla L. 28 marzo 2001, n. 149, rubricata “il diritto del minore ad una famiglia”. Tale diritto ha trovato riconoscimento anche nella Convenzione dell’Onu del 1989 sui diritti del fanciullo e nella convenzione di Strasburgo, ratificata con L. 20 marzo 2003, n. 77.
GIURISPRUDENZA CIVILE sono onerati della responsabilità di crescerlo, educarlo e istruirlo. Tale diritto è sancito anche dall’art. 315 bis c.c., ed è un diritto assoluto (21), inteso come diritto di solidarietà che reclama l’intervento dello Stato per rimuovere le difficoltà personali ed economiche di ostacolo all’esercizio dello stesso. Esso si collega, altresì, al diritto ad avere relazioni stabili e significative con entrambi i genitori, che può essere limitato solo ove ciò appaia nel suo superiore interesse (22). Il minore è, quindi, titolare del più generale diritto ad una vita familiare, ai sensi dell’art. 8 della Convenzione europea dei diritti dell’uomo, il che comporta l’obbligo positivo per gli Stati di porre in essere tutte le misure necessarie a garantire al fanciullo un contesto familiare funzionale al suo sereno sviluppo. Ne consegue che il diritto del minore a crescere nella propria famiglia si ritiene violato anche nei casi in cui lo Stato impedisca al genitore straniero di ricongiungersi con il figlio residente nel territorio nazionale.
4. Il collegamento via skype: opportunità e limiti al diritto alla bigenitorialità
Le nuove tecnologie ed in particolare le comunicazioni elettroniche hanno assunto un ruolo principale nelle relazioni familiari e fungono da supporto nel ridurre la distanza geografica, che in quest’ottica assume sempre meno valore (23). A tal proposito la giurisprudenza, sia di legittimità che di merito, ha affrontato il tema dell’esercizio del diritto di visita attraverso le modalità telematiche. La Corte di Cassazione (24) ha, infatti, riconosciuto l’opportunità di valorizzare un diverso regime del diritto di visita genitore – figli, consentendo un “diritto di visita via web”. La Corte ha disposto che le visite possono avvenire, con precise condizioni e limiti temporali, attraverso il mezzo di comunicazione skype (25), stabilendo però l’impossibilità per tale mezzo di comunicazione di essere
(21) Bianca C.M., Diritto civile, 2.1, La famiglia, 2017, 367. (22) Sul punto, v. art. 24 della Carta dei diritti fondamentali dell’Unione europea. (23) Si è assistito ad una vera e propria rivoluzione relativa alle tecnologie dell’informazione, in cui sono svaniti i limiti di distanza o di tempo. Tinello, Diritto delle tecnologie informatiche e principi costituzionali, in Diritto delle nuove tecnologie informatiche e dell’Internet, a cura di Cassano, Trento, 2002, 134. (24) Cass., 17 gennaio 2017, n. 977, in Lex24, all’indirizzo <https:// www.diritto24.ilsole24ore.com>. (25) Come noto, Skype è un programma che, attraverso la rete, consente di effettuare video-chiamate con chiunque, in qualsiasi paese del mondo.
sostitutivo della presenza fisica, reale e continuativa del genitore (26). Altresì, la giurisprudenza di merito (27) ha precisato che il genitore che vive lontano dai figli minori, può legittimamente esercitare il diritto di visita on line, mediante l’ausilio di internet e di video riprese, purché si accolli le spese dei costi di gestione del collegamento. La pronuncia, in linea con la normativa introdotta nel 2006 (28) ed, in particolare, rispetto al diritto del minore di mantenere un rapporto equilibrato e continuativo con entrambi i genitori (29), ha rimarcato la necessità di stabilire un regime di visite che preveda la possibilità per i minori di beneficiare di un rapporto significativo con entrambi i genitori, con visite regolari e per periodi di tempo congrui. È evidente che la lontananza, intesa come distanza fisica tra il genitore e i figli, non può costituire un impedimento, e in questo senso la tecnologia è nodale laddove può rappresentare uno ausilio al raggiungimento dello scopo. Sul punto, la Corte d’Appello di Genova (30) ha, da un lato, evidenziato che il genitore può e deve essere presente, concretamente, nella vita del figlio, anche residente in diverso Paese; dall’altro, ha ampliato il diritto di frequentazione del padre, autorizzandolo a comunicare con frequenza quotidiana con la figlia, anche tramite il programma Skype.
(26) Secondo la Cass.,17 gennaio 2017, cit., le modalità di comunicazione (tramite cellulare o skype) non sono idonee a surrogare le visite del genitore assente. (27) Il Tribunale di Nicosia, con provvedimento del 15 aprile 2008, interpretando estensivamente l’art. 155 c.c., ha disposto un diverso regime del diritto di visita padre - figli, che comprendesse visite via web, da esercitarsi in determinati tempi e modalità. La vicenda riguardava il giudizio di separazione di due coniugi siciliani, in cui era stato disposto l’affido esclusivo dei due figli minori alla madre, in ragione delle risultanze della consulenza tecnica che aveva evidenziato la tendenza del padre ad una irrealistica esibizione di una immagine favorevole di sé. Sul punto v. Cassano-Falletti, Webcam con papà: genitori e figli non conviventi dialogano via internet (Tribunale di Nicosia, 15 aprile 2008), in Diritto dell’internet, 2008, 451- 458. (28) L., 8 febbraio 2006, n. 54, in https://www.camera.it. (29) Il diritto del minore a mantenere un rapporto affettivo con i genitori attraverso la previsione di un regime di visita adeguato. In particolare, si rileva che parte della dottrina riconosce il diritto di visita come un diritto soggettivo, personale e costituzionalmente garantito e dunque indisponibile ed irrinunciabile, e subordinato solo alla valutazione dell’interesse del minore; sul punto v. Marozzo Della Rocca, La nuova disciplina sulla filiazione, Rimini, 2015, 164. (30) App. Genova, 18 gennaio 2008.
DIRITTO DI INTERNET N. 3/2019
493
GIURISPRUDENZA CIVILE Sempre sul tema, il Tribunale di Messina (31) e quello di Potenza (32) hanno tenuto in conto, nel formulare i regimi delle visite, le esigenze ed i desideri di maggiore frequentazione dei genitori non collocatari. A tal fine, il Giudice di merito ha stabilito che entrambi i genitori, durante il tempo in cui il figlio si trovi con ognuno di essi, devono promuovere e favorire il più possibile i contatti anche telefonici con l’altro, comunicando tempestivamente numeri di utenze cellulari, indirizzi e quant’altro potesse consentire una comoda ed immediata reperibilità del minore. Inoltre, il mezzo di comunicazione skype è stato riconosciuto idoneo alla formazione di un consenso giuridicamente vincolante dalla recente sentenza della Corte di Cassazione (33) che ha ritenuto valido il matrimonio celebrato via skype secondo le leggi di un ordinamento straniero, non ostandovi alcun principio di ordine pubblico interno. Da ultimo, il Tribunale di Mantova (34) ha delineato le linee guida per l’affidamento dei figli minori, stabilendo l’obbligo per il genitore di consentire all’altro genitore la comunicazione con i figli a mezzo telefono o skype almeno una volta al giorno fra le ore 19,00 e le ore 21,00 assumendo ogni accorgimento utile affinché ciò potesse avvenire senza intralci. Da quanto fin qui esposto, emerge chiaramente la necessità che gli strumenti telematici nelle relazioni familiari siano utilizzati in modo tale da essere adeguati al fondamentale ruolo della persona umana.
5. Conclusioni
Internet, si è dimostrato uno strumento rivoluzionario non solo come mezzo di comunicazione e di conoscenza, ma anche come veicolo di grande efficacia per annullare le distanze nei rapporti familiari. La rete, infatti, ha radicalmente modificato i concetti tradizionali di spazio e di tempo, permettendo a chiunque, connettendosi, di
(31) Trib. Messina, 22 gennaio 2008, in Lex24, all’indirizzo <https:// www.diritto24.ilsole24ore.com>, in cui, pur non rivedendo il regime di affidamento, si stabiliva che occorreva far fronte ad una rimodulazione dei tempi di permanenza del padre con il bambino, stante il trasferimento della madre all’estero. (32) Il Trib. Potenza, 7 novembre 2007, ha stabilito che la regolamentazione del diritto di visita del genitore non collocatario è stata determinata tenendo conto dell’interesse del padre ad una partecipazione più intensa alla vita educativa della figlia, in funzione del suo più equilibrato sviluppo psico-fisico. Il testo è disponibile al seguente link <http://www. affidamentocondiviso.it/tribpotenza7107.html>. (33) Cass., 25 luglio 2016, n. 15343, in Lex24, all’indirizzo <https:// www.diritto24.ilsole24ore.com>. (34) Tribunale di Mantova, Linee guida per l’affidamento dei figli minori, 1 febbraio 2019, in Lex24, all’indirizzo <https://www.diritto24.ilsole24ore.com>.
494
DIRITTO DI INTERNET N. 3/2019
raggiungere immediatamente altri individui situati in qualsiasi parte del mondo. Nonostante il concetto di distanza ha perso il suo tradizionale aspetto di impossibilità nel proseguire relazioni personali, emerge ancora l’importanza del costante contatto fisico con il genitore non convivente nello sviluppo del minore, al fine di garantire il diritto alla bigenitorialità, intesa comunque e sempre come relazione diretta tra genitore e figlio. In questo senso, la Corte di Cassazione ha accolto la domanda di legittimità proposta ritenendo che i contatti audio-video rivelino una svalutazione del ruolo dei genitori in un’età cruciale per lo sviluppo del minore riconoscendo che l’elemento personale di comunicazione diretta può essere integrato ma non completamente sostituito o annullato. Se ne ricava che lo sviluppo tecnologico è un processo irreversibile di miglioramento delle comunicazioni; lo stesso, però, non deve portare all’annullamento o alla sostituzione dei contatti tra le persone in quanto è di fondamentale importanza, per la formazione, la crescita, la maturazione psicologica, culturale, sociale e caratteriale del minore, che tali relazioni possano avvenire attraverso il contatto diretto; si tratta, infatti, dell’unico mezzo attraverso il quale si manifesta integralmente il ruolo formativo, educativo della bigenitorialità senza che possa esserci alcuna preclusione per il minore, vero ed unico soggetto messo al centro delle relazioni che lo riguardano.
GIURISPRUDENZA CIVILE
IL COMMENTO
di Mariangela Ferrari Sommario: 1. Sull’interpretazione dei criteri normativi per il rilascio dell’autorizzazione alla permanenza in Italia in deroga ai principi generali. – 2. L ‘onere di allegazione. – 3. Le relazioni umane e la rete. La condivisibile mancanza di gerarchia fra l’interesse del minore straniero all’unità familiare e l’interesse pubblico alla sicurezza nazionale e all’osservanza della disciplina sull’immigrazione, comporta la necessità di un bilanciamento raggiungibile attraverso l’applicazione dell’art. 31, comma 3, d.lgs. 286/98. L’ampia discrezionalità riservata al giudice dalla clausola generale dei “gravi motivi connessi allo sviluppo psico-fisico” del minore, al fine di rilasciare l’autorizzazione alla permanenza o all’ingresso del genitore in deroga alla normativa generale vigente, può essere in parte contenuta valorizzando i criteri misurabili dell’età e della temporaneità della situazione; essi possono divenire parametri utili anche per considerare possibile il necessario mantenimento delle relazioni parentali attraverso le attuali, nuove e facili tecnologie di comunicazione audio-video. The shared lack of hierarchy between the foreign child’s interest in family unity and the public interest in national security and compliance with immigration rules, means that a balance is achievable through the application of art. 31, 3, d.lgs. 286/98. The broad discretion reserved to the court by the general clause of the “serious reasons related to the psycho-physical development” of the child, in order to issue the authorization for the stay or entry of the parent in derogation from the general legislation in force, may be contained in part by exploiting the measurable criteria of age and temporary of the situation; they can also become useful parameters to consider possible the necessary maintenance of parental relationships through current, new and easy audio-video communication technologies.
1. Sull’interpretazione dei criteri normativi per il rilascio dell’autorizzazione alla permanenza in Italia in deroga ai principi generali
Le innovative e attuali motivazioni della Corte d’Appello, cassata con la pronuncia in commento, sollecitano l’intervento dell’interprete: nel giudizio attuale o prognostico richiesto per la valutazione dei gravi motivi che possano compromettere lo sviluppo psico-fisico dei minori con l’allontanamento dei genitori, i giudici di merito avevano affermato che “in considerazione dell’età dei ragazzi, del fatto che questi ultimi erano inseriti in ambito familiare «allargato», in cui era presente lo zio, al quale i minori avrebbero potuto essere legalmente affidati sulla base delle «cospicue risorse, morali ed economiche» di cui lo stesso disponeva e dei contatti che i figli avrebbero potuto agevolmente mantenere coi genitori, tenuto conto sia delle «sempre più facili e articolate possibilità di contatti audio-video», sia della ridotta distanza tra l’Italia e l’Albania, che i ragazzi avrebbero potuto raggiungere nei periodi di vacanza scolastica”, l’autorizzazione non poteva né doveva essere concessa. La prima questione affrontata dalla Suprema Corte riguarda un’affermazione condivisibile: l’art. 31 in oggetto non è finalizzato alla tutela generica di un “diritto alla coesione familiare fra minori e genitori”, certo tutelato sia dalla Costituzione che dall’ordinamento interno e internazionale (1), ma da altre disposizioni ( in partico-
(1) Tra le fonti cui fare riferimento di veda l’art. 8, commi 1 e 2 della Conv. eur. dir. umani (CEDU), in vigore dal 3 settembre 1953; la l. n. 40/98 Turco- Napolitano prima legge organica sull’immigrazione, trasfusa poi nel d.lgs. 25 luglio 1998 n. 286 di cui si tratta nella nota a sentenza, seguito in data 31 agosto 1999 con DPR. N. 394 dal “Regolamento recan-
lare dagli artt. 29 e 30 del T.U. dedicati al ricongiungimento familiare dei cittadini extracomunitari) e con limiti, imposti dalla legge, giustificati da esigenze relative alla sicurezza nazionale, all’ordine pubblico, al benessere economico, alla prevenzione dei reati, alla protezione della salute o della morale e alla protezione dei diritti e delle libertà altrui. I limiti di legge, oltre che incidere sulla natura “assoluta” del diritto, impongono al giudice di operare un bilanciamento al fine di trovare un’equa soluzione a potenziali conflitti (2); in altre parole, nel caso di specie, una lettura sistematica dell’ordinamento, in ottica anche sovranazionale, consente di disconoscere il diritto alla vita privata e familiare come diritto assoluto, così che lo stesso possa anche, eventualmente, essere sacrificato sulla base di politiche statuali di disciplina dell’immigrazione.
te norme di attuazione del Testo Unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, a norma dell’art. 1, comma 6, del d.lgs. 25 luglio 1998, n. 286”. Per una panoramica esaustiva della normativa in questione si veda: Franco, Sul diritto all’unità familiare nel diritto europeo e nel diritto italiano, in Dir. Famiglia, 2007, 1, 522 ss. (2) In dottrina v. interessante saggio di Carapezza Figlia, Tutela del minore migrante ed ermeneutica del controllo, in Dir. fam. pers., 2018, 223 ss., con ampi riferimenti bibliografici, in cui si afferma che: “…nell’applicazione della disciplina sull’ingresso e il soggiorno dello straniero nel territorio nazionale, l’individuazione del giusto equilibrio tra i principi concorrenti, sempre più frequentemente, viene eseguita dall’autorità giudiziaria, tenuta a compiere, caso per caso, un giudizio che proietta la ponderazione degli interessi in conflitto dalla sfera della discrezionalità politica del legislatore a quella dell’individuazione giudiziale della regola da applicare al caso concreto”.
DIRITTO DI INTERNET N. 3/2019
495
GIURISPRUDENZA CIVILE Premesso quanto sopra, l’art. 31, comma 1, dispone il diritto del minore straniero convivente a seguire la condizione del genitore regolarmente soggiornante, mentre il comma 3 stabilisce una deroga ai principi previsti nel testo normativo (d.lgs. 286/98), secondo la quale il Tribunale dei minorenni “per gravi motivi connessi allo sviluppo psicofisico e tenuto conto dell’età e delle condizioni di salute del minore che si trova in territorio italiano, può autorizzare l’ingresso o la permanenza del familiare, per un periodo di tempo determinato”. I criteri, cui fare riferimento per la concessione dell’autorizzazione in deroga ai principi generali, sono numerosi e, senza entrare nel complesso tema del riparto di competenze fra Tribunale dei minori e Tribunale ordinario (3) che riguarda questioni strettamente processuali, l’interprete necessita di approfondire il significato, la ratio e le caratteristiche di ognuno di essi per trovarne la corretta collocazione nell’ottica del bilanciamento cui la norma (art.31) assolve. a) Gravi motivi connessi allo sviluppo psico-fisico del minore Le questioni interpretative relative all’art. 31, comma 3 del d.lgs. n. 286 del 1998 non sono nate di recente, bensì risalgono all’emanazione della normativa, tanto da richiedere ben due interventi delle Sezioni Unite al fine di dirimere un conflitto giurisprudenziale insorto fra un orientamento “rigorista”, affermatosi inizialmente, e uno “liberista”, successivo, ispirato anche dalla dottrina prevalente (4). (3) Con la riforma del 2012 che ha equiparato i figli naturali ai figli legittimi, si è perduta l’occasione per uniformare la competenza sui minori attribuendola ad un unico organo, perciò continua la organizzazione con il doppio binario: i provvedimenti riguardanti i minori possono provenire da organi diversi; la sottolineatura circa l’opportuna competenza del Tribunale dei minori che ha di stanza anche un Pubblico Ministero specializzato in tematiche minorili in Villa, Le sezioni unite ridefiniscono i gravi motivi cercando di conciliare l’interesse del minore con il controllo delle frontiere, in Nuova giur. civ. comm., 2011, I, 371 ss. in particolare 373. (4) In dottrina v. Tucci, I diritti fondamentali del minore extracomunitario, in Familia, 2002, 552, che afferma: “…sono stati riconosciuti al minore extracomunitario alcuni di quei diritti (leggi fondamentali), subordinando naturalmente agli stessi le esigenze di regolamentazione dei flussi migratori o di intangibilità delle frontiere, per usare il linguaggio della nostra Corte di legittimità, che spesso vengono addotte, in termini del tutto inaccettabili, proprio per vanificare o comunque limitare i diritti fondamentali”; Morozzo della Rocca, Sui presupposti per il rilascio del permesso di soggiorno al familiare “nell’interesse del minore”, in Fam e dir., 2007, 224 ss.; Gambini, Provvedimenti camerali del Tribunale per i minorenni: ammissibilità del ricorso straordinario per cassazione e presupposti dell’autorizzazione alla permanenza sul territorio nazionale del familiare del minore extracomunitario, in Nuova giur. civ. comm., 2007, I, 913, con ulteriori riferimenti bibliografici; Cocchini, Tutela del minore straniero e diritto all’unità familiare: l’art. 31, comma 3, t.u. immigrazione, non tutela situazioni di stabilità e normalità, in Nuova giur. civ. comm., 2008, I, 998; Villa, op. cit., 375-376 con ampi riferimenti bibliografici; mette in evidenza paradossi applicativi della norma di cui all’art. 31, ma sottolinea la natura “derogativa e non abrogativa” della normativa in essere Morozzo della Rocca, L’art. 31, comma 3, d. lgs 286/1998 e la clausola generale dei gravi motivi, in Corr. giur., 2011, 182 ss.
496
DIRITTO DI INTERNET N. 3/2019
L’orientamento interpretativo più rigido, prospettato dalla Suprema Corte, si focalizzava essenzialmente sulla eccezionalità dell’autorizzazione, che contrasta con situazioni dal carattere di normalità e stabilità (5); la norma è eccezionale e va interpretata restrittivamente, anche perché l’interpretazione estensiva produrrebbe una definitiva elusione della disciplina dell’immigrazione, creando un modo anomalo e illegittimo di stabilizzazione degli extracomunitari in Italia (6); di talché non si ritiene un “grave motivo” quello di far terminare gli studi scolastici in Italia (7), né l’avvenuto inserimento positivo nel tessuto sociale italiano, ma si insiste sulla necessità di serie circostanze che comprovino la gravità dello scompenso nello sviluppo psicofisico del minore, sganciate da normalità e stabilità (8). Diversamente “nessuna espulsione sarebbe più possibile perché ogni espulsione del genitore produce ex se disagio per il minore. L’eccezione diverrebbe regola e la regola l’eccezione” (9). Non solo. I sostenitori di tale orientamento sottolineano anche la necessaria “attualità” dei gravi motivi, senza la quale neppure si potrebbero verificare, né tanto meno provare, avendone indiscutibilmente l’onere il richiedente (10). Si inserisce in questo contesto una prima sentenza delle Sezioni Unite (11) che, pur adita su una questione pro (5) In questo senso v. Cass. 14 giugno 2002, n. 8510, in Giust. civ., 2003, I, 2898 ss.; Cass. 19 marzo 2002, n. 3991, in Giur. It., 2003, 688; Cass. 21 giugno 2002, n. 9088, in Fam. e dir., 2003, 23; Cass. 14 novembre 2003, n. 17194, in Foro it., 2004, I, 2826; Cass. 11 gennaio 2006, n. 396, in Dir. giust., 2006, 23; Cass. 15 gennaio 2007, n. 747, in Fam. dir., 2007, 221; Cass. 19 febbraio 2008, n. 4197, in Nuova giur. civ. comm., 2008, I, 996; Cass. 10 marzo 2010, n. 5856, in Dir. fam., 2010, 1639; per la giurisprudenza di merito v. App. Perugia, 18 marzo 2009, e Trib. min. Perugia 31 dicembre 2008, in Giur. it., 2012, 66 ss. (6) Belfiore, I gravi motivi che legittimano la permanenza in Italia del familiare di un minore straniero devono essere attuali o anche solo futuribili?, in Giur. merito, 2008, 125 ss.; Eramo, L’art. 31 del d. lgs. 25 luglio 1998 n. 286: un’esistenza difficile e tormentata, in Dir. fam e pers., 2007, 696, in particolare 701: “L’interpretazione estensiva della norma in esame condurrebbe, inoltre, ad invertire il principio generale per il quale il bambino segue normalmente la condizione dei genitori, e non viceversa, senza che ciò sia giustificato dal principio del superiore interesse del minore, che non è una norma sovraordinata alle altre, ma un semplice criterio interpretativo”. (7) Cass. 11 gennaio 2006, n. 396, cit.; Cass. 14 novembre 2003, n. 17194, cit. (8) App. Genova 27 febbraio 2007, n. 15 in Giur. merito, 2008, 125. (9) Così Eramo, L’art. 31 del d. lgs. 25 luglio 1998 n. 286: un’esistenza difficile e tormentata, cit., 702. (10) Belfiore, I gravi motivi che legittimano la permanenza in Italia del familiare di un minore straniero devono essere attuali o anche solo futuribili?, cit.,127. (11) Cass. SS.UU. 16 ottobre 2006, n. 22216, in Dir. fam. e pers., 2007, 686 ss. per la decisione sul contrasto di giurisprudenza verificatosi circa la natura contenziosa del procedimento camerale e la definitività dei provvedimenti in materia minorile di cui all’art. 31, comma 3, del d. lgs. n.
GIURISPRUDENZA CIVILE cessuale, decide di intervenire anche sulle altre questioni del caso di specie, e, pur mantenendosi fedele all’orientamento rigorista, poiché afferma “che la presenza di gravi motivi richiede l’accertamento di situazioni di emergenza di natura eccezionale e contingente, di situazioni, cioè, che non siano quelle normali e stabilmente ricorrenti nella crescita di un minore secondo il ricorrente orientamento interpretativo della giurisprudenza di legittimità”, per la prima volta, distingue l’ipotesi della richiesta di autorizzazione “all’ingresso” da quella di autorizzazione a “permanere” sul territorio dello Stato. In effetti il testo dell’art. 31 contempla due possibilità autorizzative (di ingresso o di permanenza) senza in realtà distinguere una disciplina specifica per ciascuna di esse, ma gli ermellini, al contrario, discettano sul fatto che “solo nell’ipotesi di richiesta di autorizzazione all’ingresso del familiare nel territorio nazionale in deroga alla disciplina generale dell’immigrazione” deve essere dedotta puntualmente dal richiedente la presenza dei “gravi motivi”, mentre la situazione eccezionale nella quale ravvisare i gravi motivi per la permanenza, “può essere attuale, ma può essere anche dedotta quale conseguenza dell’allontanamento improvviso del familiare sino allora presente e cioè di una situazione futura ed eventuale rimessa all’accertamento del giudice minorile”. La circostanza, ammessa dalle Sezioni Unite, che i gravi motivi possano essere anche futuri, cioè non presenti né attuali, apre una prospettiva all’orientamento liberista. L’orientamento cd. liberista (12) si fonda essenzialmente sull’interesse del minore e fa ruotare tutta l’azione in-
286 del 1998 e quindi la loro ricorribilità per cassazione ai sensi dell’art. 111 Cost. (12) Si v. fra le altre App. Perugia 10 aprile 2002, in Giur. Merito, 2003, 1260 ss., che in realtà si oppone all’interpretazione rigorista del Tribunale per i Minorenni che affermava che la più liberale interpretazione della norma consentirebbe una deprecabile elusione della disciplina dell’immigrazione, facendo leva sull’opinione espressa che “la voluntas legis è quella di proteggere il minore” oltre al fatto che il T.U. sull’immigrazione faccia riferimento “al superiore interesse del fanciullo come ad un imprescindibile parametro di valutazione per tutti i procedimenti giurisdizionali concernenti i minori (..)”, 1262-1263; per la giurisprudenza di legittimità v. Cass. 19 gennaio 2010, n. 823, in Giust. civ., 2010, I, 281, in cui: “La temporanea autorizzazione all’ingresso o alla permanenza in Italia del familiare del minore, prevista dall’art. 31 d. lgs. n. 286 del 1998 in presenza di gravi motivi connessi allo sviluppo psicofisico del minore e tenuto conto dell’età e delle condizioni di salute del medesimo, non postula necessariamente l’esistenza di situazioni di emergenza o di circostanze contingenti ed eccezionali strettamente collegate alla sua salute, potendo essere connessa anche soltanto all’età del minore, tenuto conto della grave compromissione all’equilibrio psico-fisico che determina in tale situazione l’allontanamento o la mancanza di uno dei genitori”. In dottrina Astiggiano, Superiore interesse del minore ed immigrazione: sull’interpretazione dell’art. 31 d. lgs. N. 286/1998, in Fam e dir., 2010, 227; Oddi, Genitore irregolarmente soggiornante: l’autorizzazione alla permanenza è subordinata all’esclusivo interesse del minore, in <https://ilfamiliarista.it> che pur dopo la pronuncia delle Sez. Unite, si mostra critico verso i Tribunali dei
terpretativa attorno al “principio-valore del favor minoris (che) è e deve essere il punto di partenza nell’interpretazione della norma de qua (leggasi art. 31, comma 3, d.lg. n. 286/1998)”. La giurisprudenza schierata in tal senso, ritiene che il testo letterale e la ratio dell’art. 31, comma 3, non facciano riferimento a “situazioni eccezionali o eccezionalissime, necessariamente collegate alla salute del minore (malattia, disabilità, ecc.), ma più semplicemente di gravi motivi, connessi con lo sviluppo psicofisico (che per il minore è evidentemente un dato puramente fisiologico), che vanno valutati, tenendo conto delle condizioni di salute ( anche in tal caso non viene necessariamente in considerazione una dimensione di eccezionalità) e – profilo particolarmente significativo – dell’età del minore” (13). Non solo. Il senso della ratio della previsione, in sé “eccezionale” perché in deroga alle altre disposizioni del d.lgs. 286/98, viene ricondotto ad “una incisiva protezione del diritto del minore alla famiglia e a mantenere rapporti continuativi con entrambi i genitori” (14). Sul conflitto giurisprudenziale venutosi a creare intervengono le Sezioni Unite, che elaborano un indirizzo intermedio (15) con l’attribuzione di una non scontata centralità alla valutazione dei fatti da parte del giudice, che deve attribuire il giusto significato alla clausola generale dei “gravi motivi”, tale da non consentire una standardizzazione dei casi, ma affidare all’accertamento e all’analisi del Tribunale dei minori le decisioni caso per caso. Le Sezioni Unite osservano come sia necessario un bilanciamento fra il diritto all’unità familiare, che risulta tutelato dalla Costituzione e da una serie di trattati internazionali, e il diritto all’ordine pubblico e alla sicurezza nazionale, ispiratori della normativa sull’immigrazione, spesso fondati su principi contrapposti, ed assegnano proprio all’art. 31 d.lgs. 286/98 “la funzione di norma di chiusura del sistema di tutela dei minori stranieri, fondato in via ordinaria sull’istituto del ricongiungimento familiare, ed apportando una eccezione minorenni che “…valorizzando come ostativi i carichi pendenti o i precedenti penali del familiare richiedente l’autorizzazione ed omettendo, erroneamente, il puntuale bilanciamento richiesto, a detrimento della salvaguardia del miglior interesse del minore straniero”. (13) Così testualmente Cass. 16 ottobre 2009, n. 22080, in Fam. e dir., 2010, 225 ss. (14) Di nuovo Cass. 16 ottobre 2009, n. 22080, cit. (15) Cfr. Cass. SS.UU., 25 ottobre 2010, n. 21799, in Guida dir., 2010, 45, 30; coeva e conforme Cass. SS.UU. 25 ottobre 2010, n. 21803, in Giust. civ., 2011, I, 2354. In dottrina per un positivo apprezzamento della soluzione adottata v. Morani, L’ultima pronuncia delle Sezioni unite della Cassazione civile in composizione del contrasto all’interno della I Sezione sulla temporanea autorizzazione alla permanenza in Italia del minore, in Giur. It., 2012, 67 ss.
DIRITTO DI INTERNET N. 3/2019
497
GIURISPRUDENZA CIVILE alla disciplina sull’ingresso e sul soggiorno dello straniero dettata dalle norme precedenti quando ricorrano le condizioni per salvaguardarne il preminente interesse in situazioni nelle quali l’allontanamento suo o di un suo familiare potrebbe pregiudicarne gravemente l’integrità fisio-psichica”. L’interpretazione costituzionalmente orientata non consente di sposare né l’interpretazione “rigorista”, né quella “liberista” sino a quel momento affermatesi, ma individua nella subordinazione dell’autorizzazione alla permanenza del familiare all’accertamento di “gravi motivi connessi allo sviluppo psicofisico del minore” sempre in divenire, giustificando una periodica rivalutazione; viene elaborato il principio accolto oggi dalla sentenza in commento: escludendo la necessaria esistenza di situazioni di emergenza o di circostanze contingenti ed eccezionali strettamente collegate alla salute del minore, i gravi motivi per concedere la temporanea autorizzazione alla permanenza del familiare possono ricomprendere “qualsiasi danno effettivo, concreto, percepibile ed obbiettivamente grave che in considerazione dell’età o delle condizioni di salute ricollegabili al complessivo equilibrio psico-fisico deriva o deriverà certamente al minore dall’allontanamento del familiare o dal suo definitivo sradicamento dall’ambiente in cui è cresciuto. Trattasi di situazioni di per sé non di lunga o indeterminabile durata, non aventi carattere di stabilità che, pur non prestandosi ad essere preventivamente catalogate e standardizzate, si concretano in eventi traumatici e non prevedibili nella vita del fanciullo che necessariamente trascendono il normale e comprensibile disagio del rimpatrio suo o del suo familiare” (16). Se l’ampia disamina operata a più riprese sul concetto di “gravi motivi” ha reso convincente l’idea che il legislatore, con l’utilizzo della suddetta “clausola generale”, abbia inteso attribuire ai Tribunali per i minori quella discrezionalità del caso concreto, volutamente non standardizzato né precisamente delineato nel testo normativo, così da assecondare al meglio la ricerca del bilanciamento fra interessi contrapposti (l’interesse del minore e quello della sicurezza collettiva), non si possono ulte-
(16) Da questo momento in poi la giurisprudenza della Suprema Corte si uniforma tendenzialmente al principio dettato dalle SS.UU., si v. Cass. 3 febbraio 2011, n. 2647, in Dir. giust. online, 2011; Cass. 18 giugno 2014, n. 13848, in Fam. dir., 2014, 840; Cass. 17 dicembre 2015, n. 25419, in Dir. giust., 2015, 18 dicembre; Cass. 8 giugno 2016, n. 11788, in Dir giust., 2016, 6; Cass. 12 dicembre 2017, n. 29795, ibidem, 2017, 12 dicembre; nel merito App. Salerno, 15 gennaio 2019, in <https:// Il familiarista.it>. In dottrina aveva criticato l’ultima parte della massima definito “infelice inciso finale…..probabilmente nella mente dell’estensore, purtroppo non coerentemente seguita dalla penna, la temporaneità delle situazioni era un tutt’uno – e nulla di più – con quella stessa temporaneità degli effetti del provvedimento che derivano dal possibile ed anzi sicuro evolversi delle condizioni del minore nel tempo” Morozzo della Rocca, L’art. 31, comma 3, d. lgs 286/1998 e la clausola generale dei gravi motivi, cit., 187.
498
DIRITTO DI INTERNET N. 3/2019
riormente allargare i confini della discrezionalità, pena la caduta nell’arbitrarietà giudiziale, nella disamina degli altri criteri indicati dall’art. 31, comma 3. Il ruolo del giudice di merito diviene così centrale nella consapevolezza che le “clausole generali”, quando imposte dal legislatore, hanno bisogno di essere tradotte in regole del caso specifico, operazione spesso garantita da competenza, specializzazione e elementi di fatto a disposizione dei Tribunali dei minori (17). b) Età del minore e condizioni di salute Questo parametro di per sé oggettivo in quanto anagrafico, dovrebbe poter assumere, nell’ottica di evitare arbitrarietà giudiziale, una valutazione abbastanza standardizzata, nel senso che, se è vero – come è vero – che non possano essere le situazioni di normalità a giustificare l’autorizzazione di cui all’art. 31, allora ne discende logicamente che per minori molto piccoli, soltanto per motivi di salute quali gravi patologie incurabili nel paese d’origine, o comunque casi eccezionali, si possa transigere e derogare al principio generale che il minore debba seguire i genitori in caso di rimpatrio per la mancanza di condizioni degli stessi a permanere sul territorio nazionale. Tale interpretazione certo non si traduce, a nostro parere, in una espulsione di fatto del minore, bensì è la naturale conseguenza della tutela del diritto alla coesione familiare di cui si accennava sopra. I figli meritano di seguire e convivere con i propri genitori. È chiaro a tutti come il semplice allontanamento da un genitore, o da entrambi, possa sempre comportare scompenso ad un figlio, quasi sia una conseguenza normale e stabile, che pertanto non si rifletterebbe in una deroga, ai sensi dell’art. 31, ma diventerebbe regola. Inoltre, riteniamo che la responsabilità dei genitori verso i minori si riflette sul comportamento tenuto dagli stessi adulti, così che azioni criminose o contrarie alla legge dello Stato che comportano l’espulsione, dimostrano come non vi siano le condizioni per tutelare il diritto all’unità familiare o alla bigenitorialità di fronte a figure la cui vicinanza al minore potrebbe avere effetti diseducativi e quindi addirittura negativi sullo sviluppo psicofisico del minore (18). In tali situazioni la necessaria valutazione del caso concreto dovrebbe centrarsi sulla possibilità che nel nucleo familiare, anche allargato (17) In questo senso si veda Morozzo della Rocca, L’art. 31, comma 3, d. lgs 286/1998 e la clausola generale dei gravi motivi, cit., 188.; di recente v. Carapezza Figlia, op. cit., 227, in cui: “Nella complessa epoca del multiculturalismo, il pluralismo dei diritti richiede un pluralismo dei poteri, che eviti tanto il monopolio di un unico <<padrone del diritto>>, quanto i pericoli del soggettivismo interpretativo. L’unitarietà del sistema non è più rimessa, allora, a un garante dotato dell’ultima parola, ma richiede la convergenza delle giurisdizioni, in spirito di leale collaborazione, verso una comune ermeneutica del controllo in grado di garantire una diffusa unitarietà applicativa”. (18) Contra però Cass. 4 giugno 2018, n. 14238, in Dir. giust., 2018, 15.
GIURISPRUDENZA CIVILE a parenti, vi sia una figura di riferimento per garantire la crescita e l’educazione al minore in uno stato di equilibrato sviluppo psicofisico; nessuna giustificabile autorizzazione automatica alla permanenza in Italia del genitore non meritevole (19). Sembra abbastanza scontato osservare che più l’età del minore cresce e più la necessaria vicinanza del genitore possa essere vissuta con mezzi diversi dal quotidiano contatto. Infatti sotto questo profilo è l’esperienza comune di tante famiglie italiane a mostrare come i figli adolescenti, autonomi nell’espletamento delle prime necessità, abbiano frequentazioni assolutamente diradate con i genitori, poiché passano la maggior parte del loro tempo a scuola, in attività sportive (auspicabili anche per l’acquisizione di un corretto e sano stile di vita) e il tempo libero con amici e coetanei con i quali condividono spesso interessi extrascolastici. In tale contesto voler a tutti i costi salvaguardare, in nome del prevalente interesse del minore, l’unità familiare presupponendo necessaria la convivenza e compresenza, rispetto alla sicurezza collettiva non pare a noi correttamente giustificato né argomentato. È in questo contesto che riteniamo anacronistico il disposto della Suprema Corte in esame allorquando boccia l’idea dei giudici di merito che le modalità di contatto audiovisive, oggi facilmente disponibili a chiunque, non consentano di garantire una buona e accettabile relazione fra genitori e figli. Oggi nell’era dei nativi digitali, in cui il linguaggio soprattutto dei giovani è cambiato, così come radicalmente cambiato è il modo di comunicare normalmente fra soggetti adulti, definire la indicata modalità di tenere contatti come “una incongrua svalutazione del ruolo della figura genitoriale” ci pare irrispettoso dell’analisi operata sugli elementi di fatto effettuata dai giudici di merito che, meglio degli Ermellini, hanno la padronanza del caso concreto. Sotto questo profilo riteniamo assai più coerente con la più volte richiamata e rivalutata normativa e giurisprudenza di ordine sovranazionale, far riferimento ai criteri elaborati e divenuti diritto vivente (20) per operare il bilanciamento fra interesse del minore e sicurezza collettiva, così che si considerino determinanti per la valutazione della richiesta autorizzazione: “la natura e la gravità del reato commesso; la durata del soggiorno nel paese di destinazione; il lasso di tempo trascorso dalla
(19) Sul caso in cui il genitore colpito da misura di sicurezza espulsiva obbligatoria ex art. 235 c.p. non possa fruire dell’autorizzazione di cui all’art. 31, comma 3 v. Cass. 16 febbraio 2018, n. 3916, in <http//www. ilfamiliarista.it>. (20) Il riferimento è di Villa, Le sezioni unite ridefiniscono i gravi motivi cercando di conciliare l’interesse del minore con il controllo delle frontiere, cit., 374, che segnala a sua volta i criteri del caso Boutif.
perpetrazione del reato e la condotta del ricorrente durante tale periodo; la nazionalità delle diverse persone interessate; la situazione familiare del ricorrente (durata del matrimonio ed altri fattori che testimonino l’effettività di una vita familiare in seno alla coppia); se il coniuge fosse a conoscenza del reato all’epoca della creazione della relazione familiare; se dal matrimonio siano nati dei figli e, se sì, la loro età; la gravità delle difficoltà che il coniuge rischia di incontrare nel paese verso il quale il ricorrente deve essere espulso; l’interesse e il benessere dei figli, in particolare la gravità delle difficoltà che i figli del ricorrente possono incontrare nel paese verso il quale l’interessato deve essere espulso; la solidità dei legami sociali, culturali e familiari con il paese ospite e con il paese di destinazione”. Solo un esame siffatto, possibile ai giudici di merito e non in sede di legittimità, consente un equo e perciò valido bilanciamento degli interessi in gioco fra le parti, nonché accettabile dall’intera comunità ospitante, che, non ci si deve dimenticare, risulta coinvolta nell’operazione di integrazione del nucleo familiare straniero. Nella sentenza in esame non è denunciata l’età dei ragazzi, minori, ma in età scolastica, presumibilmente adolescenti, con possibilità di affrontare un viaggio, neppure lungo (Albania), per raggiungere i genitori in periodo di vacanza e gemelli, quindi con la positiva possibilità di muoversi in coppia solidarizzando fra loro. c) La rilevanza della temporaneità della crisi nello sviluppo psico-fisico del minore Il fattore “tempo” rileva nella questione affrontata sotto almeno tre diversi profili: 1. innanzitutto il testo normativo (art. 31, comma 3) che prevede l’autorizzazione alla permanenza o all’ingresso “per un periodo di tempo determinato”; 2. in secondo luogo, il provvedimento derogatorio a favore del minore si giustifica in base a una situazione di per sé dinamica, quale lo sviluppo psicofisico del minore, così che è corretto giustificare una “periodica rivalutazione” dell’autorizzazione; 3. il periodo di convivenza con il/i genitori. Sotto il primo profilo pare assolutamente condivisibile il fatto che una deroga ai principi generali sia presa in considerazione per un periodo limitato e determinato, così che sia chiaro che la regola di fondo resta immutata, nel suo valore e nella sua applicazione, salvo i casi in cui vi siano presupposti che giustificano, per tempi limitati, provvedimenti diversi. Sotto il secondo profilo, le situazioni rilevanti devono essere di non lunga o indeterminata durata e non caratterizzate da tendenziale stabilità (21). In realtà è nella na-
(21) La sentenza Cass. 10 settembre 2015, n. 17942, in Dir. giust. 2015, 76, con nota di Achille, Genitore straniero e diritto all’unità familiare: la
DIRITTO DI INTERNET N. 3/2019
499
GIURISPRUDENZA CIVILE tura dei provvedimenti di natura familiare essere “provvisori” al fine di rispondere alle diverse esigenze che, nel tempo, si manifestano rispetto ai singoli componenti la famiglia. La Costituzione tutela la famiglia, in quanto “gruppo” socialmente rilevante, che va considerata non solo nel suo insieme, ma anche in relazione ai diritti dei singoli, e in contesti in cui la prole esiste, secondo il prevalente interesse di questa, destinato inevitabilmente a cambiare con il passare del tempo e l’età dei figli. Lo stesso concetto di “sviluppo psicofisico” evidenzia una situazione in divenire, che non può non avere rilevanza giuridica (22). Sotto il terzo profilo ci appare evidente che, se il minore abbia convissuto in territorio italiano per un periodo di tempo rilevante con i propri genitori o almeno con uno di essi, una volta bene inserito nel contesto culturale e sociale del Paese ospitante, allora si può presumere che l’allontanamento del/i genitori o lo sradicamento del minore, per seguire gli espellendi, potrebbero essere gravemente impattanti sullo sviluppo psico-fisico del minore; diversamente solo casi eccezionali ( ad es. pericolo di vita o malattie non curabili nel paese d’origine) potrebbero far derogare al principio che il minore segua i genitori nel paese d’origine ( (23).
2. L’onere di allegazione
La Suprema Corte afferma che il familiare ricorrente e richiedente l’autorizzazione ha “l’onere di allegazione della specifica situazione di grave pregiudizio che po-
Cassazione chiarisce i presupposti per l’autorizzazione a rimanere nel territorio nazionale. (22) La pronuncia delle SS.UU. 25 ottobre 2010, n. 21799, cit., nell’operazione di individuazione della migliore soluzione di bilanciamento degli interessi in potenziale conflitto, considera che: “…il provvedimento che esclude l’allontanamento in funzione esclusiva della tutela del minore e non del genitore o del familiare che, dovrebbe essere espulso; per cui, essendo la sua condizione fisio – psichica una situazione che si modifica e si evolve, la norma ne giustifica una periodica rivalutazione, a seguito della quale ove la gravità della situazione permane l’autorizzazione (significativamente prevista a tempo determinato) può essere prorogata. Mentre la stessa deve essere immediatamente revocata quando vengono a cessare i gravi motivi che ne giustificano il rilascio, pur se inizialmente presenti, e gli effetti siano, perciò, raggiunti prima della scadenza naturale del provvedimento”. (23) In questo senso di recente v. Cass. 16 aprile 2018, n. 9391, in <https://iusexplorer.it>, in cui: “…i ricorrenti non prospettano, se non in maniera del tutto generica e astratta, alcuna situazione di grave pregiudizio per il minore trascendente la rottura dell’unità familiare e il normale disagio conseguente, mancando altresì di censurare in maniera specifica quanto affermato, in maniera del tutto condivisibile, dal giudice di merito circa l’impossibilità di valorizzare il radicamento del minore sul territorio nazionale e il suo inserimento nel contesto sociale, avendo i ricorrenti presentato l’istanza il 20.11.2015, soltanto poche settimane dopo l’ingresso nel territorio nazionale”.
500
DIRITTO DI INTERNET N. 3/2019
trebbe derivare al minore dall’allontanamento del genitore” (24). Non è questa la sede per approfondire la tematica processuale, ma certo, visto la rilevanza di questo principio sull’esito finale del processo, è opportuno sottolineare che il regime delle allegazioni ha fatto registrare un concetto variegato nella prassi, che, coordinato alla codificazione, fa propendere a riferirsi alla “affermazione dei fatti rilevanti posti a base della propria pretesa e su cui si fondano l’azione o l’eccezione dedotte in causa” (25). In sostanza avere l’onere di allegare dei fatti rilevanti ai fini della domanda giudiziaria significa fornire al giudice il contesto nel quale prendere la decisione, poiché gli specifici fatti allegati dovranno poi essere oggetto di prova; anzi la mancata allegazione li escluderebbe dalla prova e quindi dal processo e dalla decisione finale (26). Esiste un principio di circolarità tra onere di allegazione e di prova (27), per cui solo quanto viene specificamente allegato deve essere successivamente provato e, nel corso del processo, eventualmente contestato dalla controparte. Pertanto nei casi di richiesta di autorizzazione a permanere sul territorio italiano in deroga a tutte le norme che tutelano anche interessi pubblici, è necessario circostanziare in modo specifico quali fatti, anche ipotetici cioè derivanti da un eventuale allontanamento, possano determinare il danno grave allo sviluppo psico-fisico del minore, nella consapevolezza che le sole e semplici situazioni di disagio che rientrano nella normalità non costituiscono fatti sufficienti a giustificare la deroga. Anzi si potrebbe quasi azzardare che il ricorso al processo, nella consapevolezza di non avere alcun requisito per ottenere l’autorizzazione e/o nel mancato rispetto del dovere di verità e completezza nel processo, potreb-
(24) Così Cass. 24 aprile 2019, n. 11274 in commento. (25) V. Carli, Alla ricerca di un criterio generale in tema di ripartizione fra le parti dell’onere di allegazione e dell’onere della prova, in Contratto e Impresa 2002, 1000 ss.; cfr. in giurisprudenza Cass. SS.UU. 3 febbraio 1998, n. 1099, in <https://iusexplorer.it>. (26) Così Carli, op. cit., 1007: “…le possibilità probatorie delle parti devono conformarsi agli effetti del regime delle allegazioni. Non solo, infatti, poiché le domande delle parti, circoscrivendo il thema probandum, rendono irrilevante ciò che è estraneo all’oggetto dedotto in causa, ma anche perché ciò che non è stato oggetto di allegazione non può – anche qualora sia rilevante rispetto all’oggetto della causa – essere oggetto di prova”. (27) V. Cass. 17 febbraio 2016, n. 3023 in <https://ilprocessocivile.it>, con nota di Rosaria, Circolarità degli oneri di allegazione e contestazione. Sul tema si veda la fondamentale pronuncia Cass. SS.UU. 24 marzo 2006, n. 6572 che ha avvalorato la tesi più rigorista; ma si vedano anche Cass. SS.UU. 19 settembre 2014, n. 19778 e Cass. 12 luglio 2016, n. 14204 in <https://iusexplorer.it> per un’interpretazione, pur fedele alla necessaria allegazione agli atti dei fatti di causa, ma in cui si ammette che il giudice di causa possa desumere l’esistenza dei danni subiti dalla sola specifica allegazione dei fatti e non dei danni lamentati.
GIURISPRUDENZA CIVILE be essere considerato rilevante nella decisione assunta, nel senso che esso diventi elemento preclusivo, stabile e immutabile, dell’autorizzazione, senza possibilità di far valere, in tempi successivi, fatti che abbiano modificato la situazione reale (28), per inottemperanza al principio di legalità. Importante risulta affermare anche che secondo l’opinione maggioritaria l’onere di allegazione può avere per oggetto fatti anche privi di fisicità, ma inerenti a norme giuridiche e comunque anche relativi a circostanze ipotetiche. Inoltre il recente orientamento dettato dalle Sezioni Unite, sposato dalla sentenza in commento, richiede non soltanto che vi sia allegazione specifica dei fatti, che, come abbiamo visto, determina inevitabilmente l’onere probatorio degli stessi, ma anche la prova che l’allontanamento del genitore dal minore determini in capo a quest’ultimo un grave pregiudizio allo sviluppo psico-fisico del minore che può comprendere “qualsiasi danno effettivo, concreto, percepibile e obiettivamente grave”. Da un lato a noi pare che l’aggettivo “qualsiasi” suggerisca un’atipicità del danno che mal si giustifica con fattispecie derogatorie. In altri termini se esiste un principio/regola generale, almeno i capisaldi delle ipotesi di deroga a tale principio dovrebbero essere ben circostanziate dal legislatore che le ammette come lecite e legittime. In tal senso nel testo normativo si fa riferimento all’età e alla salute del minore, interpretati però dalla giurisprudenza come elementi non necessariamente coinvolti dalle situazioni pregiudizievoli. Né la sentenza in commento fa cenno alcuno a prove del danno dalle caratteristiche evidenziate.
3. Le relazioni umane e la rete
La Suprema Corte ha stabilito, nella sentenza in commento, che il giudice di merito “mostra di pervenire a una incongrua svalutazione del ruolo della figura genitoriale in un’età ancora cruciale per lo sviluppo del minore ed elude, in tal modo, l’esigenza di bilanciamento tra i diversi interessi che la norma sottende, allorquando rileva che la relazione tra i genitori e i figli possa attuarsi attraverso le sempre più facili ed articolate possibilità di contatti audio-video e mercé una frequentazione personale ridotta ai periodi di vacanza scolastica”. (28) Interessante per approfondire la questione del dovere di verità, correttezza nel processo v. Carratta, Dovere di verità e completezza nel processo civile, in Riv. trim. dir. proc. civ. 2014, 47 ss.; Saitta, Vicinanza alla prova e codice del processo amministrativo: l’esperienza del primo lustro, in Riv. trim. dir. proc. civ. 2017, 911 ss. secondo il quale il principio di vicinanza alla prova “si configura, da un lato, come un corollario dei doveri di correttezza, buona fede e diligenza nell’adempimento delle obbligazioni e dall’altro, come una derivazione del principio costituzionale del giusto processo e delle regole generali del codice di rito civile”.
Il problema da affrontare è relativo al mantenimento dei contatti fra genitore/i e figli minori, anche alla luce della molteplicità delle condanne accumulate dall’Italia in sede comunitaria (29). A nostro parere, si tratta di considerare e trovare modalità idonee a mantenere il minore in rapporto equilibrato e continuativo con entrambe i genitori. Le ipotesi di separazione coniugale e di affidamento familiare pongono legislatore, dottrina e giurisprudenza di fronte al problema del mantenimento di una relazione parentale in un momento di crisi, esattamente come succede nel caso in cui un genitore debba essere allontanato o debba restare lontano dal minore in ottemperanza alla disciplina sull’immigrazione; pertanto l’analogia delle situazioni, nell’ottica dell’interesse del minore, comporta la valutazione delle soluzioni adottate per la famiglia italiana quali opportunità per la famiglia straniera, in una adeguata, coerente e sistematica lettura della disciplina vigente. Innanzitutto un ricorrente orientamento esclude che il mantenimento della relazione personale parentale debba necessariamente tradursi nella convivenza dei componenti del nucleo familiare (30), così come la più moderna, e condivisibile, disciplina della separazione coniugale con le relative interpretazioni, ha reso noto: prerogative educative e relazionali sono certamente favorite dalla compresenza dei genitori, ma quando si rompe l’equilibrio familiare, qualsiasi sia la motivazione, sia essa per la separazione coniugale o, per analogia si potrebbe pensare anche all’obbligo di rientro nel paese d’origine dello straniero, si devono trovare modalità che consentano di mantenere viva la relazione parentale (29) In questo senso cfr. C. eur. dir. umani 6 aprile 2009, ricorso n. 19537/03, Clemeno e al. c. Italia, come citata in Villa, op. cit., 374; ma si veda anche Lenti, Allontanamento d’urgenza di cui all’art. 403 cod. civ. e contatti tra genitori e figli a proposito di Cass. N. 20928/2015, in Nuova giur. civ., 2016, 463 ss. (30) La questione è stata affrontata anche dal legislatore nel testo rimodulato dal d.lgs. n. 154/2013, art. 337 ter c.c. che impone “al giudice – nel caso di crisi genitoriale – di assumere tutte le decisioni di sua competenza avendo riguardo, in via esclusiva, l’interesse modale e materiale della prole (….); tale criterio ispiratore è di difficile interpretazione ed applicazione allorquando il genitore con cui la prole convive intenda, nell’esercizio di proprie scelte lavorative o esistenziali, di recarsi a vivere in luogo diverso da quello in cui si trovava, fino a quel momento, l’abituale residenza dei figli” l’osservazione è del Trib. Milano 12 agosto 2014 commentata da Arceri, Diritto alla bigenitorialità e trasferimento di residenza. I criteri di decisione del conflitto in una sentenza del tribunale di Milano, in Fam. e dir., 2015, 705 ss.; sul fatto che la convivenza neppure incide sull’esercizio della potestà genitoriale v. Sgobbo, L’esercizio della potestà sui figli naturali da parte dei genitori non conviventi, in Giur. It. 2012, 789 ss.; sul fatto che la coabitazione, pur importante, non rifletta “l’essenza dell’affidamento che, per contro, in una logica mirata, come detto, a corresponsabilizzare entrambi i genitori, richiede la presenza di un elemento che garantisca al minore un corretto sviluppo della personalità attraverso la cura e l’educazione da parte di entrambi i genitori” v. Ruscello, Il rapporto genitori – figli nella crisi coniugale, in Nuova giur. civ., 2011, 2395 ss.
DIRITTO DI INTERNET N. 3/2019
501
GIURISPRUDENZA CIVILE nella legalità e nell’equilibrio personale e di sviluppo del minore. Tale concetto potrebbe inoltre essere mutuato dall’ orientamento interpretativo assunto in caso di affidamento familiare, che presuppone una naturale transitorietà del provvedimento di allontanamento del minore dal suo contesto familiare (quando risulti essere controproducente per il minore restare in un ambiente conflittuale, disgregante o alienante) con la consapevolezza del necessario mantenimento dei contatti per un auspicabile quanto possibile reinserimento del minore nella famiglia d’origine al termine del periodo di crisi (31). Si è affermato che l’indubitabile valore rappresentato dalla “conservazione di un pieno e soddisfacente rapporto tra il minore ed entrambe le figure parentali appare, salvo casi minoritari, conforme all’interesse del minore stesso, ma non è affatto scontato che, in nome di tale interesse (…) il giudice possa giungere ad operare la compressione di libertà fondamentali quali la libertà di stabilimento, da riconoscersi in capo a ciascun componente della coppia genitoriale” (32); ora se non si può chiedere, in termini assoluti, ad un genitore di sacrificare un diritto fondamentale e personale come la libertà di fissare il luogo di dimora a favore del proprio figlio, a maggior ragione non si può chiedere alla collettività di rinunciare alla tutela del proprio interesse alla sicurezza e all’ordine pubblico di fondamentale importanza per la comune convivenza. Tanto più che con la rete che consente una comunicazione veloce, semplice, oggi a disposizione di tutti, riteniamo del tutto condivisibile che “il concetto di distanza abbia perso il suo tradizionale aspetto di impossibilità nel proseguire relazioni personali o commerciali” (33) e che, nonostante il contatto fisico non sia del tutto sostituibile con le relazioni virtuali, certo consente, soprattutto ai giovani abituati alle relazioni amicali in rete, di mantenere contatti solidi con persone assenti (31) Sul punto v. Long, Il diritto italiano della famiglia e minorile alla prova della Convenzione europea dei diritti dell’uomo, in Europa e dir. priv. 2016, 1059 ss. (32) Arceri, op. cit., 709 e ancora al termine dello scritto in cui ribadisce: “…sembra di poter evincere, dalla lettura ragionata delle nuove norme in tema di affidamento, che non sia possibile – al fine di attuare il diritto del minore alla bigenitorialità – limitare l’insopprimibile libertà di ciascun genitore a fissare ove meglio ritenga la propria residenza, né la lontananza dalle abitazioni dei genitori può rappresentare, in sé e per sé considerata, fattore ostativo all’applicabilità dell’affidamento condiviso, o monogenitoriale”. (33) In questo senso, lungimiranti visto i tempi, Cassano - Falletti, In webcam con papà: genitori e figli non conviventi dialogano via internet, in Dir. Internet, 2008, 451, in cui: “I giudici di Nicosia, seppur con qualche limite, dimostrano di aver compreso benissimo questa funzionalità della Rete che consentirebbe ai minori di mantenere vivo il rapporto con il genitore non convivente che abiti in una località diversa e distante da quella della loro residenza”.
502
DIRITTO DI INTERNET N. 3/2019
per diverse motivazioni (34), esattamente come la Corte di Appello cassata dalla sentenza in commento aveva individuato. L’impatto delle nuove tecnologie è stato valutato, sino ad oggi, anche nell’espressione del consenso matrimoniale, laddove la Suprema Corte ha di recente acquisito un orientamento, in linea di principio opposto a quello adottato in questa sede (35). Si tratta del caso di accoglimento della richiesta di riconoscimento di un atto matrimoniale contratto in via telematica tra un cittadino pakistano e una cittadina italiana, nonostante nel nostro Paese non sia prevista tale forma di celebrazione e manifestazione del consenso, non ponendosi la stessa in contrasto “con il nucleo essenziale dei valori del nostro ordinamento che non sarebbe consentito nemmeno al legislatore ordinario interno modificare o alterare, ostandovi principi costituzionali inderogabili”. La riflessione, che a noi pare spontanea, è nel senso che se si ritiene rispettosa dell’ordine pubblico e dei valori costituzionali, una manifestazione di volontà in via telematica che modifichi lo status del soggetto, comportando una serie numerosa e concreta di effetti giuridici nella sfera personale e patrimoniale dei nubendi, allora non si può non considerare tale modalità idonea, anche se non sufficiente, a esprimere il dovere genitoriale, tanto più neppure in forma esclusiva (36), poiché veniva associato alla convivenza nei periodi di vacanza scolastica. La soluzione proposta dai giudici di merito nel caso di specie era, a nostro parere da condividere e non da cassare, stante l’introduzione e la volontà di far approvare nuove e sicure modalità di “relazione umana”, così da (34) Cfr. di recente in un caso di separazione coniugale conflittuale fra genitori residenti in Paesi diversi (Israele – Italia) Trib. Catania, 20 maggio 2016, in <https://iusexplorer.it>, in cui: “….tenuto conto della effettiva distanza geografica esistente tra il padre e il minore e dovendosi tentare di recuperare il rapporto padre – figlio, anche tenendo in considerazione l’età del piccolo (9 anni), può essere stabilita anche una cadenza regolare di incontri tramite webcam, (omissis); considerato che tale modalità di incontro, che sicuramente non può sostituire gli incontri personali tra padre e figlio, può tuttavia rappresentare nella concretezza della situazione di riferimento, una modalità per attenuare la distanza fisica e per aiutare padre e figlio a riprendere e intrattenere una sana relazione genitoriale”. (35) Il riferimento è alla sentenza Cass. 25 luglio 2016, n. 15343 in <https://iusexplorer.it>. In precedenza si era occupato di matrimonio celebrato per telefono Trib. Milano 2 febbraio 2007, in Dir. fam., 2008, 155 con nota di Bianchini, Matrimonio per telefono e ricongiungimento familiare: il Tribunale di Milano asserisce la validità del vincolo “telefonico”. (36) Cfr. sul tema Bugetti - Orfino, Matrimonio via internet – Matrimonio telematico tra accertamento del consenso e impatto delle nuove tecnologie, in Giur. It. 2017, 1069 ss., in cui gli AA. auspicano l’introduzione di una disciplina “Internet oriented”, la quale potrebbe da un lato rappresentare una semplificazione nei casi di matrimonio per procura, una modalità utile per consentire agli stranieri residenti in Italia di sposarsi senza rientrare nel proprio Paese d’origine e dar corso al ricongiungimento familiare, ma anche rappresentare il rischio di un’unione matrimoniale simulata.
GIURISPRUDENZA CIVILE iniziare a valutare seriamente “… con quali modalità Internet possa essere utilizzato per la ricomposizione dei rapporti fra genitori e figli nei casi di disgregazione familiare” (37). Né possiamo pertanto concordare che tale modalità rappresenterebbe uno “svilimento” del ruolo genitoriale soprattutto se l’età dei minori è quella adolescenziale (nel caso di specie non si dichiara ma si evince), in cui lo strumento della rete rappresenta il principale mezzo di comunicazione con l’esterno. Allora si può concludere che la presenza fisica genitoriale incida moltissimo in caso di minori in tenera età, cosicché la rarefazione dei rapporti genitoriali implica la perdita del ruolo di riferimento del genitore assente, e, in questo caso, la soluzione opportuna è quella di garantire il seguito del minore al genitore nel Paese d’origine nella consapevolezza che il minore non viene sradicato da un mondo e un contesto in cui si è abituato a vivere e quindi l’allontanamento non può impattare sul suo sviluppo psico-fisico. Al contrario per il minore in età adolescenziale, la cui relativamente lunga permanenza nel paese ospitante, teatro di buona parte della sua esistenza rappresenti una prerogativa incisiva nel suo equilibrato sviluppo psico-fisico, si può optare per mantenere contatti seri e affettuosi anche attraverso strumenti audio-video moderni e tecnologici, con l’idea che gli incontri fisici e personali, pur necessari, possano essere rarefatti in ottemperanza a normative e obblighi di legge che tutelano interessi collettivi e di sicurezza nazionale. Nell’ ottica di attivare la discrezionalità del giudice di merito nella valutazione caso per caso, di valorizzare l’interesse del minore a crescere mantenendo rapporti parentali/genitoriali e di consentire il rispetto dei principi generali normativi vigenti restringendo il più possibile le deroghe, la considerazione che l’età del minore e la temporaneità della situazione, oggettivabili per natura in quanto misurabili, possano rappresentare delle linee guida per l’utilizzo efficace, legittimo e riconosciuto delle nuove tecnologie di comunicazione, aprendo l’ordinamento al presente e al futuro, appare una opportunità positiva in un ambito delicato, quale quello familiare, in cui è difficile trovare univocità e certezze.
(37) Cassano - Falletti, op. cit., 453.
DIRITTO DI INTERNET N. 3/2019
503
GIURISPRUDENZA CIVILE
Sulle modalità di produzione di documenti informatici nel processo Tribunale di M ilano; sezione V civile; ordinanza 4 aprile 2019; Giud. Pertile; Milano 1 Srl c. De Architettura Srl e altri. La memoria telematica, da depositare contestualmente al deposito del supporto magnetoottico, deve contenere le impronte digitali dei medesimi file, sotto forma di digest non reversibili (e cioè le stringhe di lunghezza fissa) che la parte avrà previamente ottenuto applicando (sia a ciascuno dei file contenuti nei CD o DVD sopra menzionati, sia all’immagine ISO finale dei medesimi CD o DVD) la funzione di hash secondo i seguenti due algoritmi: a) secondo l’algoritmo MD5 nonché b) secondo l’algoritmo SHA-512.
…Omissis… . a scioglimento della riserva assunta all’udienza del 04/04/2019, . rilevato che le parti hanno chiesto i termini ex a. 183/6 cpc, chiedendo inoltre di essere autorizzate a depositare in cancelleria un supporto magneto ottico contenente i numerosi e voluminosi file relativi ai progetti de quibus; . rilevato che tali istanze appaiono ammissibili, e che devono essere impartite disposizioni specifiche rispetto alla produzione dei predetti file al fine di assicurarne l’integrità e l’immutabilità, disponendone in particolare l’hashing mediante qualunque opportuna applicazione (inclusa, per esempio, quella open source ottenibile anche gratuitamente da https://www.quickhash-gui.org per vari sistemi operativi); P.Q.M. 1. letto l’a. 183/6 cpc, assegna alle parti i seguenti termini: 6 maggio / 5 giugno / 25 giugno 2019; 2. autorizza le parti a depositare fisicamente in cancelleria (nella quantità di un esemplare identico per ciascuna parte e uno per l’ufficio), i supporti CD o DVD non riscrivibili contenenti i file relativi ai progetti controversi;
3. dispone che a ciascuno di tali file sia attribuito un nome univoco, formato da un numero progressivo (di lunghezza fissa, e dunque preceduto all’occorrenza dal necessario numero di zeri), seguito da una descrizione sintetica del documento rappresentato; 4. dispone che l’elenco ordinato di tali file venga riportato anche nella memoria a corredo della quale il supporto fisico in questione è destinato a essere prodotto; 5. dispone che in tale memoria telematica, da depositare contestualmente al deposito del supporto magnetoottico, la parte interessata inserisca anche le impronte digitali dei medesimi file, sotto forma di digest non reversibili (e cioè le stringhe di lunghezza fissa) che la parte avrà previamente ottenuto applicando (sia a ciascuno dei file contenuti nei CD o DVD sopra menzionati, sia all’immagine ISO finale dei medesimi CD o DVD) la funzione di hash secondo i seguenti due algoritmi a. secondo l’algoritmo MD5 nonché b. secondo l’algoritmo SHA-512; …Omissis…
IL COMMENTO
di Donato Eugenio Caccavella Sommario: 1. Sulla natura del dato informatico. – 2. La funzione di hash. - 3. L’utilizzo della funzione di hash nel processo ai fini della produzione di documentazione informatica. Sulle modalità di produzione dei documenti informatici il Giudice individua una modalità tecnica volta a garantire sia l’integrità che l’autenticità dei singoli documenti. Tale modalità oltre a garantire la riservatezza del documento stesso permette anche una semplice modalità di confronto per l’individuazione di documenti identici. Ultimo elemento di novità è l’assoluta irrilevanza del supporto su cui vengono registrati i documenti da produrre. With regards the methods related to the production of electronic documents, the Judge identifies a technical method leaded to guarantee both the integrity and the authenticity of the individual documents. This method, beyond ensuring the confidentiality of the document itself, also allows a simple comparison method for identifying identical documents. The last element of novelty is the absolute irrelevance of the technical support on which the documents to be produced are recorded.
DIRITTO DI INTERNET N. 3/2019
505
GIURISPRUDENZA CIVILE 1. Sulla natura del dato informatico
Preliminarmente, vanno esaminate le caratteristiche del dato informatico, atteso che un dato informatico ha un contenuto di qualunque genere che viene rappresentato dal punto di vista informatico in una successione bit. Va ricordato inoltre che il documento informatico è una “ rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” registrati all’interno di un dispositivo. Tale dispositivo può essere di qualsiasi natura e può utilizzare qualsiasi tipo di tecnologia; significativo è, tuttavia, il rilievo per cui il dato digitale è comunque riconducibile ad una successione di 0 e di 1, che, a seconda del supporto su cui sono registrati, vengono rappresentati in modalità diversa (1). In ogni caso, giova tener presente che il dato informatico è costituito dalla predetta successione di 0 e di 1: paradossalmente, lo stesso dato informatico stampato su un foglio di carta è comunque una successione di 0 e di 1, rappresentati dai simboli riprodotti sul supporto cartaceo utilizzando la codifica ASCII o altra codifica. La codifica in parola è una convezione che associa ad una precisa successione di 0 e di 1 un simbolo da riprodurre sul supporto cartaceo. Premesso quanto sopra, occorre altresì considerare che, in tema di dato informatico, si è verificato un periodo in cui tali bit erano registrati su un dispositivo, il cui stato, impartendo opportuni comandi, poteva essere modificato da un operatore. Infatti, allorché viene generata la successione di bit, sussiste la possibilità che almeno un operatore possa in un preciso momento modificarne la successione: per esempio, in un sistema informatico su cui è installato un sistema operativo che preveda la figura di amministratore, chiunque sia a conoscenza della password di amministratore può in qualsiasi momento modificare qualunque file contenuto nel sistema (2). Ugualmente, nel caso di bit registrati su supporti non riscrivibili, una modifica è sempre possibile, atteso che prima che i bit vengano registrati sul supporto possono subire alterazioni anche solo accidentali, con la conseguenza che se una successione di bit è registrata su un supporto non riscrivibile, non si può escludere a priori l’eventualità che tale successione possa essere stata modificata rispetto alla sua versione iniziale (3). Inoltre, a rendere ancora più nebulosa la problematica in questione è il rilievo per cui “ analizzando il supporto
(1) Sia consentito il rinvio a Aterno - Mazzotta, La perizia e la consulenza tecnica – con approfondimento in tema di Perizie Informatiche (analisi e schede tecniche di D. Caccavella), Milano, 2006. (2) Kernighan - Pike, The Unix Programming Environment, Prentice Hall 1984. (3) Marcella - Greenfield, Cyber Forensics, Auerbach, 2002.
506
DIRITTO DI INTERNET N. 3/2019
su cui sono registrati i bit, non è possibile accertare ed individuare eventuali modifiche apportate in precedenza ai singoli bit” , non consentendo la successione di bit di capire se gli stessi in precedenza abbiano assunto valori diversi in seguito modificati. Va sempre tenuto presente, che in questo caso prendiamo in considerazione la successione logica dei bit, e non eventuali tracce che possono essere presenti a livello fisico sul supporto su cui è registrata tale successione di bit, e che andrebbero ricondotte alla successione in parola. Per tale motivo la possibilità della modifica di una successione di bit andrebbe presuntivamente considerata come avvenuta, con la conseguenza che, qualora in un procedimento venisse prodotto in giudizio un dato informatico, lo stesso andrebbe presuntivamente considerato come modificato ad arte, dovendo la parte interessata alla sua acquisizione nel processo dimostrarne l’attendibilità. Tuttavia, va precisato che la presunzione di ripudio non andrebbe intesa come una dichiarazione di inattendibilità del dato informatico, in quanto tale considerazione verrebbe facilmente contraddetta dall’esistenza della stessa firma digitale. Ugualmente, la presunzione di ripudio del dato informatico non deve far pensare che il dato informatico sia inutilmente entrato nel processo, bensì deve essere percepita nel senso che la parte che produca un dato informatico sia onerata dalla dimostrazione della genuinità ed attendibilità del dato stesso. Motivo per il quale la produzione di dati informatici in un processo deve seguire una rigorosa metodologia (4) che dia adeguate garanzia di integrità degli stessi e che sia anche indipendente dai supporti utilizzati per il deposito, aspetto in merito al quale il Giudice dell’ordinanza in parola ha voluto dare precise indicazioni tecniche.
2. La funzione di hash
Il Giudice nella sua ordinanza dà indicazioni operative in merito alle modalità di produzione di documentazione che evidentemente non può essere inviata attraverso le modalità ordinarie poiché è tutta documentazione estremamente “ voluminosa” che non può essere prodotta utilizzando le modalità ordinarie del PCT (5). Tenendo quindi presente le esigenze di integrità della documentazione informatica che doveva essere prodotta il Giudice indica delle istruzioni operative in cui viene
(4) A tale scopo si evidenzia lo standard ISO/IEC 27037:2012, emesso in versione definitiva il 15 ottobre 2012 relativamente a linee guida per identificazione, raccolta, acquisizione e conservazioni delle prove digitali. (5) Deposito telematico superiore ai 30 MB al link <https://pst.giustizia. it/PST/resources/cms/documents/Deposito_complementare_pda_ swh_mar18_v1.pdf>.
GIURISPRUDENZA CIVILE fatto un ampio utilizzo della funzione di hashing dei file di cui viene effettuata una sintetica illustrazione. L’hash è una funzione matematica che associa a un insieme di dati, di qualsiasi lunghezza, una stringa di caratteri di lunghezza fissa (la cui lunghezza dipende dall’algoritmo prescelto). Se due insiemi di dati hanno lo stesso hash si ha la garanzia che i due insiemi sono identici, quindi un documento originale e la sua copia informatica devono avere lo stesso hash, se la copia informatica di un documento non ha lo stesso hash dell’originale la copia ha subito una modifica. Nello specifico il Giudice indica quali algoritmi hash utilizzare, l’algoritmo MD5 e l’algoritmo SHA-512 suggerendo inoltre da quale sito ottenere gli strumenti per il calcolo dell’hash di ciascun documento: hashing <https://www.quickhash-gui.org>. Da un punto di vista operativo, esemplificando, tramite l’utilizzo della formula matematica MD5 per il calcolo dell’hash, si ottiene una sorta di codice fiscale in byte andando ad associare a ciascun documento informatico una stringa numerica della lunghezza di 32 caratteri, mentre, nel caso in cui venga calcolato l’hash mediante dell’algoritmo SHA-512, il “ codice fiscale” in byte sarà di 128 caratteri. Quindi ad esempio per il documento informatico denominato “ progetto di ricerca 2019 redatto da Tizio.doc” si avrà un hash MD5 uguale a: 9bfc3f5a6b82aa70049b4a331b5709b0 e una hash SHA512 uguale a: 19ea251594ab7e944d814ce776e56c4c59dc20909267e755613e5d170b8012fbe82e2529cf7c35cafdd861bfb0c8baa57246f3d4f8305ec94e7ecbd19252af64 Aspetti rilevanti relativi all’hash applicato ad un qualsiasi documento informatico sono: che se cambia anche un solo bit del documento originario, cambia completamente il relativo hash. Avendo conoscenza dell’hash di un documento non è possibile ricavare il documento originario. Motivi per i quali è possibile affermare che l’hash di un documento informatico permette di individuare univocamente un documento informatico, e quindi è una sorta di codice che permette di individuare uno e un solo documento informatico indipendentemente dalla dimensione del documento stesso. Inoltre, poiché non è possibile ricavare il documento originario da cui è stato calcolato l’hash è uno strumento che permette l’individuazione univoca di un documento, ma senza rivelarne il contenuto, quindi uno strumento molto comodo per dichiarare la detenzione di documenti informatici indicandone l’hash, ma senza produrli, caratteristica questa che nel caso di specie non è stata utilizzata, ma va tenuta comunque presente. Di seguito si propone lo stesso esempio utilizzando un semplice programma denominato “ MD5&SHA
Hash (6)“ che permette di calcolare per qualsiasi archivio o documento informatico diverse tipologie di hash:
Figura 1. Hash calcolati del file denominato IM000004.PNG.
Ecco quindi illustrate alcune delle possibili modalità operative da seguire quando si rende necessario calcolare l’hash MD5 o SHA-512 o di un qualsiasi altro algoritmo di hash di uno specifico documento informatico. Proseguendo nel caso in cui si volesse verificare l’integrità del documento informatico, ovvero che nessuna alterazione, anche minima si sia verificata è sufficiente rieseguire il calcolo dell’hash e confrontarlo con l’hash a suo tempo dichiarato, se i due hash sono uguali il file non ha subito alcuna modifica o alterazione. Quindi esemplificando se il documento denominato “ progetto di ricerca nuovo di Caio.doc” di cui si calcola l’hash MD5 hanno lo stesso hash del documento “ progetto di ricerca 2019 redatto da Tizio.doc” i due documenti sono identici.
(6) MD5&SHA Hash al seguente link < https://apps.apple.com/us/ app/md5-sha-hash/id1337705895?mt=12>.
DIRITTO DI INTERNET N. 3/2019
507
GIURISPRUDENZA CIVILE
Figura 2. Hash calcolati dei documenti denominati rispettivamente progetto di ricerca nuovo di Caio.docx e progetto di ricerca 2019 redatto da Tizio.docx.
Da quanto su riportato poiché i due documenti hanno lo stesso hash benché abbiano un nome diverso di fatto si evince che hanno lo stesso contenuto. Allo stesso tempo se due file con lo stesso nome hanno hash diversi hanno anche contenuto diverso, circostanza questa confermata dal fatto che gli hash sono differenti.
Figura 3. Hash calcolati di due documenti che hanno la stessa denominazione “ progetto di ricerca nuovo di Caio.docx”.
Un’interfaccia molto simile anche se più ricca presenta il programma suggerito dal magistrato di cui si riporta la seguente videata a titolo di esempio
Figura 4. Interfaccia grafica del programma QuickHash.
508
DIRITTO DI INTERNET N. 3/2019
GIURISPRUDENZA CIVILE In particolare il programma Quick Hash (7) presenta funzionalità complesse di calcolo di hash quali ad esempio la possibilità di calcolare hash di più file presenti in una cartella, ma anche di interi supporti quali CD o DVD. Inoltre, permette di confrontare sempre utilizzando algoritmi di calcolo di hash il contenuto di due cartelle.
3. L’utilizzo della funzione di hash nel processo ai fini della produzione di documentazione informatica
Fatte queste doverose premesse, si entra ora nel merito dell’ordinanza nella quale il Giudice presenta particolare attenzione alle disposizioni operative “…al fine di assicurarne l’integrità e l’immutabilità…” (8) e individua quale strumento utile a fornire tale garanzia la produzione dei singoli documenti specificando per ciascuno di essi il relativo codice hash MD5 e SHA-512. Tale esigenza nasce dalla circostanza che nel caso di specie le parti avevano manifestato l’esigenza “ di depositare in cancelleria un supporto magneto ottico contenente i numerosi e voluminosi file relativi ai progetti de quibus” , produzione che per le caratteristiche del dato informatico su esposte non può affidarsi alla mera caratteristica del supporto sul quale sono registrati i dati, bensì si rende necessario calcolare per ogni documento il relativo hash. Sostanzialmente quanto richiesto dal Magistrato consisterà quindi in un supporto che contiene tutta la documentazione che ogni parte intenderà produrre accompagnata da una tabella dove saranno elencati i diversi documenti informatici corredati di ciascun hash, come potrebbe essere ad esempio la seguente tabella: Nome file
Cartella
Progetto 1
Ricerca e DFDBF8E10ED0144CF9232A- A96A818B680FEC635CCDsviluppo 04E067F434 99BE29B7D5D2D8893 19BEF34D3A6B280BE4385BEB3D6EC4A98B79E0 BFF1A069270976CE22F9AA50115BA59B50C960D 8A2786C240B3ED Ricerca e 52E69C690BE99DD7D8A- 796FC564C7BBA8DAsviluppo 465E2E3B7A8CB 0B2028E727DFA75151D80D 79CF01A9C33E02BD9F62A29A90504BBDF830765F 34028C2428D18CB6DB7F363F9DD2551E1765C0B1 4A21F91625
Progetto 2
HASH MD5
HASH SHA512
Progetto 3
Progetto 4
Ricerca e 2153C7BCE59Asviluppo 509DCE9099F971567886
77293C1BCE294EFDC196DBDE2DE2CBEE8FD440 2138F3C0506A19A0A0E5F78D1A7F915332E87E78A 8AACDD3672EFA521D6B92CDC68490CE32E1F1FD D9A465C3F1 Ricerca e 3F4935AB968AB678679FFD- A9A15B3480B98BAC4B79Asviluppo 9715D700EF 38116D4C939922B2D49 DAB12D774A9D03EDC57D0D7BD05CB5FFD20CF4 FBAFFA5A9C6467CC8BB51C45837F0731F2489121D DAC1EC513
Quanto richiesto dal Magistrato quindi risulta essere certamente un metodo corretto di produzione di documentazione informatica atteso che la indicazione dell’hash per ciascun file che si va a depositare permette per quanto su esposto di verificare se il documento informatico ha subito delle alterazioni o meno, slegando la produzione di tale documentazione dalla fisicità del supporto dove sono registrati i documenti informatici stessi. Permettendo quindi di poter verificare in qualsiasi momento l’integrità dei documenti da produrre. Allo stesso tempo si ritengono ultronee le ulteriori indicazioni operative sui supporti sui quali sono registrati i documenti infatti il Giudice “ … dispone che in tale memoria telematica, da depositare contestualmente al deposito del supporto magnetoottico, la parte interessata inserisca anche le impronte digitali …omissis… che la parte avrà previamente ottenuto applicando …omissis all’immagine ISO finale dei medesimi CD o DVD) la funzione di hash. Innanzitutto, preme chiarire che cosa si intende per ISO (9) di un DVD o di un CD: che va inteso come l’intero contenuto del supporto che viene utilizzato per masterizzare il supporto ottico. Quindi nel momento in cui il Giudice fa riferimento alla ISO del supporto ottico intende l’intero contenuto dello stesso. Fatto questo chiarimento si osserva che l’ulteriore raccomandazione di calcolare l’hash della ISO del supporto risulta essere ultronea, in quanto se uno dei singoli file ha subito una modifica e quindi non risulterà avere lo stesso hash a suo tempo calcolato inevitabilmente non avrà l’hash dell’intero supporto coincidente con l’hash del supporto precedentemente calcolato, motivo per il quale non si spiega l’utilità di indicare l’hash anche dell’intero supporto su cui sono registrati i documenti da produrre, perché certamente non fornisce alcuna ulteriore utilità o vantaggio.
(7) Programma acquisibile dal seguente sito web <https://www.quickhash-gui.org/>. (8) Maioli, Dar voce alle prove: elementi di informatica forense, in Crimine virtuale, minaccia reale, a cura di Pozzi, Masotti e Bozzetti, Milano, 2004.
(9) Per approfondimenti <https://www.ibm.com/support/knowledgecenter/it/ssw_ibm_i_71/rzam4/rzam4iso9660.htm>.
DIRITTO DI INTERNET N. 3/2019
509
GIURISPRUDENZA CIVILE In conclusione si evidenzia come l’ordinanza in parola recepisce e applica la raccomandazione metodologica dell’informatica forense per la quale ad ogni reperto informatico al fine di darne garanzia di immodificabilità e di integrità deve essere associato il relativo hash, modalità di produzione di documentazione informatica che andrebbe adottata come prassi procedurale, precisando che sarebbe però stato sufficiente il calcolo dell’hash dei singoli documenti informatici da produrre senza calcolare anche l’hash dell’ISO che contiene i documenti da produrre.
510
DIRITTO DI INTERNET N. 3/2019
GIURISPRUDENZA CIVILE
Saga del copyright, ritorsioni digitali e condanna per lite temeraria Tribunale di Torino; sez. spec. imprese; sentenza 1° aprile 2019; Pres. Silvia Vitrò; Est. Enrico Astuni; Dailymotion SA (Avv. Galimberti, De Angelis, Travet) c. Appio Emanuele (Avv. Virano) e altri. È lecito il caricamento di opere protette dal diritto d’autore su una piattaforma di condivisione di materiali audiovisivi online operato dal dipendente del titolare dei diritti di sfruttamento economico sulle opere stesse – poi oggetto di un provvedimento cautelare a carico della società di gestione della piattaforma ai fini della rimozione dei contenuti, della adozione delle misure di fingerprinting idonee a impedire successivi caricamenti e del versamento di una penale per ogni eventuale inosservanza del provvedimento – perché avvenuto con il consenso del titolare medesimo e al solo fine di verificare l’idoneità delle ridette misure che la società di gestione della piattaforma ha dichiarato di aver adottato sia in sede stragiudiziale sia nel corso del giudizio cautelare (1). È infondata e va ritenuta temeraria ai sensi dell’art. 96 c.p.c. l’azione di risarcimento danni avviata dalla società di gestione di una piattaforma di condivisione di materiali audiovisivi online per affermare che il caricamento dei materiali protetti posto in essere dal dipendente del titolare dei diritti di sfruttamento economico delle opere dell’ingegno comunicate al pubblico in violazione dei diritti medesimi tramite la piattaforma è avvenuto, previa sua registrazione, in violazione dei termini e condizioni d’uso della piattaforma stessa e al solo fine di far maturare la penale stabilita da una precedente ordinanza cautelare resa a carico della società di gestione e in favore del titolare dei diritti (nella specie, la corte ha ritenuto che non fosse stato provato il nesso di causa con le specifiche voci di danno lamentate e che il pregiudizio non fosse sussistente) (2)
…Omissis… Motivi della decisione. 1. In rito, l’attrice chiede la sospensione ex art. 295 c.p.c. del presente giudizio fino al passaggio in giudicato della causa, attualmente pendente in grado di appello (R.G. 333/2018), di opposizione a precetto che Dailymotion ha proposto (R.G. 5135/16) avverso l’intimazione notificatale da Delta Tv di pagare la somma di € 924.000,00 per le penali previste nell’ordinanza 3.6.2015, confermata in parte qua dall’ordinanza collegiale in data 19.10.2015. Non è fondata. Per stabile e condiviso orientamento di legittimità (da ultimo Cass. 10.7.2017 n. 17021), l’art. 295 c.p.c., “nel prevedere la sospensione necessaria del giudizio civile quando la decisione “dipenda” dalla definizione di altra causa, allude ad un vincolo di stretta ed effettiva consequenzialità fra due emanande statuizioni e quindi, coerentemente con l’obiettivo di evitare un conflitto di giudicati, ad un collegamento per cui l’altro giudizio (civile, penale o amministrativo), oltre a investire una questione di carattere pregiudiziale, cioè un indispensabile antecedente logico giuridico, la soluzione del quale pregiudichi in tutto o in parte l’esito della causa da sospendere, deve essere pendente in concreto e coinvolgere le stesse parti”. In primo luogo, le due cause condividono un nucleo di fatti e questioni comuni: il caricamento da parte di Appio di materiali audiovisivi coperti da copyright sulla
piattaforma Dailymotion; la rilevanza dell’autorizzazione data dal titolare del copyright ad Appio a procedere al caricamento dei materiali a fini di monitoraggio della funzionalità della piattaforma. Nondimeno i titoli di responsabilità fatti valere rispettivamente nei confronti di Appio e di Dailymotion sono differenti e autonomi tra loro, poiché il primo è chiamato a rispondere per aver caricato, in tesi illecitamente, materiali che sapeva coperti da copyright, la seconda per aver permesso la reiterata violazione del copyright non attivando efficaci misure di fingerprinting come richiedevano le ordinanze cautelari di questo tribunale. L’autonomia dei titoli di responsabilità esclude che la causa pendente tra Delta e Dailymotion abbia idoneità a determinare in modo vincolante – e quindi a “pregiudicare” ai sensi dell’art. 295 c.p.c. – l’esito della causa tra quest’ultima e Appio stabilendo se l’odierno convenuto sia tenuto a rispondere del caricamento e quale sia la misura della sua responsabilità. In secondo luogo, la decisione resa nella causa tra Delta e Dailymotion, quand’anche coperta dal giudicato, non può avere alcun effetto in danno di Appio, che è terzo estraneo a quel giudizio. Pertanto non v’è ragione di sospendere il presente giudizio fino alla definizione, con sentenza passata in giudicato, dell’altro poiché quel decisum non potrebbe comunque pregiudicare, determinare in modo vincolante la decisione dell’odierna causa. Sui limiti soggettivi del giudicato come ostacolo alla sospensione necessaria ex art. 295 c.p.c. cfr. Cass.
DIRITTO DI INTERNET N. 3/2019
511
GIURISPRUDENZA CIVILE lav. 27.1.2011 n. 1948; Cass. 21.1.2000 n. 661; Cass. 14.1.1980 n. 295. 2. Venendo al merito, la domanda rientra nell’ambito dell’art. 2043 c.c.. L’attrice chiede, anzitutto, risarcirsi a titolo di danno emergente “la somma di € 744.000,00 quantificata da Delta nell’ambito del precetto per il caricamento dei n. 6 file ad opera di Emanuele Appio” (citazione pag. 9, lett. a). L’attrice fa dunque consistere l’ingiustizia del danno nel pregiudizio alla sua integrità patrimoniale che Delta, utilizzando il lavoro del suo dipendente, avrebbe cercato di arrecarle, astenendosi dal comunicare che sulla piattaforma Dailymotion erano ancora presenti sei file caricati da “Antonio Ultimo”, riproducenti i medesimi contenuti già segnalati e cancellati, e lasciando correre su questi file la penale concessa dal Tribunale fino a maturare l’ingente credito di 744.000 euro (pari a 124 gg. x 6 file x 1.000 euro). Di quest’illecito dovrebbe rispondere non soltanto Delta, ma anche Appio, per aver caricato materiali audiovisivi che egli sapeva coperti da copyright. 2.1. Il convenuto contesta che facciano prova nei suoi confronti gli atti dei procedimenti, svoltisi tra Delta e Dailymotion, e a cui egli è rimasto estraneo e assume che, in questo giudizio, non soltanto non sia stata raggiunta la prova positiva della imputabilità a lui degli upload sulla piattaforma di Dailymotion fatti con lo pseudonimo di “Antonio Ultimo”, ma che, anzi, tale circostanza sia implicitamente esclusa in ragione del principio di non contestazione (art. 115 c.p.c.). La deduzione è, nell’insieme, smentita per tabulas al semplice esame della email in data 27.2.2015, prodotta dallo stesso Appio Emanuele (doc. 2 conv.), nella quale Delta gli conferisce l’incarico di aprire un canale sulla piattaforma Dailymotion sotto il nome di “Antonio Ultimo”: “con riferimento alle numerose puntate quotidianamente pubblicate sull’ISP Dailymotion, La invitiamo cortesemente ad aprire un canale su tale piattaforma denominandolo “Antonio Ultimo” ed inserendo il suo nominativo reale nell’email di riferimento. Tale canale non chiederà ovviamente alcuna partnership e sarà utilizzato al solo scopo di controllare e monitorare le opere di Delta TV Programs, collaborando con le altre persone in indirizzo, così come già predisposto ed effettuato con la piattaforma YouTube. Restiamo in attesa di conferma dell’apertura del canale su cui dovrà pubblicare come primo video “Dolce Valentina 178”. Ci faccia sapere con cortese urgenza se tale pubblicazione è limitata al pubblico oppure è prevista anche l’opzione “privato” o “non in elenco” come in uso sulla piattaforma YouTube”. Che Appio abbia attivato il canale registrandosi sulla piattaforma Dailymotion è anche prova prima facie, secondo un canone di normalità, che sia stato proprio lui
512
DIRITTO DI INTERNET N. 3/2019
e non altri imprecisati collaboratori a fare gli upload sul sito, visto che sue erano le credenziali di accesso, suo l’indirizzo di posta elettronica (vedi doc. 2: “inser[isca] il suo nominativo reale nell’email di riferimento”), suo infine l’incarico di provvedere al caricamento secondo le istruzioni della cit. lettera 27.2.2015. A fronte di questi dati, non incontrovertibili ma certamente concludenti, il convenuto non ha offerto prova del contrario e pertanto il caricamento dei materiali sulla piattaforma deve ritenersi a lui imputabile. 2.2. La domanda è, nondimeno, manifestamente infondata se non temeraria, poiché il caricamento dei materiali audiovisivi è avvenuto lecitamente, col consenso dell’avente diritto Delta, e al fine – noto al convenuto e certamente lecito – di monitorare le funzionalità della piattaforma Dailymotion, in particolare l’attitudine dei dispositivi di fingerprinting a riconoscere materiali già caricati e rimossi per violazione di copyright. È la stessa attrice a riconoscerlo nella conclusionale dep. nella causa n. 5135/16 e prodotta per stralcio dalla terza chiamata in memoria n. 2 (doc. 6 Delta): “6 file video degli 11 indicati nel precetto [..] sono stati caricati dalla stessa Delta Tv, tramite un suo dipendente, il sig. Emanuele Appio (con lo pseudonimo Antonio Ultimo). Tale caricamento è dunque avvenuto lecitamente, non costituisce e non può costituire nessuna violazione di diritti di Delta Tv essendo stato compiuto dallo stesso titolare del diritto”. Ancora più esplicitamente scrive l’attrice nella memoria di replica dep. in causa n. 5135/16 (doc. 7 Delta) che “non si vede francamente come un caricamento lecito (perché effettuato dallo stesso avente diritto) possa già solo per questo motivo rientrare nel perimetro di una ordinanza cautelare e, a maggior ragione, come un atto lecito possa fondare pretese (tra l’altro esorbitanti) sulla inosservanza di una tale ordinanza”. Gli stessi argomenti validi per Dailymotion valgono tuttavia, a maggior ragione, per Appio. Sfugge francamente al Collegio come un caricamento di dati possa risultare illecito e fondare pretese risarcitorie esorbitanti, se esso avviene con il consenso del titolare del copyright e in conformità con le condizioni d’uso della piattaforma. Riguardo a queste ultime, dallo stralcio prodotto (doc. 16 att.; doc. 8 Delta), al par. 5 “Responsabilità dell’utente” si legge che “in qualità di fornitore di contenuto del sito, che si tratti di video o di commenti ad esse apportati, l’utente è tenuto al rispetto delle disposizioni legali e regolamentari in vigore. Spetta all’utente di conseguenza accertarsi che lo stoccaggio e la diffusione di questo contenuto per mezzo del Sito non costituiscono (i) una violazione dei diritti di proprietà intellettuale di terzi (in particolare clip, trasmissioni televisive, corto, medio e lungometraggi, animati o meno, pubblicità che l’utente non ha realizzato personalmente o per i quali non dispone delle autorizzazioni necessarie dei terzi titolari dei
GIURISPRUDENZA CIVILE diritti succitati sugli stessi) [..] In tali casi il contenuto sarà ritirato nelle condizioni oggetto del paragrafo 4 e/o il conto sarà disattivato senza formalità preliminari. L’utente in questione incorrerà inoltre a titolo personale nelle sanzioni penali specifiche al contenuto contestato (pene di detenzione e ammende) oltre alla condanna eventuale al pagamento del risarcimento danni”. Nella specie, Appio ha operato con l’autorizzazione del titolare dei diritti di sfruttamento delle serie tv, di cui caricò alcune puntate, e pertanto nel pieno rispetto delle condizioni d’uso stabilite da Dailymotion: ciò ancorché l’attrice protesti una “violazione delle condizioni di utilizzo della piattaforma” (cfr. memoria n. 1 pag. 2) che non è in grado di argomentare. Questa circostanza, l’autorizzazione di Delta al caricamento dei file, era ovviamente conosciuta alla stessa Dailymotion molto prima di iniziare la causa nei confronti di Appio, poiché resale nota da null’altri che Delta nel ricorso ex art. 700 dep. 4.5.2015: “il sig. Emanuele Appio, registrato su Dailymotion come utente con il nome Antonio Ultimo e debitamente autorizzato da Delta a caricare per prova le puntate ecc.”. 2.3. La liceità del caricamento dei materiali audiovisivi, per consenso dell’avente diritto, comporta conseguentemente l’inesistenza di un plausibile eventus damni e quindi di un ulteriore elemento della fattispecie di responsabilità extracontrattuale ex art. 2043 c.c.. Come ha correttamente ritenuto il Tribunale nella sentenza 24.1.2018 n. 342 (pag. 22), decidendo l’opposizione a precetto proposta da Dailymotion, l’ordinanza 3.6.2015 – confermata da quella collegiale – inibisce l’utilizzo dei materiali audiovisivi o ne ordina la rimozione, comminando penali dissuasive per ogni violazione accertata, perché e nei limiti in cui tali condotte costituiscono violazione dei diritti di Delta. A ciò segue che il consenso dell’avente diritto, manifestato espressamente e per iscritto (doc. 2 conv.), al caricamento delle puntate delle serie tv sulla piattaforma Dailymotion, sia pure ai soli fini di prova, ossia per verificare l’operatività dei dispositivi di riconoscimento delle “impronte digitali” dei file già rimossi, esclude che ricorra una violazione del diritto e non consente alcuna maturazione della penale prevista nel provvedimento cautelare. Vedi sentenza n. 342/2018, pag. 22: “Delta TV, pur potendo lecitamente caricare o far caricare propri video sulla piattaforma Dailymotion anche al fine di controllarne il funzionamento e la reazione da parte della titolare della piattaforma, non può poi pretendere per tali materiali l’applicazione di penali, che presuppongono la violazione del proprio diritto d’autore”. Che Delta abbia utilizzato l’ordinanza cautelare per autoliquidarsi la penale e intimare precetto di pagamento (vedi sopra) non può spostare, per i fini che ne occupano, i termini della questione, poiché quel precetto è
stato sottoposto da Dailymotion a un giudizio a cognizione piena tramite opposizione ex art. 615 c.p.c. e il Tribunale con la cit. sentenza n. 342 ha respinto la pretesa, dichiarando “l’inefficacia e l’invalidità del precetto notificato da Delta TV Programs s.r.l. a Dailymotion S.A. in data 8.2.2016 e di ogni atto esecutivo successivo al medesimo, nonché inesistente il diritto di Delta TV Programs s.r.l. di procedere ad esecuzione forzata” (pag. 38). 3. Dailymotion vanta nei confronti di Appio Emanuele un danno di immagine e reputazionale di € 2.000.000,00. La domanda è proposta in citazione in termini sostanzialmente generici (pag. 10: “a ciò si aggiungano i danni di immagine e alla reputazione di Dailymotion che sin d’ora si indicano in una somma non inferiore ad € 2.000.000”) ed è approfondita, con l’enunciazione di specifiche circostanze, in memoria n. 2. In sostanza, l’attrice si duole che il patron di Delta Tv sig. Leandro Burgay avrebbe rilasciato alla rivista online in tema di digital economy Key4biz un’intervista pubblicata in data 13.10.2016 col titolo “Contro la pirateria più penali dissuasive” (doc. 22 att.) fornendo una propria “versione dei fatti” del contenzioso tra Delta e Dailymotion, intesa a gettare discredito su quest’ultima. Si legge in memoria n. 2 (pag. 4) che “è evidente che si tratta di una ricostruzione parziale e fuorviante, a tacer d’altro perché Delta TV - omette gravemente un piccolo particolare: e cioè i file audiovisivi di cui al precetto sono stati “uplodati” da Appio e dalla stessa Delta TV; vorrebbe far credere (ciò che invero non è) che Dailymotion non avrebbe rimosso i file audiovisivi menzionati nel precetto, tanto da spingere quest’ultima all’azione esecutiva. Ed, invero, come Dailymotion confida serenamente sarà accertato da codesto Tribunale nel giudizio di opposizione, tale azione si basa su files audiovisivi non rientranti nell’ordine di inibitoria e comunque mai segnalati da Delta TV. Non vi è dubbio che la dichiarazione del signor Burgay ha arrecato grave nocumento all’immagine di Dailymotion. La diffusione ad orologeria di dichiarazioni non veritiere ed ingannevoli sul precetto e sull’azione esecutiva risponde peraltro ad una evidente strategia denigratoria e ad una illegittima forma di auto-tutela extra processuale ai danni di Dailymotion, della sua immagine e reputazione”. In disparte il fatto che l’attrice ha chiesto in citazione il risarcimento del danno per l’esorbitante cifra di 2.000.000 di Euro per pretesa violazione del diritto all’immagine senza citare un solo episodio, la domanda di danno proposta nei confronti di Appio per l’intervista rilasciata dal patron di Delta, sig. Burgay, è maldestra e temeraria. 3.1. Ovviamente il convenuto non può rispondere dei contenuti dell’intervista che (non lui ma) altri ha rilasciato. D’altra parte l’attrice non si preoccupa nemme-
DIRITTO DI INTERNET N. 3/2019
513
GIURISPRUDENZA CIVILE no di individuare un titolo giuridico che consenta di attribuirgli la responsabilità per le dichiarazioni di un terzo. Vero che l’art. 2049 c.c. prevede la responsabilità dei “padroni o committenti” per il fatto illecito dei loro dipendenti, ma ben s’è guardato dal prevedere la reciproca, ossia l’imputazione al dipendente dell’illecito del suo datore di lavoro. 3.2. Oltre a non essere imputabili al convenuto le dichiarazioni (in tesi) diffamatorie, non sussiste alcun evidente nesso di causalità materiale tra la condotta del convenuto, consistente nell’upload dei file coperti dal diritto d’autore, e il preteso eventus damni, consistente nel pregiudizio arrecato dall’intervista all’immagine e reputazione commerciale di Dailymotion. Com’è noto, agli effetti della responsabilità extracontrattuale, per stabilire se sussista il nesso di causalità materiale tra un’azione o un’omissione ed un evento deve applicarsi il principio della condicio sine qua non, temperato da quello della causalità efficiente sottesi agli art. 40 e 41 c.p. (vedi in materia di responsabilità extracontrattuale da ultimo Cass. civ. 22.10.2013 n. 23915; Cass. civ. 6.4.2006 n. 8096; Cass. civ. 12.9.2005 n. 18094). Deve quindi ricorrere la duplice condizione che: 1) si tratti di una condotta antecedente necessaria dell’evento; 2) tale condotta non sia neutralizzata dalla sopravvenienza di un fatto di per sé idoneo a determinare l’evento. Nessuna di queste condizioni ricorre nel caso di specie. In disparte la sua liceità (§ 2.2.), il caricamento dei file sulla piattaforma Dailymotion da parte di Appio non è antecedente necessario dell’intervista, visto che centinaia di altri file sono stati caricati da utenti ignoti sulla piattaforma Dailymotion in violazione del copyright di Delta: questi caricamenti massivi in spregio ai diritti della società di per sé davano buon fondamento alla decisione di Burgay di rilasciare un’intervista, anche dura nei toni, contro le politiche degli internet service provider come Dailymotion o YouTube (anch’esso in causa contro Delta). In secondo luogo, dato e non concesso che l’intervista abbia assunto un contenuto offensivo e diffamatorio, si tratta con ogni evidenza di un fatto sopravvenuto di per sé solo idoneo a cagionare il preteso danno alla reputazione commerciale e all’immagine di Dailymotion, indipendente dal fatto che Appio – come migliaia di altri anonimi utenti – abbia caricato sulla piattaforma materiali coperti da copyright. Queste considerazioni sono assorbenti, escludono l’esistenza di un apprezzabile nesso causale ed esimono il collegio dall’affrontare l’ulteriore questione se l’intervista pubblicata da Key4Biz costituisca ex se un illecito dannoso, per avere contenuto diffamatorio e aver effettivamente leso la reputazione dell’attrice. 4. Infine, l’attrice chiede (citazione pag. 9, lett a) ad Appio la rifusione delle spese legali sostenute nella causa
514
DIRITTO DI INTERNET N. 3/2019
di opposizione al precetto n. 5135/16 e il lucro cessante per l’indisponibilità della somma che Delta, utilizzando l’ordinanza cautelare 3.6.2015 (ibidem, lett. c), ha pignorato e ottenuto in pagamento per un importo largamente superiore a quello poi effettivamente riconosciuto in sentenza. Come è stato infatti riferito in narrativa, Delta mise in esecuzione l’ordinanza pignorando i crediti di Dailymotion nei confronti di Hi-Media Italia S.r.l.. A seguito di assegnazione (doc 17 att.), il terzo pignorato provvide a pagare a Delta una somma di poco inferiore a € 412.000,00 (doc. 20 att.). Larga parte del capitale pignorato risulta allo stato nondimeno indebita, visto che la sentenza n. 342/2018 ha liquidato a favore di Delta la minor somma di € 20.000,00 dichiarando non dovute le penali conteggiate da Delta sui file caricati per suo conto da Appio e disapplicando per gli altri l’ordinanza 3.6.2015 ai fini del computo del danno risarcibile. Entrambe queste domande devono essere trattate unitariamente, poiché con esse l’attrice tenta di riversare su un terzo estraneo i costi del processo contro Delta e i danni (in tesi) subiti per l’indisponibilità della somma che Delta avrebbe fruttuosamente, ma ingiustamente, pignorato. Anche queste domande sono manifestamente infondate, se non temerarie. È evidente infatti che Dailymotion fa valere nei confronti del dipendente di Delta pretese risarcitorie che riguardano attività e strategie processuali imputabili esclusivamente a quest’ultima e che, come nel caso dianzi considerato (§ 3), la pretesa si basa su un’evidente distorsione del nesso di causalità materiale. 4.1. Procedendo con ordine, il Collegio considera anzitutto la domanda di rifusione delle spese legali sostenute dall’attrice nella causa con Delta. Ai sensi dell’art. 91 c.p.c. la pretesa al rimborso delle spese, basata sul titolo della soccombenza, non può essere fatta valere se non nei confronti della parte del giudizio, se e nella misura in cui sia rimasta effettivamente soccombente. Ancora, secondo orientamento uniforme (tra molte Cass. 6.11.1993 n. 10994; Cass. 15.5.2007 n. 11197), la parte non può far valere in separato ed autonomo giudizio la sua pretesa alla rifusione delle spese di lite nei confronti del soccombente, qualificando la pretesa come domanda risarcitoria ex art. 2043 c.c., poiché la competenza spetta esclusivamente al giudice e deve esercitarsi col provvedimento che definisce il giudizio. Appare, a tacer d’altro, singolare e ingiustificato che la parte rivolga la pretesa verso un terzo estraneo al giudizio che non abbia assunto l’obbligo di tenerla indenne. 4.2. La stessa domanda di rifusione delle spese non può utilmente proporsi contro Appio neppure sotto il titolo della lite temeraria, ai sensi dell’artt. 2043 e 96 c.p.c. comma 1 (per quanto concerne gli onorari professionali) o comma 2 (per quanto concerne i danni patiti per
GIURISPRUDENZA CIVILE il pignoramento ingiustamente eseguito da Delta), per i seguenti concorrenti ordini di motivi. Primo, l’unica condotta sicuramente attribuibile ad Appio nella vicenda in esame consiste nell’upload di sei puntate delle serie tv. Questa condotta è di per sé lecita per le considerazioni svolte sub § 2.2. che si hanno qui per richiamate. In secondo luogo, difetta in modo manifesto – anche in tal caso come in quello esaminato sub § 3 – un apprezzabile nesso di causalità materiale ai sensi degli artt. 40 e 41 c.p. tra l’upload dei file e l’utilizzo processuale fattone da Delta. Evidente infatti che, dei file caricati da Appio, Delta avrebbe potuto fare l’uso processuale che riteneva più consono e opportuno alla sua strategia e che, nella migliore delle ipotesi, essa avrebbe potuto limitarsi a utilizzarli – come peraltro si legge nella lettera di istruzioni (doc. 2 conv.) – a fini di prova, ossia per dimostrare che i dispositivi di riconoscimento delle “impronte digitali”, decantati da Dailymotion, o non esistevano o non erano in grado di operare efficacemente: condotta questa certamente lecita. Il quid pluris rispetto a questa minima condotta – e segnatamente il conteggio da parte di Delta delle penali sui file caricati col suo consenso, la notifica del precetto per un importo esorbitante poi disconosciuto in sentenza, la messa in esecuzione del titolo in pendenza dell’opposizione – non è evidentemente attribuibile secondo un canone di regolarità causale al caricamento dei file e dipende da scelte processuali di Delta che, di per sé sole, appaiono idonee a determinare l’evento dannoso. Deve quindi confermarsi la pregnanza del dato normativo dell’art. 96 c.p.c. che individua come soggetto passivo della domanda di lite temeraria soltanto “la parte soccombente che ha agito o resistito in giudizio con mala fede o colpa grave” (comma 1) o che ha eseguito un provvedimento cautelare, iniziato l’esecuzione forzata ecc. “senza la normale prudenza” (comma 2). Non ultimo, la domanda ex art. 96 c.p.c. proposta dall’attrice nei confronti di Delta nel giudizio di opposizione al precetto è stata respinta con la cit. sentenza n. 342/2018 (pag. 37: “La domanda dell’attrice di condanna di Delta TV al risarcimento dei danni ex art. 2043 c.c. e 96 c.p.c. per uso strumentale dell’azione esecutiva, è infondata. [..] Per gli stessi motivi e tenuto conto dell’esito complessivo della causa, non sussistono altresì i presupposti per l’applicazione dell’art. 96 c.p.c.”) e ciò a maggior ragione esclude che il vantato danno possa essere preteso da un terzo estraneo. 5. In punto spese di lite, non v’è ragione di discostarsi dalla regola della soccombenza, con le seguenti precisazioni. 5.1. Le spese del convenuto Appio Emanuele devono essere poste a carico di Dailymotion, che è rimasta totalmente soccombente.
…Omissis… Ritiene inoltre il Collegio che ricorrano i presupposti per la concessione a favore di Appio Emanuele e a carico di Dailymotion del risarcimento del danno per temerarietà della lite. Il convenuto, nelle conclusioni rassegnate in epigrafe ha chiesto di “accertare e dichiarare che il Signor Emanuele Appio ha subito un danno a causa dei fatti riportati in atti e, per l’effetto, condannare, la Dailymotion, nella persona del suo legale rappresentante pro tempore, al pagamento di una somma di denaro che potrà essere liquidata equitativamente dal Giudice, oltre ad interessi e rivalutazione monetaria” e di “accertare e dichiarare che il Signor Emanuele Appio ha subito un danno a causa dell’azione esercitata contro lui in mala fede o colpa grave (art. 96 c.p.c.) e, per l’effetto, condannare la Dailymotion, nella persona del suo legale rappresentante pro tempore, al pagamento di una somma che potrà essere liquidata equitativamente dal Giudice, oltre ad interessi e rivalutazione monetaria”. Le due apparenti domande sono in effetti una sola, e si riconducono normativamente all’art. 96 c.p.c. poiché il “danno a causa dei fatti riportati in atti” consiste, in termini di evento, nella situazione di stress e disagio cagionata dall’azione giudiziale intrapresa nei suoi confronti da Dailymotion: “Si chiede pertanto che venga risarcito di tutti i danni patrimoniali e non patrimoniali che l’azione in malafede intentata da Dailymotion gli ha causato e gli causerà in futuro” (comparsa di risposta Appio pag. 10) ed è evidente che l’agire in giudizio si qualifica come illecito soltanto ove ricorrano le condizioni dell’art. 96 c.p.c.. Come ha stabilito il condiviso precedente di Cass. sez. un. 13.9.2018 n. 22405, la condanna, al pagamento della somma equitativamente determinata ai sensi dell’art. 96 comma 3 c.p.c., non richiede la prova del danno, ossia di uno specifico eventus damni e delle conseguenze dannose che ne sono derivate, essendo tuttavia necessario l’accertamento, in capo alla parte soccombente, della mala fede (consapevolezza dell’infondatezza della domanda) o della colpa grave (per carenza dell’ordinaria diligenza volta all’acquisizione di detta consapevolezza), “venendo in considerazione, a titolo esemplificativo, la pretestuosità dell’iniziativa giudiziaria per contrarietà al diritto vivente ed alla giurisprudenza consolidata, la manifesta inconsistenza giuridica delle censure in sede di gravame ovvero la palese e strumentale infondatezza dei motivi di impugnazione”. Nel caso di specie, è evidente che Dailymotion ha agito in giudizio in malafede: ha convenuto Appio per un illecito che essa ben sapeva inesistente, poiché Delta stessa aveva riferito di aver dato ad Appio il suo consenso al caricamento dei dati coperti da copyright “a fini di prova” (vedi sopra § 2); ha preteso di attribuire ad Appio il danno di immagine, vantato nell’esorbitante cifra di
DIRITTO DI INTERNET N. 3/2019
515
GIURISPRUDENZA CIVILE due milioni di Euro, derivante da un’intervista rilasciata dal “patron” di Delta, in spregio a qualunque criterio giuridico di imputazione dell’illecito e di nesso causale (§ 3); ha in definitiva agito in giudizio nei confronti di Appio per tentare di colpire tortuosamente e indirettamente Delta, confidando che – come poi è accaduto – il dipendente chiamasse in causa il datore di lavoro. Ai fini della liquidazione equitativa del danno per temerarietà della lite, ritiene il Collegio che – in assenza di altri specifici elementi, che la parte avente diritto è sempre libera di produrre, per una più accurata stima delle conseguenze dannose – l’insieme dei disagi patiti per essere stato temerariamente convenuto in giudizio sia direttamente collegato al valore della causa e alla durata e impegno del processo. Queste grandezze sono compendiate dalle tabelle per la liquidazione degli onorari di avvocato (D.M. 55/2014), che indicano per ogni
516
DIRITTO DI INTERNET N. 3/2019
valore dato di causa una forbice di minimi e massimi entro cui può essere convenientemente liquidato il compenso spettante al difensore della parte vittoriosa, nonché indirettamente il danno ex art. 96 c.p.c.. Su queste premesse, il Collegio ritiene equo liquidare ad Appio Emanuele a titolo di danno per temerarietà della lite la somma di € 24.000,00 pari a 2/3 delle spese. Su questa somma non spettano, evidentemente, gli accessori previsti per le spese di lite (spese generali, CPA e IVA), trattandosi di un credito di tipo risarcitorio. 5.2. Le spese della terza chiamata, secondo il principio di causalità, devono essere poste a carico dell’attrice, che citando infondatamente in giudizio il dipendente ha inutilmente dato luogo alla partecipazione al processo del datore di lavoro, chiamato dal primo in garanzia per aver dato le istruzioni contestate. …Omissis…
GIURISPRUDENZA CIVILE
IL COMMENTO
di Bruno Tassone e Marco Barbone* Sommario: 1. Il caso di specie. – 2. Profili di diritto d’autore. – 3. Profili di responsabilità civile. – 4. Alcune conclusioni: gli scenari alternativi. Il presente contributo prende in esame un segmento del complesso contenzioso insorto fra il titolare dei diritti di sfruttamento di opere audiovisive e la società che gestisce una piattaforma di condivisione online sulle quali le stesse sono state illecitamente caricate dagli utenti, con conseguente ordine giudiziale di rimozione dei contenuti, adozione delle misure di fingerpinting idonee a impedire successivi caricamenti e versamento di una penale per ogni eventuale inosservanza poi riscontrata. La decisione in commento respinge la domanda risarcitoria spiegata dalla società che gestisce la piattaforma contro il dipendente che, su incarico del titolare dei diritti, ha caricato alcuni contenuti protetti per verificare se le suddette misure fossero state effettivamente poste in essere e se fossero efficaci. Gli Autori esaminano i vari profili di diritto d’autore, responsabilità extracontrattuale e contrattuale, nonché uso punitivo della misura risarcitoria che vengono in considerazione, anche ipotizzando scenari diversi da quelli oggetto della decisione. The essay scrutinizes a segment of the complex litigation arisen between the holder of the copyright on audiovisual works and the owner of an online platform on which they are unlawfully uploaded by users. As a consequence, a previous summary judgement orders the owner to remove the works, to adopt “fingerprinting” measures in order to prevent further uploads and to pay a penalty for any eventual non-compliance with the order. The commented decision rejects the claim for compensation for damages brought by the owner against an employee of the holder of the copyright, entrusted by the latter, who uploaded some protected works to verify whether the said measures had actually been implemented and whether they had been effective. The Authors examine various issues of copyright, extra-contractual and contractual liability, as well as punitive use of the compensation for damages which come into consideration, also in the view of other scenarios in which the principles displayed by the decision may be applied.
1. Il caso di specie
Per far meglio comprendere la decisione resa nel caso di specie occorre necessariamente ripercorrere le tappe fondamentali del contezioso in cui la pronuncia interviene. Nel gennaio 2015 la Delta TV Programs S.r.l., nella sua qualità di titolare dei diritti di sfruttamento su varie telenovelas di produzione sudamericana, riscontrava la presenza abusiva dei correlativi contenuti audiovisivi sulla piattaforma gestita dalla società Dailymotion S.A., la quale – ai fini del caricamento dei contenuti medesimi e non anche per il mero accesso agli stessi – richiedeva una semplice registrazione gratuita degli utenti (in modo similare a quanto consentono altre piattaforme, come ad esempio la più nota YouTube). La richiesta di Delta di rimuovere detti contenuti e di adottare idonei provvedimenti nei confronti degli utenti per prevenire future violazioni dei diritti, nonché di fornire informazioni sugli illeciti e su coloro che ne erano responsabili, veniva accolta solo parzialmente. Dailymotion affermava infatti di essere esente da ogni responsabilità sulla scorta della dir. 2000/31/CE e del d.lgs. 70/2013, nonché di svolgere attività quale mero hosting provider, sicché – a suo dire – la medesima aveva il solo obbligo di rimuovere i contenuti specificamente individuati dal richiedente anche tramite la indicazione dei link dove erano reperibili e non anche un obbligo generale di sorveglianza. Per le ragioni più oltre esposte il tema della responsabilità dell’ISP – e del regime che lo contorna anche alla luce della più recente giurisprudenza della Suprema
Corte, ad esempio circa l’onere della specifica allegazione dell’URL ove si rinvengono i contenuti protetti – rimane estraneo alla decisione e al presente commento, così come il disposto della recente dir. 2019/790 sul diritto d’autore e sui diritti connessi nel mercato unico digitale (1). In questa sede è invero sufficiente ricordare come – per quanto qui interessa – un aspetto fondamentale della controversia riguardasse lo stesso rispetto delle misure (*) Sebbene il contributo sia dovuto all’opera inscindibile dei due Autori, i paragrafi 1 e 2 vanno attributi a Marco Barbone e i paragrafi 3 e4 a Bruno (1) Il riferimento è a Cass. 19 marzo 2019, n. 7708, e Cass. 19 marzo 2019, n. 7709, fra le altre in questa Rivista, 2019, 261 ss., con separati commenti di Panetta e Rovati, dal (medesimo) titolo Il ruolo attivo degli intermediari di internet e la conseguente responsabilità civile. Premesso che la letteratura sul tema è sterminata, per un recente quadro degli orientamenti in materia – con specifico riferimento al tema di cui nel testo – si vedano, oltre ai riferimenti contenuti nei citati commenti, Cassano - Rovati, La c.d. neutralità del web non più elemento di sfruttamento dei diritti d’autore altrui, in nota a Trib. Roma 10 gennaio 2019, sempre in questa Rivista, 2019, 140 ss. Quanto alla direttiva di cui nel testo va ricordato che essa impone ai prestatori di servizi di condivisione di contenuti online ulteriori obblighi per alcuni versi più stringenti di quelli attualmente vigenti, nonostante sia stato lasciato spazio ad esenzioni per particolari categorie di prestatori come indicato nell’art. 17, comma 6, secondo cui «[g]li Stati membri dispongono che con riferimento ai nuovi prestatori di servizi di condivisione di contenuti online, i cui servizi sono disponibili al pubblico nell’Unione da meno di tre anni e che hanno un fatturato annuo inferiore a 10 milioni di Euro calcolati in conformità della raccomandazione 2003/361/CE della Commissione, le condizioni in virtù del regime di responsabilità di cui al paragrafo 4 siano limitate alla conformità alla lettera a) del paragrafo 4 e alla circostanza di aver agito tempestivamente, in seguito alla ricezione di una segnalazione sufficientemente motivata, per disabilitare l’accesso alle opere o ad altri materiali notificati o rimuovere dai loro siti web tali opere o altri materiali».
DIRITTO DI INTERNET N. 3/2019
517
GIURISPRUDENZA CIVILE che Dailymotion dichiarava di aver adottato in sede stragiudiziale e che le sarebbe poi stato ordinato di impiegare dal giudice della cautela. In particolare, a fronte dell’affermazione di Dailymotion di aver rimosso i singoli contenuti contestati e dell’invito a segnalare ulteriori URL per l’identificazione di altri contenuti illecitamente caricati, Delta insisteva nel contestare in via stragiudiziale la responsabilità concorsuale di Dailymotion – sostanzialmente addebitandole di aver agito quale host provider attivo – e, comunque, l’arricchimento senza giusta causa conseguito per aver abbinato pubblicità mirata ai ridetti contenuti. Inoltre e sempre per quanto qui interessa, Delta lamentava che le puntate delle suddette telenovelas erano state caricate da utenti non disabilitati e che avevano poi proceduto all’upload di altri materiali in violazione dei diritti della stessa Delta, facendo altresì notare che le violazioni erano ripetute e che la piattaforma permetteva agli utenti medesimi di pubblicare i video come “privati”: ciò che li rendeva per un verso condivisibili a numerosissimi altri utenti ma, al contempo, “invisibili ai titolari dei diritti”, sì da impedire l’accertamento delle violazioni. Delta invitava quindi Dailymotion ad attivarsi per impedire tali violazioni ed eliminare quelle ancora presenti, emergendo almeno dai contenuti “pubblici” che una delle opere di maggior successo veniva sistematicamente diffusa quasi in concomitanza con la sua trasmissione televisiva, con evidente perdita dello share e del valore dell’opera stessa. A tale seconda diffida Dailymotion rispondeva ribadendo la propria posizione e altresì di essersi dotata di un “fingerprinting system” in grado di evitare il successivo caricamento di materiali identici a quelli in contestazione, tramite la “marcatura digitale” dei medesimi, sicché un loro nuovo upload sarebbe stato impossibile. Ebbene, proprio al fine di verificare se le misure indicate fossero state realmente poste in atto, nel marzo del 2015 Delta incaricava un proprio dipendente di registrarsi sulla piattaforma di Dailymotion sotto lo pseudonimo di “Antonio Ultimo” e di caricare “per prova” le puntate di alcune opere in contestazione, per poi constatare che il citato sistema di “fingerprinting” non era idoneo a impedire la successiva pubblicazione dei contenuti già caricati da altri utenti e cancellati giusta le richiamate diffide, con conseguente violazione del diritto di comunicazione al pubblico anche tramite noti social network sui quali i medesimi contenuti venivano ri-pubblicati dagli utenti (2).
(2) Per costante giurisprudenza viene qui in considerazione la violazione del diritto di cui all’art. 3, paragrafo 1, della dir. 2001/29 poi recepito dalla l. 633/1941. Fra le decisioni di maggior rilievo e senza pretese di completezza, CGCE 23 marzo 2010, cause riunite da C-236/08 a C-238/08, resa nel caso Louis Vuitton / Google sul servizio «AdWords», in Foro it., 2010, IV, 458, con nota di richiami di Palmieri, nonché - fra
518
DIRITTO DI INTERNET N. 3/2019
In data 4 maggio 2015 Delta depositava allora un ricorso ex art. 700 c.p.c. e 156 l. 633/1941 avanti al Tribunale di Torino, chiedendo di inibire a Dailymotion la trasmissione, diffusione, messa a disposizione del pubblico o comunque utilizzazione in qualsiasi modo delle opere di cui Delta era titolare e, inoltre, che le stesse fossero eliminate dalla citata piattaforma, sia nelle sezioni pubbliche che private, nonché di fissare una penale di Euro 1.000 per ogni giorno di ritardo nell’osservanza dell’emanando provvedimento con riferimento a ciascun audiovisivo oggetto dello stesso. Con una nota ordinanza già edita e ampiamente commentata dalla dottrina – resa in data 3 giugno 2015 – il Tribunale di Torino accoglieva le domande di Delta limitatamente ai materiali caricati dagli utenti specificamente indicati, ma con l’ordine impartito a Dailymotion “di rimuovere, cancellare e inibire a qualsiasi soggetto l’accesso ai materiali audiovisivi [appena indicati e] opportunamente individuati attraverso l’adeguato uso delle misure tecniche a sua disposizione per l’identificazione dei file già illecitamente caricati”, rigettando di poi la richiesta inerente alla eliminazione di quelli presenti nelle sezioni “private” (3). Dietro reclamo della Dailymotion l’ordinanza veniva parzialmente riformata dal Tribunale di Torino con ordinanza del 19 ottobre 2015, la quale – per quanto qui interessa – confermava “l’inibitoria e l’ordine di rimozione e impedimento di futuri caricamenti a carico di Daily in relazione ai contenuti specificamente segnalati da Delta con indicazione del relativo URL” (4). Sul presupposto che Dailymotion non avesse in realtà inibito agli utenti l’uso di materiali protetti oggetto dei citati provvedimenti, Delta notificava dunque apposito atto di precetto in data 8 febbraio 2016 liquidando in Euro 924.000 le penali maturate, avverso il quale Dailymotion proponeva rituale opposizione chiedendo la sospensione dell’efficacia esecutiva del titolo, l’accertamento dell’inesistenza di qualsivoglia credito di Delta e, solo in subordine, che fosse rideterminato l’ammontare
le altre - in Dir. ind., 2010, 429, con nota di Tavella - Bonavita, La corte di giustizia sul caso «AdWords»: tra normativa marchi e commercio elettronico, e ancora CGCE 12 luglio 2011, C-324/09, nel caso L’Oréal / eBay in tema di e-commerce, fra le altre in Foro it., 2012, IV, 323, ancora con nota di richiami di Palmieri. (3) Trib. Torino 3 giugno 2015, che si legge assieme ad altri interessanti provvedimenti in materia in Riv. dir. ind., 2017, II, 3 ss., con nota di Tosi, Contrasti giurisprudenziali in materia di responsabilità civile degli hosting provider passivi e attivi - tra tipizzazione normativa e interpretazione evolutiva applicata alle nuove figure soggettive dei motori di ricerca, social network e aggregatori di contenuti. (4) Trib. Torino 19 marzo 2015, sempre in Riv. dir. ind., 2017, II, 3 ss., la quale – in sostanza – escludeva che l’ordine di cui nel testo potesse riguardare, retroattivamente, contenuti caricati prima che le diffide di cui sempre nel testo fossero inviate a Daylimotion.
GIURISPRUDENZA CIVILE della penale. In specie, a dire di Dailymotion la maggior parte dei contenuti era stata caricata da un dipendente della Delta, cioè l’odierno convenuto Sig. Appio Emanuele, la cui attività era pacificamente riconducibile alla stessa Delta. Inoltre, Dailymotion lamentava che Delta non avesse mai contestato alcuna violazione circa le opere caricate dal dipendente dopo la pronuncia delle citate ordinanze e prima di notificare il precetto, avendo “così applicato il contatore oscuro delle penali attendendo silente il passare del tempo, e quando (bontà sua) ha ritenuto di aver raggiunto un ammontare soddisfacente […] ha pensato bene di notificare un precetto” (5). Nelle more del suddetto giudizio di opposizione – nel corso del quale veniva prima accolta e poi rigettata, a seguito di apposito reclamo al collegio ex artt. 624 e 669 terdecies c.p.c., la richiesta di sospensione del titolo esecutivo – Delta notificava in data 13 ottobre 2016 a Dailymotion e ad un suo debitore atto di pignoramento presso terzi per l’ammontare del precetto aumentato della metà ai sensi dell’art. 546 c.p.c., conseguendo buona parte del credito precettato. Di qui, allora, il giudizio che ha portato alla pronuncia in commento. Invero, il 17 gennaio 2017 Dailymotion avviava un’azione parallela, volta a colpire il Sig. Appio Emanuele, segnatamente chiedendo al Tribunale di accertare e dichiarare l’illiceità della condotta posta in essere dallo stesso ex art. 2043 c.c., 158 l. 633/1941 633 e/o ex art. 1223 c.c., per violazione degli obblighi contrattuali assunti con l’accettazione dei termini e condizioni del servizio e – dunque – di condannarlo a risarcirla e/o a indennizzarla per tutti i danni, patrimoniali e non patrimoniali, economici e/o di immagine, subiti in conseguenza della attività illecita e/o dell’inadempimento contrattuale di cui si tratta, complessivamente quantificati in Euro 3.000.000, con conseguente chiamata in manleva di Delta da parte del medesimo dipendente. Dopo la proposizione dell’azione sopravveniva peraltro la pronuncia resa nel giudizio di opposizione in data 24 gennaio 2018, con cui la suddetta penale veniva integralmente revocata – anche perché applicata alle opere caricate “per prova” dal medesimo Sig. Appio, che avevano portato ad accreditare Euro 744.000 sulla maggior somma di cui sopra portata dal precetto – e Dailymotion veniva condannata al risarcimento dei soli danni cagio-
(5) Da notare che Delta, per parte sua, osservava come fosse stata essa stessa a dichiarare che i ridetti contenuti erano stati caricati su commissione dal proprio dipendente e, soprattutto, che ciò era avvenuto prima della pronuncia del provvedimento cautelare, sicché Daylimotion ben avrebbe potuto e dovuto procedere alla loro eliminazione in quanto corrispondenti a quelli già oggetto delle citate diffide.
nati a Delta per le violazioni relative ad altri contenuti, quantificati in Euro 20.000 (6). Premesso che tale decisione veniva appellata, con gravame attualmente pendente, seguiva così la sentenza che qui si annota e che, nel rigettare le richieste dell’attrice, la condannava al risarcimento ex art. 96 c.p.c. dei danni cagionati ad Appio Emanuele dacché “il caricamento dei materiali audiovisivi è avvenuto lecitamente, col consenso dell’avente diritto Delta, e al fine – noto al convenuto e certamente lecito – di monitorare le funzionalità della piattaforma Dailymotion, in particolare l’attitudine dei dispositivi di fingerprinting a riconoscere materiali già caricati e rimossi per violazione di copyright”, aggiungendo che il Sig. “Appio ha operato con l’autorizzazione del titolare dei diritti di sfruttamento delle serie tv, di cui caricò alcune puntate, e pertanto nel pieno rispetto delle condizioni d’uso stabilite da Dailymotion”, sicché la “liceità del caricamento dei materiali audiovisivi, per consenso dell’avente diritto, comporta conseguentemente l’inesistenza di un plausibile eventus damni e quindi di un ulteriore elemento della fattispecie di responsabilità extracontrattuale ex art. 2043 c.c.”. Nei Paragrafi che seguono verranno analizzate più in dettaglio le argomentazioni poste alla base di tali conclusioni, contestualmente svolgendo varie considerazioni sul modo in cui il diritto d’autore si innesta nel lungo iter che conduce alla pronuncia, per poi svolgere alcune riflessioni sull’uso della misura risarcitoria nella singolare fattispecie di cui si tratta e in altri possibili scenari che coinvolgono i titolari dei diritti sulle opere dell’ingegno, i fruitori dei servizi della società dell’informazione e gli internet service providers.
2. Profili di diritto d’autore
A parere di chi scrive la sentenza in commento opera un giusto bilanciamento degli interessi delle parti in relazione alle condotte poste in essere dalle stesse – anche per il tramite del dipendente del titolare dei diritti – una volta revocata nel parallelo giudizio “principale” l’ordinanza che aveva applicato le richiamate penali; e giunge condivisibilmente a ritenere lecite le condotte del dipendente stesso, oltre che del titolare dei diritti, intanto guardando alla fattispecie dall’angolo visuale del diritto d’autore. È infatti “intuitivo” che il dipendente abbia “operato con l’autorizzazione del titolare dei diritti di sfruttamento delle serie TV”, sicché lo stesso non ha violato le condizioni e i termini del servizio, mentre è stata giustamente rigettata l’eccezione del medesimo circa la
(6) La decisione – la cui lettura è utile anche per avere ulteriori dettagli sulla complessa vicenda – è consultabile tramite l’archivio “Giurisprudenza delle imprese” presso il sito «www.giurisprudenzadelleimprese.it».
DIRITTO DI INTERNET N. 3/2019
519
GIURISPRUDENZA CIVILE mancanza di prova del fatto che le descritte condotte fossero a lui imputabili. Di là dall’immediata adesione che la conclusione sollecita sul piano della “giustizia sostanziale”, la stessa merita tuttavia qualche ulteriore precisazione, occorrendo soffermarsi in modo più ampio sulla (prova della) liceità della operazione di caricamento dei contenuti oggetto di privativa in favore di un ISP mediante il compimento materiale della operazione medesima. Invero, nel momento in cui il caricamento viene effettuato dopo che l’utente ha accettato i termini e le condizioni del servizio, è chiaro che l’utente stesso sta acconsentendo allo sfruttamento dell’opera per mezzo della comunicazione al pubblico e, in tal modo, dà in licenza (se li detiene) i conseguenti diritti al titolare della piattaforma medesima tramite una semplice comunicazione elettronica. Pure evidente è che una tale attività consente alla maggior parte dei servizi della società dell’informazione di cui alla dir. 2000/31/CE di esistere, poiché gli stessi fanno leva sul ruolo attivo degli utenti, i quali agiscono come titolari – o presunti tali – dei diritti di sfruttamento sui contenuti: nel modo indicato gli autori e/o titolari dei diritti possono infatti dare maggiore visibilità a sé medesimi e/o alle proprie opere autorizzando appunto la comunicazione al pubblico, diffusione, trasmissione e riproduzione dei contenuti, così cooperando all’offerta dei servizi gestiti dai titolari delle piattaforme, tramite un “canale di comunicazione” delle opere che, secondo alcuni, comporterà in breve tempo la scomparsa del diritto d’autore per come lo conosciamo, non essendo più necessaria la intermediazione di un distributore nel senso tradizionale del termine (7). Fatta una tale premessa, va però distinto il caso in cui a caricare i materiali sia il titolare dei diritti e quello in cui ciò avvenga ad opera di un soggetto terzo rispetto allo stesso, con precipuo riferimento all’art. 110 della l. 633/1941, il quale richiede la forma scritta ad probationem per la trasmissione dei diritti di utilizzazione sulle opere dell’ingegno, sicché occorre chiedersi quando la norma è operativa e quali siano i “documenti elettronici” riconducibili alla sua sfera di applicazione. È infatti ovvio che l’autorizzazione di colui il quale effettua il caricamento deriva da una serie di comprovabili step con valenza negoziale quali la iscrizione al servizio, la attivazione del profilo, i singoli upload in occasione dei quali può essere fatto accettare uno specifico disclaimer e che il titolare della piattaforma può comunque registrare con
(7) Premesso che per la sua vastità il tema può essere toccato solo di scorcio, per ampi riferimenti alla letteratura in materia si vedano i vari contributi pubblicati in Caso - Giovannella (a cura di), Balancing Copyright Law in the Digital Age - Comparative Perspectives, New York, 2015, passim.
520
DIRITTO DI INTERNET N. 3/2019
appositi “log”, e via discorrendo. Ma ciò non dimostra, altrettanto ovviamente, che si tratti di una autorizzazione “elettronica” che integra di per sé gli estremi della scrittura privata ex art. 2702 c.c. Senza poter qui affrontare la complessa evoluzione normativa inerente al c.d. “documento informatico”, va in proposito ricordato che il Codice dell’Amministrazione Digitale (CAD) di cui al d. lgs. 82/2005, per come da ultimo modificato, definisce il documento informatico «quale documento elettronico contenente la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti», sancendone però l’equiparazione con la scrittura privata – allo stato e di là dalle spinte provenienti anche dall’ordinamento euro-unitario – solo in presenza di una firma digitale o di altro tipo di firma elettronica qualificata (8). Tuttavia, è abbastanza facile immaginare che ove ad aver effettuato il caricamento sia l’autore o il titolare dei diritti lo stesso non possa poi opporre in giudizio la mancanza della forma prescritta dalla legge ai fini della prova della autorizzazione, giusta i noti orientamenti in tema di abuso del diritto e/o del processo, nonché di obbligo di comportarsi secondo correttezza e buona fede, se si vuole anche nella sua declinazione quale divieto del venire contra factum proprium, i quali possono consentire al giudice la paralisi delle facoltà sostanziali e/o processuali indebitamente esercitate dall’attore (9). Una separata considerazione, come anticipato, merita invece il caso in cui ad effettuare il caricamento non sia l’autore o il titolare dei diritti, ma un terzo che non si afferma titolare di essi rispetto a quello effettivo. In argomento mette infatti conto ricordare che, per costante giurisprudenza, va distinto (a) il conflitto tra i pretesi titolari del medesimo dritto di sfruttamento e (b) il conflitto tra il terzo che ha compiuto atti di sfruttamento dell’opera e il titolare del diritto che si assume (8) Posto che è ancora assai utile, nonostante le modifiche normative poi succedutesi, la trattazione a suo tempo offerta da Tosi, Diritto privato dell’informatica e di internet, Milano, 2006, 237 ss., più di recente – per tutti – Troiano, Firma e forma elettronica: verso il superamento della forma ad substantiam - Riflessioni a margine del reg. Ue n. 910/2014 e delle recenti riforme del codice dell’amministrazione digitale, in Nuova giur. civ., 2018, 79 ss. (9) Per tutti, di recente, Zaccaria, La buona fede: da argine all’abuso del diritto a oggetto di un principio abusato, in Studium iuris, 1 ss., cui adde – sebbene in ambiente amministrativistico, ma con riflessioni di ampia portata – Tropea, L’abuso del processo amministrativo (studio critico), Napoli, 2015, passim, nonché Id., Abuso del processo nella forma del venire contra factum proprium in tema di giurisdizione - Note critiche, in Dir. proc. amm., 2015, 685, e ancora, in un contesto più vicino a quello propriamente civilistico, Vallebona, Divieto di venire contra factum proprium, Verwirkung e abuso del diritto: l’azione tardiva contro il licenziamento, in Mass. giur. lav., 2010, 921 ss. Dando per conosciute le incessanti applicazioni giurisprudenziali circa l’abuso del diritto e/o del processo, nonché la buona fede, sempre sul principio da ultimo citato si vedano anche l’art. 1.8 dei Principi Unidroit, nonché Cass., Sez. Lav., 28 aprile 2009, n. 9924, in Riv. it. dir. lav., 2010, II, 593 ss.
GIURISPRUDENZA CIVILE leso, dacché la norma si applica solo alla prima ipotesi e – nella seconda – l’acquisto del diritto può essere dimostrato anche mediante mezzi diversi dalla scrittura privata (10). Pertanto, nel caso di specie il dipendente poteva ben provare – così come ha provato – il consenso dell’avente diritto mediante la semplice produzione della e-mail di incarico al compimento dell’attività di cui dà atto la sentenza, cui altri mezzi si sarebbero potuti aggiungere. Invero, anche se le e-mail ordinarie, i messaggi facebook e via dicendo non possono considerarsi documenti in grado di garantire l’identità dell’autore e/o l’integrità del documento stesso – in quanto, tanto gli account per l’utilizzo della posta elettronica, quanto quelli per l’utilizzo dei social, consentono la registrazione e l’utilizzo del servizio attraverso l’inserimento di dati la cui veridicità non sempre è reale e agevolmente verificabile – proprio le innovazioni normative che sono sfociate nel CAD consentono comunque a questi e altri documenti “digitali” di avere rilievo processuale (11). Del resto, per insegnamento ricevuto la contestazione ex artt. 2712 e 2719 c.c. va formulata nella prima difesa successiva al deposito del documento e in modo circostanziato, per cui – senza qui addentrarci nell’esame delle indicazioni provenienti dalla informatica forense circa le modalità tecniche da seguire per la corretta produzione dei documenti informatici – l’evenienza per cui, ad esempio, sms e messaggi whatsapp facciano ingresso nel processo senza che ne sia subito messa in dubbio la genuinità o rispondenza all’originale può avere il suo peso nella formazione del convincimento del giudice,
(10) Cass. 7 marzo 2003, n. 3390, in Giur. it., 2003, 1857, Cass. 13 dicembre 1999, n. 13937, in Giust. civ., 2000, I, 1029, e ancora Cass. 27 aprile 1998, n. 4273, in Giust. civ., 1998, I, 2565. Si veda anche Trib. Firenze 24 settembre 2012, in banca dati “Sprint – Sistema Proprietà Intellettuale”, reperibile presso il sito «sistemaproprietaintellettuale.it». (11) Invero, l’art. 20 del CAD ricomprende anche quei documenti cui è apposta una firma elettronica ma dei quali non può essere garantita la paternità, sicché essi vengono considerati quali prove liberamente valutabili dal giudice, tenuto conto delle loro caratteristiche oggettive di qualità e sicurezza, rimettendo dunque al giudice stesso la valutazione circa la loro attendibilità: «[i]l documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle linee guida».
alla stregua della loro qualificazione come riproduzioni meccaniche e/o informatiche (12). Posto che il consenso dell’avente diritto era dunque innegabile e valeva sia nei rapporti con il dipendente, sia in quelli fra questo e il titolare della piattaforma, non si poteva allora ritenere che fossero stati caricati materiali illeciti, dacché il loro upload – a veder bene – non era vietato dal diritto d’autore (di per sé considerato), bensì dall’ordine giudiziale che aveva imposto al gestore della piattaforma l’adozione delle misure idonee ad impedire analoghi caricamenti da parte di altri utenti, come meglio si dirà nel passare ai conseguenti profili attinenti al modo in cui opera la responsabilità civile nel caso in esame. In chiusura, residua solo un dubbio circa la possibilità di qualificare come ulteriormente illecita l’attività di Dailymotion, se non per la sincronizzazione, almeno per l’abbinamento dei materiali ai messaggi pubblicitari da essa propalati, per la qual cosa nessuna autorizzazione evidentemente vi era da parte del dipendente, così come – a monte – nel rapporto tra il dipendente e Delta (13). Ma poiché non si hanno ulteriori elementi sulla fattispecie – d’altronde oggetto del giudizio principale, rispetto al quale quello odierno costituisce solo una (seppur assai interessante) appendice – occorre ora soffermarsi sulle altre ragioni che hanno portato a respingere la domanda dell’attrice.
3. Profili di responsabilità civile
Come sopra si è visto, l’autorizzazione data al dipendente ai fini del caricamento dei messaggi rendeva la condotta legittima sotto il profilo della domanda extra-contrattuale, una volta appurato che era stata revocata l’ordinanza che aveva disposto l’applicazione delle penali, come meglio si vedrà nel successivo Paragrafo. È invero chiaro che ciò bastava ad escludere l’ingiustizia del danno o, per usare le parole del Tribunale di Torino, l’eventus damni: poiché – a quanto consta – la domanda
(12) Premesso che l’art. 23-quater del CAD ha inserito all’art. 2712 anche la dicitura “riproduzioni informatiche”, per una recente decisione in tema di sms, Cass. 6 marzo 2017, n. 5510, reperibile su «www.altalex. com». Nel senso che la semplice e-mail non dotata di firma elettronica debba considerarsi quale riproduzione meccanica ex art. 2712 c.c., sicché il suo scarno contenuto e l’assenza di ulteriore produzione documentale che potesse in qualche modo avallarne il contenuto non consentivano nel caso di specie di ritenere raggiunta la prova del fatto costitutivo del diritto azionato, App. Milano 24 agosto 2012, in banca dati “Sprint – Sistema Proprietà Intellettuale”, reperibile presso il sito «sistemaproprietaintellettuale.it». (13) Senza qui esaminare il complesso problema della riconduzione dell’abbinamento non autorizzato ad una violazione delle singole prerogative di cui agli artt. 12 ss. della l. 633/1941 – invece più agevolmente predicabile per la sincronizzazione –, è noto che un tale utilizzo viene costantemente ritenuto dagli operatori come rientrante nella sfera di applicazione della legge, secondo quanto emerge dalla prassi contrattuale.
DIRITTO DI INTERNET N. 3/2019
521
GIURISPRUDENZA CIVILE era stata sostanzialmente impostata come pretesa aquiliana (chiedendosi la condanna del dipendente, come già detto, “ex art. 2043 c.c., 158 legge autore 1941 633 e/o ex art. 1223 c.c. per violazione degli obblighi contrattuali assunti con l’accettazione dei termini e condizioni del servizio”) l’esito era sostanzialmente scontato, bastando un attimo a richiamare la causa di giustificazione riconducibile al consenso dell’avente diritto: senza che vi fosse molto spazio per argomentare circa la sua assenza all’interno degli artt. 2044 e 2045 c.c., sia in ragione del rilievo che il consenso ha nel più generale ordinamento civile (si pensi, a titolo di esempio, all’art. 5 c.c., nonché agli artt. 96 e 97 l. 633/1941), sia sulla scorta della più generale elaborazione compiuta dalla dottrina in argomento (14). Il problema – per così dire – era semmai “opposto”, come fa ben comprendere la decisione in commento, seppur senza accogliere la domanda di sospensione del giudizio fino all’esito di quello già indicato come principale: posto che il caricamento non integrava gli estremi di un atto illecito ai sensi degli artt. 2043 c.c. e 158 l. 633/1941, non era tanto il dipendente a dover farsi carico “per la proprietà transitiva” della penale liquidata delle ordinanze cautelari per ogni successiva inosservanza dell’ordine giudiziale, quanto una tale inosservanza a dover essere ritenuta giustamente irrilevante ai fini dello stesso “ribaltamento” della penale. Del resto, la stessa domanda di Dailymotion era come detto chiaramente “ritorsiva”, senza però esserlo (forse per un comprensibile imbarazzo) fino in fondo, sì da non sottoporre al collegio giudicante il reale problema sotteso alla fattispecie: vale a dire quello relativo alla possibilità o no di una “traslazione” economica del danno (in tesi ingiustamente) riconosciuto a Delta di cui si dirà sempre nel successivo Paragrafo. In effetti, invece che affrontare “di petto” il tema della penale, le singole voci richieste attenevano solo i) alle spese di lite sostenute nel giudizio di opposizione a precetto, ii) al lucro cessante afferente alla indisponibilità della somma pignorata e iii) al fatto che il patron di Delta aveva rilasciato una intervista in merito alla vicenda in questione (soffermandosi anche sulle penali disposte dal giudice della cautela) a dire di Daylimotion illecitamente screditante.
Prima di svolgere qualche riflessione circa i due diversi scenari che così si delineano (quello in cui la penale viene invece applicata e quello squisitamente contrattuale) è chiaro che la stessa articolazione delle suddette voci di danno induce a dichiarare la domanda, per ciò solo, temeraria ex art. 96 c.p.c. È invero evidente che la refusione delle spese di lite ex art. 91 c.p.c. può essere richiesta solo alla parte soccombente in un giudizio senza essere “riversata” in un altro procedimento a carico di un soggetto diverso, ferma la possibilità di un’autonoma condanna della parte soccombente in tale altro procedimento per ragioni di fatto analoghe, ma autonomamente vagliate, rispetto a quelle delibate nel primo giudizio (15); che ogni valutazione circa il lucro cessante per la indisponibilità della somma illegittimamente prima pignorata e poi riscossa viene assorbita dall’obbligo restitutorio gravante su Delta, fermo restando che – anche qui – il noto sistema “chiuso” delle fattispecie di “responsabilità civile processuale” di cui all’art. 96 c.p.c. comporta che solo la medesima potrebbe rispondere (ai sensi del comma 2) per l’azione esecutiva intrapresa, ove ne ricorressero i presupposti (16); che il dipendente non può essere ritenuto responsabile per una intervista successiva alla condotta dallo stesso tenuta per di più ricollegabile anche alla illecita pubblicazione di altri materiali protetti (e non solo a quelli caricati “per prova”), ricorrendo dunque una chiara assenza di nesso causale (ancorché la corte piemontese richiami formule non troppo recenti), cui aggiungere che Dailymotion proponeva in definitiva una sorta di discutibile “applicazione invertita” dell’art. 2049 c.c. senza nulla dedurre sul punto (da quanto si evince) (17). Poiché tali aspetti sono ben argomentati dalla sentenza non ci soffermiamo ulteriormente sugli stessi, anche nel rispetto dell’economia del presente commento. Viceversa, una notazione in più la merita l’applicazione dell’art. 96 c.p.c., che la decisione interpreta di fatto come vero e proprio “danno punitivo”, in assenza della prova, per quanto si riesce a desumere, di un concreto pregiudizio patito dal dipendente a prescindere dalla generale allegazione del (comprensibile) stato d’ansia pro-
(15) In argomento, fra i tanti, Mazzola, Condanna alle spese di lite ed esercizio del diritto di difesa, in Nuova giur. civ. comm., 2015, II, 473 ss. (14) Ritengono che le cause di giustificazione previste in materia penale operino anche rispetto all’illecito civile in quanto escludono l’antigiuridicità del fatto, ad esempio, Cian - Trabucchi, Commentario breve al codice civile, Padova, 1997, 1933. Secondo una diversa tesi, invece, in sede civile si deve dare rilievo solo ad alcune cause di giustificazione di matrice non civilistica, con il che – comunque – il sistema non viene circoscritto alle fattispecie di cui agli artt. 2044 e 2045 c.c., come emerge sempre a titolo di esempio dalla lettura di Traverso, Le cause di giustificazione nella disciplina dei fatti illeciti, Padova, 2001, passim.
522
DIRITTO DI INTERNET N. 3/2019
(16) Su tali spetti si veda la dottrina fra un attimo citata sull’art. 96 c.p.c. (17) È infatti evidente che il collegio torinese richiama alcune tradizionali enunciazioni circa la nozione sostanziale dell’elemento oggettivo tralasciando di menzionare la dimensione processuale che – anche attraverso la formula “più probabile che no” – la Suprema Corte ormai usa per definirne la portata (per vari riferimenti sia permesso richiamare Tassone, Responsabilità contrattuale, prova del nesso, concause e “più probabile che no”, in Foro it., 2018, I, 562-566), la cui considerazione, tuttavia, non avrebbe verosimilmente indotto a diverse conclusioni.
GIURISPRUDENZA CIVILE vocato dal vedersi evocato in giudizio con la stratosferica richiesta di versare la somma di Euro 3.000.000. In proposito, abbiamo di recente evidenziato che le funzioni della responsabilità civile – deterrente, compensativa e punitiva – non sono reciprocamente e completamente escludenti, nel senso che ponendo la vittima nella situazione in cui si trovava prima dell’illecito (secondo quanto mostrano, plasticamente, le teoriche microeconomiche legate alle curve di indifferenza), si disincentiva al contempo il convenuto dal tenere le condotte ritenute illecite e non si lascia il suo comportamento, in senso ampio, senza “sanzione giuridica” (18). Poiché – come si suole dire – “il diavolo è nei dettagli”, vi sono ovviamente casi in cui la soluzione della singola fattispecie concreta non vale a soddisfare due o più funzioni, sicché si deve prendere atto che esse sono rappresentabili a volte come insiemi solo parzialmente coincidenti e, altre, come insiemi nient’affatto coincidenti (19). Inoltre, è parimenti certo che alle riflessioni che coinvolgono i danni punitivi hanno dato un contributo essenziale proprio le elaborazioni compiute sulla novella degli artt. 125 del Codice della Proprietà Industriale e 158 della legge sul diritto d’autore, cioè un settore in cui – per le ragioni altrove esposte – è particolarmente elevato il rischio di un uso sotto-compensativo della misura risarcitoria (20). Or bene, senza poter qui nemmeno tentare una rassegna delle fattispecie (normative e giurisprudenziali) che consentono la liquidazione di danni punitivi, sembra davvero da ricondurre ad esse quella di cui al comma 3 dell’art. 96 c.p.c., anche se l’opinione non è unanime (21).
Invero, la circostanza per cui la norma è applicabile d’ufficio e si differenzia dalle ipotesi di responsabilità aggravata contemplate dai primi due commi induce – in una con l’art. 2, comma 2-quinquies della l. 89/2001 in tema di riparazione da irragionevole durata del processo – a configurare in chiave sanzionatoria la disposizione (22). È del resto pacifico che la sua applicazione non richieda l’esistenza di un danno e la Cassazione, assai di recente, ha affermato che essa “introduce nell’ordinamento una sanzione la cui natura non è intrinsecamente difforme dal danno punitivo”, con statuizioni in linea con quelle di una precedente decisione della Corte Costituzionale (23). Pertanto, dopo aver notato che altra simile norma tesa a colpire comportamenti abusivi degli strumenti processuali è rinvenibile nell’art. 26 del c.p.a. il quale – oltre a richiamare l’art. 96 c.p.c. – detta autonome e ulteriori disposizioni, all’applicazione di quella contenuta nel Codice di Rito fatta dalla sentenza in commento deve riconoscersi una natura squisitamente (e giustamente) sanzionatoria (24).
(18) Per gli opportuni riferimenti sia concesso il rinvio a Tassone, Responsabilità del provider per linking abusivo e criteri di liquidazione del danno, in corso di pubblicazione in Dir. ind., 2019.
(22) Come è noto, la norma di cui nel testo esclude il diritto all’indennizzo per colui che ha agito o resistito in giudizio consapevole della infondatezza originaria o sopravvenuta delle proprie domande o difese.
(19) Sulla possibilità che la misura risarcitoria abbia diverse funzioni cui corrisponde una pluralità di criteri utilizzati dalla giurisprudenza nell’ambito del metodo equitativo, fra i tanti Salvi, La responsabilità civile, in Iudica - Zatti (a cura di), Trattato di diritto privato, Milano, 1998, 228 ss.
(23) Così Cass. 21 febbraio 2018, n. 4136 in Foro it., Rep. 2018, voce Spese giudiziali civili, n. 10, in motivazione. Da notare che la configurazione pubblicistica ha trovato minor presa dopo che Corte cost. 31 maggio 2012, n. 138, in Giust. civ., 2012, I, 1645, ha dichiarato inammissibile la questione di legittimità costituzionale dell’art. 96, comma 1, “nella parte in cui non prevede che la parte soccombente o entrambe le parti, che abbiano agito o resistito in giudizio con mala fede o colpa grave possano essere condannate, d’ufficio, al risarcimento dei danni nei confronti dello Stato ed, in particolare del Ministero della Giustizia, per manifesta temerarietà della lite”.
(20) All’interno di una letteratura assai ampia, Pardolesi, Riflessioni in tema di retroversione degli utili, in Riv. dir. privato, 2014, 217, cui adde Tassone, Responsabilità del provider per linking abusivo, cit. (21) È però noto che circa l’interpretazione della norma si fronteggiano almeno tre distinti orientamenti. Secondo un primo indirizzo la nuova disciplina sarebbe volta ad agevolare la condanna al risarcimento dei danni pur in assenza di una prova circa la loro ricorrenza, se del caso considerandoli in re ipsa. Un distinto filone interpretativo ritiene invece che tale ultimo comma sia volto a consentire il risarcimento anche in caso di lite temeraria instaurata per culpa levis. È chiaro che il minimo comune denominatore delle due impostazioni è rappresentato dal fatto che la fattispecie rimarrebbe comunque ancorata all’illecito aquiliano, seppur con i risvolti operazionali già rilevati rispetto alla categoria di un pregiudizio che non sia inteso come danno-conseguenza. Secondo una terza impostazione, invece, la norma avrebbe cristallizzato un vero e proprio
4. Alcune conclusioni: gli scenari alternativi
Nel precedente Paragrafo si è evidenziato che proprio le voci di danno richieste al dipendente hanno dato agio al danno punitivo a fronte dell’utilizzo abusivo dell’esercizio della giurisdizione statuale per la risoluzione dei conflitti. A tale stregua si tratterebbe di una ipotesi di condanna di stampo sanzionatorio – secondo alcuni di ordine pubblico, secondo altri squisitamente privatistica – che si discosta dall’illecito aquiliano per avvicinarsi appunto alle condanne punitive. Sempre in via indicativa e per tutti, di recente, Nappi, Artt. 77-98, in Codice di procedura civile – Commentario, Vol. I, diretto da Consolo, Milano, 2018, 1057 ss., nonché Comoglio, Art. 96 – Responsabilità aggravata, in Commentario del Codice di procedura civile, Vol. I, diretto da Comoglio Consolo - Sassani - Vaccarella, Torino, 2012, 1256 ss.
(24) In specie, il comma 1 dispone che il giudice può condannare la parte soccombente anche d’ufficio al pagamento di una somma equitativamente determinata e non superiore al doppio delle spese liquidate, in presenza di motivi manifestamente infondati. Inoltre, il successivo comma 2 stabilisce che il giudice condanna d’ufficio la parte soccombente al pagamento di una sanzione pecuniaria, in misura non inferiore al doppio e non superiore al quintuplo del contributo unificato dovuto per il ricorso introduttivo del giudizio, quando la parte soccombente ha agito o resistito temerariamente in giudizio, secondo una misura ancora più elevata per le controversie in materia di appalti.
DIRITTO DI INTERNET N. 3/2019
523
GIURISPRUDENZA CIVILE collegio torinese nel raggiungere le conclusioni appena riassunte in tema di rigetto della domanda e, inoltre, di qualificazione della stessa come temeraria. La particolarità della fattispecie – rispetto alla quale non constano precedenti in termini – induce però a chiedersi se la reiezione della pretesa sarebbe stata così sicura cambiando leggermente alcuni presupposti che caratterizzano il descritto scenario, proponendo due variazioni sul tema. In primo luogo, viene da chiedersi cosa sarebbe accaduto se Dailymotion fosse stata (o sarà) condannata a versare la penale nel giudizio principale e avesse schiettamente chiesto nella sede odierna – per così dire pari passu – la condanna del dipendente al ristoro del danno in misura corrispondente all’ammontare della penale stessa che lo stesso aveva consentito di applicare: portando in definitiva a far sì che Delta si facesse carico (attraverso la chiamata in causa operata dallo stesso dipendente) dell’onere della condanna a carico di Dailymotion disposta dal giudice della cautela, una volta negata la sospensione del giudizio fino all’esito di quello principale (con statuizione sulla quale non ci soffermiamo in questa sede). È infatti chiaro che se la condotta di caricamento non è a monte illegittima perché vi è il consenso dell’avente diritto, non può poi essere nemmeno tale – a valle – la pubblicazione online dei materiali ai fini della applicazione della penale, sebbene qui l’illiceità, come detto, attenga non al diritto d’autore in sé considerato, bensì alla violazione dell’ordine giudiziale di adottare le più opportune cautele per impedire successive operazioni di upload. Ma se la penale fosse stata (o sarà) applicata (all’esito del ciato giudizio di appello avviato nel procedimento principale), non sarebbe (o sarà) così agevole ritenere lecita nei confronti di Dailymotion la condotta del dipendente anche in quanto commissionata dalla stessa Delta. In effetti, è noto che il danno si ritiene tradizionalmente ingiusto solo se cagionato contra ius e non iure, come in parte anticipato nel precedente Paragrafo. In proposito, l’evoluzione compiuta su tale elemento della fattispecie può far con certezza affermare che – in astratto – il pregiudizio arrecato a Dailymotion abbia comportato la lesione di un “bene della vita” non estraneo alla sfera di applicazione della norma, la quale abbraccia pregiudizi che di per sé si collocano ai confini della pure economic loss e che non si possono ritenere tali (dunque irrisarcibili) alla luce delle particolari circostanze che caratterizzano il caso concreto e/o il comportamento delle parti, come ad esempio dimostra la importante decisione resa dalla Cassazione (anche sul punto)
524
DIRITTO DI INTERNET N. 3/2019
nel caso Cir-Fininvest, sulla quale ci si è soffermati in altra sede (25). Solo per comodità del lettore si può telegraficamente ricordare che proprio perché Fininvest aveva negoziato con Cir una transazione in una indebita posizione di maggior forza negoziale per via della corruzione di un giudice la quale aveva portato all’accoglimento dell’impugnazione avverso un lodo arbitrale che era invece favorevole alla stessa Cir, la Suprema Corte annovera fra le conseguenze dannose la stessa transazione “stipulata a diverse e pregiudizievoli condizioni” (26). Condivisibile o no che sia la ricostruzione, l’interesse protetto ingiustamente leso viene dunque individuato “nel diritto a stipulare una transazione «di buona fede» (priva, cioè, del condizionamento scaturente dalla sentenza corrotta)” altresì facendo leva – anche per rintuzzare la difesa secondo cui nel caso di specie si chiedeva il ristoro di un danno meramente patrimoniale (27) – sulla intenzionale violazione “dei c.d. Guten Sitten, oggetto di testuale e (25) Il riferimento è a Cass. 17 settembre 2013, n. 21255, fra le altre in Danno e resp., 2014, 174 ss., con nota di Tassone, Il caso Cir-Fininvest e il nesso causale in cassazione, cui sia consentito rinviare per ulteriori considerazioni inerenti all’ingiustizia del danno e la citazione della dottrina intervenuta sulle decisioni rese, anche dai giudici di merito, circa tale controversia. (26) Non può in effetti sfuggire – con tutti i necessari distinguo e soffermandoci su quello afferente alla dimensione patrimoniale della lesione – che in tale occasione la Suprema Corte ne riconosceva il rilievo perché “la clausola generale dell’art. 2043 c.c. viene, in definitiva, rettamente evocata ed applicata al caso di specie” e “la scansione dei suoi elementi costitutivi risulta diacronicamente realizzata in ogni sua componente attraverso il dipanarsi dell’atto doloso (il comportamento corrotto del giudice Metta) che cagiona ad altri (la Cir) un evento di danno (la sentenza corrotta) ingiusto (conseguente alla ingiusta alterazione delle posizioni contrattuali) da cui scaturisce una conseguenza dannosa risarcibile (la transazione stipulata a diverse e pregiudizievoli condizioni), in costanza del doppio e necessario nesso di causalità, materiale (che lega la condotta all’evento) e giuridico (che lega l’evento di danno alla conseguenza dannosa risarcibile), volto a ledere un interesse giuridicamente rilevante del danneggiato (il diritto a stipulare una transazione priva del condizionamento scaturente dalla sentenza corrotta, il cui aspetto speculare si identifica nell’indebolimento della posizione contrattuale in corso di trattative e di stipula della convenzione negoziale)”. (27) In proposito la Suprema Corte afferma che, di là della condivisibilità di quanto deciso nel caso De Chirico (con Cass. 4 maggio 1982, n. 2765, in Foro it., 1982, I, 2864), l’analisi che porta a ritenere “completata e perfezionata in tutti i suoi elementi la fattispecie dell’illecito aquiliano ex art. 2043 c.c.” preclude “ogni ulteriore esame della (peraltro assai delicata) questione della configurabilità di un danno meramente patrimoniale nel nostro ordinamento”. Quali prime indicazioni di letteratura in tema di ingiustizia del danno, Alpa, La responsabilità civile - Parte generale, Torino, 2010, 109 ss.; Barcellona, La nuova responsabilità civile, Torino, 2011, 16 ss. e passim; Bianca, Diritto civile, V, La responsabilità, Milano, 2012, 166 ss; Busnelli - Patti, Danno e responsabilità civile, Torino, 2013, 33 ss.; Castronovo, Il danno biologico senza miti, in Riv. crit. dir. priv., 1988, 22 ss.; Ferri, Oggetto del diritto della personalità e danno non patrimoniale, in Busnelli – Scalfi (a cura di), Le pene private, Milano, 1985; Gorla, Sulla cosiddetta causalità giuridica: «fatto dannoso e conseguenze», in Riv. dir. comm., 1951, I, 405 ss.; Scognamiglio, Responsabilità civile, voce del Nov. Dig. It., XV, 1968; Salvi, Il danno extracontrattuale, 1985, Napoli, 67 ss.
GIURISPRUDENZA CIVILE significativa previsione in seno al § 826 del BGB, come pure disciplinati e sanzionati, nel diritto anglosassone”. E una volta riconosciuto che – anche a non voler scomodare la visione unificante dell’illecito proposta dalla Tort Law & Economics – il danno ingiusto è quello che si pone in esito alla lesione di una situazione soggettiva (meritevole di tutela) nell’ambito della rivisitazione della tecnica della fattispecie (dunque superando la sua stessa configurazione come mera sommatoria di requisiti) e tenendo in debito conto il complessivo bilanciamento di interessi che essa deve operare, vengono in rilievo due finali considerazioni, che aprono la via ad un secondo e diverso scenario (28). Primo. Se Delta fosse (stata o sarà) condannata a versare la penale, Dailymotion si avvantaggerebbe di una “violazione” ad essa stessa riconducibile, dunque di un danno (per la richiamata riduzione dello share e dello svilimento del prodotto) dalla medesima considerato “accettabile” rispetto alla possibilità di far emergere l’assenza o la inidoneità del sistema di fingerprinting che Dailymotion doveva adottare. Del resto, poiché è la stessa Delta ad aver selezionato la qualità e la quantità dei materiali oggetto del “test”, non si potrebbe far ricadere su Dailymotion il “costo” dell’operazione in termini di danno e si deve concludere che l’unico interesse realmente tutelabile afferisce all’emersione della negligenza di Daylimotion, sul quale ci si soffermerà fra un attimo. Tuttavia, non pare così certo che se Delta fosse stata (o sarà) condannata al versamento della penale, ciò che si considera illecito nel giudizio principale – sebbene attraverso l’intermediazione di un provvedimento giudiziale – possa considerarsi lecito in quello odierno. Del resto, lo stesso accostamento del dipendente ad un “agente provocatore” operato dalla decisione in commento sembra indurre alla considerazione per cui la relativa condotta deve rimanere estranea all’applicazione delle citate misure: se il consenso dell’avente diritto vale nei rapporti fra il Sig. Appio e Daylimotion, nonché in quelli fra il primo e Delta, analogo rilievo lo stesso deve in qualche modo avere pure in quelli fra Daylimotion e Delta, nonostante l’ordine del giudice più volte citato. Non a caso la decisione in commento raggiunge con sicurezza le proprie conclusioni perché Delta ha “utilizzato l’ordinanza cautelare per autoliquidarsi la penale e intimare precetto di pagamento”, ma “il Tribunale con la cit. sentenza n. 342 ha respinto la pretesa, dichiarando «l’inefficacia e l’invalidità del precetto notificato da Delta TV Programs s.r.l. a Dailymotion S.A. in data 8.2.2016 e di ogni atto esecutivo successivo al medesi-
(28) Per tutti, Barcellona, La nuova responsabilità, cit., 13 ss., ove ampi riferimenti.
mo, nonché inesistente il diritto di Delta TV Programs s.r.l. di procedere ad esecuzione forzata»”. Quid iuris, dunque, in caso di riforma della decisione? Secondo. La condotta del dipendente è certamente lecita rispetto al proprio datore di lavoro Delta e, come detto, pure rispetto alla stessa operazione di caricamento per come specificamente disciplinata nei termini e condizioni del servizio alla luce dell’applicazione del diritto d’autore, perché avvenuta con il consenso dell’avente diritto. Sotto tale profilo, dunque, l’assenza di una violazione in concreto dei termini e delle condizioni del servizio – a prescindere dall’interesse che desta in astratto l’idea di poter ricomprendere (o no) una violazione contrattuale all’interno di una più ampia valutazione circa l’ingiustizia del danno ex art. 2043 c.c. – non può che comportare il rigetto della domanda di natura aquiliana. Tuttavia, proprio un nuovo richiamo alle citate categorie dell’abuso del diritto e del processo, nonché del dovere di comportarsi secondo correttezza e buona fede, nonché del divieto del venire contra factum proprium, induce per un verso a dubitare della “giustiziabilità” a monte della pretesa di far conteggiare come penali le violazioni delle ordinanze cautelari compiute dal dipendente “su ordinazione”; nonché – per l’altro verso e soprattutto – a domandarsi cosa sarebbe accaduto ove la domanda di Delta fosse stata impostata in modo diverso, facendo precipuamente leva sul rapporto contrattuale e considerando la sua etero-integrazione sulla scorta della clausola generale che impone alle parti di salvaguardare l’interesse altrui ove ciò non comporti un sacrificio eccessivo al proprio legittimo interesse. In sostanza, poteva forse essere considerato che il dipendente di Delta è pur sempre una controparte contrattuale di Dailymotion, il che doveva magari indurre a chiedersi se il suo comportamento nei confronti della stessa Dailymotion – seppur conforme alle singole clausole che regolavano il rapporto – fosse rispettoso anche della clausola generale sopra richiamata: salvo a non riconoscere che il suo interesse fosse in realtà quello di Delta, così inquadrando la fattispecie ai limiti della interposizione fittizia di persona, con conseguente cortocircuito delle valutazioni compiute dal collegio rispetto alla diversità dei rapporti azionati nei due giudizi. Ebbene, proprio uscire da tale loop si potrebbe forse ritenere che la violazione del suddetto ordine giudiziale non debba portare all’applicazione della penale – secondo quanto in effetti stabilito nel giudizio principale – ma possa trovare una conseguenza giuridica su altri piani: come ad esempio quello della agevolazione probatoria di Delta nei giudizi afferenti alla pubblicazione di materiali protetti ad opera di altri soggetti ai fini della affermazione della responsabilità del titolare della piattaforma stessa, magari sterilizzando presuntivamen-
DIRITTO DI INTERNET N. 3/2019
525
GIURISPRUDENZA CIVILE te ogni difesa tesa a dimostrare la presenza o l’efficacia del sistema di fingerprinting, con il corredo di congrue condanne alla rifusione delle spese di lite e – come qui avvenuto – ai sensi dell’art. 96 c.p.c. (anche in quegli eventuali giudizi). Ad ogni modo, nel rimanere in attesa degli sviluppi della odierna “saga” che eventuali gravami porteranno all’attenzione degli interpreti, si deve riconoscere che – rebus sic stantibus e con le precisazioni sopra offerte – la sentenza in commento si caratterizza per una applicazione delle complesse regole vigenti in materia di diritto d’autore e responsabilità civile pienamente coerente e condivisibile.
526
DIRITTO DI INTERNET N. 3/2019
GIURISPRUDENZA CIVILE
Le dimensioni dell’illecito ed il comportamento del titolare del trattamento nella determinazione della sanzione amministrativa per illecito trattamento di dati personali Tribunale D i M ilano; sezione II civile, sentenza 26 marzo 2019, n. 3371; Giud. Dorigo; Telecom Italia Spa o Tim S.P.A. (Avv. Ricchiuto, Guerra) c. Garante per la Protezione dei Dati Personali (Avvocatura di Stato) In tema di illeciti amministrativi stabiliti dal Codice della Privacy di cui al D.Lgs. n. 196 del 2003, la fattispecie di cui all’art. 164 bis, comma 2, non costituisce una ipotesi aggravata rispetto a quelle semplici richiamate dalla disposizione ma una figura autonoma di illecito (1). Qualora il titolare del trattamento fornisca una informativa con la quale informi l’interessato della possibilità che i dati siano illecitamente comunicati a terzi, richiedendo relativo consenso, tale consenso non è da considerarsi validamente prestato, in quanto la norma di cui all’art. 13 del D.Lgs. n. 196 del 2003 è finalizzata ad informare l’interessato delle modalità e delle finalità del trattamento decise dal titolare, non di quelle illecite originariamente non definite. Siffatto consenso non solleverebbe certamente il titolare da eventuali responsabilità relative a trattamento illecito (2)
…Omissis… Motivi della decisione. I Con ricorso regolarmente notificato alla controparte, depositato il 26/6/2018, Telecom Italia SpA (di seguito, per semplicità, solo Telecom) proponeva opposizione innanzi al Tribunale di Milano avverso l’ordinanza ingiunzione n.297/2018, notificata il 28/5/2018, emessa dal Garante per la protezione dei dati personali, con la quale era irrogata la sanzione pecuniaria di € 800.000,00 per violazione dell’art. 164 bis D. L.gs. n. 196/2003; deduceva l’illegittimità del provvedimento di cui chiedeva l’annullamento o, in via subordinata, la riforma e la rideterminazione della sanzione nel minimo edittale. Chiedeva altresì la condanna di controparte alla restituzione della somma versata ante causam in estinzione dell’obbligazione pecuniaria derivante dalla sanzione illegittimamente applicata. Si costituiva l’Autorità Garante, che deduceva ed eccepiva l’assenza di vizi di legittimità dell’atto impugnato e la sua fondatezza nel merito; chiedeva, dunque, il rigetto delle avverse domande. Le parti rassegnavano le conclusioni riportate in epigrafe. All’esito della discussione orale il giudicante decideva la causa come da dispositivo, di cui dava lettura alle parti, allegato in calce alla presente sentenza, e riservava il deposito delle motivazioni nei termini di legge.
…Omissis… B) I fatti oggetto della presente controversia sono i seguenti. Il 6/6/2016 il Garante riceveva un reclamo con il quale un utente (certo Sig. S.) si lamentava dell’illecito trattamento dei dati personali in relazione all’ingiustificata attivazione, a proprio nome e a propria insaputa, di 856 utenze telefoniche di residenza da parte dell’odierna resistente. Il reclamante rappresentava di essere venuto a conoscenza delle illegittime plurime intestazioni dal dicembre 2011, quando diveniva bersaglio di iniziative, provenienti da soggetti terzi a ciò delegati da Telecom, volte al recupero di crediti formatisi sulle cennate utenze; aveva quindi presentato all’operatore di telefonia istanze di accesso ai propri dati personali ai sensi dell’art. 7 del Codice, al fine di accertare, tra l’altro, l’esatto numero di linee a sé associate; aveva quindi sollevato le contestazioni del caso (doc.2, res.). Alle richieste di informazione la società rispondeva che il codice fiscale dell’interessato “era stato associato a 42 utenze telefoniche ‘cessate’, intestate e in uso a soggetti terzi”. Telecom stessa comunicava al Garante ai sensi dell’art. 23-bis del Codice dell’avvenuta violazione di dati personali, ipotizzando inizialmente che le “possibili diffor-
DIRITTO DI INTERNET N. 3/2019
527
GIURISPRUDENZA CIVILE mità sostanziali” afferissero 5.446 clienti attivi e 38.949 clienti cessati. Il reclamante lamentava presso il Garante l’indebito trattamento illecito dei propri dati personali determinato dalla attribuzione a sé di utenze telefoniche facenti capo, in realtà, a terzi, mediante l’indebito inserimento del proprio codice fiscale in moltissime fatture trasmesse tra il 2003 e il 2015 ai reali intestatari delle menzionate linee telefoniche; inoltre, Telecom aveva illecitamente comunicato i dati personali dell’utente a una pluralità di operatori commerciali specializzati nell’attività di recupero dei crediti, ritenendolo erroneamente moroso nel pagamento dei canoni di servizi di telefonia, in realtà mai fruiti, e ciò anche successivamente alle contestazioni sollevate dall’interessato. In esito al reclamo, il Garante procedeva ai sensi degli artt. 157 e 158 del Codice a effettuare le dovute verifiche presso le sedi sociali di Telecom, eseguite nell’arco di tempo corrente dal 13/12/2016 al giorno 1/2/2017 nel corso di ben cinque accessi ispettivi (cfr. verbali ispettivi, docc. 5-9, res.). Nel corso delle attività di controllo ed accertamento, effettuate a campione mediante accessi ad alcuni dei sistemi informatici preposti alla gestione, secondo le varie finalità, dei dati dei clienti -c.d. Crm, (Customer relationship management), quali il sistema di fatturazione, denominato “Publishing fatture” e la banca dati utilizzata per le interrogazioni da parte dell’Autorità giudiziaria, denominata “Rac” (richiesta anagrafica cliente), che riceve le informazioni relative alla consistenza delle linee e all’anagrafica clienti da tutti i sistemi della società (in particolare dai Crm consumer enbusiness) – risultava che il reclamante era stato ingiustificatamente assegnatario, nel tempo, di ben 826 linee telefoniche residenziali, come anche ammesso dalla Società (cfr. doc.9, res., nonchè pag. 3). Tale assegnazione di utenze telefoniche non era fondata su alcun rapporto contrattuale tra il reclamante e Telecom, né su contratti illecitamente stipulati da terzi mediante utilizzo fraudolento dei dati del reclamante; la società ipotizzava che la ragione “potrebbe essere attribuita ad errori occorsi durante le attività di migrazione dal [precedente sistema gestionale] all’attuale Crm […], in particolare nei casi in cui nel sistema TGU non era riportato alcun codice fiscale” (cfr. doc.7, res., verbale 20 dicembre 2016, pagina 3), iniziate nel settembre 2002 e terminate nel marzo 2004 (cfr. doc. 8, res., verbale 25 gennaio 2017, pagina 4). Negli stessi termini, peraltro, la società si era espressa nella propria comunicazione al Garante del 22 gennaio 2015 relativa al data breach, dichiarando che quanto accaduto era riconducibile “ad una pregressa anomalia software verificatasi in occasione di una migrazione massiva di dati della clientela” dal
528
DIRITTO DI INTERNET N. 3/2019
vecchio al nuovo sistema gestionale “effettuata tra gennaio 2003 e febbraio 2004”. L’evento della arbitraria assegnazione di linee telefoniche si era poi propagato per numero e soggetti coinvolti, secondo regole o criteri che la società ricorrente non allegava in dettaglio. Emergeva dai controlli svolti che, nel tempo corrente dal 2003 e sino al 2015, parte delle linee telefoniche erroneamente attribuite al reclamante nel Crm erano state progressivamente assegnate ai reali contraenti, per lo più a seguito di “volture” operate dalla società in occasione di segnalazioni e reclami degli stessi (cfr. docc. 6 e 8, res., verbale 13 dicembre 2016, pagina 3 e allegati n. 4 e 6; verbale 1° febbraio 2017, pagina 3) ovvero per le ragioni più varie, ad esempio, per migrazione della numerazione o a seguito di risoluzione del contratto con riguardo ai contraenti effettivi. Nonostante le correzioni apportate, risultava comunque che gli assegnatari effettivi erano tali solo dalla data della “voltura” e non dall’inizio dell’assegnazione dell’utenza, con la conseguenza che il reclamante continuava a risultare, quantomeno sino alla data della “voltura” (o della cessazione della linea), quale effettivo assegnatario della stessa e senza che altrove, ad esempio nel campo “note” del “Rac”, risultasse che il reclamante era stato indicato quale precedente assegnatario della linea solo per errore (doc. 9, res.). Nel corso delle verifiche emergeva che il caso del reclamante non era isolato, coinvolgendo numerosi altri ignari utenti ai quali risultavano intestate numerosissime utenze telefoniche. Il Garante chiedeva quindi a Telecom di individuare le linee per le quali l’anagrafica dell’intestatario della fattura risultava diversa dall’anagrafica del cliente a cui tali linee risultavano associate rispetto ai codici fiscali ai quali risultavano associati un numero di utenze di rete fissa maggiore o uguale a cinque. A seguito delle verifiche imposte alla società risultavano da subito 644 clienti complessivamente intestatari di oltre 7000 linee (doc.8, res., verbale 25 gennaio 2017, pagina 3). Su tale campione la società effettuava ulteriori verifiche, all’esito delle quali rinveniva 246 clienti che “presentano potenziali errori, stante la difformità tra le informazioni anagrafiche relative all’intestatario della linea e all’intestatario della fattura”. La ricorrente dichiarava di non essere in grado di effettuare analoghe verifiche “per clienti non più nella consistenza di Telecom Italia per i vincoli oggettivi alla possibilità di contatto di numerazioni non più attive, e vincoli regolatori, qualora il cliente sia passato ad altro operatore”. Il Garante osservava che le verifiche effettuate erano a campione (assegnatari di più di cinque linee) e non avevano comunque riguardato l’intero campione (con riferimento ai clienti cessati), ritenendo verosimile che
GIURISPRUDENZA CIVILE i casi di disallineamento potessero riguardare un numero maggiore di quelli accertati. Stigmatizzava, inoltre, la condotta negligente della società verificata che, durante un ampio arco temporale, anche in tempi successivi alla segnalazione dell’erroneità delle predette assegnazioni, ed in presenza di evidenti anomalie di sistema, non aveva svolto le necessarie verifiche che avrebbero potuto assicurare l’approntamento di rimedi nei confronti del reclamante anzitutto e, altresì, di quanti si trovano in una situazione analoga, ciò in violazione del principio di correttezza nel trattamento prescritto dall’art. 11, comma 1, lett. a), del Codice (cfr.: comunicazione del 31/5/2005, di cui al doc. 14B richiamato quale allegato al verbale del 25/1/2017; comunicazioni alla società di cui ai documenti 4 e 6, del 4/8/2011, richiamati verbale del 13/12/ 2016; comunicazione del 7/11/2011, di cui all’all.12°, richiamati nel verbale del 25/1/ 2017). Il Garante adottava quindi il provvedimento prescrittivo del 6/4/2017 n. 176 (doc. 1, ric.), con il quale ritenuta l’illegittimità delle operazioni di trattamento dati, prescriveva l’adozione delle misure necessarie alla individuazione di tutti i casi di intestazione illegittima di utenze telefoniche, a sanare la situazione e a rimuoverne gli effetti. Infine, il 16/5/2018 l’Autorità Garante emanava l’ordinanza ingiunzione n.297/2018, notificata il 28/5/2018, con la quale, accertate le violazioni amministrative concernenti i profili afferenti all’accertata mancanza di base giuridica del trattamento effettuato rispetto ai dati del reclamante e degli altri clienti interessati dai rilevati disallineamenti (artt. 23 e 24 nonché 162, comma 2-bis, del Codice) nonché l’illecita comunicazione dei dati di clienti a terzi, considerato altresì quanto disposto dall’art. 164-bis del Codice, irrogava la sanzione pecuniaria di € 800.000,00. …Omissis… B)La ricorrente eccepiva ancora che la violazione di cui all’art. 164 bis, comma 2, del Codice, che punisce le violazioni di alcune delle disposizioni di cui alla parte III, titolo III, capo I del Codice ove commesse in relazione a banche di dati di particolare rilevanza e dimensioni, non costituisca una fattispecie autonoma di illecito, bensì una ipotesi aggravata degli illeciti previsti nelle disposizioni sanzionatorie presupposte, onde non dovrebbe determinarsi il cumulo materiale tra le sanzioni previste dalle singole disposizioni predisposte e quella prevista per l’ipotesi aggravata; in alternativa, ammettendo che la sanzione di cui all’art. 164 bis, comma 2, costituisca una fattispecie autonoma, riteneva che la stessa presentasse carattere speciale rispetto alle singole violazioni alle quali fa riferimento, onde dovrebbe applicarsi solo quest’ultima. Non ritiene il Tribunale di aderire all’eccezione sollevata.
A favore della configurabilità della condotta di infrazione in esame quale fattispecie autonoma militano argomenti di carattere sostanziale e formale. L’art. 164 bis, introdotto con l’art. 44 decreto legge n. 207/2008, come convertito con legge n.14/2009, prevede al secondo comma che in caso di più violazioni di un’unica o di più disposizioni del Capo I, ad eccezione di quelle previste agli artt. 162, comma 2, 162 bis e 164, commesse anche in tempi diversi, in relazione a banche dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da € 50.000 a €300.000 senza la possibilità di avvalersi dell’estinzione del procedimento sanzionatorio con il pagamento in misura ridotta. Va da subito sottolineato che nessun elemento chiarificatore può agevolmente rinvenirsi nella relazione di presentazione della legge di conversione, poiché la disposizione in oggetto risulta inserita nel cd. Decreto mille proroghe, disciplinante le più diverse materie; del resto, nessuna indicazione proveniva in tal senso dalle odierne parti processuali. Lo stesso Garante aveva manifestato inizialmente (Relazione Garante 2008-2/7/2009) un approccio al tema non condivisibile e superato solo nelle determinazioni successivamente assunte. Ritiene il giudicante che, ad onta di una titolazione dell’articolo che recita “casi di minore gravità e di ipotesi aggravate” che ben si attaglia alle disposizioni di cui ai commi uno, tre e quattro, riportanti circostanze integranti fattispecie di “minore” o “maggiore” gravità, il comma due configura, per contro, una fattispecie autonoma di condotta sanzionabile, identificabile con la commissione di plurime violazioni del Capo I, come correttamente rilevato da parte resistente nei propri atti. Invero, la condotta ivi raffigurata risulta slegata dai parametri dell’intrinseca gravità di ciascuna delle condotte sottoposte a sanzione aggravata od attenuata, caratterizzanti l’applicazione delle attenuanti e delle aggravanti previste dagli altri commi dell’art.164, risultando ancorata a imprescindibili ed oggettivi elementi di fatto, non valutativi, coincidenti con la pluralità delle condotte integranti violazioni normative; ad esse si accompagna necessariamente un secondo requisito, sempre di natura oggettiva e sottratto ad un apprezzamento di natura equitativa, collegato alla dimensione ed alla intrinseca rilevanza della banca dati; alla fattispecie regolata appaiono applicabili le pene pecuniarie ivi previste, non costituite, secondo lo schema tipico delle attenuanti/ aggravanti, da un aumento o da una diminuzione da applicarsi sui minimi o i massimi edittali previsti per l’ipotesi base dell’illecito, bensì da una sanzione di natura del tutto autonoma. Si osserva che concorre a riscontro della configurabilità di una fattispecie autonoma la deroga normativa ivi pre-
DIRITTO DI INTERNET N. 3/2019
529
GIURISPRUDENZA CIVILE vista al principio generale della facoltà di estinguere le obbligazioni sanzionatorie in misura ridotta mediante il ricorso a un pagamento anticipato. In altri termini, la pur infelice formulazione legislativa in esame pare avere inteso creare un’autonoma ed aggiuntiva fattispecie punitiva in ragione, da un lato, della reiterazione delle condotte addebitabili al soggetto sanzionato; dall’altro dall’oggetto dell’abusivo trattamento che nel caso di cui all’art. 164 bis coincide con una banca dati di grandi dimensioni, o comunque socialmente rilevante. Riscontra quanto argomentato l’ulteriore considerazione che la sanzione ivi prevista non potrebbe essere considerata una sorta di “pena pecuniaria speciale” modellata sul presupposto delle cd. aggravanti di natura speciale previste in campo penale, risultando omessa nella previsione in esame qualsivoglia riferimento della sanzione così individuata in relazione a ciascuna delle condotte sanzionabili del codice richiamate, di tal che non può affermarsi che il minimo e il massimo edittale ivi previsti dovrebbero essere applicati per ciascuna delle differenti ipotesi illecite ascritte al soggetto sanzionato (soluzione che presenterebbe un evidente difetto di ragionevolezza), in ossequio al meccanismo regolante le cd. aggravanti ad effetto speciale. Quanto osservato costituisce, altresì, prova della non configurabilità nel caso di specie di un’ipotesi di cumulo giuridico. Soccorre la disciplina delineata dal legislatore nell’unica ipotesi di cumulo giuridico prevista nell’area delle sanzioni amministrative all’art.8 legge n.689/1981. In tale disposizione risulta di palmare evidenza il legame mantenuto nella configurazione dell’istituto della continuazione con le pene edittali previste per ciascuna fattispecie sanzionata oggetto di cumulo, richiamando l’art. 8 la più grave tra le sanzioni edittali previste; non è in discussione che tale richiamo difetti del tutto nella previsione in esame, con la conseguenza che, seguendo la tesi proposta da parte ricorrente, l’operatore giuridico dovrebbe applicare una sanzione derivante da un cumulo giuridico in assenza di un’ipotesi base su cui computare il numero e la quantità degli aumenti della pena pecuniaria da irrogare in rapporto al numero ed alla gravità delle contestazioni elevate. Parimenti non configurabile la prospettata alternatività, sussistendo rapporto di concorrenza, tra l’ipotesi di cui all’art. 164 bis e ciascuna delle norme autonomamente sanzionanti le condotte richiamate ai commi uno e quattro della disposizione, in particolare quelle oggetto di separata contestazione, disciplinate dagli artt.161, 162, comma due bis e 162, comma due ter del codice. Deve poi essere considerato che la disciplina prevista dal codice per le banche dati, oggetto anche di specifica regolamentazione ad opera del Garante, non consente
530
DIRITTO DI INTERNET N. 3/2019
l’identificazione e, neppure, la sovrapposizione di uno o più singoli dati personali con la fattispecie di “banca dati” di grandi dimensioni, o comunque socialmente rilevante. Non può dunque accedersi alla tesi di parte ricorrente volta a leggere negli istituti dato personale/ banca dati una mera differenziazione quantitativa. L’art. 164 bis c.2 sanziona una condotta afferente non l’illecito trattamento di uno o più dati personali, requisiti sufficienti per l’integrazione delle norme richiamate dall’art. 164 bis, bensì l’abusiva gestione di un’intera banca dati che, a propria volta, deve presentare i requisiti di speciale “rilevanza e dimensioni”. La considerazione svolta consente di approdare alla negazione della sussistenza del principio di specialità tra le norme violate, oggetto di estinzione anticipata, e la fattispecie di cui all’art. 164 bis, non potendosi, ontologicamente, prima ancora che giuridicamente, far coincidere il singolo dato personale di cui risulta titolare uno solo interessato con un’intera banca dati, ossia con l’organismo la cui esistenza non è data dalla mera somma algebrica di tutti dati riferibili ad altrettanti titolari, quanto al valore economico, dato dalle potenzialità di sfruttamento commerciale, ed al valore sociale dell’insieme aggregato di dati (anagrafici e telefonici nel caso di specie). Ne è prova che gli agglomerati più consistenti di dati, ossia gli elenchi riportanti i dati anagrafici ed i numeri di telefono formati ed esistenti prima del 2005, sono stati oggetto di apposita disciplina, più volte riformata con reiterati interventi legislativi correlati all’interesse pubblico della materia (si pensi ai sopraccitati art. 44 bis e 20 bis). La diversità delle ipotesi astratte considerate risulta dalla rilevata difformità dei beni giuridici tutelati che, al contrario di quanto opina la società telefonica, non differiscono affatto tra loro sul piano meramente quantitativo (ossia, omogeneo) ma, ben diversamente da quanto affermato nel ricorso, risultando seriamente apprezzabili sul piano qualitativo. Infatti, altro è la gestione ed il trattamento di dati personali, per quanto aggruppati e consistenti, altro è invece la gestione ed il trattamento di intere banche dati, ancor più quando esse assumano la consistenza, come può accadere per quelle in tema di agglomerati di dati anagrafici e telefonici, di «particolare rilevanza o dimensioni; “In tali casi, infatti, il comportamento sanzionato assume una rilevanza qualitativa, che prescinde dall’entità numerica dei dati raccolti e trattati in violazione dei criteri legali, cosicché, indipendentemente dalla rubrica della previsione sanzionatoria (che effettivamente parla di ipotesi aggravate), nella specie, la condotta punibile si pone all’interno di una fattispecie di illecito del tutto autonoma e, perciò, sanzionata in modo proprio, con la previsione di una diversa forbice comminatoria. La diversità delle ipotesi astratte consi-
GIURISPRUDENZA CIVILE derate risulta dalla rilevata difformità dei beni giuridici tutelati che, al contrario di quanto opina la società telefonica, non differiscono affatto tra loro sul piano meramente quantitativo (ossia, omogeneo) ma, ben diversamente da quanto affermato nel ricorso, risultando seriamente apprezzabili e discreti sul piano qualitativo”. Le considerazioni che precedono hanno dunque indotto da ultimo la Corte di Cassazione ha ritenere configurabile il cumulo materiale delle sanzioni previste dagli artt. 162, comma 2-bis, e 162, comma 2-ter, del Codice con quella prevista dall’art. 164- bis, comma 2, quale conseguenza dell’ipotizzabilità di un concorso non formale degli illeciti relativi, e la non riconducibilità della fattispecie all’ipotesi di cumulo giuridico di cui all’art. 8 della legge n. 689/1981 (interpretazione, come detto, in precedenza già esclusa dal Tribunale di Milano) di talché la norma in esame “non può dar luogo ad una ipotesi aggravata della singola disposizione «di cui al presente Capo», atteso che, in detta ipotesi, la violazione delle singole figure di illecito amministrativo è avvenuta assieme alla violazione di altre e distinte ipotesi semplici, sicché lo schema della «fattispecie aggravata», che il ricorrente ipotizza come caratterizzante l’esaminata fattispecie, si rivela del tutto incapace di dar conto dell’area e della struttura di questa figura astratta di illecito” (Cass. n.1713/2016). Ne segue l’inconferenza del richiamo alla giurisprudenza della Corte europea dei diritti dell’uomo di cui alla sentenza 4 marzo 2014 n. 18640, nel caso Grande Stevens, in quanto come chiarito dalla Corte costituzionale con la sentenza 24 febbraio 2017 n. 43 “La giurisprudenza sui cosiddetti “criteri Engel”, come è risaputo, si è sviluppata al fine di “scongiurare che i vasti processi di decriminalizzazione, avviati dagli Stati aderenti fin dagli anni 60 del secolo scorso, potessero avere l’effetto di sottrarre gli illeciti, così depenalizzati, alle garanzie sostanziali assicurate dagli artt. 6 e 7 della CEDU (Corte Europea dei diritti dell’uomo, 21 febbraio 1984, Öztürk contro Germania)” (sentenza n. 49 del 2015). L’attrazione di una sanzione amministrativa nell’ambito della materia penale in virtù dei menzionati criteri trascina, dunque, con sé tutte e soltanto le garanzie previste dalle pertinenti disposizioni della Convenzione, come elaborate dalla Corte di Strasburgo. Rimane, invece, nel margine di apprezzamento di cui gode ciascuno Stato aderente la definizione dell’ambito di applicazione delle ulteriori tutele predisposte dal diritto nazionale, in sé e per sé valevoli per i soli precetti e le sole sanzioni che l’ordinamento interno considera espressione della potestà punitiva dello Stato, secondo i propri criteri. Ciò, del resto, corrisponde alla natura della Convenzione Europea e del sistema di garanzie da essa approntato, volto a garantire una soglia minima di tutela comune,
in funzione sussidiaria rispetto alle garanzie assicurate dalle Costituzioni nazionali”. Si osserva, infine, che, solo ove non si ritenesse di accedere alle argomentazioni svolte, e volendo aderire per mera esercitazione accademica alla prospettata alternatività della fattispecie di cui all’art. 164 bis e le singole ipotesi sanzionate nelle norme ivi richiamate, dovrebbe comunque configurarsi nel caso di specie, in applicazione del principio di specialità, l’esclusiva applicabilità della norma in esame, con conseguente assenza di profili di illegittimità del provvedimento impugnato anche sotto tale ulteriore profilo (potendo, semmai, l’allegato pagamento delle singole sanzioni in misura ridotta fondare un’azione di ripetizione nei confronti dell’Amministrazione). Il precipitato delle argomentazioni dispiegate è la condivisione del giudizio di ammissibilità della configurazione della fattispecie contestata come autonomo illecito amministrativo e la conseguente correttezza dell’inquadramento giuridico operato dal Garante nella contestazione elevata. …Omissis… III Nel merito non si ravvisano ragioni per accedere alla non configurabilità dell’illecito contestato, contrariamente a quanto eccepito dalla Difesa della società sanzionata. È noto che il giudizio di opposizione a sanzione amministrativa è “un ordinario giudizio di cognizione, nel quale l’onere di provare i fatti costitutivi della pretesa sanzionatoria è posto a carico dell’Amministrazione, la quale è pertanto tenuta a fornire la prova della condotta illecita. Tale prova può essere offerta anche mediante presunzioni semplici, che, nel caso di illecito omissivo, pongono a carico dell’intimato l’onere di fornire la prova di aver tenuto la condotta attiva richiesta, ovvero della sussistenza di elementi tali da rendere inesigibile tale condotta” (S.U. n.20930/2009). Giova premettere che Telecom non contestava – nella loro materialità – i fatti accaduti; la società ammetteva infatti (sin dai contatti ispettivi con il Garante) che ignari utenti si fossero trovati intestatari di molteplici linee telefoniche riconducibili ed utilizzate da altri soggetti, senza essere di ciò informati e, a maggior ragione, senza che il titolare del trattamento avesse richiesto il loro consenso, condotta che viola il precetto di cui all’art.23 del Codice. Emerge, invero, dalla certosina ricostruzione della vicenda, supportata da ampia produzione documentale, offerta da parte resistente, che l’illecito trattamento dei dati aveva riguardato una molteplicità di utenti ed aveva interessato, a valle degli accertamenti svolti, oltre 7.000 utenze telefoniche; le condotte si erano poi protratte dall’anno 2003 sino al 2015.
DIRITTO DI INTERNET N. 3/2019
531
GIURISPRUDENZA CIVILE Tutto ciò era accaduto, in accordo alle spiegazioni ribadite dalla Difesa in sede di discussione orale della causa, quando Telecom aveva operato una migrazione dei dati degli utenti da un sistema software ad un altro. Nell’assunto difensivo della parte, la titolare del trattamento si era trovata in condizioni da non poter assolvere all’obbligo di acquisizione del consenso del cliente i cui dati, per un errore dovuto al malfunzionamento informatico del sistema, erano stati illecitamente trattati. Non può accedersi alla tesi offerta da Telecom volta a sostenere -se ben si comprendono le allegazioni difensive- che per aversi violazione dell’acquisizione del consenso nelle ipotesi colpose o di concorso di responsabilità dolosa di terzi, il titolare del trattamento sarebbe tenuto ad informare gli interessati che “i suoi dati potrebbero essere esposti, a causa di malfunzionamenti errori o guasti tecnici, all’accesso non autorizzato e accidentale da parte di terzi” e “acquisire necessariamente, e sempre, il consenso dell’interessato a che i suoi dati siano ‘illecitamente’ comunicati a un terzo”, condotta evidentemente priva di senso ed in quanto tale, inesigibile. In tesi di parte ricorrente, dunque, stante l’impossibilità pratica di acquisire il consenso, non sussisteva la fattispecie tipica sanzionata e, comunque, non erano configurabili elementi di colpevolezza a carico della società. Osserva il giudicante che l’argomentazione difensiva della società di telefonia appare destituita di fondamento. L’informativa, infatti, riguarda le finalità preordinate del trattamento, non l’eventualità che il trattamento possa essere effettuato in violazione delle disposizioni in materia, per errore o intervento doloso del titolare o di terzi. L’argomento è stato respinto da Tribunale di Milano, sezione 1° civile, dott.ssa Massari, 7 giugno 2018 n. 6460 in una controversia in cui tra le stesse parti in cui era stato dedotto, osservando: “Il ricorrente ha affermato che il provvedimento emesso dall’Autorità Garante presupporrebbe oneri eccessivamente gravosi e dunque inesigibili in capo ai titolari del trattamento dei dati personali, richiedendo loro dì “acquisire necessariamente, e sempre, il consenso dell’interessato a che i suoi dati siano ‘illecitamente ‘ trattati a causa di un errore”; richiesta che verrebbe a configurare una dinamica paradossale e irragionevole. Tale argomentazione. pur suggestiva. non è condivisibile. L’obbligo di previa informativa circa il trattamento dei dati personali non può che riguardare le finalità lecite e preordinate del trattamento. essendo volto ad offrire un quadro conoscitivo chiaro e completo circa il trattamento che si intende effettuare e dunque ad ottenere il libero consenso informato dell’interessato (art. 23, d.lgs. 196/2003). Sarebbe, per contro, illogico - oltre che antigiuridico - richiedere ai titolari del trattamento di fornire agli interessati una informativa vertente su un eventuale trattamento illecito dei rispettivi dati personali, seppure per errore o negligenza del titolare stesso;
532
DIRITTO DI INTERNET N. 3/2019
la acquisizione del consenso ad un trattamento illecito, invero, non solo non sarebbe in linea con i principi in materia di tutela dei dati personali, finalizzati a garantire un trattamento corretto e lecito, ma non esimerebbe affatto l’agente da responsabilità. Per tali ragioni, vanno condivise le conclusioni cui l’Autorità Garante è giunta nell’ambito del procedimento instaurato nei confronti di TIM s.p.a.: la dichiarazione di illiceità del trattamento effettuato dalla società …”. È fatto dunque obbligo al titolare del trattamento dell’adozione di strumenti tecnici adeguati al trattamento secundum ius dei dati, tanto che compete al titolare la dimostrazione di aver adottato ex art. 2050 c.c. tutte le cautele necessarie e possibili per evitare di incorrere in un illecito, anche al diverso fine risarcitorio. Per altro verso, quanto rilevato appare congruente con il principio che pone a carico dell’imprenditore in nome dell’assunzione del rischio di impresa le conseguenze derivanti dal malfunzionamento dei mezzi di produzione utilizzati. La responsabilità di parte ricorrente si estrinseca proprio nel malfunzionamento dei sistemi operativi utilizzati che ha permesso il trattamento illecito dei dati personali, in relazione al quale la ricorrente neppure invocava il “caso fortuito”, intendendosi per tale l’errore inevitabile con l’ordinaria diligenza; a contrario, si evidenzia che la irregolare associazione delle anagrafiche alle linee telefoniche era frutto del comportamento negligente del titolare del trattamento che aveva scelto di operare con mezzi rivelatisi fallaci e non aveva adottato un programma di tempestiva verifica a valle della avvenuta migrazione dei dati. Non può dunque ragionevolmente porsi in dubbio che la condotta materiale della trasgressione si fosse avverata. Parimenti integrato risulta essere l’elemento psicologico della condotta, che nella fattispecie in esame non potrà che declinarsi sotto il profilo colposo in relazione all’art. 164 bis cit. Si afferma che in tema di sanzioni amministrative pecuniarie irrogate dalle Autorità di vigilanza “il legislatore individua una serie di fattispecie, destinate a salvaguardare procedure e funzioni ed incentrate sulla mera condotta, secondo un criterio di agire o di omettere doveroso, ricollegando il giudizio di colpevolezza a parametri normativi estranei al dato puramente psicologico e limitando l’indagine sull’elemento oggettivo dell’illecito all’accertamento della “suità” della condotta inosservante sicché, integrata e provata dall’autorità amministrativa la fattispecie tipica dell’illecito, grava sul trasgressore, in virtù della presunzione di colpa posta dall’art. 3 della l. n. 689 del 1981, l’onere di provare di aver agito in assenza di colpevolezza. per cui, una volta integrata e provata dall’autorità amministrativa la fattispecie tipica dell’illecito, grava sul trasgressore, in virtù
GIURISPRUDENZA CIVILE della presunzione di colpa posta dall’art. 3 della l. n. 689 del 1981, l’onere di provare di aver agito in assenza di colpevolezza” (Cass. 9546/2018). Il principio cennato trova applicazione piena nel caso in cui il soggetto trasgressore sanzionato non sia una persona fisica, ma una società di capitali, fattispecie ricorrente nel campo delle sanzioni applicate dal Codice ai cd. Big Data. Pare al giudicante di palmare evidenza che gli elementi di colpevolezza a carico del trasgressore debbano ravvisarsi nella scelta di un sistema operativo non adeguato, dante luogo a manipolazioni erronee delle anagrafiche degli utenti e, non meno importante, nella mancata adozione di un piano di audit che, una volta mandato a regime il nuovo software, verificasse la presenza di eventuali anomalie di sistema. Può dunque affermarsi la sussistenza di piena prova circa la compiuta integrazione dell’illecito contestato. IV La ricorrente eccepiva in subordine l’erronea applicazione dei criteri di cui all’art. 11 della l. 24 novembre 1981 n.689 che, se correttamente utilizzati, avrebbero comportato l’irrogazione di una sanzione vicina al minimo edittale. Si osserva in premessa che Telecom non sollevava contestazioni in relazione alla sanzione pecuniaria di base adottata dal Garante per il calcolo della ammenda amministrativa infine irrogata (individuata nella somma mediana di €200.000 a fronte di un minimo ed un massimo edittali correnti da €50.000 ad € 300.000) e non ne chiedeva la riduzione, contestando, per contro, la somma infine ingiunta per effetto dell’aumento calcolato ai sensi dell’art. 164 bic, c.4, cit. Deduceva che l’infrazione avrebbe dovuto essere valutata sotto il profilo della tenuità della violazione, valorizzando la circostanza che il trattamento di dati personali senza informativa e consenso dell’interessato era conseguente ad un malfunzionamento del sistema, e (oltre a non configurare, in tesi, un trattamento illecito) aveva interessato poche centinaia di utenti a fronte della molteplicità delle utenze trattate; non era poi corretto il riferimento alle dimensioni economiche dell’azienda, non avendo il Garante valutato le criticità finanziarie che da tempo affliggevano la società. Non ritiene il Tribunale di condividere le censure di parte ricorrente. È noto che nel procedimento di opposizione avverso le sanzioni amministrative pecuniarie il giudice nel caso di contestazione della misura della stessa, è autonomamente chiamato a controllarne la rispondenza alle previsioni di legge, senza essere soggetto a parametri fissi di proporzionalità ed ha il potere discrezionale di quantificarne l’entità, entro i limiti edittali previsti, allo scopo di commisurarla all’effettiva gravità del fatto concreto, globalmente desunta dai suoi elementi oggettivi e soggettivi;
dalla motivazione deve emergere come, nella determinazione, si sia tenuto conto dei parametri previsti dall’art. 11 della l. n. 689 del 1981, quali la gravità della violazione, la personalità dell’agente e le sue condizioni economiche (ex multis, Cass. nn. 9126/2017; 6778/2015). Si afferma altresì che la motivazione dell’ordinanza-ingiunzione in ordine alla concreta determinazione della sanzione amministrativa pecuniaria non assume rilievo, risolvendosi semplicemente nell’esposizione dei criteri seguiti dall’autorità ingiungente per pervenire alla liquidazione della somma pretesa, ed il giudice dell’opposizione, investito della questione relativa alla congruità della sanzione, non è chiamato propriamente a controllare la motivazione dell’atto sul punto, ma a determinare la sanzione applicando direttamente i criteri previsti dall’art. 11 della legge 24 novembre 1981, n. 689 (Cass. n. 24127/2010); nondimeno, risultando condivisibili, pare utile riportare le ragioni espresse dal Garante nell’atto impugnato. Si legge nell’ordinanza ingiunzione che: “a. in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano oggettivamente di rilevante gravità sia in considerazione del fatto che i trattamenti illeciti hanno interessato un numero elevato di soggetti, sia perché le irregolari associazioni delle anagrafiche alle linee telefoniche sono state riversate su diversi sistemi, fra i quali quelli che gestiscono le richieste dell’autorità giudiziaria, sia perché la società si è disinteressata del problema nonostante le numerose segnalazioni e gli evidenti elementi che l’avrebbero dovuta indurre a svolgere una immediata e incisiva attività di rilevazione e bonifica delle anomalie. Al riguardo, si deve tenere presente che il comportamento negligente della Società in ordine alle segnalazioni pervenute ha determinato il protrarsi dei trattamenti illeciti per un arco temporale assai ampio. Infine, con riferimento alle banche di dati coinvolte, deve evidenziarsi la natura intrinsecamente più rilevante del CRM, del sistema di fatturazione e del RAC rispetto alle banche dati utilizzate nelle attività di telemarketing, le quali hanno formato oggetto, nel corso del tempo, di provvedimenti che costituiscono precedenti in termini di quantificazione delle sanzioni in tema di grandi banche dati (da ultimo, ordinanza-ingiunzione nei confronti di Tim S.p.A. del 18 gennaio 2018, in www.gpdp.it, doc. web n. 7665804); b. ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che la Società abbia adottato incisive iniziative al fine di rilevare tutte le anomale intestazioni delle linee telefoniche e di provvedere alla “bonifica” dei dati presenti nei propri sistemi; c. circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la Società risulta gravata da numerosi precedenti procedi-
DIRITTO DI INTERNET N. 3/2019
533
GIURISPRUDENZA CIVILE menti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione (tra i quali si evidenzia quello richiamato al punto a., di recente adozione); d. in merito alle condizioni economiche dell’agente, è stato preso in considerazione il bilancio d’esercizio per l’anno 2016”. Non può che condividersi l’articolata motivazione riportata nell’ordinanza ingiunzione impugnata. La dimensione della incresciosa vicenda era di palmare evidenza; erano migliaia le utenze di ignari cittadini coinvolte nel disservizio -dovendosi includere nella mala gestio non solo i dati degli utenti ignari assegnatari di una molteplicità di utenze, ma anche i dati dei cittadini la cui utenza telefonica residenziale risultava illegittimamente attribuita ad un diverso soggetto- ed altrettanti i dati illecitamente trattati. Ulteriore elemento di gravità deve essere rinvenuto nel ritardo con cui Telecom, ricevute le prime segnalazioni, interveniva per la risoluzione del sistema, nonché nell’inerzia dimostrata nell’attendere sino all’attività ispettiva del Garante per procedere ad una revisione non solo degli utenti che avevano segnalato di essere vittime dell’illecito trattamento, ma dell’intero meccanismo, peraltro effettuato solo con verifiche a campione. Da ciò era derivata anche la protrazione delle anomalie evidenziate per un arco temporale assai ampio (20032015). In altri termini, Telecom non aveva posto in essere alcuna tempestiva ed autonoma misura strutturale e organica idonea a definire il perimetro effettivo dei malfunzionamenti ed eliminarne le conseguenze pregiudizievoli, salvo alcuni limitati interventi attuati in risposta alle contestazioni sollevate da alcuni utenti; le anomalie accadute, rilevate per tempo mediante una ricognizione attenta da parte degli incaricati della società, avrebbe consentito di porre in essere sollecitamente forme efficaci di intervento. Debbono poi essere evidenziate le conseguenze negative dell’illecito trattamento che permanevano anche successivamente alle correzioni apportate; come illustrato in premessa, le variazioni correttive eseguite nei registri degli utenti operavano solo dalla data della correzione, permanendo nello “storico” dell’anagrafica la precedente erronea intestazione. All’omissione seguiva dunque un effetto di evidente rilevanza, essendo il Rac preordinato a consentire l’effettuazione di verifiche da parte A.G. Corretto appare anche il richiamo alle dimensioni aziendali dell’operatore. La giurisprudenza formatasi in relazione alla determinazione delle sanzioni irrogate da altra autorità indipendente, aveva modo di osservare che “… in relazione alla necessità di calcolare l’importo delle sanzioni sull’utile netto e non sul fatturato, va richiamato un indirizzo giurisprudenziale, che il Collegio condivide, secondo cui
534
DIRITTO DI INTERNET N. 3/2019
la “scelta di fare riferimento, per quantificare la sanzione, al fatturato anziché all’utile netto è legittima in quanto (…) il fatturato appare più idoneo a rivela e la capacità economica dell’impresa. Basti considerare che l’utile di bilancio potrebbe essere determinato in maniera non elevata per variati motivi (anche solo fiscali), che spesso il momento di irrogazione della sanzione non coincide con quello dell’approvazione del bilancio di esercizio, e, infine, che il bilancio potrebbe chiudere anche in perdita (il che renderebbe impossibile applicare la sanzione)” (Consiglio di Stato, VI, 15 luglio 2010, n. 4580). Del resto, anche questo Tribunale ha ritenuto condivisibile la commisurazione della sanzione al fatturato della società, atteso che tale commisurazione tiene conto adeguatamente delle capacità economiche dell’impresa, consentendo alla sanzione di assolvere alla funzione afflittiva e di prevenzione speciale che le è propria (cfr. T.A.R. Lombardia, Milano, III, 16 dicembre 2013, n. 2843; IV, 21 dicembre 2012, n. 3170)” (TAR Lombardia, Milano, III, 18 maggio 2015, n. 1188). Le dimensioni per numero di utenze gestite, personale e strutture pongono la società in posizione di preminenza rispetto ad altre compagnie di telefonia pur di rilievo nazionale; le annotazioni difensive sull’assenza di redditività della società perdono di significato se si appunta l’attenzione sul preminente parametro desumibile dal fatturato aziendale e dalle dimensioni per mezzi e personale della struttura operativa. All’esito della trattazione deve dunque affermarsi che la società sanzionata non aveva offerto prova né documentale, né logica, della tenuità, o comunque della minor gravità rispetto al contestato, dei fatti addebitati; né aveva offerto indici -in relazione all’estensione del numero di utenze coinvolte, ovvero della tempestività dei rimedi approntati- evocativi della necessità di un diverso apprezzamento della gravità del fatto. Da ultimo, si osserva che l’incongruenza della sanzione irrogata rispetto ad altri provvedimenti sanzionatori del Garante è elemento nuovo rispetto alle allegazioni introdotte in ricorso (ed in ogni caso non utilizzabile in presenza di non sovrapponibilità delle concrete fattispecie sanzionate). In sintesi, non può accedersi alla domanda di riduzione della sanzione dispiegata in via subordinata da parte ricorrente. Si osserva, infine, che la disciplina delle sanzioni amministrative è retta dal principio “tempus regit actum” (Cass. S.U. n.22407/2018); risulta pertanto irrilevante procedere all’esame della disciplina da ultimo introdotta con D.Lgs n.101/2018 di adeguamento dell’ordinamento in tema di trattamento dei dati in attuazione del Reg. UE GDPR n.679/2016. Concludendo, il ricorso proposto è infondato e deve essere rigettato.
GIURISPRUDENZA CIVILE Le spese seguono la soccombenza ex art. 91 c.p.c. e sono determinate nella misura direttamente liquidata in dispositivo, avuto riguardo ai parametri di cui al D.M. n. 55/2014 e succ. mod. P.Q.M. ogni contraria domanda, istanza ed eccezione disattesa, definitivamente pronunciando: 1) rigetta il ricorso depositato il 25.06.2018 da TELECOM ITALIA SPA O TIM S.P.A avverso l’ordinanza in-
giunzione n. 297 emessa dal Garante per la Protezione dei Dati Personali il 16.05.2018, notificata il 28.05.2018 e, per l’effetto, conferma il provvedimento impugnato; 2) condanna TELECOM ITALIA SPA O TIM S.P.A alla rifusione delle spese di giudizio in favore di controparte, liquidate in € 6.150,00 per spese e competenze professionali, oltre spese generali e accessori di legge. …Omissis…
IL COMMENTO
di Simone Bonavita Sommario: 1. Premesse. – 2. Il cumulo giuridico. – 3. La configurabilità dell’illecito e l’informativa illecita. – 4. La responsabilità del titolare e la determinazione della sanzione. La nota si concentra sulla sentenza n. 3371/2019 del Tribunale di Milano, datata 26 marzo 2019, emanata a conclusione del procedimento tra Telecom Italia S.p.A. e l’Autorità Garante italiana. La vicenda è scaturita dall’intestazione inconsapevole di utenze telefoniche Telecom a circa 826 utenti. Nonostante il quadro normativo cui la sentenza fa riferimento sia il precedente Codice Privacy, D. L.gs 196/2003, le motivazioni addotte dal Tribunale di Milano si presentano già perfettamente in linea con l’attuale Regolamento Generale sulla Protezione dei dati, 679/2016. La nota si pone come obiettivo l’excursus delle differenti motivazioni addotte dalle parti, relativamente, in particolare, al cumulo giuridico e al rapporto tra consenso ed informativa. Analizzando le determinazioni del Tribunale di Milano, si pone l’accento sulle analogie tra la decisione e il Regolamento Generale sulla Protezione dei dati. The proposed case note focuses on judgement n. 3371/2019, issued by the Courthouse of Milan on March 26, 2019, following the proceeding established between the company Telecom Italia S.p.A. and the Italian Data Protection Authority. The controversy arose from the unaware registration of approximately 826 users by Telecom S.p.A. Despite being issued under the previous regulatory framework, due to its start date, as it were Italian Privacy Code, Decree 196/2003, the reasoning of the Courthouse of Milan appears adherent to the General Data Protection Regulation 679/2016. The case note aims to analyse the arguments presented by both parties, concerning, in particular, the application of a reduced sentence and the relationship between consent and the information on the processing of personal data. Through the analysis of the judgment, the objective is to emphasise its analogies with the General Data Protection Regulation.
1. Premesse (1)
Il Regolamento Generale sulla Protezione dei dati 679/2016 ed il “nuovo” Codice della Privacy, come modificato dal d.lgs. 101/2018, hanno introdotto interessanti novità, rispetto alla previgente normativa in tema in di sanzioni comminabili nei casi di trattamento illecito di dati personali, elevandone significativamente i limiti massimi e prevedendo, al fine della determinazione della sanzione, la valutazione di una serie di indici, come si vedrà nel prosieguo. La sentenza oggi in esame è relativa all’intestazione inconsapevole di utenze telefoniche Telecom S.p.A. ad un numero considerevole di utenti – almeno 826 linee di telefonia residenziale – avvenuto presumibilmente a (1) Oltre alla sentenza in esame, sarà considerata, ai fini della nota, la recente Corte di Cassazione, sez. II Civile, sentenza n. 10740/19, relativa ad un analogo caso di intestazione erronea di simcard.. La sentenza è presente per esteso nell’Osservatorio Privacy e Garante per la protezione dei dati personali di Bruno Inzitari con Valentina Piccinini, di questa Rivista, all’indirizzo <https://dirittodiinternet.it/privacy/>.
causa di un malfunzionamento dei sistemi in sede di migrazione, in costanza, tuttavia, del previgente quadro normativo. Il Garante, infatti, con il Provvedimento “Trattamento di dati personali riguardanti l’intestazione di utenze telefoniche” del 6 aprile 2017, pubblicato sul Registro dei Provvedimenti n. 176 del 6 aprile 2017 [doc. web n. 6376175] (2) aveva condannato Telecom S.p.A., tra l’altro, ad eseguire una serie di operazioni, tra cui attività di bonifica nei riguardi dell’intera clientela, documentando le operazioni poste in essere. Seguiva, ai fini della determinazione della sanzione, l’”Ordinanza ingiunzione nei confronti di Telecom Italia S.p.A.” del 16 maggio 2018, pubblicata sul Registro dei provvedimenti n. 297 del 16 maggio 2018 [doc. web
(2) Il Provvedimento è disponibile in Internet all’indirizzo <https:// www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/ docweb/6376175>.
DIRITTO DI INTERNET N. 3/2019
535
GIURISPRUDENZA CIVILE n. 9370122] (3) mediante la quale il Garante ingiungeva a Telecom S.p.A., di pagare la somma di euro 800.000 (ottocentomila) a titolo di sanzione amministrativa pecuniaria, in ragione di una serie di violazioni delle norme previste dal previgente Codice della Privacy. Tuttavia, come emergerà in questa sede, nonostante tutti i fatti siano avvenuti in costanza di un quadro normativo non più attuale, di alcuni punti fondamentali della sentenza paiono fortemente “contaminati” dall’approccio alla sicurezza proprio del Regolamento Generale sulla Protezione dei dati 679/2016, che in questo ambito, tende ad enfatizzare il ruolo del titolare (4).
2. Il cumulo giuridico
Il Tribunale ha affrontato il problema connesso alla natura dell’articolo 164-bis co 2. del Codice della Privacy, denominato “casi di minore gravità e ipotesi aggravate”, nella sua precedente formulazione, il quale prevedeva che “se taluna delle violazioni di cui agli articoli 161, 162, 162-ter, 163 e 164 è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell’attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti. In caso di più violazioni di un’unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non è ammesso il pagamento in misura ridotta”. Telecom eccepiva, infatti, nei propri scritti che la violazione di cui all’art. 164 bis, comma 2, del Codice della Privacy, che puniva nella precedente formulazione le violazioni di alcune delle disposizioni di cui alla parte III, titolo III, capo I del Codice, se commesse in relazione a banche di dati di particolare rilevanza e dimensioni, non costituisse una autonoma fattispecie di illecito, bensì una ipotesi aggravata degli illeciti previsti nelle disposizioni sanzionatorie presupposte. La formulazione dell’articolo appare certamente infelice, non solo alla luce del fatto che la relativa denominazione “Casi di minore gravità e ipotesi aggravate” potrebbe portare l’interprete frettoloso a ritenere il comma 2 come aggravante, ma anche in considerazione del fatto che il precedente comma 1 prevedeva che “se taluna delle violazioni di cui agli articoli 161, 162, 162-ter, 163 e 164 è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell’attività svolta, i limiti minimi e massimi (3) Il Provvedimento è disponibile in Internet all’indirizzo < https:// www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/ docweb/9370122>. (4) Per una analisi critica di alcuni elementi si rinvia a Bonavita - Pardolesi, GDPR e diritto alla cancellazione, in Danno e resp., 2018, 279 ss.
536
DIRITTO DI INTERNET N. 3/2019
stabiliti dai medesimi articoli sono applicati in misura pari a due quinti”, definendo non una autonoma ipotesi di illecito, ma una sorta di attenuante nella determinazione della sanzione, come da sempre riconosciuto nelle aule di Tribunale (5). Il tema del contendere, tuttavia, non è certamente nuovo, ed è stato oggetto, in passato, di alcune pronunzie di merito. In particolare, Cassazione civile sez. I, 17 agosto 2016, n.17143, richiamata dallo stesso Tribunale, aveva già enucleato il principio di diritto secondo cui “in tema di illeciti amministrativi stabiliti dal Codice della Privacy di cui al D.Lgs. n. 196 del 2003, la fattispecie di cui all’art. 164 bis, comma 2, non costituisce una ipotesi aggravata rispetto a quelle semplici richiamate dal tenore testuale della disposizione ma una figura di illecito del tutto autonoma, in considerazione del fatto che in essa si prevede la possibilità che vengano infrante dal contravventore, anche con più azioni ed in tempi diversi, una pluralità di ipotesi semplici, però unitariamente considerate dalla norma in esame con riferimento “a banche di dati di particolare rilevanza o dimensioni”, sicché in caso di concorso di violazioni di altre disposizioni unitamente a quella in esame, consegue una ipotesi di cumulo materiale delle sanzioni amministrative”. Uniformandosi a tale impostazione, ha ritenuto il Tribunale che l’articolo 164 bis, comma 2, sanzioni autonomamente l’abusiva gestione di un’intera banca dati di speciale rilevanza e dimensione. L’organo giudicante ha portato, altresì, a sostegno della propria impostazione la struttura dell’articolo 8 della legge n. 689/1981, probabilmente la più nota ipotesi di cumulo giuridico prevista nell’area delle sanzioni amministrative, il quale prevede che “salvo che sia diversamente stabilito dalla legge, chi con un’azione od omissione viola diverse disposizioni che prevedono sanzioni amministrative o commette più violazioni della stessa disposizione, soggiace alla sanzione prevista per la violazione più grave, aumentata sino al triplo. Alla stessa sanzione prevista dai precedente comma soggiace anche chi con più azioni od omissioni, esecutive di un medesimo disegno posto in essere in violazione di norme che stabiliscono sanzioni amministrative, commette, anche in tempi diversi più violazioni della stessa o di diverse norme di legge in materia di previdenza ed assistenza obbligatorie… omissis…”. Di diversa impostazione è l’articolo 164 bis comma 2, il quale non potrebbe essere considerato, pertanto, una sorta di “aggravante” analoga alle aggravanti speciali (5) Cfr., da ultimo, Tribunale di Macerata, sentenza 8 maggio 2018 n.539, con la quale ha accolto le doglianze della ricorrente chiarendo che “la natura di importante rilievo economico e sociale ricoperta dal servizio di trasporto pubblico, integrano il fatto di minore gravità previsto dalla norma (art. 164 bis, n. 1 Codice Privacy), con la ulteriore considerazione dell’adeguamento dell’opponente alla disciplina subito dopo la erogazione della sanzione: sanzione che quindi può essere ridotta all’importo di Euro 10.000, pari alla metà del minimo edittale”.
GIURISPRUDENZA CIVILE previste dal diritto penale, posta l’assenza nell’articolo in esame di qualsivoglia riferimento alle condotte sanzionabili in base Codice della Privacy, richiamate da tale aggravante; ciò evidentemente non consentirebbe, d’effetto, di applicare il minimo e il massimo edittale ivi previsti per ciascuna delle differenti ipotesi illecite. Situazioni analoghe a quella sopra rappresentata, tuttavia, sono destinate a scomparire. Il Regolamento Generale sulla Protezione dei dati 679/2016 oggi in vigore, all’articolo 83 denominato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, comma 3, prevede infatti che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”.
3. La configurabilità dell’illecito e l’informativa illecita
Telecom S.p.A., come emerge altresì dall’esame del Provvedimento del Garante, ammetteva infatti che ignari utenti si fossero trovati intestatari di linee telefoniche riconducibili ed utilizzate da altri soggetti, senza essere di tutto ciò mai sati informati e senza che il titolare del trattamento avesse richiesto il loro specifico consenso al trattamento di propri dati per tali finalità. Tale condotta, a detta del Garante, costituiva una violazione delle norme di cui all’art. 23 del Codice della Privacy, le quali definiscono le condizioni di espressione del consenso dell’interessato, condizioni di norma richieste – salvo specifici casi – per il trattamento dei dati personali. Aveva infatti contestato il Garante, nel proprio provvedimento che “quanto alla comunicazione a terzi di dati riferiti al reclamante, come pure ad altri clienti, la stessa risulta effettuata in violazione degli artt. 23 s. del Codice sia con riferimento alla comunicazione ai soggetti intestatari delle fatture del codice fiscale dello stesso e di quanti si sono trovati nella medesima situazione, sia con riguardo alla comunicazione dei dati che lo riguardano alle società di recupero crediti, che mai avrebbero dovuto essere poste nella disponibilità di tali dati, non essendo il reclamante mai stato il reale assegnatario delle linee telefoniche che nel tempo sono state interessate da inadempimenti”. Sul tema, le difese di Telecom si basavano sull’assunto che il titolare del trattamento non avrebbe materialmente potuto, al fine di evitare la sanzione, acquisire il consenso degli interessati coinvolti nel malfunzionamento dei sistemi fornendo una informativa che recasse altresì indicazione della possibilità che i dati personali avrebbero potuto essere comunicati a terzi in caso di guasto dei sistemi.
Alla luce di tale impossibilità pratica di acquisire il consenso, non avrebbe potuto sussistere la fattispecie tipica sanzionata e, comunque, non si sarebbero potuti determinare elementi di colpevolezza a carico del titolare del trattamento. Tale tesi, certamente molto suggestiva, si scontra con una considerazione di ordine generale. Come rilevato da parte della dottrina “proprio informativa consente, infatti, all’interessato di ricevere notizie del trattamento dei dati che lo riguardano nonché degli scopi per i quali i dati vengono trattati delle modalità del trattamento e di tutte le informazioni utili per una consapevolezza piena di modo che i diritti delle libertà fondamentali e delle dignità personale dell’interessato stesso ricevono una protezione effettiva È concreta e dagli stesso possa esercitare i mezzi di tutela previste suo favore in caso di lesione” (6). Lo scopo dell’informativa, dunque, è quello di tutelare l’interessato in caso di una violazione dei propri diritti e non quello di prevedere una sorta di clausola di esenzione della responsabilità nel caso di data breach a favore del titolare. Aderendo a questa impostazione, il Tribunale ha riconosciuto che l’informativa deve fornire ogni informazione relativa alle finalità ed alle modalità del trattamento, come preventivamente decise dal titolare, e non informazioni relative all’eventualità che il trattamento possa essere effettuato in violazione di quanto previsto dall’informativa stessa. Secondo l’organo giudicante sarebbe del tutto illogico richiedere ai titolari del trattamento di fornire agli interessati una informativa relativa ad un eventuale trattamento illecito dei rispettivi dati personali; la acquisizione del consenso ad un trattamento illecito, invero, non solo non sarebbe in linea con i principi generali in materia di tutela dei dati personali, finalizzati a garantire un trattamento corretto e lecito, ma non solleverebbe certamente il titolare da eventuali responsabilità. Tale impostazione è del tutto coerente con l’attuale impianto del Regolamento Generale sulla Protezione dei dati 679/2016, il quale, regolando il contenuto dell’informativa agli articoli 13 e 14, non contempla, certamente, la possibilità di prevedere “consensi al trattamento illecito”, anche in conformità al Considerando 50, il quale prevede che il trattamento dei dati personali, per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti, dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti; il trattamento illecito, evidentemente, non appare un trattamento avente tale caratteristiche.
(6) Ceccoli, Informativa, in Codice della Privacy – Commentario al Decreto Legislativo 30 giugno 2003, a cura di Italia, Milano, 2003, 180 ss.
DIRITTO DI INTERNET N. 3/2019
537
GIURISPRUDENZA CIVILE Il Regolamento Generale sulla Protezione dei dati 679/2016 prevede, piuttosto, all’articolo 34 “Comunicazione di una violazione dei dati personali all’interessato”, l’obbligo, in talune circostanze, di comunicare agli interessati trattamenti illeciti verificatesi, qualora tale trattamento possa essere suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. *** In effetti, alcuni dubbi interpretativi, relativi al rapporto tra consenso ed informativa, paiono ancora resistere nelle aule dei tribunali italiani. Ne è prova la recente Corte di Cassazione, sez. II Civile, sentenza n. 10740/19, con la quale la quale gli ermellini hanno cassato la sentenza del Tribunale di Padova 17.6.2014, che ha annullato l’ordinanza di ingiunzione 145/2013 per il pagamento di Euro 54.000 per la violazione dell’art. 161 del codice sulla protezione dei dati personali irrogata a Compu Games S.r.l. I fatti, come espressi in sentenza, erano relativi alla intestazione di centinaia di sim card a persone del tutto inconsapevoli. A seguito dell’intervento del Garante, la Compu Games S.r.l. veniva sanzionata ex art. 161 del Codice della Privacy, denominato “omessa o inidonea informativa all’interessato”, il quale prevede che “la violazione delle disposizioni di cui all’articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro”. Il Tribunale di Padova, viceversa, aveva accolto la tesi di Compu Games S.r.l., la quale riteneva che il Garante avesse esteso analogicamente la portata della norma, che sanziona la sola ipotesi della raccolta senza informativa dei dati personali prevista dall’art. 161 in relazione all’art. 13, alla diversa e non prevista ipotesi di utilizzo degli stessi, in palese violazione della normativa vigente. La Cassazione, nelle sue motivazioni, ha piuttosto ritenuto che, atteso che non è dubitabile che la raccolta del dato personale, poi utilizzato per la intestazione delle schede telefoniche, sia avvenuta senza la previa informativa di cui all’art. 13 del Codice della Privacy, la contestazione dell’illecito utilizzo dei dati personali ha per presupposto, non solo logico ma anche effettivo e oggetto di specifica contestazione, l’accertamento dell’avvenuta acquisizione di quei dati senza che il titolare avesse reso adeguata informativa. Tale impostazione pare, in effetti, del tutto coerente con la dottrina maggioritaria (7), la quale ha sempre considerato l’informativa come condizione di liceità del trat-
(7) Cfr., inter alia, Monducci, Diritti della persona e trattamento dei dati particolari, 2003, Milano.
538
DIRITTO DI INTERNET N. 3/2019
tamento, necessariamente prodromica al consenso; non può esservi consenso senza una valida informativa.
4. La responsabilità del titolare e la determinazione della sanzione
Telecom eccepiva, infine, l’erronea applicazione dei criteri di cui all’articolo 11 della legge 24 novembre 1981 n.689, ritenendo che le sanzioni sarebbero state nettamente inferiori qualora fosse stata considerata come tenue la violazione – alla luce del fatto che il trattamento di dati personali senza informativa e consenso dell’interessato era conseguenza diretta di un malfunzionamento del sistema ed aveva riguardato un numero limitato di interessati a fronte della molteplicità delle utenze trattate – e fossero state correttamente considerate le condizioni economiche del titolare del trattamento, da tempo in difficoltà. Il Tribunale, richiamando pedissequamente l’ordinanza di ingiunzione del Garante, ne condivideva le conclusioni, ritenendo che la responsabilità di Telecom si fosse concretizzata nel malfunzionamento dei sistemi operativi utilizzati, che ha permesso il trattamento illecito dei dati personali, generando la irregolare associazione delle anagrafiche alle linee telefoniche. A detta dell’organo Giudicante, la dimensione della gravità della situazione era di tutta evidenza, posto che erano migliaia le utenze di ignari cittadini coinvolte nel disservizio; da parte sua Telecom, ricevute le prime segnalazioni, non interveniva prontamente per la risoluzione del problema, ed attendeva l’intervenendo del Garante prima di procedere ad una revisione dell’intero processo di trattamento, procedendo tra l’altro unicamente con verifiche a campione. Quanto accaduto, a detta del Tribunale, era frutto del comportamento negligente del titolare del trattamento che, non solo aveva scelto di operare mediante sistemi informativi rivelatisi fallaci, ma non aveva adottato un programma di tempestiva verifica della avvenuta corretta migrazione dei dati. Ciò che veniva contestato dal Giudice, inoltre, è la mancata adozione di un piano di audit funzionale alla verifica della corretta migrazione, che avrebbe quantomeno potuto ridurre gli effetti del malfunzionamento accorso. Questa impostazione è molto vicina a quella propria del Regolamento Generale sulla Protezione dei dati 679/2016, il quale, come noto, enfatizza il ruolo di una corretta governance dei dati personali e l’importanza dell’adozione di misure organizzative. A tal riguardo, si consideri che l’articolo 32, comma 1, nel disciplinare quali debbano essere le misure di sicurezza prevede che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare
GIURISPRUDENZA CIVILE del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio …omissis…”. Analogamente, l’importanza di corrette procedure di audit inizia ad essere evidenziato dalla prima giurisprudenza del Garante italiano, successivamente all’entrata in vigore del Regolamento Generale sulla Protezione dei dati 679/2016. Si consideri che, recentemente, il Garante, con il Provvedimento su data breach - 28 marzo 2019, ha contestato ad un importante istituto di credito la mancata adozione di procedure di audit, in quanto questo non avrebbe effettuato “le opportune attività di controllo interno che avrebbero permesso, quantomeno, di rilevare proattivamente l’inidoneità del sistema di autorizzazione dell’applicazione Arena, l’inadeguatezza e la non corretta conservazione dei log di tracciamento delle operazioni svolte sulla medesima applicazione, nonché la mancata implementazione di alert volti a rilevare comportamenti anomali o a rischio”. Per quanto concerne, invece, l’analisi delle condizioni economiche, il Tribunale ha considerato irrilevante la circostanza secondo la quale Telecom fosse priva di reddittività, alla luce del fatto che il relativo fatturato e le elevate dimensioni complessive della struttura, per dimensioni, utenze gestite, personale impiegato e strutture, ponevano la società in posizione di preminenza rispetto ad altre compagnie di telefonia di rilievo nazionale. Anche in questo caso l’impostazione pare del tutto coerente con quella del Regolamento Generale sulla Protezione dei dati 679/2016, il quale, all’articolo 83 “Condizioni generali per infliggere sanzioni amministrative pecuniarie” prevede che l’Autorità (Garante) al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa debba tenere conto dei di una serie di elementi, tra cui (i) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito, (ii) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati (iii) la maniera in cui l’Autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione. Tale impostazione, come è stato osservato (8), non appare così distante da quanto già previsto dall’art. 11 della legge n. 689/1981, “Criteri per l’applicazione delle sanzioni amministrative pecuniarie”, il quale recita che “nella determinazione della sanzione amministrativa pecunia-
ria fissata dalla legge tra un limite minimo ed un limite massimo e nell’applicazione delle sanzioni accessorie facoltative, si ha riguardo alla gravità della violazione, all’opera svolta dall’agente per la eliminazione o attenuazione delle conseguenze della violazione, nonché alla personalità dello stesso e alle sue condizioni economiche”. Alla luce di questi parametri, l’Autorità può, oggi, infliggere sanzioni amministrative pecuniarie che, in specifici casi, possono arrivare a fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
(8) Resta, La nuova ‘Privacy europea: I principali adempimenti del regolamento UE 2016/679 e profili risarcitori, Torino, 2018, 205 ss.
DIRITTO DI INTERNET N. 3/2019
539
GIURISPRUDENZA CIVILE
La responsabilità del provider, inadempimento, obbligo di diligenza professionale e clausole di esonero da responsabilità Tribunale D i Roma ; sez. diciassettesima (ex nona) civile spec. imprese; sentenza 28 marzo 2019; Giud. De Lorenzo; FORMAT C S.R.L. (avv. A. Perna) c. S.M.A. – SISTEMI MULTIMEDIALI AVANZATI – S.R.L. (avv. ti M. Reiner, M. Sabatino). Non è responsabile il provider di servizi di hosting per il mancato funzionamento del sito web; l’obbligazione essenziale consiste nella messa a disposizione di uno spazio su uno o più server a favore di un soggetto per ospitare pagine web. In assenza di prova del contratto da parte del soggetto attore non sussiste la responsabilità per inadempimento e l’obbligo al risarcimento del danno.
…Omissis… Con atto di citazione notificato a mezzo pec il 28 gennaio 2015 FC S.r.l. conveniva innanzi al Tribunale di Roma SMA- S.r.l., …omissis… per sentir accogliere le conclusioni trascritte in epigrafe come precisate in sede di memorie ex art.183, VI comma, c.p.c. Con comparsa datata 9 aprile 2015 si è costituita in giudizio la convenuta eccependo in via preliminare l’incompetenza per territorio …omissis… Indi ritenuta la causa matura per la decisione veniva disposto un rinvio per la precisazione delle conclusioni. La società FC ha affermato di essere una società di capitali il cui ambito di attività ricomprende la fornitura di servizi online, in particolare la realizzazione di campagne promozionali - anche attraverso la creazione di giochi elettronici aventi finalità pubblicitarie - nonché la gestione di siti internet di intrattenimento, anche videoludico, tramite i quali vengono erogati diversi servizi multimediali e di essersi sia avvalsa in via continuativa dei servizi di web hosting erogati dalla società NML s.r.l., presso i cui server erano allocati i dati relativi a molteplici pagine web (o siti) realizzati ed amministrati da Format C. Fra i siti ospitati dall’hosting provider vi era anche il sito “Annunci”, molto noto nel proprio settore di riferimento nonché parte del core business di FC. Riferiva l’attrice che in data 18 marzo 2014 alle ore 10:30 si era verificato un grave problema nel sistema informatico di SMA (ex NML) che aveva comportato l’impossibilità per gli utenti di avere accesso alle pagine web di FC e a seguito del quale si era verificata la cancellazione di tutti i dati caricati da FC sui vari siti, fra cui anche quelli di “Annunci”. I dati erano stati faticosamente recuperati soltanto in data 8 aprile 2014 e il sito web era tornato online soltanto il giorno dopo, con grave disappunto di tutti gli utenti, principalmente del
sito “Annunci”, i quali si erano diffusamente lamentati su un forum per non aver potuto usufruire dei servizi del sito. A seguito della successiva sospensione del servizio di web hosting, FC era stata costretta a reperire sul mercato un nuovo contraente che ospitasse il proprio sito per adulti che propone …omissis… Lamentando, quindi, che SMA non avesse adempiuto alle obbligazioni scaturenti dal contratto di hosting provider ed in particolare non mantenendo online i siti web di FC, specialmente il sito “Annunci”, e non consentendo quindi il regolare accesso degli utenti non avesse diligentemente conservato e custodito i dati di FC relativi al sito “Annunci” e avesse cancellato i dati di FC relativi al sito “Annunci” contenuti nei propri server doveva essere condannata a risarcire il danno scaturente dalla sospensione del servizio. …omissis… Nel merito, però, la domanda attorea è infondata. Stante la mancata produzione del contratto di web hosting da parte del soggetto onerato con conseguente impossibilità di visionare le clausole concretamente disciplinanti il rapporto, deve evidenziarsi come l’obbligazione essenziale in capo all’hosting provider consista nella messa a disposizione da parte di un soggetto, l’hosting provider appunto, di uno spazio su uno o più server a favore di un soggetto per ospitare pagine web. La circostanza che nel caso di specie l’utilizzazione dello spazio virtuale fosse a pagamento nulla aggiunge al complesso di obbligazioni nascenti in capo all’hosting provider specie con riguardo a quei servizi ulteriori di regola non ricompresi nel novero dell’offerta basilare. Ciò perché non è noto se nel contratto di web hosting concretamente stipulato fra le parti fosse ricompresa ad esempio la creazione del sito o la posta elettronica o ancora la possibilità di utilizzare CMS proprietari. A tali
DIRITTO DI INTERNET N. 3/2019
541
GIURISPRUDENZA CIVILE condizioni se appare indiscusso che l’attribuzione al contraente di caricare e memorizzare i dati sullo spazio virtuale costituisca un elemento necessario dell’obbligazione tuttavia, in assenza di espressa regolamentazione, non è possibile affermare se il contratto in questione prevedesse o meno l’obbligo dell’hosting provider di effettuare anche il salvataggio dei dati affinché in un caso come quello in esame in cui il sito “Annunci” era stato oggetto di attacchi esterni (fatto questo che appare pacifico fra le parti) questi ultimi potessero essere agevolmente recuperati e nuovamente caricati per consentire alla pagina di tornare online con i contenuti integri. Come noto in materia di web hosting, il profilo direttamente disciplinato dalla legge (cfr. art. 16 del D.Lgs. n. 70/2003) concerne unicamente la responsabilità del prestatore per le informazioni memorizzate a richiesta di un destinatario del servizio e si afferma che il prestatore non è responsabile degli illeciti laddove non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione oppure non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso. Sebbene il campo di applicazione della richiamata disciplina sia diverso da quello del presente caso, nondimeno può pervenirsi in via interpretativa ad una ricostruzione del rapporto in cui il prestatore sia di regola estraneo alla gestione ed al controllo sui dati e sui contenuti caricati dall’utente e possa essere chiamato a rispondere per la illiceità di questi soltanto a deter-
minate condizioni. Allo stesso modo può presumersi che laddove non sia pattiziamente previsto che il prestatore abbia l’obbligo di operare il salvataggio dei dati, costui non sia di regola a ciò tenuto in applicazione del principio di buona fede nell’esecuzione del contratto. D’altronde così come avviene nel caso dei contratti di locazione di spazi pubblicitari, ad esempio in tema di cartellonistica stradale, nel caso in cui per effetto di un atto vandalico la pubblicità sia divelta o danneggiata si ritiene che la possibilità di riposizionare i manifesti o quant’altro sia nel dominio dell’inserzionista e non in capo a colui che lo spazio pubblicitario concede. Parte attrice ha anche prospettato la responsabilità del prestatore con riguardo alla mera sospensione della pagina web. Risulta tuttavia dagli atti e dalle stesse affermazioni dell’attrice che la pagina sia ritornata online proprio all’indomani del recupero dei dati. Da ciò può inferirsi che una volta superata la fase critica dell’attacco, laddove l’attore avesse provveduto a salvare i dati ei contenuti in via precauzionale il caricamento immediato di questi avrebbe consentito il ripristino tempestivo della pagina web. Le spese seguono la soccombenza e sono liquidate come da nota spese depositata in via telematica. P.Q.M. Il Tribunale di Roma, definitivamente pronunciando nel contraddittorio tra le parti, ogni contraria istanza, eccezione e difesa respinte: rigetta integralmente le domande attoree; condanna FC S.R.L. alla rifusione delle spese processuali in favore di S.M.A. S.R.L.
IL COMMENTO
di Luigia Carolina Santaniello Sommario: 1. Il fatto. – 2. Il contratto di servizi informatici, definizione, inquadramento sistematico, natura giuridica e disciplina applicabile. – 3. La responsabilità e l’inadempimento del fornitore di servizi. Il dovere di diligenza professionale dell’hosting provider… obbligo di sorveglianza sui dati informatici raccolti? Limitazione del rischio ed esonero da responsabilità del provider. – 4. Conclusioni. Il contributo si propone di esaminare la responsabilità dell’hosting provider nel caso di disservizio, perdita dei dati e mancato funzionamento del server. Per poter giungere alla valutazione del giudizio espresso dal giudicante, si ricostruirà la natura del contratto in questione, trattandosi di contratto atipico e rifacendosi ai diversi modelli contrattuali previsti dall’ordinamento giuridico ad esso collegato. Si giungerà alla conclusione che è preferibile disquisire sul contratto in base alla valutazione dei diversi interessi coinvolti. Oggetto di valutazione è, altresì, la previsione di clausole di esonero e limitazione della responsabilità, in particolare come esse possono essere inserite nel contratto tra imprese, nel rispetto dei doveri di diligenza professionale, correttezza e trasparenza, che è ragionevole attendersi dall’imprenditore. The essay intends to analyse the hosting provider responsibility in case of malfunction, data loss and server crash. In order to reach an evaluation of the judgment expressed by the committee, it will be traced the nature of the intended contract, which is an atypical one, by referring to the different types of contractual models established by the related legal system. It will be concluded that it is preferable to discuss the contract by evaluating the various interests involved. Furthermore the prevision of clauses of indemnity against liability and limitations of liability will be evaluated, specifically it will be investigated how these clauses can be included in the contract among enterprises in accordance with the duties of professional diligence, decency and frankness expected of the businessman or businesswoman.
542
DIRITTO DI INTERNET N. 3/2019
GIURISPRUDENZA CIVILE 1. Il fatto
La sentenza in commento si sofferma su una peculiare fattispecie riguardante un contratto di hosting provider, stipulato da una società fornitrice di servizi online di web hosting, FC s.r.l., e una società utente, la quale svolge attività promozionali di siti internet di intrattenimento: SMA s.r.l. Tra le due era stato stipulato un contratto di fornitura di servizi in virtù del quale la prima forniva uno spazio pubblicitario per ospitare pagine web della seconda. In data 18 marzo 2014, a causa di un problema nel sistema informatico di FC, si verificava il mancato funzionamento del sito Internet e la cancellazione dei dati caricati. I servizi venivano recuperati solo in data 8-9 aprile 2014. A tal proposito la società FC agiva in giudizio, in data 28 gennaio 2015, innanzi al Tribunale di Roma per accertare l’inadempimento contrattuale della prima. La domanda attorea reclamava il risarcimento del danno per gli inadempimenti contrattuali del convenuto, per l’interruzione del servizio e la mancanza di diligenza del provider che aveva portato la relativa perdita dei dati contenuti nei propri server. Si attestava un danno patrimoniale e non patrimoniale subìto a causa della mancata fruizione dei servizi, richiedendosi pertanto una soccombenza totale della convenuta con esonero da spese di giudizio. La società convenuta, in risposta, eccepiva preliminarmente l’incompetenza territoriale del Tribunale adito; in subordine faceva emergere l’insussistenza di un obbligo dell’hosting provider di provvedere al salvataggio dei dati. Il Tribunale di Roma, nel merito, rigetta la domanda attorea e, in motivazione, afferma che la legge (D. Lgs. n. 70/2003) disciplina unicamente la responsabilità del prestatore per le informazioni memorizzate a richiesta di un destinatario del servizio, e, allo stesso tempo, se non è previsto un obbligo di operare il salvataggio dei dati il provider non è tenuto a ciò in applicazione del principio di buona fede nell’esecuzione del contratto. Inoltre, la mancata produzione del contratto di web hosting da parte del soggetto agente è elemento imprescindibile, non essendo possibile provvedere altrimenti all’individuazione delle obbligazioni assunte dalla società di hosting provider e, conseguentemente, accertarne l’inadempimento.
2. ll contratto di servizi informatici: definizione, inquadramento sistematico, natura giuridica e disciplina applicabile
Prima di procedere all’analisi della decisione in commento, si reputa opportuno valutare i possibili contenuti del contratto stipulato tra le parti, del quale non è agevole individuare il profilo funzionale e la disciplina cui è sottoposto. La fenomenologia dei contratti relativi ai servizi informatici, in uso nella prassi, è piuttosto articolata ed include i contratti conclusi telematicamente, i contratti conclusi ed eseguiti in via telematica e i con-
tratti conclusi per la fornitura di servizi telematici (1). Ai fini della qualificazione del singolo contratto occorre avere attenzione alla tipologia dei servizi oggetto dello stesso e alla funzione dei medesimi, al contenuto obbligatorio divisato dalle parti, ai soggetti coinvolti nell’operazione negoziale (2). L’assenza di tipizzazione legislativa di tali contratti fa sì che l’autoregolamentazione, anche in punto di regole di responsabilità assuma valenza centrale nella disciplina del rapporto. Diversi possono essere i contenuti negoziali, che possono includere, oltre alla fornitura di servizi informatici, anche attività di assistenza e di manutenzione (3). Specificamente, la decisione in commento è resa in relazione ad un contratto di hosting provider, mediante il quale si realizza l’allocazione su server web di annunci, pagine e siti internet forniti dal prestatore di servizi. La giurisprudenza, piuttosto incerta nel fornire una definizione di internet service provider, ha precisato che tale soggetto opera nella società dell’informazione e fornisce servizi internet, anche in modo occasionale (connessione, trasmissione e memorizzazione dati). Il provider attua una mediazione che costituisce collegamento tra erogatori di informazioni ed utenti. Il vincolo giuridico che il provider si assume è la messa a disposizione dello spazio web, ma è demandata alle parti la possibilità di ampliare il contenuto del contratto con la previsione di servizi accessori, come avviene nella maggior parte dei casi. La previsione di servizi ulteriori, come l’accesso ad Internet, il salvataggio di dati, la progettazione e realizzazione di spazi utili per ospitare i dati del cliente, rendono l’of (1) In dottrina la tematica è stata affrontata in Manuale di diritto dell’informatica, a cura di Valentino, 3a ed., Napoli, 2016, 235 ss; Clarizia, I contratti informatici, in Trattato dei contratti diretto da Rescigno, Torino, 2007, 3 ss.; Finocchiaro, I contratti informatici, in Tratt. dir. comm. dir. pubbl. econ. diretto da Galgano, XXII, Padova, 1997, 351 ss.; Giannantonio, Informatica giuridica, in Enc. giur., Treccani, XVI, Roma, 1989, (voce); Gambino, Informatica giuridica e diritto dell’informatica, in Enc. giur., Treccani, <http://www.treccani.it/enciclopedia/informatica-giuridica-e-diritto-dell-informatica/>. (2) In letteratura dà una definizione di contratti informatici Tosi, I contratti di informatica, Milano, 1993, 38 ss. (3) Qualora il contratto sia finalizzato allo svolgimento di attività professionale e imprenditoriale si pone una considerazione «rivitalizzata» dei doveri di collaborazione delle parti, di consapevolezza e cooperazione, che gravano sull’utente soprattutto in termini di «esatta prospettazione delle funzionalità che intende perseguire e di accurata ponderazione delle soluzioni tecniche prospettate dal fornitore di servizi», sul punto, cfr. Bocchini - Gambino, I contratti di somministrazione e distribuzione, in Tratt. cont., diretto da Rescigno e Gabrielli, Torino, 2011, 147; Cagnasso, La somministrazione, in Tratt. Rescigno, 11, 3, Torino, 2000, 825 ss.; Bocchini, Il contratto di somministrazione di servizi, a cura di Bocchini - Gambino, I contratti di somministrazione e di distribuzione, Torino, 2011, 5 ss.; Bocchini, Della somministrazione, in Aa.Vv., Dei singoli contratti, a cura di Valentino, Comm. cod. civ. diretto da Gabrielli, Torino, 2011, 165 ss; Taldone, Il contratto di somministrazione, in I singoli contratti, a cura di Clarizia - Cassano, 2017, 515 ss; Peccenini, Della somministrazione, in Comm. Cendon, Milano, 2009, 215 ss.
DIRITTO DI INTERNET N. 3/2019
543
GIURISPRUDENZA CIVILE ferta del provider più appetibile. Pertanto, il contratto di hosting non è un contratto di mero scambio ma riguarda l’utilizzo di servizi, è un contratto atipico (4), il cui contenuto è definito dalle parti. Nella regolazione del contratto peculiare posizione assumono i servizi di memorizzazione e archiviazione dei dati, questi prendono il nome di cloud computing, si tratta di un’evoluzione del tradizionale data center, mediante il quale, grazie agli sviluppi della tecnologia, anche imprese di piccole dimensioni possono accedere a grandi potenze di calcolo, divenendo competitive sul mercato globale (5). Con la stipulazione di questa tipologia contrattuale, in linea di massima, il provider consente un accesso ai propri elaborati, concede la creazione, modificazione e visualizzazione dei documenti, garantisce l’accesso ad un sistema di archiviazione di dati e assicura il buon funzionamento e la protezione delle informazioni. Dall’altro lato l’utente, generalmente, si obbliga al pagamento di un canone (6) e necessariamente, all’utilizzo lecito del servizio e dei dati caricati. Tra i servizi accessori offerti dal provider vi è, inoltre, il back up, che consente all’utente di salvaguardarsi rispetto alla perdita accidentale di dati elaborati, ovvero a qualsiasi interruzione temporanea o permanente che limiti o escluda l’accesso ai dati. Il piano di sicurezza, che si realizza mediante il servizio di back up, può essere gestito dal fornitore contraente o affidato ad un terzo, nel qual caso il contratto stipulato con il terzo può essere qualificato come contratto di appalto di servizi (7), ai sensi dell’articolo 1677 c.c. Nella prassi contrattuale, segnatamente nelle condizioni generali presenti sui siti di hosting provider nelle quali vengono specificamente regolate le ipotesi di disservizio, inadempimento e nella specie anche il salvataggio dei dati in back up, si registra tendenzialmente l’esclusione di responsabilità del provider in casi analoghi a quello oggetto di decisione. Di regola, infatti, le condizioni generali di contratto limitano il risarcimento del danno all’importo versato dal cliente per il servizio acquistato, escludendo ulteriori indennizzi e risarcimenti. Sempre in esse viene generalmente escluso il salvataggio dei dati; in questo modo si rende edotto il cliente dal premunirsi con apposite procedure di salvataggio dei dati. (4) Sul punto si veda D’Ambrosio, I contratti di hosting e cloud computing, in Dei singoli contratti, 2, a cura di Valentino, Milano, 2016, 189 ss. (5) Al riguardo si veda, D’Ambrosio, Cloud computing, in Manuale, cit., a cura di Valentino, 413 ss.
544
Eventuali back up sono predisposti una tantum dal server in automatico ma non per essere disponibili al cliente. In particolare, nelle condizioni generali di contratto del sito aruba.it, portale che svolge funzioni affini a quelle della parte convenuta, si legge, all’articolo 9.11, che il sito, nonostante l’obbligo di fornire il servizio, non è responsabile nel caso di ritardo, cattivo funzionamento, sospensione o interruzione del servizio non imputabile al server. In altre parole, si esclude la responsabilità del provider nel caso di forza maggiore, caso fortuito, eventi catastrofici, fatto del terzo, malfunzionamento o non conformità degli apparecchi, manomissione o interventi sulle apparecchiature da parte di terzi o fornitori. In relazione alla disciplina della responsabilità (8), parte della dottrina rinviene un obbligo di custodia in capo al provider, tenuto ad adottare opportune precauzioni idonee a proteggere i dati (9). Secondo tale visione, le due prestazioni principali cui è tenuto il provider sono la connettività e il deposito dei dati (10). Quanto alla connettività, intesa come accesso ad Internet, alla rete e alla circolazione dei dati, essa è da considerarsi obbligazione di risultato e non di mezzi (11). Non si tratterebbe di un semplice collegamento a Internet ma della fornitura di un servizio continuo, regolare, veloce e sicuro. La mancanza del servizio, pertanto, comporterebbe una responsabilità del provider, scusabile solo dimostrando che questi è esente da colpa per impossibilità sopravvenuta, caso fortuito o forza maggiore (12). In capo al provider, secondo il richiamato indirizzo interpretativo, vi sarebbero anche le obbligazioni tipicamente derivanti dal deposito, sicché questi (8) Sulla tematica degli illeciti e responsabilità in rete si veda D’Ambrosio, in Progresso tecnologico, «responsabilizzazione» dell’impresa ed educazione dell’utente, Napoli, 2017, 80 ss; il quale afferma che «la maggior parte delle condotte tenute online, valutate pregiudizievoli, integrano violazioni della riservatezza. Esse afferiscono al trattamento dei dati personali e sono soggette a uno specifico regime di responsabilità». Ancora Bocchini, Responsabilità dell’hosting provider - la responsabilità di facebook per la mancata rimozione di contenuti illeciti, in Giur. It., 2017, 3, 629. In giurisprudenza si veda, App. Milano, 27 febbraio 2013, 479, in Dir. inf., 2013; Trib. di Milano 12 aprile 2010, 638, in Corriere del Merito, 2010, 6. (9) Sica - D’Antonio, Privacy e Diritti della personalità in rete, in Manuale, cit., a cura di Valentino, 215; Prosperetti, Gli obblighi di assicurare la custodia e la sicurezza dei dati in un sistema cloud, in Tratt. dir. Internet, a cura di Cassano, Padova, 2012, 680 ss.; Natoli, La tutela dell’onore e della reputazione in Internet: il caso della diffamazione anonima, in Eur. Dir. priv., 2001, 441 s. (10) Sammarco, I contratti dell’informatica, in Diritto civile, 3, a cura di Lipari - Rescigno, Milano, 2009, 755 ss.; Piazza, La responsabilità civile dell’Internet Provider, in Cont. Imp., 2004, 130.
(6) Il pagamento del canone è escluso quando l’interesse del provider è quello di ottenere un elevato numero di utenti a scopo commerciale. La gratuità dell’accordo non escluse la sua economicità, come chiarito da Perlingieri, Profili civilistici dei social networks, Napoli, 2014, 43 ss.
(11) Tale differenza permette il collegamento e la differenza tra contratto di appalto e contratto di somministrazione, nel primo si ha un’obbligazione di risultato, nel secondo di mezzi; emerge chiaramente nella pronuncia del Consiglio di Stato, 12 marzo 2018, n. 1571, in Dir. & Giu., 2018, con nota di Alesio.
(7) Sulla tematica dell’appalto di servizio nei nuovi contratti dell’era digitale si veda Valentino, Il contratto di assistenza e manutenzione del software, in Dei singoli contratti, cit., 259 ss.
(12) Gambini, Colpa e responsabilità nella fornitura di servizi Internet, in I contratti informatici, a cura di Clarizia, Trattato dei contratti diretto da Rescigno, Torino, 2007, 561.
DIRITTO DI INTERNET N. 3/2019
GIURISPRUDENZA CIVILE sarebbe chiamato a rispondere anche della custodia non diligente dei dati. Nella sentenza in commento, diversamente, si statuisce che il salvataggio dei dati debba essere pattiziamente previsto e che tale obbligazione non possa considerarsi implicita o rinvenibile nel principio di buona fede nell’esecuzione del contratto. Ove pure l’obbligo di salvataggio dei dati dovesse ritenersi incluso nel profilo funzionale del contratto, resta fermo che i contraenti possono introdurre clausole di esonero della responsabilità in caso di malfunzionamento del servizio e perdita di dati (13). Relativamente a clausole di limitazione e di esonero si precisa in dottrina che, mentre dal punto di vista funzionale esse conducono al medesimo risultato, ovvero delimitano la prestazione dedotta in contratto, dal punto di vista della tutela sostanziale le clausole di esonero assumono rilevanza in relazione alla validità del patto, mentre le clausole limitative dell’oggetto si configurano come strumento di determinazione del rapporto contrattuale, appuntandosi esclusivamente sulla individuazione dell’ambito di responsabilità di una delle parti. Sebbene nella maggior parte dei casi il salvataggio dei dati avvenga in modo automatico e periodico, nella prassi i fornitori di servizi informatici includono le limitazioni di responsabilità – per il caso di malfunzionamento del servizio e per perdita di dati – nelle condizioni generali di contratto. Oltre alle clausole di esonero o limitazione è possibile che le condizioni generali di contratto indichino i livelli di qualità attesi dalle parti o il soggetto su cui grava l’onere della prova. In generale non può escludersi totalmente la responsabilità se non per colpa lieve. È stato osservato che è rimesso all’interprete il compito di verificare la contrarietà all’ordine pubblico (14) delle limitazioni o esclusioni della responsabilità e, più in generale, la liceità delle clausole di esonero e la loro meritevolezza (15), tenuto conto di tutti gli interessi coinvolti (16).
(13) Sul tema delle clausole di esonero da responsabilità per la tutela dei consumatori si veda Rossi, Le clausole di esonero da responsabilità, in I nuovi contratti nella prassi civile e commerciale, IX, a cura di Cendon, Torino, 2004, 189, il quale afferma che il contratto di fornitura di servizi senza che vi sia stata trattativa occorre che sia debitamente sottoscritta dal contraente che non l’ha predisposta. Ancora Di Marzio, Clausole limitative della responsabilità e contratti del consumatore, in Dir. giur. agr. alim. amb., 2, 2016 (14) Una non recente pronuncia della Suprema Corte affermava che anche il primo comma dell’art. 1229 c.c. è clausola generale preposta alla tutela dell’ordine pubblico: Cass., 24 aprile 1962, n. 818, in Riv. dir. nav., 1963, II, 120, con nota di Cassese; in dottrina Bianca, Il contratto, in Diritto civile, Milano, 2000, 619 (15) V. Perlingieri, Il diritto civile nella legalità costituzionale secondo il sistema italo-comunitario delle fonti, Napoli, 2006, 337, afferma che «l’attenzione va precisato sugli aspetti teleologici e assiologici degli atti di autonomia negoziale, sulla loro meritevolezza secondo l’ordinamento giuridico». (16) In questo senso Rossi, La necessaria differenziazione dei regimi di responsabilità alla luce della poliedrica fisionomia del fenomeno della sharing economy, in Riv. giur. del Molise e del Sannio, 1/2018, 211.
In punto di responsabilità del provider è rinvenibile un riferimento normativo, richiamato nella decisione in commento, nel d. lgs. 70/2003, attuativo della direttiva 2000/31/CE (17). La disciplina non sottende un regime di responsabilità degli internet providers specificamente articolato in rapporto al tipo di attività svolta (18). Ciò non di meno, nella sezione quarta, intitolata “Responsabilità dei prestatori intermediari”, vengono fissati i principi ispiratori della responsabilità dei providers, segnatamente negli articoli 14, 15 e 16, nei quali si tiene conto di tre tipologie di attività realizzata (19): trasporto, memorizzazione temporanea e memorizzazione di informazioni. In particolare, la prima è definibile caching e la seconda hosting e ciascuna comporta un regime di responsabilità differente (20). Nel fornire un servizio internet il provider può effettuare la memorizzazione intermedia e temporanea dei dati, ma non è responsabile della rimozione degli stessi, da qualsiasi causa dipenda; ugualmente non vi è responsabilità del provider nel caso in cui le informazioni siano illecite e vengano rimosse da terzi. Precisamente nell’articolo 15 si delinea il sistema di responsabilità, escludendo un generale obbligo di sorveglianza a carico del provider. (21)
(17) Il considerato n.40 della direttiva chiarisce che l’intento della normativa comunitaria è quello di eliminare le divergenze tra le normative e giurisprudenze nazionali, favorendo il mercato interno ed eliminando l’abuso di posizioni dominanti. Come meglio precisato da Valentino, in Manuale, cit., 263; la sussistenza di una vera e propria «subordinazione tecnologica» si potrebbe tradurre in un regolamento contrattuale «squilibrato» a favore di quella impresa che ha l’esclusiva o la maggiore preparazione tecnica. (18) «La normativa, inizialmente accolta con entusiasmo si è rilevata, a detta di molti commentatori, lacunosa, contraddittoria e imprecisa; d’altronde il legislatore italiano ha svolto una mera attività di trasposizione del testo comunitario». Questo è quanto precisato da Piazza, La responsabilità civile, cit., 148. (19) Analizza il regime di responsabilità del provider Di Ciommo, Programmi filtro e criteri di imputazione/esonero della responsabilità online. A proposito della sentenza Google/Vivi Down, in Dir. Informatica, fasc. 6/2010, 829 ss. (20) Sulle nozioni di caching, hosting e mere conduit si veda Cocuccio, op. cit.; Mula, La responsabilità e gli obblighi degli Internet Provider per violazione del diritto d’autore, in Riv. dir. ind., 2010, 252; Riccio, La responsabilità civile degli internet providers, Torino, 2002, 176 ss; Piazza, La responsabilità civile, cit., 146. (21) In letteratura emergono due filoni interpretativi: per il primo, la disciplina introduce una nuova fattispecie di responsabilità extracontrattuale; per il secondo, delinea delle cause di esclusione della responsabilità Il sistema giuridico spagnolo è stato tra i primi a recepire la direttiva comunitaria, inquadrandola come una vera e propria responsabilità dei providers, tipizzando la condotta negligente degli stessi, si veda al riguardo Bugiolacchi, Verso un sistema della responsabilità civile dell’internet provider? Considerazioni su un recente “Anteproyecto” spagnolo di recepimento della direttiva 2000/31/CE sul commercio elettronico, in Resp. civ. prev., 2002.
DIRITTO DI INTERNET N. 3/2019
545
GIURISPRUDENZA CIVILE 3. La responsabilità e l’inadempimento del fornitore di servizi. Il dovere di diligenza professionale dell’hosting provider e l’obbligo di sorveglianza sui dati informatici. Limitazione del rischio ed esonero da responsabilità del provider
La mancata produzione del contratto da parte dell’attore impone di ricercare la soluzione al caso strettamente sul piano normativo, tenendo conto delle poche indicazioni emergenti dalla legislazione in relazione all’internet service provider, al fine di procedere alla sua corretta qualificazione. La compiuta individuazione delle caratteristiche e del profilo funzionale del contratto di internet service provider prefigura diversi possibili inquadramenti: contratto di appalto di servizi, d’opera, di somministrazione o licenza d’uso. Sicuramente si tratta della fornitura di servizi da parte del provider a favore di altri professionisti o singoli consumatori, il perdurare del contratto, però, può suggerire la qualificazione come somministrazione, sebbene siano forniti servizi e non beni, come invece richiede l’articolo 1559 c.c. In dottrina è stato osservato che tale rinvio sarebbe possibile leggendo in modo «aperto» il tipo contrattuale; i contratti di servizi informatici sono un sottotipo del contratto di somministrazione, anche in base al rapporto di compatibilità e bivalenza previsto dall’articolo 1669 c.c. (22) In tale prospettiva, si avrebbe una somministrazione di natura automatizzata, che permetterebbe la distinzione della somministrazione di servizi da quella di cose (23). In un’altra ottica, si è cercato di far confluire il contratto in esame nella figura della licenza d’uso, che assicurerebbe natura flessibile al contratto (24). Tale tipo negoziale, però, consente all’utente il diritto di sfruttare una singola copia di un prodotto. Secondo la dottrina prevalente si configura come una locazione atipica; anche in ragione del fatto che tale contratto è regolato mediante l’estensione di una disciplina dettata per beni materiali a beni immateriali, rispetto alla quale sono necessari non pochi adattamenti, si ritiene di non prediligere tale inquadramento (25).
(22) Casali, La fornitura di software tra contrattualistica e diritto d’autore, in Giur. It, 2008, 3, 791. (23) Così Sammarco, La concessione di spazio digitale in rete aperta, in I contratti di utilizzazione dei beni, in Trattato dei contratti diretto da Rescigno, a cura di Cuffaro, Torino, 2008, 463 ss., Id. I contratti dell’informatica, in Diritto Civile, diretto da Lipari - Rescigno, vol. III, tomo III, I Contratti, Milano, 2009, 755-797. (24) Sulla natura del contratto di licenza d’uso rapportato ai contratti informatici si veda Baldi, I contratti di utilizzazione del software, in Dei singoli contratti, 2, a cura di Valentino, Milano, 2016, 127 ss. (25) L’adesione alle due diverse tesi ha anche implicazioni sul regime della risoluzione per inadempimento. Per la tesi della somministrazione il carattere dell’inadempimento sarebbe oggettivo: l’inadempimento, come prescritto dalla norma, deve essere «di non scarsa importanza».
546
DIRITTO DI INTERNET N. 3/2019
Sebbene appaia preferibile la qualificazione in termini di somministrazione, essa non appare decisiva ai fini dell’accertamento della responsabilità del provider, nel caso de quo, atteso che non consente – parimenti a quello in termini di licenza d’uso – di riconoscere in capo al provider l’obbligazione di custodia dei dati. Appare, pertanto, condivisibile la scelta, operata dal tribunale di merito, di valorizzazione della sola indicazione normativa emergente in materia, contenuta nella citata direttiva europea e nel decreto attuativo. Sebbene essa non regolamenti l’inadempimento, è sicuramente opportuno tenere conto delle indicazioni dalla stessa emergenti in punto di illiceità dei dati trattati. L’esclusione della responsabilità del provider consegue, infatti, dall’assenza di obblighi di sorveglianza e controllo sull’illiceità dei dati caricati. Se ne può dedurre, come fa il tribunale adito, che, così come il provider non è responsabile degli illeciti, non essendo tenuto ad un controllo preventivo o di sorveglianza dei dati caricati – a meno che sia effettivamente a conoscenza del fatto lesivo e, per quanto concerne gli obblighi risarcitori, sia a conoscenza di circostanze che rendono manifesta l’illiceità dell’attività – non è responsabile per la perdita dei dati, qualora non sia espressamente convenuto tra le parti. Una volta escluso che il contratto obblighi il provider alla custodia e conservazione dei dati caricati, assume valenSempre per la tesi, il contratto, in quanto di durata, viene concluso sulla base di un rapporto di fiducia tra le parti; secondo Giannatasio, la fiducia consiste per il somministrato nel potere di contare nella regolarità e validità delle prestazioni, pertanto al venire meno delle prestazioni pattuite si rompe la fiducia che lega le parti, «non si tratta di una obiettiva impossibilità delle prestazioni ma quello che induce a risolvere l’intero rapporto è l’insicurezza che sorge in ordine all’adempimento delle prestazioni ancora da scadere», La somministrazione, in Tratt. dir. civ. comm., a cura di Cicu – Messineo, Milano, 1974, 218. In giurisprudenza Trib. Napoli 11 maggio 2017, in banca dati Pluris, 2017; Cass. 22 dicembre 2015, n. 25731, in Foro it. 2016, 3, I, 871; Trib. Brindisi Ostuni, 30 dicembre 2011, in Resp. civ., 2012, 11, 759; Trib. Cagliari, 18 maggio 1998, in Riv. giur. Sarda 2001, 33; Cass. 3 settembre 1993, n.9312, in Foro it. 1995, I, 322. È stato però obiettato che l’elemento fiduciario non è tipico del contratto di somministrazione ma piuttosto di quello di appalto, infatti nel contratto di outsourcing emerge in maniera dirompente questo elemento perché non si prevede la fornitura di beni ma di servizi, cfr. Valentino, Manuale, cit., 248. Il richiamo previsto dall’articolo 1570 c.c. rimarca la rilevanza del collegamento tra appalto e somministrazione, sul quale cfr. Bocchini, Somministrazione di servizi, cit., 1112, secondo cui la compatibilità tra le norme della somministrazione e quelle del contratto che corrisponde la singola prestazione non è stata previsto dal legislatore, pertanto sarà compito dell’interprete sondare, di volta in volta, questa compatibilità. In giurisprudenza Cass. 19 marzo 1984, n. 1883 in Giust. civ. Mass. 1984, fasc. 3-4. Trib. Genova 20 febbraio 2006, n. 537 in Guida al diritto, 2006, 33, 34, con nota di Rossi; Giudice di pace Gioiosa Jonica, 1 dicembre 2007, in Redazione Giuffrè 2009; Cass., 26 agosto 2013, n. 19556, in Mass., 2013, p. 617; Cass., 9 ottobre 2012, n. 17197, in Giustizia Civile Massimario 2012, 10, 1194. Diversamente, se si aderisce alla tesi del contratto come licenza d’uso, sarebbe più facile modellare per le parti la disciplina dell’inadempimento, prevedendo clausole di risoluzione o inadempimento, contenendo così il rischio «non prevedibile».
GIURISPRUDENZA CIVILE za residuale, sul piano dell’individuazione del regime di responsabilità, la qualificazione del contratto in termini di somministrazione, piuttosto che di licenza d’uso. Ciò non toglie che la diligenza professionale dei providers debba essere rapportata alla complessità e alla elevata tecnologia connessa all’attività svolta: coloro che operano in questo settore sono tenuti ad una diligenza professionale proporzionata al servizio offerto (26). D’altro canto l’utilizzatore, non potendo da solo svolgere tale attività e volendo potenziare la sua esperienza (27), si attende un livello di competenze elevato e rapportato all’attività svolta, di regola superiore alle proprie conoscenze. Questi ha diritto a ricevere tutte le informazioni riguardanti il contratto stipulato e vanta nei confronti del provider la pretesa ad una condotta diligente, corretta e trasparente (28). Resta fermo, però, che in mancanza di convenzione delle parti, non possa essere ascritta al
(26) Bisogna pertanto attendersi una completezza di dati circa la responsabilità e le clausole contrattuali del negozio stipulato, individuando un livello minimo di informazioni che l’offerente deve fornire al momento della conclusione del contratto. In altre parole, da un lato i service providers devono fornire agli utenti le informazioni necessarie per utilizzare al meglio i servizi e i contenuti messi a loro disposizione e allo stesso tempo devono tutelare gli utenti dalla perdita, imprevedibile, dei dati. Espone il concetto di principio inderogabile; Gambini, Gli hosting providers tra doveri di diligenza professionale e assenza di un obbligo generale di sorveglianza sulle informazioni memorizzate, in Costituzionalismo.it, fasc. 2/2011, 13. (27) Nella casistica giurisprudenziale sono stati analizzati casi in cui venivano citati in giudizio providers per non aver sorvegliato, controllato e impedito l’immissione in rete di documenti, video, foto illecite, sia perché lesive dei diritti della privacy sia perché contrarie alla legge, all’ordine pubblico e al buon costume. Si è fatta la distinzione tra hosting provider «attivo» e «passivo». Anche la Corte di Giustizia dell’Unione Europea si è pronunciata riguardo la responsabilità del provider sia quando svolge attività di hosting passivo, consistente in un’attività di carattere puramente “tecnico, automatico e passivo” tale che l’ISP “non conosce né controlla le informazioni trasmesse o memorizzate”, sia quando svolge attività di hosting attivo, consistente in una qualsiasi forma digestione/intervento/selezione delle informazioni. Si veda Martini - Spagnoli, Ancora sulla responsabilità dell’Internet Service Provider: condanna da 8,5 milioni di euro, in www.ilsole24ore.it. Numerosi Tribunali nazionali, in linea con la Corte e con il dettato degli articoli 15 e 17 del Decreto, hanno sottolineato che neanche il provider attivo ha un obbligo di sorveglianza e controllo preventivo del materiale messo in rete dagli utenti; sia perché si tratterebbe di violazione di libertà di impresa e sia perché si avrebbe un freno dei diritti di informazione e libertà di espressione degli utenti. Il provider non può controllare e filtrare i contenuti caricati. Al riguardo si veda Trib. Roma 3 dicembre 2015, 23771, in Redazione Giuffrè, 2016; Cass. penale, 17 dicembre 2013, 5107, in Diritto dell’Informazione e dell’Informatica, 2014, 225; T.a.r. Roma, 2 marzo 2012, 2156, in Foro amm. TAR, 2012, 3, 799; Trib. Roma, 13 dicembre 2011, in Diritto dell’Informazione e dell’Informatica, 2012, 3, 462; Trib. Milano, 12 aprile 2010, n.1972, in Foro it., 2010, 5, II, 279. (28) Tali elementi dovrebbero trovare necessariamente una regolazione scritta, specialmente nella contrattazione «a distanza»; generalmente grava sul professionista l’obbligo di fornire un supporto durevole che riporti il contenuto del contratto; infine, occorre sottolineare che nell’accordo le parti possono proprio definire l’inadempimento, in questo senso Iaselli, I contratti telematici e contratti cibernetici: natura giuridica e caratteristiche, 2016, Wolters Kluwer.
provider la responsabilità per la perdita dei dati caricati, posto che non è rinvenibile, sul piano legislativo, nessun obbligo in tal senso. Sicché discorrere della misura della diligenza imposta al provider, da individuare anche in base alla qualificazione giuridica del contratto, assume scarso significato riguardo al caso de quo.
4. Conclusioni
Attesa la mancata produzione del contratto, condivisibile è la soluzione apprestata al caso dal Tribunale di Roma. Trattandosi di contratto non tipizzato dal legislatore, al fine dell’individuazione del contenuto obbligatorio dello stesso, il Tribunale non poteva che riferirsi alla disciplina del contratto di appalto, servizi e somministrazione, ma non alla meno importante normativa di derivazione europea, di cui al D. Lgs. n. 70/2003. In vicende analoghe a quella oggetto del giudizio, ove l’obbligo di custodia e conservazione dei dati fosse convenuto dalle parti, vi sarebbero ulteriori profili su cui riflettere, tra i quali quello della validità di eventuali clausole di esonero da responsabilità, da scrutinare anche alla luce delle qualità soggettive dei contraenti. La circostanza che le parti siano entrambi imprenditori, come nel caso in esame, è rilevante ai fini dell’esclusione della tutela di una delle due parti come “parte debole”. Mentre infatti, il consumatore riceve una tutela in relazione sia alle clausole vessatorie sia alle pratiche commerciali scorrette ed ingannevoli, prevista dal Codice del consumo anche con specifico riguardo ai doveri di informazione, comunicazione e responsabilità del professionista (29), nel caso di un contratto stipulato tra due imprese, detto B2B, vi è una parificazione di conoscenze e responsabilità, pertanto non si onera uno dei contraenti di obblighi aggiuntivi (30). Sebbene si riconosca maggiore libertà nella contrattazione, legata ad una presunta parità di informazioni e conoscenze, non è esclusa la nullità delle clausole limitative della responsabilità se si da prova
(29) Non ci si soffermerà in questa sede sugli obblighi informativi in relazione alla contrattazione on-line e tutela del consumatore, al riguardo si veda Cassano, Condizioni generali di contratto e tutela del consumatore nell’era di Internet, in Dir. int., 2007, 8; D’orazio - Zeno Zencovich, Profili di responsabilità contrattuale e aquiliana nella fornitura di servizi telematici, ivi, 1990, 421; Albertini, I contratti di accesso ad Internet, in Giust. civ., 1997, 112; Busacca, Le coordinate della tutela consumeristica on-line: obblighi di informazione e diritto di recesso, in I contratti di Internet, a cura di Lisi, Torino, 2006, 171 ss. (30) Brevemente in questa categoria rientrano i contratti stipulati «dall’imprenditore con fornitori, lavoratori e clienti, per assicurarsi i fattori produttivi necessari allo svolgimento dell’attività di impresa, nonché i contratti quelli finalizzati alla distribuzione commerciale, al finanziamento e alla riscossione dei crediti». Il contratto fra imprese si può presentare come contratto di appalto, subfornitura, somministrazione o trasporto, divenendo la presenza di due imprenditori elemento casuale e non essenziale. La definizione è nell’Enc. Treccani, voce Contratti di imprese, in www.treccani.it
DIRITTO DI INTERNET N. 3/2019
547
GIURISPRUDENZA CIVILE di un abuso di dipendenza tecnologica di una impresa rispetto all’altra, che si realizza quando il contraente predisponente utilizza la propria superiorità tecnica imponendo clausole contrattuali non perequate. L’articolo 9 della L. 18 giugno 1998, n. 192 vieta l’inserimento nel contratto di clausole che non rispondano ad un equo contemperamento degli interessi, nelle quali si traduca l’abuso di potere dell’impresa «forte», rispetto all’impresa «dipendente» (31). Quanto all’ambito di applicazione di tale norma, essa non può comunque trasformarsi in una norma a tutela dell’impresa tutte le volte che vi è uno squilibrio tra le prestazioni. Con riferimento alle clausole di esonero o limitazione della responsabilità, pertanto, occorre sempre condurre una valutazione in concreto, al fine di accertarne la validità.
(31) Sull’abuso di dipendenza economica si veda Libertini, La responsabilità per abuso di dipendenza economica: la fattispecie, in Contr. impr., 2013, 1-19; Cass. 25 novembre 2011, n. 24906, in Nuova Giur. Civ., 2012, 4, 1, 298, con nota di Romano.
548
DIRITTO DI INTERNET N. 3/2019
GIURISPRUDENZA PENALE
Installazione di telecamere private su strade pubbliche: non sempre è violenza privata Corte di C assazione ; sezione V penale; sentenza 13 maggio 2019, n. 20527; Pres. Zaza; Rel. Belmonte; P.M. Spinaci. Nel delitto di violenza privata è tutelata la libertà psichica dell’individuo pregiudicata da qualsiasi mezzo idoneo a comprimere la libertà di autodeterminazione e di azione della persona offesa. Ne consegue che non è integrato il reato de quo in caso di installazione di sistemi di videosorveglianza con riprese del pubblico transito che implichino condizionamenti minimi tali da non potersi considerare espressivi di una significativa costrizione della libertà di autodeterminazione.
…Omissis… Svolgimento del processo. 1. Il Tribunale di Chieti dichiarava P.M. e M.S. colpevoli del reato di violenza privata consistita nell’installare sul muro perimetrale delle rispettive abitazioni telecamere a snodo telecomandabile per ripresa visiva e sonora, orientate su zone e aree aperte al pubblico transito, costringendo gli abitanti della zona, e in particolare le costituite parti civili, a tollerare di essere costantemente osservati e controllati nell’espletamento delle loro attività lavorative e nei loro movimenti; controlli che venivano poi puntualmente riferiti e utilizzati strumentalmente per rimarcare la commissione di presunti illeciti che sarebbero stati perseguiti mediante esposti e denunce effettivamente poi inoltrati alle competenti autorità di P.S.. Il giudice di primo grado condannava, quindi, i due imputati, alla pena di anni uno di reclusione, ciascuno, oltre al pagamento delle spese processuali, e al risarcimento dei danni in favore delle parti civili (I.M., + ALTRI OMESSI), liquidato equitativamente in Euro 1000 cadauno, e alla refusione, in loro favore, delle spese processuali, con la confisca e la distruzione dei reperti. 2. La Corte di Appello di L’Aquila, sull’impugnazione degli imputati, riformava solo per il trattamento sanzionatorio, rideterminando la pena in mesi sei di reclusione ciascuno, la sentenza del Tribunale, confermandola per il resto, con l’ulteriore condanna alla refusione delle spese del grado in favore delle parti civili. 3. Avverso la sentenza della Corte di Appello hanno proposto ricorso entrambi gli imputati con il ministero dei rispettivi difensori. 4. Il difensore di M.S. articola cinque motivi. 4.1. Con i primi tre motivi, sulla premessa che i giudici di merito avevano pronunciato condanna senza considerare la diversità di posizione dei due imputati – non concorrenti nel medesimo reato, ma chiamati a rispondere di autonome fattispecie monosoggettive – il difensore deduce, in sintesi, violazione o erronea applicazione della legge, e correlato vizio della motivazione,
per mancanza, contraddittorietà e manifesta illogicità, con riferimento a tutti gli elementi strutturali del reato di violenza privata. 4.1.1. Quanto all’elemento oggettivo, le telecamere installate sul muro perimetrale della sua abitazione non erano funzionanti, poiché nel periodo in contestazione l’abitazione era disabitata per lavori di ristrutturazione, che riguardarono anche l’impianto elettrico, e, comunque, esse erano prive di microfono, in tal senso richiamando plurime deposizioni testimoniali. 4.1.2. Con riferimento all’elemento soggettivo, le deposizioni testimoniali delle stesse persone offese consentono di escludere l’intento del M. di osservare e controllare gli abitanti della zona, essendo le telecamere finalizzate solo alla tutela della propria sicurezza, peraltro, essendo del tutto inconferente l’episodio, valorizzato dalla Corte territoriale, che vide coinvolta la moglie del M., non quest’ultimo, e, comunque, risalente a due anni prima dei fatti, così come antecedente era l’esposto presentato dall’imputato per denunciare esalazioni provenienti da laboratori artigianali della zona e dalle deiezioni dei cani lasciate dinanzi alla sua abitazione (esposto del 30.4.2011, mentre le telecamere furono istallate a maggio). Richiama giurisprudenza di questa Corte in ordine alla liceità delle videoriprese che attingono luoghi di pubblico transito, peraltro, nel caso di specie, corredate di visibili presidi informativi, e segnala la contraddittorietà tra le due pronunce di merito in ordine alla rilevanza, ai fini della integrazione della fattispecie, della circostanza del mancato funzionamento delle telecamere. 4.1.3. Con riferimento al nesso di causalità, deduce l’insostenibilità della tesi delle pp.oo. circa il cambiamento delle abitudini di vita che avrebbe fatto seguito all’istallazione delle telecamere, alla luce della capillare diffusione di analoghi strumenti di sorveglianza presenti nei centri abitati e normalmente tollerati dalla cittadinanza. 4.2. Con il quarto e il quinto motivo, che attingono la parte relativa al trattamento sanzionatorio, denuncia violazione di legge e vizio della motivazione sia in ordi-
DIRITTO DI INTERNET N. 3/2019
549
GIURISPRUDENZA PENALE ne alla liquidazione del danno in favore delle persone offese – dolendosi che la liquidazione equitativa è stata operata senza tenere conto della concreta e reale entità dei fatti ascritti, e segnalando che alcune persone offese non hanno avanzato alcuna pretesa nei confronti del M. (così D.P.), e ciononostante era stata inflitta condanna sia al risarcimento dei danni che alla refusione delle spese del giudizio per entrambi i gradi – sia per la entità delle pena, troppo elevata, sia per il mancato riconoscimento delle circostanze attenuanti generiche in considerazione della tenuità e del minimo disvalore sociale del fatto. 5. Il difensore di P.M. affida il ricorso a due motivi. 5.1. Deduce, in primis, violazione dell’art. 610 c.p., nella parte in cui la corte territoriale ha affermato che la installazione delle telecamere avesse prodotto un cambiamento delle abitudini di vita degli abitanti della zona, senza considerare che, secondo l’affermato orientamento di legittimità, l’indiscriminata esposizione alla vista altrui di un’area destinata alla pubblica via, non deputata alle manifestazioni di vita privata esclusiva, è incompatibile con una tutela della riservatezza, sicché neppure è rinvenibile, in capo all’imputato, il dolo generico di determinare una costrizione o indurre una tolleranza negli abitanti del quartiere, in capo ai quali non è riconoscibile il diritto alla riservatezza. 5.2. Con il secondo motivo lamenta vizio della motivazione, mancante e manifestamente illogica, avendo la Corte territoriale fondato la propria decisione sull’asserito cambiamento di abitudini di vita prospettato, tuttavia, solo dagli abitanti della zona, costituitisi parti civili e, dunque, portatori di diretto interesse contrario; in ogni caso, alla luce delle stesse testimonianze, si tratterebbe di modifiche, insignificanti e trascurabili. 6. Con memoria inoltrata a mezzo fax il 15/2/2019, e depositata il 21/2/2019, la parte civile I.M. ha replicato alle doglianze degli imputati rifacendosi alle decisioni dei giudici di merito e agli esiti dell’istruttoria dibattimentale, richiamando, in particolare, un esposto datato 8.5.2014, a firma del M. e della moglie del P. corredato di fotogrammi di riprese dall’alto effettuati dalle telecamere, in cui sono riprese fasi dell’attività lavorativa dello I.. Ricorda che, secondo le testimonianze, le telecamere erano occultate dalle fronde degli alberi, e direzionate, non verso le abitazioni degli imputati, ma esclusivamente verso spazi pubblici e tutte con cablaggi ben visibili. Richiama la natura della fattispecie di violenza privata, nella sua accezione ampia, delineata da dottrina e giurisprudenza, nonché le regole fissate in materia di videosorveglianza e i principi ispiratori, per concludere nel senso della illiceità dell’attività posta in essere dagli imputati, anche segnalando, per smentire la deduzione circa il mancato funzionamento della telecamera da questi installata, che l’imputato M. è proprietario di altri appartamenti situati
550
DIRITTO DI INTERNET N. 3/2019
nel medesimo stabile, dove viveva durante la ristrutturazione riguardante solo quello al piano inferiore. Motivi della decisione. 1. Il ricorso è fondato non essendo ravvisabile, nella condotta contestata, il reato di violenza privata. 2. Come correttamente precisato alla Corte di Appello di L’Aquila nella sentenza impugnata, la condotta contestata concerne, non l’acquisizione di immagini relative alla condotta tenuta da cittadini sulla pubblica via, ma il condizionamento esercitato su alcune persone – e segnatamente sulle costituite parti civili – dagli imputati, mediante la istallazione e l’utilizzo di immagini tratte dai filmati registrati dalle telecamere. 2.1. Come si legge nel capo di imputazione, gli imputati, con violenza o comunque con minaccia consistite nell’installare sul muro perimetrale delle rispettive abitazioni, telecamere a snodo telecomandabile per ripresa visiva e sonora su zone e aree comunque aperte al pubblico transito, costringevano gli abitanti della zona, tra cui le parti civili, a tollerare di essere costantemente osservati e controllati nell’espletamento delle loro attività lavorative e nei loro movimenti. Detti controlli erano poi riferiti agli abitanti così ripresi, e utilizzati strumentalmente per rimarcare la commissione di presunti illeciti (schiamazzi, parcheggio delle auto fuori dalle aree di sosta consentite; deiezioni animali abbandonante dinanzi al cancello delle abitazioni, e così via), che sarebbero stati perseguiti medianti esposti e denunce poi effettivamente inoltrati alle autorità competenti. 3. Secondo il consolidato insegnamento di questa Corte, nel delitto di violenza privata è tutelata la libertà psichica dell’individuo, e la fattispecie criminosa ha carattere generico e sussidiario rispetto ad altre figure in cui la violenza alle persone è elemento costitutivo del reato, sicché, esso reprime genericamente fatti di coercizione non espressamente considerati da altre norme di legge, e, per consolidato orientamento di legittimità, il requisito della violenza si identifica in qualsiasi mezzo idoneo a comprimere la libertà di autodeterminazione e di azione della persona offesa (tra le tante, Sez. 2 n. 11522 del 3.3.2009 rv. 244199 che ha definito la libertà morale come libertà di determinarsi spontaneamente secondo motivi propri, sicché alla libertà morale va ricondotta sia la facoltà di formare liberamente la propria volontà sia quella di orientare i propri comportamenti in conformità delle deliberazioni liberamente prese – Sez. 5, n. 40291 del 06/06/2017 Cc. (dep. 05/09/2017) Rv. 271212). In altri termini, come osservato anche dalla dottrina, è troppo restrittiva, ai fini che ci occupano, la definizione di libertà morale come libertà di autodeterminazione, perché essa identifica solo un aspetto della libertà morale e non consente di includervi gli altri aspetti tutelati sotto tale oggettività giuridica, dalla libertà di autodeterminazione secondo motivi propri, fino alla tranquillità psichica (nel
GIURISPRUDENZA PENALE senso della necessaria inclusione della libertà psichica nella oggettività della norma in esame, v. rv 200681). 3.1. Tale principio trova rispondenza in altre pronunce della Corte secondo cui la nozione di violenza è riferibile a qualsiasi atto o fatto posto in essere dall’agente che si risolva comunque nella coartazione della libertà fisica o psichica del soggetto passivo che viene così indotto, contro la sua volontà, a fare, tollerare o omettere qualche cosa, indipendentemente dall’esercizio su di lui di un vero e proprio costringimento fisico (Cass. 39941/2002 rv. 222847; Cass.1176/2013 rv. 254126). È consolidata, infatti, l’opzione ermeneutica secondo cui l’elemento della violenza, nel reato di cui all’art. 610 c.p., si identifica in qualsiasi mezzo idoneo a privare coattivamente l’offeso della libertà di determinazione e di azione, potendo consistere anche in una violenza “impropria”, che si attua attraverso l’uso di mezzi anomali diretti ad esercitare pressioni sulla volontà altrui, impedendone la libera determinazione (Sez. 5, n. 4284 del 29/09/2015 – dep. 2016, Rv. 266020, in fattispecie di chiusura a chiave di una serratura di una stanza; Sez. 5, n. 11907 del 22/01/2010, Rv. 246551, in fattispecie relativa a sostituzione della serratura della porta di accesso di un vano-caldaia; Sez. 5, n. 1195 del 27/02/1998, Rv. 211230, in fattispecie di apposizione di una catena con lucchetto ad un cancello; conf. Sez. 5, n. 10133 del 05/02/2018; Rv. 272672; Sez. 5, n. 10498 del 16/01/2018, Rv. 272666; Sez. 5, n. 1913 del 16/10/2017 Ud. (dep. 17/01/2018) Rv. 272322; Sez. 5, n. 29261 del 24/02/2017, Rv. 270869; Sez. 5, n. 28174 del 14/05/2015, Rv. 265310; Sez. 5, n. 603 del 18/11/2011 Ud. (dep. 12/01/2012) Rv. 252668..) Così, la configurabilità del reato è stata pacificamente ammessa dall’elaborazione giurisprudenziale, senza che il responsabile risultasse aver compiuto atti di violenza o minaccia strictu sensu, in presenza di atti costrittivi o comunque impeditivi, idonei a incidere sulla libertà di autodeterminazione: come nella condotta di chi – intenzionalmente, e rifiutandosi poi di liberare l’accesso, pur senza intemperanze verbali – parcheggi un’auto in modo tale da impedire a un’altra vettura di spostarsi (Cass., Sez. V, n. 16571 del 20/04/2006, Badalamenti), o ostruisca così il passaggio verso un fabbricato (Cass., Sez. V, n. 8425/2014 del 20/11/2013, Iovino), ovvero occupi l’area di sosta riservata ad una specifica persona invalida (Cass., Sez. V, n. 17794 del 23/02/2017, Milano), giacché, ai fini del delitto di violenza privata, non è richiesta una minaccia verbale o esplicita, essendo sufficiente un qualsiasi comportamento o atteggiamento, sia verso il soggetto passivo, sia verso altri, idoneo ad incutere timore ed a suscitare la preoccupazione di subire un danno ingiusto, finalizzato ad ottenere che, mediante tale intimidazione, il soggetto passivo sia indotto a fare, tollerare od omettere qualcosa. (principio affermato già
da sez. 2 n. 11641 del 6.3.1989 rv. 182005; Conf. Sez. 5, n. 48369 del 13/04/2017 Cc. Rv. 271267; Massime precedenti Conformi: N. 603 del 2012 Rv. 252668 -, N. 8425 del 2014 Rv. 259052, N. 46786 del 2014 Rv. 261051, N. 33253 del 2015 Rv. 264549, N. 4284 del 2016 Rv. 266020, N. 29261 del 2017 Rv. 270869). 4. Alla luce di tali coordinate ermeneutiche, si tratta, dunque, di valutare se, nel caso peculiare qui in scrutinio, la condotta dei ricorrenti sia configurabile come violenza privata, ovvero se – sotto il profilo oggettivo e causale – essa possa essere considerata idonea a indurre la descritta coartazione negli abitanti della zona, e, specificamente, nelle parti civili, che, secondo l’editto accusatorio, sarebbero stati così costretti a tollerare di essere costantemente osservati e controllati nell’espletamento delle loro attività lavorative e nei loro movimenti. 5. Ritiene, il Collegio di dare risposta negativa al predetto quesito sulla base più ordini di considerazioni. 5.1. In primis, perché l’installazione di sistemi di videosorveglianza con riprese del pubblico transito non costituisce in sé un’attività illecita, né lo sono le concrete modalità di attuazione della condotta descritta in imputazione, e neppure è ravvisabile, nel prospettato cambiamento di abitudini che si sarebbe registrato da parte di alcuni abitanti – con l’individuare percorsi alternativi per rientrate in casa, o altre aree di sosta dei veicoli, per sottrarsi alle riprese delle telecamere in questione – l’offesa al bene giuridico protetto dalla norma di cui all’art. 610 c.p., trattandosi di condizionamenti minimi indotti dalle condotte de quibus, tali da non potersi considerare espressivi di una significativa costrizione della libertà di autodeterminazione. Si vuole dire che nel fatto tipico della norma incriminatrice in commento non possono farsi rientrare tutti i comportamenti pure astrattamente condizionati da una condotta altrui, ma solo quelli che siano concretamente offensivi del bene giuridico protetto che, come visto, è la libertà di autodeterminazione del soggetto passivo, e tanto nel rispetto del principio di offensività, quale criterio interpretativo idoneo a escludere la tipicità dei fatti che risultino in concreto inoffensivi (in tal senso anche Corte Cost. 18 luglio 1997 n. 247; Corte Cost. 26 marzo 1986 n. 62). In realtà, quando il legislatore definisce determinati tipi di condotta come punibili, non può non riferirsi a comportamenti aventi un determinato significato sociale, non può, cioè, evitare di recepire quelle regole naturali o sociali che, definendone il significato, valgono a individuare le condotte da tipizzare. Sicché, l’offensività propria di ciascuna fattispecie legislativa non dipende solo dalla struttura linguistica della descrizione normativa, ma anche dal significato sociale che essa assume in relazione a un determinato contesto di convenzioni comunicative. 5.2. Nel caso di specie, non può non farsi riferimento – al fine di stabilire se vi fu una concreta lesione della
DIRITTO DI INTERNET N. 3/2019
551
GIURISPRUDENZA PENALE libertà di autodeterminazione dei vicini di casa degli imputati – al necessario contemperamento tra beni e valori ugualmente garantiti; ciò che rileva qui è il bilanciamento tra il valore fondamentale della libertà individuale, e altri, come quello della sicurezza, parimenti presidiati. 5.3. Ora, in materia di riprese tramite strumenti di videosorveglianza, il sistema positivo prevede che chiunque installi un sistema di videosorveglianza deve provvedere a segnalarne la presenza, facendo in modo che qualunque soggetto si avvicini all’area interessata dalle riprese sia avvisato della presenza di telecamere già prima di entrare nel loro raggio di azione. La segnalazione deve essere effettuata tramite appositi cartelli, collocati a ridosso dell’area interessata, ed in modo tale che risultino chiaramente visibili. (“Codice in Materia dei Dati Personali”). Precauzioni e avvertimenti che risultano rispettati nel caso di specie, secondo quanto emerge dalla ricostruzione dei giudici di merito. L’avvertimento in parola è, evidentemente, finalizzato a rendere edotto “quisque de populo” della presenza di strumentazione atta alla captazione di comportamenti che lo riguardano. In tale contesto, se, per un verso, l’avvertimento, rectius, la consapevolezza della presenza del sistema di videosorveglianza può costituire un condizionamento della libertà di movimento del cittadino, d’altro canto, consente a quest’ultimo di determinarsi cognita causa, selezionando i comportamenti consequenziali da tenere. Si tratta, dunque, di un delicato equilibrio di compromesso tra libertà individuali ed esigenze di sicurezza sociale. In tal senso, una recente pronuncia della Corte Edu (C. Giust. UE causa C-212/13 dell’11.12.2014.) ha precisato che, pur non considerandosi la videosorveglianza che si estende allo spazio pubblico, quella cioè installata dal privato e diretta al di fuori della sua sfera privata, un’attività esclusivamente personale o domestica, tuttavia, ciò, che in astratto è illegittimo, può essere considerato lecito se, secondo il giudice nazionale, nel caso concreto, vi sia un legittimo interesse del responsabile del trattamento alla protezione dei propri beni come la salute, la vita propria o della sua famiglia, la proprietà privata. In tali casi, il trattamento di dati personali può essere effettuato senza il consenso dell’interessato, se ciò è strettamente necessario alla realizzazione dell’interesse del responsabile del trattamento. La Corte ha precisato che, ricorrendo tali condizioni, è sufficiente la informazione alle persone della presenza del predetto sistema. Alla luce di quanto emerge dalla ricostruzione fattuale consegnata dalla sentenza impugnata, non può ragionevolmente escludersi che il sistema di videoripresa attuato dagli imputati fosse finalizzato proprio alla protezione degli indicati beni primari della sicurezza, della vita e della proprietà privata, essendo stata, peraltro, rispettata la prescrizione della preventiva informativa al pubblico. 6. Il Collegio osserva altresì, che la risposta negativa al predetto quesito è indotta anche dall’accreditata erme-
552
DIRITTO DI INTERNET N. 3/2019
neusi di questa Corte secondo cui non può ritenersi integrato il reato di cui all’art. 610 c.p. laddove non sia ravvisabile, per le caratteristiche dell’azione, una costrizione a tollerare alcunché di ulteriore e diverso dalla condotta che già sia integrativa di altre fattispecie di reato. Come hanno puntualizzato le Sezioni Unite di questa Corte, l’elemento oggettivo del reato di cui all’art. 610 c.p., è costituito da una violenza o da una minaccia che abbiano l’effetto di costringere taluno a fare, tollerare, od omettere una determinata cosa; la condotta violenta o minacciosa “deve atteggiarsi alla stregua di mezzo destinato a realizzare un evento ulteriore: vale a dire la costrizione della vittima a fare, tollerare od omettere qualche cosa; deve dunque trattarsi di “qualcosa” di diverso dal “fatto” in cui si esprime la violenza”, sicché “la coincidenza tra violenza” – e, può aggiungersi, minaccia – “ed evento di “costrizione a tollerare” rende tecnicamente impossibile la configurabilità del delitto di cui all’art. 610 c.p. “ (Sez. U, n. 2437 del 18/12/2008 – dep. 21/01/2009, Giulini, in motivazione). Non è configurabile, cioè, il delitto di violenza privata allorquando gli atti di violenza non siano diretti a costringere la vittima ad un “pati”, ma siano essi stessi produttivi dell’effetto lesivo, senza alcuna fase intermedia di coartazione della libertà di determinazione della persona offesa (Sez. 5, n. 47575 del 07/10/2016 Cc., Rv. 268405). 6.1. E, allora, anche a volere ritenere integrata, nell’istallazione delle telecamere e nella connessa videoripresa, una violenza “c.d. impropria” come ricostruito dall’editto accusatorio, è di tutta evidenza che l’azione (installazione delle telecamere) ha conseguito immediatamente il suo effetto (ripresa delle attività svolte nella pubblica via dagli abitanti della zona) senza che vi sia stata alcuna fase intermedia e distinta di coartazione della libertà di determinazione delle persone offese, introdotta qui solo attraverso una evidente forzatura dialettica, volta a scindere l’atto di asserita violenza (installazione delle telecamere) dal suo effetto (ripresa video), per cogliere nel secondo l’atto coartato della vittima. (Sez. 5, n. 10132 del 05/02/2018 Ud. (dep. 06/03/2018), Va, cioè, rimarcata la necessità che, ai fini dell’integrazione della fattispecie di violenza privata, vi sia distinzione tra condotta – violenta o minacciosa – ed evento/”costrizione” a cui tale condotta sia finalizzata. (Sez. 5, n. 1215 del 06/11/2014 – dep. 13/01/2015, Rv. 261743, che ha sottolineato la necessità, ai fini della configurabilità del reato di cui all’art. 610 c.p., di un aliquid diverso dal fatto concretante la violenza). La risposta negativa al quesito se, nel caso di specie, così come ricostruito dalla sentenza impugnata, sia ravvisabile la costrizione a tollerare “qualcosa” di diverso” dai fatti di violenza o minaccia contestati, fa leva sulle connotazioni dell’azione e sul connesso difetto della necessaria alterità rispetto all’evento tipico previsto dalla norma incriminatrice di cui all’art. 610 c.p..
GIURISPRUDENZA PENALE 7. Quanto, poi, alle successive condotte, di cui pure vi è traccia nell’imputazione, con le quali i ricorrenti avrebbero rappresentato, in plurime occasioni, l’intenzione – peraltro attuata – di sporgere denuncia per i fatti illeciti emergenti dalle videoriprese, trattasi di condotte in ordine alle quali possono al più ritenersi integrati i singoli reati di minaccia, di molestia, di ingiuria, ma non quello di violenza privata. Trattasi, infatti, di un uso strumentale o molesto delle immagini catturate dalle telecamere di videosorveglianza, attuato successivamente a tale azione e, dunque, estraneo allo schema legale della fattispecie di violenza privata. Si è già detto che la definizione di libertà morale comprende sia la libertà di autodeterminazione, che altri aspetti tutelati sotto tale oggettività giuridica, fino a ricomprendervi la tranquillità psichica. Perché ricorra la lesione della libertà psichica occorre, però, che il
soggetto passivo percepisca, anche solo in parte, l’azione costrittiva dell’agente, mentre essa viene attuata, dovendosi ritenere che quando l’azione sia percepita dopo che essa è stata interamente compiuta, il reato configurabile può essere quello di molestie ex art. 660 c.p. (Cass. 6 marzo 1953, Brosio, riv. Pen. 1953, 11, 1032) 8. L’epilogo del presente giudizio di legittimità è l’annullamento senza rinvio della sentenza impugnata perché il fatto non sussiste, a cui consegue la revoca delle statuizioni rese nei gradi di merito in favore delle costituite parti civili. P.Q.M. Annulla la sentenza impugnata senza rinvio perché il fatto non sussiste e revoca le statuizioni civili. Così deciso in Roma, il 7 marzo 2019. Depositato in Cancelleria il 13 maggio 2019
Il Commento di Michele Iaselli
Sommario: 1. La configurabilità del delitto di violenza privata. – 2. Rapporti tra videosorveglianza e violenza privata. – 3. Conclusioni. L’installazione di sistemi di videosorveglianza con riprese del pubblico transito non configura il delitto di violenza privata quando manca l’elemento della coartazione della libertà fisica o psichica del soggetto passivo con conseguente costrizione della libertà di autodeterminazione da intendersi come il bene giuridico protetto. The installation of video surveillance systems with footage of the public transit does not constitute the crime of private violence when the element of the coercion of physical or mental freedom of the passive subject is missing, with consequent constraint of the freedom of self-determination to be understood as the protected legal asset.
1. La configurabilità del delitto di violenza privata
La Suprema Corte con la sentenza n. 20527/2019 ha affrontato il complesso tema della configurabilità del reato di violenza privata (art. 610 c.p.) nel caso di installazione sul muro perimetrale di proprietà private di telecamere a snodo telecomandabile per ripresa visiva e sonora, orientate su zone e aree aperte al pubblico transito, con l’inevitabile conseguenza di costringere gli abitanti della zona, a tollerare di essere costantemente osservati e controllati nell’espletamento delle loro attività lavorative e nei loro movimenti. Nel caso di specie, poi, la situazione era anche esasperata in quanto tali controlli venivano puntualmente riferiti e utilizzati strumentalmente per rimarcare la commissione di presunti illeciti che sarebbero stati perseguiti mediante esposti e denunce effettivamente poi inoltrati alle competenti autorità di P.S. Indubbiamente la fattispecie esaminata dalla Suprema Corte è un po’ singolare poiché, nella maggior parte
dei casi, l’installazione di telecamere da parte di singoli proprietari privati dà luogo a problematiche inerenti la possibile violazione del reato di interferenze illecite nella vita privata (art. 615-bis c.p.), specialmente con riferimento a condomini, per cui l’angolo visuale delle riprese deve essere comunque limitato ai soli spazi di propria esclusiva pertinenza (ad esempio antistanti l’accesso alla propria abitazione) escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni (cortili, pianerottoli, scale, garage comuni) ovvero ad ambiti antistanti l’abitazione di altri condomini. In alcuni casi il reato di interferenze illecite è stato escluso perché il disvalore penale non è ricollegato alla mera assenza del consenso da parte di chi viene ripreso. In altri casi per mancanza del requisito di “luoghi di privata dimora”, oppure perché oggetto della tutela di cui all’art. 615 bis è la riservatezza della persona in rapporto ai luoghi indicati nell’art. 614 cod. pen. ri-
DIRITTO DI INTERNET N. 3/2019
553
GIURISPRUDENZA PENALE chiamato dall’art. 615 bis – tra i quali, ad esempio, non rientra l’autovettura che si trovi sulla pubblica via (1). Si ricorda che nel provvedimento generale del Garante sulla videosorveglianza dell’8 aprile 2010, ancora valido, laddove conforme dopo l’avvento del Regolamento UE n. 2016/679 sulla protezione dei dati personali, vengono sanciti dei principi fondamentali da rispettare nel caso di installazione di telecamere. In particolar modo viene precisato che l’installazione di telecamere è lecita solo se è proporzionata agli scopi che si intendono perseguire. Gli impianti di videosorveglianza devono essere attivati solo quando altre misure siano insufficienti o inattuabili. L’eventuale conservazione delle immagini deve essere limitata nel tempo. I cittadini devono sapere sempre e comunque se un’area è sottoposta a videosorveglianza. Se è vero che il diritto alla protezione dei dati personali non pregiudica l’adozione di misure efficaci per garantire la sicurezza e l’accertamento degli illeciti è anche vero che l’installazione di sistemi di videosorveglianza non deve però violare la privacy dei cittadini e deve essere conforme alla normativa. Ben diverso, invece, è il caso in cui la condotta contestata concerne, non l’acquisizione di immagini relative alla condotta tenuta da cittadini sulla pubblica via, ma il condizionamento esercitato su alcune persone dagli imputati, mediante la installazione e l’utilizzo di immagini tratte dai filmati registrati dalle telecamere. In tal caso la Suprema Corte ha più volte affermato che nel delitto di violenza privata è tutelata la libertà psichica dell’individuo, e la fattispecie criminosa ha carattere generico e sussidiario rispetto ad altre figure in cui la violenza alle persone è elemento costitutivo del reato, sicché, esso reprime genericamente fatti di coercizione non espressamente considerati da altre norme di legge, e, per consolidato orientamento di legittimità, il requisito della violenza si identifica in qualsiasi mezzo idoneo a comprimere la libertà di autodeterminazione e di azione della persona offesa (2). In altri termini, come osservato
(1) Cassazione penale, sez. V, sentenza 13 giugno 2018 n. 27160, Rv. 273554; Cassazione penale, sez. V, sentenza 12 luglio 2017 n° 34151, Rv. 270679; Cassazione Penale, sez. VI, sentenza 23 marzo 2017, n. 14253; Cassazione Penale, sez. V, sentenza 2 ottobre 2007, n. 36068; Cassazione Penale, sez. V, sentenza 18 marzo 2008, n. 12042 e Cassazione Penale, sez. V, sentenza 9 luglio 2009, n. 28251, Rv. 244196. (2) V. Cassazione Penale, sez. II, sentenza 3 marzo 2009, n. 11522, rv. 244199, che ha definito la libertà morale come libertà di determinarsi spontaneamente secondo motivi propri, sicché alla libertà morale va ricondotta sia la facoltà di formare liberamente la propria volontà sia quella di orientare i propri comportamenti in conformità delle deliberazioni liberamente prese (d’altro canto, non è necessario che la condotta incriminata sia esplicitamente connotata da violenza o minaccia essendo sufficiente qualsiasi mezzo idoneo a privare coattivamente l’offeso della libertà di determinazione e di azione). In particolare la S.C. ha sostenuto che integra il reato di violenza privata (art. 610 cod. pen.) – e non quello di interferenze illecite nella vita privata (art. 615 bis cod. pen.)
554
DIRITTO DI INTERNET N. 3/2019
anche dalla dottrina (3), la definizione di libertà morale come libertà di autodeterminazione, è troppo restrittiva, perché essa identifica solo un aspetto della libertà morale e non consente di includervi gli altri aspetti tutelati sotto tale oggettività giuridica, dalla libertà di autodeterminazione secondo motivi propri, fino alla tranquillità psichica (4). In sostanza, secondo la Corte, la nozione di violenza è riferibile a qualsiasi atto o fatto posto in essere dall’agente che si risolva comunque nella coartazione della libertà fisica o psichica del soggetto passivo che viene così indotto, contro la sua volontà, a fare, tollerare o omettere qualche cosa, indipendentemente dall’esercizio su di lui di un vero e proprio costringimento fisico (5). La stessa configurabilità del reato è stata, quindi, pacificamente ammessa dall’elaborazione giurisprudenziale, senza che il responsabile risultasse aver compiuto atti di violenza o minaccia strictu sensu, in presenza di atti costrittivi o comunque impeditivi, idonei a incidere sulla libertà di autodeterminazione: come nella condotta di chi – intenzionalmente, e rifiutandosi poi di liberare l’accesso, pur senza intemperanze verbali – parcheggi un’auto in modo tale da impedire a un’altra vettura di spostarsi (6). In altri termini ai fini del delitto di violenza privata, non è richiesta una minaccia verbale o esplicita, essendo sufficiente un qualsiasi comportamento o atteggiamento, sia verso il soggetto passivo, sia verso altri, idoneo ad incutere timore ed a suscitare la preoccupazione di subire un danno ingiusto, finalizzato ad ottenere che, mediante tale intimidazione, il soggetto passivo sia indotto a fare, tollerare od omettere qualcosa (7).
2. Rapporti fra videosorveglianza e violenza privata
Alla luce, quindi, di tale consolidata interpretazione giurisprudenziale la Suprema Corte dopo un’accurata analisi ritiene che, nel caso di specie, la condotta dei ricorrenti non sia configurabile come violenza privata, – la condotta di colui che introduca una telecamera sotto la porta di una ‘toilette pubblica in modo da captare immagini di un minore che si trovi all’interno di essa (nella specie bagno di una stazione) – considerato che la ‘toilette pubblica non può essere considerata un domicilio, ex art. 614 cod. pen. richiamato dall’art. 615 bis, neppure nel tempo in cui sia occupata da una persona. (3) Brignone, Obblighi di informazione e responsabilità penale del medico, in Riv. Pen., 2009, 1231 e ss. (4) Paiusco, Violenza privata e parcheggio riservato a disabili, in Giur. It., 2017, 2495-2497. (5) V. Cassazione Penale, sez. II, sent. 25 settembre 2002, n. 39941, Rv. 222847; Cass. pen. sez. II, 11 ottobre 2012, n. 1176, Rv. 254126. (6) V. Cassazione Penale, sez. V, 20 aprile 2006, n. 16571, Rv. 234458. (7) V. Cassazione Penale, sez. V, 13 aprile 2017, n. 48369, Rv. 271267.
GIURISPRUDENZA PENALE né sotto il profilo oggettivo e causale, può essere considerata idonea a indurre la descritta coartazione negli abitanti della zona, e, specificamente, nelle parti civili, che sarebbero stati così costretti a tollerare di essere costantemente osservati e controllati nell’espletamento delle loro attività lavorative e nei loro movimenti (8). L’organo giurisdizionale giunge a tale conclusione sulla base di una serie di motivazioni. Innanzitutto perché l’installazione di sistemi di videosorveglianza con riprese del pubblico transito non costituisce in sé un’attività illecita, né lo sono le concrete modalità di attuazione della condotta descritta in imputazione, e neppure è ravvisabile, nel prospettato cambiamento di abitudini che si sarebbe registrato da parte di alcuni abitanti, con l’individuare percorsi alternativi per rientrate in casa, o altre aree di sosta dei veicoli, per sottrarsi alle riprese delle telecamere in questione, l’offesa al bene giuridico protetto dalla norma di cui all’art. 610 c.p., trattandosi di condizionamenti minimi tali da non potersi considerare espressivi di una significativa costrizione della libertà di autodeterminazione da intendersi come il bene giuridico protetto. Proprio per valutare l’effettiva lesione di tale bene nel caso di specie bisogna tener conto di quel necessario bilanciamento tra beni e valori ugualmente garantiti e cioè da un lato il valore fondamentale della libertà individuale e dall’altro quello della sicurezza, parimenti presidiati. Nel caso di riprese tramite strumenti di videosorveglianza, la normativa in materia di protezione dei dati personali ed in particolare il provvedimento generale del Garante sulla videosorveglianza già menzionato, prevede che chiunque installi un sistema di videosorveglianza deve provvedere a segnalarne la presenza, facendo in modo che qualunque soggetto che si avvicini all’area interessata dalle riprese sia avvisato della presenza di telecamere già prima di entrare nel loro raggio di azione (9). La segnalazione deve essere effettuata tramite appositi cartelli, collocati a ridosso dell’area interessata, ed in modo tale che risultino chiaramente visibili (informativa minima). Tali precauzioni risultano rispettate nel caso di specie, secondo quanto emerge dalla ricostruzione dei giudici di merito. In tal modo, quindi, secondo la S.C. si configura quel delicato equilibrio di compromesso tra libertà individuali ed esigenze di sicurezza sociale, poiché sebbene la consapevolezza della presenza del sistema di videosorveglianza può costituire un condizionamento della libertà di movimento del cittadino, (8) De Falco, “Mobbing”: il difficile equilibrio tra prospettazione e dimostrazione del pregiudizio, in Il diritto del mercato del lavoro, 2014, 45-62. (9) Gambini, Videosorveglianza su parti comuni e regolamento europeo sulla “privacy”, in Archivio delle locazioni, del condominio e dell’immobiliare, 2019, 22-26.
consente a quest’ultimo di determinarsi di conseguenza, selezionando i comportamenti da tenere. In tal senso, una recente pronuncia della CGUE (10) ha precisato che, pur non considerandosi la videosorveglianza che si estende allo spazio pubblico, quella cioè installata dal privato e diretta al di fuori della sua sfera privata, un’attività esclusivamente personale o domestica, tuttavia, ciò, che in astratto è illegittimo, può essere considerato lecito se, secondo il giudice nazionale, nel caso concreto, vi sia un legittimo interesse del responsabile del trattamento alla protezione dei propri beni come la salute, la vita propria o della sua famiglia, la proprietà privata. In tali casi, il trattamento di dati personali può essere effettuato senza il consenso dell’interessato, se ciò è strettamente necessario alla realizzazione dell’interesse del responsabile del trattamento. La Corte, quindi, nel fornire un’interpretazione autentica della nozione di “esercizio di attività a carattere esclusivamente personale o domestico” in relazione all’utilizzo da parte di una persona fisica di videocamere installate in corrispondenza della propria abitazione per proteggere i beni, la salute e la vita dei proprietari della medesima e tale tuttavia da sorvegliare anche lo spazio pubblico prospiciente, con registrazione continua delle immagini riprese, ha probabilmente aperto la strada a nuove interpretazioni che si ispirano, tra l’altro, a principi propri del regolamento comunitario sulla protezione dei dati personali, specie in merito all’individuazione delle ipotesi rientranti nella clausola di esclusione dal novero del trattamento di dati personali di cui alla normativa (11).
(10) Sent. 11 dicembre 2014, causa C-212/13, František Ryneš c. Ú adpro ochranu osobních údaj. (11) Nel caso di specie, difatti, la Corte di Giustizia ha ritenuto che l’articolo 3, paragrafo 2, secondo trattino, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, dev’essere interpretato nel senso che l’utilizzo di un sistema di videocamera, che porta a una registrazione video delle persone immagazzinata in un dispositivo di registrazione continua quale un disco duro, installato da una persona fisica sulla sua abitazione familiare per proteggere i beni, la salute e la vita dei proprietari dell’abitazione, sistema che sorveglia parimenti lo spazio pubblico, non costituisce un trattamento dei dati effettuato per l’esercizio di attività a carattere esclusivamente personale o domestico, ai sensi di tale disposizione. Secondo i giudici europei la nozione di “dati personali” che compare nella disposizione in esame, va interpretata conformemente alla definizione che figura nell’articolo 2, lettera a), della direttiva 95/46, “qualsiasi informazione concernente una persona fisica identificata o identificabile”. Per cui è considerata identificabile “la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento (...) ad uno o più elementi specifici caratteristici della sua identità fisica”. Di conseguenza, l’immagine di una persona registrata da una telecamera costituisce un dato personale ai sensi della disposizione menzionata nel punto precedente se e in quanto essa consente di identificare la persona interessata. Inoltre non v’è dubbio che un’attività di trattamento dati svolta attraverso un apparato di videosorveglianza che si
DIRITTO DI INTERNET N. 3/2019
555
GIURISPRUDENZA PENALE In ogni caso, come sostenuto dalla Corte a Sezioni Unite, l’elemento oggettivo del reato di cui all’art. 610 c.p., è costituito da una violenza o da una minaccia che abbiano l’effetto di costringere taluno a fare, tollerare, od omettere una determinata cosa; la condotta violenta o minacciosa “deve atteggiarsi alla stregua di mezzo destinato a realizzare un evento ulteriore: vale a dire la costrizione della vittima a fare, tollerare od omettere qualche cosa; deve dunque trattarsi di “qualcosa” di diverso dal “fatto” in cui si esprime la violenza”, sicché la coincidenza tra violenza e, può aggiungersi, minaccia ed evento di “costrizione a tollerare” rende tecnicamente impossibile la configurabilità del delitto di cui all’art. 610 c.p. (12). In altri termini, non è configurabile il delitto di violenza privata allorquando gli atti di violenza non siano diretti a costringere la vittima ad un “pati”, ma siano essi stessi produttivi dell’effetto lesivo, senza alcuna fase intermedia di coartazione della libertà di determinazione della persona offesa. Nel caso di specie, sostiene la Corte, anche a volere ritenere integrata, nell’istallazione delle telecamere e nella connessa videoripresa, una violenza “c.d. impropria”, è di tutta evidenza che l’azione (installazione delle telecamere) ha conseguito immediatamente il suo effetto (ripresa delle attività svolte nella pubblica via dagli abitanti della zona) senza che vi sia stata alcuna fase intermedia e distinta di coartazione della libertà di determinazione delle persone offese.
3. Conclusioni
Naturalmente questa decisione della Suprema Corte non deve dare luogo ad equivoci, poiché non dice affatto che sia sempre lecito installare videocamere private che riprendano luoghi pubblici ad arbitrio del privato senza altro vincolo di un cartello di avviso visibile da chi passi nell’area ripresa, anzi, come precisato in precedenza, in determinati casi la stessa Autorità Garante ha chiarito che l’angolo visuale delle riprese deve essere comunque limitato ai soli spazi di propria esclusiva pertinenza per evitare la configurabilità dell’art. 615- bis c.p. Ciò che invece la Suprema Corte esclude, nel caso in esame, è la configurabilità del reato di violenza privata. Anzi la Suprema Corte argomentando anche da decisioni comunitarie, sottolinea che il privato può anche riprendere dei luoghi pubblici con la telecamera, purché vi siano ragioni oggettive che giustifichino il trattamento di immagini che riprendono terzi, quale appunto l’esistenza di un “legittimo interesse” dell’interessato che
ovviamente deve esistere in concreto e ben circostanziato. Tale interesse, deve, inoltre, avere una rilevanza significativa, tale da prevalere sui diritti e le libertà di terzi che potrebbero essere messi a rischio. Si pensi appunto alla necessità di difendere beni come la salute, la vita propria o della sua famiglia o la proprietà privata. D’altro canto la raccolta e l’uso delle immagini sono consentiti solo se fondati su presupposti di liceità: cioè, per i soggetti pubblici, quando siano necessari allo svolgimento di funzioni istituzionali e, per i privati, quando siano necessari per adempiere ad obblighi di legge o effettuate per tutelare un legittimo interesse (13). Inoltre, prima di installare un impianto di videosorveglianza occorre valutare se la sua utilizzazione sia realmente proporzionata agli scopi perseguiti o se non sia invece superflua. Gli impianti devono cioè essere attivati solo quando altre misure (sistemi d’allarme, altri controlli fisici o logistici, misure di protezione agli ingressi ecc.) siano realmente insufficienti o inattuabili. Ovviamente tutt’altro discorso è l’installazione di telecamere nell’ambito di un condominio da parte di singoli condomini, purché queste non invadano la sfera privata degli altri condomini. Non è consentita, quindi, la ripresa di aree comuni o antistanti altre abitazioni. In tal caso, difatti, come chiarito dallo stesso provvedimento generale sulla videosorveglianza la disciplina sulla protezione dei dati personali non trova applicazione qualora i dati non siano comunicati sistematicamente a terzi ovvero diffusi, risultando comunque necessaria l’adozione di cautele a tutela dei terzi (si pensi a disposizioni in tema di responsabilità civile e di sicurezza dei dati). In tali ipotesi il trattamento dei dati viene svolto per fini esclusivamente personali e vi possono rientrare, a titolo esemplificativo, strumenti di videosorveglianza idonei ad identificare coloro che si accingono ad entrare in luoghi privati (videocitofoni ovvero altre apparecchiature che rilevano immagini o suoni, anche tramite registrazione), oltre a sistemi di ripresa installati nei pressi di immobili privati ed all’interno di condomini e loro pertinenze (quali posti auto e box).
estende, anche se solo parzialmente, allo spazio pubblico, non può essere considerata un’attività esclusivamente “personale o domestica”. (12) Cassazione Penale, Sezioni Unite, 18 dicembre 2008, n. 2437, Rv. 268405.
556
DIRITTO DI INTERNET N. 3/2019
(13) Biasiotti, Gli impianti di videosorveglianza. Pianificazione, operatività, manutenzione e privacy, Roma, 2019.
GIURISPRUDENZA PENALE
L’utilizzabilità probatoria delle riprese audio e video in contesti ambientali riservati Corte di C assazione ; sezione V penale; sentenza 18 aprile 2019, n. 17155; Pres. Sabeone; Rel. Tudino; P.M. Lignola. In riferimento alle registrazioni operate da privati, sono utilizzabili a fini probatori nel processo penale le rilevazioni effettuate dal datore di lavoro anche laddove l’installazione dei dispositivi sia stata effettuata in violazione delle garanzie procedurali previste dalla L. 20 maggio 1970, n. 300, art. 4, comma 2, anche in riferimento alla mancanza dell’accordo con le organizzazioni sindacali, in quanto siffatte garanzie riguardano soltanto i rapporti di diritto privato tra datore di lavoro e lavoratori, ma non possono avere rilievo nell’attività di accertamento e repressione di fatti costituenti reato, al pari della violazione della disciplina a tutela della privacy.
…Omissis… Svolgimento del processo. 1. Con la sentenza impugnata del 27 febbraio 2017, la Corte d’appello di Ancona ha, in parziale riforma della decisione del Tribunale di Pesaro del 9 luglio 2015, con la quale è stata affermata la responsabilità penale di S.B. in ordine al delitto di furto aggravato e continuato, qualificato i fatti ai sensi dell’art. 646 c.p., rideterminando il trattamento sanzionatorio, con le statuizioni accessorie. I fatti – contestati all’imputata nella qualità di dipendente del bar tabacchi di G.G. – riguardano la sottrazione di denaro ed oggetti in vendita per quasi 50.000,00 Euro. 2. Avverso la sentenza della Corte d’appello di Ancona ha proposto ricorso l’imputata per mezzo del difensore, …Omissis…, affidando le proprie censure a tre motivi. 2.1. Con il primo, deduce violazione di norme processuali stabilite a pena di inutilizzabilità in riferimento alle riprese video, acquisite a carico della dipendente in assenza di preventivo accordo con le rappresentanze sindacali. …Omissis… Motivi della decisione. 1. Il ricorso è inammissibile. 2. È manifestamente infondata la questione di inutilizzabilità prospettata nel primo motivo di ricorso. 2.1. Secondo il consolidato orientamento di legittimità, sono utilizzabili le videoregistrazioni aventi ad oggetto comportamenti comunicativi e non in luoghi non riconducibili al concetto di domicilio, se le riprese sono state eseguite in luoghi pubblici, aperti o esposti al pubblico per esigenze lavorative e non (V. Sez. 5, n. 11419 del 17/11/2015 - dep. 2016, Davanzo, Rv. 266373), in quanto qualificabili come prova atipica disciplinata dall’art. 189 c.p.p., anche ove disposte dalla polizia giudiziaria nel corso delle indagini preliminari (Sez. 2, n. 22972 del
16/02/2018, Barnaba, Rv. 273000, N. 37698 del 2008 Rv. 241946, N. 41332 del 2015 Rv. 264889). 2.2. In riferimento alle registrazioni operate da privati, in particolare, sono utilizzabili a fini probatori nel processo penale le rilevazioni effettuate dal datore di lavoro anche laddove l’installazione dei dispositivi sia stata effettuata in violazione delle garanzie procedurali previste dalla L. 20 maggio 1970, n. 300, art. 4, comma 2, anche in riferimento alla mancanza dell’accordo con le organizzazioni sindacali, in quanto siffatte garanzie riguardano soltanto i rapporti di diritto privato tra datore di lavoro e lavoratori, ma non possono avere rilievo nell’attività di accertamento e repressione di fatti costituenti reato (Sez. 2, n. 33567 del 12/05/2016, Lentinu, Rv. 267476, N. 30177 del 2013 Rv. 256640), al pari della violazione della disciplina a tutela della privacy (Sez. 2, n. 28367 del 21/04/2017, De Rosa, Rv. 270362). 2.3. Nel caso in esame, le registrazioni operate all’interno del pubblico esercizio dalla titolare sono, pertanto, pienamente utilizzabili nel procedimento penale, con conseguente manifesta infondatezza della relativa censura. …Omissis… P.Q.M. Dichiara inammissibile il ricorso e condanna la ricorrente al pagamento delle spese del procedimento e della somma di Euro 2.000,00 a favore della Cassa delle ammende. Così deciso in Roma, il 12 marzo 2019. Depositato in Cancelleria il 18 aprile 2019
DIRITTO DI INTERNET N. 3/2019
557
GIURISPRUDENZA PENALE Corte di C assazione ; sezione VI penale; sentenza 1° aprile 2019, n. 14150; Pres. Paoloni; Rel. Vigna; P.M. Aniello. Le riprese audio e video eseguite presso un istituto di istruzione (procedendosi nella specie per il reato di cui all’articolo 572 del codice penale in danno di minori, in ipotesi commesso da insegnanti) sono ritualmente eseguite ove autorizzate ai sensi dell’articolo 266 del codice di procedura penale, senza la necessità del rispetto delle condizioni di cui al comma 2 del citato articolo, non trattandosi di intercettazioni da eseguire in luogo di privata dimora.
…Omissis… Svolgimento del processo. 1. Con il provvedimento impugnato, il Tribunale di Bari, in funzione di tribunale del riesame, ha accolto, con riguardo alla tipologia di misura applicata, la richiesta di riesame presentata nell’interesse di M.L. avverso l’ordinanza del Giudice per le indagini preliminari del Tribunale di Bari del 19 ottobre 2018 con la quale era stata applicata la misura degli arresti domiciliari in relazione al concorso, anche mediante omissione, nel reato di maltrattamenti ai danni dei minori della scuola materna per l’infanzia ove la stessa svolgeva le funzioni di insegnante (artt. 110 e 572 c.p. tra il 18 settembre 2017 e il 10 aprile 2018), sostituendo la misura con quella del divieto di esercitare la professione di insegnante e di educatore per un periodo di dodici mesi. 1.1. Con concorde valutazione di entrambi i giudici della fase cautelare è stata ritenuta sussistente la gravità indiziaria dell’indicato delitto, con riguardo a una serie di episodi di maltrattamenti perpetrati da quattro insegnanti, due titolari e due supplenti, della scuola materna in danno di alcuni minori dell’età di età compresa tra tre e quattro anni loro affidati. Secondo il Tribunale, gli illeciti sono stati svelati a seguito delle indagini avviate sulla scorta della denuncia della madre di un minore, arricchite dalle dichiarazioni di altri genitori nonché dalle intercettazioni audio-video operate presso la struttura educativa. Ad avviso del Tribunale del riesame, le testimonianze raccolte e la visione dei video esprimono il clima di tensione emotiva sistematicamente instaurato all’interno della scuola, connotato da urla, reazioni esagerate aventi ad oggetto la punizione e la correzione degli alunni, nonché episodi di compressione della libertà di locomozione, caratterizzati non da comportamenti isolati, ma da condotte ripetute nel tempo nei confronti di una pluralità di minori affidati alle cure delle insegnanti; condotte che hanno costituito risposte certamente sproporzionate rispetto alle cause e alle finalità perseguite. In particolare, le condotte delineate nei resoconti dei genitori e quelle estrapolate dei video descrivono dettagliatamente, secondo il tribunale del riesame, l’utilizzo in funzione educativa da parte delle insegnanti di metodi di natura fisica, psicologica e morale lesivi della dignità dell’alunno e umilianti per le modalità di esecuzione
558
DIRITTO DI INTERNET N. 3/2019
che trasmodano dal contesto di una risposta educativa dell’istituzione scolastica proporzionata alla gravità del comportamento deviante dell’alunno. …Omissis… 2. Ricorre M.L., a mezzo del difensore …Omissis…, che chiede l’annullamento dell’ordinanza impugnata, formulando due motivi di ricorso. 2.1. Con il primo motivo denuncia la violazione di legge, in relazione all’art. 266 c.p.p., con riguardo alla ritenuta utilizzabilità delle intercettazioni che, pur autorizzate, sono state effettuate in un luogo di privata dimora, tale dovendosi qualificare la struttura scolastica, e perciò in violazione di legge. …Omissis… Motivi della decisione. 1. Il ricorso è inammissibile. 2. È inammissibile il primo motivo di ricorso poiché generico e reiterativo di argomentazioni già sviluppate nel giudizio di merito motivatamente respinte dal Tribunale del riesame con puntuale applicazione del consolidato orientamento della giurisprudenza di legittimità che il ricorso contesta. 2.1. Conformemente ai principi espressi da S.u. D’Amico (Sez. U, n. 31345 del 23/03/2017, D’Amico, Rv. 270076), la giurisprudenza di legittimità ha affermato, proprio con riguardo agli istituti scolastici di istruzione, che “non è configurabile il reato di violazione di domicilio, qualora, nel corso di una manifestazione di protesta, taluni soggetti, interrompendo l’attività didattica, accedano nella sede di un istituto scolastico, poiché tale luogo non è riconducibile alla nozione di privata dimora, nell’ambito della quale rientrano esclusivamente i luoghi non aperti al pubblico, né accessibili a terzi senza il consenso del titolare e nei quali si svolgono non occasionalmente atti della vita privata” (Sez. 5, n. 10498 del 16/01/2018, Sarchi, Rv. 272667). Analogamente si è affermato che “non è configurabile il reato previsto dall’art. 624-bis c.p. qualora il furto sia commesso nel corridoio di un istituto scolastico, trattandosi di luogo non riconducibile alla nozione di privata dimora, nell’ambito della quale rientrano esclusivamente i luoghi non aperti al pubblico, né accessibili a terzi senza il consenso del titolare e nei quali si svolgono non occasionalmente atti della vita privata” (Sez. 5, n. 51113 del 19/10/2017, Capizzano, Rv. 271629).
GIURISPRUDENZA PENALE Come correttamente rilevato dal Tribunale di Bari, il provvedimento autorizzativo posto a fondamento delle attività di intercettazione audio e video eseguite presso l’istituto di istruzione ove si sono svolti i fatti è rispettoso dei limiti stabiliti dall’art. 266 c.p.p. perché, come chiarito dalla giurisprudenza di legittimità, non trattandosi di una privata dimora non ricorre l’ipotesi prevista dal comma 2 del citato articolo.
…Omissis… P.Q.M. Dichiara inammissibile il ricorso e condanna la ricorrente al pagamento delle spese processuali e della somma di Euro duemila in favore della Cassa delle ammende. Così deciso in Roma, il 14 febbraio 2019. Depositato in Cancelleria il 1 aprile 2019.
IL COMMENTO di Marco Pittiruti
Sommario: 1. Il difficile bilanciamento tra il diritto alla riservatezza e la necessità di accertamento dei reati. – 2. Le videoriprese del dipendente effettuate dal datore di lavoro: una prova illecita? – 3. Le captazioni di suoni ed immagini all’interno di un istituto scolastico. – 4. Riprese audio-video, norma processuale e norma sostanziale. Due pronunce “gemelle” della Corte di Cassazione offrono lo spunto per ripensare il tema dell’impiego ai fini probatori nel processo penale delle registrazioni audio-video. Nell’una, i giudici di legittimità negano che sussista un divieto probatorio relativo all’impiego del materiale appreso in violazione della normativa dettata dallo Statuto dei Lavoratori; nell’altra, la Corte nega il carattere del luogo di privata dimora ai locali interni di un istituto scolastico, con conseguente inapplicabilità delle cautele di cui all’art. 266, c. 2, c.p.p. Due sentenze, due itinerari logici diversi che discendono da una concezione opposta del rapporto tra norma processuale e norma sostanziale, ma che approdano al medesimo esito processuale sfavorevole al ricorrente. Two parallel rulings by the Court of Cassation offer the opportunity to reconsider the employment of audio-video recordings for evidence purposes in the criminal trial. In the first one, the Court denies the existence of a probative prohibition on the use of the material gathered in violation of the legislation dictated by the Workers’ Statute; in the other one, the Court denies that the premises inside a scholastic institution should be equated to a private dwelling, from which follows the inapplicability of the precautions referred to in art. 266, c. 2, c.p.p. Two judgments, two different logical itineraries that derive from opposite conceptions of the relationship between the procedural law and the substantive norm, but which result in the same negative outcome for the appellant.
1. Il difficile bilanciamento tra il diritto alla riservatezza e la necessità di accertamento dei reati
Le due sentenze in commento, sia pure sotto angoli visuali differenti, affrontano il medesimo tema dell’impiego ai fini probatori nel processo penale delle registrazioni audio e video (1). Segnatamente, l’una si sofferma sulla vexata quaestio dell’utilizzabilità delle videoregistrazioni realizzate dal titolare di un pubblico servizio, all’interno di quest’ultimo, in violazione delle garanzie procedurali previste dall’art. 4, comma 2, L. 300/70; l’altra, sulla riconducibilità, o meno, della captazione operata all’interno di una struttura scolastica all’art. 266, comma 2, c.p.p., che disciplina le ipotesi di intercettazioni tra presenti in luoghi di privata dimora. Sullo sfondo di entrambi i dicta, il difficile contemperamento tra diritto alla riservatezza, da un lato, e impiego di strumenti investigativi ad alto coefficiente di inva (1) Camon, Captazione di immagini (dir. proc. pen.), in Enc. dir., Annali VI, Milano, 2013, 133 ss. evidenzia la vertiginosa crescita del fenomeno, anche in ragione dell’economicità dello strumento.
sività ma di notevole utilità ai fini dell’accertamento, dall’altro. Vale la pena sin da subito osservare che entrambe le pronunce in questione si adeguano, con limitato sforzo giustificativo, agli ormai pacifici arresti dei giudici di legittimità. Eppure, un’analisi in parallelo degli iter logici percorsi dai due collegi appare comunque foriera di feconde ricadute a livello sistematico e di inquadramento degli istituti coinvolti. Affinché i termini della questione risultino chiari, appare doveroso in via preliminare ripercorrere brevemente, per quanto qui d’interesse, le principali tappe giurisprudenziali in tema. Un primo approdo è offerto dalla pronuncia n. 135/2002 della Corte Costituzionale (2), in tema di impiego investigativo di videoriprese in luoghi di pri-
(2) Corte Cost. 24 aprile 2002, n. 135, in Giur. cost., 2002, 1062 ss., con note di Pace, Le videoregistrazioni «ambientali» tra gli art. 14 e 15 Cost., e Marini, La costituzionalità delle riprese visive filmate: ispezione o libertà «sotto-ordinata»?.
DIRITTO DI INTERNET N. 3/2019
559
GIURISPRUDENZA PENALE vata dimora (3), particolarmente significativa laddove introduce la distinzione, di grande fortuna successiva, tra comportamenti comunicativi e non (4). Mentre la captazione dei primi rientra nell’ambito operativo dell’art. 266 c.p.p. e sarebbe, quindi, soggetta alla relativa disciplina, la registrazione dei secondi non può essere ricondotta ad alcuno schema legale. La Corte, tuttavia, non prende esplicitamente posizione sull’utilizzabilità di quest’ultime, limitandosi a sollecitare un intervento del legislatore, in ossequio alle garanzie di cui all’art. 14 Cost. (5). Perdurando l’inerzia di questi, sono le Sezioni Unite, quattro anni più tardi, a farsi carico dell’arduo compito di una risistemazione della materia (6). Premesso l’ulteriore distinguo tra materiale formato al di fuori del procedimento, da far rientrare nello schema normativo della prova documentale disciplinata dall’art. 234 c.p.p. (7), e materiale frutto diretto dell’attività investigativa, riconducibile al congegno della prova atipica di cui all’art. 189 c.p.p. (8), il consesso allargato delinea una disciplina diversificata a seconda del luogo ove le riprese siano realizzate. Nei luoghi aperti al pubblico, le riprese sono consentite (9), giacché si tratterebbe di documentazione di attività investigativa irripetibile, in relazione alla quale il contraddittorio imposto dall’art. 189 c.p.p. interviene nella fase successiva dell’acquisi-
(3) Sul tema, ampiamente, cfr. Caprioli, Riprese visive nel domicilio e intercettazione “per immagini”, in Giur. cost., 2002, 2176 ss. (4) Distinzione, questa, assai criticata in dottrina, in quanto, per un verso, essa «scivola inevitabilmente verso valutazioni soggettive dell’organo giudicante», nonché, per altro verso, in ragione della «impossibilità di differenziare ex ante la ripresa dei diversi tipi di comportamenti». Così Conti, Accertamento del fatto e inutilizzabilità nel processo penale, Padova, 2007, 222. In tema, v. anche Cricrì, Sulla natura delle captazioni visive di condotte «non comunicative», in Cass. pen., 2006, 570 ss. (5) V., al riguardo, Longo, Le garanzie costituzionali delle intercettazioni visive: un’occasione mancata per la Corte, in Giur. cost., 2002, 2219. (6) Cass. 28 marzo 2006, n. 26795, in Dir. pen. e proc., 2006, 1347 ss., con nota di Conti, Le video-riprese tra prova atipica e prova incostituzionale: le Sezioni Unite elaborano la categoria dei luoghi “riservati”; in Cass pen., 2006, 3937 ss., con nota di Ruggieri, Riprese visive e inammissibilità della prova; in Dir. giust., 2006, n. 34, 40 ss., con nota di Beltrami, Le videoriprese? Sono una prova atipica; in Corr. merito, 2006, 1191 ss., con nota di Piccialli, Illegittimità delle video registrazioni di comportamenti non comunicativi in ambito domiciliare; nonché in Arch. n. proc. pen., 2007, 494 ss., con nota di Pulito, Più garanzie per le videoriprese nel “quasi domicilio”. (7) Cfr. Saponaro, Sulla vexata quaestio della natura delle videoregistrazioni, in Cass. pen., 2004, 3282 ss. (8) Non erano mancate ricostruzioni volte a ricomprendere le videoregistrazioni nel genus delle ispezioni. V., a tale riguardo, Carli, Videoregistrazione di immagini e tipizzazione di prove atipiche, in Dir. pen. e proc., 2003, 45 ss. (9) Cfr. Angeloni, Videoregistrazioni, prove atipiche, in Giur. it., 2009, 1521 ss.
560
DIRITTO DI INTERNET N. 3/2019
zione (10). Nei luoghi di cui all’art. 614 c.p., viceversa, mentre le riprese di comportamenti comunicativi sono legittime, qualora siano rispettati i presupposti e limiti dettati dalla disciplina sulle intercettazioni, quelle relative a comportamenti non comunicativi sono vietate (11), giacché il collegio esclude di poter far rientrare nell’ampio contenitore della prova atipica quella basata su attività vietate dalla legge, venendo in gioco la riserva di legge di cui all’art. 14 Cost. (12). Il quadro sin qui messo a punto basta a chiarire che elemento dirimente, al fine della selezione di ammissibilità del materiale registrato, diventa la nozione di domicilio. Fiorisce, dunque, un «ricco filone giurisprudenziale […] [ch]e, ora attraverso un approccio casistico, ora attraverso una lettura più ampia, tenta di ricomporre un concetto, quello di domicilio, che sembra smarrire unitarietà a seconda del settore ordinamentale nel quale viene calato» (13). Interessanti spunti scaturiscono, a questo proposito, dall’asserzione, di matrice giurisprudenziale (14), secondo cui la nozione di domicilio non coincide con qualsiasi ambiente che tenda a garantire intimità e riservatezza. Piuttosto, è il legame tra il soggetto titolare del diritto e il luogo ad essere tale da estendere la tutela anche qualora la persona sia assente. Una siffatta impostazione del problema comporta l’emersione, accanto alle tradizionali nozioni di luoghi domiciliari e di luoghi aperti al pubblico, della categoria dei luoghi riservati, proiezione
(10) V., in proposito, Di Bitonto, Le riprese video domiciliari al vaglio delle Sezioni Unite, in Cass. pen., 2006, 3950 ss. (11) Il divieto in parola ha avuto alterne fortune nella giurisprudenza successiva. Ex multis, si veda Cass. 7 luglio 2010, n. 37197, in Guida dir., 2010, n. 49-50, 68 ss., con nota di Esposito, Esclusa la violazione delle norme sui luoghi privati: nell’orario di attività la sede di lavoro è un domicilio. Utilizzabili le riprese fatte dal dipendente in ufficio allo scopo di provare le molestie sessuali del capo; in Dir. pen. e proc., 2011, 1127 ss., con nota di Spinelli, Videoregistrazioni: tra prove atipiche e deficit di tutela della Cassazione; nonché, in Riv. it. dir. lav., 2011, II, 311 ss., con nota di Foffano, La valenza probatoria delle videoregistrazioni eseguite dal lavoratore sul luogo di lavoro alla luce della nozione di domicilio. Secondo tale pronuncia, le videoriprese di atti non aventi contenuto comunicativo effettuate all’interno del domicilio lavorativo dell’autore delle stesse costituiscono una prova atipica, non necessitando di apposita autorizzazione del giudice. (12) Degno di nota il percorso argomentativo dei giudici di legittimità, che evitano di prendere posizione sull’annoso tema della prova incostituzionale e della sua riconducibilità all’art. 191 c.p.p., optando, piuttosto, per una diversa esegesi dell’art. 189 c.p.p., che presupporrebbe logicamente una formazione lecita della prova; dunque, non potrebbe considerarsi ammissibile una prova atipica che la legge vieta. In dottrina, v., sia pure anteriormente alla decisione delle Sezioni Unite, Filippi, L’home watching: documento, prova atipica o prova incostituzionale?, in Dir. pen. e proc., 2001, 92 ss. (13) Così, testualmente, Bonini, Videoriprese investigative e tutela della riservatezza: un binomio che richiede sistemazione legislativa, in Proc. pen. giust., 2019, 340. (14) Cfr. Cass. 28 marzo 2006, n. 26795, cit..
GIURISPRUDENZA PENALE dell’art. 2 Cost., in relazione ai quali il diritto alla riservatezza è sacrificabile solo in ragione di un provvedimento motivato dell’autorità giudiziaria. Da ultimo, sul tema è nuovamente intervenuta la Corte Costituzionale (15), la quale ha opportunamente precisato che le videoriprese sono in grado di ledere l’art. 14 Cost. sotto il profilo del diritto alla riservatezza su quanto si svolge all’interno dei luoghi in cui si svolge la vita intima. Ne discende un’immagine nuova della tutela offerta dall’art. 14 Cost., che fungerebbe da presidio contro comportamenti avvenuti in condizioni tali da renderli invisibili a terzi, mentre, all’opposto, risulterebbero fuori dal perimetro operativo di tale disposizione le riprese che non si siano avvalse di opportune manovre o speciali strumenti per superare l’eventuale barriera frapposta tra la generalità dei consociati e l’attività filmata.
2. Le videoriprese del dipendente effettuate dal datore di lavoro: una prova illecita?
La prima sentenza, come premesso, si incentra sull’utilizzabilità delle videoriprese del dipendente effettuate dal datore di lavoro pur in assenza delle garanzie procedurali di cui all’art. 4, c. 2, l. 300/1970 e, specificamente, in assenza dell’accordo con le organizzazioni sindacali. Punto di partenza dell’iter argomentativo del collegio è la piena utilizzabilità delle videoregistrazioni realizzate in luoghi pubblici, aperti o esposti al pubblico, qualificabili come prova atipica a prescindere dalla natura comunicativa o meno delle immagini apprese. Affermazione, questa, tutto sommato condivisibile; arduo, in effetti, sarebbe sostenere che il bar-tabacchi ove si sono svolte le registrazioni sia luogo riservato in quanto connotato dalla personalità del dipendente, così come richiesto dalla giurisprudenza per l’attivazione delle particolari tutele imposte dall’art. 14 Cost. (16). Di contro, v’è da osservare che qualche perplessità sorge in ordine al secondo argomento speso dai giudici di legittimità, secondo cui le garanzie procedurali previste dallo Statuto dei Lavoratori atterrebbero solo al profilo dei rapporti di diritto privato tra il datore di lavoro e i lavoratori, mentre non potrebbero avere rilevanza sul piano dell’accertamento e repressione dei fatti costituenti reato. In altre parole, secondo i giudici, sarebbe operazione ermeneutica scorretta dedurre un divieto (15) Corte Cost. 16 maggio 2008, n. 149, in Giur. cost., 2008, 1832 ss., con note di Caprioli, Nuovamente al vaglio della Corte costituzionale l’uso investigativo degli strumenti di ripresa visiva e Lamarque, Le videoriprese di comportamenti non comunicativi all’interno del domicilio: una sentenza costituzionale di inammissibilità esemplare in materia di diritti fondamentali. (16) Cfr. Cass. 17 novembre 2015, n. 11419, in Foro it., 2016, II, 146 ss., con nota di Lazzari, Video riprese: il confine tra esigenze investigative e garanzie costituzionali, nonché in Cass. pen., 2017, 722 ss., con nota di Rizzo, Videoregistrazioni domiciliari e l’incerta distinzione tra condotte comunicative e non comunicative.
probatorio relativo all’impiego del materiale probatorio in sede processuale penale dalla normativa dettata in ambito civilistico. Come noto, ai sensi dell’art. 4, c. 2, l. 300/1970, gli strumenti dai quali derivi un controllo a distanza dell’attività dei lavoratori possono essere impiegati soltanto per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale; inoltre, la loro installazione è subordinata al previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali (17). Secondo una costante esegesi (18), la disposizione avrebbe, quale unica ratio, il divieto di controllo della corretta esecuzione della prestazione lavorativa. Di qui, il corollario secondo il quale sarebbero in ogni caso consentiti controlli sul lavoratore per l’accertamento di eventuali condotte illecite. Una simile impostazione del problema va, tuttavia, disattesa, in quanto comporta un deciso arretramento della tutela della dignità e della riservatezza (19) del lavoratore. Appare, in particolare, davvero labile il confine tra il controllo a distanza finalizzato a verificare la corretta esecuzione della prestazione lavorativa da parte del dipendente e quello diretto ad accertare l’eventuale commissione di illeciti, in assenza di una precisa indicazione legislativa di elementi sintomatici di un’attività illecita posta in essere dal dipendente, ed anzi in presenza di una, per certi versi, presunzione di legittimità di tali controlli. Non pare fuori luogo, allora, adombrare il rischio di una eccessiva discrezionalità in capo al datore di lavoro, giustificabile ex post una volta che, effettivamente, la videoregistrazione abbia portato all’emersione di una condotta in grado di ledere il patrimonio aziendale (20).
(17) In mancanza di tale accordo, è necessaria la previa autorizzazione delle sede territoriale dell’Ispettorato nazionale del lavoro; oppure, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, è competente la sede centrale dell’Ispettorato nazionale del lavoro. (18) V., ex multis, Cass. 4 giugno 2013, n. 30177, in Dir. pen. e proc., 2014, 737 ss., con nota di Guerini, Le videoriprese di comportamenti non comunicativi nel luogo di lavoro, nonché in Dir. pratica lav., 2014, 263 ss., con nota di Piselli, Videosorveglianza e privacy dei lavoratori. (19) La Corte europea dei diritti dell’uomo ha precisato come anche con riferimento ad un luogo di lavoro pubblico o aperto al pubblico residui una aspettativa di protezione del diritto alla privacy del lavoratore. Cfr. C. eur. dir. umani 28 gennaio 2013, Peck c. Regno Unito., il cui testo è disponibile al seguente link <http://hudoc.echr.coe.int/eng?i=001-60898>. (20) In tale ottica, Belvini, Videoriprese non investigative e tutela della riservatezza, in Proc. pen. giust., 2018, 808 s., ritiene doverosa una verifica da parte del giudice sulla legittimità dei controlli posti in essere dal datore di lavoro, al fine di valutare la possibilità di acquisire, a fini probatori, le videoriprese realizzate in ambito lavorativo. A sostegno della propria tesi, l’Autore richiama il monito della Corte europea dei diritti dell’uomo
DIRITTO DI INTERNET N. 3/2019
561
GIURISPRUDENZA PENALE Senza dimenticare, poi, che la violazione delle disposizioni in materia di controlli a distanza è presidiata da una apposita sanzione contravvenzionale, ai sensi del rimando operato dall’art. 171 del d. lgs. n. 196/2003 agli artt. 4 e 38 della l. n. 300 del 1970. Il problema resta, però, ancora aperto, occorrendo farsi carico di un’ulteriore obiezione imperniata sul disposto dell’art. 191 c.p.p. Da una peculiare lettura di tale disposizione si è, infatti, desunto che soltanto i divieti previsti dal codice di procedura penale sarebbero presidiati dalla sanzione dell’inutilizzabilità. Per tale via, dunque, il tema delle videoregistrazioni ottenute in violazione della normativa civilistica viene ad intersecarsi con il dibattuto tema della prova illecita (21). Come noto, la portata dell’art. 191 c.p.p. è stata spesso svilita da interpretazioni riduttive secondo cui il codice di rito sarebbe l’unica fonte dei divieti probatori (22). Segnatamente, in base a questo indirizzo interpretativo, a discapito della genericità del termine “legge” di cui alla disposizione in parola che parrebbe consentire l’inclusione, tra le fonti produttive del divieto, anche delle norme sostanziali, si è affermato che la violazione di queste ultime non potrebbe integrare alcun divieto d’uso riguardo quanto appreso mediante la condotta illecita, giacché soltanto la legge processuale penale potrebbe statuire divieti di acquisizione. In prospettiva opposta, è stato, tuttavia, osservato che la lettera della disposizione, non contenendo alcuna informazione sulla tipologia del divieto, deporrebbe per una sfera di operatività ben più ampia. Proprio questa seconda ricostruzione appare, in realtà, preferibile, in quanto unica in grado di far recuperare all’art. 191 c.p.p. il suo necessario ruolo di baluardo contro iniziative probatorie irrispettose dei diritti e delle garanzie dell’imputato. Facendo perno su quest’ultima considerazione, deve giocoforza rilevarsi come, nel caso di specie, la Corte abbia risolto forse troppo sbrigativamente la questione dell’ammissibilità del materiale videoregistrato, senza neppure interrogarsi – sulla scia dell’insegnamento delle Sezioni Unite – circa la legittimità dei controlli posti in essere dal datore di lavoro (ovverosia, indagando sulla sussistenza di dati che militassero, al momento della pre– peraltro, contenuto all’interno di decisione relativa a vicenda esclusivamente civilistica – secondo cui le videoriprese operate pur in assenza dei presupposti di legge sarebbero utilizzabili nel solo caso in cui rappresentino prova decisiva per l’accertamento del fatto. Cfr. C. eur. dir. uomo 9 gennaio 2018, López Ribalda e al. c. Spagna, il cui testo è disponibile al seguente link <http://hudoc.echr.coe.int/eng?i=001-179881>. (21) Cfr., volendo, Pittiruti - Parezzan, Vizi e sanzioni in materia di prova, in «Incontri ravvicinati» con la prova penale. Un anno di seminari a Roma Tre, a cura di Marafioti e Paolozzi, Torino, 2014, 233 ss., anche per gli opportuni riferimenti bibliografici. (22) In proposito, v., per tutti, Cordero, Tre studi sulle prove penali, Milano, 1963, 150.
562
DIRITTO DI INTERNET N. 3/2019
disposizione delle registrazioni, in favore della necessità di tutelare il patrimonio aziendale); né, di conseguenza, ponderando l’ammissibilità di una prova atipica ottenuta mediante una condotta che, di per sé, è sussumibile nella contravvenzione di cui all’art. 38 del d. lgs. n. 196 del 2003.
3. Le captazioni di suoni ed immagini all’interno di un istituto scolastico
La seconda pronuncia attiene alla diversa questione del corretto inquadramento sistematico delle captazioni di suoni ed immagini operata nell’ambito di un istituto scolastico. Chiamata ad occuparsi della questione sollecitata dal ricorso della difesa nell’ambito del procedimento incidentale cautelare, la Corte nega il carattere del luogo di privata dimora ai luoghi interni all’istituto. Ne discende, quale corollario, che l’intercettazione ivi disposta – nel caso di specie, registrazioni audio e video – non necessita, quale presupposto legittimante, del requisito relativo al fondato motivo di ritenere che nel luogo di captazione si stia svolgendo l’attività criminosa, come pure previsto dall’art. 266 c. 2 c.p.p. con riguardo ai luoghi indicati nell’art. 614 c.p. Per affermare tale condivisibile principio di diritto, i giudici di legittimità – e qui sta l’aspetto degno di nota – richiamano gli orientamenti espressi dalla medesima Corte con riferimento alle disposizioni di natura sostanziale che tutelano i luoghi di privata dimora. E così, la Corte, con un breve excursus, rammenta come, per l’integrazione del reato di violazione di domicilio e di furto in abitazione, risulti indispensabile che il luogo nel quale il soggetto agente si è introdotto sia non aperto al pubblico, né accessibile a terzi senza il consenso del titolare; inoltre, è indispensabile che ivi si svolgano non occasionalmente atti della vita privata (23). Va rilevato che non desta particolari riserve né l’impostazione teorica su cui si basa il ragionamento ora riferito né la conclusione cui esso perviene sul piano sistematico. Ciò puntualizzato, si deve, comunque, segnalare la peculiare assimilazione compiuta dai giudici di merito tra la tutela processuale del domicilio rilevante ai sensi dell’art. 266 c.p.p. e quella predisposta dalle norme sostanziali quali l’art. 614 c.p. e l’art. 624-bis c.p., come ricostruita dalla giurisprudenza.
(23) Cfr. Cass. 23 marzo 2017, n. 31345, in Riv. pen., 2017, 838 ss., con nota di Giannelli, Furto in abitazione e nozione di “privata dimora”: commento a Cass. Sezioni Unite n. 31345/2017; in Giur. it., 2017, 2478 ss., con nota di Larizza, Furto in abitazione: le Sezioni unite chiariscono la nozione di “privata dimora”; in Dir. pen. e proc., 2017, 1571 ss., con nota di Mezzetti, Furto in abitazione: nozione di privata dimora e luogo di lavoro. Cfr. anche Cass. 19 ottobre 2017, n. 51113, in C.E.D. Cass., rv. 271629, nonché Cass. 16 gennaio 2018, n. 10498, in C.E.D. Cass., rv. 272667.
GIURISPRUDENZA PENALE 4. Riprese audio-video, norma processuale e norma sostanziale
Proprio l’aspetto relativo ai legami tra norma processuale e norma sostanziale (in un caso civile e nell’altro penale) nelle due pronunce appare meritevole di qualche considerazione conclusiva. Nel primo caso, la pretesa autonomia tra norma sostanziale e norma processuale ha consentito ai giudici di legittimità di escludere qualsivoglia interferenza tra le due e, più precisamente, di impedire la ricognizione di uno specifico divieto probatorio nella disciplina dettata dalla l. n. 300 del 1970 e dal d. lgs. n. 196/2003. Nel secondo caso, viceversa, la necessaria compenetrazione tra nozione di luogo di privata dimora processuale e sostanziale, frutto dell’esplicito richiamo all’art. 614 c.p. contenuto nell’art. 266, comma 2, c.p.p., ha comportato che, sotto il profilo probatorio, per l’attivazione delle intercettazioni, sia sufficiente la gravità indiziaria e non sia, invece, richiesto anche il fondato motivo che nel luogo di captazione si stia svolgendo l’attività criminosa. A dispetto delle divergenze, però, entrambe le pronunce, non accogliendo le questioni di inutilizzabilità prospettate dai ricorrenti, si concludono con una declaratoria di inammissibilità, a dimostrazione di come, ad oggi, gli orientamenti giurisprudenziali in proposito abbiano raggiunto sufficiente stabilità, malgrado la perdurante inerzia del legislatore.
DIRITTO DI INTERNET N. 3/2019
563
GIURISPRUDENZA PENALE
Estrazione di immagini da un sistema di videosorveglianza: le acquisizioni informatiche tra passato, presente e futuro Corte di Cassazione ; sezione VI penale; sentenza 10 aprile 2019, n. 15838; Pres. Di Stefano; Rel. Costantini; P.M. Salzano. Premesso che l’attività di estrazione di copia di file da un computer risulta esclusa dall’ambito di applicazione della previsione che disciplina l’accertamento tecnico irripetibile ex art. 360 c.p.p., i file che riproducono le videoriprese effettuate per mezzo di impianti di videosorveglianza posti a tutela di uffici pubblici risultano essere dei documenti la cui acquisizione è regolamentata dall’art. 234 c.p.p.
…Omissis… Svolgimento del processo. 1. F.V., per mezzo dei difensori …Omissis… ricorre avverso la sentenza emessa dalla Corte di appello di Lecce che ha confermato la sentenza del Tribunale di Lecce in data 17 dicembre 2015 con cui era stato condannato alla pena di un anno di reclusione, con la sospensione condizionale della pena in ordine al delitto di cui agli artt. 110, 351 cod. pen., fatto commesso in Trani il 16 marzo 2010. A F.V. era stato contestato, in concorso con altri, quale giornalista del quotidiano “La Repubblica”, di aver sottratto dall’ufficio del dott. Roberto Oliveri del Castillo, Giudice per le indagini preliminari del Tribunale di Trani, la richiesta formulata dal P.M. in data 12 marzo 2010 per mezzo della quale, ex art. 6, l. 30 giugno n. 2003, n. 140, veniva richiesta l’autorizzazione all’utilizzazione di comunicazioni e conversazioni di un parlamentare intercettate nel corso di un procedimento riguardante terzi ed in parte la distruzione di altre conversazioni ritenute irrilevanti, atto custodito in detto ufficio pubblico, in Trani il 16 marzo 2010. 2. Il ricorrente deduce i motivi di seguito specificati. 2.1. Con il primo motivo vengono dedotti vizi di motivazione e violazione di legge penale e processuale in ordine agli artt. 24, comma secondo, 111, commi secondo, quarto e quinto, Cost., in relazione agli artt. 191, 234, comma 2, 247, comma 1-bis, e 254-bis cod. proc. pen. Il ricorrente premette che agli atti del procedimento non sono stati acquisiti i filmati e le immagini del sistema di videosorveglianza in uso al Tribunale e alla Procura della Repubblica di Trani, luogo ove si è svolta la vicenda in esame, bensì copia di parte di file memorizzati nel server dell’impianto e, quindi, documenti informatici. Tale circostanza avrebbe imposto, onde evitarne la manipolazione ovvero l’alterazione, di effettuare un clone di tale materiale attraverso la procedura c.d. «bit to bit»,
unica operazione che garantisce una replica integrale di tutti i dati contenuti su un disco o partizione di un disco, idonea a riprodurre una copia identica all’originale. Nel caso in esame, invece, le copie sono state effettuate da un cancelliere in servizio nell’ufficio attraverso l’estrapolazione di dati dal sistema poi inseriti all’interno di un supporto mobile (c.d. «chiavetta USB») e “masterizzati” su due DVD, senza procedere a realizzare una copia forense in contraddittorio con la difesa. È stata reiteratamente eccepita l’inutilizzabilità dei filmati in quanto l’attività irripetibile era stata posta in essere in violazione degli artt. 360, 247, comma 1-bis, e 354, comma 2, cod. proc. pen., in considerazione del fatto che il sistema informatico del servizio di video sorveglianza avrebbe sovrascritto dopo alcuni giorni sui pregressi dati conservati nella memoria, andando così a cancellare quanto necessario all’accertamento della cronologica sequenza dei fatti. Evenienza questa che avrebbe compromesso in maniera irreparabile la conservazione dei dati originali, estrapolati unilateralmente dagli organi inquirenti ed in assenza di contraddittorio. Da quanto sopra conseguirebbe l’inutilizzabilità delle videoriprese poste a fondamento della decisione impugnata, censurando di illogicità la motivazione della Corte d’appello in ordine all’assenza di elementi da cui desumere la non corrispondenza delle copie agli atti originali, tenuto conto che la difesa del ricorrente non ha mai potuto esaminare l’originale della documentazione informatica. Poiché l’operazione posta in essere per acquisire i documenti informatici di che trattasi è stata compiuta nonostante la consapevolezza che gli stessi sarebbero andati irrimediabilmente dispersi (attraverso la sovrapposizione di altre immagini che hanno sovrascritto i dati precedenti), non essendo possibile una loro indefinita riproduzione, sussiste la violazione dell’art. 360 cod. proc. pen.
DIRITTO DI INTERNET N. 3/2019
565
GIURISPRUDENZA PENALE …Omissis… 2.3. Vizi cumulativi di motivazione, travisamento della prova ed inosservanza dell’art. 351 cod. pen. 2.3.1. Si censura l’assoluta incertezza della ricostruzione degli eventi che è stata realizzata attraverso un’elaborazione dei files estrapolati dal sistema di sorveglianza, che non consentirebbe di comprendere il reale intervallo esistente tra i vari frammenti e, conseguentemente, l’effettiva durata delle singole azioni che i soggetti compiono. Si rileva, ancora, che nell’elaborato il consulente del P.M. non ha riportato le indicazioni cronologiche originali come riprodotte dal sistema di sorveglianza tanto da non potersi comprendere non solo la durata dei singoli frammenti di sequenza ma anche la durata delle relative pause che potrebbero celare azioni e spostamenti degli attori, specie con riferimento al momento essenziale in cui si assume che V. sia entrato nell’ufficio del Magistrato; tali pause, determinate dall’insufficiente sensibilità del sensore di movimento dell’impianto di videosorveglianza non sempre in grado di percepire tutti i movimenti, potrebbero aver omesso di filmare la presenza di altre persone entrate precedentemente nella stanza del magistrato. Incertezza che, in mancanza dei files originali, non consente di ricostruire temporalmente gli accadimenti né di ritenere che le copie empiricamente effettuate nel corso delle indagini siano affidabili ed attendibili. …Omissis… Motivi della decisione. 1. Il ricorso è infondato e deve essere rigettato. 2. In ordine al primo motivo di ricorso per mezzo del quale si deduce l’inutilizzabilità dei filmati videoregistrati dall’impianto di sorveglianza degli Uffici giudiziari di Trani, deve rilevarsene l’infondatezza, risultando il motivo, sotto alcuni profili, anche aspecifico laddove non consente di comprendere se si sia inteso censurare l’utilizzazione delle immagini perché le stesse sarebbero state acquisite attraverso una non corretta metodica, ovvero se le stesse, originariamente contenute del server dell’impianto di videosorveglianza, in quanto destinate alla definitiva cancellazione e conseguente dispersione dopo alcuni giorni, dovevano essere estrapolate esclusivamente per mezzo della procedura prevista dall’art. 360 cod. proc. pen. in quanto atto irripetibile. Logicamente preliminare risulta comunque l’esame del secondo profilo connesso alla dedotta violazione dell’art. 360 cod. proc. pen. 2.1. Per “atto irripetibile” deve intendersi l’atto contraddistinto da un risultato estrinseco ed ulteriore rispetto alla mera attività investigativa, non più riproducibile in dibattimento se non con la definitiva perdita dell’informazione probatoria o della sua genuinità (v. Sez. 1, n. 14511 del 05/03/2009, Stabile Aversano, Rv. 243150). Ed invero, gli accertamenti ex art. 360 cod. proc. pen. devono connotarsi per il loro avere carattere valutativo
566
DIRITTO DI INTERNET N. 3/2019
su base tecnico-scientifica; in tal senso depone ormai datata giurisprudenza di questa Corte secondo cui la nozione di “accertamento” non riguarda la constatazione o la raccolta di dati materiali pertinenti al reato ed alla sua prova, che si esauriscono nei semplici rilievi, ma il loro studio e la relativa elaborazione critica, necessariamente soggettivi e per lo più su base tecnico-scientifica; tale distinzione trova testuale conferma normativa negli artt. 354, 359 e 360 cod. proc. pen. che menzionano separatamente i termini “rilievi” e “accertamenti” (Sez. 1, n. 301 del 09/02/1990, Duraccio, Rv. 183648). La nozione di accertamento tecnico, alla base della disciplina degli artt. 359 e 360 cod. proc. pen. che alla prima norma rinvia quanto a nozione, allora, concerne non l’attività di raccolta o di prelievo dei dati pertinenti al reato, bensì soltanto il loro studio e la loro valutazione critica (Sez. 1, n. 2443 del 13/11/2007, dep. 2008, Pannone, Rv. 239101; Sez. 1, n. 14852 del 31/01/2007, Piras, Rv. 237359). E che non sia sufficiente la mera irripetibilità del dato probatorio affinché l’attività posta in essere sia valutata quale accertamento tecnico, in generale, e qualificato come irripetibile, in particolare, lo si comprende se solo si analizzano i principi di diritto fissati da questa Corte in ordine a quei rilievi che, seppur caratterizzati da una loro logica dispersione ovvero da un certa professionalità nella attività di recupero dei dati probatori al fine di assicurare gli stessi al procedimento, non sono ritenuti idonei a mutarne la natura. In tal senso depone quanto affermato in tema di prelievi di polvere da sparo, operazione che necessita di un tempestivo intervento e, nonostante siano prodromici all’espletamento di accertamenti tecnici, non sono qualificabili quali accertamenti tecnici e, conseguentemente, non devono essere effettuati secondo quanto previsto dall’art. 360 cod. proc. pen. (Sez. 1, n. 45437 del 30/11/2005, Fummo, Rv. 233354). Analogamente è a dirsi in ordine all’esaltazione e successiva estrazione delle impronte digitali, specie se effettuata su oggetti che sono esposti all’esterno e, quindi, di certa irreversibile dispersione: anche se tale operazione necessita di elevate professionalità ai fini di una sua visualizzazione attraverso l’impiego di sofisticate strumentazioni scientifiche, non perde mai il connotato del rilievo; è stato, infatti, affermato che l’attività di individuazione delle impronte digitali mediante un sistema che, attraverso l’uso di un prodotto chimico, evidenzia e fissa le stesse, non è assoggettato alla disciplina prevista per gli accertamenti non ripetibili (Sez. 6, n. 10350 del 06/02/2013, Granella, Rv. 254589). Del tutto logico e consequenziale, quindi, circa l’ambito di applicazione della previsione che disciplina l’accertamento tecnico irripetibile ex art. 360 cod. proc. pen,
GIURISPRUDENZA PENALE risulta l’esclusione dell’attività di estrazione di copia di file da un computer. Ormai da tempo, infatti, la tecnica consente di acquisire il dato attraverso operazioni meramente esecutive e materiali, il cui unico scopo è quello di assicurare alla fase processuale quanto di rilevante è contenuto all’interno dello stesso in formato digitale, operazione che non necessita di perizia o consulenza tecnica. In tal senso depone ormai consolidata giurisprudenza di questa Corte, che il Collegio condivide, secondo cui, seppur nell’esame di un’ipotesi parzialmente differente, ha avuto modo di affermare che non ha natura di accertamento tecnico irripetibile ex art. 360 cod. proc. pen. l’attività di estrapolazione di fotogrammi da un supporto video (Sez. 6, n. 41695 del 14/07/2016, Bembi, Rv. 268326; Sez. 2, n. 4523 del 10/11/1992, Arena, Rv. 192570), atteso che essa non comporta alcuna attività di carattere valutativo su base tecnico-scientifica né determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale, essendo sempre comunque assicurata la riproducibilità di informazioni identiche a quelle contenute nell’originale (Sez. 1, n. 14511 del 05/03/2009, Stabile Aversano, Rv. 243150). 2.2. In ordine alla riproducibilità, deve sgomberarsi il campo da un equivoco di fondo che spesso si rileva in ordine all’acquisizione di documenti conservati in forma digitale che sono contenuti in computer o, comunque, in supporti fisici che riproducono immagini e videoriprese. Le videoregistrazioni acquisite, infatti, contrariamente a quanto affermato nel ricorso, seppure definite “copie” di quanto contenuto nella memoria a servizio dell’impianto di video sorveglianza, divergono da quelle trasferite sul supporto unicamente per il luogo fisico ove le stesse sono state successivamente conservate, non potendosi parlare propriamente di “copia” di un documento che, in quanto acquisito e conservato in formato digitale, permette un’identica riproduzione in un numero non preventivamente definito di “cloni”. In tal senso, infatti, deve intendersi l’espressione secondo cui sono sempre riproducibili le informazioni contenute nell’originale. Si rileva che, contrariamente a quanto avviene per la copia dei documenti cartacei che, anche in ipotesi di particolare sensibilità dello strumento tecnico, non potrà mai essere identica all’originale - fermo restando l’eventuale verifica della corrispondenza del contenuto del documento originale alla copia -, le immagini di una videoregistrazione dell’impianto di sicurezza sono già una “copia” video di quanto realmente entrato nel raggio di azione delle telecamere che, a sua volta, viene conservata all’interno di uno spazio fisico, talvolta remoto, differente rispetto alla sorgente di registrazione. Parlare, quindi, di “copia” di una riproduzione di sequenze di immagini di una scena di una vita reale, lad-
dove la videoregistrazione risulta essere ex se già una “copia” riproduzione degli accadimenti che interessano persone o cose di quanto si realizza all’esterno dell’impianto e riprodotto in formato digitale, è operazione meramente lessicale non idonea a dimostrare che l’acquisizione del documento effettuato per mezzo del trasferimento dei file dal server dell’impianto e riversato su altro supporto fisico realizzi una “copia”. Certamente più corretto è, quindi, in tali casi ed in assenza di emergenze che consentano di ipotizzare una loro manomissione, parlare di trasferimento ovvero estrapolazione dei documenti in formato digitale «che riproducono fatti persone o cose», così rimarcandosi l’operazione materiale tesa ad acquisire il dato probatorio che viene appreso tal quale a quello originale e di cui è ipotizzabile una indefinita possibilità di duplicazione. 2.3. Fatta questa necessaria premessa in ordine ai limiti dell’art. 360 cod. proc. pen. ed evidenziato quale sia stato l’oggetto della apprensione dell’autorità giudiziaria, deve ritenersi che i file che riproducono le videoriprese effettuate per mezzo di impianti di videosorveglianza posti a tutela di uffici pubblici risultano essere dei documenti la cui acquisizione è regolamentata dall’art. 234 cod. pen. La materia delle riprese visive e delle prove che ne conseguono non è regolata specificamente dalla legge, tuttavia le Sezioni unite di questa Corte (Sez. U, n. 26795 del 28/03/2006, Prisco, Rv. 234267), hanno stabilito che le immagini tratte da video riprese in luoghi pubblici effettuate al di fuori delle indagini preliminari, cioè al di fuori del procedimento penale ed indipendentemente da esso, non possono essere considerate prove atipiche ex art. 189 cod. proc. pen., ma devono essere qualificate come documenti da utilizzare quali prove documentali nel processo. L’art. 234 cod. proc. pen. dispone che «è consentita l’acquisizione di scritti o di altri documenti che rappresentano fatti persone o cose mediante la fotografia, la cinematografia, la fonografia e qualsiasi altro mezzo», con ciò implicitamente escludendo che possa assumere rilevanza l’utilizzazione della modalità analogica ovvero digitale per mezzo della quale è avvenuta la videoregistrazione e la successiva conservazione. La norma, invero, per mezzo dell’enunciazione di cosa debba intendersi per documento, non si interessa della concreta modalità di conservazione dello stesso, indicandone esclusivamente le caratteristiche oggettive («documenti che rappresentano fatti, persone o cose»). L’evoluzione tecnologica che ha consentito, grazie al processo di digitalizzazione, la minimizzazione fisica del supporto su cui le immagini possono essere conservate e la facilitazione delle modalità di archiviazione e successiva estrapolazione dei documenti, non autorizza a ritenere mutata tale natura, certamente conforme a quanto
DIRITTO DI INTERNET N. 3/2019
567
GIURISPRUDENZA PENALE previsto dall’art. 234 cod. proc. pen. quanto a disciplina delle acquisizioni documentali. Ineccepibile, quindi, risulta quanto espresso dai Giudici di merito in ordine allo strumento giuridico ex art. 234 cod. proc. pen. utilizzato al fine di assicurare al procedimento le immagini video dell’impianto di videosorveglianza dell’Ufficio giudiziario di Trani. I problemi connessi all’eventuale non genuinità di tali documenti, di conseguenza, sono estranei al tema dell’utilizzabilità o meno degli stessi, dovendosi invece accertare se essi siano stati, se del caso, manipolati; evenienza comune alla corrispondente acquisizione di documenti in formato analogico o cartaceo. 2.4. Inconferente, quindi, risulta il riferimento del ricorrente alla disciplina degli artt. 247, comma 1-bis e 254-bis cod. proc. pen. In primo luogo l’art. 247, comma 1-bis cod. proc. pen., che testualmente prevede che «quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione», è previsione chiaramente riferibile all’attività di perquisizione disciplinata dalla stessa norma che nel caso oggetto di censura non è stata in alcun modo effettuata: un funzionario di cancelleria in servizio presso la Procura della Repubblica di Trani (professionalmente istruito dalla società che aveva installato l’impianto), alla presenza di un ufficiale di polizia giudiziaria e sotto la supervisione e su disposizione del Pubblico ministero procedente, ha materialmente «acquisito» i file dei video relativi alla registrazione di quanto avvenuto nei luoghi in cui erano state dislocate le telecamere e nei giorni oggetto di specifico accertamento. In ogni caso, come correttamente rilevato dai Giudici di merito, le cautele di cui è cenno, sia nell’art. 247, comma 1-bis, cod. proc. pen. in materia di perquisizione, che nell’art. 254-bis cod. proc. pen., norma che disciplina il sequestro dei dati informatici presso i gestori di servizi informatici, telematici e di telecomunicazioni, evenienza motivatamente esclusa dai Giudici di merito (il servizio era in capo all’ufficio giudiziario essendosi la società che ebbe ad installare l’impianto limitata a formare professionalmente il personale ai fini della estrapolazione delle immagini senza che fosse in atto alcun servizio), prevedono unicamente il rispetto di non esplicitate modalità operative ai fini della conservazione dei dati onde scongiurarne eventuali alterazioni; non è invece prevista alcuna sanzione processuale in caso di mancata loro adozione, potendone derivare, al più, effetti sull’attendibilità della prova rappresentata dall’accertamento eseguito (in proposito v. Sez. 5, n. 11905 del 16/11/2015, 2016, Branchi, Rv. 266477).
568
DIRITTO DI INTERNET N. 3/2019
Ed infatti, ormai consolidato è il principio di diritto espresso da questa Corte secondo cui, in ipotesi di perquisizione di sistema informatico o telematico, sia l’art. 247, comma 1-bis, che l’art. 260, comma 2, cod. proc. pen., si limitano a richiedere l’adozione di misure tecniche e di procedure idonee a garantire la conservazione dei dati informatici originali e la conformità ed immodificabilità delle copie estratte per evitare il rischio di alterazioni, senza imporre misure e procedure tipizzate (Sez. 3, n. 37644 del 28/05/2015, R., Rv. 265180). …Omissis… 4. Infondato risulta il terzo motivo di ricorso. Il motivo, seppure distinto sotto tre profili, unitariamente considerato, censura due aspetti della motivazione della sentenza. 4.1. In ordine al primo si tenta di diversamente ricostruire i frammenti delle videoregistrazioni contrapponendo l’accertamento effettuato dal consulente tecnico del P.M. con l’accertamento del consulente tecnico della difesa, motivo versato in fatto che ancora una volta contesta le modalità di estrapolazione delle immagini e loro elaborazione. Deve, in proposito osservarsi che il ricorso risulta aspecifico laddove i motivi di censura, lungi dall’evidenziare il vizio di cui all’art. 606, comma 1, lett. e), cod. proc. pen., mira a sottoporre alla Corte di cassazione un alternativo ragionamento probatorio, ritenuto maggiormente plausibile, fondato su una diversa lettura delle emergenze processuali, notoriamente precluso in questa sede (tra le tante, Sez. 6, n. 47204 del 07/10/2015, Musso, Rv. 265482). Va, infatti, escluso che possa configurare il vizio di motivazione, anche nella forma del cosiddetto travisamento della prova, un presunto errore nella valutazione del “significato” probatorio della prova medesima (ex multis, Sez. 5, n. 9338 del 12/12/2012, dep. 2013, Maggio, Rv. 255087), dovendo l’errore percettivo avere ad oggetto il risultato di una prova incontrovertibilmente diverso, nella sua oggettività, da quello effettivo (tra tante, Sez. 5, n. 8188 del 04/12/2017, dep. 2018, Grancini, Rv. 272406), restando inibita la possibilità di una nuova valutazione delle risultanze acquisite, da contrapporre a quella effettuata dal giudice di merito, attraverso una diversa lettura, sia pure anch’essa logica, dei dati processuali o una diversa ricostruzione storica dei fatti o un diverso giudizio di rilevanza o attendibilità delle fonti di prova (tra tante, Sez. 4, n. 20245 del 28/04/2006, Francia, Rv. 234099). Sotto tale aspetto precisa risulta essere stata la ricostruzione della fase che ha portato all’estrazione dei file da parte del funzionario della Procura della Repubblica di Trani che ha dato atto, al momento delle operazioni di “prelievo” per mezzo dello specifico programma di cui era dotato il sistema e in ordine al quale aveva ricevuto adeguata formazione, della differenza tra l’orario riportato nel programma e quello reale, evenienza non ritenuta rilevante dal Giudice
GIURISPRUDENZA PENALE di merito che ha correttamente evidenziato come il preciso orario delle immagine era elemento inconferente ai fini della ricostruzione dei fatti, essendo essenziale la sola sequenza secondo una accertata cronologia seppur differita di dodici minuti. A ciò è seguita la “masterizzazione” su due supporti (DVD) del contenuto (al fine di preservare il contenuto di quanto acquisto) e l’esame da parte del consulente tecnico del P.M. di tale supporti che ha ricostruito sotto il profilo cronologico la sequenza delle videoriprese al fine far comprendere lo svolgimento dei fatti nelle giornate del 15 e 16 marzo 2010. Analogamente ha potuto operare il consulente tecnico (a cui sono stati forniti sia le copie dei supporti su cui erano stati riprodotti i file acquisiti dall’im-
pianto di video sorveglianza che la loro sequenza ricostruita dal consulente del P.M.), che non ha formulato rilievi in ordine alla genuinità delle immagini, essendo le problematiche riscontrate, confermate da entrambi i consulenti, dovute alla maggiore o minore sensibilità dei sensori di movimento che, allorché questo avveniva in determinati quadranti del campo visivo della telecamera, non erano idonei ad attivarne il funzionamento. …Omissis… P.Q.M. Rigetta il ricorso e condanna il ricorrente al pagamento delle spese processuali. …Omissis…
IL COMMENTO
di Elisa Lorenzetto Sommario: 1. Caso nuovo, vecchie questioni. – 2. Il passato: l’estrazione di file. – 3. Il presente: l’acquisizione delle videoriprese in formato digitale. – 4. Il futuro: acquisizioni informatiche e best practice. Chiamata a risolvere il quesito concernente l’acquisizione delle immagini memorizzate nel server di un impianto di videosorveglianza sotto forma di dati informatici, la Cassazione torna ad affrontare i temi classici delle indagini digitali, riguardanti la natura irripetibile, o meno, degli atti, la copia forense e le relative implicazioni processuali. Le soluzioni offerte, tuttavia, si rivelano poco innovative e saldamente ancorate a precedenti giurisprudenziali di dubbia consistenza, lasciando interamente scoperti i profili connessi alla best practice e al suo rispetto quale condizione per l’impiego processuale della digital evidence. Once questioned about the issue about the acquisition of the imagines stored in the server of a videosurveillance premises as informatic data, the Court of Cassation copes with the classic issues of the digital investigations again, concerning the replicable (or not) nature of the proceedings steps, the forensic copy and the relevant procedure implications. Notwithstanding, the envisaged solutions are not innovative and firmly linked to unsteady Case Law, leaving unexplored the profiles connected with the best practice and its compliance as a condition for the procedure implementation of the digital evidence.
1. Caso nuovo, vecchie questioni
Divampato apertamente dopo che la l. 18 marzo 2008, n. 48, di ratifica ed esecuzione della Convenzione di Budapest sul cybercrime (1), ha innestato nel codice di rito disposizioni specifiche per le indagini digitali (2), il dibattito sulla prova informatica, da sempre al centro dei rapporti tra processo penale e tecnologie, con la pro-
(1) Per un commento organico, v. Sistema penale e criminalità informatica, a cura di Lupària, Milano, 2009. V. altresì Bitonto - Vitale - Macrillò - Barbieri - Forlani, La ratifica della Convenzione del Consiglio d’Europa sul cybercrime: profili processuali, in Dir. Internet, 2008, 5, 503 ss.; Lupària, La ratifica della Convenzione CyberCrime del Consiglio d’Europa. I profili processuali, in Dir. pen. proc., 2008, 720 ss. (2) Sul significato tecnico delle locuzioni “indagini digitali”, “indagini informatiche”, “indagini elettroniche” e “indagini cibernetiche”, spesso impiegate come sinonimi ma corrispondenti a realtà differenti, v. Signorato, Le indagini digitali. Profili strutturali di una metamorfosi investigativa, Torino, 2018, 43 ss. In argomento, v. anche Aterno, Digital forensics (investigazioni informatiche), in Dig. disc. pen., Agg. VIII, Torino, 2014, 217; Pittiruti, Digital evidence e procedimento penale, Torino, 2017; Testaguzza, Digital forensics. Informatica giuridica e processo penale, Milano, 2014.
nuncia in epigrafe si arricchisce di un tassello nuovo. La fattispecie concreta, peraltro, presenta connotati inediti nella misura in cui solleva una questione sui generis, riguardante l’estrapolazione di immagini da un sistema di videosorveglianza. A parte l’originalità dell’oggetto, nondimeno, il tema portante, come subito si dirà, resta quello delle acquisizioni informatiche e delle sottostanti regulae agendi. Più precisamente, l’imputato (un giornalista), al quale era contestata la violazione della pubblica custodia di cose (art. 351 c.p.) per avere sottratto atti concernenti le intercettazioni riferite a un parlamentare e custodite presso la cancelleria del giudice per le indagini preliminari, veniva condannato sulla base delle riprese visive che erano state eseguite negli stessi locali in uso al tribunale mediante sistema di sicurezza. Il supporto di registrazione, tuttavia, non era costituito da un tradizionale videotape (nastro audiovisivo), trattandosi di immagini memorizzate nel server dell’impianto di videosorveglianza sotto forma di dati digitali. Ragion per cui, per otte-
DIRITTO DI INTERNET N. 3/2019
569
GIURISPRUDENZA PENALE nere i filmati corrispondenti si era proceduto mediante estrazione di file dal sistema informatico. Ebbene, in virtù di questo peculiare aspetto – immagini realizzate in formato digitale – la vicenda, senza coinvolgere apertis verbis gli altri profili critici connessi all’uso delle videoriprese (3), ha finito per alimentare la più primordiale tra le dispute in materia di computer forensics: la natura irripetibile o meno delle acquisizioni informatiche e le ricadute processuali in punto di impiego delle risultanze raccolte (4). A sollecitare l’intervento della Cassazione sul punto, per la verità, era stato lo stesso ricorrente con un motivo giudicato in parte qua “aspecifico”, non avendo chiarito se oggetto di censura fosse l’utilizzo delle immagini perché acquisite con metodiche non corrette (segnatamente, senza copia forense: artt. 247, comma 1-bis, 254-bis e 354, comma 2, c.p.p.) ovvero la mancata attivazione della procedura ex art. 360 c.p.p. al cospetto di atti irripetibili. Dal canto suo, la Suprema corte, mossa da una doglianza non del tutto univoca, giunge a rilevare la sua infondatezza con un ragionamento in due tempi. Per un verso, infatti, la motivazione investe il tema – ritenuto preliminare – della dedotta irripetibilità degli atti, andando ad attingere la soluzione (negativa) dalla pregressa elaborazione giurisprudenziale in materia di estrazione di file. Subito dopo, attualizzato il discorso alle dinamiche del caso concreto, la pronuncia si appunta sulla stessa riconducibilità delle videoriprese nell’alveo della prova documentale, con lo scopo di definire il loro statuto di acquisizione indipendentemente dal processo di digitalizzazione sottostante. E tuttavia, a valle di un percorso argomentativo sospeso, si direbbe, tra passato e presente, l’impressione è che la partita nel campo della prova informatica non sia affatto conclusa e che un terzo tempo sia ancora da disputare, nell’immediato futuro, sul piano degli standard operativi connessi all’ingresso della digital evidence nel procedimento penale.
2. Il passato: l’estrazione di file
seconda porzione a venire scrutinata in via prioritaria. A questo proposito, va detto che le ragioni di doglianza originavano da un aspetto pratico della vicenda, riguardante la periodica sovrascrittura dei dati da parte del sistema di sicurezza e la conseguente perdita delle immagini già memorizzate, circostanze che avrebbero imposto ab origine l’acquisizione in contraddittorio dei filmati in virtù della natura irripetibile dell’atto. La difesa, in particolare, in mancanza dei file originali lamentava l’impossibilità di ricostruire la cronologia degli accadimenti e di ritenere attendibili e affidabili le copie effettuate nel corso delle indagini. Ciò malgrado, la Cassazione supera la censura di inutilizzabilità delle risultanze grazie a una serie di affondi nella sua giurisprudenza passata. Muovendo, infatti, da una risalente distinzione tra “rilievi” (i.e., constatazione o raccolta di dati materiali pertinenti al reato) e “accertamenti” (i.e., studio ed elaborazione critica dei dati raccolti, su base tecnico-scientifica) (5) e ricondotta in questo secondo ambito la nozione di “accertamento tecnico” (6), incluso quello irripetibile ex art. 360 c.p.p., si osserva come i rilievi, ancorché caratterizzati dalla dispersione dei dati probatori ovvero da una certa professionalità nelle attività di raccolta, non mutano per ciò solo la loro natura (7). E dunque, a detta della Suprema corte, l’attività di estrazione di copia di file da computer, giovandosi di una tecnica che consente di acquisire il dato attraverso «operazioni meramente esecutive e materiali», senza necessità di perizia o consulenza, «non ha natura di accertamento tecnico irripetibile» ai sensi dell’art. 360 c.p.p. Sarebbe così confermato l’assunto, dichiaratamente condiviso dalla pronuncia in commento, per cui operazioni simili non comportano attività di carattere valutativo su base tecnico-scientifica né determinano alterazioni dello stato delle cose, tali da recare pregiudizio alla genuinità del contributo raccolto, essendo sempre possibile riprodurre informazioni identiche a quelle contenute nell’originale (8).
Del motivo “anfibio” proposto dal ricorrente – mancata copia forense e violazione dell’art. 360 c.p.p. – è la (5) V. Cass. pen., Sez. I, 9 febbraio 1990, n. 301, in CED 183684. (3) Si allude al loro impiego nel processo penale in assenza di regolamentazione normativa, circostanza che ne rende problematico l’inquadramento giuridico nell’ambito della prova documentale o degli strumenti di indagine, dovendosi garantire, in questa seconda ipotesi, l’inviolabilità del domicilio ex art. 14 Cost.: v. Cass. pen., Sez. un., 28 marzo 2006, n. 26795, in Riv. it. dir. proc. pen., 2006, 4, 1537 ss. In letteratura, v. per tutti Camon, Captazione di immagini (diritto processuale penale), in Enc. dir., Annali, VI, Milano, 2013, 133 ss. (4) Tra le pronunce di merito, anteriori alla l. n. 48 del 2008, v. Trib. Chieti, 2 marzo 2006, in Dir. internet, 2006, 572, con nota di Cajani, Alla ricerca del log (perduto), ivi, 573; Trib. Bologna, 22 dicembre 2005, in Dir. internet, 2006, 153, con nota di Lupària, Il caso “Vierika”: un’interessante pronuncia in materia di virus informatici e di prova penale digitale. I profili processuali, ivi, 155.
570
DIRITTO DI INTERNET N. 3/2019
(6) V. Cass. pen., Sez. I, 13 novembre 2007, n. 2443, in CED 239101; Cass. pen., Sez. I, 31 gennaio 2007, n. 14852, in CED 237359. (7) V. Cass. pen., Sez. I, 30 novembre 2005, n. 45437, in CED 233354, in tema di prelievi di polvere da sparo; nonché Cass. pen., Sez. VI, 6 febbraio 2013, n. 10350, in CED 254589, in ordine all’esaltazione e successiva estrazione delle impronte digitali. (8) Principio espresso da Cass. pen., Sez. I, 5 marzo 2009, n, 14511, in CED 243150. In termini critici rispetto all’esegesi prospettata in giurisprudenza, v. Daniele, Prova scientifica e regole di esclusione, in Prova scientifica e processo penale, a cura di Canzio e Lupària, Padova, 2018, 505; Id., La prova digitale nel processo penale, in Riv. dir. proc., 2011, 297 ss.; Marafioti, Digital evidence e processo penale, in Cass. pen., 2011, 4519; Tonini, Considerazioni su diritto di difesa e prova scientifica, in Arch. pen., 2011, 825 ss.; nonché, volendo Lorenzetto, Utilizzabilità dei dati informatici incor-
GIURISPRUDENZA PENALE Con riguardo a tale ultimo aspetto, peraltro, la pronuncia fornisce una precisazione aggiuntiva in merito alla stessa nozione di “copia”, terminologia usata impropriamente – si afferma – in relazione alle acquisizioni di immagini in formato digitale. Più corretto, in siffatto contesto, parlare di «un’identica riproduzione in un numero non preventivamente definito di “cloni”»; di talché, proprio le videoriprese, che già riproducono accadimenti reali riguardanti persone o cose, allorché realizzate in formato digitale non sono suscettive di copia ma possono, semmai, essere trasferite o estrapolate, e dunque acquisite in termini identici all’originale, con una possibilità indefinita di duplicazione.
3. Il presente: l’acquisizione delle videoriprese in formato digitale
Le premesse di inquadramento sistematico circa l’ambito applicativo dell’art. 360 c.p.p forniscono alla Suprema corte l’appiglio per fronteggiare anche l’altra obiezione formulata dal ricorrente, riguardante le metodiche di acquisizione delle risultanze. Alle operazioni, infatti, aveva provveduto un cancelliere in servizio presso l’ufficio, che si era limitato a estrapolare dal sistema i dati, poi inseriti all’interno di un dispositivo mobile (c.d. “chiavetta USB”) e masterizzati su DVD. Secondo la difesa, dunque, sarebbe mancata la copia forense mediante procedura c.d. “bit to bit”, unica attività che garantisce la replica integrale di tutti i dati informatici in termini identici all’originale (artt. 247, comma 1-bis, 254-bis e 354, comma 2, c.p.p.). Ancora una volta, nondimeno, ogni eccezione di inutilizzabilità delle risultanze resta disattesa, facendo leva su quello che la Cassazione viene a individuare come lo «strumento giuridico» per acquisire al procedimento le immagini video, anche se in formato digitale. Cuore del ragionamento è l’approdo delle Sezioni unite in materia di riprese visive (9): simili attività, benché non regolate dalla legge, se tratte in luoghi pubblici ed effettuate al di fuori delle indagini preliminari e indipendentemente dal procedimento penale non costituiscono prove atipiche ex art. 189 c.p.p., ma ricadono nella categoria delle prove documentali. Allo stesso modo – ritiene la pronuncia in commento – «i file che riproducono le videoriprese effettuate per mezzo di impianti di sorveglianza posti a tutela di uffici pubblici risultano essere dei documenti». Lo confermerebbe il tenore letterale dell’art. 234 c.p.p. nella parte in cui, enunciando in cosa consiste il “documento”, si limita a indicare le sue caratteristiche oggettive – «documenti che rappre-
sentano fatti, persone o cose mediante la fotografia, la cinematografia, la fonografia e qualsiasi altro mezzo» – senza accordare rilievo alla modalità analogica o digitale di videoregistrazione e conservazione. Ragion per cui, anche quando frutto di un processo di digitalizzazione, le immagini video vanno assicurate al procedimento secondo il regime delle acquisizioni documentali ex art. 234 c.p.p. Nel caso concreto, invece, a detta della Suprema corte risulterebbero inconferenti i richiami alle perquisizioni informatiche (art. 247, comma 1-bis, c.p.p.) o al sequestro dei dati informatici presso i gestori di servizi informatici, telematici e di telecomunicazioni (art. 254-bis c.p.p.), ambedue invocati dal ricorrente, dal momento che le attività del funzionario di cancelleria si erano esaurite con la materiale acquisizione dei file relativi alle videoriprese. D’altro canto, stando ai principi già espressi dalla stessa Cassazione in materia di indagini informatiche, le norme di rilievo – in particolare, gli artt. 247, comma 1-bis, 254-bis e 260, comma 2, c.p.p. – non imporrebbero misure e procedure tipizzate, ma soltanto garanzie di conservazione e non alterazione dei dati, tali da assicurare la conformità della copia all’originale e la sua immodificabilità (10); mancando, inoltre, una sanzione processuale in caso di omessa adozione delle stesse cautele, le uniche conseguenze potrebbero prodursi sul piano dell’attendibilità della prova (11).
4. Il futuro: acquisizioni informatiche e best practice
Ricostruite nei loro tratti essenziali, le due questioni decise dalla Suprema corte – estrazione di file, la prima; acquisizione di videoriprese in formato digitale, la seconda – offrono entrambe soluzioni discutibili. Anche a prescindere dalla tendenza a consolidare opinioni tralatizie non sempre pertinenti, sintomo di una certa riluttanza a cogliere l’impatto innovativo della prova informatica sulle tradizionali categorie processuali, possono formularsi alcuni rilievi ripercorrendo a ritroso i passaggi della motivazione. A cominciare, dunque, dall’inquadramento giuridico delle videoregistrazioni, nessuno dubita che il filmato costituisca prova documentale ex art. 234 c.p.p. allorché l’oggetto della ripresa sia un fatto esterno al procedimento – e non un’attività processuale – seguendo, in tal caso, lo stesso regime di acquisizione dei documenti: sequestro nel corso delle indagini (artt. 354, comma 2, e 253 c.p.p.), ammissione da parte del giudice in udienza preliminare (art. 421, comma 3, c.p.p.), inserimento nel fascicolo per il dibattimento (art. 431, comma 1, lett. h,
porati su computer in sequestro: dal contenitore al contenuto passando per la copia, in Cass. pen., 2010, 1530.
(10) V. Cass. pen., Sez. III, 28 maggio 2015, n. 37644, in CED 266477.
(9) V. Cass. pen., Sez. un., 28 marzo 2006, n. 26795, cit.
(11) V. Cass. pen., Sez. V, 16 novembre 2015, n. 11905, CED 266477.
DIRITTO DI INTERNET N. 3/2019
571
GIURISPRUDENZA PENALE c.p.p.) e provvedimento ammissivo del giudice dibattimentale (art. 495, comma 3, c.p.p.) (12). Occorre, però, distinguere a seconda che le riprese visive siano realizzate in formato “analogico” (documento tradizionale) ovvero “digitale” (documento informatico). Diversamente da quanto asserisce la Suprema corte, infatti, il differente metodo di incorporamento mediante cui la rappresentazione è fissata al supporto incide in misura determinante sulla natura del documento (13): quello informatico è “dematerializzato” (trasferibile da un supporto all’altro) e altamente manipolabile a cagione della fragilità del dato. Di qui, l’esigenza delle misure tecniche e delle cautele tese ad assicurare la conservazione e la non alterazione dei dati, privilegiando la duplicazione immediata con una procedura che garantisca la conformità della copia all’originale e la sua immodificabilità sin da primo sopralluogo inquirente (art. 354, comma 2, secondo periodo, c.p.p.) (14). Al contrario, disconoscere l’operatività di simili regulae agendi per l’acquisizione delle videoriprese riprodotte nei file, sul presupposto che l’art. 234 c.p.p. non distinguerebbe tra modalità analogica e digitale di videoregistrazione, significa negare al documento informatico quella stessa autonomia concettuale che invece, dopo la l. n. 48 del 2008, ha trovato un preciso ed esplicito riconoscimento sistematico proprio nelle disposizioni sulle indagini digitali, a prescindere dalla perdurante mancanza di una definizione normativa accettabile e univoca (15). Chiarito, allora, che la natura digitale della videoripresa impone l’adozione di standard acquisitivi sui generis, di cui la copia-clone costituisce il livello più garantito, occorre interrogarsi sulle modalità operative concrete che regolano l’estrazione di file. La pronuncia, come detto, esclude la necessità di un contraddittorio preventivo ex art. 360 c.p.p. e ritiene che le attività corrispondenti
– poiché operazioni meramente esecutive e materiali, prive di carattere valutativo su base tecnico-scientifica – non siano classificabili come accertamenti tecnici irripetibili. Sotto questo profilo, tuttavia, anche senza entrare nel merito della componente altamente specialistica richiesta dalla copia forense, profilo in sé capace di mettere in crisi la sua apodittica catalogazione tra i rilievi (16), l’assunto non convince nella misura in cui ignora completamente il modus operandi dell’inquirente. È vero, infatti, che il dato digitale, come afferma la Suprema corte, consente la riproduzione identica per un numero indefinito di volte, rendendo reiterabile il successivo accertamento tecnico sulle risultanze informatiche; il presupposto, però, è che l’estrazione di file sia avvenuta sin dalle origini con metodiche corrette. Se così non fosse, infatti, l’elemento acquisito risulterebbe in radice adulterato e non potrebbe costituire in alcun modo la base per successive consulenze o perizie, destinate, esse stesse, a produrre risultati non genuini. Ecco perché le acquisizioni informatiche, situazioni tipicamente urgenti per la congenita labilità del dato digitale, possono, sì, essere eseguite anche in sede di sopralluogo unilaterale ex art. 354, comma 2, c.p.p., riservando la procedura a contraddittorio ex ante ai soli casi in cui l’attività non si presenti indifferibile, a norma dell’art. 360, comma 4, c.p.p. (17) Nondimeno, e indipendentemente dalla circostanza che si agisca seguendo l’una o l’altra procedura, affinché la risultanza informatica sia utilmente acquisita occorre che in quelle sedi non sia stata prodotta alcuna alterazione, vale a dire che l’operatore abbia seguito un metodo affidabile, rispettoso delle linee guida di settore e fedele alla catena di custodia del reperto (18). Tutti profili, questi, su cui dovrà potersi esercitare il contraddittorio, quanto meno ex post se l’acquisizione è stata eseguita in via unilaterale, quale forma di controllo differito sulla correttezza del metodo,
(12) In questi termini, v. Camon, Captazione di immagini, cit., 133. (13) La distinzione tra incorporamento analogico e digitale è tracciata da Tonini, Documento informatico e giusto processo, in Dir. pen. proc., 2009, 403. V. anche Id., L’evoluzione delle categorie tradizionali: il documento informatico, in Cybercrime, a cura di Cadoppi, Canestrari, Manna e Papa, Milano, 2019, 1314, per la definizione di documento informatico quale «rappresentazione di un fatto che è incorporata in una base materiale con un metodo digitale». (14) Sul tema, v. volendo Lorenzetto, Le attività urgenti di investigazione informatica e telematica, in Sistema penale e criminalità informatica, cit., 135 ss. (15) In termini critici, con riguardo alle nozioni contrastanti di «documento informatico» contenute, dapprima, nell’art. 491-bis c.p. (i.e., «supporto informatico contenente dati o informazioni aventi efficacia probatoria»), inserito dalla l. 23 dicembre 1993, n. 547 e poi modificato dalla l. n. 48 del 2008, nonché, successivamente, nell’art. 1, comma 1, lett. p, d. lgs. 7 marzo 2005, n. 82, Codice dell’amministrazione digitale (i.e., «rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti»), v. Tonini, L’evoluzione delle categorie tradizionali: il documento informatico, cit., 1308 s.
572
DIRITTO DI INTERNET N. 3/2019
(16) La definisce «nuova prova scientifica di alta specializzazione» Tonini, L’evoluzione delle categorie tradizionali: il documento informatico, cit., 1318 s. Va segnalato che la distinzione tra “rilievo” e “accertamento tecnico” è stata di recente fatta propria da C. cost., 15 novembre 2017, n. 239, in Foro it., 2018, 3, I, 778 ss., che ha dichiarato non fondate le questioni di legittimità costituzionale dell’art. 360 c.p.p. laddove non estende le garanzie difensive ivi previste alle attività di individuazione e prelievo di reperti utili per la ricerca del DNA, sia pure aprendo una breccia nella stessa nozione di “rilievo”, suscettibile di integrare un “accertamento tecnico” allorché richieda «valutazioni e scelte circa il procedimento da adottare, oltre che non comuni competenze e abilità tecniche per eseguirlo». (17) In questo senso, v. Tonini, L’evoluzione delle categorie tradizionali: il documento informatico, cit., 1326. (18) Per un caso di violazione della catena di custodia, v. Cass. pen., Sez. III, 16 dicembre 2009, n. 2270, in Dir. pen. proc., 2010, 1076, con nota di Casini, Sanzionata dalla Cassazione l’omessa catena di custodia, ivi, 1078.
GIURISPRUDENZA PENALE l’integrità del dato e l’attendibilità della risultanza (19). Nel caso concreto, invece, si è visto come la verifica al riguardo sia rimasta totalmente disattesa, sulla base del convincimento – erroneo – che l’estrazione di file, inclusi quelli che riproducono riprese visive, non rechi pregiudizio alcuno alla genuinità del contributo raccolto. A conti fatti, uscendo dal perimetro delle videoriprese digitali e ampliando l’orizzonte al complesso delle acquisizioni informatiche, il punto debole della sentenza, in aggiunta all’adesione incondizionata ad approdi giurisprudenziali opinabili e non attuali, risiede nella totale svalutazione del valore della best practice. E non si tratta soltanto delle distorsioni in ordine alla natura ripetibile, o meno, delle attività, requisito che non si può predicare a priori ma, come detto, discende dalla correttezza dell’agire in concreto. Oltre a ciò, manca una presa di coscienza delle conseguenze processuali derivanti dalla inosservanza degli standard operativi ottimali (20). L’unica ricaduta, si afferma, sarebbe riscontrabile sul piano dell’attendibilità delle risultanze, dal momento che le disposizioni in materia di indagini informatiche non impongono misure e procedure tipizzate e nemmeno prevedono sanzioni ad hoc in caso di loro mancata adozione. Intuibili i corollari: ampia discrezionalità del giudice nel valutare la prova (art. 192 c.p.p.) e onere di dimostrare gli effetti deleteri per l’integrità dell’elemento acquisito (21). Onde contenere simili derive, si può replicare che un deficit tecnico nell’estrazione dei file genera una situazione di inidoneità probatoria sia della risultanza informatica che di ogni successiva analisi condotta sulla stessa. A questo proposito, è vero che il requisito corrispondente – «essere idonea ad assicurare l’accertamento dei fatti» – costituisce parametro di ammissibilità della prova atipica (art. 189 c.p.p.), ma lo stesso può ritenersi presupposto implicito anche per l’ammissione di quella tipica
(19) Sottolinea Conti, La prova informatica e il mancato rispetto della best practice: lineamenti sistematici sulle conseguenze processuali, in Cybercrime, a cura di Cadoppi, Canestrari, Manna e Papa, cit., 1333, che «il contraddittorio, anche qualora venga attuato, non pone rimedio di per sé ad eventuali vizi acquisitivi, dovuti al mancato rispetto delle corrette procedure» e che, dunque, «il metodo dialettico non vale ad esonerare dal rispetto della best practice di settore». (20) Tema di interesse anche in materia di raccolta transnazionale della prova informatica: v. Colaiocco, La rilevanza delle best practices nell’acquisizione della digital evidence alla luce delle novelle sulla cooperazione giudiziaria, in Arch. pen., 2019, 1, 1 ss. (21) Autentica «probatio diabolica», secondo Conti, La prova informatica e il mancato rispetto della best practice: lineamenti sistematici sulle conseguenze processuali, cit., 1343, che suggerisce comunque di evitare gli approcci di tipo sostanziale, già maturati nella giurisprudenza, favorevoli a ritenere l’elemento di prova pienamente fruibile ove si riesca ad appurare che la violazione della best practice non ha compromesso la sua genuinità.
(nella fattispecie, della prova documentale) (22). E una prova inammissibile (art. 190 c.p.p.) non è utilizzabile (art. 191 c.p.p.) (23). In definitiva, si tratta, allora, di chiarire quale sia la best practice la cui violazione va sanzionata con regole radicali di esclusione probatoria (24). Un campo, quello abbozzato, tutto da esplorare, che chiama in causa il legislatore in prima persona e in cui la sfida tra digital evidence e processo penale è appena cominciata.
(22) Sul punto, v. Brusco, La valutazione della prova scientifica, in Dir. pen. proc., 2008, suppl. al n. 6, 27. (23) V. anche Lupària, La disciplina processuale e le garanzie difensive, in Investigazione penale e tecnologia informatica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali, a cura di Lupària e Ziccardi, Milano, 2007, 197, nel senso che il materiale raccolto sarebbe inutilizzabile per unreliability, vale a dire per inidoneità delle evidenze digitali ad assicurare un accertamento attendibile dei fatti di reato. (24) Regole, concernenti le modalità acquisitive, «il cui contenuto parla un linguaggio scientifico destinato ad un aggiornamento in tempo reale»: è lo scenario che prefigura Conti, La prova informatica e il mancato rispetto della best practice: lineamenti sistematici sulle conseguenze processuali, cit., 1347.
DIRITTO DI INTERNET N. 3/2019
573
GIURISPRUDENZA PENALE
Responsabilità del blogger per fatto illecito altrui: la Suprema Corte percorre la “via” della pluralità di reati Corte di Cassazione ; sezione V penale; 20 marzo 2019, n. 12546; Pres. Vessichelli; Rel. Miccoli; P.M. Salzano. Va esclusa una responsabilità personale del blogger quando questi, reso edotto dell’offensività della pubblicazione, decide di intervenire prontamente a rimuovere il post offensivo. Il blogger può rispondere dei contenuti denigratori pubblicati sul suo diario da terzi quando, presa cognizione della lesività di tali contenuti, li mantenga consapevolmente. In linea con i principi della responsabilità personale del blogger, è necessaria una verifica della consapevole adesione da parte di quest’ultimo al significato dello scritto offensivo dell’altrui reputazione, adesione che può realizzarsi proprio mediante la volontaria mancata tempestiva rimozione dello scritto medesimo (1). Il gestore del sito che apprenda che sono stati pubblicati, da terzi, contenuti obiettivamente denigratori e non si attivi tempestivamente per rimuovere tali contenuti, finisce per farli propri e quindi per porre in essere ulteriori condotte di diffamazione, che si sostanziano nell’aver consentito, attraverso l’utilizzo del proprio blog, l’ulteriore divulgazione delle notizie diffamatorie (2).
Ritenuto in fatto. Con la sentenza del 5 aprile 2017 la Corte di Appello di Messina ha confermato la pronuncia del Tribunale di Patti, con la quale era stata affermata la responsabilità penale di A.A. per il reato di diffamazione aggravata ai sensi dell’art. 595, comma 3, cod. pen. L’aggravante di cui all’art. 595, comma 3, cod. pen., era da riferire all’utilizzo, al fine di commettere il delitto, di un blog gestito dall’imputato, in cui venivano pubblicate espressioni di carattere diffamatorio in danno di AN. Lo., provenienti sia dall’imputato medesimo che da soggetti terzi. In particolare, l’imputato, scrivendo l’espressione “non offendere i porci” sul blog da lui gestito, rivolgendosi a tale N.M. (citata dall’ An. in una lettera aperta da lui redatta e pubblicata dall’ A. sul suo blog) ledeva - secondo l’impostazione accusatoria, confermata dal giudice di primo grado e da quello di appello - la reputazione di AN. Lo.. In aggiunta l’imputato non provvedeva alla rimozione di commenti altrettanto diffamatori provenienti da utenti anonimi. …Omissis… Avverso tale pronunzia l’imputato, per mezzo del proprio difensore, propone ricorso per cassazione, articolato in due motivi. Con il primo si deduce violazione di legge e, conseguentemente, nullità della sentenza di appello. Viene menzionata, a tal fine, la disciplina degli “internet provider”, ritenuta dal difensore del ricorrente estensibile agli amministratori di blog, la quale richiede, ai fini della responsabilità del provider, una conoscenza del dato illecito non già semplice bensì qualificata, proveniente cioè
da una pubblica amministrazione, dal pubblico ministero o dal giudice, che ne chiedano la rimozione. …Omissis… Con il secondo motivo si censura la manifesta illogicità e la mancanza di motivazione in ordine all’esclusione dell’elemento psicologico del reato. Il giudice di appello, anziché provvedere concretamente a evidenziare la prova del dolo, lo desume sulla base dell’intrinseca idoneità lesiva dei contenuti pubblicati tramite il blog gestito dall’imputato e sul dato oggettivo della stessa pubblicazione, da cui si ricava l’intenzione lesiva dell’ A.. …Omissis… Considerato in diritto. …Omissis… Orbene, qualora il blogger dovesse esser ritenuto responsabile per tutto quanto scritto sul proprio sito anche da altri soggetti, sarebbe ampliato a dismisura il suo dovere di vigilanza, ingenerando un eccessivo onere a carico dello stesso. Certamente, però, quando il blog sia stato implementato di alcuni filtri nella pubblicazione dei contenuti, per evitare conseguenze penali il gestore è tenuto a vigilare ed approvare i commenti prima che questi siano pubblicati. Va quindi esclusa una responsabilità personale del blogger quando questi, reso edotto dell’offensività della pubblicazione, decide di intervenire prontamente a rimuovere il post offensivo. In tal senso si è espressa la sentenza del 9 marzo 2017 (sul caso Pihl vs. Svezia) della Corte Europea dei Diritti Umani, così chiarendo i limiti della responsabilità dei
DIRITTO DI INTERNET N. 3/2019
575
GIURISPRUDENZA PENALE gestori di siti e blog per i commenti degli utenti che abbiano contenuto diffamatorio. …Omissis… In ragione di ciò rileva nel caso in esame il fatto che l’odierno ricorrente non si sia attivato tempestivamente per la rimozione dei commenti denigratori scritti da terzi utenti una volta venuto a conoscenza degli stessi. …Omissis… In effetti, in linea con i principi della responsabilità personale del blogger, è necessaria una verifica della consapevole adesione da parte di quest’ultimo al significato dello scritto offensivo dell’altrui reputazione, adesione che può realizzarsi proprio mediante la volontaria mancata tempestiva rimozione dello scritto medesimo. …Omissis… Va tuttavia chiarito, per quanto concerne il riferimento nell’atto di ricorso al concorso omissivo nel reato commissivo altrui e al reato omissivo improprio, che entrambe le ipotesi presuppongono l’obbligo giuridico di impedire l’evento collegato ad una posizione di garanzia. …Omissis… Nel caso che ci occupa, invece, non è configurabile una posizione di garanzia ed un conseguente obbligo giuridico di garanzia in capo all’amministratore di blog, giacché tale figura non è investita da alcuna fonte di poteri giuridici impeditivi di eventi offensivi di beni altrui, affidati alla sua tutela per l’incapacità dei titolari di adeguatamente proteggerli. Deve piuttosto affermarsi che la non tempestiva attivazione da parte del ricorrente al fine di rimuovere i commenti offensivi pubblicati da soggetti terzi sul suo blog equivale non al mancato impedimento dell’evento diffamatorio - rilevante ex art. 40, comma 2, cod. pen., - ma alla consapevole condivisione del contenuto lesivo dell’altrui reputazione, con ulteriore replica della offensività dei contenuti pubblicati su un diario che è gestito dal blogger. Sotto altro profilo, va dato atto che questa Corte (con la citata sentenza n. 54946/2016, udienza 14 luglio 2016,
imp. Maffeis) ha avuto modo di confermare la responsabilità di un gerente un sito internet, per aver mantenuto consapevolmente un articolo diffamatorio sullo stesso sito, consentendo che lo stesso esercitasse l’efficacia diffamatoria. ...Omissis… La responsabilità del suddetto gestore del sito è stata ritenuta a titolo di concorso nel reato di diffamazione; è stata quindi valorizzata la circostanza che il provider avesse consapevolmente mantenuto il contenuto diffamatorio sul proprio sito e consentito “che lo stesso esercitasse l’efficacia diffamatoria”, pur avendone avuto conoscenza in un momento anteriore all’ordine di sequestro del sito. Indubbiamente perplessità in ordine a tale impostazione scaturiscono dal fatto che l’obbligo d’impedimento, sul quale si fonda il giudizio di responsabilità concorsuale, è stato collocato in un momento successivo a quello della consumazione del reato che è diretto ad impedire, facendo così breccia nella possibilità di configurare la fattispecie omissiva impropria di cui al combinato disposto degli artt. 40 e 110 cod. pen. …Omissis… Per superare tali perplessità sulla configurabilità di una responsabilità in concorso ex artt. 40 e 110 cod. pen. del blogger, si può fare ricorso alla figura della pluralità di reati, integrati dalla ripetuta trasmissione del dato denigratorio. In altri termini, se -come è accaduto nella specie- il gestore del sito apprende che sono stati pubblicati da terzi contenuti obiettivamente denigratori e non si attiva tempestivamente a rimuovere tali contenuti, finisce per farli propri e quindi per porre in essere ulteriori condotte di diffamazione, che si sostanziano nell’aver consentito, proprio utilizzando il suo web-log, l’ulteriore divulgazione delle stesse notizie diffamatorie. …Omissis… P.Q.M. rigetta il ricorso …Omissis…
IL COMMENTO
di Pierluigi Guercia Sommario: 1. Le questioni al vaglio della Corte Suprema. – 2. Prodromiche rilevazioni: asimmetricità delle figure dell’amministratore di blog e dell’internet service provider. – 3. I criteri valutativi elaborati in seno alla Corte EDU: il caso Pihl c. Svezia. – 4. Le oscillazioni giurisprudenziali in merito alla responsabilità del blogger per fatto illecito altrui. – 5. La “via” della pluralità di reati e le persistenti tortuosità nel solco tracciato dalla Suprema Corte. La Corte Suprema affronta la delicata tematica della configurabilità di una responsabilità penale in capo al blogger per contenuti diffamatori pubblicati sul proprio blog da utenti terzi. L’iter argomentativo prefigurato dai giudici di legittimità risulta segnato, nelle sue tappe intermedie, tanto da un prezioso collegamento alle soluzioni prospettate dalla giurisprudenza della Corte EDU, quanto, soprattutto, dal riferimento e dal vaglio critico di una precedente decisione della stessa Corte di cassazione. Difatti, proprio dalle riserve critiche prospettate in merito alla prefigurazione di una responsabilità del gestore per omissione o per concorso omissivo in reato commissivo,
576
DIRITTO DI INTERNET N. 3/2019
GIURISPRUDENZA PENALE si dipana il punto di approdo terminale, incardinato sulla considerazione della condotta del blogger come integrante condotte di diffamazione ulteriori e distinte, rispetto a quella antecedentemente posta in essere dall’autore dell’espressione diffamatoria. La Suprema Corte, così opinando, perviene all’affermazione della penale responsabilità del blogger in seguito alla volontaria mancata tempestiva rimozione del contenuto diffamatorio, in quanto l’amministratore del blog a fronte, appunto, della mancata rimozione finisce per farlo proprio, ponendo in essere ulteriori contegni diffamatori, sostanziantisi nell’aver consentito, attraverso il blog, l’ulteriore divulgazione dell’informazione diffamatoria. The Supreme Court addresses the sensitive issue of the configurability of a criminal liability in charge of the blogger for defamatory content published on his blog by third-party users. The argumentative process foreshadowed by the judges of legitimacy is marked, in its intermediate stages, as well as a valuable link to the solutions proposed by the EDU Court’s jurisprudence, as well as, above all, by the reference and critical scrutiny of a previous decision by the Court of Cassation itself. In fact, precisely from the critical reservations about the foreshadowing of a liability of the manager by omission or by omission in committal crime, the point of terminal is unravelled, incardinated on the consideration of conduct of the blogger as an integral conduct of further and distinct defamation, compared to that previously put in place by the author of the defamatory expression. The Supreme Court, so ointing, comes to the affirmation of the criminal responsibility of the blogger following the voluntary failure to promptly remove the defamatory content, as the administrator of the blog in the face, precisely, of the non-removal ends up doing just that, putting in place further defamatory demeanours, substantiated in allowing, through the blog, the further dissemination of defamatory information.
1. Le questioni al vaglio della Corte Suprema
La Suprema Corte, con la pronuncia oggetto della nostra analisi ricostruttiva, torna ad affrontare la delicata tematica afferente alla responsabilità degli amministratori di blog per commenti diffamatori postati da utenti anonimi. Più in particolare, nel caso di specie, veniva a prefigurarsi una duplice responsabilità del blogger, laddove i primi due gradi di giudizio avevano concluso in senso affermativo della responsabilità penale dello stesso per il reato di diffamazione aggravata, ex art. 595, comma terzo, c.p., tanto per la condotta di inserimento diretto da parte del blogger di commenti contenenti espressioni di carattere diffamatorio, quanto, altresì, per il consapevole mantenimento sul diario virtuale di commenti diffamatori provenienti da soggetti terzi. La condotta attiva posta in essere dal gestore del blog non lasciava spazio a particolari orizzonti dubitativi od a perplessità, laddove la pubblicazione di una lettera dal tenore diffamatorio, sommata all’immissione realizzata personalmente dal blogger di espressioni parimenti diffamatorie, senza alcun dubbio prefigurava la sua responsabilità ex art. 595 c.p., da considerarsi nell’ipotesi aggravata contemplata dal comma terzo del medesimo articolo, giusto l’ormai incontrovertibile arresto della giurisprudenza di legittimità in senso inclusivo delle nuove piattaforme di comunicazione on line nella nozione di “mezzo di pubblicità”, a cagione della loro capacità diffusiva, dalla portata potenzialmente indeterminata (1). Contrariamente, profilo alquanto controverso,
autentico punctum pruriens della sentenza in esame, risulta essere quello che peculiarmente attiene alla possibile configurazione della responsabilità dell’amministratore di blog con riferimento ai commenti di chiara matrice diffamatoria, pubblicati in forma anonima dagli utenti, sulla pagina virtuale dal medesimo gestita. Le questioni che il ricorrente sottoponeva al vaglio dei giudici di legittimità risultavano essenzialmente articolate in due differenti motivi di ricorso; il primo, si incentrava su un’asserita violazione di legge, posto che la pronuncia della Corte di Appello, confermativa di quella emessa in primo grado, non aveva correttamente optato in senso favorevole all’estensibilità nei confronti degli amministratori di blog della disciplina normativa prevista per gli internet service provider, richiedente quest’ultima, ai fini della sussistenza della responsabilità del provider, una conoscenza del dato illecito non semplice, bensì qualificata. Altrimenti detto, il ricorrente lamentava che la responsabilità del blogger per non aver rimosso i contenuti offensivi non potesse sufficientemente discendere dall’intervenuta conoscenza degli stessi, risultando, viceversa, assolutamente necessaria la riconducibilità ad un ordine di rimozione, proveniente da una pubblica amministrazione o da un’autorità giudiziaria, rimasto inadempiuto. L’affermazione della penale responsabilità del blogger, incardinata sulla mancata rimozione dei contenuti diffamatori soggetti alla sua diretta cognizione, andrebbe conseguentemente a fondarsi sulla peculiare posizione da questo ricoperta, integrando un’ipotesi di
(1) In tal senso, ex multis, cfr. Cass., sez. I, 22 gennaio 2014, n. 16712, in Diritto penale contemporaneo, all’indirizzo <http://www.penalecontemporaneo.it>, 8 maggio 2014, con nota di Turchetti, Diffamazione su facebook: comunicazione con più persone e individuabilità della vittima; nonché, Cass., sez. V, 14 novembre 2016, n. 4873, in Diritto penale contemporaneo, all’indirizzo <http://www.penalecontemporaneo.it>, 20 aprile 2017, con nota di Birritteri, Diffamazione Facebook: la Cassazione conferma il suo indirizzo ma apre a un’estensione analogica in malam partem delle norme sulla stampa. La Corte Suprema, in tale ultima pronuncia, rileva che: «[…] come ripetu-
tamente affermato nella giurisprudenza di legittimità, anche la diffusione di un messaggio diffamatorio attraverso l’uso di una bacheca ‘Facebook’ integra un’ipotesi di diffamazione aggravata ai sensi dell’art. 595, comma 3, cod. pen., poiché questa modalità di comunicazione di un contenuto informativo suscettibile di arrecare discredito alla reputazione altrui, ha potenzialmente la capacità di raggiungere un numero indeterminato di persone, poiché attraverso questa ‘piattaforma virtuale’ gruppi di soggetti valorizzano il profilo del rapporto interpersonale allargato ad un numero indeterminato di aderenti al fine di una costante socializzazione».
DIRITTO DI INTERNET N. 3/2019
577
GIURISPRUDENZA PENALE mera responsabilità di posizione, come tale costituzionalmente illegittima. La prospettazione del secondo motivo di ricorso verteva, invece, sulla manifesta illogicità e sulla mancanza di motivazione, all’interno della decisione del giudice di appello, in ordine alla sussistenza dell’elemento psicologico del reato. Il ricorrente reclamava, sul punto, una dimensione ricostruttiva del dolo avente esclusiva incardinazione sulla intrinseca idoneità lesiva dei contenuti pubblicati tramite il blog gestito dall’imputato ed, altresì, sul dato prettamente oggettivo della stessa avvenuta pubblicazione, rivelantesi monca di adeguata argomentazione relativa agli intendimenti lesivi connessi con la mancata rimozione dei contenuti diffamatori da parte del gestore del blog.
2. Prodromiche rilevazioni: asimmetricità delle figure dell’amministratore di blog e dell’internet service provider
L’incedere argomentativo degli ermellini origina da prodromiche considerazioni incentrate su una compiuta divaricazione delle figure dell’amministratore di blog e dell’internet service provider, essenzialmente indirizzate ad eludere una globale possibilità applicativa della disciplina dei providers anche con riguardo ai blogger. Le presenti rilevazioni, inevitabilmente impongono talune sintetiche ricostruzioni relative alle differenti tipologie di servizi potenzialmente caratterizzanti l’attività dell’internet provider ed alle responsabilità che possono direttamente interessarlo. In medias res, incontestata l’eventualità che i providers possano rispondere anche direttamente per eventuali contenuti illeciti diffusi dagli stessi in rete (si veda il caso del c.d. content provider, ovverosia il provider che fornisce contenuti), l’autentico nodo problematico concerne la configurabilità di una penale responsabilità del provider per fatti illeciti commessi da terzi soggetti mediante contenuti che si trovino ad essere meramente ospitati, trasmessi o memorizzati nel proprio spazio web. La disciplina normativa attualmente vigente, regolatrice delle molteplici attività passibili di svolgimento da parte dei providers, inglobata all’interno del decreto legislativo n. 70/2003, emanato in attuazione della Direttiva europea sul commercio elettronico 2000/31/CE, identifica una temporale bipartizione (2) della responsabilità per condotta omissiva degli internet service providers, scandita da due momenti di diversificata riconduzione alle attività dagli stessi concretamente svolte. In primo luogo, deve oramai considerarsi approdo incontrovertibile l’impossibilità di prefigurare una responsabilità
(2) Cfr. Panattoni, Il sistema di controllo successivo: obbligo di rimozione dell’ISP e meccanismi di notice and take down, in Dir. pen. cont., 2018, 249.
578
DIRITTO DI INTERNET N. 3/2019
omissiva ex ante dei providers (3), desumibile dalla mancata imposizione di un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano, così come di un obbligo generale di attiva ricerca inerente a fatti o circostanze indicativi della presenza di attività illecite (4). Ne consegue, come evidenziato nella pronuncia in commento, che i providers non siano responsabili, in linea generale, nelle circostanze in cui svolgano servizi di c.d. mere conduit, cioè a dire di mero trasporto, il quale può attenere tanto alla trasmissione di informazioni fornite da un destinatario del servizio, quanto alla fornitura di un accesso ad internet, laddove il provider non dia origine alla trasmissione, non selezioni il destinatario della trasmissione e non selezioni né modifichi le informazioni trasmesse (5). Residuerà, pertanto, in tali ipotesi, un esclusivo obbligo, proveniente dall’autorità giudiziaria o amministrativa, di impedire o porre fine (3) In argomento cfr. Manna, La prima affermazione, a livello giurisprudenziale, della responsabilità penale dell’internet provider: spunti di riflessione tra diritto e tecnica, in Giur. cost., 2010, 1856 ss.; nonché, Id., I soggetti in posizione di garanzia, in Dir. inf. e inform., 2010, 779 ss. L’A. limpidamente evidenzia che, il modello afferente ad una responsabilità penale a livello omissivo dell’internet provider “incontra tuttavia il limite a livello soggettivo, in quanto è oltremodo problematico per il gestore di rete conoscere previamente le caratteristiche dei materiali immessi in rete e dunque poterne impedire l’immissione”. Sul versante giurisprudenziale, assolutamente ineludibile il riferimento a Cass., sez. III, 17 dicembre 2013, n. 5107, in Dir. pen e proc., 2014, 277, con nota di Corbetta, Caso “Google”: nessuna responsabilità dell’“Host provider” per l’omesso impedimento di reati realizzati dagli utenti della rete. I giudici di legittimità, nella nota vicenda Google-Vividown, pervennero all’esclusione della sussistenza in capo al provider, anche nell’ipotesi in cui esso si identifichi quale hosting provider, di un obbligo generale di sorveglianza sui dati immessi da soggetti terzi sul sito da lui gestito. Per ulteriori commenti a tale fondamentale pronuncia, cfr. Manna – Di Florio, Riservatezza e diritto alla privacy: in particolare, la responsabilità per omissionem dell’internet provider, in Cybercrime, diretto da Cadoppi, Canestrari, Manna e Papa, Milano, 2019, 891 ss.; Macrillò, Punti fermi della Cassazione sulla responsabilità dell’“internet provider” per il reato ex art. 167, d.lgs. n. 196/2003, in Giur. it., 2014, 2022 ss.; Troncone, il caso “Google” (e non solo). il trattamento dei dati personali e i controversi requisiti di rilevanza penale del fatto, in Cass. pen., 2014, 2060 ss; Ingrassia, Responsabilità penale degli internet service provider: attualità e prospettive, in Dir. pen e proc., 2017, 1621 ss. (4) Cfr. art. 15, dir. 2000/31/CE: «1. Nella prestazione dei servizi di cui agli articoli 12, 13 e 14, gli Stati membri non impongono ai prestatori un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. 2. Gli Stati membri possono stabilire che i prestatori di servizi della società dell’informazione siano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite dei destinatari dei loro servizi o a comunicare alle autorità competenti, a loro richiesta, informazioni che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati». (5) Cfr. art. 14, d.lgs. 9 aprile 2003, n. 70: «1. Nella prestazione di un servizio della società dell’informazione consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, o nel fornire un accesso alla rete di comunicazione, il prestatore non è responsabile delle informazioni trasmesse a condizione che: a) non dia origine alla trasmissione; b) non selezioni il destinatario della trasmissione; c) non selezioni né modifichi le informazioni trasmesse. 2. […]».
GIURISPRUDENZA PENALE alle violazioni commesse. La medesima irresponsabilità generale dei providers si attaglia alla prestazione di servizi di caching, concernenti la memorizzazione automatica, intermedia e transitoria di dati, sotto forma di file “cache”, avente quale unico scopo quello di efficientarne la trasmissione ad ulteriori destinatari del servizio. Foriera di più imponenti criticità, viceversa, appare la posizione del c.d. hosting provider, il quale peculiarmente “ospita” l’utente, concedendogli uno spazio virtuale da gestire, in quanto nei suoi riguardi parrebbe potersi prefigurare una specifica forma di responsabilità, catalizzata in una prospettiva che si rivolge ad una dimensione posteriore rispetto a quella relativa al preventivo controllo delle informazioni, cioè a dire alla fase successiva in cui il contenuto illecito risulti già caricato sulle piattaforme gestite dagli internet service providers. Il fondamento di tale ipotesi di responsabilità dei c.d. hosting providers verrebbe a rintracciarsi nell’art. 14, comma 1, lett. b (6), della Direttiva comunitaria precedentemente citata, il quale espressamente impone un immediato obbligo di attivazione dei providers, finalizzato alla rimozione degli illeciti contenuti, non appena vengano a conoscenza della loro presenza sui propri server. Nei confronti del provider il quale, venuto a conoscenza dell’illiceità penale del contenuto, ometta di rimuoverlo, verrebbe a configurarsi una responsabilità per concorso omissivo in reato commissivo dell’utente (7). Il presente impianto argomentativo è stato fatto proprio da una piuttosto
(6) Cfr. art. 14, comma 1, lett. b, dir. 2000/31/CE: «1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non sia responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore: a) […]; b) non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso». (7) In ambito dottrinale, posizioni favorevoli alla configurabilità di una responsabilità penale dell’internet service provider a titolo di concorso omissivo nel reato commissivo dell’utente possono rinvenirsi in Picotti, La responsabilità penale dei service provider in Italia, in Dir. pen. e proc., 1999, 504 ss.; Flor, Tutela penale e autotutela tecnologica dei diritti d’autore nell’epoca di Internet. Un’indagine comparata in prospettiva europea ed internazionale, Padova, 2010, 457 ss.; Torre, Sulla responsabilità penale del service provider e la definizione del comportamento esigibile alla luce delle norme contro la pedopornografia, in Tutela penale della persona e nuove tecnologie, a cura di Picotti, Padova, 2003, 183 ss.; in senso antitetico, rifuggente tale forma di responsabilità concorsuale omissiva del provider, cfr. Manna – Di Florio, Riservatezza e diritto alla privacy: in particolare, la responsabilità per omissionem dell’internet provider, cit., 910 ss; Petrini, La responsabilità penale per i reati via Internet, Napoli, 2004, 178; Spagnoletti, La responsabilità del provider per i contenuti illeciti di Internet, in Giur. merito, 2004, 1922 ss.; Ingrassia, Il ruolo dell’ISP nel ciberspazio: cittadino, controllore o tutore dell’ordine? Le responsabilità penali dei provider nell’ordinamento italiano, in Internet provider e giustizia penale, a cura di Luparia, Milano, 2012, 47 ss.; nonché, nella dottrina tedesca, Sieber, Responsabilità penali per la circolazione di dati nelle reti internazionali di computer – Le nuove sfide di internet, in Riv. trim. dir. pen. ec., 1997, 743 ss.
recente pronuncia di legittimità (8), sulla quale avremo modo di ritornare funditus nel corso del nostro percorso espositivo (9), in quanto involgente profili problematici che, innestati prioritariamente sull’esistenza di una c.d. posizione di garanzia in capo ai gestori di siti internet, parrebbero in qualche modo intrecciare le figure dell’internet service provider e del blogger. In tale sede preliminare, viceversa, appare sufficiente la disgiunta rilevazione in base alla quale la Corte Suprema, nella sentenza oggetto delle nostre riflessioni, utilizzi la riferibilità alle differenti tipologie di providers, inclusa la divaricazione tra i cc.dd. Search Engine Results Page, ovvero i motori di ricerca, e i gestori dei siti sorgente ovvero piattaforme on line, al fine di rimarcare un’intrinseca diversità (10) riscontrabile tra questi ultimi e gli amministratori di blog. Il blogger, difatti, senza alcun dubbio non fornisce servizi analoghi rispetto a quelli in precedenza ricostruiti, limitandosi a porre nella disponibilità degli utenti una piattaforma sulla quale poter interagire attraverso la pubblicazione di contenuti e commenti su tematiche introdotte e proposte, nella maggior parte dei casi, dallo stesso blogger, nel rispetto di una specifica linea, impropriamente definibile “editoriale”, imposta appunto dal gestore della suddetta piattaforma. In altri termini, il blog (termine derivante dalla contrazione di web-log, ovvero “diario di rete”) si configura quale contenitore di testo che viene ad essere riempito di contenuti, i c.d. post, visualizzati in forma anti-cronologica. Dal canto suo, il blogger si occupa direttamente della gestione del sito, dallo stesso precedentemente realizzato, procedendo periodicamente alla pubblicazione di contenuti multimediali, in genere definiti post, i quali vengono ad essere comunemente identificati mediante un titolo, la data di pubblicazione ed alcune parole chiave (c.d. tag). Laddove l’impostazione del blog lo consenta, al post possono seguire commenti da parte dei lettori del medesimo blog.
(8) Cfr. Cass., sez. V, 14 luglio 2016, n. 59496, in Foro it., 2017, II, 251, con nota di Di Ciommo, Responsabilità dell’internet hosting provider, diffamazione a mezzo Facebook e principio di tassatività della norma penale: troppa polvere sotto il tappeto. (9) V. infra, par. 4. (10) In argomento, la Corte Suprema, per sottolineare l’esclusione dell’applicabilità tout court al blogger della disciplina prevista per i providers, si riconnette al considerando n. 42 della Direttiva 2000/31/CE, il quale puntualizza che «le deroghe alla responsabilità stabilita nella presente direttiva riguardano esclusivamente il caso in cui l’attività di prestatore di servizi della società dell’informazione si limiti al processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione. Siffatta attività è di ordine meramente tecnico, automatico e passivo, il che implica che il prestatore di servizi della società dell’informazione non conosce né controlla le informazioni trasmesse o memorizzate».
DIRITTO DI INTERNET N. 3/2019
579
GIURISPRUDENZA PENALE Le evidenziate asimmetricità in merito alle figure dell’amministratore di blog e dell’internet service provider comportano, quale approdo terminale dell’iter argomentativo, l’impossibilità ritenuta dai giudici di legittimità di addivenire all’estensione della richiesta conoscenza “qualificata” (11) del contenuto illecito, necessaria per la prefigurazione di responsabilità a carico del provider, anche nei confronti del blogger. Tale ultima enunciazione sollecita riflessioni, seppur in forma estremamente sintetica, laddove si consideri che, anche con riferimento allo stesso provider, a fronte di un orientamento dottrinale ancor maggioritariamente incline alla necessità di una conoscenza “qualificata” (12), si affacciano impostazioni (13) le quali, viceversa, si accontentano di un mera conoscenza “semplice”, comportante l’insorgenza di un obbligo di rimozione anche a seguito, ad esempio, di cognizione perfezionatasi mediante una notifica effettuata dalla parte offesa. Sul punto, diviene indifferibile il riferimento all’art. 16, comma 1, lett. b) (14),
(11) Sul punto, cfr. Cass., sez. III, 17 dicembre 2013, n. 5107, cit. In tale pronuncia, la Suprema Corte, ritiene insufficiente una conoscenza “semplice” del contenuto diffamatorio, comunque acquisita dal provider, richiedendo contrariamente, ai fini della configurabilità di responsabilità penale, una conoscenza “qualificata”, avvenuta cioè in seguito ad una comunicazione dell’autorità. (12) In tal senso, cfr. Ingrassia, La sentenza della Cassazione sul caso Google, in Diritto penale contemporaneo, all’indirizzo <http://www.penalecontemporaneo.it>, 6 febbraio 2014; nonché Di Ciommo, Responsabilità dell’internet hosting provider, diffamazione a mezzo Facebook e principio di tassatività della norma penale: troppa polvere sotto il tappeto, cit., 253 ss. (13) In argomento, cfr. Panattoni, Il sistema di controllo successivo: obbligo di rimozione dell’ISP e meccanismi di notice and take down, cit., 254 ss., la quale evidenzia come una serie di pronunce di merito, abbiamo ormai aderito all’orientamento prediligente la sola conoscenza “semplice”, reputando conseguentemente che: «Sembrerebbe tuttavia prevalere l’orientamento che ritiene non necessaria una formale comunicazione dell’autorità per l’attivazione dell’obbligo di rimozione a carico dei provider, soprattutto in considerazione del necessario bilanciamento degli interessi coinvolti e della natura del Cyberspace stesso, nel quale le dinamiche temporali vivono di una incalzante velocità e diffusività, incompatibile con le tradizionali, e più lente, procedure formali delle istituzioni». L’A. conclude sottolineando come: «La questione rimarrà in ogni caso aperta fintanto che non vi sarà un intervento legislativo chiarificatore. Ed a fronte di tutte le considerazioni che precedono, emerge come l’introduzione da parte del legislatore europeo di uno specifico meccanismo potrebbe risolvere la maggior parte delle incertezze in materia: la previsione e regolamentazione di procedure c.d. di notice and take down». In ambito giurisprudenziale, per una posizione favorevole alla conoscenza “semplice”, cfr., ex multis, Trib. Napoli Nord, sez. II, 3 novembre 2016, in Giur. it., 629 ss., con nota di Bocchini, La responsabilità di Facebook per la mancata rimozione dei contenuti illeciti. (14) Cfr. art. 16, comma 1, lett. b), d.lgs. 9 aprile 2003, n. 70: «1. Nella prestazione di un servizio della società dell’informazione, consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore: a) […]; b) non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso. 2. […]».
580
DIRITTO DI INTERNET N. 3/2019
d.lgs. n. 70/2003, il quale manda esente da responsabilità l’hosting provider nei casi in cui, venuto a conoscenza dell’illiceità dell’attività o dell’informazione, “su comunicazione delle autorità competenti”, immediatamente si attivi per rimuovere le informazioni o disabilitarne l’accesso. Riteniamo, conseguentemente, di dover inclinare la nostra predilezione in favore di una conoscenza “qualificata” del contenuto illecito ospitato da parte del provider, non solo in ossequio al principio di tassatività, ma anche rilevando che tale soluzione appare diretta a tutelare la libertà della rete, affidando in via esclusiva alle autorità competenti il compito di decidere in merito alle sorti dei contenuti immessi in rete ed evitando, in tal modo, l’attribuzione all’internet service provider di una funzione censoria, che potrebbe spingere quest’ultimo a cautelative rimozioni, in caso di contenuti contraddistinti da un’intricata valutazione in ordine all’illiceità degli stessi. Quanto rilevato, non può che combaciare, altresì, con la pretesa di una più puntuale identificazione e delimitazione, da parte dei giudici di legittimità, della nozione di “autorità competenti” (15). Nel caso oggetto della pronuncia in commento, sia evidenziato incidentalmente, la criticità afferente alla corretta incardinazione dell’”effettiva conoscenza” del blogger, risulta postergata dalla circostanza in base alla quale la rimozione del contenuto diffamatorio, nonostante la precedente conoscenza da parte del blogger stesso, sia avvenuta soltanto in seguito ad intervento coattivo del provider Google che, su intimazione dell’autorità giudiziaria, ha provveduto all’oscuramento della relativa pagina web.
3. I criteri valutativi elaborati in seno alla Corte EDU: il caso Pihl c. Svezia
Prima di rivolgere la nostra lente d’osservazione in direzione delle argomentazioni risolutive della sentenza analizzata, appare di particolare momento una sintetica riconduzione concernente i principi ed i criteri valutativi espressi dalla Corte EDU in relazione alla possibile attribuzione di responsabilità nei confronti del blogger per contenuti offensivi immessi in rete dagli utenti. Intendiamo rifarci, in particolar modo, alla pronuncia affe-
(15) Sul punto, assolutamente condivisibili le riflessioni di Manna - Di Florio, Riservatezza e diritto alla privacy: in particolare, la responsabilità per omissionem dell’internet provider, cit., 909, secondo i quali: «Una maggiore precisione del concetto di autorità lo impone, come noto, non solo il principio di legalità nazionale (ex art. 25, comma 2, Cost.) del quale la determinatezza e/o precisione costituisce un noto corollario, ma anche il principio di legalità convenzionale (ex art. 7 CEDU) che si fonda sui concetti di accessibilità della norma penale e di prevedibilità delle conseguenze sanzionatorie, applicati dalla Corte EDU non solo con riguardo alla disposizione legislativa che contiene il precetto e la sanzione, ma anche alla giurisprudenza nazionale che ne specifica il significato tramite la formazione di precedenti che orientano la giurisprudenza successiva».
GIURISPRUDENZA PENALE rente al caso Pihl c. Svezia (16). La vicenda traeva origine dalla pubblicazione di un post, all’interno di un blog, nel quale si sosteneva che il cittadino svedese Rolf Anders Daniel Pihl fosse membro di un partito nazista. Il giorno seguente, un utente anonimo inseriva un commento al post, accusando lo stesso soggetto di essere anche un abituale consumatore di sostanze stupefacenti. Alcuni giorni più tardi, la persona offesa procedeva, a sua volta, alla pubblicazione di un commento con il quale chiedeva la rimozione di entrambi gli scritti, in quanto veicolanti informazioni offensive e non corrispondenti al vero. A quel punto, immediatamente i gestori del blog provvedevano a rimuovere i contenuti ritenuti diffamatori, realizzando altresì un post di scuse nei confronti del Pihl. Ciononostante, i gestori del blog venivano citati in giudizio, domandando il soggetto leso un risarcimento per la pubblicazione del post e per l’omesso controllo preventivo in relazione al commento immesso dall’utente anonimo. Tale stringata ricognizione, serve ad inquadrare gli estremi fattuali che hanno interessato l’intervento della Corte di Strasburgo. Di assoluta linearità la considerazione in base alla quale il nucleo fondante della vicenda dovesse interessare la ricerca di un bilanciamento tra la tutela del diritto al rispetto della vita privata (ex art. 8 CEDU) e la libertà di espressione (ex art. 10 CEDU). Il tentativo di intercettare un soddisfacente punto di equilibrio degli interessi in gioco, ha condotto i giudici di Strasburgo a rimarcare come, nell’ipotesi concreta, pur non potendo dubitarsi della portata offensiva delle pubblicazioni, le stesse non contenessero espressioni costituenti incitamento all’odio ed alla violenza, potendo di conseguenza consentirsi l’ampliamento dei confini riconosciuti alla libertà di espressione. La Corte EDU, sulla scorta di sue precedenti decisioni (17), ribadisce il principio secondo il quale la Corte medesima non abbia la possibilità di alterare l’equilibrio raggiunto all’interno di ciascuno Stato per quanto attiene al rispetto della vita privata e della libertà di manifestazione del pensiero, purché ciò si verifichi in maniera conforme alla giurisprudenza della Corte, e non siano riscontrabili ragioni di patente criticità. Nel percorso espositivo delineato dalla Corte di Strasburgo, assume nucleare importanza il recupero di criteri direttivi, già introdotti in precedenti pronunce (18),
(16) C. eur. dir. umani, 9 marzo 2017, Pihl c. Svezia, in< http://hudoc. echr.coe.int/eng?i=001-172145>. Per una compiuta analisi della pronuncia in commento, cfr. Vimercati, La Corte di Strasburgo torna sulla responsabilità del gestore del sito: il caso Rolf Anders Daniel Pihl c. Svezia, in Media Laws, all’indirizzo <http://medialaws.eu/>, 11 ottobre 2017. (17) Cfr. C. eur. dir. umani, 10 ottobre 2013, Delfi AS c. Estonia. Per un commento a tale sentenza, si rinvia a Vigevani, La responsabilità civile dei siti per gli scritti anonimi: il caso Delfi c. Estonia, in Quaderni cost., 2014, 457 ss. (18) Cfr. C. eur. dir. umani, 2 febbraio 2016, Magyar Tartalomszolgáltatók Egyesülete e Index.hu Zrt c. Ungheria. Un commento a tale pronuncia
in grado di assumere efficacia dirimente con riguardo alla tematica della responsabilità del blogger: non potrà prescindersi dalla valutazione del contesto e del contenuto dei commenti diffamatori, delle misure adottate dal gestore per prevenire o rimuovere commenti lesivi dei diritti altrui e della responsabilità degli autori dei commenti. Nel caso specifico, i giudici di Strasburgo pervengono all’esclusione della responsabilità dei gestori del blog, in quanto gli stessi avevano provveduto alla tempestiva rimozione del contributo considerato offensivo, con contestuale pubblicazione di uno scritto di scuse; inoltre, il sito in questione possedeva un disclaimer mediante il quale declinava ogni responsabilità per quanto inserito da terzi. Ancora, per quanto attiene all’identificazione dell’autore, il ricorrente aveva deciso di richiedere l’affermazione di responsabilità del blogger pur essendo a conoscenza di informazioni che gli avrebbero consentito di risalire al reale autore della condotta asseritamente diffamatoria. Infine, accentuazione palmare della Corte EDU, l’individuazione di una responsabilità pressoché automatica dei gestori di siti web potrebbe andare ad intaccare negativamente la propria attività, sino a determinazioni preclusive nei confronti dei commenti degli utenti, da cui andrebbe a scaturire un indesiderabile chilling effect sulla libertà di espressione in rete. Muovendo a conclusione sul punto, la Corte di Strasburgo sancisce, limpidamente, l’impossibilità di ritenere automaticamente responsabile il blogger per qualsivoglia commento diffamatorio scritto da un utente, purché, venuto a conoscenza dello stesso, si sia immediatamente ed efficacemente adoperato per rimuoverlo. Tale imprescindibile rilievo, offre la stura alla Corte Suprema, nell’ambito della sentenza oggetto delle nostre riflessioni, per affermare la responsabilità del blogger per i contenuti denigratori pubblicati sul suo diario da terzi allorché, presa cognizione della lesività di tali contenuti, li mantenga consapevolmente.
4. Le oscillazioni giurisprudenziali in merito alla responsabilità del blogger per fatto illecito altrui
Giunti a tale livello di avanzamento nella nostra disamina, diviene improcrastinabile uno stringato excursus ricostruttivo delle oscillazioni giurisprudenziali, tanto di merito, quanto di legittimità, che hanno interessato l’inquadramento della penale responsabilità del blogger per commenti pubblicati da utenti terzi. In argomento, non può infatti omettersi il riordino degli sviluppi evolutivi che muovono da pregresse impostazioni giurispru-
può rinvenirsi in Vimercati, Magyar c. Ungheria: la Corte europea ritorna sulla responsabilità dei portali web, in Quaderni cost., 2016, 393 ss.
DIRITTO DI INTERNET N. 3/2019
581
GIURISPRUDENZA PENALE denziali (19) le quali propugnavano, nelle loro primigenie applicazioni, una responsabilità del blogger a titolo di colpa per omesso controllo, prevista per il direttore responsabile di giornale, incardinate sulla presupposta estensibilità di norme riguardanti la diffamazione a mezzo stampa anche nelle ipotesi di diffamazione a mezzo Internet. Profilo assolutamente pacifico, tanto in ambito dottrinale (20), quanto da parte della giurisprudenza di legittimità (21), attiene all’assoluta insostenibilità di un tale percorso decisionale, in quanto incardinato su di un procedimento ermeneutico analogico in malam partem afferente a norme penali incriminatrici, in palese violazione del fondamentale principio penalistico di stretta legalità. La Corte Suprema, difatti, ha in più occasioni (22) evidenziato come anche un’interpretazione
(19) Cfr. Trib. Aosta, 1 giugno 2006, n. 553, in Giur. merito, 2007, 1065, secondo cui «colui che gestisce il blog altro non è che il direttore responsabile dello stesso, pur se non viene utilizzata tale forma semantica per indicare la figura del gestore e proprietario di un sito Internet, su cui altri soggetti possano inserire interventi. Ma, evidentemente, la posizione di un direttore di una testata giornalistica stampata e quella di chi gestisce un blog (e che, infatti, può cancellare messaggi) è – mutatis mutandis – identica. Il gestore di un blog ha infatti il dovere di eliminare quelli offensivi. Diversamente, vi è responsabilità penale ex articolo 596-bis c.p.». (20) Per condivisibili critiche a Trib. Aosta, 1 giugno 2006, n. 553, cit., cfr. Salvadori, I presupposti della responsabilità penale del blogger per gli scritti offensivi pubblicati su un blog da lui gestito, in Giur. merito, 2007, 1069 ss., secondo il quale «Ritenendo di poter estendere tout court la disciplina penalistica della stampa ai siti Internet, ed in particolare ai blog, l’organo giudicante ha palesemente violato il fondamentale principio penalistico di tassatività, derivante dall’art. 25 comma 2 Cost.»; nonché Pezzella, Blog uguale giornale? C’è chi dice sì se chi gestisce il sito è come il direttore, in Dir. giust., 2006, 71 ss., il evidenzia come «La pronuncia in commento, dunque, non pare assolutamente condivisibile perché applica norme penali incriminatrici, dettate in materia di diffamazione a mezzo stampa e in materia di trasmissioni radiofoniche o televisive, qual è quella di cui all’art. 596-bis c.p., alla diffamazione commessa tramite Internet, attraverso un procedimento interpretativo analogico in malam partem che non è consentito dall’ordinamento penale vigente». (21) Cfr., ex multis, Cass., sez. V, 1 ottobre 2010, n. 35511, in Dir. inf. e inform., 2010, 895 ss.; nonché, Cass., sez. V, 29 novembre 2011, n. 44126, in Dir. inf. e inform., 795 ss., con nota di Vigevani, La «sentenza figlia» sul direttore del giornale telematico: il caso Hamaui., le quali sottolineano l’impossibilità di reperire all’interno dell’ordinamento una norma giuridica che permetta l’estensione tout court della disciplina prevista per la stampa ad internet, senza al contempo infrangere il divieto di analogia in malam partem. (22) Cfr., ex multis, Cass., SS. UU., 29 gennaio 2015, n. 31022, in CED, rv. 264090, secondo cui «Deve tenersi ben distinta l’area dell’informazione di tipo professionale, veicolata per il tramite di una testata giornalistica on line, dal vasto ed eterogeneo ambito della diffusione di notizie ed informazioni da parte di singoli soggetti in modo spontaneo [forum, blog, newsletter, newsgroup, mailing list, pagine Facebook]». Per un commento a tale pronuncia, cfr. Melzi d’Eril, Contrordine compagni: le Sezioni Unite estendono le garanzie costituzionali previste per il sequestro degli stampati alle testate on-line registrate, in Diritto penale contemporaneo, all’indirizzo <http://www.penalecontemporaneo.it>, 9 marzo 2016.; nonché, in senso conforme, Cass., sez. V, 23 ottobre 2018, n. 1275, in Diritto penale contemporaneo, all’indirizzo <http://www.penalecontemporaneo.it>, 28 febbraio 2019, con nota di Mauri, Applicabile l’art. 57 c.p. al direttore del quotidiano online: un revirement giurisprudenziale della Cassazione, di
582
DIRITTO DI INTERNET N. 3/2019
costituzionalmente orientata ed evolutiva del termine “stampa” (che ha portato ad un alquanto controversa ricomprensione della testata giornalistica telematica (23)) non possa condurre altresì all’inclusione del vasto ed eterogeneo ambito della diffusione spontanea di notizie ed informazioni da parte di singoli soggetti, all’interno del quale sicuramente rientrano anche i blog. Tale ultima rilevazione, ha spinto i giudici di legittimità, all’interno della sentenza in commento, a ribadire una possibile ascrizione di responsabilità penale nei confronti del blogger in virtù delle regole comuni, cioè o in qualità di autore della stessa o perché concorrente dell’autore materiale. Sul punto, una diversificata prospettiva, prefiguratasi nell’ambito della giurisprudenza di merito (24), giungeva a contemplare la responsabilità del blogger a titolo di diffamazione mediante omissione (ex artt. 40 cpv. e 595, comma terzo, c.p.) o ricorrendo al concorso omissivo nel reato commissivo altrui (ex artt. 40 cpv., 110, 595, comma terzo, c.p.), presupponendosi la sussistenza in capo all’amministratore di blog di un obbligo giuridico di impedire l’evento, collegato ad una posizione di garanzia. Il complesso delle predette argomentazioni ci spinge a tracciare taluni profili di criticità, afferenti problematica compatibilità con il divieto di analogia; in senso parimenti e giustamente critico, si osservi altresì Pisa I., La responsabilità del direttore di periodico on line tra vincoli normativi e discutibili novità giurisprudenziali, in Dir. pen. e proc., 2019, 407 ss. (23) Il presente orientamento, inaugurato proprio con Cass., SS. UU., 29 gennaio 2015, cit., prefigura un imponente mutamento di rotta dei giudici di legittimità i quali avevano, precedentemente, più volte escluso l’estensibilità della normativa penale sulla stampa ai giornali telematici. Si prenda, ad exemplum, Cass., sez. V., 16 luglio 2010, n. 35511, in Cass. pen., 2011, 2982 ss., con nota di Salvadori, La normativa penale della stampa non è applicabile, de iure condito, ai giornali telematici. (24) Cfr. Trib Varese, 8 aprile 2013, n. 116, in Diritto penale contemporaneo, all’indirizzo <http://www.penalecontemporaneo.it>,11 giugno 2013, che evidenzia come «quanto all’attribuzione soggettiva di responsabilità all’imputata essa è diretta, non mediata dai criteri di cui agli artt. 57 ss. cod. pen.; la disponibilità dell’amministratore del sito Internet rende l’imputata responsabile di tutti i contenuti di esso accessibili dalla rete, sia quelli inseriti da lei stessa, sia quelli inseriti da utenti; è indifferente sotto questo profilo sia l’esistenza di una forma di filtro (poiché in tal caso i contenuti lesivi dell’altrui onorabilità devono ritenersi specificamente approvati dal dominus), sia l’inesistenza di filtri (poiché in tal caso i contenuti lesivi dell’altrui onorabilità devono genericamente ed incondizionatamente ritenersi approvati dal dominus)». Condivisibili censure critiche, nei riguardi della presente impostazione, si rinvengono in Corrias Lucente, Il blog con contenuti diffamatori: la natura del mezzo e l’attribuzione delle responsabilità, in Dir. inf. e inform., 2013, 536 ss., secondo la quale: «Tale decisione si scontra apertamente con il principio di personalità della responsabilità penale e con i presupposti soggettivi del concorso di persone nel reato. La sentenza, apertamente, introduce una forma di responsabilità per mera posizione, senza tenere conto dei necessari profili psicologici. Si tratta di una modalità di attribuzione del reato da altri commesso persino più severa di quella prevista per il Direttore dello stampato. Il dolo del concorso, ossia la consapevolezza dei commenti inseriti da altri, è infatti meramente presunto, senza che venga accertato o richiesto che la titolare del sito ne fosse consapevole e li avesse letti ed approvati».
GIURISPRUDENZA PENALE principalmente all’effettiva rintracciabilità di una posizione di garanzia in capo all’amministratore di blog. In argomento ricordano condivisibilmente i giudici di legittimità, nella pronuncia oggetto delle nostre riflessioni, come le condizioni necessarie per la ricorrenza di una posizione di garanzia attengano alla sussistenza di un bene che necessiti di protezione, di una fonte giuridica che abbia la finalità di tutelarlo ed, infine, di una specifica individuazione dei soggetti dotati di poteri atti ad impedire la lesione del bene garantito. Orbene, non v’è chi non veda come, il prevalente orientamento dottrinale e giurisprudenziale, individui quali fonti dell’obbligo giuridico di impedire l’evento esclusivamente la legge, il contratto o la precedente attività pericolosa (25). Quanto al contratto, non può non evidenziarsi l’irrilevanza verso terzi degli accordi conclusi tra le parti, peraltro generalmente orientati piuttosto in favore di una globale esclusione di responsabilità del blogger per i contenuti inseriti dagli utenti; con riferimento alla precedente attività pericolosa, deve radicalmente escludersi l’incardinazione dell’attività svolta dall’amministratore del blog in tale contesto, ponendosi, viceversa, quale possibilità di implementazione della libertà di manifestazione del pensiero e, quindi, di incremento del livello di democraticità complessiva del sistema; infine, per quanto attiene alla legge, pur volendo dare per pacifico ciò che non è, vale a dire l’estensione al blogger della disciplina prevista per gli internet service providers, permane ad ogni modo la riconduzione ad una generale esclusione di responsabilità in favore del prestatore di un servizio della società dell’informazione per i contenuti inseriti autonomamente dagli utenti (26). L’impossibilità di rinvenire una posizione di garanzia del blogger, inficiante un’imputazione dello stesso per reato omissivo improprio, ci offre uno spunto di colleganza rispetto ad una più recente decisione della giurisprudenza di legittimità (27), già precedentemente tratteggiata, per la quale si pongono similari perplessità in ordine alla prefigurazione di una posizione di garanzia in capo al gestore di un sito internet. Tale ultima pronuncia, recuperata e criticamente vagliata dalla sentenza che impegna i nostri sforzi ricostruttivi, aveva ritenuto la responsabilità del gestore di un sito a titolo di concorso (25) Cfr. Montagni, La responsabilità penale per omissione. Il nesso causale, Padova, 2002, passim.; Sgubbi, Responsabilità penale per omesso impedimento dell’evento, Padova, 1975, passim.; Grasso, Reato omissivo improprio. La struttura obiettiva della fattispecie, Milano, 1983, passim.; Mantovani F., L’obbligo di garanzia ricostruito alla luce dei principi di legalità, di solidarietà, di libertà e di responsabilità, in Riv. it. dir. e proc. pen., 2001, 337 ss. Sul versante giurisprudenziale, ex multis, cfr. Cass., sez. IV, 1 dicembre 2004, n. 9739, in Guida dir., 2005, 102; nonché Cass., sez. IV, 14 luglio 2011, n. 32154, in Giur. it., 2012, 1405. (26) In argomento, cfr. Carbone, Responsabilità del blogger: parziale revirement della Cassazione?, in Cass. pen., 2017, 2782 ss. (27) Cfr. Cass., sez. V, 14 luglio 2016, n. 59496, cit.
nel reato di diffamazione per avere lo stesso mantenuto consapevolmente un articolo dal contenuto illecito sul sito, consentendone l’esplicazione di efficacia diffamatoria, nonostante fosse venuto a conoscenza del contenuto, tramite una mail inviatagli dallo stesso autore, in un contesto temporale antecedente rispetto all’ordine di sequestro del sito. La soluzione elaborata, foriera di uno sviluppo inatteso ed originale, in quanto incardinato su di una peculiare forma di concorso omissivo nel reato commissivo altrui a carico del gestore del sito, che finisce per esplicarsi in un obbligo di “impedire gli effetti del reato”, non riesce tuttavia a superare le criticità inerenti all’origine di un tale obbligo di impedimento (28). Ancor di più, insormontabili riserve afferiscono al presupposto che l’obbligo di impedimento, sul quale si fonda il giudizio di responsabilità concorsuale del gestore, sia stato collocato in un momento successivo a quello della consumazione del reato che è diretto ad impedire in quanto, data la natura istantanea del reato di diffamazione, la stessa si considera consumata nel momento della percezione del contenuto offensivo, immediatamente successivo all’avvenuta pubblicazione ad opera dell’autore. Di conseguenza, appare precluso il riconoscimento della responsabilità concorsuale in chiave omissiva del gestore, avuto riguardo tanto al successivo mantenimento della disponibilità in rete dei contenuti, quanto alla loro omessa rimozione, da intendersi viceversa quali condotte susseguenti alla realizzazione del reato, integranti altrettanti autonome diffamazioni (29). È proprio questo l’iter argomentativo che induce la Suprema Corte, nella pronuncia in commento, a percorrere la “via” della pluralità di reati.
5. La “via” della pluralità di reati e le persistenti tortuosità nel solco tracciato dalla Suprema Corte
La “via” della pluralità di reati, viene intrapresa dalla Corte Suprema al fine di superare le perplessità concernenti la configurabilità di una responsabilità in concorso (ex artt. 40 e 110 c.p.) del blogger. I giudici di legittimità pervengono alla conclusione che, se il gestore del sito apprende che sono stati pubblicati da terzi
(28) In argomento, Manna – Di Florio, Riservatezza e diritto alla privacy: in particolare, la responsabilità per omissionem dell’internet provider, cit., 912. (29) In argomento, cfr. Seminara, La responsabilità penale degli operatori su Internet, in Dir. inf. e inform, 1998, 765; Flor, Tutela penale e autotutela tecnologica dei diritti d’autore nell’epoca di internet. Un’indagine comparata in prospettiva europea e internazionale, cit., 462 ss.; Ingrassia, Il ruolo dell’ISP nel ciberspazio: cittadino, controllore o tutore dell’ordine? Le responsabilità penali dei provider nell’ordinamento italiano, in Internet provider e giustizia penale, cit., 21 ss.; nonché, ancor più di recente, Lasalvia, La diffamazione via web nell’epoca dei social network, in Cybercrime, diretto da Cadoppi, Canestrari, Manna e Papa, Milano, 2019, 356 ss.
DIRITTO DI INTERNET N. 3/2019
583
GIURISPRUDENZA PENALE contenuti obiettivamente denigratori e non si attiva tempestivamente al fine di rimuoverli, finisce per farli propri e quindi per porre in essere ulteriori condotte di diffamazione, che si sostanziano nell’aver consentito, mediante il suo blog, l’ulteriore divulgazione delle medesime informazioni diffamatorie. Detto in altri termini, quindi, la mancata rimozione del dato illecito determina la realizzazione di ulteriori e differenziate condotte di diffamazione, integrate dalla ripetuta trasmissione del dato. Nel caso concreto, si era dimostrato che il blogger avesse acquisito precipua contezza dei contenuti diffamatori pubblicati sul suo diario, avendo tra l’altro provveduto personalmente alla pubblicazione della lettera ed all’inserimento del primo post, già di per sé intriso di contenuti diffamatori, a cui erano poi seguiti gli ulteriori commenti degli utenti. Da qui la Suprema Corte ne inferisce la sussistenza, altresì, dell’elemento soggettivo del reato, desumibile appunto dalla consapevole adesione, da parte dell’amministratore del blog, al significato dello scritto offensivo dell’altrui reputazione, esplicitata attraverso la volontaria mancata tempestiva rimozione dello scritto medesimo. Tirando conclusivamente le fila del nostro percorso espositivo, riteniamo che la soluzione prospettata dalla Corte Suprema, se da un lato sicuramente consente di oltrepassare le perplessità inerenti ad una responsabilità del blogger in chiave omissiva, o di concorso omissivo in reato commissivo, purtuttavia, allo stesso tempo, non pare complessivamente scevra di tortuosità. Le asperità, insite in una tale forma ricostruttiva, attengono in via principale alla ricostruzione dell’elemento fattuale, posto che difficilmente la condotta del blogger potrebbe interpretarsi in senso commissivo, quale sorta di nuova pubblicazione dell’espressione diffamatoria, in quanto naturalisticamente priva di qualsivoglia germe di attivazione; d’altra parte, volendo riportare la condotta dell’amministratore verso i lidi dell’omissione, verrebbe nuovamente a riproporsi l’insuperabile obiezione della mancanza di una posizione di garanzia in capo allo stesso (30).
(30) In senso conforme, cfr. Pagella, La Cassazione sulla responsabilità del blogger per contenuti diffamatori (commenti) pubblicati da terzi, in Diritto penale contemporaneo, all’indirizzo <http://www.penalecontemporaneo.it>, 17 maggio 2019; nonché, Curreli, La controversa responsabilità del gestore di un sito web, in caso di diffamazione commessa da terzi, in Resp. civ., 2017, 1648 ss.
584
DIRITTO DI INTERNET N. 3/2019
GIURISPRUDENZA AMMINISTRATIVA
Sul preteso valore documentale del file non sottoscritto ed allegato agli atti di gara Tar L azio, Roma , sezione III quater, sentenza 29 maggio 2019, n. 6775; Pres. Savoia; Est. Marotta; Servizi Italia Spa (avv.ti Sansone, Bonsignori e Pellegrino) c. Regione Lazio (avv. Privitera) ed altri. L’omessa sottoscrizione digitale di alcuni documenti informatici redatti su file Excel non rende tali file privi di valore documentale quando essi siano acclusi ai verbali di una pubblica gara ed ivi richiamati.
…Omissis… 3. Ma anche la maggior parte delle censure proposte col ricorso coincidono con quelle contestate nelle sentenze sopra menzionate. 3.1 In particolare, con la prima l’interessata deduce che: a) sarebbe mancata la verbalizzazione del confronto a coppie; b) il disciplinare di gara stabiliva che la Commissione di gara doveva assegnare i punteggi riservati alle offerte tecniche in ragione dei 26 criteri di valutazione declinati alle pag. 44 e 45 (pari a punti 60 su 100), attraverso il metodo del confronto a coppie, nonché mediante procedura di riparametrazione per criterio i-esimo. c) oppone che, come anticipato nel fatto del ricorso, i verbali delle operazioni dalla commissione giudicatrice, tanto relativi alle sedute pubbliche, che riservate: I) non contengono, neppure in allegato, le tabelle del confronto a coppie; II) non danno contezza dell’esito di ciascun confronto a due a due delle singole offerte in relazione ad ognuno dei parametri di valutazione; III) non danno conto dell’applicazione della riparametrazione prevista a pag. 43 del disciplinare (prevista nel caso le offerte pervenute fossero inferiori a 3); IV) soprattutto, non danno nemmeno conto dei singoli punteggi tecnici assegnati in applicazione dei 26 criteri indicati dal disciplinare di gara e delle preferenze assegnate in sede di confronto a coppie. Sia il verbale repertorio n. 7266 della seduta pubblica del 10 luglio 2018 con oggetto “comunicazioni dei punteggi tecnici”, composto di 22 pagine, che i verbali delle sedute riservate, di ulteriori 23 pagine, parimenti tutte bollate in ogni pagina e autenticate dall’ufficiale rogante della Regione riportano, infatti, sempre e solo i punteggi totali, rispettivamente quanto all’offerta tecnica ed economica di ciascun concorrente (cosi anche il verbale della seduta pubblica del 26/9, tuttavia ininfluente perché successivo all’apertura delle offerte economiche). Tutti i verbali, inclusi quelli delle sedute riservate, non riportano mai, neppure in allegato, né i punteggi relativi ai 26 criteri stabiliti per le offerte tecniche nel disciplinare, né le tabelle del confronto a coppie, né le preferenze espresse in quella sede dai commissari.
Ancora osserva che gli unici allegati ai verbali delle sedute riservate (allegati non datati e non richiamati nei verbali e quindi meramente giustapposti) riportano sempre e solo i punteggi tecnici totali, e non anche i 26 sottopunteggi e le tabelle triangolari. Pure in sede di accesso sono stati consegnati esclusivamente file Excel modificabili, non firmati digitalmente dalla commissione di gara, non datati e non resi temporalmente certi e immodificabili. Oppone che tali file Excel in quanto modificabili e privi delle caratteristiche appena contestate non hanno neppure la qualità di documento informatico. Con conseguente violazione dell’art. 20, comma 1 bis del d.lgs. 7 marzo 2005 n. 82 Codice dell’amministrazione digitale. 3.1.1 La censura non può essere condivisa. Occorre infatti preliminarmente osservare che le sedute pubbliche della gara si sono svolte alla presenza del sostituto ufficiale rogante della centrale acquisti regionale, accompagnato dal RUP e da due testimoni e ci si è serviti della piattaforma di e-procurement della gara in questione; le sedute riservate si sono svolte alla presenza del Presidente, che ha svolto le funzioni di segretario della commissione, e dei due componenti. Per la valutazione dell’offerta tecnica la commissione ha attribuito una lettera a ciascuna ditta concorrente (anche per semplificare le operazioni e la compilazione dei file Excel relativi ai diversi lotti) ed ha attribuito a ciascun commissario un numero da 1 a 3. Il risultato dei punteggi attribuiti all’offerta tecnica ed alla campionatura da ciascun commissario ed a ciascuna ditta risulta poi confluito nei file Excel compilati per tutti i lotti e nelle fotografie dei campioni allegati al verbale 14 del 5 giugno 2018 unitamente ai verbali delle varie sedute riservate e trasmessi dal Presidente della Commissione al RUP. Parte ricorrente insiste come sopra riportato che i file Excel non hanno la qualità di documento informatico, a mente di quanto previsto dall’art. 20, comma 1 bis del d.lgs. 7 marzo 2005, n. 82 recante il Codice dell’Amministrazione digitale, in quanto non vi è apposta la firma digitale.
DIRITTO DI INTERNET N. 3/2019
585
GIURISPRUDENZA AMMINISTRATIVA Ed invece la circostanza che il verbale n. 14 del 5 giugno 2018 (peraltro prodotto tra i documenti dalla stessa ricorrente) portasse in allegato “i verbali – delle sedute riservate - in originale, dei file Excel e delle fotografie su supporto informatico” da trasmettere al RUP per poi procedere alla seduta pubblica di apertura dell’offerta economica, non consente di condividere tale ulteriore aspetto della censura, dal momento che la loro citazione e l’allegazione al ridetto verbale del 5 giugno 2018 ha fatto sì che essi formassero parte integrante dello stesso, che era sottoscritto da tutti i componenti della Commissione; al riguardo la giurisprudenza ribadisce che quando l’allegato è espressamente richiamato nel verbale e sia poi materialmente accluso ad esso ne forma parte integrante: principio affermato in tema di verbalizzazione in materia societaria: Cass., Sez. I, 12 gennaio 2017, n. 603. Con un ulteriore aspetto della censura parte ricorrente sostiene, poi, che se si verificano le proprietà dei file Excel si scopre che l’ultimo salvataggio è stato effettuato dopo la chiusura delle operazioni di valutazione, dopo
cioè le 13,30 del 5 giugno 2018, ultima seduta riservata della Commissione di gara e che tale ultimo salvataggio è stato effettuato da un componente “esterno” della Commissione e cioè da uno dei due testimoni partecipanti alle sedute pubbliche. Il profilo non risulta provato, perché non viene dimostrata nessuna discrasia tra il punteggio tecnico definitivo attribuito a ciascun operatore economico, come da allegati al verbale del 5 giugno 2018, rispetto a quello riportato nel verbale della seduta pubblica del 10 luglio 2018 nelle tabelle in esso incorporate, seduta verbalizzata dal sostituto ufficiale rogante ed alla quale ha pure partecipato il ridetto componente “esterno”, sempre in qualità di testimone. Gli altri profili quali la mancanza della riparametrazione o di come sono stati assegnati i singoli punteggi tecnici in applicazione dei 26 criteri di valutazione sono proposti in maniera del tutto generica e vanno pertanto ritenuti inammissibili, laddove dunque la censura va rigettata nel suo complesso. … Omissis…
IL COMMENTO
di Angelo Giuseppe Orofino Sommario: 1. La vicenda fattuale e la soluzione accolta dal Tar. – 2. Il rilievo giuridico del verbale privo di sottoscrizione. – 3. Brevi note di chiusura. L’uso delle forme elettroniche di manifestazione dell’attività amministrativa esige l’utilizzo di strumenti certi di imputazione delle volontà e delle responsabilità emergenti dagli atti adottati. Tale esigenza non viene meno quando l’atto elettronico sia costituito da un file chiamato a completare, con rinvio per relationem, il contenuto di un verbale di gara. The use of electronic forms of manifestation of the administrative activity requires the use of certain tools for allocating the will and responsibilities arising from the acts adopted. This requirement does not cease when the electronic document consists of a file called to complete, by reference per relationem, the contents of the minute of competition.
1. La vicenda fattuale e la soluzione accolta al Tar
Nella sentenza in rassegna il Tar Lazio si è trovato a giudicare sulla fondatezza di una doglianza per mezzo della quale il ricorrente ha chiesto l’annullamento degli atti di una procedura concorsuale per l’affidamento di un appalto pubblico, svolgendo censure riferite anche all’invalido confezionamento degli atti di gara. In particolare, secondo quanto dedotto in gravame, la stazione appaltante sarebbe incorsa in un difetto assoluto di trasparenza e motivazione perché avrebbe omesso di verbalizzare i punteggi assegnati alle offerte tecniche attraverso il metodo del confronto a coppie e con la successiva procedura di riparametrazione, giacché le tabelle nelle quali si è dato conto delle operazioni compiute dal seggio di gara sono state redatte solamente su file Excel
586
DIRITTO DI INTERNET N. 3/2019
non sottoscritti digitalmente e non datati, ma semplicemente allegati agli atti di gara, su supporto elettronico liberamente modificabile. Parte ricorrente ha, dunque, affermato che tali file, in quanto facilmente alterabili e privi di qualsivoglia strumento di validazione, e quindi redatti in violazione dell’art. 20, comma 1 bis, del d.lgs. 7 marzo 2005 n. 82, non avrebbero la qualità di documento elettronico. L’organo giudicante ha, però, rigettato la doglianza sul presupposto che il richiamo ai file Excel operato nei verbali, unitamente alla loro materiale allegazione agli atti della procedura concorsuale, avrebbe fatto sì che le tabelle informatiche formassero parte integrante dei documenti di gara, al punto da rendere superflua qualsivoglia sottoscrizione.
GIURISPRUDENZA AMMINISTRATIVA 2. Il rilievo giuridico del verbale privo di sottoscrizione
Nello svolgere l’affermazione innanzi riassunta il Tar ha fatto riferimento ad un precedente della Corte di cassazione nel quale, analizzando il valore delle delibere di approvazione del bilancio di una società per azioni, si è ritenuto possibile che il contenuto del verbale di tali delibere sia integrato da un documento redatto a parte, ma concretamente e materialmente allegato ad esse (1). In realtà, appare a chi scrive che il riferimento alla sentenza della Cassazione sia frutto di una errata lettura di tale precedente operata dal Tar: la Corte della nomofilachia, infatti, valorizzando il disposto dell’art. 2375 c.c., ha affermato che i verbali assembleari debbono consentire, anche mediante il rinvio ad atti ad essi allegati, l’identificazione dei soci favorevoli, astenuti o dissenzienti, che con il loro voto abbiano contributo alla formazione della volontà espressa dall’assemblea societaria. Chiarendo il significato della disposizione codicistica, la Suprema Corte ha affermato che essa “esige non solo la presenza del documento scritto che presenti un contenuto idoneo a integrare le dichiarazioni presenti nel verbale (con riferimento alle indicazioni circa i partecipanti, le rispettive quote di capitale rappresentate e i dati riferiti ai soci favorevoli, assenti o dissenzienti), ma, altresì, che tale documento faccia corpo col verbale, costituendone parte integrante” (2). Secondo la Cassazione, dunque, perché l’allegato possa essere validamente formato è necessario che esso sia scritto, laddove può dubitarsi della qualificazione di documento scritto attribuibile ad un semplice file Excel, privo di qualsiasi sigillo di validazione. Come noto, l’art. 20, comma 1 bis, del Codice dell’amministrazione digitale conferisce pieno valore documentale – al punto che “soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile” (3) – al solo documento informatico segnato con firma digitale, con firma elettronica qualificata o con firma elettronica avanzata, e formato con modalità tali da garantirne la sicurezza, l’integrità, l’immodificabilità e la certa riconducibilità a colui che ne è l’autore. Con una previsione di chiusura, poi, dispone l’art. 21, comma 1 bis, del Cad che in tutti i casi in cui manchi uno strumento sicuro di sottoscrizione, «la idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità».
(1) Cass., sez. I, 12 gennaio 2017, n. 603. (2) Cass., sez. I, 12 gennaio 2017, n. 603, cit., corsivo aggiunto. (3) Si è trascritto dal primo periodo dell’art. 20, comma 1 bis, del Cad.
Il rilievo probatorio di un atto privo di strumenti validativi in grado di garantirne l’immodificabilità è, dunque, liberamente rimesso all’apprezzamento dell’esegeta (e, in ultima analisi, del giudice che fosse investito della questione), il quale dovrà fondare la sua valutazione utilizzando a tal fine i parametri espressamente previsti dalla norma, la quale fa esplicito riferimento alle caratteristiche di sicurezza, integrità e immodificabilità del documento informatico (4). Già in passato, la giurisprudenza che si era occupata della questione aveva affermato la nullità di un ricorso amministrativo inviato mediante semplice mail sprovvista di sottoscrizione elettronica (5), escluso la valenza probatoria di mail non firmate digitalmente e non inviate con posta certificata (6) (queste ultime possono avere rilievo in giudizio solo quando colui contro cui sono prodotte non ne disconosca il contenuto (7)), ed affermato la necessità della sottoscrizione per tutti gli atti formali (8). (4) Osserva Cons. St., sez. III, 3 luglio 2018, n. 4065 che le caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità, menzionate dall’art. 21, comma 1 bis, del Cad, non condizionano in termini assoluti la validità del documento informatico sottoscritto con firma digitale, ma la sua rilevanza probatoria in sede di giudizio, pur sempre oggetto di libera valutazione da parte del giudice. (5) C. Stato, sez. I, 30 aprile 2003, n. 1326/03. (6) Cfr. Cass., sez. lav., 8 marzo 2018, n. 5523, dove si legge che “il messaggio di posta elettronica è riconducibile alla categoria dei documenti informatici, secondo la definizione che di questi ultimi reca il d.lgs. n. 82/2005, art. 1, comma 1, lett. p), […], riproducendo, nella sostanza, quella già contenuta nel d.P.R. n. 445/2000, art. 1, comma 1, lett. b). Quanto all’efficacia probatoria dei documenti informatici, l’art. 21 del medesimo d.lgs., nelle diverse formulazioni, ratione temporis vigenti, attribuisce l’efficacia prevista dall’art. 2702 c.c. solo al documento sottoscritto con firma elettronica avanzata, qualificata o digitale, mentre è liberamente valutabile dal giudice, ai sensi dell’art. 20 del d.lgs. n. 82/2005, l’idoneità di ogni diverso documento informatico (come l’e-mail tradizionale) a soddisfare il requisito della forma scritta, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità. La decisione impugnata non mette in discussione la sussistenza di una corrispondenza relativa all’indirizzo di posta elettronica del dipendente, sicché è da escludere una violazione dell’art. 2712 c.c. La sentenza della corte territoriale esclude, piuttosto, che i messaggi siano riferibili al suo autore apparente; trattandosi di e-mail prive di firma elettronica, la statuizione non è censurabile in relazione all’art. 2702 c.c. per non avere i documenti natura di scrittura privata, ai sensi dell’art. 1 del d.lgs. n. 82/2005”. (7) Cass., sez. VI, 14 maggio 2018, n. 11606. (8) C. Stato, sez. cons., 8 ottobre 2012, n. 4203/12, dove si legge: “La Sezione osserva che l’affermata superfluità della sottoscrizione, senza ulteriori precisazioni, non appare conforme alla disciplina legislativa generale in materia di forma del contratto, così come ricostruita dalla univoca giurisprudenza. Infatti, secondo un orientamento consolidato della Cassazione civile, nei contratti formali la sottoscrizione del documento costituisce sempre il presupposto necessario per collegare la manifestazione di volontà della parte al suo autore, consentendo di qualificare il documento come atto redatto in forma scritta. 14. Il rigore formale della giurisprudenza è solo in parte attenuato attraverso l’affermazione, anche essa risalente nel tempo, del principio di ‘equipollenza’ tra la sottoscrizione del documento e la produzione in giudizio della scrittura privata mancante di firma. In base a tale indirizzo, ‘in tema di contratti per i quali
DIRITTO DI INTERNET N. 3/2019
587
GIURISPRUDENZA AMMINISTRATIVA Simili regole paiono applicarsi anche agli atti amministrativi aventi rilevanza esterna (9), come un verbale di gara che, peraltro, soggiace anche al rispetto di quanto previsto dall’art. 2, comma 2 ter, del Cad, il quale prevede che tutti gli atti pubblici redatti su documenti informatici debbano essere sottoscritti, sotto sanzione di nullità, con firma qualificata o digitale. L’allegato ad un verbale, integrandone il contenuto, sconta lo stesso rigore formale dell’atto al quale è accluso. Nel caso di specie, poi, non potrebbe invocarsi nemmeno il principio di strumentalità delle forme: tale principio, già richiamato anche da chi scrive (10), con osservazioni condivise dalla sezione consultiva del Consiglio di Stato (11), postula la sufficienza di una determinata modalità di esternazione quando – pur diversa da quella indicata ex lege – si riveli comunque idonea al perseguimento dello scopo cui l’atto è preordinato (12): ne consegue che hanno rilievo invalidante solo gravi difformità rispetto al paradigma normativo, ma non anche violazioni di minima importanza che non incidano sulle garanzie offerte dal documento informatico (13). Alla vicenda in esame, però, non pare potersi applicare nemmeno il principio innanzi ricordato, visto che l’ela legge richiede la forma scritta ad substantiam, la produzione in giudizio della scrittura da parte del contraente che non l’ha sottoscritta equivale a sottoscrizione, perfezionando il contratto, solo a condizione che l’atto sia stato prodotto al fine di invocare l’adempimento delle obbligazioni da esso scaturenti’ (fra le tante: Cass., 16 maggio 2006, n. 11409).15. La superfluità della sottoscrizione, quindi, potrebbe affermarsi solo in presenza di particolari situazioni qualificabili come effettivamente ‘equipollenti’ alla apposizione della firma, idonee a dimostrare in modo inequivoco la riferibilità del documento scritto ad un determinato soggetto. La previsione regolamentare in esame non tiene conto di questa pacifica lettura interpretativa delle regole generali in materia di forma scritta”. Interessanti spunti sul tema in Martín Delgado, Identificación y autenticación de los ciudadanos, in La Ley de Administración Electrónica, III ed., a cura di Gamero Casado - Valero Torrijos, Cizur Menor, 2010, 463. (9) Sul punto sia consentito rinviare a quanto scritto in Orofino, L’esternazione informatica degli atti amministrativi, in La tecnificazione, a cura di Civitarese Matteucci - Torchia, Firenze, 2016, 185. (10) Orofino, Sull’invio telematico di istanze e dichiarazioni alla pubblica amministrazione, in Dir. dell’Internet, 2005, 70. (11) Ha affermato C. Stato, sez. cons. atti norm., 7 febbraio 2005, n. 1195/04: «L’idoneità della forma a conseguire un effetto si desume, secondo la dottrina, dall’art. 121 c.p.c., sulla strumentalità (idoneità dello scopo) delle forme. Si dovrebbe pertanto cercare di affrontare anche nel nuovo codice il tema del valore dell’atto adottato con scrittura telematica anche ove non sia munito di sottoscrizione, laddove sia conosciuto l’autore per la provenienza dal suo indirizzo elettronico, ovvero ove sia sottoscritto con firma elettronica c.d. debole». (12) Marongiu, Mutamenti dell’amministrazione digitale. Riflessioni a posteriori, in Diritto amministrativo e innovazione. Scritti in ricordo di Luis Ortega a cura di Marongiu - Martín Delgado, Napoli, 2016, 38. (13) Cfr. Cass., sez. un., 24 settembre 2018, n. 22438, dove si afferma che la mancata sottoscrizione di un ricorso notificato comporta la nullità dell’atto stesso, fatta salva la possibilità di ascriverne comunque la paternità certa, in applicazione del principio del raggiungimento dello scopo.
588
DIRITTO DI INTERNET N. 3/2019
ventuale indicazione della presenza del file Excel all’interno del verbale non offre alcuna garanzia in merito alla integrità del contenuto di tale documento, sicché non può ritenersi atto equipollente rispetto alla sottoscrizione.
3. Brevi note di chiusura
Le riflessioni svolte nella presente nota, dal tono tutt’altro che formalistico (14), appaiono in linea con l’esigenza manifestata da quella dottrina che ha evidenziato come, anche quando si usano le forme elettroniche, non è possibile rinunziare ad un requisito essenziale dell’attività giuridica in genere e di quella pubblica in particolare: la sicura attribuibilità degli atti a chi ne deve essere l’autore secondo la previsione normativa (15). Simile obiettivo può essere conseguito solo ponendo adeguata attenzione alle garanzie di esternazione, il cui rilievo non deve essere oltremodo enfatizzato – pena la violazione del divieto di aggravio del procedimento ex art. 2 della l. n. 241/1990 –, ma non può nemmeno essere svilito al punto tale da consentire una facile elusione delle responsabilità scaturenti dall’adozione del provvedimento, quando non sia certa l’attribuzione della sua paternità. Va sempre tenuto a mente il severo monito di chi ha ricordato che il dovere delle p.a. di rispondere dei propri atti verso i singoli, esterni all’amministrazione, o verso la società, acquista una colorazione particolare, è cioè lo specifico dell’amministrazione pubblica (16). Le considerazioni appena svolte giustificano, dunque, l’uso di meccanismi certi di identificazione dell’autore del documento e di garanzia della sua immodificabilità, visto che l’informatizzazione – ancorché strumento di snellimento e semplificazione (17) – non può condurre alla spersonalizzazione ed alla deresponsabilizzazione (18).
(14) Cfr. Almeida Cerreda - Miguez Macho, Breve contextualización del estudio del nuevo régimen jurídico del funcionamiento por medios electrónicos del sector público y de la tramitación informática del procedimiento administrativo común, in La actualización de la Administración electrónica, II ed., a cura di Almeida Cerreda - Miguez Macho, Santiago de Compostela, 2018, 18, Dove si legge che “las tecnologías de la comunicación tienen también contrapartidas que exigen el máximo rigor jurídico a la hora de implantarlas en el ámbito administrativo”. (15) Sono parole di Duni, Teleamministrazione, in Enc. giur. Treccani, vol. XXX, 1993, Roma, 3. (16) Sono parole di Berti, Diritto amministrativo. Memorie e argomenti, Padova, 2009, 270. (17) Martín Delgado, La gestión electrónica del procedimiento administrativo, in Cuadernos de derecho local, n. 21, 2009, 84; Valero Torrijos, La tramitación del procedimiento administrativo por medios electrónicos, in La actualización de la Administración electrónica, cit., 119. (18) In termini Sorace, Diritto delle amministrazioni pubbliche. Una introduzione, Bologna, 2007, 139.
GIURISPRUDENZA AMMINISTRATIVA
Social network e rilevanza dei “followers” ai fini della rappresentatività degli enti T.a .r. C alabria ; sezione I; sentenza 18 febbraio 2019, n. 302; Pres. Salamone; Ref. Tallaro; Est. Goggiamani; Associazione (omissis) (avv. C. Palermo) c. Regione Calabria, (avv. E.F. Ventrice); (omissis) S.p.A, (avv. L. Caravita). I followers sono meri osservatori e non possono essere rilevanti ai fini della dimostrazione dell’aderenza alla associazione (1). La rappresentatività della collettività locale di riferimento non può prescindere dalla considerazione, quanto meno indiziaria, del numero delle persone fisiche costituenti l’associazione (2).
Fatto e diritto. Rilevato: – che l’associazione (….) ha impugnato, con richiesta cautelare, provvedimento di aggiornamento A.i.a. della Regione Calabria relativo all’impianto di trattamento rifiuti della (omissis) s.p.a.; – che Amministrazione resistente e controinteressata hanno resistito al ricorso eccependo in via preliminare, tra l’altro, il difetto di legittimazione a ricorrere dell’associazione per carenza di rappresentatività; – che alla camera di consiglio del 15.2.2019, udite le parti, ricorrendone i presupposti, è stato dato avviso di possibile definizione con sentenza in forma semplificata ed il ricorso è stato trattenuto in decisione; Considerato: – che l’eccezione preliminare di difetto di legittimazione sia dirimente e renda il ricorso inammissibile; – che, infatti, la legittimazione ad impugnare atti amministrativi incidenti sull’ambiente ad associazioni locali, è condizionata, secondo la consolidata giurisprudenza, al perseguimento da parte dell’ente in via statutaria ed in modo non occasionale gli obiettivi di tutela ambientale, all’adeguato grado di rappresentatività ed alla stabilità in un’area di afferenza ricollegabile alla zona in cui è situato il bene a fruizione collettiva che si assume leso (cfr. ex multis Consiglio di Stato n. 4233\2013); – che la rappresentatività della collettività locale di riferimento non può prescindere dalla considerazione,
quanto meno indiziaria, del numero delle persone fisiche costituenti l’associazione (cfr. ad es. in termini Consiglio di Stato n. 4909\2012); – che nella specie l’associazione risulta fondata da 18 cittadini del Comune di Rende avente popolazione di circa 35.000 abitanti; – che con elenco, incompleto nella redazione e privo di data certa, la ricorrente assume gli associati essere 71; – che anche a considerare gli associati quelli di cui all’elenco prodotto, il numero di 71 rimane di estrema esiguità e come tale non rappresentativo della comunità locale di appartenenza; – che irrilevante sia il dato dell’essere seguita l’associazione sul social network facebook, essendo i followers meri osservatori che con ciò solo non mostrano aderenza alla associazione; Ritenuto, pertanto: – che il ricorso sia inammissibile; – che in ragione degli interessi in gioco le spese possano essere compensate; P.Q.M. Il Tribunale Amministrativo Regionale per la Calabria, Sezione Prima, definitivamente pronunciando sul ricorso di cui in epigrafe così provvede: 1) Rigetta il ricorso; 2) Compensa tra le parti le spese di lite. Ordina all’Autorità amministrativa di dare esecuzione alla presente sentenza
DIRITTO DI INTERNET N. 3/2019
589
GIURISPRUDENZA AMMINISTRATIVA
IL COMMENTO
di Giovanna Capilli Sommario: 1. Il caso. – 2. Sulla rappresentatività delle associazioni locali ad impugnare atti amministrativi. – 3. Rilevanza giuridica dei followers. La legittimazione ad agire delle associazioni ambientaliste, in relazione all’impugnazione di atti in materia ambientale, può correlarsi a due diverse situazioni: da un lato la presenza dei requisiti stabiliti dagli artt. 13 e 18, comma 5, della legge 1986 n. 349, dall’altro la rappresentatività delle associazioni in relazione all’interesse pregiudicato dall’atto impugnato. La sentenza in commento si pone il problema di verificare se seguire la pagina Facebook di un’associazione rappresentativa di interessi diffusi possa essere sufficiente per esserne considerati membri. The legal standing of environmental organizations might be related to two different situations: on one hand, by virtue of the requirements provided by articles 13 and 18, paragraph 5, of Law n.349/1986, on the other hand, the representativeness of the associations in relation to the interest affected (o damaged) by the challenged act. The judgement in question takes into account wheter the online followers of an environmental organization’s Facebook page may be considered as members of the organization itself.
1. Il caso
La sentenza che si commenta offre l’occasione per esaminare la questione della rappresentatività delle associazioni ambientalistiche ed in particolare si presenta innovativa agli occhi del lettore in ragione della peculiarità degli elementi che l’associazione ha indicato al fine di giustificare la propria rappresentatività e conseguentemente il numero degli aderenti. Riassumiamo brevemente il caso. Una associazione locale a tutela dell’ambiente proponeva ricorso, con istanza cautelare, al TAR per la Calabria, per impugnare il provvedimento di aggiornamento A.I.A. della Regione Calabria, relativo alla gestione di un impianto di trattamento dei rifiuti. L’Amministrazione resistente e controinteressata resisteva al ricorso ed eccepiva in via preliminare, tra l’altro, anche il difetto di legittimazione a ricorrere dell’associazione rilevandone la carenza di rappresentatività. Proprio con riferimento a questo aspetto, si è pronunciato il TAR dichiarando inammissibile il ricorso e rigettandolo. In particolare l’associazione si riteneva rappresentativa in quanto fondata da 18 cittadini e “seguita” da circa 71 iscritti alla pagina Facebook. Di contro il TAR ha ritenuto che la stessa non fosse dotata di sufficiente rappresentatività in relazione ad una comunità locale di approssimativamente 35.000 abitanti, affermando che “la rappresentatività della collettività locale di riferimento non può prescindere dalla considerazione, quanto meno indiziaria, del numero delle persone fisiche costituenti l’associazione” e che, dunque, è priva di rilevanza la circostanza che un ente sia seguito su Facebook da numerosi followers e ciò in quanto si tratta di “meri osservatori che con ciò solo non mostrano aderenza alla associazione”.
2. Sulla rappresentatività delle associazioni locali ad impugnare atti amministrativi
Appare opportuno ripercorrere l’iter argomentativo della sentenza per fare il punto sulla rappresentatività delle associazioni locali ad impugnare atti amministrativi. Come noto, le associazioni ambientalistiche hanno titolo ad impugnare qualsiasi atto amministrativo, ma la specialità della loro legittimazione a ricorrere è condizionata a monte dagli scopi da esse perseguiti e consente loro unicamente la deduzione di censure funzionali al soddisfacimento di interessi ambientali, impedendo invece la proposizione di doglianze relative a violazioni di altra natura (1) È pacifico, proprio in quanto previsto dal legislatore, che le associazioni ambientalistiche riconosciute siano legittimate in forza del combinato disposto dell’art. 13 e dell’art. 18, c. 5 della legge 8 luglio 1986, n. 349, istitutiva del Ministero dell’Ambiente, mentre il titolo processuale legittimante delle associazioni non riconosciute ad impugnare atti amministrativi richiede la verifica di altri elementi. In particolare, occorre valutare: il carattere non occasionale o strumentale alla proposizione di una determinata impugnativa; lo stabile collegamento col territorio, consolidatosi nel tempo (e ciò deve per esempio essere escluso in caso di associazioni costituite pochi giorni prima della proposizione del ricorso); la rappresentatività della collettività locale di riferimento, requisito quest’ultimo, che non può prescindere dalla considerazione, quanto meno indiziaria, del numero delle persone fisiche costituenti l’associazione (2).
(1) T.a.r. Emilia-Romagna Bologna, sezione II, 19 aprile 2018, n. 346, in Massima redazionale, 2018; T.a.r. Emilia-Romagna Bologna, sezione II, 10 luglio 2014, n. 741, in Massima redazionale, 2014. (2) v. T.a.r. Piemonte Torino, sezione I, 25 settembre 2009, n. 2292, in < http://www.dirittodeiservizipubblici.it/> che ha statuito che “le as-
590
DIRITTO DI INTERNET N. 3/2019
GIURISPRUDENZA AMMINISTRATIVA La giurisprudenza amministrativa si è più volte espressa sul tema proprio assumendo riconoscendo la legittimazione ad agire in capo alle associazioni ambientalistiche, se riconosciute da appositi decreti ministeriali, nelle controversie relative a materie corrispondenti alle loro finalità. Si è ritenuta, a titolo esemplificativo, la legittimazione ad agire dell’associazione Legambiente, nella sua veste di associazione ambientalistica di livello nazionale, in quanto riconosciuta con apposito decreto ministeriale, mentre è stata negata ad un Circolo che costituisca solo una struttura territoriale facente capo ad una associazione nazionale ambientalistica, ma che, in quanto mera associazione d’ambito locale, in se e per se non riconosciuta, non può ritenersi legittimata alla proposizione dell’impugnazione (3). Il TAR Calabria si attesta sull’orientamento ormai consolidato anche del Consiglio di Stato nelle due pronunce del Consiglio di Stato n. 4233/2013 e n. 4909/2012. Sulla rappresentatività delle associazioni ambientalistiche e sui criteri da soddisfare al fine di poter ritenerne la legittimazione ad agire si è espresso il giudice amministrativo ritenendo che “l’esplicita legittimazione, ai sensi degli artt. 13 e 18 della L. 8 luglio 1986, n. 349, delle Associazioni ambientalistiche di dimensione nazionale e ultraregionale all’azione giudiziale non esclude, di per sé sola, analoga legittimazione ad agire in un ambito territoriale ben circoscritto, e ciò anche per i comitati che si costituiscono al precipuo scopo di proteggere l’ambiente, la salute e/o la qualità della vita delle popolazioni residenti su tale circoscritto territorio. Le previsioni normative citate hanno introdotto un criterio di legittimazione “legale” “aggiuntivo”, e non “sostitutivo”, rispetto ai criteri elaborati precedentemente dalla giurisprudenza per l’azionabilità in giudizio dei c.d. “interessi diffusi”. Ne consegue che il giudice amministrativo può riconoscere, caso per caso, la legittimazione a impugnare atti amministrativi a tutela dell’ambiente a favore di associazioni locali (indipendentemente dalla loro natura giuridica), purché le stesse a) perseguano statutariamente in modo non occasionale obiettivi di tutela ambientale, b) abbiano un adeguato grado di rappresentatività e stabilità e c) svolgano la propria attività in un’area di afferenza ricollegabile alla zona in cui è situato il bene a fruizione collettiva che si assume leso (Consiglio di Stato, sez. V, 17 ottobre 2012 n. 5295; in senso conforme, Consiglio di Stato, sez. VI, 12 giugno 2015 n. 2894) (4).
3. Rilevanza giuridica dei followers
Preso atto dei requisiti che necessariamente deve possedere una associazione ambientalistica per essere legittimata ad impugnare atti amministrativi, occorre concentrarsi sul punto più delicato della sentenza e cioè sulla rilevanza giuridica dei followers. Come già è stato anticipato il caso oggetto della sentenza in commento vedeva l’associazione ricorrente, fondata da 18 cittadini, mentre il comune “rappresentato” contava una popolazione di circa 35.000 abitanti. La ricorrente, tuttavia, assumeva l’esistenza di un numero di associati superiore e precisamente 71 in ragione del numero dei followers che l’associazione poteva vantare sui social network ed in particolare facebook. Ebbene, correttamente i giudici amministrativi hanno affermato che i followers non possono essere considerati veri e propri associati, ma sono da qualificarsi meri osservatori e come tali non aderenti all’associazione (5). D’altra parte, anche se la traduzione del termine inglese è “seguaci”, tecnicamente chi “segue” qualcuno su un social network non vuol dire che ne condivida necessariamente i contenuti o le ideologie. Oggi le nuove tecnologie ci hanno messo di fronte ad una nuova tipologia di rapporti in cui tutto è “postato” e su tutto si possono esprimere opinioni. I nostri comportamenti digitali sono monitorati (6) con la conseguenza che risultiamo profilati e conseguentemente indirizzati nei nostri comportamenti e nelle nostre scelte da “semplici” algoritmi di cui peraltro non conosciamo il funzionamento (7). Il quesito è, quindi: può bastare un “mi piace” oppure “seguire” una persona o un gruppo per fare ritenere all’esterno e comunque a chi ci monitora che condividiamo tutto quanto è postato in rete? Possono i nostri comportamenti “digitali” avere rilevanza giuridica come avrebbe voluto l’associazione ambientalistica nel caso in tema si veda altresì Consiglio di Stato, sezione sesta, 18 giugno 2004, n. 4163 secondo cui “Se è vero che l’ordinamento riconosce la legittimazione al ricorso in campo alle associazioni di protezione ambientale, quali soggetti portatori dell’interesse diffuso alla salvaguardia dell’ambiente, non può però disconoscersi anche l’interesse dei singoli, collegati stabilmente con una determinata zona, a dolersi degli atti amministrativi lesivi dell’ambiente, dovendosi ritenere che l’ambiente, quale bene a fruizione collettiva, forma oggetto non solo dell’interesse dell’intera collettività, ma anche dei singoli, ad una corretta conservazione e utilizzazione”, in Il diritto dei Trasporti, 2005, 203 con nota di Valente, Il rilascio della concessione demaniale marittima per l’ampliamento di un porto turistico rientrante nel perimetro di un parco naturale.
sociazioni di protezione ambientale sono legittimate ad agire in giudizio solo se documentano rappresentatività e stabile collegamento e tale non è, nel caso di specie, un’associazione formata da 9 persone e costituita 18 giorni prima del ricorso”.
(5) Prunesti, Social media e comunicazione di marketing, Milano, 2016, in cui sono messi in evidenza gli effetti della costituzione di una community di follower ai fini reputazionali.
(3) C. Stato, sezione sesta, 19 ottobre 2007, n. 5453, in Massima redazionale, 2007.
(6) Madria-Takahiro Hara, Big Data Analytics and Knowledge Discovery: 17th International Conference, Springer, 2015.
(4) T.a.r. Lazio Roma, sezione terza quater, 15 gennaio 2019, n. 500 ed anche T.a.r. Lazio Latina, sezione prima, 8 novembre 2018, n. 584; in
(7) Mahmood, Data Science and Big Data Computing: Frameworks and Methodologies, Springer, 2016.
DIRITTO DI INTERNET N. 3/2019
591
GIURISPRUDENZA AMMINISTRATIVA commento? La giurisprudenza ha fornito risposta negativa e tale orientamento non si può non condividere. Seguire qualcuno ed ancor di più un “gruppo” o un “ente” sui social non può certamente significare aggregazione e ciò anche perché, come insegnano gli studi sociologici sul tema, la velocità con cui ormai siamo abituati a rispondere ad un “post” con un “like” molto spesso è frutto di una attività non meditata o addirittura determinata dalla stessa tecnologia che consente attraverso particolari algoritmi di aumentare i propri followers (8). Il “consenso” così acquisito sui social network potrebbe, quindi, non essere reale, ma semplicemente indotto e addirittura fittizio (9) con la conseguenza che deve escludersi, in questi casi, la possibilità di configurare un comportamento giuridicamente rilevante (10).
(8) Esistono addirittura società che creano proprio campagne promozionali e strategie efficaci per aumentare follower in tutti i principali social media. (9) Addirittura i follower e i like possono essere “acquistati” al fine di aumentare la propria popolarità. Basta cercare su un qualsiasi motore di ricerca e possono trovarsi diversi suggerimenti su come procedere. (10) La letteratura esistente su questi temi mira a sottolineare come tutto sia incentrato sul marketing e su nuovi sistemi di business. Ecco perché occorre utilizzare i social network con consapevolezza e correttamente per evitare di essere usati inconsapevolmente.
592
DIRITTO DI INTERNET N. 3/2019
PRASSI
Aspetti operativi e ricadute giuridiche delle cripto-attività di Stefano Capaccioli Sommario: 1. Sistema delle cripto-attività e diritto. – 2. Prime interpretazioni giuridiche. 3. Frammentazione del diritto. 4. Approccio Atomistico. 5. Ricadute Giuridiche. Le norme attuali sono state concepite per un paradigma tecnico e tecnologico che non prevedeva l’esistenza di sistemi distribuiti, decentralizzati ed autonomi, senza enti centrali e con la presenza di una rappresentazione digitale di valore, un numero, senza alcun valore intrinseco che potesse venire utilizzata come mezzo di scambio o come rappresentazione di diritti. L’articolo propone uno schema interpretativo per avvicinarsi allo studio di tale innovazione, approfondendo la parte tecnica per poi proporre delle possibili soluzioni. The current rules have been conceived for a certain technical and technological paradigm. The rules do not include the existence of decentralized and autonomous systems, without central bodies and with the presence of a digital representation of value, a number, without any intrinsic value but which could be used as a medium of exchange or as a proxy of rights. The article proposes an interpretative framework to approach the study of this innovation, deepening the technical part and then proposing possible solutions.
1. Sistema delle cripto-attività e diritto
L’attuale paradigma tecnico e tecnologico è percorso da una rivoluzione grazie alle spinte verso la disintermediazione, la decentralizzazione e la digitalizzazione di ampi settori dell’economia e della vita sociale e attraverso impensati e imprevisti sviluppi innovativi: le cripto-attività partecipano attivamente a tale rivoluzione con l’introduzione della scarsità a livello digitale e della possibilità di scambiare rappresentazioni digitali in maniera decentralizzata, indicando un percorso che modifica il panorama attuale con la creazione di nuovi scenari. Tale nuovo mondo, ancorché ad oggi tumultuoso e scoppiettante, deve essere analizzato con strumenti nuovi e con una nuova consapevolezza. I sistemi giuridici e le norme non potevano e non tengono conto di tale innovazione in cui l’unità di valore che può essere scambiata è inscindibile dalla transazione, con confusione (nel senso giuridico) tra lo “scambio e la cosa scambiata”, distinzione che è alla base degli assiomi su cui le attuali costruzioni giuridiche si poggiano (1). Tale assioma non è l’unico ad essere sottoposto a questo terremoto, dato che pur a voler ipotizzare l’individuazione di una soluzione per la criptovaluta, nell’ultimo (1) Per un approfondimento si veda dello stesso autore: Capaccioli, Criptovalute e bitcoin: un’analisi giuridica, Milano, 2015, Capaccioli, Nota a Sentenza della Corte di Giustizia UE C-264/14, in Il Fisco, 2015, 4270 ss., Capaccioli, Smart contracts: traiettoria di un’utopia divenuta attuabile, in Ciberspazio e diritto, 2016, vol. 17, 25 ss., Capaccioli, Bitcoin e criptovalute, in Tutela e Risarcimento nel Diritto dei Mercati e degli Intermediari a cura di Cassano, Tilli e Vaciago, Milano, 2018, 445 e Capaccioli - Giordano, Distributed Ledger Technology, Criptoattività, Blockchain e GDPR, in Manuale di diritto alla protezione dei dati personali a cura di Maglio, Polini e Tilli, Milano, 2019 e Sarzana - Nicotra, Diritto della blockchain, intelligenza artificiale e IOT, Milano, 2018.
rapporto sulla Stabilità Finanziaria (2), la stessa Banca d’Italia ha, conformemente alle ultime indicazioni del Financial Stability Board (3), iniziato ad utilizzare il termine criptoattività (cryptoassets) includendo in questo concetto le criptovalute, ma la cui nozione le supera, comprendendo ulteriori configurazioni e soluzioni tecnologiche. Secondo lo stesso Financial Stability Board (4) la criptoattività consiste in qualunque attività (asset) di natura digitale il cui trasferimento è basato sull’uso della crittografia e sulla Distributed Ledger Technology o DLT. La Distributed Ledger Technology permette di archiviare e condividere in maniera considerata sicura informazioni come il trasferimento di un bene o di un’attività finanziaria tra più soggetti. La nozione di criptoattività appare estremamente ampia ed eterogenea, con la conseguenza che servono alcuni concetti di base per giungere alla comprensione del fenomeno: per realizzare questo percorso è imprescindibile partire dall’inizio, dalla prima criptovaluta, il Bitcoin.
(2) Banca d’Italia, Rapporto sulla stabilità finanziaria n. 1 – 2018, 27 aprile 2018. Il testo è disponibile all’indirizzo <https://www.bancaditalia.it/pubblicazioni/rapporto-stabilita/2018-1/RSF-1-2018.pdf>. (3) Financial Stability Board, FSB Chair’s letter to G20 Finance Ministers and Central Bank Governors, 13 marzo 2018. Il testo è disponibile all’indirizzo <http://www.fsb.org/wp-content/uploads/P180318.pdf>. (4) Financial Stability Board, Crypto-asset markets: Potential channels for future financial stability implications, 10 ottobre 2018. Il testo è disponibile all’indirizzo <http://www.fsb.org/wp-content/uploads/P101018.pdf>.
DIRITTO DI INTERNET N. 3/2019
593
PRASSI Una prima descrizione della criptovaluta può essere delineata quale rappresentazione digitale di valore (5), decentralizzata (6), basata sul peer-to-peer (7), su una blockchain (8) condivisa il cui trasferimento si fonda sulla crittografia e le cui regole di emissione sono basate su un algoritmo open source (9), mentre da un punto di vista tecnico è un sistema di messaggistica che genera una rappresentazione digitale, nella forma di coin o di token, scarsa e cronologicamente inalterabile. Tali preliminari concetti si pongono in contrasto con gli schemi mentali usuali, rendendo difficile la percezione e l’analisi dell’oggetto di studio: persino l’analisi delle proprietà intrinseche o delle caratteristiche non permettono la comprensione del fenomeno, conducendo alla conclusione che tale problema non è solo giuridico, ma generale. L’avvicinamento alla comprensione avviene da un determinato angolo di osservazione, ma, anche non volendo, l’osservatore inquina la percezione del fenomeno con la propria struttura mentale e con la propria formazione: il ragionamento induttivo basato su quella traballante percezione di caratteristiche rilevanti per ricostruire il concetto risulta altresì fallimentare. Tale atteggiamento dell’uomo di fronte a un fenomeno sconosciuto è descritto mirabilmente da Umberto Eco in “Kant e l’ornitorinco” dove si spiega come l’uomo reagisca per approssimazione cercando quel “ritaglio di contenuto, già presente nella nostra enciclopedia, che bene o male sembra rendere ragione del fatto nuovo” (10). La conclusione cui si perviene è quella di un’elevata difficoltà di superamento del giudizio percettivo basato
(5) Rappresentazione di una quantità non emessa da autorità (centrale o pubblica), non necessariamente collegata a moneta a corso legale, che può essere usata come mezzo di scambio o trasferita, immagazzinata o commercializzata elettronicamente. (6) Sistema basato sull’assenza di un emittente, di un amministratore ovvero di un gruppo di controllo, e su filosofia “open source”. (7) Rete che non possiede nodi gerarchizzati sotto forma di client o server fissi, ma un numero di nodi equivalenti che possono fungere sia da client che da server verso gli altri nodi della rete e ognuno in grado di avviare ovvero completare una transazione. (8) Registro distribuito incrementale delle transazioni, liberamente accessibile e basato sul consenso decentralizzato. (9) Programma informatico aperto e pubblico che contiene un numero determinato e finito di istruzioni per la realizzazione del sistema. (10) Eco, Kant e l’ornitorinco, Milano, 1997. Una situazione simile è già avvenuta, quando si è cercato di riconoscere un animale dall’analisi delle sue singole caratteristiche, basandosi sulle classificazioni conosciute: un animale semiacquatico, con i piedi palmati, che depone le uova, con il becco, che inocula veleno e che assomiglia ad un roditore, agli scienziati apparì come uno scherzo della natura o un tentativo di truffa, mentre l’ornitorinco, incurante delle classificazioni umane, viveva e nuotava in Australia Orientale.
594
DIRITTO DI INTERNET N. 3/2019
sulle categorie di enunciati osservativi, schema che fa parte della nostra costruzione mentale.
2. Prime interpretazioni giuridiche
La conoscenza a tutto tondo del sistema delle cripto-attività diventa imprescindibile, ancorché non sufficiente, e per raggiungere tale scopo occorre, preliminarmente, partire dall’analisi e dalla comprensione dell’unità di conto, della criptovaluta, della rappresentazione digitale di valore (coin o token). Tale ricerca di definizione si scontra con alcuni aspetti significativi, di seguito sinteticamente elencati: 1. assenza di una categoria concettuale comune che permetta la comprensione, dato che in molti schemi la transazione e l’oggetto della transazione stessa sono confusi; 2. polimorfismo, dato che questa innovazione assume aspetti, comportamenti, forme diverse a seconda delle circostanze, dal punto di osservazione e dal soggetto che osserva; 3. ambiguità, per la natura ibrida che afferisce a più concetti congiuntamente; 4. virtualità, dato che non esiste, è una mera iscrizione in un registro virtuale e qualunque trasferimento non comporta un passaggio fisico o giuridico, cambia esclusivamente colui che è in grado di disporne; 5. ubiquità, dato è presente in tutti i luoghi ed in nessun luogo allo stesso tempo, con lo sradicamento di qualsivoglia necessario collegamento territoriale, non essendoci neanche la necessità di supporti fisici; 6. autonomia, visto che il registro è distribuito e segue regole di iscrizione basate su un algoritmo condiviso, vale a dire con la possibilità per il sistema di svolgere le proprie funzioni senza ingerenze o condizionamenti da parte di terzi. Tali caratteristiche impongono all’interprete un percorso di avvicinamento attraverso approssimazioni progressive ai concetti giuridici, in considerazione del fatto che nessuna delle nozioni conosciute può includere le criptovalute senza che alcune caratteristiche proprie restino escluse o manchino assolutamente. La conseguenza è che i concetti e le nozioni si approssimano, si sfumano, si sovrappongono: la visuale diviene sfocata e cangiante, con la conseguenza che nessun concetto rende giustizia del fenomeno osservato. L’interprete deve giungere a soluzione e quindi è costretto ad avvicinarsi con attenzione e cura dovendo, peraltro, ripartire dai principi base, dalla teleonomia, dalle definizioni di qualunque normativa, superando la nozionistica e tenendo sempre in considerazione i principi costituzionali e i diritti fondamentali dell’uomo. Tale percorso deve partire dal motore sottostante a tale evoluzione che consiste nella crittografia che da sempre
PRASSI è l’arte di proteggere ed infrangere i segreti. In tale sistema, la crittografia a doppia chiave asimmetrica (chiave privata e chiave pubblica) ha permesso di superare l’ostacolo dell’identità in un sistema decentralizzato e per poi facilitare il sistema di memorizzazione e trasferimento di valore. La disponibilità della chiave privata permette di disporre della rappresentazione digitale di valore con difficoltà di comprensione del rapporto giuridico tra individuo, chiave e rappresentazione digitale, dovendo ripensare il concetto stesso di proprietà in relazione ai beni digitali. Fino ad ora, lo sviluppo di internet e dell’economia digitale aveva generato una nuova classe di attività: i beni digitali, beni immateriali esistenti in forma digitale (software, video, file audio, internet TV, file MP3, software, ecc.), Tali beni digitali avevano inaugurato una nuova era di condivisione delle informazioni mai vista prima, dato che qualunque bene digitale poteva essere istantaneamente riprodotto e distribuito a un costo marginale irrisorio. Tale facilità di condivisione e di riproduzione aveva determinato delle difficoltà per coniugare la proprietà privata con la possibilità di effettuarne copie infinite, fino ad oggi perseguita con introduzione di leggi anti-pirateria, brevetti e sistemi di Digital Rights Management (DRM), tecnologia di controllo degli accessi progettata per limitare l’uso di beni digitali. L’incapacità nella creazione di una esclusiva sui beni digitali determinava la possibilità per tutti di poterne trarre vantaggio e l’unico sistema per creare una “proprietà privata” passava per la soluzione di due ostacoli: - Scarsità: l’introduzione di una limitazione nella riproduzione e ridistribuzione di beni digitali rende possibile il controllo esclusivo; - Trasferibilità: la capacità di disporre di un bene tramite trasferimento esclusivamente ad un ricevente è una componente fondamentale della proprietà. Questi due attributi sono anche tra i prerequisiti di qualunque forma di mezzo di scambio e quindi un bene digitale digitalmente scarso e trasferibile, non solo permetteva l’esclusività, ma poteva essere utilizzato anche come una nuova forma di denaro. Orbene, Bitcoin risolve entrambi i problemi, creando scarsità digitale attraverso regole di emissione determinate nell’algoritmo (alias regola del consenso) e proteggendo il sistema con l’utilizzo di una grande quantità di energia (sotto forma di proof-of-work) in una rete decentralizzata di computer concorrenti che svolgono attività di mining. Finché la rete è sufficientemente decentralizzata, è praticamente (ancorché non teoricamente) impossibile modificare la regole di emissione o far collassare la rete. La trasferibilità viene risolta con la crittografia a chiave pubblica rendendo il bene digitale tracciabile e trasferibile attraverso una catena di firme digitali, con possi-
bilità di disporre delle valute virtuali connesse ad una chiave pubblica corrispondente, solo attraverso l’utilizzo della chiave privata corrispondente. Per la prima volta nella storia, esiste una forma di proprietà privata completamente indipendente dalla giurisdizione o dalla legge, dato che le chiavi private (e dei bitcoin controllati) sono di proprietà privata di fatto, non di diritto, peraltro non proteggibili con alcuna norma imperativa, se non quella alla base della protezione dell’identità digitale. Il sistema delle criptovalute, infatti, prevede l’autenticazione in forma pseudonima con esercizio dei propri diritti esercitati attraverso la chiave privata: la sottrazione di criptovalute avviene attraverso il furto ovvero indebito utilizzo di quella chiave privata ovvero del sistema di autenticazione. Si passa quindi dal furto (effetto) alla sottrazione dell’autenticazione (causa). L’autenticazione è assimilabile al concetto di “identità digitale”, che consiste nella rappresentazione virtuale dell’identità reale in un determinato sistema informatico attraverso una procedura di autenticazione: detta identità è composta da una quantità sufficiente di dati (rilevanti) per essere usata, in uno specifico ambito e ai fini del suo utilizzo, come delega dell’individuo. L’identità digitale, peraltro, può avere legami più o meno diretti con l’identità reale partendo dalla totale coincidenza con l’anonimato più completo. Eventuali furti di criptovalute avvengono attraverso il furto di tale identità digitale, acquisendo la chiave privata ovvero il controllo della stessa al fine di sottrarre le criptovalute, potendo sussumersi nel reato di frode informatica di cui al 640-ter del codice penale, quale indebito utilizzo di identità digitale per realizzare lo scopo criminoso previsto: “1. Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da lire centomila a due milioni. (…)3. La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.” Da queste riflessioni si rafforza la convinzione che l’inquadramento giuridico della criptovaluta si pone quale sfida per l’interprete, dato che l’individuazione della natura giuridica conduce all’applicazione della normativa.
3. Frammentazione del diritto
Le criptovalute sono e saranno percepite e considerate come moneta, valuta, titoli, diritti di baratto, sistema di pagamento, commodity e merce perché la nostra classifi-
DIRITTO DI INTERNET N. 3/2019
595
PRASSI cazione si basa sull’esperienza percettiva, ma allo stesso tempo nessuna di questa nozioni rende piena ragione al fenomeno. Tale impossibilità di definizione dogmatica conduce ad un approccio pragmatico, quasi frammentario, volto ad individuare le caratteristiche rilevanti in ogni sistema analizzato, inquadrando la criptovaluta nella maniera più consona in quel punto di osservazione, nella consapevolezza della visione parziale. L’attenzione deve essere elevata perché voler estendere gli inquadramenti di un campo in un altro porta a contraddizioni, come dimostra quanto è avvenuto in due cause giudiziarie negli Stati Uniti (i) California HashFast Technologies LLC v. Lowe, Case No: 15-03011 e (ii) CFTC v. Coin Drop Markets, Case No. 1:18-cv00361-JBW-RLM, da cui risulta un approccio multidisciplinare e a cui si rimanda. I sistemi giuridici in generale, e quelli di civil law in particolare, necessitano di definizioni dai contorni distinti per poter individuare le norme applicabili. In Unione Europea, il punto di partenza si rinviene nella sentenza della Corte di Giustizia dell’Unione Europea nella Causa C-264/14 Hedqvist del 22 ottobre 2015 e nelle Conclusioni dell’Avvocato Generale del 14 luglio 2015. La causa verte sull’applicabilità dell’IVA ovvero l’esenzione di cui all’art. 135 della direttiva 112/2005/CE ai servizi di cambio tra bitcoin e valuta a corso legale. I primi profili rilevanti sono delineati da parte dell’Avvocato Generale nelle proprie Conclusioni, ed in particolare al punto 14 ove si sottolinea come: “Gli attuali mezzi di pagamento legali non hanno però, in linea di massima – diversamente dall’oro o dalle sigarette, che sono o sono stati utilizzati direttamente o indirettamente anche come mezzi di pagamento –, alcun’altra possibilità pratica di impiego se non quella di un mezzo di pagamento. La loro funzione si limita, con riguardo ad un’operazione, a rendere più agevole lo scambio di beni all’interno di un sistema economico; essi non sono però, come tali, né consumati né utilizzati come beni”. Correttamente viene evidenziato che la disponibilità di un messaggio non speso non ha alcuna possibilità di consumo né di utilizzo se non quella di modificare il soggetto che ne ha la disponibilità, esercitata attraverso la conoscenza della chiave privata. L’Avvocato Generale riconosce al bitcoin la finalità di mezzo di pagamento, la cui funzione si esaurisce in se stessa, dato che i bitcoin possono avere un effetto liberatorio, qualora sia in tal senso convenuto dalle parti, non apparendo differenze sostanziali con i mezzi di pagamento legali. La Corte di Giustizia, aderendo alla Conclusioni, emette alcuni principi che devono essere tenuti in debito conto per qualunque successiva riflessione giuridica in merito, ed in particolare al punto 42 della sentenza si
596
DIRITTO DI INTERNET N. 3/2019
legge come “la valuta virtuale bitcoin, essendo un mezzo di pagamento contrattuale, non può essere considerata, da una parte, né come un conto corrente né come un deposito di fondi, un pagamento o un versamento. D’altra parte, a differenza dai crediti, dagli assegni e dagli altri effetti commerciali, (…), essa costituisce un mezzo di pagamento diretto tra gli operatori che l’accettano” ritenendo pacifico il fatto che la valuta virtuale bitcoin non abbia altre finalità oltre a quella di un mezzo di pagamento e che essa sia accettata a tal fine da alcuni operatori, dato che ha altre finalità oltre a quella di un mezzo di pagamento ed al punto 55 si afferma come sia evidente che la “valuta virtuale bitcoin non costituisca né un titolo che conferisce un diritto di proprietà su persone giuridiche né un titolo di natura comparabile”, con esclusione di ulteriori categorie concettuali (11). Tale impostazione conduce, in virtù del principio di neutralità fiscale sul quale è fondato il sistema comunitario dell’imposta sul valore aggiunto, all’esenzione prevista dall’art. 135, par. 1, lett. e) della direttiva 2006/112/CE dell’attività di conversione data la finalità di mezzo di pagamento che connota bitcoin. La Corte di Giustizia europea pone indubbiamente in risalto la funzione di mezzo di pagamento, ritenendola assorbente rispetto alle altre componenti, ai fini della propria decisione. Di fatti la funzione quale mezzo di pagamento viene analizzata e sottolineata prevalentemente per il rispetto del principio di neutralità, rispetto ai mezzi di pagamento legali, senza però esprimere alcuna equiparazione alla moneta o alla valuta. Tale prima pronuncia giurisprudenziale ha individuato quale prima strada interpretativa quale “mezzo di pagamento”, concettualizzazione posta alla base della proposta relativa alla modifica della IV direttiva antiriciclaggio COM(450) del 5 luglio 2016, poi approvata con modifiche nella direttiva (UE) 843/2018 (“Quinta Direttiva Antiriciclaggio”) del 30 maggio 2018. Tale proposta ha ricevuto, soprattutto dalla Banca Centrale Europea (12), alcune perplessità sulla prevalenza della finalità quale mezzo di pagamento, dato che le valute virtuali possono essere utilizzate a fini diversi dal pagamento e possono finanche comprendere prodotti di riserva di valore a fini di risparmio e investimento, come prodotti relativi a strumenti derivati, materie pri (11) Tale sentenza è stata criticata da Trenta, Bitcoin and virtual currencies. Reflections in the wake of the CJEU’s bitcoin VAT judgement, in Riv. trim. dir. trib., 2016, 949 s. (12) Banca Centrale Europea, Parere della Banca centrale europea, del 12 ottobre 2016, su una proposta di direttiva del Parlamento europeo e del Consiglio che modifica la Direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che modifica la Direttiva 2009/10/CE (CON/2016/49), 016/C 459/05 CON/2016/49, Gazzetta Ufficiale dell’Unione Europea C 459 del 9 dicembre 2016.
PRASSI me e titoli. Tale perplessità sono state recepite in fase di approvazione della direttiva con il testo che introduce una definizione di valuta virtuale (13) quale “rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è necessariamente legata a una valuta legalmente istituita, non possiede lo status giuridico di valuta o moneta, ma è accettata da persone fisiche e giuridiche come mezzo di scambio e può essere trasferita, memorizzata e scambiata elettronicamente”. Tale definizione deve essere interpretata alla luce del considerando 10 della stessa direttiva (UE) 843/2018: “Le valute virtuali non dovrebbero essere confuse con la moneta elettronica quale definita all’articolo 2, punto 2, della direttiva 2009/110/ CE del Parlamento europeo e del Consiglio, con il più ampio concetto di “fondi” di cui all’articolo 4, punto 25, della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, con il valore monetario utilizzato per eseguire operazioni di pagamento di cui all’articolo 3, lettere k) e l), della direttiva (UE) 2015/2366, né con le valute di gioco che possono essere utilizzate esclusivamente all’interno di un determinato ambiente di gioco. Sebbene le valute virtuali possano essere spesso utilizzate come mezzo di pagamento, potrebbero essere usate anche per altri scopi e avere impiego più ampio, ad esempio come mezzo di scambio, di investimento, come prodotti di riserva di valore o essere utilizzate in casinò online. L’obiettivo della presente direttiva è coprire tutti i possibili usi delle valute virtuali.” Il testo approvato dal Parlamento Europeo tiene in considerazione la circostanza che le valute virtuali siano suscettibili di ampi scenari di utilizzo, privandole altresì di qualsiasi accezione “monetaria” o “valutaria”, rispetto alla quale esse sono e devono essere ontologicamente difformi. A dimostrazione decisiva la scelta tra la proposta e la direttiva approvata, di sostituire l’espressione contenuta nella proposta di “mezzo di pagamento” con quella “mezzo di scambio”, presente nel testo finale. Il concetto di mezzo di scambio, difatti, è una della tre facce della tripartizione classica delle funzioni del denaro, congiuntamente alla funzione di unità di conto e di riserva di valore, elaborata dalla letteratura economica e recepita sostanzialmente anche dalla scienza giuridica. Il Fondo Monetario Internazionale (parte della Banca Mondiale), d’altra parte, definisce il denaro (“money”) in generale come una “riserva di valore”, il che significa che le persone possono accumularlo e utilizzarlo in se-
(13) Nuovo nr. 18 del paragrafo 1 dell’articolo 3 della direttiva (UE) 849/2015, così come modificata dalla direttiva (UE) 2018/843 del Parlamento europeo e del Consiglio, del 30 maggio 2018, che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE.
guito, frazionando i loro acquisti nel corso del tempo; altre definizioni si riferiscono al denaro quale unità di conto che fornisce una base comune per i prezzi o quale mezzo di scambio, qualcosa che le persone possono utilizzare per acquistare e vendere gli uni dagli altri (14). Le definizioni di moneta non presuppongono la necessità di collegamento a un emittente sovrano o a un governo: deve solo essere qualcosa che circola e viene utilizzata e accettata per lo scambio. Allo stato attuale le criptovalute non costituiscono, né possono costituire, valute per una profonda diversità fenomenica, anche se ne condividono alcune caratteristiche, anche se non tutte (15), (16). La prospettiva più agevole e immediata, quindi, di qualificare le criptovalute quali valute risulta impercorribile, pertanto occorre avanzare ulteriori ipotesi.
4. Approccio Atomistico
La comprensione del fenomeno delle criptovalute diventa attività complessa, dato che deve percorrere strade contro-intuitive, affrontandone tutte le caratteristiche, con l’interprete che deve calarle in una veste giuridica. Oltre l’arresto giurisprudenziale della Corte di Giustizia Europea, vi sono state cinque sentenze in Italia che hanno affrontato la questione da diverse angolazioni, con soluzioni diverse (17). Il secondo accostamento effettuato, dopo l’esplorazione all’assimilazione alla valuta, consiste nel ricondurre le criptovalute al concetto di bene, definito dalla teoria economica come qualunque mezzo (fisico, immateriale
(14) Nella sentenza Moss v Hancock ([1899] 2 QB 111, England, citata in Eder, Legal Theories of Money, in Cornell Law Review, Volume 20, Issue 1, 1934, si definisce che il denaro è ciò che passa liberamente di mano in mano attraverso la comunità per l’adempimento dei debiti o il pagamento dei beni e servizi, essendo accettato allo stesso modo senza alcun riferimento alle caratteristiche o all’affidabilità della persona che lo offre e senza l’intenzione della persona che lo riceve di consumarlo o destinarlo a qualsiasi altro uso che non sia quello di adempimento di debiti o di pagamento di merci. (15) App. Brescia n. 26 del 30 ottobre 2018 assimila la criptovaluta al concetto di valuta: “La “criptovaluta” è quindi da considerarsi, a tutti gli effetti, come moneta, e cioè quale mezzo di scambio nella contrattazione in un dato mercato, atto ad attribuir valore, quale contropartita di scambio, ai beni e servizi, o altre utilità, ivi negoziati. Non può pertanto essere considerata alla stregua di questi ultimi, che sono, come tali, suscettibili di acquisto con impiego del denaro, e perciò idonei ad essere economicamente oggetto di valutazione tecnica mediante perizia di stima”. (16) L’Agenzia delle Entrate segue un’impostazione che conduce all’equiparazione tra criptovaluta e valute straniera. Agenzia delle Entrate, Risoluzione n. 72/E, 2 settembre 2016 e Agenzia delle Entrate, Interpello n. 14, ottobre 2018. (17) Tribunale di Verona, n. 954 del 21 gennaio 2017, Tribunale di Brescia, 25 luglio 2018 e App. Brescia n. 26 del 30 ottobre 2018 e Tribunale Firenze, sez. fall., 21 gennaio 2019, con nota di Krogh, La responsabilità del gestore di piattaforme digitali per il deposito e lo scambio di criptovalute, in questa Rivista, 2019, 337.
DIRITTO DI INTERNET N. 3/2019
597
PRASSI o servizio) suscettibile di essere utilizzato da parte di un operatore per soddisfare un suo bisogno ovvero per essere utilizzato per la produzione di altro bene. Tale accostamento si scontra con l’impostazione italiana imperniata sulla nozione giuridica “fisicista” di bene ricavabile dall’art. 810 (18), secondo cui oggetto di proprietà possono essere solo le cose corporali con attribuzione di diritti di esclusiva regolati da un sistema sostanzialmente tipico: da ciò qualunque nuova utilità necessita di espresse previsioni legislative per ricevere protezione qualificata. In tali ambiti, per non vanificare il principio del numerus clausus dei diritti reali non dovrebbe essere applicabile l’interpretazione estensiva o analogica. Detta necessaria corporalità purtuttavia non costituisce un assioma, anche in relazione ad alcune pronunce giurisprudenziali che hanno riconosciuto la natura di bene alle quote di società a responsabilità limitata (19) e finanche alle quote di società di persone (20). La negazione tout court della qualifica di beni per carenza della materialità, pur se aderente alla visione dell’impianto codicistico del 1942, non tiene conto delle nuove forme di ricchezza, attraverso un’interpretazione evolutiva e analogica dell’art. 810 c.c. (21), anche in relazione alle tendenze delle Corti di Lussemburgo e Strasburgo (22) che ampliano la nozione di bene tutelato alle nuove forme di proprietà (23). Un’ulteriore accostamento deriva da alcune caratteristiche tipiche delle criptovalute quali la destinazione alla circolazione, incorporazione in un “bene giuridico” (stringa alfanumerica soggetta a determinate rego (18) Zeno-Zencovich, voce Cosa, in Dig. IV, disc. priv., sez. civ., III, Torino, 1988, 438 ss. (19) Cass. I, 26 maggio 2000, n. 6957, Cass. III, 12 dicembre 1986, n. 7409; Cass. I, 23 gennaio 1997, n. 697. (20) Cass. I, 30 gennaio 1997, n. 934. “Ritiene, invece, la Corte che dette quote, comprese quelle di società di persona, debbano farsi rientrare a pieno titolo nella categoria dei beni mobili, come descritta residualmente dall’art. 812 c.c., perché senz’altro suscettibili di formare oggetto di diritti, secondo la definizione che dei beni in generale dà il precedente art. 810 c.c..” (21) Il concetto di New Properties e la loro prima elencazione vengono da un celebre saggio di Reich, The New Property, in The Yale Law Journal, Vol. 73, No. 5, pp. 733 ss., 1964.
le condivise e pubbliche che i partecipanti accettano), contenenti una unità di conto, nominative, ancorché sotto forma di pseudonimo, trasferibili secondo regole condivise e tracciabili, caratteristiche che conducono verso una possibile assimilabilità ad un titolo astratto, una forma (pur atipica) di investimento, di “security”, nella considerazione che il concetto di titolo non è definito ed è un concetto aperto che riesce a includere le innovazioni, valorizzando la caratteristica di funzione quale riserva di valore, anche allo scopo di inquadrare il fenomeno in un contesto normativo che consenta di applicare le norme previste dall’ordinamento a protezione dei consumatori e/o a tutela dell’integrità dei mercati. Tale strada è stata seguita dal Tribunale di Verona nella sentenza n. 954 del 24 gennaio 2017, nella quale viene affrontato il tema della qualificazione giuridica di un contratto che prevedeva l’acquisto di criptovaluta (nella specie bitcoin) contro euro, concluso tra una persona fisica e una società promotrice di una piattaforma di investimenti di diritto ucraino. Il Tribunale, attraverso la classificazione delle criptovalute come uno “strumento finanziario utilizzato per compiere una serie di particolari forme di transazioni online”, conclude per l’applicazione delle norme del codice del consumo, senza peraltro sviluppare alcun percorso logico-motivazionale a supporto di tale conclusione (24). Orbene, gli strumenti finanziari sono elencati nel del d.lgs. n. 58 del 24 febbraio 1998 con interpretazione prevalente che tale elencazione sia tipica e chiusa. Tale chiusura, purtuttavia, in virtù dell’art. 18 del t.u.f. che attribuisce al Ministro dell’economia e delle finanze la facoltà di individuare, attraverso l’emanazione di un regolamento, nuove categorie di strumenti finanziari o di servizi e attività di investimento, risulta tendenziale (25) e non tassativa. Inoltre, lo stesso l’art. 1, comma 4, del t.u.f., a lettera del quale “i mezzi di pagamento non sono strumenti finanziari” renderebbe infeconda tale strada, dovendo concludere per l’impossibilità di ricomprendere le criptovalute nell’alveo della categoria degli strumenti finanziari. Tale esclusione lascia impregiudicata la possibilità di ricondurre alcuni schemi di operazioni aventi ad oggetto criptoattività nel concetto di prodotto finanziario (26), con applicabilità delle disposizioni previste dagli artt. 94
(22) AA.VV, Fra individuo e collettività. La proprietà del secolo XXI, Atti del Congresso. Milano, 8-9 novembre 2012, Milano, 2013. (23) Il Tribunale di Firenze, Sez. Fallimentare con due sentenze, la n. 17 e 18 del 19 dicembre 2018 depositate il 21 gennaio 2019 ha affermato che le criptovalute possono essere considerate quali “beni” ai sensi dell’art. 810 c.c. in quanto esse possono costituire oggetto di diritti. Per una critica Mazzoli, Criptovaluta Nano, fallisce la piattaforma Bitgrail, in Altalex, 07 febbraio 2019. Il testo è disponibile all’indirizzo <https://www.altalex. com/documents/news/2019/02/07/criptovaluta-nano-fallisce-la-piattaforma-bitgrail>. Per un’assimilazione alle commodities Shcherbak, S., How Should Bitcoin Be Regulated?, in European Journal of Legal Studies, 2014. Il testo è disponibile all’indirizzo <http://www.ejls.eu/15/183UK.pdf>.
598
DIRITTO DI INTERNET N. 3/2019
(24) La sentenza n. 954 del 24 gennaio 2017 del Tribunale di Verona ha ritenuto che l’operazione che coinvolgeva criptovalute integrasse la presenza di servizi finanziari di cui al codice di consumo (art. 67-bis e ss. del d.lgs. 205/2006) e quindi la violazione degli obblighi di informativa. (25) Rinaldi, Approcci normativi e qualificazione giuridica delle criptomonete, in Contratto e Impresa, 2019, 257 s. (26) Capaccioli, Bitcoin e criptovalute, in Tutela e Risarcimento nel Diritto dei Mercati e degli Intermediari a cura di Cassano, Tilli e Vaciago, Milano, 2018, 445.
PRASSI e ss. del d.lgs. n. 58 del 24 febbraio 1998, peraltro già esplorata dalla Commissione Nazionale per le Società e la Borsa, la quale si già occupata del tema, attraverso specifiche delibere (27) qualificando alcune attività quali operazioni relative a prodotti o strumenti finanziari. Tale equiparazione è stata effettuata valutando gli elementi che connotavano in concreto le suddette operazioni economiche, senza alcuna apodittica assimilazione tra le criptovalute (cripto-attività in genere) e prodotti finanziari. Ad ulteriore supporto, eccetto alcuni paesi europei, anche gli enti di supervisione europei (28) riscontrano l’assenza di definizione di cripto attività quale valori mobiliari (29). Il sistema delle criptovalute potrebbe infine essere considerato quale sistema di pagamento e quindi gli attori quali fornitori di servizi di pagamento, ma la direttiva sui servizi di pagamento (30) si applica a trasferimenti di fondi definiti quali “banconote e monete, moneta scritturale e moneta elettronica ai sensi dell’articolo 1, paragrafo 3, lettera b), della direttiva 2000/46/CE” che escludono la maggior parte delle criptovalute. Vista la sostanziale esclusione dai concetti espressi sopra, occorre ripartire dall’inizio e valutare con un ragionamento ad excludendum se le criptovalute appartengono ad altri concetti giuridici: - Le criptovalute non costituiscono titoli di credito: pur essendo come questi destinati alla circolazione, non incorporano il diritto ad una specifica prestazione e comunque non incorporano un credito pecuniario né è identificato né identificabile il debitore. - Le criptovalute non costituiscono titoli di legittimazione: entrambi sono connessi a rapporti contrattuali o obbligatori dato che servono unicamente ad identificare l’avente diritto ad una prestazione (e massimamente non destinati alla circolazione); tali elementi non ricorrono, però, nel caso di criptovalute. - Le criptovalute non costituiscono strumento finanziario: non essendovi alcun contratto diretto al trasferimento della moneta (reale) nello spazio (quale assegni bancari, carte di credito), nel tempo (quali (27) Delibere CONSOB nn. 19866/2017; 20207/2017; 20241/2017, 20660/2018, 20693/1018, 20741/2018, 20346/2018, 20536/2018, 20720/2018, 20742/2018. (28) Autorità europea degli strumenti finanziari e dei mercati, Initial Coin Offerings and Crypto-Assets, 9 gennaio 2019, ESMA50-157-1391. Il testo è disponibile all’indirizzo <https://www.esma.europa.eu/sites/default/files/library/esma50-157-1391_crypto_advice.pdf>.
depositi bancari, azioni, mutui, obbligazioni, eccetera) oppure volto al trasferimento del rischio (quali assicurazioni, swap, eccetera). - Le criptovalute non possono essere inquadrabili quale software né quale documento informatico dato che non esiste alcun atto, fatto o dato giuridicamente rilevante. L’approccio che rimane è un metodo frammentario ed atomistico, siccome le criptovalute non sono suscettibili di una definizione generale, condivisa e condivisibile. L’interprete è quindi costretto a entrare nelle varie normative ed all’interno del paradigma tracciato dal quadro di quella normativa, individuare la nozione adatta ed applicabile per la criptovaluta, con la consapevolezza che l’inquadramento raggiunto per quell’aspetto potrebbe non essere esteso agli altri aspetti normativi, ponendo particolare attenzione alla ratio delle normative internazionali e comunitarie. Per quanto fino a qui rappresentato, è possibile sostenere che le criptovalute da un punto di vista giuridico possano essere: a) Moneta, in quanto rispondono alle definizioni classiche economiche della stessa. b) Valuta estera, in quanto non ha corso legale nella nazione (valuta estera per tutti) (31). c) Commodity, in quanto bene fungibile prodotto da un’attività umana e riconosciuto da una determinata comunità quale valore. d Strumento finanziario (security), in quanto la propria valutazione dipende dalla domanda ed offerta ed è scambiato in un mercato. e) Beni immateriali, dato che non esistono fisicamente. f) Diritti di baratto, dato che possono essere barattate con beni e servizi espressi in quella data unità di conto. g) Sistema di pagamento, dato che può avere detta funzione. Le criptovalute possono essere assimilabili a detti concetti seguendone le regole, ma allo stesso tempo, come dimostrato sopra non integrano perfettamente quella specifica nozione e, oltretutto, hanno ulteriori caratteristiche che superano ogni definizione di cui sopra.
5. Ricadute Giuridiche
Le difficoltà interpretative non costituiscono né possono costituire un elemento ostativo all’utilizzo delle cripto attività all’interno di una transazione economica, sia che la stessa avvenga tra privati sia tra imprenditori.
(29) Per una più ampia analisi: Capaccioli, Bitcoin e criptovalute, op. cit.. (30) Direttiva (UE) 2015/2366 del Parlamento Europeo e del Consiglio del 25 novembre 2015, pubblicata in Gazzetta Ufficiale dell’Unione Europea il 23 dicembre 2015.
(31) In ogni caso si ritiene che la nozione di valuta virtuale introdotta dalla direttiva (UE) 843/2018 impedisca qualunque accostamento giuridico delle criptovalute ai concetti giuridici di valuta o di moneta.
DIRITTO DI INTERNET N. 3/2019
599
PRASSI La qualificazione giuridica impone quindi un perenne ritorno agli assiomi, alle nozioni base, al diritto comune nella consapevolezza dell’ambiguità di fondo dello strumento, che, occorre ripeterlo, ha forme in continua evoluzione. Come già indicato all’inizio, Banca d’Italia sottolinea, conformemente alla Banca Centrale Europea, che le criptoattività sono comunemente chiamate “valute virtuali” ma non svolgono le funzioni economiche della moneta, né la integrano da un punto di vista giuridico e legale, rilevando come le criptoattività non conferiscano diritti di carattere economico (quali il pagamento di cedole o di dividendi) e non rappresentino alcuna passività di un ente emittente. Il panorama, poi, si è allargato e complicato ulteriormente, passando dalle criptovalute a schemi di emissione di rappresentazioni digitale costruite sopra le piattaforme delle criptovalute stesse (32), generando ulteriori problematiche, dato che le forme da analizzare si moltiplicano, potendo rientrare nel concetto di cripto-attività: 1. Coin (33), intendendo per tali le rappresentazioni digitali che esistono all’interno del loro sistema e che non hanno alcuna utilità, la cui funzione si esaurisce in sé stessa. 2. Decentralized autonomous organization (DAO) token, particolari token che permettono la gestione della piattaforma stessa (34), compresi i token rilasciati dalle DAICO (35). (32) Tali emissioni sono denominate initial coin offerings (ICO) che è definibile quale operazione che si differenzia dalla offerta pubblica di titoli (IPO) , dato che (i) la natura dei diritti acquisiti dal titolare dei token non hanno le stesse (giuridiche ed economiche) caratteristiche delle azioni o dei titoli di debito; (ii) la natura dell’emittente dei token, che può non avere personalità giuridica; (iii) l’utilizzo della tecnologia blockchain, che permette di lanciare una ICO senza utilizzare l’infrastruttura esistente dei mercati dei capitali (ad esempio senza banca depositaria) e senza l’intervento di intermediari; (iv) il mezzo di pagamento del token, che generalmente non è possibile in moneta a corso legale ma, ma solo con valute virtuali che, pur non costituendo un mezzo di pagamento a corso legale, vengono usate come mezzo di pagamento (per esempio ether, bitcoin); e (v) la pubblicità tramite World Wide Web attuata attraverso reti decentrate, con promozione e raccolta transfrontaliera, senza necessità di rivelazione della nazionalità, della localizzazione o delle presenza in un determinato paese. Per classificazioni e bibliografia si veda Capaccioli, Bitcoin e criptovalute, op. cit. (33) Per coin si intende le prime forme di criptovalute che vengono usualmente distinte in bitcoin e altcoin, crasi di “alternative to bitcoin”. (34) Per un’analisi si veda: Securities and Exchange Commission, Report of Investigation Pursuant to Section 21(a) of the Securities Exchange Act of 1934: The DAO, Release No. 81207, 25 luglio 2017. Il testo è disponibile all’indirizzo <http://www.sec.gov/litigation/investreport/34-81207. pdf>. (35) Mix tra decentralized autonomous organization e initial coin offerings, intendendo un contratto con cui vengono posti vincoli agli emittenti per la gestione dei fondi ricevuti da una ICO; Buterin, Explanation of DAICOs, 06 Gennaio 2018. Il testo è disponibile all’indirizzo <https:// ethresear.ch/t/explanation-of-daicos/465>.
600
DIRITTO DI INTERNET N. 3/2019
3. Appcoin, intendendo per tali i token la cui funzione è anche esterna e che possono incorporare diritti o ulteriori caratteristiche, categoria ulteriormente suddivisibile in: 3.1. Asset token, vale a dire token che danno diritto ad un bene, un servizio, una valuta (36); 3.2. Reward token, vale a dire token che danno diritto a ricevere parte dei ricavi di un’applicazione o parte degli utili predefinendo direttamente nel codice tutte le condizioni, anche nella forma di burn token, vale a dire quelli con forme automatiche di riacquisto secondo schemi di reward; 3.3. Access token, vale a dire token la cui funzione è quella di permettere l’accesso ad una applicazione, anche quale prepagamento della stessa; 3.4. Discount token, vale a dire token che permettono di accedere a beni o servizi con uno sconto in percentuale ovvero in una determinata e prefissata quantità; 3.5. Voucher token, vale a dire token la cui funzione è similare a quella di un buono che può essere riscattato su una o più piattaforme; 3.6. Valueless token, vale a dire token che non danno alcun diritto ovvero non hanno alcun valore intrinseco la cui funzione è nella titolarietà del token (37), con la conseguente scarsità; 3.7. Hybrid token, vale a dire che possono unire varie caratteristiche. D’altra parte, i principali interventi normativi sono stati posti a presidio di alcune vulnerabilità (38), di individuazione del regime fiscale (39) e di ricerca di regolazione di alcune innovazioni nelle relazioni sociali (40), mentre la giurisprudenza e l’ampia dottrina è alla costante ricerca di individuare maniere sostenibili per applicare eventuali norme o individuare i possibili modi per risolvere i potenziali conflitti. (36) All’interno di questa categoria assumono un rilevo particolare i cd. stable coin, quali il tether, token cui è connesso un valore e quindi con “promessa” di stabilità anche se il tether non costituisce moneta elettronica intesa in senso stretto in quanto (i) non esiste la convertibilità e (ii) non viene emessa dietro la ricezione di fondi ma per ogni tether viene dichiarata l’esistenza di un valore (1 dollaro nel caso del tether dollar). (37) Tutte le altre classificazioni proposte da altri autori non tengono in considerazione questa categoria particolare generata dall’introduzione dei token infungibile (ERC 721 su Ethereum). Un esempio di utilizzo i CryptoKitties, con spiegazione all’indirizzo <https://en.wikipedia.org/ wiki/CryptoKitties>. (38) Direttiva (UE) 843/2018 denominata Quinta Direttiva Antiriciclaggio, introdotta in Italia con il d.lgs 25 maggio 2017, n. 90 ed in corso di ulteriore modifica. (39) Corte di Giustizia dell’Unione Europea, C-264/14, del 22 ottobre 2015. (40) Sarzana di S. Ippolito, Blockchain e smart contract nel nuovo Decreto Semplificazioni, in questa Rivista, 2019, 17.
PRASSI Tale ricerca, in molti casi, avviene senza tenere presente il cambio di paradigma e quindi conferendo rilevanza alla caratteristica della cripto-attività che permette di farla ricadere sotto una categoria concettuale conosciuta ovvero sotto una definizione prevista da una normativa. Tale esercizio, pur interessante e fonte di ispirazione, sconta la parzialità dell’angolo di osservazione, con il rischio di ipotesi e tesi sconnesse dalla realtà operativa. L’operatore e l’interprete non devono quindi impaurirsi per la difficoltà apparente di tali strumenti, valutandone le caratteristiche e la possibile utilità, e quindi cercando di applicare le norme che maggiormente rendono giustizia del fenomeno, pur partendo dal punto di partenza che le criptovalute costituiscano prevalentemente un mezzo di scambio: è purtuttavia evidente che la qualificazione di mezzo di scambio (intendendo come qualsivoglia manifestazione suscettibile di essere trasferito e scambiato) implica e richiede la qualificazione quale “bene” in senso giuridico, interpretazione supportata dalla sentenza n. 18 del 21 gennaio 2019 del Tribunale di Firenze in cui si sottolinea che le criptovalute “possono essere considerate “beni” ai sensi dell’art. 810 c.c., in quanto oggetto di diritti, come riconosciuto oramai dallo stesso legislatore nazionale, che le considera anche,
ma non solo, come mezzo di scambio”. Tale sentenza, congiuntamente ad attenta dottrina (41), supera la sentenza di Appello di Brescia, indicando la strada dell’inquadramento delle criptovalute nella categoria dei beni giuridici come punto di partenza più idoneo, senza che questa posizione assuma carattere dogmatico. La categoria delle cripto-attività diventa pertanto una categoria giuridica liquida, se non aeriforme, ove il contenitore qualifica il contenuto. Adesso, diventa di immediata percezione che sotto la definizione di cripto attività siano comprese situazioni radicalmente opposte, pur condividendo sempre le regole di circolazione totalmente diverse rispetto al paradigma attuale: a. Cripto-valute, la cui definizione comporta uno sforzo di inquadramento sulla base del diritto vivente, non esistendo una categoria concettuale e giuridica definita, pur partendo dal concetto di “bene giuridico”; b. Cripto-attività, il cui poliformismo, pur provenendo dal concetto di cui sopra, si evolve fino a tornare a categorie conosciute e già coperte dall’ordinamento, con un viaggio dall’ignoto, verso il noto (42), pur con forme diverse rispetto a quelle conosciute.
(41) Finocchiaro, Le cripto-valute come elementi patrimoniali assoggettabili alle pretese esecutive dei creditori, in Riv. Dir. Proc., 2019, 86 s. (42) Un esempio sono costituiti dagli asset token con sottostante un bene: in tale caso il token può assumere la veste di titolo rappresentativo di merce, con il conseguente (e noto) inquadramento giuridico.
DIRITTO DI INTERNET N. 3/2019
601
PRASSI
Appalti pubblici di beni e servizi informatici: disciplina giuridica in costante evoluzione di Elio Guarnaccia Sommario: 1. Gli appalti ad oggetto informatico nella normativa vigente. – 1.1. Legge di Stabilità 2016: l’approvvigionamento obbligatorio tramite Consip. – 1.2. L’art. 63 del Codice contratti: procedure negoziate senza bando per beni informatici infungibili. – 2. Le Linee guida Anac n. 8. – 2.1. Le cause di infungibilità. – 2.2. Il c.d. lock-in. – 2.3. Best practices per il ridimensionamento del lock-in. – 2.3.1. Accertamento rigoroso e motivazione dell’infungibilità. – 2.3.2. Programmazione e progettazione. – 2.3.4. Affidamento in multisourcing. – 2.3.5. Lex specialis basata su standard interoperabili. – 3. Il ruolo del responsabile per la transizione digitale negli appalti ad oggetto tecnologico. – 4. Il Piano Triennale per l’informatica nella PA 2019-2021. – 4.1. Funzioni ed obiettivi in materia di appalti pubblici innovativi. – 4.2. Dialogo competitivo. – 4.3. Partenariato per l’innovazione. – 4.4. Appalti pre commerciali. – 5. Acquisti di software: la valutazione comparativa ex art. 68 CAD. – 5.1. Le Linee Guida AgID 2019 sul riuso software per la pubblica amministrazione. – 6. L’acquisto di servizi in cloud. – 6.1. Il principio del “cloud first” nel Piano Triennale 2019-2021. – 6.2. L’obbligo di acquisto di servizi cloud da CSP qualificati da Agid. Aumenta vertiginosamente la necessità per le amministrazioni di ogni livello di acquisire forniture e servizi informatici (apparecchiature elettromedicali, software e manutenzione, materiali di consumo per macchinari) e dunque di porre in essere procedure di gara a ciò finalizzate, non senza peculiari problemi – quale ad esempio il fisiologico restringimento della concorrenza, spesso determinato dall’infungibilità dei prodotti o da esclusiva (specifiche privative industriali, brevetti), costi eccessivi, lock-in. Su questo sfondo, appare dunque di particolare interesse delineare il quadro giuridico generale di riferimento per gli acquisti di beni e servizi informatici per la P.A. The Public Sector increases its needs of ICT services and goods (as electro-medical devices, softwares and maintenance and consumables for devices). Therefore, the need for competitive procedures for this purpose increases as well, sometimes at the expense of the competitiveness on the market, often due to the non-fungibility of goods and services or due to the existence of exclusive industrial rights (patents), excessive costs or lock-in. In this context, it is really interesting to provide a judicial overview of the public procurement of ICT services and goods for the Public Sector.
1. Gli appalti ad oggetto informatico nella normativa vigente
Il quadro normativo di riferimento per gli appalti ad oggetto informatico è costituito dal Codice dei Contratti di cui al d.lgs. 18 aprile 2016 n. 50, dalle norme del Codice dell’Amministrazione Digitale di cui al d.lgs. 7 marzo 2005 n. 82 e della legge di Stabilità del 2016, oltre che dagli strumenti di regolazione flessibile, tra cui le linee guida ANAC, le linee guida AgID ed il Piano Triennale per l’Informatica nella Pubblica Amministrazione 2019-2021.
1.1. Legge di Stabilità 2016: l’approvvigionamento obbligatorio tramite Consip
La cd. “legge di stabilità 2016”, legge 28 dicembre 2015 n. 208, come modificata dalla successiva legge 11 dicembre 2016 n. 232, all’art. 1 comma 512 ha introdotto l’obbligo di approvvigionamento di beni e servizi informatici e di connettività esclusivamente mediante gli strumenti di acquisto e negoziazione messi a disposizione da CONSIP o da altri soggetti aggregatori, com-
prese le centrali di committenza regionali, ove tali beni e servizi siano disponibili. In altri termini, la norma prevede l’obbligo per tutte le P.A. di acquistare beni e soluzioni ICT servendosi esclusivamente delle convenzioni e degli accordi quadro stipulati da CONSIP, nonché del MEPA e dei sistemi dinamici di acquisizione. Tale obbligo, ai sensi del successivo comma 516, può essere derogato solo nel caso in cui il bene o il servizio non siano disponibili o idonei al soddisfacimento dello specifico fabbisogno dell’amministrazione, ovvero in casi di necessità ed urgenza comunque funzionali ad assicurare la continuità della gestione amministrativa. In tali ipotesi, l’approvvigionamento di beni e servizi informatici fuori dagli strumenti CONSIP e dai soggetti aggregatori, deve essere autorizzato dall’organo di vertice amministrativo dell’ente, e comunicato ad AgID e ANAC. La Corte dei Conti, sezione di controllo Liguria, con la deliberazione n. 14 del 24 febbraio 2016, sul punto ha chiarito che per organo di vertice amministrativo si deve intendere il dirigente apicale e non un organo politico,
DIRITTO DI INTERNET N. 3/2019
603
PRASSI ritenendo, quindi, che per organo di vertice amministrativo debba intendersi la figura del segretario, o del direttore generale dell’ente locale. Inoltre, l’inosservanza delle disposizioni in materia di approvvigionamento di beni e servizi ICT rileva ai fini della responsabilità disciplinare per danno erariale (comma 517).
1.2. L’art. 63 del Codice contratti: procedure negoziate senza bando per beni informatici infungibili
Sul tema della deroga al cd. “sistema Consip”, determinato dall’indisponibilità ed inidoneità del bene o del servizio informatico, si apre un importantissimo scenario che ha caratterizzato negli ultimi anni il panorama dei contratti pubblici ad oggetto informatico. Nel settore, infatti, si è registrato un trend positivo nell’utilizzo, sempre crescente, della procedura negoziata senza previa pubblicazione del bando di gara di cui all’art. 63 del d.lgs. n. 50/2016. L’art. 63 prevede, in deroga alle regole dell’evidenza pubblica, la possibilità per le stazioni appaltanti di acquistare senza previa pubblicazione del bando di gara, “dando conto con adeguata motivazione, nel primo atto della procedura, della sussistenza dei relativi presupposti”. Tale procedura è ammissibile, secondo la lettera b) dell’art. 63 comma 1, “quando i lavori, le forniture o i servizi possono essere forniti unicamente da un determinato operatore economico per una delle seguenti ragioni: … 2) la concorrenza è assente per motivi tecnici; 3) la tutela di diritti esclusivi, inclusi i diritti di proprietà intellettuale. Le eccezioni di cui ai punti 2) e 3) si applicano solo quando non esistono altri operatori economici o soluzioni alternative ragionevoli e l’assenza di concorrenza non è il risultato di una limitazione artificiale dei parametri dell’appalto”. In altri termini, nell’ambito ICT, la procedura senza gara è utilizzabile quando le forniture o i servizi richiesti possono essere erogati da un solo operatore economico, in quanto la concorrenza è assente per motivi tecnici (bene cd. “infungibile”), o per l’esistenza di diritti esclusivi (bene soggetto a privative industriali). Nello specifico campo degli acquisti di beni e servizi informatici, spesso l’infungibilità, che come detto giustifica il ricorso a questa procedura svincolata dalle ordinarie regole concorrenziali, è sostanzialmente causata dai precedenti acquisti perfezionati dalle stazioni appaltanti, che, per ragioni tecniche o di esclusiva, spesso rimangono “prigioniere” dei vecchi fornitori. La questione è stata ampiamente affrontata dalle Linee Guida Anac n. 8 recanti “Ricorso a procedure negoziate senza previa pubblicazione di un bando nel caso di forniture e servizi ritenuti infungibili”, nelle quali l’Autorità, nel fornire indicazioni circa l’utilizzo dello strumento della procedura negoziata senza bando, si è ampiamente soffermata
604
DIRITTO DI INTERNET N. 3/2019
proprio sull’applicazione, diffusa di tale strumento in ambito ICT, cercando di farne emergere le criticità e delineando le possibili soluzioni.
2. Le Linee guida ANAC n. 8
Le linee guida n. 8, di cui alla Delibera Anac n. 950 del 13 settembre 2017, “Ricorso a procedure negoziate senza previa pubblicazione di un bando nel caso di forniture e servizi ritenuti infungibili” (in Gazzetta Ufficiale - Serie Generale n. 248 del 23 ottobre 2017), nel fornire un indirizzo applicativo della procedura negoziata senza previa pubblicazione del bando di gara, si pongono per l’appunto lo specifico obiettivo di porre rimedio al ricorso indiscriminato a questa procedura proprio nell’approvvigionamento di beni e servizi ICT da parte delle P.A. Quanto alla loro collocazione nella gerarchia delle fonti, le Linee Guida sono adottate ai sensi dell’art. 213, comma 2, d.lgs. 50/2016, in virtù del quale l’ANAC, attraverso linee guida nonché altri strumenti di regolamentazione flessibile, quali ad esempio bandi e capitolati tipo, garantisce la promozione dell’efficienza delle stazioni appaltanti, cui fornisce supporto anche facilitando lo scambio di informazioni e l’omogeneità dei procedimenti amministrativi e favorisce lo sviluppo delle migliori pratiche. Le Linee Guida non hanno dunque carattere vincolante, e possono essere impugnate innanzi al Giudice Amministrativo.
2.1. Le cause di infungibilità
Le linee guida n. 8, se da un lato danno atto della possibilità di utilizzare lo strumento della procedura negoziata senza bando in presenza di beni o servizi infungibili, secondo quanto previsto dall’art. 63 del Codice dei contratti, dall’altro sottolineano, con particolare attenzione al settore ICT, che non sempre tale infungibilità è effettiva, e, quel che è peggio, che il solo fatto di operare nel mercato delle tecnologie spesso costituisce per le P.A. un vero e proprio alibi, a volte non consapevole, per acquistare senza bando. Pertanto, le linee guida chiariscono il concetto, spesso oggetto di errata interpretazione, di bene o servizio infungibile, distinguendolo dalla situazione in cui un bene o servizio è oggetto di diritti di esclusiva. Si parla dunque di infungibilità solo quando un bene o servizio è l’unico in grado di soddisfare una determinata esigenza: in tali ipotesi, l’esito di un’eventuale gara risulterebbe scontato, esistendo un unico operatore economico in grado di aggiudicarsela e, conseguentemente, l’indizione di una procedura ad evidenza pubblica determinerebbe uno spreco di tempo e di risorse. Quindi, un bene o un servizio possono essere infungibili perché, a causa di ragioni di tipo tecnico o di privativa industriale, non esistono possibili sostituti degli stessi,
PRASSI oppure a causa di decisioni passate da parte del contraente che lo vincolano nei comportamenti futuri o, infine, a seguito di decisioni strategiche da parte dell’operatore economico. L’esclusiva, dunque, attiene all’esistenza di privative industriali sul prodotto o servizio; essa può essere una causa di infungibilità della prestazione, ma poiché attiene ad un prodotto o servizio specifico, non esclude che una determinata esigenza della P.A. possa comunque essere soddisfatta anche con altri prodotti o servizi. Quindi, l’esistenza di diritti di esclusiva su un determinato bene o servizio non lo rende inevitabilmente infungibile e non costituisce sempre il presupposto per l’adozione della procedura di cui all’art. 63 del Codice Contratti.
fattispecie la cui frequenza è direttamente proporzionale al numero dei concorrenti sul mercato, e che dunque si presenta proprio nei casi più lontani dalle ipotesi di infungibilità effettiva di un bene o servizio ICT.
2.3. Best practices per il ridimensionamento del lock-in
Le linee guida sottolineano come spesso l’infungibilità di un bene o un servizio sia determinata dal comportamento della P.A. e dalle sue decisioni passate nell’acquisto di beni e servizi informatici. Si parla, in questo caso, del c.d. fenomeno del lock-in che, nell’ambito degli appalti pubblici nel settore informatico, si verifica quando “l’amministrazione non può cambiare agevolmente fornitore alla scadenza del periodo contrattuale, perché non sono disponibili le informazioni essenziali sul sistema che consentirebbero al nuovo fornitore di subentrare al precedente in modo efficiente” (1). Il lock-in si verifica in presenza di elevati investimenti resisi necessari in fase di avvio dell’esecuzione del contratto di appalto, ma che, tuttavia, spesso non possono essere ammortizzati nel corso della fase esecutiva e, ove la P.A. cambiasse fornitore, andrebbero persi. Lo stesso accade in tutti i casi in cui il cambio di fornitura richiederebbe nuovi, e costosi, processi di apprendimento e formazione per l’utilizzo del nuovo bene o servizio. E ancora, precisa l’ANAC, vi è lock-in ogni qual volta vi sono esternalità ed economie di rete, per cui il valore del bene è legato al numero dei suoi utilizzatori (si pensi, ad esempio, ai social networks), che verrebbero meno in caso di cambio di fornitore. Infine, il lock-in può essere determinato da comportamenti strategici dei fornitori, legati al possesso di informazioni riservate, all’esclusiva, di diritto o di fatto, sui pezzi di ricambio o sui materiali di consumo, e sopratutto alla conoscenza approfondita dei bisogni dell’amministrazione “cliente” che ne determinano il controllo:
Le Linee Guida n. 8, pertanto, si pongono l’obiettivo di scongiurare, o quanto meno contenere, tale fenomeno del lock-in, partendo dal presupposto che ogni pubblica amministrazione, nel rispetto del fondamentale principio di buona amministrazione (art. 97 Cost), deve poter anticipare i maggiori oneri futuri determinati dalle proprie decisioni di acquisto attuali. Sulla scorta di tale presupposto, l’ANAC prova ad elencare le principali best practices, ovvero le procedure che, alla luce delle recenti esperienze, possono risultare vincenti nel raggiungimento di un determinato obiettivo. 2.3.1. Accertamento rigoroso e motivazione dell’infungibilità Il primo rimedio per prevenire il lock-in in ambito tecnologico consiste nell’accertamento e nella motivazione dell’infungibilità. In particolare, essa deve essere provata (2) dalla stazione appaltante che intende avvalersi della procedura ex art. 63 del codice dei contratti, la quale infatti ha l’onere di verificare l’esistenza sul mercato di altri prodotti o servizi idonei a soddisfare le proprie esigenze. Allo stesso tempo, la stazione appaltante dovrà vagliare soluzioni ulteriori e diverse rispetto a quelle già in uso, che possano essere utilizzate per soddisfare le proprie esigenze. Viene inoltre stigmatizzata la prassi, invalsa tra le stazioni appaltanti, di motivare l’infungibilità della prestazione – che dunque le consentirebbe il ricorso alla procedura senza bando – sulla base delle sole dichiarazioni fornite dall’operatore economico. Secondo l’ANAC, inoltre, non è possibile ricorrere alla procedura negoziata senza bando, giustificandola con la presenza di un solo operatore economico in grado di fornire un determinato standard qualitativo, dal momento che, secondo l’Autorità, tale parametro non è di per se indicativo di una scelta orientata ai principi di cui all’art. 97 della Costituzione. Uno strumento utile al fine di accertare l’effettiva infungibilità e, di conseguenza, di non incorrere negli errori sopra detti, potrebbe dunque consistere, secondo Anac, in rigorose consultazioni di mercato, da condurre anche a livello internazionale.
(1) Definizione recentemente fornita dalla Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale Europeo e al Comitato delle Regioni, Contro il lock-in: costruire sistemi TIC aperti facendo un uso migliore degli standard negli appalti pubblici, Com (2013) 455 final del 25 giugno 2013.
(2) CGUE, grande sez., 8 aprile 2008, n. 337 in Foro amm. – C.d.S. 2008, 4, I, 972; C. Stato, sez. III, 8 gennaio 2013, n. 26, in Foro Amm. -– C.d.S., 2013, 10, 2721.
2.2. Il cd. lock-in
DIRITTO DI INTERNET N. 3/2019
605
PRASSI 2.3.2. Programmazione e progettazione Un’altra soluzione suggerita dalle Linee Guida n. 8, tra quelle in grado di evitare il lock-in nell’acquisto di beni e servizi ICT, sta nell’attività di programmazione degli acquisti nonché, prima ancora, del fabbisogno della pubblica amministrazione. Spesso, infatti, il lock-in è causato dalle scelte effettuate dalla P.A. in situazioni di emergenza, che non consentono di svolgere le opportune consultazioni di mercato preliminari, né di compiere un’analisi dei fabbisogni dell’amministrazione al fine di individuare le soluzioni a lungo termine più adatte. Tale situazione di emergenza è, al contrario, evitabile ogni volta che l’approvvigionamento è programmabile, e non è collegato ad eventi fortuiti o improvvisi. Nello svolgimento dell’attività di vigilanza, l’ANAC (3) ha infatti rilevato la profonda correlazione che intercorre tra le criticità riscontrabili nella fase esecutiva e le carenze riconducibili ad un’incompleta o imprecisa predisposizione, da parte delle stazioni appaltanti, della relativa documentazione di gara e, prima ancora, all’assenza di un’adeguata fase di programmazione degli acquisiti. Secondo le Linee Guida, l’attività di programmazione serve a individuare gli effettivi fabbisogni, sulla base dell’analisi dei processi interni e degli obiettivi da perseguire, nonché ad identificare la soluzione che appare preferibile, valutandone la fattibilità dal punto di vista tecnico, dei costi connessi alla realizzazione, dei benefici attesi, dei rischi e dei vincoli tecnologici, temporali e normativi. Peraltro, lo strumento della programmazione trova pieno riconoscimento nel Codice dei Contratti di cui al d.lgs. n. 50/2016 che, all’art. 21 prevede, per gli acquisti di importo pari o superiore a 40.000 euro, che le stazioni appaltanti adottino un programma biennale di acquisti. Altro strumento, direttamente correlato alla programmazione degli acquisti, è la progettazione dei fabbisogni. Tale momento costituisce una fase fondamentale per la stazione appaltante che agisce nel rispetto del principio di buon andamento, dal momento che permette di conoscere quali sono le effettive esigenze sulla base delle quali individuare i beni o servizi da acquistare. É questa la fase in cui la stazione appaltante deve valutare il rischio di lock-in nell’adozione di una determinata soluzione, tenendo conto dei costi di entrata e di uscita (il cd. costo del ciclo di vita del prodotto), al fine di indire
(3) Cfr. Determinazione del 6 novembre 2013, n. 5, “Linee guida su programmazione, progettazione ed esecuzione del contratto nei servizi e nelle forniture” e la Determinazione 32 del 20 gennaio 2016 “Linee guida per l’affidamento di servizi a enti del terzo settore e alle cooperative sociali”.
606
DIRITTO DI INTERNET N. 3/2019
una gara che possa effettivamente portare ad un risultato che soddisfi i propri interessi. 2.3.4. Affidamento in multisourcing Anche l’affidamento in multisourcing rappresenta una possibile soluzione per prevenire il rischio di lock-in. Esso consiste nell’aggiudicare la gara a due o più operatori economici diversi, in modo tale che la PA non resti vincolata all’unico aggiudicatario della gara: la tipologia di “multi aggiudicazione” più diffusa è certamente quella nascente dall’adozione dell’accordo quadro. L’amministrazione, peraltro, in tal modo acquista potere contrattuale negli affidamenti “a valle”, poiché potrà contare sull’esistenza di più imprese che hanno acquisito una conoscenza sulle caratteristiche del servizio e sulle necessità dell’amministrazione, riducendo in questo modo l’asimmetria informativa. Tuttavia, bisogna rilevare che l’affidamento in multisourcing non costituisce sempre la soluzione preferibile poiché potrebbe comportare, ad esempio, una spesa iniziale maggiore, nonché aumentare il rischio di collusione tra gli operatori economici partecipanti. 2.3.5. Lex specialis basata su standard interoperabili Infine, le linee guida ANAC n. 8, sulla scorta di quanto già evidenziato dalla Commissione Europea, individuano nell’utilizzo degli standard tecnologici come base per la predisposizione delle gare, una soluzione in grado di prevenire il fenomeno del lock-in in ambito tecnologico. Le gare basate su standard, infatti, permettono all’amministrazione di conseguire importanti obiettivi di risparmio ed efficienza quali l’interoperabilità (4) dei sistemi, ed il riuso delle soluzioni adottate. Quanto all’interoperabilità, essa è d’altro canto fissata già dal Codice dell’Amministrazione Digitale di cui al d.lgs. n. 82/2005, quale colonna portante della digitalizzazione della PA italiana. Nel capo del CAD dedicato ai principi, si può leggere che “le pubbliche amministrazioni utilizzano, nei rapporti interni, in quelli con altre amministrazioni e con i privati, le tecnologie dell’informazione e della comunicazione, garantendo l’interoperabilità dei sistemi e l’integrazione dei processi di servizio fra le diverse amministrazioni” (art. 12, comma 2); e ancora, “in attuazione del disposto dell’articolo 117, secondo comma, lettera r), della Costituzione, lo Stato disciplina il coordinamento informatico dei dati dell’amministrazione statale, regionale e locale, dettando anche le regole tecniche necessarie per garantire la sicurezza e l’interoperabilità dei sistemi informatici e dei flussi informativi per la circolazione e lo scambio dei dati e per l’accesso ai (4) Il codice dell’amministrazione digitale definisce l’interoperabilità come “la caratteristica di un sistema informativo, le cui interfacce sono pubbliche e aperte, di interagire in maniera automatica con altri sistemi informativi per lo scambio di informazioni e l’erogazione di servizi” (art. 1, comma 1, lett.dd).
PRASSI servizi erogati in rete dalle amministrazioni medesime” (art. 14, comma 1). Anche il principio del riuso delle soluzioni tecnologiche adottate dalla P.A. è enunciato nel CAD, all’art. 69 (5), secondo cui le pubbliche amministrazioni, titolari di soluzioni e programmi informatici realizzati su specifiche indicazioni del committente pubblico, hanno l’obbligo di rendere disponibile il relativo codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta, in uso gratuito ad altre pubbliche amministrazioni: inoltre, nei capitolati o nelle specifiche di progetto, è previsto, salvo che ciò risulti eccessivamente oneroso per comprovate ragioni di carattere tecnico-economico, che l’amministrazione committente sia sempre titolare di tutti i diritti sui programmi e i servizi delle tecnologie dell’informazione e della comunicazione, appositamente sviluppati per essa. Tuttavia, anche questo tipo di soluzione ha dei “contra”, che possono essere individuati soprattutto nei costi iniziali di dismissione delle tecnologie proprietarie e nell’investimento in analisi del fabbisogno e progettazione.
3. Il ruolo del responsabile per la transizione digitale negli appalti ad oggetto tecnologico
Alla progettazione e all’analisi del fabbisogno, finalizzata alla programmazione e razionalizzazione degli acquisti pubblici di tecnologia, è collegata la figura del responsabile per la transizione digitale della P.A. (RDT), di cui all’art. 17 del CAD. La norma in questione ha istituito l’obbligo per ciascuna P.A. di garantire la propria digitalizzazione attraverso l’istituzione di un ufficio dirigenziale generale per la transizione digitale, di cui sono individuate in modo dettagliato competenze e funzioni. La norma, più volte rimaneggiata, con l’ultimo correttivo di cui al d.lgs. 13 dicembre 2017 n. 217, è stata ru-
(5) Art. 69 - Riuso delle soluzioni e standard aperti. 1. Le pubbliche amministrazioni che siano titolari di soluzioni e programmi informatici realizzati su specifiche indicazioni del committente pubblico, hanno l’obbligo di rendere disponibile il relativo codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta, in uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano adattarli alle proprie esigenze, salvo motivate ragioni di ordine e sicurezza pubblica, difesa nazionale e consultazioni elettorali. 2. Al fine di favorire il riuso dei programmi informatici di proprietà delle pubbliche amministrazioni, ai sensi del comma 1, nei capitolati o nelle specifiche di progetto è previsto, salvo che ciò risulti eccessivamente oneroso per comprovate ragioni di carattere tecnico-economico, che l’amministrazione committente sia sempre titolare di tutti i diritti sui programmi e i servizi delle tecnologie dell’informazione e della comunicazione, appositamente sviluppati per essa. 2-bis. Al medesimo fine di cui al comma 2, il codice sorgente, la documentazione e la relativa descrizione tecnico funzionale di tutte le soluzioni informatiche di cui al comma 1 sono pubblicati attraverso una o più piattaforme individuate dall’AgID con proprie Linee guida.
bricata “Responsabile per la transizione digitale e difensore civico digitale”. In particolare, al comma 1 è stata introdotta la lettera j-bis, che attribuisce al responsabile per la transizione digitale specifici compiti relativi proprio alla pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, al fine di garantirne la compatibilità con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel Piano Triennale per l’Informatica nella P.A. Nonostante la centralità del ruolo del RDT, molte P.A. non hanno ancora provveduto ad istituire l’ufficio, od a conferire le relative funzioni. Da ultimo, il Ministro per la Pubblica Amministrazione ha adottato la circolare n. 3 del 1 ottobre 2018, al fine di sollecitare le P.A. all’attuazione dell’obbligo previsto dall’art. 17 del CAD, sottolineando l’importanza della figura del RTD, e soffermandosi sugli aspetti relativi alla nomina.
4. Il Piano Triennale per l’informatica nella PA 2019-2021
Il piano Triennale per l’informatica nella P.A. 20192021 (6), approvato dal Ministro per la Pubblica Amministrazione lo scorso 11 marzo 2019, è il secondo piano triennale adottato in Italia dopo quello per il triennio 2017-2019, e rappresenta lo strumento fondamentale attraverso cui viene promossa ed attuata la trasformazione digitale del paese. Il nuovo Piano Triennale, immediata derivazione dell’Agenda Digitale europea, che a sua volta è parte della strategia di sviluppo Europa 2020, si caratterizza proprio per la marcata prospettiva europea nella programmazione dell’evoluzione digitale nazionale, e prevede delle azioni specifiche che hanno come punto di partenza gli appalti pubblici, ritenuti momento fondamentale per l’efficienza e la qualità dei servizi pubblici. Le recenti COM (2017) 572 “Appalti pubblici efficaci in Europa e per l’Europa” e la Notice 3051 (2018) “Guidance on Innovation procurement”, focalizzano l’attenzione sull’attuazione pratica e intelligente delle nuove norme per gli appalti di innovazione, fornendo suggerimenti operativi agli Stati membri e, a cascata, alle amministrazioni.
4.1. Funzioni ed obiettivi in materia di appalti pubblici innovativi
Nell’affrontare in modo trasversale tutte le tematiche relative alla crescita digitale del paese, il Piano triennale si occupa del settore degli appalti pubblici, sia sotto il (6) Cfr. Le Procedure Telematiche d’acquisto nel nuovo Piano Triennale per l’informatica nella P.A. in Osservatorio su Appalti Pubblici e informatica di Elio Guarnaccia, di questa Rivista, all’indirizzo <http://dirittodiinternet.idna.it/appaltipub/>.
DIRITTO DI INTERNET N. 3/2019
607
PRASSI profilo delle procedure elettroniche di acquisto, sia sotto il profilo dell’approvvigionamento di beni e servizi informatici nella P.A. Quanto al secondo profilo, che qui ci occupa, il Piano contiene il capitolo 10.1, denominato “La piattaforma per il procurement dell’innovazione”, in cui le amministrazioni pubbliche sono chiamate ad attuare progetti ad elevato contenuto di innovazione, volti non soltanto alla razionalizzazione dei costi di gestione ed alla modernizzazione dei servizi, ma anche al rafforzamento di un processo di trasformazione dei servizi pubblici offerti a cittadini e imprese. Il capitolo contiene una serie di raccomandazioni, peraltro già presenti nel Piano Triennale 2017-2019, destinate alla realizzazione di appalti ad elevato grado di innovazione. Di rilievo l’invito a valutare l’opportunità di svolgere consultazioni di mercato preliminarmente all’avvio della procedura di appalto, che dunque, come sopra detto, diventa elemento ricorrente ed irrinunciabile negli appalti di ICT. Inoltre, di grande rilevanza è l’invito a valutare l’opportunità di definire l’oggetto dell’appalto privilegiando la specificazione della domanda (cioè del “problema” che si intende affrontare), e non la specificazione dell’offerta, allo scopo di dare adeguato spazio alla proposizione di offerte innovative. Infine, il Piano raccomanda alla PA di adottare le specifiche procedure di appalto, già previste dal Codice Contratti, che meglio si adattano all’acquisto pubblico di innovazione, quali il dialogo competitivo, il partenariato per l’innovazione, gli appalti precommerciali.
4.2. Dialogo competitivo
Tra gli strumenti idonei agli appalti di innovazione, nel piano triennale ICT 2019-2021 come detto si fa riferimento anche al dialogo competitivo. Il dialogo competitivo è una procedura di gara vera e propria, che il Codice dei Contratti prevede all’art. 64, ponendolo quale alternativa, ma comunque sullo stesso piano, del partenariato per l’innovazione, nonché delle ordinarie tipologie di gara, ovvero procedura aperta, procedura ristretta e procedura negoziata. Nel sistema previgente, ai sensi dell’art. 58 del vecchio Codice Contratti di cui al d.lgs. n. 163/2006, il dialogo competitivo era uno strumento adottabile solo per gli appalti particolarmente complessi, ossia quando la stazione appaltante non fosse oggettivamente in grado di definire i mezzi tecnici per soddisfare le sue necessità o i suoi obiettivi. Nel nuovo sistema degli appalti pubblici adottato con il d.lgs. n. 50/2016, il dialogo competitivo ha una seconda chance, in applicazione di quanto previsto dalla direttiva europea n. 2014/24/UE, che al considerando
608
DIRITTO DI INTERNET N. 3/2019
42 sottolineava la necessità di una maggiore flessibilità nella scelta di procedure di appalto che permettessero la negoziazione con i privati, alla luce dei risultati positivi che il dialogo competitivo aveva registrato in termini di valore contrattuale negli anni passati, rivelandosi “utile nei casi in cui le amministrazioni aggiudicatrici non sono in grado di definire i mezzi atti a soddisfare le loro esigenze o di valutare ciò che il mercato può offrire in termini di soluzioni tecniche, finanziarie o giuridiche” (7). A cascata, a livello di normazione nazionale, l’ambito di applicazione è stato ridisegnato, estendendone l’adottabilità anche ai casi in cui le esigenze dell’amministrazione aggiudicatrice perseguite con l’appalto non possono essere soddisfatte da soluzioni immediatamente disponibili, o quando implicano soluzioni innovative o, ancora, quando le specifiche tecniche non possono essere stabilite con sufficiente precisione dall’amministrazione aggiudicatrice con riferimento a una norma, una valutazione tecnica europea, una specifica tecnica comune o un riferimento tecnico (8). Secondo quanto previsto dall’art. 64 del codice dei contratti, la procedura del dialogo competitivo risulta particolarmente adatta a contrastare la diffusa asimmetria informativa tra concorrenti e stazione appaltante. La P.A. che intende avviare un dialogo competitivo, deve indicare nel bando le proprie esigenze ed i requisiti richiesti. A seguito delle richieste di partecipazione, la stazione appaltante invita gli operatori economici che posseggono le informazioni ed i requisiti previsti dal bando, ed avvia con essi un dialogo su tutti gli aspetti dell’appalto, finalizzato all’individuazione e alla definizione dei mezzi più idonei a soddisfare le proprie necessità. L’appalto oggetto del dialogo competitivo sarà dunque aggiudicato sulla base del criterio dell’offerta con il miglior rapporto qualità/prezzo, conformemente all’articolo 95, comma 6, ferma restando la facoltà per la stazione appaltante di prevedere premi o pagamenti per i partecipanti al dialogo che non sono risultati vincitori.
4.3. Partenariato per l’innovazione
Come il dialogo competitivo, anche il partenariato per l’innovazione è previsto dal Codice Contratti tra le procedure ordinarie di scelta del contraente, ed è, come sopra detto, menzionato dal vigente Piano Triennale come volano per gli appalti pubblici innovativi. Il partenariato per l’innovazione è stato introdotto dalla direttiva 2014/24/EU, poi recepita nel nuovo Codice dei contratti all’art. 65, per le ipotesi in cui l’esigenza della PA di sviluppare prodotti, servizi o lavori innovati (7) Considerando 42 della Direttiva Europea n. 2014/24/UE. (8) Art. 59 del d.lgs. n. 50/2016.
PRASSI vi e di acquistare successivamente le forniture, i servizi o i lavori che ne risultano, non può, in base a una motivata determinazione, essere soddisfatta ricorrendo a soluzioni già disponibili sul mercato. Le forniture, servizi o lavori che ne risultano, devono, però, corrispondere ai livelli di prestazioni e ai costi massimi concordati tra le stazioni appaltanti ed i partecipanti. La procedura si apre con la fase di selezione dei partners, scelti tra tutti coloro che hanno avanzato domanda di partecipazione. Successivamente, si avvia la negoziazione vera e propria, anche con più operatori economici contemporaneamente, che condurranno attività di ricerca e sviluppo separate. La negoziazione è strutturata in fasi successive, secondo la sequenza delle fasi del processo di ricerca e di innovazione, cadenzate da obiettivi intermedi che le parti devono raggiungere, e dal pagamento della remunerazione mediante congrue rate. In base a questi obiettivi, l’amministrazione aggiudicatrice può decidere, dopo ogni fase, di risolvere il partenariato o, nel caso di più operatori, di ridurne il numero risolvendo singoli contratti, a condizione che essa abbia indicato nei documenti di gara tali possibilità e le condizioni per avvalersene. Come il dialogo competitivo, anche il partenariato per l’innovazione è aggiudicato sulla base del criterio dell’offerta con il miglior rapporto qualità/prezzo.
4.4. Appalti pre-commerciali
Tra gli strumenti di attuazione degli obiettivi di procurement innovativo previsti dal Codice dei Contratti, e contemplati dal Piano Triennale per l’informatica nella PA 2019 – 2021 si annoverano, insieme al dialogo competitivo ed al partenariato per l’innovazione, anche gli appalti pre-commerciali. Gli appalti pre-commerciali, già inseriti nell’Agenda Digitale Italiana (decreto legge 9 febbraio 2012 n. 5, come modificato dal d.lgs. 26 agosto 2016 n. 179) e definiti nella comunicazione della Commissione europea COM 799 (2007) del 14 dicembre 2007, costituiscono uno strumento di contrattazione pubblica nell’ambito dei servizi di ricerca e sviluppo, tipizzato dall’art. 158 comma 2 del Codice dei contratti pubblici di cui al d.lgs. n. 50/2016. L’art. 158, al primo comma, individua espressamente gli appalti di ricerca e sviluppo rientranti nell’ambito di applicazione oggettivo del codice dei contratti pubblici, alla condizione che i risultati di tali appalti appartengano esclusivamente alle stazioni appaltanti e che le attività di ricerca e sviluppo siano da esse esclusivamente finanziati. Al secondo comma invece, la norma prevede che, nelle ipotesi in cui le pubbliche amministrazioni abbiano esigenze specifiche che non possono essere soddisfatte con
soluzioni già presenti sul mercato, le stazioni appaltanti possono servirsi degli appalti pre-commerciali, destinati al conseguimento di risultati che non apparterranno in via esclusiva all’amministrazione aggiudicatrice e per i quali la prestazione del servizio non è interamente retribuita dall’amministrazione aggiudicatrice, a differenza degli appalti di ricerca e sviluppo di cui al comma 1. La norma precisa che tale tipologia di appalto non ricade nell’ambito oggettivo di applicazione del Codice dei contratti pubblici di cui al d.lgs. n. 50/2016, ferma restando l’applicazione dei principi generali di cui all’articolo 4 del Codice. Gli appalti pre-commerciali hanno ad oggetto prevalente servizi di ricerca e sviluppo tecnologico, e prevedono la condivisione dei rischi e dei benefici alle condizioni di mercato tra acquirente pubblico e soggetti aggiudicatari. L’obiettivo di tale strumento è lo sviluppo di soluzioni innovative, per l’appunto non presenti sul mercato, a partire dall’ideazione fino allo sviluppo iniziale, di quantità limitate di prodotti o servizi sperimentali, idonee a fornire soluzioni a problemi irrisolti e tecnologicamente complessi, posti dall’acquirente pubblico. Gli ambiti per i quali è possibile fare ricorso agli appalti pre-commerciali sono normativamente definiti dall’art. 19 comma 1 del d.lgs. n. 179/2012 e riguardano lo sviluppo delle comunità intelligenti, la produzione di beni pubblici rilevanti, la rete a banda ultralarga, fissa e mobile e i relativi servizi, la valorizzazione digitale dei beni culturali e paesaggistici, la sostenibilità ambientale, i trasporti e la logistica, la difesa e la sicurezza. Gli ulteriori ambiti nei quali l’appalto pre-commerciale può rappresentare un utile, efficace e legittimo strumento di incentivo per lo sviluppo delle conoscenze scientifiche e tecnologiche sono sicuramente quello sanitario e quello dell’efficientamento energetico. Inoltre, al fine di agevolarne l’utilizzo, l’AgID, ai sensi dell’art. 19 del d.lgs. n. 179/2012, offre il proprio supporto alle P.A. che intendono realizzare appalti pre-commerciali, fungendo anche da centrale di committenza per la loro aggiudicazione.
5. Acquisti di software: la valutazione comparativa ex art. 68 CAD
L’importanza della progettazione e della valutazione comparativa delle soluzioni, nell’ambito degli acquisti ICT della P.A., ha fatto si che, nel settore specifico dell’acquisto di software, essa costituisse un obbligo previsto dal Codice dell’Amministrazione Digitale. L’art 68 del d.lgs. n. 82/2005, infatti, prevede l’obbligo per le P.A. di acquisire programmi informatici a seguito di una valutazione comparativa di tipo tecnico economico che tenga conto da un lato, delle varie soluzioni
DIRITTO DI INTERNET N. 3/2019
609
PRASSI presenti sul mercato (9), e dall’altro, del costo complessivo del programma, del livello di utilizzo di formati di dati e di interfacce di tipo aperto, nonché di standard in grado di assicurare l’interoperabilità e la cooperazione applicativa tra i diversi sistemi informatici della pubblica amministrazione, oltre che delle garanzie del fornitore in materia di livelli di sicurezza, conformità alla normativa in materia di protezione dei dati personali, e livelli di servizio tenuto conto della tipologia di software acquisito. Solo quando dalla valutazione comparativa risulti l’impossibilità di accedere a soluzioni già disponibili all’interno della pubblica amministrazione, a software libero, od a codice sorgente aperto, adeguati alle esigenze da soddisfare, è consentita l’acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d’uso, previa adeguata motivazione.
5.1. Le Linee Guida AgID 2019 sul riuso software per la pubblica amministrazione
Con la determinazione n. 115 del 9 maggio 2019, AgiD ha adottato le “Linee guida su acquisizione e riuso di software per le pubbliche amministrazioni”, che hanno sostituito la Circolare n. 63/2013, recante “Linee Guida per la Valutazione Comparativa”. Le linee guida sono state adottate in attuazione degli artt. 68 e 69 del Codice dell’amministrazione digitale, che sanciscono rispettivamente l’obbligo per le pubbliche amministrazioni che intendono acquisire software di svolgere una valutazione comparativa tra più soluzioni, e l’obbligo per le pubbliche amministrazioni proprietarie di soluzioni e programmi informatici realizzati ad hoc, di metterli a disposizione, in uso gratuito, delle altre amministrazioni. Sebbene le Linee Guida siano state emanate solo di recente, la tematica del riuso, come detto, non è una novità nello scenario della PA digitale. Rispetto alla disciplina originaria, sono comunque state introdotte delle novità che riguardano la sostituzione del catalogo del software con la piattaforma “Developers Italia”, e la possibilità di accedere al riuso del software senza bisogno di una apposita convenzione. Le linee guida adottate da AgID si pongono in continuità anche con quanto previsto dal Piano Triennale per l’informatica nella Pubblica Amministrazione il quale, a proposito di riuso delle soluzioni software individua tre importanti direttrici su cui la PA deve muoversi: la creazione di communities all’interno delle quali condividere e riutilizzare software opensource, lo sviluppo di modelli (9) Ai sensi dell’art. 68 del CAD, le soluzioni da sottoporre a valutazione comparativa sono: software sviluppato ad hoc per la P.A., riuso di software già realizzato per la P.A., software open source, software in cloud, software proprietario e software combinazione di queste soluzioni.
610
DIRITTO DI INTERNET N. 3/2019
di business intorno all’utilizzo di tali soluzioni aperte, il raggiungimento di obiettivi quali il risparmio di spesa e la riduzione dei tempi di gestione. È di tutta evidenza come le norme in questione e le Linee guida attuative incidano nei processi di acquisto di software per la PA. In questo schema procedimentale, infatti, l’acquisto non è la necessaria conseguenza del fabbisogno di software della pubblica amministrazione, diventando solo una delle soluzioni prospettabili. L’obiettivo è chiaramente quello di migliorare l’efficienza e l’economicità dell’azione amministrativa, promuovendo l’uso di software già sviluppato e in uso alla PA, attraverso il riuso, ovvero l’utilizzo di software open source, e cercando di ridurre al minimo le ipotesi di approvvigionamento di software proprietario, anche al fine di evitare l’insorgenza del fenomeno del lock-in. È proprio alla valutazione comparativa che le Linee guida si dedicano in apertura: tale valutazione obbligatoria viene sottoposta ad una vera e propria operazione di “scomposizione” in varie fasi interdipendenti tra loro, che guidano l’amministrazione nell’analisi delle soluzioni, fino all’adozione della best option in tema di acquisizione di software. La prima valutazione deve riguardare la possibilità di accedere al riuso del software, tenendo comunque conto delle implicazioni in materia di privacy e dei requisiti di interoperabilità dei sistemi previsti dal CAD. Ove il riuso non fosse una soluzione praticabile, la PA dovrà procedere al vaglio di soluzioni opensource o realizzate ad hoc; successivamente, solo laddove le precedenti soluzioni non fossero idonee a soddisfare il suo fabbisogno, l’ente pubblico potrà prendere in considerazione la possibilità di acquistare software proprietario, dovendo quindi motivare la sua scelta. Nell’ipotesi in cui la PA, invece, opti per la realizzazione ad hoc del software, le Linee guida AgID, riprendendo quanto previsto dall’art. 68 del CAD, raccomandano l’inserimento nel bando di gara della clausola secondo cui il software elaborato deve rimanere nella proprietà della PA. Tale modus operandi è preordinato ad innescare un vero e proprio circolo virtuoso: la P.A. committente di un software ad hoc ne diventa proprietaria e sarà in grado di renderlo disponibile gratuitamente alle altre P.A. in riuso. Quanto agli strumenti di approvvigionamento di software, le Linee guida AgID indicano i mercati elettronici, le convenzioni Consip e gli accordi quadro, nonché la piattaforma Developers Italia, chiarendo che, comunque, la soluzione del riuso deve sempre essere valutata, anche quando l’approvvigionamento tramite convenzioni o accordi quadro sia previsto come obbligatorio dalla legge.
PRASSI Proprio la piattaforma Developers Italia rappresenta il punto di accesso al riuso, sia per i soggetti in possesso di software da mettere a disposizione, sia per le PA alla ricerca di soluzioni software: la piattaforma funge, infatti, da motore di ricerca dei software che risiedono nei siti pubblici di code hosting. Per la “indicizzazione” all’interno della piattaforma di un repository di codice sarà necessario inserire all’interno di esso un file di metadati nominato “publiccode.yml”, contenente informazioni descrittive quali la funzionalità del software, i requisiti, l’ente titolare, le informazioni sulla manutenzione, gli ambiti di utilizzo, e la compliance alla normativa.
cloud prima di qualsiasi altra tecnologia, tenendo conto anche della necessità di prevenire il rischio di lock-in. Dovranno altresì valutare il ricorso al cloud di tipo pubblico, privato o ibrido in relazione alla natura dei dati trattati e ai relativi requisiti di confidenzialità. In continuità con il precedente Piano Triennale (20172019) che aveva elaborato la strategia “Cloud della P.A.”, il nuovo Piano Triennale ha realizzato un cloud marketplace, ed ha emanato le circolari per la qualificazione dei servizi cloud e dei cloud service provider, dando attuazione alla sopradetta strategia Cloud della P.A.
6. L’acquisto di servizi in cloud
Da ultimo, le Circolari AgID n. 2 e 3 del 9 aprile 2018 sanciscono, all’art. 9, l’obbligo di acquisto di servizi cloud da CSP qualificato, a partire dal 1 aprile 2019, dopo una serie di proroghe. Esse descrivono, inoltre il procedimento di qualificazione, sia dei servizi cloud che dei CSP. L’offerta di servizi cloud e i CSP qualificati confluiscono poi sul Cloud Marketplace, che consente alle amministrazioni di consultare e confrontare le infrastrutture e i servizi cloud qualificati per la P.A. sulla base di parametri tecnici e funzionali, rimandando la fase di acquisizione agli strumenti previsti dalla normativa vigente. A CONSIP spetta il compito di abilitare l’accesso a tutti i propri strumenti di acquisto (mercato elettronico, convenzioni, accordi quadro, sistema dinamico di acquisto) ai soli Cloud Service Provider che erogano servizi IaaS, PaaS e SaaS qualificati da AgID.
Il cloud computing è un modello di infrastruttura informatica che consente di disporre, tramite internet, di un insieme di risorse di calcolo erogabili come un servizio, e che consente altresì la semplificazione della gestione dei sistemi informativi oltre che favorire l’interoperabilità tra i sistemi della P.A.. Tra le peculiarità, che d’altronde costituiscono anche i punti di forza di questa tecnologia, l’adozione del modello cloud consente l’aggiornamento contemporaneo di infrastruttura ed applicazioni, permette di usufruire delle applicazioni anche da remoto e da qualsiasi dispositivo, riduce i rischi legati alla gestione della sicurezza delle infrastrutture IT, consente di realizzare importanti economie nell’utilizzo del software tramite il modello “pay per use”, evitando investimenti iniziali nell’infrastruttura e costi legati alle licenze di utilizzo, ed infine riduce i costi collegati al mantenimento dell’infrastruttura hardware. Per tali ragioni, gli acquisti pubblici di servizi ICT in cloud stanno aumentando vertiginosamente. I servizi cloud si dividono normalmente in tre tipologie: software-as-a-service (SaaS): applicazioni software accessibili tramite Internet sfruttando diverse tipologie di dispositivi; platform-as-a-service (PaaS): piattaforme per sviluppare, testare e distribuire le applicazioni su internet; infrastructure-as-a-service (IaaS): l’infrastruttura tecnologica fisica e virtuale in grado di fornire risorse di computing, networking e storage da remoto senza la necessità di acquistare hardware.
6.2. L’obbligo di acquisto di servizi cloud da CSP qualificati da Agid
6.1. Il principio del “cloud first” nel Piano Triennale 2019-2021
Il Piano Triennale ICT nella P.A. 2019-2021 inserisce, tra gli obiettivi strategici per la trasformazione digitale del Paese, il principio del cd. cloud first, secondo il quale le pubbliche amministrazioni, in fase di definizione di un nuovo progetto, o di sviluppo di nuovi servizi, in via prioritaria devono valutare l’adozione del paradigma
DIRITTO DI INTERNET N. 3/2019
611