Diritto di Internet 4-2019 by Pacini Editore

@ Diritto Mercato Tecnologia di Alberto M. Gambino - @ Diritto costituzionale telematico di Alfonso Celotto e Giovanna Pistorio - @ Privacy e Garante per la protezione dei dati personali di Bruno Inzitari con Valentina Piccinini - @ AGCom (Autorità per le Garanzie nelle Comunicazioni) di Mario Morcellini - @ AGID (Agenzia per l’Italia Digitale) di Alfonso Contaldo - @ AGCM (Autorità Garante della Concorrenza e del Mercato) di Antonio Catricalà con Carlo Edoardo Cazzato - @ Data protection e data governance di Pierluigi Perri - @ Odio, cyberbullismo, cyberstalking e discriminazioni online di Giovanni Ziccardi - @ Contratti informatici di Lucilla Gatt e Ilaria Caggiano - @ Smart contract e negoziazione algoritmica di Francesco Di Ciommo - @ Consumatori di Giovanna Capilli e Massimiliano Dona - @ Intellectual property e digital rights di Giuseppe Cassano - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto civile) di Mariangela Ferrari - @ Gioco a distanza di Alessandro Orlandi - @ Cybercrime di Lorenzo Picotti con Roberto Flor - @ Reati in Internet di Vittorio Manes e Francesco Mazzacuva - @ Responsabilità penale dell’internet provider di Adelmo Manna - @ Digital evidence nel procedimento penale di Luca Lupària con Marco Pittiruti - @ Internet come strumento, occasione o contesto per nuove modalità di lesione (diritto penale) di Francesco G. Catullo - @ Amministrazione digitale di Fernanda Faini e Marco Mancarella - @ Appalti pubblici e informatica di Elio Guarnaccia - @ Diritto del lavoro e nuove tecnologie di Roberto Pessi e Raffaele Fabozzi - @ Diritto tributario digitale e fiscalità dell’economia digitale di Andrea Carinci - @ Diritto internazionale, europeo e comparato di Giovanni Maria Riccio - @ Tecnologie emergenti di Fulvio Sarzana di S. Ippolito - @ Intelligenza artificiale e robotica di Bruno Tassone e Guido Scorza - @ Automazione di Stefano Pellegatta - @ Applicazione del GDPR di Vincenzo Colarocco - @ Processo Telematico di Maurizio Reale - @ Legal-Tech di Giuseppe Vaciago - @ Prova informatica di Donato Eugenio Caccavella - @ Informatica Giuridica di Michele Iaselli - @ Convegni, Recensioni, Spigolature

Il comitato dei Tecnici Luca Attias, Paolo Cellini, Massimo Chiriatti, Cosimo Comella, Gianni Dominici, Corrado Giustozzi, Giovanni Manca, Michele Melchionda, Luca Tomassini, Andrea Servida, Carlo Mochi Sismondi, Giuseppe Virgone

Il comitato editoriale Eleonora Addante, Denise Amram, Stefano Aterno, Livia Aulino, Fabio Baglivo, Francesca Bailo, Mauro Balestrieri, Elena Bassoli, Ernesto Belisario, Maria Letizia Bixio, Luca Bolognini, Chantal Bomprezzi, Simone Bonavita, Francesco Brugaletta, Leonardo Bugiolacchi, Luigi Buonanno, Donato Eugenio Caccavella, Giandomenico Caiazza, Luca Antonio Caloiaro, Alessia Camilleri, Stefano Capaccioli, Giovanna Capilli, Domenico Capra, Mario Capuano, Diana Maria Castano Vargas, Francesco Giuseppe Catullo, Aurora Cavo, Carlo Edoardo Cazzato, Francesco Celentano, Federico Cerqua, Celeste Chiariello, Antonio Cilento, Donatello Cimadomo, Giuseppe Colangelo, Vincenzo Colarocco, Alfonso Contaldo, Mariarosaria Coppola, Fabrizio Corona, Francesca Corrado, Gerardo Costabile, Stefano Crisci, Luca D’Agostino, Vittoria D’Agostino, Gaspare Dalia, Eugenio Dalmotto, Antonio Davola, Edoardo De Chiara, Maurizio De Giorgi, Paolo De Martinis, Maria Grazia Della Scala, Mattia Di Florio, Francesco Di Giorgi, Giovanni Di Lorenzo, Sandro Di Minco, Massimiliano Dona, Giulia Escurolle, Caterina Esposito, Alessandro Fabbi, Raffaele Fabozzi, Alessandra Fabrocini, Fernanda Faini, Pietro Falletta, Mariangela Ferrari, Roberto Flor, Federico Freni, Maria Cristina Gaeta, Fabrizio Galluzzo, Davide Gianti, Carmelo Giurdanella, Chiara Graziani, Raffaella Grimaldi, Paola Grimaldi, Elio Guarnaccia, Pierluigi Guercia, Ezio Guerinoni, Aldo Iannotti Della Valle, Michele Iaselli, Alessandro Iodice, Daniele Labianca, Luigi Lambo, Katia La Regina, Alessandro La Rosa, Jacopo Liguori, Andrea Lisi, Matteo Lupano, Armando Macrillò, Domenico Maffei, Angelo Maietta, Marco Mancarella, Amina Maneggia, Daniele Marongiu, Carmine Marrazzo, Silvia Martinelli, Marco Martorana, Corrado Marvasi, Dario Mastrelia, Francesco Mazzacuva, Stefano Mele, Ludovica Molinario, Anita Mollo, Andrea Monti, Roberto Moro Visconti, Davide Mula, Simone Mulargia, Antonio Musio, Sandro Nardi, Gilberto Nava, Raffaella Nigro, Romano Oneda, Alessandro Orlandi, Angelo Giuseppe Orofino, Roberto Panetta, Giorgio Pedrazzi, Stefano Pellegatta, Flaviano Peluso, Pierluigi Perri, Alessio Persiani, Edoardo Pesce, Valentina Piccinini, Marco Pierani, Giovanna Pistorio, Marco Pittiruti, Federico Ponte, Francesco Posteraro, Eugenio Prosperetti, Maurizio Reale, Nicola Recchia, Federica Resta, Giovanni Maria Riccio, Alessandro Roiati, Angelo Maria Rovati, Rossella Sabia, Alessandra Salluce, Ivan Salvadori, Alessandro Sammarco, Alessandra Santangelo, Fulvio Sarzana di S.Ippolito, Emma Luce Scali, Roberto Scalia, Marco Schirripa, Marco Scialdone, Andrea Scirpa, Guido Scorza, Francesco Scutiero, Carla Secchieri, Massimo Serra, Serena Serravalle, Raffaele Servanzi, Irene Sigismondi, Giuseppe Silvestro, Matteo Siragusa, Rocchina Staiano, Samanta Stanco, Marcello Stella, Gabriele Suffia, Giancarlo Taddei Elmi, Bruno Tassone, Maurizio Tidona, Enzo Maria Tripodi, Luca Tormen, Giuseppe Trimarchi, Emilio Tucci, Giuseppe Vaciago, Matteo Verzaro, Luigi Viola, Valentina Viti, Giulio Votano, Raimondo Zagami, Alessandro Zagarella, Ignazio Zangara, Maria Zinno, Martino Zulberti, Antonio Dimitri Zumbo

Direttore scientifico Giuseppe Cassano

Diritto di Internet 4 2019

Gli osservatori on line <www.dirittodiinternet>

Ettore Battelli, Maurizio Bellacosa, Alberto M. Benedetti, Giovanni Bruno, Alberto Cadoppi, Ilaria Caggiano, Stefano Canestrari, Giovanna Capilli, Giovanni Capo, Andrea Carinci, Alfonso Celotto, Sergio Chiarloni, Antonio Cilento, Donatello Cimadomo, Renato Clarizia, Giuseppe Colangelo, Giovanni Comandè, Claudio Consolo, Pasquale Costanzo, Gaspare Dalia, Eugenio Dalmotto, Enrico Del Prato, Astolfo Di Amato, Francesco Di Ciommo, Giovanni Di Lorenzo, Fabiana Di Porto, Ugo Draetta, Giovanni Duni, Alessandro Fabbi, Raffaele Fabozzi, Valeria Falce, Mariangela Ferrari, Francesco Fimmanò, Giusella Finocchiaro, Carlo Focarelli, Vincenzo Franceschelli, Massimo Franzoni, Federico Freni, Tommaso E. Frosini, Maria Gagliardi, Cesare Galli, Alberto M. Gambino, Lucilla Gatt, Aurelio Gentili, Stefania Giova, Andrea Guaccero, Antonio Gullo, Bruno Inzitari, Luigi Kalb, Luca Lupária, Amina Maneggia, Vittorio Manes, Adelmo Manna, Arturo Maresca, Ludovico Mazzarolli, Raffaella Messinetti, Pier Giuseppe Monateri, Mario Morcellini, Antonio Musio, Raffaella Nigro, Angelo Giuseppe Orofino, Nicola Palazzolo, Giovanni Pascuzzi, Roberto Pessi, Valentina Piccinini, Lorenzo Picotti, Dianora Poletti, Alessandro Sammarco, Giovanni Sartor, Filippo Satta, Paola Severino, Caterina Sganga, Pietro Sirena, Giorgio Spangher, Giovanni Maria Riccio, Francesco Rossi, Elisa Scaroina, Serena Serravalle, Marcello Stella, Paolo Stella Richter, Giancarlo Taddei Elmi, Bruno Tassone, Giuseppe Trimarchi, Luigi Carlo Ubertazzi, Paolo Urbani, Romano Vaccarella, Daniela Valentino, Giovanni Ziccardi, Andrea Zoppini, Martino Zulberti

Issn: 2612-4491

Il comitato di referaggio

Comitato scientifico Michele Ainis Maria A. Astone Alberto M. Benedetti Giovanni Bruno Alberto Cadoppi Stefano Canestrari Giovanni Capo Andrea Carinci Antonio Catricalà Sergio Chiarloni Renato Clarizia Alfonso Celotto Giovanni Comandè Claudio Consolo Giuseppe Corasaniti Pasquale Costanzo Enrico Del Prato Astolfo Di Amato Ugo Draetta Francesco Di Ciommo Giovanni Duni Valeria Falce Francesco Fimmanò Giusella Finocchiaro Carlo Focarelli Giorgio Floridia Vincenzo Franceschelli Massimo Franzoni Tommaso E. Frosini Cesare Galli Alberto M. Gambino Lucilla Gatt Aurelio Gentili Andrea Guaccero Bruno Inzitari Luigi Kalb Luca Lupária Vittorio Manes Adelmo Manna Arturo Maresca Ludovico Mazzarolli Raffaella Messinetti Pier Giuseppe Monateri Mario Morcellini Nicola Palazzolo Giovanni Pascuzzi Roberto Pessi Lorenzo Picotti Francesco Pizzetti Dianora Poletti Giovanni Sartor Filippo Satta Paola Severino Pietro Sirena Antonello Soro Giorgio Spangher Paolo Stella Richter Luigi Carlo Ubertazzi Romano Vaccarella Daniela Valentino Giovanni Ziccardi Andrea Zoppini

Diritto di INTERNET

Digital Copyright e Data Protection RIVISTA TRIMESTRALE

2019 23 14 IN EVIDENZA

• Giudice robot. A pochi, tanti o a tutti i processi? • Contratti conclusi on line dal minore • Cripto-valute e riciclaggio • Geolocalizzazione delle chiamate di emergenza • Amazon e responsabilità per deviazione delle ricerche degli utenti

• Diritto all’oblio e Sezioni Unite • Sul valore di piena prova degli sms • Notificazioni a mezzo PEC di allegati illeggibili • Data retention e inutilizzabilità probatoria • Adeguatezza e proporzionalità nel sequestro di un sistema informatico

• Inesistenza del ricorso clone informatico • Il principio di appartenenza del DPO alla persona giuridica aggiudicataria del servizio

• Crowdfunding e problematiche Iva • Il captatore informatico Pacini

DIRITTO DI INTERNET • ANNO I

SOMMARIO ■■SAGGI DEMOCRAZIA E POTERE DEI DATI. A PROPOSITO DI UN RECENTE LIBRO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI di Giuliano Amato

615

QUANDO A DECIDERE IN MATERIA PENALE SONO (ANCHE) ALGORITMI E IA: ALLA RICERCA DI UN RIMEDIO EFFETTIVO di Giuseppe Contissa, Giulia Lasagni e Giovanni Sartor

619

LA LIBERTÀ DI INFORMAZIONE E DI ESPRESSIONE DEL PENSIERO NELL’ERA DELLA DEMOCRAZIA VIRTUALE E DEI GLOBAL SOCIAL MEDIA di Giulia Bazzoni

635

IL DIRITTO D’AUTORE ALLA PROVA DELLA REALTÀ DIGITALE. CONTENUTI PROTETTI E DIRITTO ALL’ACCESSO: UN BILANCIAMENTO DIFFICILE di Marco Iacopini

645

I CONTRATTI CONCLUSI ON LINE DAL MINORE di Michele Scotto Di Carlo

661

CRIPTO-VALUTE E RICICLAGGIO. MODUS OPERANDI E TENTATIVI REGOLATORI di Giulio Soana

671

■■GIURISPRUDENZA EUROPEA GEOLOCALIZZAZIONE DELLE CHIAMATE AL NUMERO UNICO DI EMERGENZA EUROPEO 112: OBBLIGHI DI STATI E IMPRESE NELL’ERA DIGITALE Corte di Giustizia UE; sezione IV; sentenza 5 settembre 2019, causa n. C-417/18 commento di Amina Maneggia

683 684

COMPARATA MOTORI DI RICERCA, PAROLE CHIAVE E PUBBLICITÀ ILLECITA ONLINE: IL BUNDESGERICHTSHOF TEDESCO CONDANNA AMAZON PER UTILIZZO INGANNEVOLE DI UN MARCHIO AL FINE DI DEVIARE LE RICERCHE DEGLI UTENTI VERSO PRODOTTI CONCORRENTI Bundesgerichtshof, Corte di Cassazione Federale; 25 luglio 2019 commento di Antonio Davola

697 701

CIVILE BUONA FEDE “INFORMALE” E NOTIFICAZIONI A MEZZO P.E.C. DI ALLEGATI ILLEGGIBILI Corte di Cassazione; sezione lavoro; sentenza 21 agosto 2019, n. 21560 commento di Mario Natale

709

IL DIRITTO ALL’OBLIO (ANZI, I DIRITTI ALL’OBLIO) SECONDO LE SEZIONI UNITE Corte di Cassazione; sezioni Unite Civili; sentenza 22 luglio 2019, n. 19681 commento di Dianora Poletti e Federica Casarosa

717

710

724

DIRITTO DI INTERNET N. 4/2019

613

DIRITTO DI INTERNET • ANNO I ANCHE GLI SMS POSSONO AVERE VALORE DI PIENA PROVA Corte di Cassazione; sezione I civile; ordinanza 17 luglio 2019, n. 19155 commento di Guido Bonzagni INIBITORIA DI OPERA IN VIOLAZIONE DEL DIRITTO D’AUTORE E COPIE IN VENDITA SU AMAZON ED EBAY Tribunale di Torino, sez. spec. imprese; sentenza 25 luglio 2019 n. 3736 commento di Marcello Stella LA DIFFAMAZIONE A MEZZO FACEBOOK E I DANNI RISARCIBILI Tribunale di Bologna, sezione III civile, sentenza 5 luglio 2019, n. 1605 commento di Luca Tormen

731 733 737 738 743 746

PENALE DATA RETENTION E PROCESSO PENALE. UN’OCCASIONE MANCATA PER PRENDERE I DIRITTI DAVVERO SUL SERIO Corte di Cassazione; sezione III; sentenza 23 agosto 2019, n. 36380 commento di Luca Lupària

753

IL VILIPENDIO COMMESSO SU FACEBOOK TRA VECCHIE E NUOVE PROBLEMATICHE Corte di Cassazione; sezione I penale; sentenza 13 agosto 2019, n. 35988 commento di Chiara Crescioli

765

ADEGUATEZZA E PROPORZIONALITÀ NEL SEQUESTRO DI UN SISTEMA INFORMATICO Corte di Cassazione; sezione VI; sentenza 2 luglio 2019, n. 31593 commento di Marco Pittiruti

775

L’ACCESSO ABUSIVO A SISTEMA INFORMATICO NELL’ERA DELLE TECNOLOGIE DELL’INFORMAZIONE E DELLA COMUNICAZIONE Corte di Cassazione; sezione V penale; sentenza 2 maggio 2019, n. 18284 commento di Jean-Paule Castagno e Andrea Alfonso Stigliano

757

767

777 783 785

AMMINISTRATIVA L’INESISTENZA DEL RICORSO CLONE INFORMATICO CGA Sicilia; ordinanza 11 settembre 2019, n. 615 commento di Paolo Clarizia

793

IL PRINCIPIO DI APPARTENENZA DEL DPO ALLA PERSONA GIURIDICA AGGIUDICATARIA DEL SERVIZIO T.a.r. Lecce; sezione III; sentenza 13 settembre 2019, n. 1468 commento di di Vincenzo Colarocco e Marta Cogode

799

793

802

■■PRASSI IL SUPERMERCATO INTELLIGENTE: PROFILI CIVILISTICI DELLA AUTOMAZIONE APPLICATA ALLA GRANDE DISTRIBUZIONE di Stefano Pellegatta 807

614

ASPETTI OPERATIVI DEI PROFILI IVA NEL CROWDFUNDING di Andrea Reale

813

IL CAPTATORE INFORMATICO. ATTESA DEL CONSOLIDAMENTO DELLA DISCIPLINA NORMATIVA E INTERPRETAZIONE DEL GARANTE di Giuseppe Vaciago e Nicole Monte

819

DIRITTO DI INTERNET N. 4/2019

SAGGI

Democrazia e potere dei dati. A proposito di un recente libro del garante per la protezione dei dati personali di Giuliano Amato Il presente scritto costituisce una riflessione introduttiva al testo del Garante per la protezione dei dati personali Antonello Soro, dal titolo «Democrazia e potere dei dati. Libertà, algoritmi, umanesimo digitale», pubblicato per l’editore Baldini + Castoldi nell’ottobre 2019. (1) This paper constitutes an introductory text to the book written by the President of the Italian Data Protection Authority, Antonello Soro, entitled «Democracy and power of data. Freedom, algorithms, digital humanism», published for Baldini + Castoldi in October 2019.

Non si spaventi il lettore davanti all’incipit di un libro che muove dalle affermazioni di Emanuele Severino sul trionfo imminente della tecnica nella vita degli uomini, sino al punto – ci viene profetizzato - di uccidere la democrazia e di portarci alla più rigorosa delle follie, quella di trascendere il limite della nostra stessa condizione umana. Non c’è infatti, in questo incipit, il terrorismo a volte praticato da chi sa nei confronti di coloro che non sanno, né c’è alcuna retrograda ripulsa dell’innovazione tecnologica, i cui formidabili benefici sono invece fuori discussione. C’è il benemerito intento di spiegare che il mondo larghissimamente nuovo in cui stiamo entrando presenta per ciò stesso dei rischi a cui non siamo abituati e dei quali dobbiamo essere consapevoli: per capirli e per imparare a difendercene, così come è sempre accaduto nella nostra lunghissima storia – ricorda acutamente l’autore – tutte le volte che nuovi poteri hanno portato a garantire nuove libertà. Certo, un ricercatore del S. Anna un libro sulle nuove tecnologie lo avrebbe scritto diversamente, spiegandoci magari, e con entusiasmo, i micro robot che entrano nei nostri corpi insieme alle medicine che ingeriamo, in modo da guidarle verso i punti malati in cui servono, concentrandone gli effetti su di essi ed evitando gli effetti collaterali. Qui pesa indubbiamente l’esperienza dell’autore, che è stato per anni alla guida della nostra Autorità per la Privacy, e che, in tale posizione, ha avuto modo di toccare con mano e di contrastare, almeno per la parte rientrante nelle sue competenze, i rischi che le nuove tecnologie portano con sé. Che ora condivida con noi ciò che tale esperienza gli ha insegnato, e che lo faccia con la ragionata e motivata pacatezza che il lettore (1) Il riferimento è al volume A. Soro, Democrazia e potere dei dati. Libertà, algoritmi, umanesimo digitale. Prefazione di Giuliano Amato. Baldini + Castoldi, 2019.

troverà nelle pagine di questo libro, può essere solo motivo di apprezzamento e di gratitudine. Sono tanti i temi trattati negli otto capitoli del libro, ma li si può ricondurre a tre profili fondamentali. Il primo è quello dei confini sempre meno protetti della privacy, dell’immagine di sé, dello stesso diritto di costruire liberamente se stessi. Il secondo è quello dell’inquinamento del dibattito democratico provocato da una rete in cui ciascuno può interagire con tutti, ma non c’è dialogo fra le diverse posizioni e ciascuno rimane chiuso nel recinto dei suoi giudizi (che sono spesso pregiudizi) e di chi li condivide. Il terzo è quello dei processi decisionali automatizzati, degli algoritmi e dei robot che non forniscono dati per decidere, ma decidono essi stessi. Ed è qui che abbiamo preso pericolosamente a veleggiare attorno alle colonne d’Ercole. Non c’è dubbio che quanto più si vive nella rete – essendo sempre connessi e svolgendo miriadi di attività quotidiane attraverso la stessa rete- tanto più si esibisce la propria vita privata e si rende per tale ragione irrealizzabile – e contraddittoria – la pretesa di veder rispettata la privacy come accadeva in passato. È un fatto però che le piattaforme di cui ci avvaliamo per veicolare i nostri messaggi sono dei grandi “hub” dai quali in primis chi li gestisce può captare dati su di noi e disporne poi a nostra insaputa. Ma non c’è solo questo –ci spiega l’autore- ci sono nuovi e specifici strumenti che hanno ingigantito i poteri, pubblici e privati, che già entravano nella nostra vita privata. Al punto di imporre, per quanto riguarda i pubblici, la riscrittura dei codici di procedura penale, visto che oggi, con un unico e non percepito atto di intrusione (in uno smartphone), si possono compiere azioni che esigerebbero ciascuna una singola autorizzazione del giudice: perquisizioni, pedinamenti, intercettazioni. Quanto ai poteri privati, si leggano nello Statuto dei lavoratori, una legge fondamentale di cinquant’anni fa,

DIRITTO DI INTERNET N. 4/2019

615

SAGGI le garanzie fornite agli stessi lavoratori nei confronti dei poteri di controllo dell’imprenditore; e ci si chieda se gli strumenti dei quali quei poteri dispongono oggi trovano in esse risposte adeguate. Per non parlare di ciò che i poteri (privati) della rete possono fare attraverso la mappatura dei nostri dati personali e i profili, ovvero l’immagine di noi che ne ricavano. E qui si va dal tormento di essere inseguiti per anni da un’immagine di sé deformata da dati inizialmente diffusi, che o sono cambiati o si sono addirittura rivelati inesatti e distorsivi; al caso, in diverso ambito, della giovane donna “profilata” come incinta e perseguitata da messaggi pubblicitari per donne incinte anche dopo che il suo bambino non era arrivato a vedere la luce. Il diritto all’oblio e al c.d. “delisting”, pur meritoriamente affermati in anni recenti in sede giurisprudenziale e regolatoria, copre solo una parte del tanto male che in questi modi si è fatto. L’autore pensa giustamente che i rischi per la democrazia dei quali si parla e si scrive scaturiscano anche da questo primo profilo, per l’esorbitanza dei poteri, pubblici e privati, che esso testimonia e perché in gioco ci sono qui i pre-requisiti della stessa democrazia, vale a dire non soltanto la libertà, ma anche la dignità della persona. La letteratura degli ultimi anni si è soffermata peraltro di più, in questa chiave, sul secondo profilo esaminato nel libro, vale a dire quello dell’uso della rete per interazioni che non creano dialogo, relazione, ma irrigidiscono caso mai contrapposizioni e addirittura ostilità. E qui si va dalle enclaves, dai fortini contrapposti da cui sparano l’una contro l’altra le varie posizioni politiche, sempre più chiuse in se stesse ed autoconvinte delle proprie ragioni, allo “hate speech” e al bullismo, che, in modi diversi, possono portare sino alla morte chi ne è vittima. Qui davvero sono in gioco i moduli fondamentali di funzionamento della democrazia, che sono il dialogo, l’equilibrio, la tolleranza, l’attenzione per le ragioni degli altri. Se davvero sono quelle che si formano in rete le formazioni intermedie dei nuovi tempi, allora la funzione a cui assolvono è esattamente opposta a quella educazione agli affari collettivi per cui le aveva valorizzate il Costituente. E sta venendo fuori, ahimè, anche qualcosa di più e di peggio, che attiene ai moduli fondamentali non della sola democrazia, ma della civiltà, che nei millenni era riuscita, se non ad estirpare, almeno a far recedere la violenza come forma di interazione privilegiata fra gli esseri umani. Non è detto che sia la rete la ragione di questa riemersione, sicuramente essa l’ha di molto facilitata. Certo si è che qui si apre un capitolo che –nota l’autore- ci costringe a scavare nel profondo delle nostre società e a riflettere su quelli che erano le sue strutture portanti, dalla famiglia alle istituzioni educative sino alle diverse matrici di quel fondamentale sen-

616

DIRITTO DI INTERNET N. 4/2019

so della misura, che è alla base, prima ancora che della democrazia, della convivenza pacifica fra noi. Non meno cruciale è il terzo profilo su cui il libro si chiude, nel quale è ancora in gioco il senso della misura e del limite, ma non nell’impasto ora constatato fra progresso tecnologico e riemersione di istinti violenti che la civiltà aveva compresso, bensì in chiave tutta e soltanto di progresso. È qui –come già si diceva- che dobbiamo infatti capire se davvero stiamo andando oltre le colonne d’Ercole. Sotto esame sono i confini a cui sta arrivando l’intelligenza artificiale, la quale è ormai in grado di utilizzare i precedenti, per predire ciò che potrà accadere, compresi i comportamenti che noi potremo tenere; e può addirittura avvalersi non solo dei precedenti, ma anche dell’esperienza che ha di fronte e che assorbe, per valutare essa stessa qual’ è la decisione migliore da prendere (sono in questo caso agli algoritmi self learning). Nessuno mette in dubbio l’uso degli algoritmi predittivi per prevedere quando e come potranno aver luogo terremoti, oppure effetti temuti del cambiamento climatico. Ma li si può parimenti utilizzare per predire circostanze che attengono alla vita o alla morte di singole persone, dalle probabilità di successo post-impianto di embrioni diversi a quelle di sopravvivenza di singoli pazienti, affidandosi alle loro risultanze per le decisioni da prendere? E come valutare, lungo questa strada, gli algoritmi e i robot che già ora cominciano a sostituire il giudice, ad esempio nella scelta della famiglia a cui affidare un bambino, ovvero nel valutare se ci sono le ragioni che giustificano la carcerazione preventiva, dal rischio di fuga a quello della reiterazione del reato? È facile dire, con la sufficienza e la superficialità di chi la sa sempre più lunga di quanto non sia, che vi sono giudici tanto sciatti da rendere addirittura desiderabile che decidano al loro posto intelligenze artificiali ben nutrite con i precedenti necessari. Ma è giusto a quel punto replicare come qui fa l’autore, e cioè che l’intelligenza artificiale, anche quando è self learning e quindi interpreta una nuova realtà, si basa sempre sulle conoscenze di cui è stata dotata; col che è e rimane decisiva l’intelligenza umana che ha provveduto a tale dotazione. Capita così che negli Stati Uniti il rischio di recidiva sia sempre più alto per gli imputati con la pelle nera che non per i bianchi. E qui, al di là dei pregiudizi dell’intelligenza umana a cui dobbiamo questa risultanza, emerge anche un profilo di fondo che rende inquietante la giustizia predittiva, specie in campo penale. Nella nostra civiltà giuridica le caratteristiche personali dell’imputato vengono in considerazione una volta accertato che quello che è stato commesso è un fatto reato e che a commetterlo è stata quella persona. La giustizia predittiva può generare una sorta di determinismo, che sposta il peso maggiore della decisione dall’esame del fatto e delle sue specificità alla personalità dell’autore.

SAGGI L’Europa resiste a questi sconvolgenti cambiamenti e fra i principi che ha cominciato ad adottare, tanto in sede di Unione che di Consiglio d’Europa, campeggia la necessità che, comunque, l’intelligenza artificiale sia strumento dell’uomo, e mai possa prenderne il posto; con la conseguenza che, in sede giudiziaria, ci sia sempre l’ultima parola del giudice. Sarà davvero bene che qui siano collocate colonne d’Ercole non ulteriormente spostabili. Ha scritto Remo Bodei –ce lo ricorda Antonello Soro nelle prime pagine del suo libro- che superare il limite non è più segno di umana tracotanza com’era per gli antichi greci; oggi è al contrario il maggior vanto dell’umanità. Nulla di male, così ha preso ad essere nel tempo, grazie all’intelligenza e al coraggio dei tanti che hanno accettato sfide prima di loro impraticabili, riuscendo a vincerle e a migliorare così le condizioni loro, quelle delle loro comunità o addirittura dell’umanità intera: nuove medicine, nuovi interventi chirurgici, staccarsi dalla terra e volare. Ma che la progressiva vittoria sull’ignoranza ci abbia permesso di superare limiti che proprio e solo all’ignoranza erano dovuti, non significa che tutti i limiti siano destinati a cadere. Per un credente sono invalicabili quelli che separano la creatura dal creatore, per un non credente sono quelli coessenziali alla condizione umana e al rispetto della dignità e della responsabilità che questa porta con sé. Sulla loro messa a fuoco si conclude questo libro. Che non chiude, perciò, ma apre una essenziale e salutare riflessione.

DIRITTO DI INTERNET N. 4/2019

617

SAGGI

Quando a decidere in materia penale sono (anche) algoritmi e IA: alla ricerca di un rimedio effettivo di Giuseppe Contissa, Giulia Lasagni, Giovanni Sartor Sommario: 1. Introduzione. – 2. Sistemi A/IA nella giustizia penale. – 2.1 Identificazione di potenziali reati e trasgressori. – 2.2 Valutazione individuale dei rischi. – 3. Valutazione automatizzata del rischio: quali limiti di utilizzo? – 4. Decisioni (parzialmente) automatizzate e equo processo: il diritto ad un ricorso effettivo. – 4.1 Diritto al ricorso effettivo e accesso alle informazioni. – 4.2 Diritto al ricorso effettivo e assenza di motivazione. – 4.3 Quale rimedio è davvero effettivo? – 5. Tutta colpa dell’intelligenza artificiale? Black box “umane” e processo penale. – 6. Verso un ricorso (davvero) effettivo: alcune proposte. L’articolo illustra i principali ambiti di applicazione dei sistemi predittivi e analizza il loro impatto sui diritti fondamentali e sui principi dell’equo processo, concentrandosi in particolare sulla definizione di ricorso effettivo applicabile contro decisioni assunte (anche) col supporto di sistemi algoritmici e di IA. The paper presents the main areas of application of predictive systems and analyses their impact on fundamental rights and fair trial principles. It focuses in particular on the definition of the right to an effective remedy against decisions taken (also) with the support of algorithmic and AI systems.

1. Introduzione

Gli algoritmi e l’intelligenza artificiale stanno progressivamente trasformando quasi tutte le attività umane e in particolare i processi decisionali, rendendoli dipendenti dalla loro capacità di registrare e elaborare informazioni. Secondo Balkin, in realtà, viviamo già in una società algoritmica, cioè una società organizzata intorno al processo decisionale automatizzato, in cui sono algoritmi e intelligenza artificiale (A/IA) a prendere le decisioni (1). A questa progressiva automazione sociale, si è aggiunto, negli ultimi anni, un cambiamento di paradigma nell’IA, che ha comportato l’adozione di nuovi metodi basati sulla conoscenza indotta dall’analisi dei dati. I tradizionali sistemi informatici di supporto alle decisioni, che utilizzavano le conoscenze specialistiche umane, trasferendole nel sistema attraverso rappresentazioni simboliche della conoscenza e dell’inferenza logica, sono stati integrati o sostituiti da sistemi IA basati sull’ap-

* Nonostante questo articolo sia frutto della riflessione comune degli autori, la stesura è stata ripartita come segue: Giuseppe Contissa §§ 2, 4.1, 4.2, 6 (prima parte, proposte tecnico-informatiche); Giulia Lasagni §§ 3, 4, 4.3, 5, 6 (seconda parte, proposte sul piano legale); Giovanni Sartor § 1. (1) Balkin, The three laws of robotics in the age of big data, in 78, Ohio State Law Journal, 2017, 1219.

prendimento automatico (machine learning), applicato a grandi masse di dati (i cosiddetti big data) (2). Il sistema, piuttosto che effettuare valutazioni e previsioni su un insieme di regole predefinite dal programmatore e trasferite direttamente negli algoritmi, costruisce automaticamente un suo modello del dominio a partire dell’analisi dei dati su cui è addestrato, sulla base di un algoritmo di apprendimento automatico. Usando tale modello, il sistema genera classificazioni, valutazioni e previsioni sui nuovi casi che gli sono sottoposti. Aggiornando e ampliando il set di dati, si migliorano automaticamente il modello e le capacità previsionali del sistema. Di conseguenza, il sistema A/IA è più semplice da sviluppare e solitamente superiore nelle prestazioni, ma né il suo funzionamento in generale, né le ragioni alla base di ciascuna decisione possono essere compiutamente spiegati per mezzo del codice sorgente, in quanto esso spiega solamente il funzionamento dell’algoritmo di apprendimento, ma non la configurazione finale del modello creato dal sistema stesso, che è alla base del suo funzionamento e quindi delle decisioni che assume.

(2) Con il termine “apprendimento automatico” si indicano gli approcci con cui i sistemi possono migliorare le loro prestazioni imparando automaticamente come eseguire compiti futuri attraverso l’osservazione (esperienza), cfr. Russell - Norvig, Artificial Intelligence. A Modern Approach, 3 ed. Prentice Hall, Englewood Cliffs, N. J., 2010.

DIRITTO DI INTERNET N. 4/2019

619

SAGGI In questo senso, tali sistemi possono essere considerati come black box (scatole nere) (3), cioè sistemi in cui input e output sono osservabili, mentre il funzionamento interno rimane oscuro perfino ai suoi stessi programmatori (4). Tale funzionamento assomiglia, quindi, a quello di un “oracolo”, ma, contrariamente ai suoi antichi predecessori, ad un oracolo con altissima precisione statistica. Il diritto penale non è immune da queste trasformazioni: sempre più sistemi di A/IA vengono introdotti in diverse fasi del procedimento, a sostegno delle indagini (predictive policing) o delle decisioni del giudice (predictive justice) (5). Come si dirà, queste tecnologie possono contribuire a migliorare l’efficienza della giustizia; al tempo stesso, il loro uso solleva anche una serie di preoccupazioni circa la protezione dei diritti fondamentali (6). In questo articolo, illustreremo i principali ambiti di applicazione dei sistemi predittivi e valuteremo il loro impatto sui diritti fondamentali e sui principi dell’equo processo, concentrandoci in particolare sulla definizione di ricorso effettivo applicabile contro decisioni assunte (anche) col supporto di sistemi predittivi.

2. Sistemi A/IA nella giustizia penale

Diversi sistemi di giustizia penale in tutto il mondo fanno oggi uso di sistemi A/IA per sostenere il processo decisionale umano di diversi attori, come forze dell’ordine, avvocati, giudici (7). Lo scenario di base è il seguente: il sistema classifica gli individui in classi di riferimento. Tali classi possono esprimere previsioni sul comportamento degli individui, o di gruppi di individui (ad esempio, tasso di re-

(3) Pasquale, The black box society: The secret algorithms that control money and information, Harvard University Press, 2015. (4) Millar - Kerr, Delegation, relinquishment, and responsibility: The prospect of expert robots, in Robot Law, a cura di Calo – Froomkin – Kerr, Edward Elgar Publishing, 2016, 102-128, 107. (5) Nota, in tal senso, la risposta del giudice John Robert, della Corte Suprema degli Stati Uniti, alla domanda “Can you foresee a day when smart machines, driven with artificial intelligences, will assist with courtroom fact-finding or, more controversially even, judicial decision-making?” “It’s a day that’s here […] and it’s putting a significant strain on how the judiciary goes about doing things”, cf. Liptak, Sent to Prison by a Software Program’s Secret Algorithms, in New York Times, 1.05.2017, all’indirizzo <https://www.nytimes.com/2017/05/01/us/politics/sentto-prison-by-a-software-programs-secret-algorithms.html>. Per un’analisi del concetto di “giustizia predittiva” si veda Viola, Combinazione di dati e prevedibilità della decisione giudiziaria, in questa Rivista, 2019, 1, 215. (6) Tra la vasta letteratura che si occupa di questo impegnativo argomento, si veda, ad esempio, Garapon - Lassègue, Justice digitale, PUF, Parigi, 2018. (7) Perry – McInnis – Price – Smith - Hollywood, Predictive Policing: Il ruolo della previsione del crimine nelle operazioni di polizia, Santa Monica, CA: RAND Corporation, 2013, all’indirizzo <https://www.rand.org/ pubs/research_reports/RR233.html>.

620

DIRITTO DI INTERNET N. 4/2019

cidiva individuale basso/alto/medio; basso/alto/medio rischio di criminalità in una particolare area geografica). Queste previsioni vengono successivamente impiegate nel processo decisionale algoritmico, cioè per elaborare e suggerire strategie su come trattare tali soggetti in base alla loro classificazione (8). In questo contributo ci concentreremo esclusivamente sull’impiego di sistemi A/IA al fine di identificare potenziali reati o autori di reati; oppure –ipotesi molto più critica, specialmente nell’ottica di un rimedio effettivo– al fine di formulare previsioni di rischio individualizzate.

2.1. Identificazione di potenziali reati e trasgressori

Un primo modo per utilizzare i sistemi A/IA a fini preventivi è quello di applicarli per supportare (o sostituire) l’esperienza investigativa umana con un’analisi integrata dei dati già disponibili, al fine di identificare potenziali modelli criminosi e ridurre la vittimizzazione in ambienti digitali, come i social media (9). Un altro approccio è quello che mira a prevedere le circostanze (tempo e luogo) di possibili reati. Questo approccio rispecchia le tradizionali metodologie investigative di mappatura delle attività criminali in un’area determinata, sulla base dell’analisi di fattori sociali, demografici, economici, ambientali, nonché dei dati relativi ai precedenti penali. Esistono diversi esempi di questi strumenti “più convenzionali” di polizia predittiva, impiegati in Europa e negli Stati Uniti. Fra i più noti si può menzionare PredPol, un sistema algoritmico ad apprendimento automatico sviluppato dalla polizia e dall’Università di Los Angeles (UCLA). Questo sistema, basato su dati storici concernenti i reati (in particolare quelli relativi alle vittime), formula previsioni a partire da tre classi di dati (tipo di reato, luogo e data/ora di commissione del reato). Tali previsioni vengono poi utilizzate per identificare, su un’interfaccia web basata su Google Maps, le aree ad alto rischio in determinate fasce orarie. Questi risultati dovrebbero quindi consentire di ottimizzare la distribuzione di risorse umane e di mezzi, indirizzando nelle aree più a rischio gli agenti di polizia (10). Altri esempi (8) “…Do you see the paradox? An algorithm processes a slew of statistics and comes up with a probability that a certain person might be a bad hire, a risky borrower, a terrorist, or a miserable teacher. That probability is distilled into a score, which can turn someone’s life upside down. And yet when the person fights back, “suggestive” countervailing evidence simply won’t cut it. The case must be ironclad. The human victims of WMDs, we’ll see time and again, are held to a far higher standard of evidence than the algorithms themselves…” O’Neil, Weapons of math destruction: How big data increases inequality and threatens democracy, Crown Publishing Group, NY, 2016. (9) Perry et al, (n 7). (10) All’indirizzo dPolicing>.

<https://www.predpol.com/law-enforcement/#pre-

SAGGI di questi sistemi predittivi, spesso specializzati nel perseguire reati specifici, si possono trovare anche in Europa. Tra i più noti, KeyCrime, sviluppato dalla Polizia di Milano e utilizzato per prevedere le rapine nell’area metropolitana (11), e XLAW, sviluppato dalla Polizia di Napoli e applicato dalle forze dell’ordine in diverse regioni italiane per prevedere furti e rapine. Due sono i principali vantaggi di questi sistemi più “convenzionali”. In primo luogo, contribuiscono ad una migliore gestione del know how delle forze dell’ordine in un’area geografica specifica, svincolandone la conservazione dalla presenza fisica e competenza dei singoli agenti. In secondo luogo, questi sistemi possono migliorare le performance investigative in condizioni di limitate risorse umane e consentire una allocazione più efficiente delle stesse. Certamente, l’uso di tali sistemi può anche contribuire a rafforzare eventuali discriminazioni, ad esempio incentivando la polizia a soffermarsi in determinate aree geografiche e comportando maggiori probabilità per la popolazione ivi residente di essere soggetta a pratiche di stop and frisks. Come si dirà (12), tuttavia, questi effetti discriminatori non sono necessariamente creati dall’uso di sistemi A/IA. Algoritmi e intelligenza artificiale infatti si limitano “solo” a perpetuare criticità già riscontrabili quando tali attività sono svolte da esseri umani. In questo senso, questa applicazione di tecnologie A/IA può ritenersi meno problematica per la tutela dei diritti fondamentali, almeno se confrontata con gli utilizzi che si rivolgono direttamente a singoli individui.

2.2. Valutazione individuale dei rischi

Un approccio molto meno convenzionale è quello finalizzato a calcolare la probabilità di pericolosità individuale. Accedendo ad enormi quantità di dati, anche non necessariamente già disponibili alle forze dell’ordine, tali sistemi correlano fattori di rischio statistici a specifici individui, grazie a modelli matematici automatizzati. Forse il più noto di questi sistemi predittivi è COMPAS, sviluppato da Northpoint Inc. (ora Equivant), una società privata californiana, e attualmente adottato negli Stati Uniti in diversi Stati per calcolare il tasso di recidiva, ad esempio per emettere decisioni sull’assegnazione di misure alternative o sull’applicazione di istituti assimilabili alla sospensione condizionale della pena (13). Le predizioni di COMPAS si basano su informazioni definite come “statiche” (ad es. i precedenti penali) e su “un uso limitato” di alcune variabili “dinamiche” (quali

(11) All’indirizzo <https://www.emmeviemme.com>. (12) Si veda, infra, paragrafo 3.2. (13) State of Wisconsin v. Loomis, 881 N.W.W.2d 749 (Wis. 2016), 36.

l’abuso di sostanze stupefacenti) (14). A causa dei diritti di proprietà intellettuale sul software, tuttavia, non sono disponibili dettagli ulteriori su come queste variabili influiscono nella valutazione del sistema. Ciò che è noto è che una parte delle informazioni utilizzate da COMPAS deriva dalle risposte fornite dal soggetto che deve essere valutato ad un questionario di 137 domande, che coprono diversi aspetti della personalità e della storia dell’individuo (15). Confrontando fra loro i dati di storie simili, COMPAS valuta il rischio di recidiva individuale sulla base di tre fattori di rischio (“pre-processuale”, “generale” e riferito ai comportamenti violenti), assegnando all’individuo un punteggio numerico. Pertanto, COMPAS non elabora valutazioni fondate solo su elementi riferiti all’individuo, ma estrapola valutazioni individuali da dati di gruppo. Un altro strumento di valutazione del rischio individuale, soprattutto nella fase preprocessuale, è quello del Public Safety Assessment (PSA), elaborato dalla Laura and John Arnold Foundation e attualmente utilizzato in decine di giurisdizioni negli Stati Uniti e in alcune delle più grandi città del paese, come Phoenix, Chicago e Houston ( (16)). Il PSA fa due tipi di previsioni, calcolando: (i) il rischio che il soggetto non compaia davanti al giudice in udienza e (ii) il rischio di recidiva in caso di liberazione anticipata (con particolare attenzione ai reati violenti). I fattori considerati dal sistema sono nove e, secondo quanto noto, includono l’età, i procedimenti pendenti e i precedenti penali. Il rischio è calcolato su una scala da 1 a 6, dove i punteggi più elevati indicano un livello di rischio maggiore (17). Prendendo spunto dalle numerose critiche mosse nei confronti di

(14) All’indirizzo <http://equivant.wpengine.com/classification/>. Tra il 2012 e il 2015, 14 Stati USA “created or regulated the use of risk assessments during the pretrial process”, cfr. Widgery, National Conference of State Legislatures, Trends in Pretrial Release. State legislation, marzo 2015, all’indirizzo <https://comm.ncsl.org/productfiles/98120201/NCSL-Pretrial-Trends-Report.pdf>. (15) Skeem - Louden, Assessment of evidence on the quality of the Correctional Offender Management Profiling for Alternative Sanctions (COMPAS), 2007, all’indirizzo <https://ucicorrections.seweb.uci.edu/files/2013/06/ CDCR-Skeem-EnoLouden-COMPASeval-SECONDREVISION-final-Dec-28-07.pdf>. (16) Come gli stati dell’Arizona, del Kentucky e del New Jersey, cfr. <https://www.psapretrial.org/about>. (17) In particolare: “the person’s age at the time of arrest; whether the current offense is violent; whether the person had a pending charge at the time of the current offense; whether the person has a prior misdemeanor conviction; whether the person has a prior felony conviction; whether the person has prior convictions for violent crimes; whether the person has failed to appear at a pretrial hearing in the last two years; whether the person failed to appear at a pretrial hearing more than two years ago; and whether the person has previously been sentenced to incarceration”, cfr. Public Safety Assement, Risk factors and formula, all’indirizzo < https://www.psapretrial.org/about/factors >.

DIRITTO DI INTERNET N. 4/2019

621

SAGGI COMPAS, i creatori di questo sistema hanno deciso di renderne pubblico il funzionamento e, in particolare, di rivelare il diverso peso di ciascuno di questi nove fattori nel calcolo finale (18). L’impiego di strumenti predittivi individualizzanti, tuttavia, non è una prerogativa degli Stati Uniti. L’Harm Assessment Risk Tool (HART), sviluppato dalla polizia di Durham e dall’Università di Cambridge, ad esempio, effettua previsioni sulla base di 33 diverse metriche, tra cui i precedenti penali, l’età e il codice postale dell’autore del reato. Analogamente a COMPAS, anche HART classifica gli individui in gruppi ad alto, moderato o basso rischio. I parametri utilizzati da HART sono stati resi, almeno parzialmente, accessibili al pubblico. Questa caratteristica ha permesso di identificare una serie di criticità rilevanti –operazione che con il sistema COMPAS non è invece possibile per ragioni di proprietà intellettuale. Le informazioni disponibili, ad esempio, riportano che il software HART è predisposto per favorire i falsi positivi rispetto ai falsi negativi, il che significa che è più probabile che un individuo a basso rischio sia classificato erroneamente come persona ad alto rischio di recidiva piuttosto che il contrario (19).

3. Valutazione automatizzata del rischio: quali limiti di utilizzo?

L’uso di algoritmi o di tecnologie di intelligenza artificiale per formulare predizioni individualizzanti in materia penale mette in discussione diversi profili del diritto all’equo processo, con un impatto innegabile sul diritto di difesa dell’imputato (20). Queste criticità si riscontrano, in primo luogo, nei casi in cui il ricorso alla valutazione automatizzata dei rischi è reso obbligatorio per legge, ad esempio nelle decisioni sulla sospensione condizionale della pena, sulla liberazione anticipata, sulla determinazione della cauzione,

(18) Eppure, critico circa l’equità del PSA, Patrick, Fondazione Arnold per l’introduzione dello strumento di valutazione del rischio pretermine a livello nazionale, 3.09.2018, all’indirizzo <https://www.insidesources.com>. (19) Oswald - Grace - Urwin - Barnes, Algorithmic risk assessment policing models: lessons from the Durham HART model and ‘Experimental’ proportionality, in Information & Communications Technology Law, 2018, 27:2, 223-250, 236. (20) Quali, soprattutto, il principio di parità delle armi (cfr., ad esempio, Quattrocolo, Quesiti nuovi e soluzioni antiche? Consolidati paradigmi normativi vs rischi e paure della giustizia digitale “predittiva”, in Cass. pen., 4, 2019, 1748 ss), il diritto al silenzio (Deskus, Fifth amendment limitations on criminal algorithmic decision-making, in NYUJ Legis. & Pub. Pol’y 21, 2018, 237), o la presunzione di innocenza (per cui si rimanda, volendo, a Contissa- Lasagni, The Role of Predictive Algorithmic Systems in Criminal Investigations: Which Effective Remedy To (New?) Fair Trial Lacunas, in corso di pubblicazione).

622

DIRITTO DI INTERNET N. 4/2019

ecc. (21). Ancora più complesse, tuttavia, sono le situazioni in cui i sistemi A/IA sviluppati per un certo scopo (ad esempio, il supporto alle decisioni in materia di libertà vigilata, come COMPAS), finiscono per essere utilizzati nel procedimento penale anche per altri fini. Il caso più noto a questo riguardo è certamente Loomis, deciso nel 2016 dalla Corte suprema del Wisconsin (22). Eric Loomis era stato accusato di cinque reati per la partecipazione come conducente ad una sparatoria in auto. L’imputato si era dichiarato colpevole per i due reati meno gravi; la Corte aveva accolto la richiesta di patteggiamento, subordinandola però alla “lettura” in aula delle imputazioni per gli altri tre reati rimanenti (23). Al fine di calcolare l’ammontare della sanzione da applicare a Loomis, il tribunale aveva ordinato la produzione del Presentence Investigation Report – PSI (24). Nel caso di specie, il PSI comprendeva anche una valutazione del rischio effettuata da COMPAS, nella quale Loomis veniva classificato come soggetto ad alto rischio di recidiva. La relazione conteneva, inoltre, una descrizione delle finalità per cui le valutazioni di rischio COMPAS dovrebbero essere utilizzate, ossia a) identificare i trasgressori a cui applicare determinate misure e, b) identificare i fattori di rischio da neutralizzare. Le istruzioni, in particolare, mettevano in guardia contro l’uso improprio di tale software, specificando che questo non dovrebbe essere utilizzato per determinare la gravità della pena o se l’autore del reato debba essere sottoposto o meno a misura custodiale (25). Sulla base della valutazione dei rischi elaborata da COMPAS, e utilizzando come circostanze aggravanti la lettura dei tre reati esclusi dal patteggiamento, la Corte

(21) Per quanto riguarda in particolare il rilascio su cauzione (bailing), cfr. Doyle - Bains - Hopkins, Bail Reform. A Guide for State and Local Policymakers, in Criminal Justice Policy Program. Harward Law School, febbraio 2019, all’indirizzo <http://cjpp.law.harvard.edu/assets/BailReform_ WEB.pdf>, dove si riportano diversi casi a livello statale. Ad esempio, il Kentucky ha dapprima adottato un progetto pilota per l’uso di sistemi predittivi (Administrative Pretrial Release Program) in 20 delle 120 giurisdizioni locali, poi esteso a tutto lo Stato nel 2017. (22) State of Wisconsin v. Loomis, 881 N.W.W.2d 749 (Wis. 2016). (23) Tale lettura implica che “the charges can be read in and considered, and that has the effect of increasing the likelihood, the likelihood of a higher sentence within the sentencing range”, State of Wisconsin v. Loomis, 10. (24) Il “Pre-sentence Investigation Report” racchiude la “storia” dell’indagato o imputato: “[it] is a report prepared by a court’s probation officer on request by the court. It is the report of the investigation conducted to find out the history including the educational, criminal, family, and social background of a person convicted of a crime. It summarizes for a court the background information needed to determine the appropriate sentence. Sentence of a convicted person is increased or decreased after examining”, cfr. <https://definitions.uslegal.com/p/presentence-investigation-report-psir/>. (25) State of Wisconsin v. Loomis, 8.

SAGGI condannava Loomis a 4 anni per la prima imputazione e a 7 anni per la seconda (26). In appello, Loomis lamentava la presunta violazione dei diritti del giusto processo causata dall’uso di COMPAS. In particolare, contestava che COMPAS, sebbene non concepito a tale scopo, fosse stato impropriamente usato nella fase di quantificazione della pena, determinando l’applicazione di una sanzione più severa nei suoi confronti. La natura proprietaria del software, inoltre, gli aveva impedito di verificare la validità scientifica del meccanismo decisionale posto in essere dal sistema. Per inciso, si deve notare che quest’ultimo motivo di appello appare particolarmente rilevante nell’ordinamento giuridico statunitense, dove, almeno a partire dalla nota causa Daubert, la Corte Suprema ha subordinato l’ammissibilità delle prove scientifiche alla dimostrazione dell’affidabilità dei metodi scientifici adottati (27). La Corte Suprema non si è finora mai pronunciata sulla applicabilità dei criteri Daubert né alle valutazioni rese da sistemi A/IA, né alla fase del sentencing, e tale ultima possibilità viene generalmente esclusa a livello statale. Una parziale eccezione a questo orientamento può essere trovata in una decisione della Corte Suprema del District of Columbia, riguardante l’uso di uno strumento algoritmico di valutazione del rischio utilizzato per la previsione di comportamenti violenti nei minori (Structured Assessment of Violence Risk in Youth - SAVRY). In quel caso, la corte aveva dichiarato l’inammissibilità della valutazione effettuata dal sistema SAVRY, senza però esplicitamente né affermare né negare la pertinenza dei criteri Daubert. Si riteneva infatti che il Governo non avesse sufficientemente dimostrato che l’applicazione specifica del software fosse stata effettuata secondo parametri scientificamente validi; nella decisione, tuttavia, la corte non estendeva le medesime conclusioni al software predittivo in quanto tale ( (28)). Anche nel caso Loomis, la Corte Suprema del Wisconsin riscontrava diverse criticità nell’uso di COMPAS ai fini della quantificazione della pena. Ad esempio, il sistema era stato sì validato in alcune giurisdizioni, ma non in

Wisconsin, cosicché non era chiaro se i fattori utilizzati fossero effettivamente accurati anche per la popolazione di quello Stato. Il software inoltre era stato, pubblicamente e a seguito di analisi approfondita, accusato da una ONG di essere discriminatorio, in particolare nei confronti di individui afroamericani (29). Il tribunale del Wisconsin tuttavia, non esaminava il caso alla luce dei criteri Daubert, né – contrariamente alla causa SAVRY – riteneva che tali elementi critici fossero sufficienti almeno per riformare la decisione emessa in primo grado. Ignorando di fatto le accuse di effetti discriminatori, la Corte concludeva elaborando un test fondato sulla decisività o esclusività dell’elemento probatorio contestato, simile in un certo senso a quello sviluppato – in altri contesti e per altri fini - dalla Corte europea dei diritti dell’uomo (30). Secondo il giudice statunitense, pertanto, nessuna violazione del giusto processo può essere riconosciuta se il sistema A/IA è stato applicato correttamente e se la valutazione automatizzata costituisce un elemento non determinante e corroborato da altri fattori. Nel caso specifico, la lettura delle imputazioni più gravi veniva considerata come elemento di riscontro sufficiente a corroborare la valutazione di rischio generata da COMPAS. Il ricorso veniva quindi rigettato dalla Corte suprema degli Stati Uniti, diventando definitivo nel 2017 (31). Le argomentazioni sviluppate in Loomis non costituiscono un caso isolato oltreoceano. Già nel 2010, nella decisione Malenchik, ad esempio, la Corte d’appello dell’Indiana aveva utilizzato la valutazione automatizzata del rischio prodotta da altri software (Level of Service Inventory-Revised/LSI-R e Substance

(26) “You’re identified, through the COMPAS assessment, as an individual who is at high risk to the community. In terms of weighing the various factors, I’m ruling out probation because of the seriousness of the crime and because your history, your history on supervision and the risk assessment tools that have been utilized, suggest that you’re extremely high risk to re-offend”, State of Wisconsin v. Loomis, 8.

(31) Certiorari denied, 137 S. Ct. 2290 (2017). Diversi giuristi hanno criticato questa decisione, sottolineando come la Corte abbia irresponsabilmente respinto le critiche sugli effetti discriminatori del software e sulla mancanza di validazione nello Stato: cfr. Recent cases, in 130 Harv. L. Rev., 2017, 1530 ss; Eric L. Loomis, Petitioner v. State of Wisconsin, On Petition for A Writ of Certiorari to the Supreme Court of Wisconsin. Brief for the United States as Amicus Curiae, all’indirizzo <https://www.scotusblog.com/wp-content/uploads/2017/05/16-6387-CVSG-Loomis-AC-Pet.pdf>; De Miguel Beriain, Does the use of risk assessments in sentences respect the right to due process? A critical analysis of the Wisconsin v. Loomis ruling, in Law, Probability and Risk, 2018, 17, 45-53; Quattrocolo (n 20); Gialuz, Quando la giustizia penale incontra l’intelligenza artificiale: luci e ombre dei risk assessment tools tra Stati uniti ed Europa, in Dir. pen. cont., 29.05.2019, all’indirizzo <https://www.penalecontemporaneo.it/d/6702-quando-la-giustizia-penale-incontra-l-intelligenza-artificiale-luci-e-ombre-dei-risk-assessment-too>.

(27) Attraverso una serie di parametri, tra cui se la teoria o la tecnica in questione 1) è stata testata; 2) è validata da letteratura (peer review) nell’ambito scientifico di riferimento; 3) abbia un tasso di errore potenziale noto e 4) sia supportata da standard e norme che ne controllano il funzionamento, cfr. Daubert v. Merrell Dow Pharmaceuticals, Inc. 509 U.S. 579 (1993). (28) Cfr. Supreme Court of the District of Columbia, Justice Okun, 25.03.2018, come riportato e commentato da Quattrocolo (n 20).

(29) Cfr. ProPublica: Angwin - Larson - Mattu - Kirchner, Machine Bias. There’s software used across the country to predict future criminals. And it’s biased against blacks, 23.05.2016, all’indirizzo <https://www.propublica. org/article/machine-bias-risk-assessments-in-criminal-sentencing>. (30) Cfr., ad esempio, Corte EDU, Murray c Regno Unito, ricorso n. 18731/91, 8.02.1996 (diritto al silenzio), Al-Khawaja e Tahery c Regno Unito, ricorsi n. 26766/05 e 22228/06, 15.12.2011 (diritto alla prova in dibattimento), Chiper c Romania, ricorso n. 22036/10, 27.06.2017 (diritto alla prova in appello).

DIRITTO DI INTERNET N. 4/2019

623

SAGGI Abuse Substance Subtle Screening Inventory-SASSI) come circostanza aggravante nella decisione di condanna. Anche in tale caso, l’imputato lamentava che l’uso di questo sistema fosse stato censurato in casi precedenti (32) e che i modelli di calcolo su cui si basava l’algoritmo non fossero stati riconosciuti come scientificamente affidabili nello stesso Stato dell’Indiana, risultando quindi inaffidabili, oltre che discriminatori. La Corte riteneva tuttavia legittimo l’uso del sistema predittivo da parte del giudice, in quanto non sostitutivo della sua discrezionalità, ma semplice strumento di supporto, corroborato da altri elementi indipendenti (33). L’orientamento maggioritario sviluppato dalle corti statunitensi sull’uso di sistemi A/IA in ambito penale sembra quindi finora approvare l’impiego di valutazioni automatizzate dei rischi – originariamente sviluppate a fini di prevenzione o di esecuzione - anche in fase di quantificazione della pena, purché la decisione non si fondi esclusivamente su di esse. In mancanza di una giurisprudenza rilevante su questo tema in Europa, questo portato verrà quindi tenuto in considerazione nella presente analisi, per verificare se esso possa rappresentare un approccio efficace nella tutela dei diritti di difesa dell’imputato anche nel nostro Continente.

4. Decisioni (parzialmente) automatizzate e equo processo: il diritto ad un ricorso effettivo

Questo contributo, come anticipato, si concentra sugli impieghi potenzialmente più critici per i diritti fondamentali dell’imputato, primo fra tutti il diritto ad un ricorso effettivo. Tale diritto, infatti, per ragioni giuridiche e tecniche, rischia di essere, forse più di qualsiasi altro, drammaticamente ostacolato dall’uso di valutazioni automatizzate contro l’indagato o imputato. Il diritto ad un ricorso effettivo, previsto nel contesto europeo dall’articolo 13 della Convenzione europea dei diritti dell’uomo (CEDU) e dall’articolo 47 della Carta dei diritti fondamentali dell’Unione (CDF), è al tempo stesso una delle disposizioni più importanti e meno definite della nozione di giusto processo (34). Nella giurisprudenza della Corte di Strasburgo, un ricorso può essere considerato effettivo solo se tale in astratto e nella prassi, nel senso che questo deve essere in grado di impedire la continuazione della presunta violazione o, in alternativa, fornire almeno un rimedio “adeguato”

(32) Rhodes v. State, 896 N.E.2d 1193, 1195 (Ind. Ct. App. 2008). (33) Malenchik v. State, 928 N.E.2d 564, 574 (Ind. 2010). (34) Tanto da essere anche definita come la disposizione “più oscura” della Convenzione da due giudici della Corte di Strasburgo, cfr. giudici Matscher e Pinheiro Farinha in Malone v. United Kingdom, ricorso n. 8691/79, 2.08.1984.

624

DIRITTO DI INTERNET N. 4/2019

alle violazioni già avvenute (35). A tale proposito, non è sufficiente che il mezzo di ricorso sia previsto dalla legislazione nazionale, ma occorre valutarne l’efficacia in concreto, ad esempio tenendo conto della rapidità dell’azione correttiva o dell’effettiva possibilità per il richiedente di attivare il rimedio alla luce delle specifiche circostanze del caso. Per poterlo considerare effettivo, nella interpretazione della Corte EDU, non si richiede necessariamente che il ricorso debba essere incardinato presso un’autorità giudiziaria; tuttavia, l’autorità deputata a decidere in merito ad esso deve comunque rispettare i requisiti di cui all’articolo 6(1) CEDU, primi fra tutti, i parametri di indipendenza e imparzialità. Su questo punto, si può riscontrare una differenza fra l’articolo 13 CEDU ed il suo corrispondente nel diritto dell’Unione. L’articolo 47(1) CDF, infatti, espressamente richiede che ogni limitazione dei diritti fondamentali sanciti dalla Carta debba poter essere efficacemente impugnata dinanzi a un giudice (36). Quanto invece al campo penale, la giurisprudenza di entrambe le corti europee considera fondamentale, ai fini della effettività di un ricorso, la possibilità di ottenere un controllo giurisdizionale “pieno” davanti all’autorità competente. Per proteggere in modo non illusorio i diritti dell’indagato o imputato, infatti, è necessario identificare almeno un’autorità con il potere di esaminare con piena cognizione – cioè sia in fatto sia in diritto - le decisioni che impongono una misura punitiva (37). L’importanza del legame fra ricorso effettivo e cognizione piena è costantemente ribadita anche nel diritto secondario dell’Unione in materia processuale penale (38) e nella normativa sulla protezione dei dati

(35) Cfr. Corte EDU, Kudła v. Poland, ricorso n. 30210/96, 26.10.2000, §§ 157-158. (36) La Corte di giustizia aveva già sancito tale principio nella sentenza Marguerite Johnston v Chief Constable of the Royal Ulster Constabulary, causa 222/84, del 15.05.1986, ECLI:EU:C:1986:206, 1651; cfr. anche la sentenza Union nationale v Georges Heylens and o., causa 222/86, del 15.10.1987, ECLI:EU:C:1987:442, 4097, e la sentenza Oleificio Borelli SpA v Commission, causa C-97/91, del 3.12.1992, ECLI:EU:C:1992:491. (37) Cfr. Corte EDU, Umlauft v Austria, 23.10.1995, ricorso n. 15527/89, § 37; Öztürk v Germany, 21.02.1984, ricorso n. 8544/79 § 56; A. Menarini Diagnostics S.R.L. v Italy, S.r.l., 27.09.2011, ricorso n. 43509/08, §§ 5963-67; cfr. anche Schmautzer v. Austria, 23.10.1995, ricorso n. 15523/89, § 36 e Gradinger v. Austria, 23.10.1995, ricorso n. 15963/90, § 44. (38) Direttiva 2010/64/UE del 20.10.2010 sul diritto all’interpretazione e alla traduzione nei procedimenti penali; Direttiva 2012/13/UE del 22.05.2012 sul diritto all’informazione nei procedimenti penali; Direttiva 2013/48/UE del 22.10.2013 sul diritto di accesso a un difensore nei procedimenti penali e nei procedimenti di mandato d’arresto europeo e sul diritto di informare un terzo sulla privazione della libertà personale e di comunicare con terzi e con le autorità consolari mentre è privato della libertà; la summenzionata Direttiva (UE) 2016/343 del 9.03.2016, relativa al rafforzamento di taluni aspetti della presunzione di innocenza e del

SAGGI personali trattati a fini di prevenzione e repressione dei reati (39). Nessuno degli atti legislativi ad oggi in vigore, tuttavia, fornisce una definizione dettagliata di come un ricorso debba essere strutturato per risultare concretamente effettivo. Alla luce di questa intrinseca vaghezza, il diritto in esame risulta in molti contesti problematico, per diventare eccezionalmente critico quando la decisione punitiva avverso l’indagato o imputato è (anche solo parzialmente) automatizzata. Diverse sono le circostanze che determinano tale criticità. In primo luogo, come si vedrà, è arduo per l’imputato far valere il diritto a un ricorso effettivo senza poter accedere alle informazioni necessarie su cui si è basata la decisione. In secondo luogo, in questo contesto non è raro per l’imputato dover fronteggiare una vera e propria mancanza di motivazione riguardo alla parte automatizzata della valutazione. Da ultimo, anche a prescindere dalle considerazioni precedenti, non è scontato oggi definire cosa si intenda per “effettivo” quando (almeno in parte) la decisione segue logiche non umane. Di questo profilo, ci occuperemo nella parte finale del contributo.

4.1. Diritto al ricorso effettivo e accesso alle informazioni

In primo luogo, per poter contestare efficacemente una decisione individuale, è necessario che il soggetto interessato abbia accesso a tutte le informazioni rilevanti per tale decisione, in particolare ai dataset (insiemi di dati), ai metodi di trattamento dei dati, e al codice sorgente che esprime gli algoritmi alla base del funzionamento del sistema. In verità, l’accesso a tali informazioni non risponde solo all’interesse di chi subisce direttamente gli effetti della decisione, ma anche a quello di tutti gli attori coinvolti nella progettazione, sviluppo, implementazione e utilizzo dei sistemi di A/IA nella giustizia penale, inclusi programmatori, giudici e, più in generale, l’opinione pubblica (40).

diritto di essere presente al processo penale; Direttiva (UE) 2016/800 dell’11.05.2016 relativa alle garanzie procedurali a favore di indagati o imputati in procedimenti penali e Direttiva (UE) 2016/1919 del 26.10.2016 relativa all’assistenza giudiziaria a favore di indagati e imputati in procedimenti penali e di persone ricercate in procedimenti di mandato d’arresto europeo. (39) Cfr. considerando (104), Direttiva (UE) 2016/680 del 27.04.2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. (40) IEEE, Ethically Aligned Design: A Vision for Prioritizing Human Wellbeing with Artificial Intelligence and Autonomous Systems, version 1, IEEE Standards Assoc., 2016, all’indirizzo <https://standards.ieee.org/ news/2019/ieee-ead1e.html>.

Affinché l’accesso alle informazioni rilevanti sia effettivo è però necessario un certo grado di trasparenza del processo decisionale. Questa esigenza è espressa anche nel considerando 38 della direttiva 2016/680, secondo cui “in ogni caso, tale trattamento [automatizzato] dovrebbe essere subordinato a garanzie adeguate, compresi il rilascio di specifiche informazioni all’interessato e il diritto di ottenere l’intervento umano, in particolare di esprimere la propria opinione, di ottenere una spiegazione della decisione raggiunta dopo tale valutazione e di impugnare la decisione” (41). Tuttavia, i sistemi di A/IA presentano spesso notevoli criticità per quanto riguarda la trasparenza del loro funzionamento. Le informazioni sul dataset non sono di solito a disposizione delle parti, né del giudice che utilizza il sistema. Analoga considerazione può essere fatta per quanto riguarda le informazioni sui metodi di trattamento dei dati e gli algoritmi su cui si fonda il ragionamento del sistema A/IA. In molti casi, infatti, questi dipendono dall’accessibilità del codice sorgente, la cui divulgazione può essere limitata dai diritti di proprietà intellettuale. Nei sistemi di A/IA basati su approcci di apprendimento automatico, inoltre, come già discusso in precedenza, le possibilità di ricostruire in modo completo le informazioni sul funzionamento interno del sistema e gli elementi considerati per giungere ad una decisione sono strutturalmente limitate. Per garantire un livello soddisfacente di trasparenza, sono stati proposti diversi metodi, anche se ancora oggi non è chiaro quali elementi debbano essere ricompresi in questo requisito e con quale modalità le informazioni debbano essere concretamente rese accessibili. Una prima opzione, suggerita nella Carta etica del Consiglio d’Europa (42), è quella della completa trasparenza tecnica, ossia che la divulgazione sia del codice sorgente del sistema algoritmico sia della documentazione di accompagnamento. Tuttavia, come anticipato, quando il sistema è sviluppato da privati, come nel caso di COMPAS, l’accessibilità del codice sorgente può essere limitata per ragioni di proprietà intellettuale e dalla necessità di proteggere i segreti commerciali e industriali. Anche nei casi in cui sia possibile accedere al codice sorgente, però, ciò potrebbe rivelarsi solo una soluzione parziale al problema della trasparenza, soprattutto

(41) In modo speculare rispetto al considerando (71) del Regolamento (UE) 2016/679 del 27.04.2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (più noto con l’acronimo inglese “GDPR”). (42) Consiglio d’Europa, European Commission for the Efficiency of Justice (CEPEJ), European Ethical Charter on the Use of Artificial Intelligence in Judicial Systems and their environment, adottata il 3-4.12.2018, all’indirizzo <https://rm.coe.int/ethical-charter-en-for-publication-4-december-2018/16808f699c>, 11.

DIRITTO DI INTERNET N. 4/2019

625

SAGGI nell’ottica di garantire un rimedio effettivo. Infatti, non solo il codice sorgente dei sistemi A/IA è di solito incomprensibile per i non esperti, ma anche i programmatori spesso incontrano difficoltà a comprendere il funzionamento di tali sistemi e prevederne i risultati esclusivamente sulla base dell’ispezione del codice sorgente. Questi limiti sono stati chiaramente emersi in diverse decisioni giudiziarie in tutta Europa, in particolare nel settore dell’istruzione scolastica, dove sistemi di A/IA sono comunemente adottati per la classificazione e la selezione degli studenti e l’assegnazione dei docenti ai plessi. In Francia, ad esempio, il sistema algoritmico Admission post bac (A.P.B.) è da tempo utilizzato nella procedura di iscrizione degli studenti all’università. Nel 2016, la Commission d’accès aux documents administratifs si è pronunciata a favore dell’accesso al codice sorgente di tale piattaforma. Sebbene il codice sorgente fosse stato reso disponibile, gli esperti non sono stati tuttavia in grado di ricostruire il ragionamento completo del sistema. Questo infatti risultava determinato non solo dall’algoritmo espresso nel codice sorgente, ma anche dai diversi dati di input provenienti da un insieme di database esterni al sistema. Senza la divulgazione di tali dati, nonché di informazioni sulla struttura delle tabelle e della descrizione dei campi utilizzati nelle banche dati che li contenevano, la semplice divulgazione del codice sorgente non era sufficiente a garantire un rimedio effettivo (43). Considerazioni analoghe possono farsi per quanto riguarda alcuni casi italiani, riguardanti l’assegnazione di docenti alle scuole superiori. Nel 2017, ad esempio, il Tar Lazio ha stabilito che il Ministero dell’Istruzione ha l’obbligo di rilasciare una copia del codice sorgente del software utilizzato in tale procedura. Tuttavia, anche in questo caso, non è stata fatta menzione della divulgazione dei dati di input, della struttura dei dati delle tabelle e della descrizione dei campi utilizzati nelle banche dati collegate al sistema (44). Una seconda opzione per risolvere i problemi di trasparenza dei sistemi A/IA è quella di divulgare anche le informazioni di livello superiore sulla logica del processo decisionale automatizzato, possibilmente in linguaggio naturale, cioè in un linguaggio comprensibile anche ad utenti non esperti.

(43) Decisione della Commissione d’accès aux documents administratifs (CADA) relativa al codice sorgente della piattaforma Admission post bac (A.P.B.), 2016, all’indirizzo <http://bo.letudiant. fr/uploads/mediatheque/EDU_EDU/2/1/1/1/1202121-avis-cada-apb-160916-original.pdf>. (44) Tar Lazio, Sezione Terza bis, Decisione n. 03769/2017 (udienza del 14.02.2017), all’indirizzo <https://www.giustizia-amministrativa.it/ portale/pages/istituzionale/visualizza?nodeRef=&schema=tar_rm&nrg=201611419&nomeFile=201703769_01.html&subDir=Provvedimenti>.

626

DIRITTO DI INTERNET N. 4/2019

In effetti, come sottolineato dal gruppo di lavoro Articolo 29, “la complessità non è una scusa per non fornire informazioni” (45). Questo è l’approccio seguito dal GDPR all’articolo 13(2), lettera f), che richiede, quando i dati personali utilizzati in un processo decisionale automatizzato sono raccolti presso l’interessato, di fornire le “informazioni significative sulla logica utilizzata” dal sistema. Le stesse disposizioni sono ripetute all’articolo 14(2), lettera g), in relazione ai dati non ottenuti dall’interessato. Le informazioni da divulgare, in questa prospettiva, dovrebbero includere almeno: (a) le informazioni sui dati che sono serviti come input per la decisione automatizzata; (b) le informazioni sull’elenco dei fattori che hanno influenzato la decisione; (c) le informazioni sull’importanza relativa dei fattori che hanno influenzato la decisione; e (d) una spiegazione ragionevole (eventualmente in forma testuale) dei motivi per cui è stata presa una certa decisione (46). Quest’ultimo parametro, tuttavia, è particolarmente critico da valutare. Alcuni autori si domandano se la spiegazione debba fornire informazioni complete su tutti i modelli e le variabili prese in considerazione dal sistema (spiegazione model-centric), o solo su quelle che sono rilevanti per il caso specifico in esame (spiegazione subject-centric) (47). Inoltre, rimane incerto se la spiegazione debba includere anche i dati personali (riguardanti soggetti terzi) utilizzati per la decisione. Questa opzione è soggetta a limitazioni da parte dello stesso GDPR. Tuttavia, potrebbe essere necessaria in alcuni casi per verificare l’equità della decisione presa rispetto alla situazione di soggetti diversi in condizioni comparabili. Altro punto critico riguarda quale debba essere il livello di dettaglio su ciascun dato di input e il suo peso nella decisione. La divulgazione di una spiegazione completa (45) ) Articolo 29 Data Protection Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01), adottate il 3.10.2017 e da ultimo riviste il 6.02.2018, all’indirizzo <https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=2ahUKEwjeyZ-0h6blAhXD-KQKHV6aC3oQFjACegQIBBAC&url=https%3A%2F%2F%2Fec. europa.eu%2Fnewsroom%2Farticle29%2Fdoc_id%3Fdoc_id%3D49826&usg=AOvVVaw3Hbd9vdVdV-5JxpwJwJPUmrucm>, nota 40 e p. XX dove si specifica che “The GDPR requires the controller to provide meaningful information about the logic involved, not necessarily a complex explanation of the algorithms used or disclosure of the full algorithm. The information provided should, however, be sufficiently comprehensive for the data subject to understand the reasons for the decision”. (46) Brkan, Do algorithms rule the world? Algorithmic decision-making and data protection in the framework of the GDPR and beyond, in International Journal of Law and Information Technology, 27, 2, 2019, 91–121, all’indirizzo <https://doi.org/10.1093/ijlit/eay017m>, 113. (47) Edwards - Veale, Slave to the algorithm: Why a right to an explanation is probably not the remedy you are looking for, in Duke L. & Tech. Rev., 16:18, 2017.

SAGGI del modello potrebbe infatti generare effetti collaterali. Ad esempio, in un sistema di rilevazione automatica dell’evasione fiscale, la divulgazione della logica adottata dal sistema per generare un avviso di possibile evasione in relazione al superamento di determinate soglie di rischio, può favorire l’adozione di “comportamenti strategici” da parte dei singoli individui nella presentazione delle dichiarazioni fiscali. Per questi motivi, piuttosto che sul requisito della trasparenza, diversi esperti suggeriscono di concentrarsi sulla regolarità procedurale, ossia sull’adozione di tecniche specifiche che dimostrino la capacità del sistema di soddisfare determinati standard di equità anche nelle decisioni automatizzate, senza rivelare quali attributi chiave sono utilizzati nelle decisioni, o i dettagli dei processi algoritmici alla base delle stesse. Altri studiosi, tuttavia, sottolineano che tale regolarità procedurale garantisce solo che le decisioni si basino sulla stessa politica decisionale, che la politica è stata determinata prima di conoscere gli input e che i risultati possono essere riprodotti. Essa considera pertanto solo la regolarità procedurale aggregata di tutti i casi, garantendo che siano decisi secondo le stesse regole. Nemmeno il concetto di regolarità procedurale, però, risponde alla domanda sul perché l’algoritmo abbia raggiunto quella specifica decisione individuale avverso quel soggetto (48).

di causalità. Come affermano Kroll et al., l’analisi e le decisioni prese dai computer spesso godono di un’immeritata assunzione di equità o oggettività, tuttavia la progettazione e implementazione di sistemi decisionali automatizzati risultano esposte a criticità che possono portare ad emettere decisioni sistematicamente errate e affette da bias (pregiudizi) (50). Per i motivi sopra esposti (la mancanza di trasparenza), sarà inoltre spesso molto difficile individuare potenziali bias che influenzano la decisione del sistema. Per quanto riguarda in particolare i sistemi di apprendimento automatico, le principali cause di bias, che possono risultare in effetti discriminatori, sono legate innanzitutto a problemi a carico del dataset, e in particolare: (i) all’uso di un dataset contenente dati che riflettono pregiudizi o bias impliciti, già presenti nelle decisioni su cui è addestrato il sistema (51); e (ii) all’uso di un dataset contenente dati che offrono un quadro statisticamente distorto di alcuni gruppi in relazione alla popolazione complessiva (52). Inoltre, anche dataset senza errori o bias iniziali possono portare a decisioni discriminatorie, a causa dell’incapacità dei sistemi di apprendimento automatico di distinguere tra mera correlazione e causalità, e degli effetti dell’auto-rinforzo del modello sulla base di nuovi dati incorporati nel dataset (53). Un’altra

4.2. Diritto al ricorso effettivo e assenza di motivazione

(50) Kroll – Barocas – Felten – Reidenberg – Robinson – Yu, Accountable algorithms, in U. Pa. L. Rev. 165 (2016), 633.

La motivazione delle decisioni, specialmente in ambito penale o punitivo, rappresenta un requisito imprescindibile per esercitare il diritto ad un ricorso effettivo. Questo presupposto però rischia di essere eluso quando le decisioni sono basate su valutazioni automatizzate, ed in particolare quelle risultanti da sistemi di A/IA basati su apprendimento automatico. L’impossibilità di ricostruire il funzionamento interno dei sistemi di A/IA, infatti, si traduce spesso in un approccio fideistico nei confronti del risultato fornito, cioè nel ritenere che la decisione sia giustificata dallo stesso fatto che è stata presa, con una certa precisione statistica, dal sistema stesso. Questo approccio è stato definito data fundamentalism (49), ovvero la tendenza a ritenere che l’analisi effettuata con tecniche di data mining su grandi insiemi di dati fornisca sempre una visione oggettiva della realtà, tralasciando il fatto che le correlazioni identificate dall’algoritmo, e su cui si basano le decisioni, non necessariamente implicano un nesso

(48) Brkan (n 46). (49) Crawford, The hidden biases in Big Data, in Harvard Business Review Blog Network, 1/04/2013, all’indirizzo: https://hbr.org/2013/04/thehidden-biases-in-big-data.

(51) Supponiamo che un sistema di supporto alle decisioni dei giudici sia addestrato sulle decisioni emesse dai giudici umani dello stato dell’Alabama negli ultimi 80 anni, e supponiamo anche che queste decisioni contengano qualche pregiudizio razziale: questo porterebbe il sistema a riprodurre risultati parziali o discriminatori, sulla base di procedure algoritmiche apparentemente oggettive ma influenzate da pregiudizi “ereditati” da precedenti decisioni umane. (52) Supponiamo il sistema di polizia predittiva utilizzato per individuare gruppi di persone che potenzialmente potrebbero commettere reati sia addestrato su un insieme di dati che sovrarappresenta l’incidenza dei crimini in alcuni gruppi etnici. Le forze dell’ordine sarebbero quindi indirizzate dall’algoritmo a fermare e controllare più persone appartenenti a questi gruppi etnici che ad altri, con il risultato che, statisticamente, saranno scoperti più reati commessi dal gruppo etnico selezionato rispetto a quelli commessi da altri gruppi. Quando i dati relativi ai nuovi reati scoperti saranno aggiunti al dataset, i reati commessi in un quei tra quei gruppi etnici saranno ancora più sovrarappresentati, rafforzando l’effetto discriminatorio in una situazione di circolo vizioso, cfr. Miller, Total Surveillance, Big Data, and Predictive Crime Technology: Privacy’s Perfect Storm., in J. Tech. L. & Pol’y, 19, 105, 2014. (53) Supponiamo che si utilizzi un sistema di polizia predittiva per suggerire quali persone dovrebbero essere controllate per traffico di stupefacenti. Supponiamo anche che il sistema sia stato addestrato su un insieme di dati contenenti informazioni su casi precedenti e che il sistema sia in grado di rilevare una correlazione tra i casi in cui gli automobilisti vengono fermati per eccesso di velocità e il reperimento di prove a carico relative al traffico di stupefacenti. Naturalmente, questa è una mera correlazione derivante dal fatto che chi viene fermato per violazione del codice della strada, ha anche una maggiore probabilità (rispetto al resto della popolazione) che la sua auto verrà perquisita (anche per la ricerca di stupefacenti). Tuttavia, il sistema potrebbe suggerire alle forze di po-

DIRITTO DI INTERNET N. 4/2019

627

SAGGI causa di discriminazione, specifica del settore penale, è che la maggior parte (se non la totalità) dei sistemi A/ IA utilizzati in questo ambito si riferisce solo ad un numero ristretto di reati, spesso cd. “di strada”. Ciò contribuisce ad aumentare la percezione di pericolosità di alcuni autori di reati, a discapito di altre categorie pure caratterizzate da alti tassi di recidiva, come ad esempio i white collar crimes. Infine, dato che la maggior parte dei software predittivi è sviluppata e/o posseduta da società private a scopo di lucro (come nel caso di COMPAS), anche la determinazione del contenuto del dataset, o del processo di selezione applicato dall’algoritmo sul dataset potrebbe dare luogo a decisioni discriminatorie a causa di potenziali conflitti di interessi (ad esempio di natura commerciale) non dichiarati. In una prospettiva diversa, invece, alcuni studiosi sostengono che, lungi dall’amplificare effettori discriminatori, l’incremento di sistemi A/IA, correttamente impiegati, potrebbe in futuro proprio correggere e limitare gli effetti dannosi dei bias cognitivi (umani), in particolare quelli dei giudici. Ad esempio, per quanto riguarda decisioni sul bailing, un recente studio ha dimostrato come un algoritmo progettato per prevedere il rischio di mancata comparizione in giudizio abbia ottenuto risultati più equi dei giudici umani, perché, al contrario di questi ultimi, nel prendere la decisione non si lasciava influenzare dal bias legato alla gravità del reato contestato (current accusation bias) (54). Effetti positivi per gli imputati si sono riscontrati anche in un’altra ricerca in cui si valutava l’utilizzo del sistema PSA nella Contea di Lucas, Ohio, dove il software è stato adottato nel 2015. In tale caso, grazie al PSA, si è infatti registrato un aumento del numero di persone rilasciate senza ricorrere alla cauzione e una significativa riduzione del numero di reati commessi da imputati in attesa di giudizio non sottoposti a misure cautelari (55). Una precauzione solitamente adottata per prevenire o attenuare il rischio di effetti discriminatori è quella di escludere o rimuovere dal dataset i dati sensibili (dati riguardanti l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, la salute, la vita sessuale, lizia di controllare chi viene fermato per eccesso di velocità perché quei soggetti hanno una maggiore probabilità di essere coinvolti nel traffico di stupefacenti. Quando i dati relativi ai nuovi reati si aggiungeranno al dataset, la parzialità del sistema e il suo effetto discriminatorio saranno ulteriormente rafforzati. (54) () Sunstein, Algorithms, correcting biases in Oxford Business Law Blog. Social Research: An International Quarterly, 86, 2, 2019, 499–511, all’indirizzo <https://www.law.ox.ac.uk/business-law-blog/blog/2019/01/algorithms-correcting-biases>; Kleinberg – Lakkaraju – Leskovec – Ludwig – Mullainathan, Human Decisions and Machine Predictions, in The Quarterly Journal of Economics, 133, 1, February 2018, 237-293. (55) ) Tashea, Risk-Assessment Algorithms Challenged in Bail, Sentencing and Parole Decisions, 1.03.2017, all’indirizzo <www.abajournal.com>.

628

DIRITTO DI INTERNET N. 4/2019

l’orientamento sessuale, ecc.) (56). Tuttavia, i sistemi di A/IA possono consentire l’estrazione di dati sensibili anche a partire dal trattamento di dati personali non sensibili. Ad esempio, in un caso famoso, un sistema A/IA impiegato da Target (un retailer statunitense) per analizzare gli acquisti dei clienti, è stato in grado di assegnare ad ogni cliente un punteggio di ‘previsione di gravidanza’ e di stimare la data del parto, sulla base solamente dell’analisi della cronologia degli acquisti di determinati prodotti, e di alcune informazioni demografiche aggiuntive (57). Alcuni recenti contributi hanno suggerito altre possibili azioni per gestire e limitare il rischio di bias e i conseguenti effetti discriminatori, quali ad esempio: a) garantire e dimostrare l’origine dei dati utilizzati dal sistema (eventualmente certificandone le fonti), la loro qualità e la loro copertura, e che essi non siano stati modificati prima di essere utilizzati dal sistema di apprendimento automatico, in modo che l’intero ciclo di vita dei dati sia tracciabile; b) fornire informazioni sui metodi di trattamento dei dati, eventualmente attraverso un audit indipendente, quando non è possibile un accesso diretto al codice sorgente (58); c) fornire all’individuo oggetto di una decisione di un sistema di tipo black box, un insieme di spiegazioni controfattuali, vale a dire informazioni che descrivono le più piccole modifiche agli input del sistema che, in ipotesi, avrebbero portato a un risultato differente e auspicabile per la persona interessata, senza dover spiegare la logica interna del sistema. In questo modo, sapendo quali fattori esterni e quali variabili hanno contribuito alla valutazione automatizzata, il soggetto destinatario della decisione sarebbe in grado di contestarla e, in particolare, di ottenere la prova che di un’eventuale discriminazione quando questa è determinata da un dato sensibile (ad esempio, la razza o l’appartenenza etnica) (59). Anche nei casi in cui non è in gioco alcuna discriminazione, tuttavia, permangono diverse questioni critiche in relazione alla stessa definizione di “ricorso effettivo” nell’ambito di decisioni (anche solo parzialmente) automatizzate.

(56) Cfr. le “categorie particolari di dati personali”, di cui all’Art. 9 GDPR. (57) Floridi, The fourth revolution: How the infosphere is reshaping human reality, OUP Oxford, 2014, 16. (58) CEPEJ, European Ethical Charter (n 42), 11 (59) Wachter – Mittelstadt - Russell, Counterfactual explanations without opening the black box: Automated decisions and the GDPR, in Harv. JL & Tech. 31, 2017, 853.

SAGGI 4.3. Quale rimedio è davvero effettivo?

Nei paragrafi precedenti abbiamo analizzato alcuni profili che rendono più difficile, per l’imputato destinatario di una decisione automatizzata, esercitare il proprio diritto ad un ricorso effettivo. Prima di introdurre alcune proposte costruttive su come meglio assicurare la conformità a questo diritto fondamentale, tuttavia, è necessario collocare il problema nell’attuale contesto normativo. Anche se non si riscontrasse nessuna delle criticità già analizzate, i rimedi previsti dalle legislazioni europee attualmente in vigore non sembrano in grado di garantire un ricorso effettivo dei processi decisionali automatizzati o parzialmente automatizzati. Gli ordinamenti nazionali sono oggi semplicemente per lo più privi di strumenti o disposizioni specifici per riesaminare decisioni algoritmiche in ambito penale (60). Considerazioni analoghe valgono, in realtà, anche a livello del diritto dell’Unione dove, almeno dal 2016, il problema delle decisioni automatizzate è esplicitamente considerato. Ci si riferisce, in particolare, all’articolo 11(1) della Direttiva 2016/680, secondo il quale “una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici negativi o incida significativamente sull’interessato [è] vietata salvo che sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che preveda garanzie adeguate per i diritti e le libertà dell’interessato, [incluso] almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento” (61). La legislazione comunitaria, pertanto, stabilisce il diritto ad un controllo umano in caso di decisioni basate esclusivamente su una valutazione A/IA. Questo principio, riportato anche nel Regolamento privacy (GDPR), ha trovato ad oggi applicazione negli Stati membri, a livello giurisprudenziale, soprattutto in settori diversi dal diritto penale. È il caso, ad esempio, dell’Italia, dove nel 2018 il TAR Lazio ha dichiarato, con riferimento all’utilizzo di algoritmi nell’assegnazione del personale scolastico, che un processo amministrativo discrezionale non può essere pienamente delegato ad un sistema auto-

matizzato, ribadendo l’importanza del controllo umano su tali decisioni (62). Il successivo controllo umano su una decisione automatizzata, però, è un “rimedio” che presenta diverse criticità, in generale e nella materia penale in particolare. In primo luogo, operare una distinzione tra il processo decisionale completamente automatizzato e quello semiautomatizzato può sembrare una distinzione logica a prima vista. Questa idea è stata espressa chiaramente dal Gruppo di Lavoro “Articolo 29”, secondo il quale “se un essere umano riesamina il risultato del processo automatizzato e tiene conto di altri fattori nel prendere la decisione finale, tale decisione non sarà “basata unicamente” sul trattamento automatizzato” (63). In pratica, però, i confini tra i due modelli decisionali sono piuttosto labili (64). È discutibile infatti, che esseri umani, sebbene incaricati di assumere una posizione di controllo sulle decisioni automatizzate, siano effettivamente nelle condizioni per riesaminare tali decisioni. La questione su in capo a chi risieda l’autorità decisionale effettiva è stata peraltro sollevata in diversi contesti, che hanno in comune con la giustizia penale l’estrema importanza degli interessi in gioco e la necessità di prendere decisioni in un arco di tempo limitato. Un esempio fra tutti è l’ambito sanitario, un settore in cui i sistemi di A/IA sono già utilizzati per generare ipotesi di diagnosi e relativi trattamenti, a supporto dell’attività decisionale del medico (65). Gli attuali sistemi di A/IA, infatti, come già detto sopra, spesso non sono tecnicamente in grado di fornire spiegazioni intellegibili delle ragioni alla base delle loro valutazioni. Non solo, come sostenuto da un autorevole giurista americano, l’intelligenza artificiale è fondamentalmente aliena da quella umana, e spesso l’intero scopo di un sistema di intelligenza artificiale è quello di imparare a fare o vedere le cose in modi impossibili per gli esseri umani (66).

(62) Tar Lazio, Sezione Terza Bis, Decisione n. 09230/2018 (udienze del 26.06.2018 e 11.07.2018), all’indirizzo <https://www.giustizia-amministrativa.it/portale/pages/istituzionale/visualizza?nodeRef=&schema=tar_rm&nrg=201611238&nomeFile=201809230_01.html&subDir=Provvedimenti>. (63) Articolo 29 Data Protection Working Party (n 45).

(60) Non così in altri settori del diritto, dove si riscontra una maggiore attenzione. Un esempio in questo senso è rappresentato dalla legislazione fiscale tedesca, modificata nel 2016 per includere una norma secondo la quale un atto amministrativo può essere adottato in modo completamente automatico, a condizione che ciò sia consentito dalla legge e che l’accertamento non richieda alcuna valutazione discrezionale, cfr. Gesetz zur Modernisierung des Besteuerungsverfahrens vom 18. Juli 2016 (BGBl. I S. 1679), § 35a. (61) Considerazioni analoghe potrebbero essere fatte anche per quanto riguarda l’articolo 22 GDPR.

(64) Council of Europe, Study on the Human rights dimensions of Automated Data Processing Techniques (In particular algorithms) and possible regulatory implications, 6.10.2017, all’indirizzo < https://rm.coe.int/algorithms-and-human-rights-en-rev/16807956b5>. (65) Come, ad esempio, nel caso di IBM Watson Health, all’indirizzo <https://www.ibm.com/watson-health/learn/artificial-intelligence-medicine>. (66) Selbst, Negligence and AI’s Human Users (11.03.2019 - Boston University Law Review, in corso di pubblicaizone), disponibile su SSRN all’indirizzo <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3350508>.

DIRITTO DI INTERNET N. 4/2019

629

SAGGI In ambito medico, i sistemi A/IA di supporto alla diagnosi, addestrati su dataset contenenti ingenti quantità di dati attinti da cartelle cliniche, risultati di esperimenti e letteratura medica, si sono tuttavia dimostrati in grado di produrre diagnosi e proposte di cura statisticamente più precise delle corrispondenti valutazioni prodotte dai medici umani negli stessi casi. In questo contesto, sembra piuttosto improbabile che il controllore umano, sebbene dotato di specifiche competenze tecniche e professionali possa essere effettivamente in grado di entrare nel merito della valutazione, specialmente quando la decisione deve essere presa in un breve intervallo di tempo. A meno di evidenti errori macroscopici, infatti, al medico rimarranno sostanzialmente due alternative: o fidarsi dei risultati della valutazione automatizzata, perché si fida del sistema di A/IA che l’ha generata; oppure non fidarsi né del risultato, né del sistema. La mancanza di ragioni di fondo per contraddire le previsioni dell’IA comporta pertanto che la ragionevolezza delle singole decisioni individuali finisca per essere legata alla decisione di usare l’IA in linea generale (67). Considerazioni simili possono riportarsi anche per l’uso di sistemi A/IA in ambito penale, a prescindere dal fatto che generalmente i termini per adottare decisioni sono meno stringenti rispetto alla medicina (68) e che sia più difficile, in questo settore, verificare alla luce di criteri oggettivi il livello di accuratezza delle valutazioni formulate (da macchine e da esseri umani). Ciò è ancora più vero considerando che, in generale, quando si tratta di effettuare valutazioni prognostiche, la capacità di giudizio umana è inferiore ai modelli statistici (69). Nonostante quanto previsto dalla Direttiva 2016/680, quindi, anche quando l’essere umano mantenga formalmente la titolarità della decisione finale, la possibilità concreta di contestarne il merito in modo effettivo rimane un’ipotesi remota. L’attuale legislazione nell’Unione richiede oggi il controllo delle decisioni (esclusivamente) automatizzate, ma tale controllo è di fatto, anche in ambito penale, ridotto alla scelta tra il fidarsi o meno del sistema di A/ IA. In questo senso, la mera previsione di un successivo intervento umano non sembra sufficiente a garantire un

(67) Selbst (n 66). (68) Almeno in linea di principio, ma si veda ad esempio il caso dell’Agenzia europea per il controllo delle frontiere esterne (Frontex), in cui è stato stimato che il tempo a disposizione per ogni decisione sulla legittimità delle richieste di ingresso individuali nel territorio dell’UE è di circa 12 secondi, cfr. Fergusson, Twelve Seconds to Decide in Search of Exellence: Frontex and the Principle of ‘Best Practice’ in Publications Office of the European Union, 2014, 15. (69) Deskus (n 20); si veda anche Millar – Kerr (n 4).

630

DIRITTO DI INTERNET N. 4/2019

rimedio effettivo, specialmente alla luce dei parametri di “effettività” utilizzati dalle due Corti europee.

5. Tutta colpa dell’intelligenza artificiale? Black box “umane” e processo penale

Una delle principali criticità che impediscono, di fatto, un ricorso effettivo contro le decisioni che includono valutazioni anche solo parzialmente automatizzate, è, come si è detto, l’impossibilità di ottenere (adeguate) motivazioni dai sistemi A/IA. Sarebbe tuttavia errato ritenere che, nel processo penale, una tale lacuna sia riscontrabile solo quando algoritmi o intelligenza artificiale sono coinvolti. Al contrario, meccanismi decisionali che ricordano molto da vicino il modello black box caratterizzano anche il funzionamento totalmente “umano” (nel senso di non automatizzato) del procedimento e processo penale. L’istituto della giuria è forse l’esempio più evidente di queste black box “umane”. In diversi ordinamenti giuridici, infatti, la decisione sulla colpevolezza dell’imputato si concretizza in un verdetto privo di motivazione: un meccanismo il cui funzionamento ricorda da vicino il ruolo “oracolare” giocato dai sistemi A/IA nel processo decisionale automatizzato. In tal senso, l’esistenza di procedure di selezione dei giurati non sembra rappresentare un elemento distintivo rilevante, pur costituendo un importante strumento per garantire una certa equità del procedimento, soprattutto contro potenziali discriminazioni. Come si è detto, infatti, anche in caso di decisioni automatizzate possono ad oggi essere adottate adeguate precauzioni per venire incontro a queste esigenze. Come nelle decisioni di A/IA, pertanto, anche nel processo con giuria, la riconduzione dell’imputato alle “classi di riferimento” innocente/colpevole, non essendo supportata da una giustificazione motivata, rimane una valutazione le cui rationes (e possibili vizi) non sono ricostruibili dal destinatario del provvedimento con un livello di certezza ragionevole. Diverse sono tuttavia anche le parentesi di black box riscontrabili all’interno di paradigmi processuali tradizionali altrimenti del tutto “spiegabili”. Come già evidenziato da alcuni studiosi, questi sono i casi nei quali l’organo giudicante è chiamato ad effettuare valutazioni di rischio o “previsioni” sulla base di criteri “taciti” (70) che, di fatto se non esplicitamente, si fondano su elementi non strettamente giuridici come “l’intuizione”, “il senso di giustizia” o “l’esperienza” del giudice (71). (70) Per quanto riguarda l’uso di “tacit knowledge and tacit norms”, cfr. Schulz - Dankert, “Governance by Things” as a Challenge to Regulation by Law, in Internet Policy Review 5(2), 2016. (71) Cfr. Caianiello, Criminal Process faced with the Challenges of Scientific and Technological Development, in European Journal of Crime, Crime, Crimi-

SAGGI Tali situazioni si verificano, ad esempio, quando un giudice debba compiere valutazioni non riferite a fatti passati, ma a potenziali comportamenti futuri, come pronunciarsi sulla sussistenza di esigenze cautelari, o decidere in merito alla concessione di misure alternative alla detenzione. È vero che, contrariamente a quanto accade, per esempio, nei casi di COMPAS o HART, tutte queste diagnosi sono (e debbono) essere giustificate dai giudici umani. Se non si vuole ridurre tutto l’accertamento ad un mero riscontro di eventuali precedenti penali (72), tuttavia, tale motivazione raramente contiene, e soprattutto può contenere, elementi che garantiscano, oggettivamente, una maggiore equità rispetto a decisioni prese da sistemi di A/IA. La mancanza di trasparenza e di motivazione ed il rischio di discriminazione sono naturalmente tutte buone ragioni, come abbiamo anticipato, per criticare l’uso di tali tecnologie nella materia penale. Le stesse critiche, tuttavia, potrebbero essere mosse – con la medesima intensità e a livello strutturale – anche contro decisioni totalmente “umane”. Le valutazioni del giudice umano possono infatti in ugual misura essere influenzate da pregiudizi e sono certamente condizionate dai limiti – intrinseci in ogni esperienza umana, per quanto professionale – nel formulare giudizi statistici e prognostici. Queste situazioni, sostanzialmente piuttosto simili, sono però generalmente percepite come molto diverse. La possibilità che un giudice umano formuli prognosi di rischio sulla base di criteri vaghi, per lo più non riscontrabili (tranne nel caso di precedenti penali) in modo oggettivo e, di conseguenza, interpretati necessariamente in modo personale, così come il potere della giuria di emettere “oracoli” è talvolta criticata, ma solitamente accettata come legittima. Al contrario, quando valutazioni simili sono rese da sistemi A/IA, la legittimità di tale scelta di politica criminale è ad oggi fortemente contrastata, specialmente in diverse giurisdizioni europee. In tal senso, alcuni autori hanno sottolineato come “noi umani” siamo piuttosto indulgenti (forse non ci interessi ammettere) verso gli errori e i fallimenti della nostra specie. Tolleriamo invece molto meno la capacità di tali fallimenti nelle nostre macchine. In altre parole, probabilmente ci aspettiamo di più dalle nostre macchine che da noi stessi (73).

nal Law and Criminal Justice (2019, in corso di pubblicazione). (72) Come nelle famigerate three-strikes law, fortemente criticabili in un sistema che miri al rispetto del giusto processo e del principio di proporzionalità della pena. (73) Allen – Varner - Zinser, AMA: Artificial Moral Agents (Prolegomena to any future artificial moral agent), in Journal of Experimental & Theoretical Artificial Intelligence, 2000, 12(3):251-261.

Certo il giudice, così come la giuria, possono considerarsi, seppure con gradi diversi, rappresentanti della comunità (umana) di riferimento, godendo quindi di un riconoscimento “politico” che risulta difficilmente applicabile ad un algoritmo. E tuttavia, come si è detto, un certo grado di democraticità e trasparenza può essere assicurato anche nella programmazione (e nell’utilizzo) dei sistemi A/IA, di modo che i risultati prodotti siano allineati ai principi fondamentali nei quali i consociati si rispecchiano, primo fra tutti, il principio di legalità. Alla luce dei progressi tecnologici riferiti all’intelligenza artificiale, inoltre, appare sempre più difficile giustificare una preferenza per il giudice “umano” sulla base della considerazione che solo l’essere umano, in quanto tale, ha la capacità non solo di applicare correttamente una regola, ma anche di disapplicarla e di trovare soluzioni non convenzionali. In questo senso, infatti, l’IA si distingue (e probabilmente, si distinguerà sempre più) dalla concezione tradizionale di “macchina” quale mero esecutore di compiti strettamente programmati. Una certa dose di “creatività” non è infatti estranea a questa tecnologia, oggi ancora ai suoi albori ma già impiegata, ad esempio, nella creazione di collezioni di moda (74). Ciò nonostante, continuiamo istintivamente a ritenere più accettabile la capacità di ragionare e giudicare, con tutti i possibili relativi errori, quando questa facoltà è esercitata da esseri umani. Non si vuole qui sostenere che tale conclusione sia da abbandonare; l’analisi approfondita delle ragioni giuridiche, politiche ma forse ancor più psicologiche, che stanno alla base di questo atteggiamento, tuttavia va al di là del presente contributo. Queste considerazioni possono però essere utili per ricordarci che l’introduzione di decisioni A/IA nei procedimenti penali non mette solo in discussione la tenuta di principi fondamentali e di istituti nati in contesi “totalmente umani”. Il crescente dibattito sulle decisioni automatizzate, in realtà, potrebbe (dovrebbe) essere accolto anche come un’occasione per riportare alla luce quei momenti “predittivi” tradizionalmente presenti nel processo penale e per riaprire una discussione finalmente scevra da (umani) pregiudizi sulla loro legittimità alla luce dei diritti fondamentali dell’imputato.

6. Verso un ricorso (davvero) effettivo: alcune proposte

Alla luce delle considerazioni sinora svolte, appare fondamentale realizzare un apparato di garanzie tecniche e giuridiche in grado di evitare che l’uso di A/IA nella

(74) Cfr., ad esempio, il marchio Glitch (<https://glitch-ai.com/pages/ about-us>), su cui si veda ad esempio Wood, These clothes were designed by artificial intelligence, in World Economic Forum, luglio 2019, all’indirizzo: < https://www.weforum.org/agenda/2019/07/these-clothes-were-designed-by-artificial-intelligence/>.

DIRITTO DI INTERNET N. 4/2019

631

SAGGI giustizia penale si traduca in chiare violazioni dei diritti fondamentali previsti dalla Carta e dalla Convenzione europea e soprattutto del diritto al ricorso effettivo. A tal fine, in primo luogo, è necessario che gli operatori del diritto che si occupano, e si occuperanno sempre più, spesso di algoritmi e di IA, abbiano un’adeguata consapevolezza delle capacità e dei limiti di tali sistemi. Ciò non richiede che essi diventino ingegneri informatici, ma è imprescindibile che sappiano interagire correttamente con i sistemi A/IA e, quindi, incorporare criticamente i risultati automatizzati nelle valutazioni “umane”. In altri termini, è necessario passare da un approccio basato sul data fundamentalism a uno basato sulla informed trust (75). In secondo luogo, piuttosto che relegare esclusivamente in una fase successiva il controllo sull’accuratezza del sistema A/IA, affidandone il compito a soggetti privi della necessaria competenza tecnica, sembra preferibile invece istituire un meccanismo di certificazione ex ante che consenta di validare il funzionamento del sistema con la partecipazione o il controllo di autorità pubbliche, come già avviene in altri settori (76). In realtà, tale certificazione dovrebbe riguardare non solo il funzionamento del sistema A/IA in quanto tale, ma anche l’intero sistema socio-tecnico che include tecnologia, utenti (giudici, pubblici ministeri, forze dell’ordine, avvocati) e le norme giuridiche ed etiche che regolano tale interazione. Per stabilire questo meccanismo di certificazione le imprese che sviluppano sistemi A/IA saranno costrette a produrre informazioni che documentino l’approccio progettuale, lo sviluppo, la qualità e l’estensione del dataset, il funzionamento, la formazione degli utenti, ecc. L’obbligo di produrre tali informazioni vincolerà anche lo sviluppo stesso del sistema: per soddisfare i requisiti di certificazione, le imprese finiranno infatti per essere guidate anche nelle scelte progettuali dei sistemi A/IA. Questo approccio è già seguito in diversi settori cd. satefy-critical (come in ambito medico e nell’aviazione). Per ottenere tale certificazione, le imprese dovranno produrre solide prove empiriche che dimostrino l’idoneità del sistema allo scopo cui sono destinati. La certificazione dovrebbe comprendere anche regole per individuare profili di responsabilità, ad esempio specificando quali competenze e conoscenze sono necessarie per l’utilizzo del sistema finalizzato ad un particolare risultato pro-

cessuale. Un sistema di certificazione efficace dovrebbe inoltre stabilire classi di rischio sulla base dello scopo e della fase procedurale in cui il sistema sarà utilizzato. La certificazione dovrebbe infine essere completata da un sistema di verifiche periodiche, che potrebbero variare in base alla classe di rischio in cui il sistema è impiegato. Un modello che potrebbe essere adottato come riferimento è quello del Regolamento 2017/745 (77), che stabilisce i requisiti necessari per ottenere il marchio di Conformità Europea (CE), attraverso il quale un dispositivo medico è certificato come prodotto conforme ai requisiti di sicurezza e prestazioni. I dispositivi medici sono suddivisi in quattro diverse classi, a seconda dello scopo del dispositivo e dei rischi inerenti (78). Per ogni classe viene definita una diversa procedura di valutazione di conformità, che richiede valutazioni di base per i dispositivi della prima classe I, fino a garanzia qualità totale per i dispositivi della classe III. Mentre nel primo caso, la valutazione della conformità ai requisiti del regolamento può essere effettuata sotto l’esclusiva responsabilità del produttore, la procedura completa di valutazione della qualità richiede il coinvolgimento di un organismo qualificato e di un gruppo di esperti (79). Nell’ambito della procedura di certificazione, i dati critici come il codice sorgente dovrebbero poter essere oggetto di ispezione da parte di un audit indipendente. In questo modo, si potrebbe raggiungere un giusto equilibrio tra gli interessi delle imprese (proprietà intellettuale, segreti commerciali) e quello pubblico di operare un controllo sull’uso di tale tecnologia nella materia penale. A tal fine, sembra opportuno che gli audit sia effettuati in modo uniforme su scala nazionale, possibilmente da un organismo pubblico in grado di garantire il controllo democratico, come una apposita commissione parlamentare. La certificazione e la convalida possono quindi contribuire anche a rafforzare la fiducia nell’uso di tali tecnologie nella materia penale, andando nella direzione di quella che attualmente è chiamata “trustworthy AI” (80). Certificazione e validazione potrebbero essere considerate garanzie sufficienti per l’equità delle decisioni automatizzate adottate in alcuni contesti in cui la valu (77) Art. 10(9) Regolamento (UE) 2017/745 del 5.04.2017, relativo ai dispositivi medici. (78) Cfr. capo V, Sezione 1, art. 51 del Regolamento 2017/745.

(75) IEEE (n 40), 220, secondo cui: “If we are to realize the benefits of A/IS, we must trust that they are safe and effective. We must enact policies and promote practices that allow those technologies to be adopted on the basis of informed trust. Informed trust rests on a reasoned evaluation of clear and accurate information about the effectiveness of A/IS and the competence of their operators”. (76) IEEE (n 40), 16.

632

DIRITTO DI INTERNET N. 4/2019

(79) Si veda l’art. 52 del Regolamento 2017/745. “Per ogni dispositivo i fabbricanti provvedono a pianificare, istituire, documentare, applicare, mantenere e aggiornare un sistema di sorveglianza post-commercializzazione in modo proporzionato alla classe di rischio e adeguato alla tipologia di dispositivo”, cfr. art. 83(2), del Regolamento 2017/745. (80) Commissione europea, Ethics Guidelines for Trustworthy AI, aprile 2019, all’indirizzo <https://ec.europa.eu/digital-single-market/en/ news/ethics-guidelines-trustworthy-ai>, 54.

SAGGI tazione del rischio, cioè il pregiudizio per i diritti di difesa individuale, è relativamente basso. Questo potrebbe essere, ad esempio, il caso di reati per i quali possono essere inflitte solo sanzioni pecuniarie. Ciò consentirebbe di concentrare le risorse umane nella repressione e nell’accertamento dei reati più gravi. Negli altri casi, tuttavia, non si può demandare esclusivamente alle procedure di certificazione il rispetto dei diritti fondamentali e il controllo democratico (81). Queste situazioni richiedono la creazione di soluzioni tecniche e giuridiche innovative. Da un lato, il riferimento va all’adozione delle cosiddette soluzioni di explicable AI o XAI. Con questa espressione si fa riferimento ai metodi tecnici per spiegare i modelli delle black box, e in particolare si indicano quegli approcci in cui i metodi di apprendimento automatico sono collegati con metodi simbolici o basati su regole, in modo da fornire spiegazioni comprensibili all’uomo sulla base di mappe di argomenti o sequenze di passaggi logico-argomentativi. A tal fine, secondo alcuni autori, sarebbe possibile fornire un modello interpretabile e trasparente che sia in grado di replicare il processo decisionale della black box, rendendolo intellegibile (82). Questo approccio appare particolarmente interessante per la materia penale, nella quale la possibilità di accedere a tutti i fattori presi in considerazione da un sistema predittivo per assumere la sua decisione, e il peso attribuito a ciascuno di essi nel processo decisionale, è più utile, nell’ottica di tutelare il diritto di difesa, rispetto a un risultato che esprime solo una probabilità numerica che si verifichi un evento futuro. Gli approcci di explicable AI, tuttavia, sono ad oggi in fase di ricerca e non ancora raggiunto il grado di maturità necessario per essere adottati in contesti d’uso reali. D’altro canto, sul piano legale, una prima ipotesi potrebbe essere quella di generalizzare la giurisprudenza della Corte Suprema degli Stati Uniti nella causa Loomis, introducendo anche negli ordinamenti giuridici europei una regola probatoria secondo la quale i risultati dei sistemi A/IA possono essere valutati dal giudice, (81) In questo senso, si veda anche la Commissione europea (n 80), 26, punto (107), secondo cui: “Poiché non ci si può aspettare che tutti siano in grado di comprendere appieno il funzionamento e gli effetti dei sistemi di IA, occorre valutare la possibilità di ricorrere a organizzazioni che possano certificare per il pubblico generale che un sistema di IA è trasparente, responsabile ed equo53. Tali certificazioni applicherebbero norme elaborate per diversi campi di applicazione e diverse tecniche di IA, opportunamente allineate alle norme industriali e sociali dei vari contesti. La certificazione non può tuttavia mai sostituire la responsabilità e dovrebbe essere quindi integrata da quadri di accountability, tra cui clausole di esclusione della responsabilità nonché meccanismi correttivi e di riesame”. (82) Cfr. Guidotti – Monreale – Ruggieri – Turini – Giannotti - Pedreschi, A survey of methods for explaining black box models, in ACM Comput. Surv. 51, 5, 2018, 93:1–93:42.

purché non costituiscano l’elemento unico e decisivo a carico dell’imputato (83). Questa soluzione, forse già in linea con l’approccio omnicomprensivo elaborato dalla Corte di Strasburgo, non sembra tuttavia del tutto soddisfacente. Per l’imputato, infatti, contestare il merito della valutazione fornita dal sistema A/IA rimane sempre difficile, se non impossibile. Da ciò deriva, di conseguenza, anche l’impossibilità di esercitare un ricorso davvero effettivo contro la decisione fondata su tali elementi. Difficilmente, inoltre, questa lacuna può essere colmata dalla garanzia di un intervento successivo da parte dell’autorità giudiziaria “umana”. Abbiamo già illustrato le ragioni per cui spesso un essere umano non è nella condizione di poter efficacemente riesaminare una decisione automatizzata. In questo senso, la disposizione dell’art. 11 della Direttiva 2016/680 può essere letta più come l’affermazione della necessità di non delegare in toto il potere decisionale ai sistemi A/IA (anche ai fini di eventuali richieste di risarcimento) piuttosto che come una disposizione realmente in grado di ottenere tale effetto. Per garantire che i mezzi di ricorso a disposizione degli indagati o imputati siano veramente effettivi, sia quando la decisione è totalmente automatizzata sia quando è basata solo in parte elementi prodotti da sistemi A/IA, appare più appropriato un cambio di prospettiva. Si potrebbe, in tal senso, introdurre nel processo penale il diritto a far riesaminare le valutazioni generate da un sistema A/IA da un altro sistema automatizzato. Ad esempio, se il giudice di primo grado emette una decisione (sulla quantificazione della pena ma, in prospettiva, anche sulla colpevolezza) basata in tutto o in parte su valutazioni effettuate dal sistema X, l’imputato dovrebbe avere il diritto, dinanzi alla corte d’appello, di far ripetere tale valutazione da un sistema Z. Non sarebbe tuttavia sufficiente che entrambi i sistemi siano certificati e validati per l’utilizzo nel processo penale; per garantire un rimedio effettivo, questi dovrebbero anche essere progettati e sviluppati da produttori diversi. Questa prospettiva, ancora inesplorata nel settore della giustizia penale, trova da tempo applicazione in settori safety critical, quali ad esempio l’aviazione, dove l’adozione di tecnologie ridondanti è generalmente considerato il metodo migliore per ridurre il rischio di incidenti e aumentare l’affidabilità dei controlli (84). Essa

(83) Corte EDU, Al-Khawaja e Tahery v UK (n 30). (84) Dove si suggerisce addirittura suggerito di mantenere l’utilizzo di tecnologie diverse per la stessa funzione, anche quando una di esse sia nettamente migliore delle altre, cfr. Jones, Common cause failures and ultra reliability, in 42a Conferenza Internazionale sui Sistemi Ambientali (2012), 3602, all’indirizzo <https://arc.aiaa.org/doi/abs/10.2514/6.20123602>.

DIRITTO DI INTERNET N. 4/2019

633

SAGGI si basa sul principio di c.d. ridondanza (redundancy), secondo cui le stesse informazioni devono essere elaborate simultaneamente da un certo numero di sistemi diversi ma con le medesime funzioni. La diversità può essere ottenuta adottando approcci alternativi nello sviluppo degli algoritmi, impiegando diversi team di programmatori e selezionando diversi componenti hardware e software (85). L’applicazione del redundancy approach alle decisioni automatizzate nel processo penale richiederebbe di rendere disponibili, presso ogni distretto giudiziario, una gamma di sistemi A/IA certificati e validati (ad esempio, tramite la creazione di un apposito albo). Questo ventaglio di opzioni dovrebbe essere sufficientemente ampio da consentire ai giudici di appello di scegliere, per la falsificazione della valutazione prodotta in primo grado (o durante le indagini preliminari), un sistema diverso da quello già applicato. Garantire tale diritto potrebbe consentire al giudice (umano) di accedere ad una seconda valutazione automatizzata, dandogli la possibilità di applicare in modo effettivo i criteri della logica (umana) nell’operazione di comparazione e, quindi, di realizzare (o provare a realizzare) un rimedio veramente effettivo nei confronti dell’imputato. L’introduzione strutturale di tali sistemi, che rappresenterebbe, in un certo senso, una versione tecnologicamente aggiornata dell’istituto della perizia, potrebbe anche contribuire a ridurre la disparità fra imputati che hanno le risorse per far esaminare le valutazioni automatizzate (e quindi per cercare di contestarle) e coloro che invece ne sono privi. Il rischio di discriminazioni di tipo economico, in astratto riscontrabili in tutti i processi e specialmente in quelli dove la difesa può trarre giovamento dalla nomina di un consulente tecnico, appare infatti particolarmente iniquo alla luce degli attuali ambiti di applicazione dei sistemi A/IA. Come si è illustrato, invero, questi sono ad oggi esclusivamente utilizzati in riferimento a reati cd. “di strada”, cioè reati in cui si concentrano buona parte degli imputati economicamente svantaggiati. In tal senso, un uso non debitamente regolato (e ragionato) dei sistemi A/IA rischia certamente di comportare un peggioramento nella possibilità di esercitare in modo efficace i propri diritti fondamentali. Gli algoritmi e l’intelligenza artificiale, però, stanno dimostrando di avere grandi potenzialità nella trasformazione in toto delle dinamiche decisionali tipiche del processo penale; potenzialità che ancora non sembrano appieno comprese e sfruttate. Forse è giunto il tempo di metterle anche al servizio dei diritti della difesa.

(85) Downer, When failure is an option: Redundancy, reliability and regulation in complex technical systems, Discussion Paper no. 53, Centre for Analysis of Risk and Regulation, London School of Economics, 2009.

634

DIRITTO DI INTERNET N. 4/2019

SAGGI

La libertà di informazione e di espressione del pensiero nell’era della democrazia virtuale e dei global social media di Giulia Bazzoni Sommario: 1. Internet e la decentralizzazione della produzione dell’informazione. – 2. I caratteri della Res publica “virtuale”. – 3. La libertà di informazione e di libera espressione quale “pietra angolare” del processo democratico. – 4. Gate Keepers e il “potere” degli algoritmi nel sistema informativo contemporaneo. – 5. Bolla di filtraggio e le sue implicazioni sul processo democratico. – 6. Democrazia virtuale e quadro normativo: garanzie claudicanti. – 7. Conclusioni: nuove frontiere di regolamentazione del fenomeno democratico. Obiettivo di tale contributo è tentare di indagare se nel contesto contemporaneo, in cui il processo democratico sta acquisendo una nuova morfologia, grazie all’utilizzo di piattaforme digitali quali moderne agorà di discussione collettiva, si possa ritenere che vi sia ancora una garanzia effettiva dei valori genetici della democrazia stessa. In particolare, l’analisi mostrerà quali sono i principali mutamenti nonché i maggiori rischi determinati dai nuovi meccanismi di scambio e filtraggio delle informazioni nelle piattaforme online. Da tali premesse, si cercherà ci comprendere se i valori costituzionali rappresentino ancora la pietra angolare della democrazia o se necessitino di nuovi e più efficaci strumenti di tutela al fine di essere effettivamente garantiti. This contribute aims to investigate whether, in the contemporary context, in which the democratic process has been acquiring a new morphology thanks to the use of digital platforms as modern agorà for discussion, it can be assumed that there is still effective guarantees of the main essential values. In particular, the analysis will attempt to investigate the main changes carried out by Internet, as well as the risks linked with the new systems of information’s exchange and filtering in online platforms. By analyzing these problems, the paper will try to understand if it is possible to assume that constitutional values still represent today the cornerstone of democracy or if they need new and more effective tools of protection in order to be effectively guaranteed.

1. Internet e la decentralizzazione della produzione dell’informazione

Il ventunesimo secolo è stato connotato chiaramente da una forte spinta all’innovazione tecnologica e al cristallino stagliarsi nell’orizzonte giuridico di una nuova figura dai tratti poliformi e sfumati, ossia Internet, la cui regolamentazione costituisce oggi, forse, la sfida più complessa per i giuristi contemporanei (1). La progressiva affermazione di Personal Computers quale dispositivi di comunicazione rivoluzionari, sempre più innovativi e all’avanguardia, ha determinato l’assunzione di un ruolo preminente e dominante da parte di Internet quale veicolo principale di trasmissione di qualsiasi tipo di informazione o servizio (2). Tali strumenti di comunicazione, ponendosi in rottura più che in continuità con i sistemi precedenti, hanno contribuito a provocare il crepuscolo dei media classi-

ci (3) e, conseguentemente a ciò, la nascita di nuove modalità di comunicazione collettiva, nonché nuovi assetti di creazione e circolazione delle informazioni (4). In primo luogo, infatti, i mezzi di comunicazione odierni si connotano per essere per lo più media di massa, ossia strumenti in grado di raggiungere istantaneamente la collettività globale, avendo, così, un impatto più amplificato e istantaneo rispetto al passato (5). Secondariamente, oggi si assiste ad un sistema di produzione dell’informazione radicalmente decentralizzato: è sufficiente disporre di strumenti digitali comuni, ossia un computer o un tablet, per poter usufruire della rete e divenire, in tal modo, produttori di informazione. Nei nuovi flussi di notizie il singolo individuo assume un ruolo attivo, chiunque può produrre informazioni,

(3) Così Meloni, Il crepuscolo dei media: Informazione, tecnologia e mercato, Roma-Bari, 2017, 15 ss.; Manovich, Il linguaggio dei nuovi media, Milano, 2002, passim. (1) Si osservi, Frosini, L’orizzonte giuridico dell’internet, in Dir. inf. e inform., 2002, 275 ss.

(4) Cfr. Pitruzzella, La libertà di informazione nell’era di Internet, in Media Laws, 2018, 19 ss.

(2) Sul punto: Franceschelli, Emarginazione digitale, in questa Rivista, 2019, 7 ss., in cui evidenzia i cambiamenti apportati dalla c.d. rivoluzione digitale e delle problematiche che essa determina a livello sociale.

(5) Sul punto: Balking, The First Amendement in the Second Gilded Age, in Buffalo L. Rev., 2018, 984 ss., dove delinea le principali differenze tra gli strumenti di comunicazione del ventesimo e ventunesimo secolo.

DIRITTO DI INTERNET N. 4/2019

635

SAGGI proponendo idee e nuovi punti di vista e contemporaneamente può reagire istantaneamente a quella immessa da altri tramite commenti e post di assenso o critica (6). Gli utenti dei servizi via Internet, dunque, si stanno trasformando da meri fruitori di contenuti ad autori degli stessi venendo definiti, quindi, prosumers (7) o producers (8). Conseguentemente a ciò, la società contemporanea, definita anche società dell’informazione (9), assume come proprio carattere distintivo il fatto di concepire l’informazione nonché la sua dinamica circolazione come risorsa strategica fondamentale, prodromica allo sviluppo sociale ed economico: in questo contesto le nuove tecnologie divengono, dunque, elemento indispensabile al fine di produrre e permettere la diffusione di cultura e, conseguentemente, di ricchezza (10). A tal riguardo, Yochai Benkler ha definito questo fenomeno: “network information economy” (11), ossia il potenziamento, grazie alla rete, di una continua interazione reciproca di scambio di informazioni all’interno di un territorio senza confini. Internet, infatti, è considerato territorio globale di crescita, scambio e conoscenza. Da tali assunti introduttivi si può facilmente constatare come Internet, quale strumento comunicativo di massa più partecipativo finora inventato, abbia comportato

(6) Si legga Costa, Motori di ricerca e social media: i nuovi filtri dell’ecosistema dell’informazione online e il potere occulto degli algoritmi, in L’informazione e le sue regole. Libertà, pluralismo e trasparenza a cura di Avanzini - Matucci, Napoli, 2016, 257; Valastro, Libertà di comunicazione e nuove tecnologie, Milano, 2001, passim. (7) Cfr. Toffler, La terza ondata, Milano, 1987. L’autore, ancora negli anni ‘80’ del 900 ipotizzò che la rivoluzione successiva nel mondo della comunicazione sarebbe stata quella dei “Self-media”, ossia sistemi attraverso cui l’utente avrebbe potuto gestire da protagonista la comunicazione, coniando, a tal riguardo, il termine prosumer. Tale definizione, derivante dalla crasi di producer e consumer mostra come il consumatore sia anche produttore, o nell’atto stesso che consuma, contribuisce alla produzione. In Italia, la terza ondata di Toffler, trova riscontro nelle teorie più recenti: cfr., sul punto, Floridi, La rivoluzione dell’informazione, Torino, 2012, passim.

2. I caratteri della Res publica “virtuale”

La Democrazia nel XXI secolo e il costituzionalismo contemporaneo stanno assumendo, infatti, una connotazione differente rispetto alle forme che si possono definire “classiche”: si staglia all’orizzonte una nuova democrazia di massa, operante in un’agorà virtuale a cui tutti i cittadini possono accedere e partecipare attraverso votazioni online sui social media relativamente alle più differenti e complesse questioni inerenti alla sfera pubblica (15). Tale modalità di confronto tra volontà popolare e sistema parlamentare si estrinseca, quindi, sulla piazza telematica e ciò permette un confronto diretto e una dialettica continua tra utenti elettori e rappresentanti politici. Almeno in superficie, la diffusione dell’utilizzo della Rete, quindi, ha consentito ad ogni utente di partecipare allo spazio pubblico non più solamente come spet-

(8) Boccia Artieri, Stati di connessione. Pubblici, cittadini e consumatori nella (Social) Network Society, Milano, 2012, 137 ss.

(12) Più in generale, sull’evoluzione del circuito democratico, cfr. Papa, Rappresentanza politica versus democrazia elettronica tra molteplicità di prospettazioni e problematicità di rapporti, in Rappresentanza politica, gruppi di pressione, élites al potere, a cura di Chieffi, Torino, 2006, 369 ss.

(9) Il termine società dell’informazione viene spesso utilizzato per descrivere la società contemporanea, in cui l’informazione è divenuta motore centrale dello sviluppo più che l’industria. Per una più ampia prospettazione, v. Sartori, La società dell’informazione, Bologna, 2012, passim.

(13) Sulla questione, almeno, Rodotà, Tecnopolitica. La democrazia e le nuove tecnologie della comunicazione, Roma-Bari 1997, passim.; ID., Iperdemocrazia. Come cambia la sovranità politica con il web, Roma - Bari, 2013, passim.

(10) Sul punto, v. Papa, Espressione e diffusione del pensiero in Internet. Tutela dei diritti e progresso tecnologico, Torino, 2009, 9 ss. e Morelli, L’economia digitale tra innovazione e tradizione, in Economia dei servizi, 2009, 4 ss.

(14) Il 28 luglio 2014 fu istituita in sede parlamentare una commissione di studio sui diritti e i doveri relativi ad Internet. L’anno successivo, la Dichiarazione fu presentata alla Camera e approvata dalla medesima il 3 novembre 2015. Il documento è ritenuto fondamentale per garantire a ciascun individuo l’esercizio di una cittadinanza digitale attiva nel rispetto della libertà, della dignità e della diversità di ogni persona. La Dichiarazione è fondata sul pieno riconoscimento di libertà, eguaglianza, dignità e diversità di ogni persona. La garanzia di questi diritti è condizione necessaria per assicurare il funzionamento democratico delle Istituzioni.

(11) Si osservi Benkler, The Wealth of Networks. How Social Productions Transforms Markets and Freedom, Yale, 2006, passim. L’autore in tale contesto individua quali tratti principali di questo fenomeno: la decentralizzazione della produzione dell’informazione, perciò ogni utente della rete diventa un potenziale produttore di informazioni. Il prezzo estremamente basso per pagare un device elettronico: ciò permette ad una parte significativa della popolazione di accedere alla rete. I flussi di comunicazione hanno un carattere di ubiquità e globalità.

636

profondi cambiamenti nella società, non solo nella sfera privata delle interazioni sociali, bensì anche nella gestione della Res Publica (12), in quanto la sua influenza sul processo democratico sta determinando oggi una mutazione tangibile degli assetti istituzionali conosciuti (13). La constatazione che Internet rappresenti una fonte inestimabile di crescita e sviluppo, incidendo profondamente anche nella dimensione pubblica e sociale dello Stato, è stata palesata chiaramente nel preambolo della Dichiarazione dei diritti di Internet, elaborata dalla Commissione per i diritti e i doveri relativi ad Internet e approvata alla Camera dei Deputati nel 2015. L’incipit, infatti, recita: «Internet ha contribuito in maniera decisiva a ridefinire lo spazio pubblico e privato, a strutturare i rapporti tra le persone e tra queste e le Istituzioni. Ha cancellato confini e ha costruito modalità nuove di produzione e utilizzazione della conoscenza. Ha ampliato le possibilità di intervento diretto delle persone nella sfera pubblica» (14).

DIRITTO DI INTERNET N. 4/2019

(15) Sul punto, v. Rivera, La Rete, i populismi e i partiti politici 2.0, in Inf. Dir., 2017, 273 ss.

SAGGI tatore, come nel caso della democrazia rappresentativa, bensì come attore e produttore di informazione (16). Ciascun internauta può essere protagonista nello spazio politico, accedendo liberamente alle informazioni continuamente aggiornate sul web o sui social media ed esprimere, al contempo, la propria opinione, avendo diritto di essere ascoltato dai propri rappresentanti politici nel caso di dissenso relativamente all’agire di costoro: si assiste ad un processo circolare mediante cui sembrano appiattirsi le gerarchie tra rappresentante e rappresentato nelle decisioni da adottare a livello politico (17). Il processo democratico contemporaneo, così delineato, connotato da una fenomenologia superficiale sensibile alla pluralità, ha ricevuto dagli interpreti nuove denominazioni come democrazia “elettronica”, “virtuale” o “continua”, la quale, proponendosi come nuova ed innovativa democrazia di massa (18), si vuole contrapporre al modello rappresentativo definito spesso elitario e chiuso (19). Apparentemente, infatti, la Rete consente di creare un sistema democratico sostanzialmente più aperto alle necessità dei cittadini, garantendo la partecipazione e l’esercizio effettivo di alcuni tra i più importanti diritti fondamentali sanciti dalla Carta costituzionale (20). Si può affermare, quindi, che Internet sia il nuovo foro del costituzionalismo contemporaneo non più marmoreo ed urbano come nelle antiche democrazie ma virtuale ed ubiquo (21). Da ciò discende che il World Wide Web rappresenti oggi il non lieu (22) dove si esercitano maggiormente le libertà fondamentali (23), come, tra le

(16) Per alcuni dati statistici si rimanda al Censis, I media tra diritto e popolo. XIII rapporto censis sulla comunicazione, Milano, 2016. (17) Cfr. Corchia, La democrazia nell’era di Internet: per una politica dell’intelligenza collettiva, Firenze, 2011, 65 ss. (18) A tal riguardo, Bobbio, Il futuro della democrazia, Torino, 1985, 75, il quale coniò la formula «governo del potere pubblico al pubblico». (19) Sulla relazione tra sistema rappresentativo e l’incidenza tecnologica, ad esempio, Cuocolo, Democrazia rappresentativa e sviluppo tecnologico, in Rass. Parl., 2001, 959 ss. (20) Cfr. Cuniberti, Potere e libertà nella rete, in Media Laws, 2019, 39 ss., il quale si interroga sul rapporto tra potere e libertà in Internet con un atteggiamento critico rispetto a coloro che enfatizzano la dimensione sociale e comunitaria della rete. (21) Frosini, Liberté Egalité Internet, Napoli, 2015, 14 ss. (22) Il termine «non luogo» fu introdotto per la prima volta dall’antropologo francese Augè nel 1992 nel suo libro: Non-lieux. Introduction à une anthropologie de la surmodernité, per definire quegli spazi che hanno la caratteristica di essere anonimi, privi di identità storica e relazionale. (23) Per una prospettiva più ampia, cfr. Parente, I diritti umani nell’epoca della globalizzazione, in Rass. Dir. Civ., 2017,152 ss.; Capobianco, Globalizzazione, rapporti civili e diritti della persona, in Vita not., 2004, 6 ss.; Policino, Tutela dei diritti fondamentali nell’era digitale e contesto valoriale: un’indagine transatlantica, in Media Laws, 2018, 39 ss.

più evidenti, la libertà di informazione e di manifestazione del pensiero (24), le quali nell’Ordinamento italiano vengono sancite e tutelate espressamente all’art. 21 della Costituzione. Stante l’importanza di tale principio, esso non trova tutela solo a livello nazionale, bensì anche nelle Carte internazionali, come la Convenzione europea per la salvaguardia dei diritti dell’uomo e le libertà fondamentali (25). Alla luce di quanto espresso fino ad ora, è compito del giurista contemporaneo interrogarsi se il paradigma della nuova democrazia cd. virtuale così come si presenta, garantisca effettivamente la piena libertà di informazione ed espressione del pensiero sancita dalle Carte fondamentali, o se, in realtà, il modello descritto rappresenti un’attrattiva lusinghiera per le masse, le quali provano la sensazione di essere maggiormente informate ed effettivamente partecipi alla vita della Res publica mediante tale formula, senza essere realmente consci, tuttavia, dei meccanismi su cui essa poggia e della possibile mendacia sottostante a tale strumento. Al fine di comprendere se nel sistema contemporaneo vi sia una estensione o restrizione di tali libertà (26), sarà necessario analizzare, in primo luogo, la prospettiva adottata dai costituenti nella redazione dell’art. 21, quale principio fondante e «pietra angolare dell’ordine democratico» (27). È fondamentale rammentare, a tal riguardo, che l’esistenza di un’opinione pubblica a cui è permesso formarsi in modo libero ed autonomo da qualsiasi influenza autoritaria (28) è prodromica ed essenziale allo sviluppo del tasso di democraticità del sistema.

(24) Frosini, The internet access as fundamental right, in I.J.P.L., 2013, 226 ss. (25) Basti il rinvio all’art. 10 della CEDU. (26) Sul punto, assume posizione critica: Pollicino, La prospettiva costituzionale sulla libertà di espressione nell’era di internet, in Media Laws, 2018, 48 ss. (27) Tale espressione si ritrova in Corte cost. 17 aprile 1969, n. 84, in Foro it. 1969, VI, 1375 ss. Si osservi, poi, Corte cost. 29 aprile 1985, n. 126, in Foro it., 1985, I, 1593 ss., in cui definisce tali libertà come «cardine di democrazia nell’ordinamento generale». Ancora, Corte cost. 19 febbraio 1965, n. 9, in Giur. cost., 1965, 79 ss., ove si legge che «La libertà di manifestazione del pensiero è tra le libertà fondamentali proclamate e protette dalla nostra Costituzione, una di quelle che meglio caratterizzano il regime vigente nello Stato, condizione com’è del modo di essere e dello sviluppo della vita del Paese in ogni suo aspetto culturale, politico, sociale. Ne consegue che limitazioni sostanziali di questa libertà non possono essere poste se non per legge e devono trovare fondamento in precetti e principi costituzionali, si rinvengano essi esplicitamente enunciati nella Carta costituzionale o si possano, invece, trarre da questa mediante la rigorosa applicazione delle regole dell’interpretazione giuridica». (28) Cfr. Gori, Social media ed elezioni. I limiti del diritto e il rischio di una modulated democracy, in Inf. Dir., 2017, 207 ss.; Balkin, Free speech in the Algorithmic Society: Big Data, Private Governance and New School Speech Regulation, in 51 U.C. Davis L. Rev., 2018, 1152 ss.

DIRITTO DI INTERNET N. 4/2019

637

SAGGI In secondo luogo, ci si interrogherà se nella contemporaneità digitale e nel modello di fruizione e produzione dell’informazione odierno, si possa sostenere che sia il diritto di informare, ossia il profilo attivo della libertà di comunicazione, ma anche il “diritto all’informazione” dei cittadini, quale presupposto per la corretta formazione dell’opinione pubblica su cui si fonda la democrazia, siano realmente tutelati o meno (29). Per intendere ciò, sarà necessario, pertanto, analizzare il ruolo svolto dagli intermediari dell’informazione, ossia i motori di ricerca come Google o i social media come Facebook, chiedendosi quali siano i procedimenti logici sottostanti alle scelte da loro operate circa l’ordine e visibilità delle informazioni presentate agli utenti.

3. La libertà di informazione e di libera espressione quale “pietra angolare” del processo democratico

Partendo dall’analisi dei principi di cui all’art. 10 della CEDU e 21 della Costituzione italiana, bisogna rammentare, in primo luogo, il fatto che entrambe le Carte entrarono in vigore al termine del secondo conflitto mondiale. Tale elemento non è un dato meramente storico, poiché dipinge a fresco l’intento di forte cesura a cui i succitati articoli tendevano rispetto al passato, ossia alla situazione di compressione se non addirittura di soppressione delle libertà fondamentali nel periodo delle dittature autoritarie in Europa (30). Tali articoli, infatti, si prefiggevano l’obiettivo di affermare una dimensione pubblica della libertà di espressione e di informazione riconducendo alla sfera di loro garanzia ogni tipologia di manifestazione del pensiero, indipendentemente dalla forma ovvero dello specifico contenuto delle comunicazioni. A tal riguardo, non fu un caso che la prima questione su cui intervenne la Corte Costituzionale concernette proprio tale libertà (31).

(29) Si osservi, in merito, Donati, L’art. 21 della Costituzione settanta anni dopo, in Media Laws, 2018, 93 ss. il quale traccia una panoramica sull’evoluzione del diritto dell’informazione in conseguenza delle trasformazioni tecnologiche contemporanee; altresì, Cuniberti, Il contrasto alla disinformazione in rete, tra logiche di mercato e vecchie e nuove velleità di controllo, in Media Laws, 2018, 26 ss. (30) È ampiamente riconosciuto, infatti, il controllo da parte delle dittature autoritarie dei mezzi di comunicazione al fine di ottenere un controllo della massa. Non a caso, Mussolini, di professione giornalista, comprese velocemente l’importanza di ottenere il consenso dell’opinione pubblica attraverso il controllo dei mass media. A differenza degli altri regimi degli anni ‘30’, tuttavia, egli mira ad una manipolazione dei consensi che tende alla persuasione, costruendo un’immagine mediatica del regime e della sua guida in cui la maggior parte degli italiani potesse identificarsi. Tale approccio più duttile creerà archetipi propagandistici ancora oggi studiati. Così, Martini, La fabbrica delle verità. L’Italia immaginaria della propaganda da Mussolini a Grillo, Venezia, 10 ss. (31) Si fa riferimento alla sentenza della Corte cost., 14 giugno 1956, n. 1, in Giur. Cost. 1956, 1 ss. La Corte, in tale sentenza, intervenne dichia-

638

DIRITTO DI INTERNET N. 4/2019

Proprio per l’importanza attribuita a tale articolo, la Corte Costituzionale nelle proprie pronunce sul tema ha sempre evidenziato la necessità di orientare la propria lettura ed interpretazione prestando attenzione all’evoluzione dei costumi della società nonché all’introduzione di nuovi mezzi di comunicazione (32). Tale tendenza di rilettura in chiave moderna delle disposizioni costituzionali, al fine di affermare in modo più significativo la libertà di informazione, si ritrova anche in un’importante sentenza della Corte Suprema degli Stati Uniti d’America (33) prima e dal Conseil Constitutionnel (34) francese poi, a dimostrazione della preminente importanza, per un Ordine democratico che vuole farsi riconoscere come tale, di tutelare in modo effettivo queste libertà, a prescindere dal periodo storico e dalle evoluzioni sociali (35). Orbene, in tali sentenze attinenti alla regolamentazione di Internet quale strumento di comunicazione di massa, si evince la tendenza armonica delle Corti Superiori di affermare la preminenza della libertà di informazione, riadattando le disposizioni alla luce del progresso tecnologico e di ciò che questo determina nelle società contemporanee, permettendo così un “risveglio” di tali articoli, attribuendo loro un significato più moderno (36). Alla luce del valore profondo che viene attribuito a questi articoli, i quali vengono concepiti come fondamento di democrazia e non come conseguenza di essa, è opportuno comprendere se anche nella nuova democrazia cd. virtuale, essi rappresentino o meno “la pietra angolare” delle nuove strutture democratiche e se la normativa odierna sia ancora in grado di garantirle. Al fine di chiarire ciò, è necessario appurare quali effetti determinano sul processo democratico i nuovi protagonisti di tale sistema, ossia i motori di ricerca e le piattaforme social (37). rando incostituzionale l’art. 113 r.d. 773/1993 che sottoponeva a licenza dell’autorità locale di pubblica sicurezza la circolazione di scritti, disegni e stampati, la propaganda acustica e luminosa e le pubbliche affissioni di scritti e giornali murali. (32) A tal riguardo si ricorda: sentenza della Corte cost. 13 luglio 1960, n. 59 in Foro it, 1960, I, 1065; riguardante il servizio radiotelevisivo. (33) Per la giurisprudenza statunitense si fa riferimento al caso American Civil Liberties Union v Reno [E.D. Pa 1996], tr. it. in Dir. inf. e inform., 1996, 604, con nota di Zeno Zencovich, Manifestazione del pensiero, libertà di comunicazione e la sentenza sul caso “Internet”; per ulteriori sviluppi si v. Corte Suprema 521 US 844 (1997), tr. it. in Foro it., 1998, IV, 23 ss. (34) Si fa riferimento al Conseil Constitutionnel n. 2009-580 DC del 10 giugno 2009, tr. it. in Dir.inf. e inform., 2009, 524 ss. (35) Nel caso dell’ordinamento americano e della re-interpretazione del Primo emendamento nella prospettiva attuale si v. Balking, The First Amendement, cit., 979 ss. (36) Frosini, Liberté, cit. 31 ss. (37) Cfr. Gori, Social media, cit. 207.

SAGGI 4. Gate Keepers e il “potere” degli algoritmi nel sistema informativo contemporaneo

Orbene, da quanto disposto sin d’ora, si è compreso che la libertà di pensiero consti di due elementi: la formulazione dell’espressione e l’utilizzo di un mezzo per la diffusione di quest’ultima, nonché per l’acquisizione di essa (38). A tal proposito, non vi è dubbio che Internet per sua natura garantisca agli individui ampie potenzialità di espressione e di diffusione delle idee in uno spazio sociale astrattamente più libero e aperto poiché privo di barriere. È importante evidenziare, tuttavia, che la massiva quantità di informazioni online la cui produzione, come prima accennato, si presenta assolutamente decentrata e disorganizzata, necessiti di essere ordinata al fine di divenire effettivamente fruibile per gli utenti: sono indispensabili, pertanto, strumenti che stabiliscano la disposizione delle notizie sulle pagine web e il loro grado di visibilità (39). Questa fondamentale funzione viene svolta da Tech companies, piattaforme multimediali come i motori di ricerca e i social media, i quali rappresentano il mezzo principale tramite cui gli utenti vengono collegati alle fonti di informazione: essi, proprio per il loro ruolo ordinante, vengono definiti comunemente, gate keepers (40). Da tale elemento, tuttavia, si evince chiaramente che nella rete sia insita una congenita ambiguità di fondo: il massimo decentramento e apertura nella produzione di informazioni da una parte e una concentrazione del potere regolatore a poche Tech Giants dall’altra. A tal riguardo, è stato sostenuto che: «The Internet makes information available. Google makes information accessible» (41). I motori di ricerca, quindi, selezionano quali informazioni devono raggiungere in modo prioritario il lettore e stabiliscono, pertanto, un ordine di visibilità differente per ciascun utente (42). Ciò avviene grazie ad algoritmi preposti all’analisi di grandi moli di dati immessi dagli internauti sul web (43), (38) Almeno, Papa, Espressione, cit. 125 ss. (39) Sul punto, Pitruzzella, La libertà, cit. 21ss.; Chandler, A Right to Reach an Audience: An Approach to Intermediary Bias on the Internet in Hosftra L. Rev, 2007, 103 ss. (40) Grimmelmann, The Google Dilemma, in New York L. Rev, 2008, 941 ss. (41) Cfr. Auletta, Googled: The End of the World as We Know It, Londra, 2010, 11 ss. (42) Cfr. Costa, Motori di ricerca cit., 257 ss. (43) Oggi si utilizza il termine, a tal riguardo, di «datizzazione», intesa quale la tendenza a convertire un fenomeno in forma quantitativa, in un dato, al fine di poterlo raccogliere, analizzare ed elaborare per diversi fini. Sul punto cfr. Mayer Schoenberger - Cukier, Big Data. Una rivoluzione che trasformerà il nostro modo di vivere e già minaccia la nostra libertà, Milano, 2013, 109 ss.

ossia sofisticati sistemi di calcolo in grado di elaborare i differenti user generated content immessi dagli utenti, come i like e i post sui social network ovvero le pregresse ricerche. Tali meccanismi vengono, quindi, programmati al fine di creare un profilo preciso degli utenti, raggruppando quest’ultimi secondo comuni tratti caratteriali, inclinazioni politiche e sociali, attraverso la tecnica della psicometria computazionale (44). Grazie all’elaborazione dei dati, quindi, gli algoritmi, tesi ad ordinare i pacchetti di dati, sono in grado di compiere operazioni di micro-targetizzazione degli utenti (45). Da ciò si desume che gli algoritmi assumono un ruolo fondamentale nel processo di story selection, ossia nella cernita e selezione dei contenuti da rendere visibile a ciascun utente: sono quest’ultimi, invero, a stabilire quali notizie, pubblicità, post proporre a ciascun utente sulla base dell’analisi dei dati personali immessi e delle ricerche effettuate precedentemente (46). Utilizzando un termine Orwelliano nel romanzo distopico 1984: “The Big Brother is watching you” (47), i sistemi di calcolo utilizzati dalle piattaforme sono sempre più esatti e in grado di autoapprendimento dal contesto in cui operano, acquisendo comportamenti autonomi e in

(44) La psicometria è il settore della psicologia che si occupa di misurare abilità, comportamenti e, più in generale, le caratteristiche della personalità. Si estrinseca nello studio quantitativo dei comportamenti degli utenti e il conseguente calcolo probabilistico delle conseguenze basato su tali presupposti. Per un’analisi più approfondita v. Cipresso, Elementi di psicometria computazione, Milano, 2014, 19 ss.; si osservi, inoltre, Moretti, Algoritmi e diritti fondamentali della persona. Il contributo del Regolamento (UE) 2016/679, in Dir. inf. e inform., 2018, 799 ss. (45) Sul punto, Soro, Oblio, identità, memoria, in questa Rivista, 2019, 5 s., in cui espone il tema dell’indicizzazione, ossia della capacità, attraverso tali algoritmi, di offrire una visione complessiva e strutturata della persona. (46) Si pensi che Google dal 2015 ha introdotto l’algoritmo RankBrain, ossia un sistema di intelligenza artificiale utilizzato per elaborare i ranking dei risultati di ricerca, sulla base dell’analisi della cronologia delle queries effettuate dall’utente. Per quanto riguarda Facebook, invece, l’algoritmo seleziona e ordina i contenuti che appaiono nella homepage di ciascun utente di Facebook, ossia il suo Newsfeed. (47) Così George Orwell che, nel celebre romanzo chiaro-scuro intitolato «1984», scritto nel 1948 al termine del conflitto mondiale e pubblicato l’anno successivo, immagina una terra divisa tra i governi di tre regimi totalitari, ossia Oceania, Eurasia e Estasia, in perenne scontro tra loro al fine di raggiungere il dominio assoluto. The Big Brother rappresenta il dittatore dell’Oceania. Nella società che l’autore immagina, ciascun individuo è costantemente sotto osservazione da parte delle autorità. Attraverso lo slogan «The Big Brother is watching you», l’autorità è in grado di suscitare timore collettivo, imponendo il proprio controllo.

DIRITTO DI INTERNET N. 4/2019

639

SAGGI grado di conoscere il soggetto, osservandolo a trecentosessanta gradi come nel Panopticon (48) di Bentham (49). I vantaggi legati ad un’elaborazione così precisa dei dati e la rapida comprensione dei tratti di interesse degli utenti sono molteplici, sia per i soggetti pubblici che per le imprese. A tale capacità di analisi si lega, tuttavia, esattamente come nel romanzo di George Orwell, la possibilità di utilizzare tali strumenti tecnologici al fine di poter controllare i comportamenti degli internauti nonché influenzarli. Tale prospettazione, di primo acchito fantascientifica come il romanzo, in realtà ha trovato riscontro in alcuni studi di Behavioural economics (50), i quali hanno evidenziato come l’ordine dei risultati in cui le informazioni vengono presentate incida profondamente sul loro grado di considerazione da parte degli utenti (51). Le notizie che appariranno per prime su un motore di ricerca, invero, verranno considerate più affidabili, sicure e rilevanti e avranno, pertanto, una causalità psichica maggiore sulla formazione dell’opinione pubblica (52).

(48) Si ricorda che nel XVIII secolo ebbe luogo in Europa un’ampia riflessione filosofica inerente al sistema penitenziario nel suo complesso. In tale contesto, il filosofo utilitarista inglese Jeremy Bentham elaborò il progetto di un edificio a pianta circolare ed ogni cella fosse equidistante dalla torre di guardia, posta al centro di tale circonferenza, la cui posizione consentisse, quindi, il controllo di tutte le celle contemporaneamente senza che i detenuti potessero sapere dove la guardia stava porgendo lo sguardo sentendosi, pertanto, costantemente controllati. (49) Sul punto, v. Teboho Ansorge, Digital Power and Politics: Databases, Panopticons and Erwin Cunz, in Millenium J., 2011, 65 ss. (50) Quella branca dell’economia politica che applica gli studi di psicologia cognitiva al fine di elaborare modelli di comprensione delle tendenze economiche. Tale teoria, la quale mostra quanto i meccanismi irrazionali e inconsci determinino anche le scelte macro - economiche, si pone in forte contrasto rispetto alla teoria economica classica il cui modello di riferimento è, invece, l’Homo Economicus, il quale pondera le proprie decisioni sempre attraverso ragione. Ex multis, Thaler - Sustein, Nudge: Improving Decisions About Health, Wealth, and Happiness, New York, 2009, passim; Thaler, Misbehaving: The Making of Behavioral Economics, New York, 2015, passim. (51) Lo studio viene richiamato da Laidlaw, Regulating Speech in Cyberspace, Cambridge, 2015, 176 ss. (52) Cfr. Pitruzzella, La libertà, cit. 26; il quale riporta lo studio dello Psicologo comportamentista Robert Epstein dell’American Institute for Behavioural Research an Technology in California, il quale ha dimostrato che l’ordine in cui vengono collocati i links che si riferiscono ad un ad un candidato rispetto ad un altro è in grado di influenzare il modo in cui gli elettori percepiscono i candidati e, conseguentemente, la loro scelta alle elezioni. In una fase dell’esperimento sono stati monitorati alcuni elettori prima delle elezioni politiche del 2014 in India, e si è scoperto che i risultati della query di ricerca, posso influenzare nella scelta circa il 12% degli elettori indecisi. Per quanto riguarda Facebook invece, Jonathan Zittrain, professore di diritto e computer science ad Harvard, ha evidenziato la sua capacità di influenzare gli utenti nel proprio voto semplicemente attraverso dei reminders nel loro newsfeed.

640

DIRITTO DI INTERNET N. 4/2019

5. Bolla di filtraggio e le sue implicazioni sul processo democratico

Ulteriore elemento su cui riflettere è il fatto che gli algoritmi, registrando il comportamento pregresso dell’utente, rispondano a quest’ultimo mediante post “in linea” con i suoi interessi ed opinioni, creando un “mondo su misura” per ognuno: un’informazione personalizzata che censura tutte le idee confliggenti, non facendo mai entrare in contatto con esse e, al contempo, rafforzando le ricostruzioni dell’utente (53). Tale dimensione si presenta, quindi, assolutamente chiusa ad un reale confronto, poiché gli internauti non si interfacciano mai con opinioni a loro dissenzienti, ma al contrario, vengono create delle comunità di condivisione selettiva solo con coloro che assumono la medesima posizione, con l’effetto di rafforzare i propri pregiudizi e ritenere erronea ogni differente considerazione. La selezione compiuta dagli algoritmi determina, dunque, la creazione di bolle culturali chiuse in cui gli utenti “fluttuano”, per lo più in modo inconsapevole (54). Conseguenza ulteriore e forse ancor più grave dell’isolamento degli utenti, è la possibilità per i Big Brothers della rete di diffondere agevolmente notizie false oppure artefatte che vadano a rafforzare ancor di più i pregiudizi del soggetto, creando una visione distorta della realtà. Tali notizie si sono rivelate un efficace strumento, infatti, a fini di propaganda politica sui temi di maggior impatto sociale per minare profondamente la credibilità delle opposizioni agli occhi dell’opinione pubblica e rafforzare le preclusioni a qualsiasi considerazione differente (55). Nonostante tali meccanismi di profilazione appaiano come elementi di un film di fantascienza, essi sono estremamente reali, avendo acquisito un ruolo talvolta fortemente deleterio sulla realtà moderna, di cui il recente scandalo di Cambridge Analytica ne è forse l’esempio più eclatante (56). Tale caso politico, divenuto immediata-

(53) Pitruzzella, La libertà, cit. 29 ss.; De Meo, Autodeterminazione e consenso nella profilazione degli utenti, in Dir. inf. e inform., 2013, 587 ss. (54) Nel 2011 l’attivista online Eli Pariser, osservando quanto avveniva nel mondo dell’informazione virtuale coniò il termine «The Filter Bubble», indicando come gli utenti ricevano solo le informazioni in linea con la propria opinione e i propri interessi, essendo tenuti all’oscuro, in tal modo, da qualsiasi forma di visione contrastante. Cfr. Pariser, The Filter Bubble: What the Internet is Hiding From you, New York, 2011, passim. (55) Sul fenomeno delle fake news e la loro rilevanza dal punto di vista giuridico si osservi: Bassini, Vigevani, Primi appunti su fake news e dintorni, in Media Laws, 2017,11 ss.; Melzi D’eril, Fake news e responsabilità: paradigmi classici e tendenze incriminatrici, in Media Laws, 2017, 91 ss.; Monti, Le “Bufale” online e l’inquinamento dei public discourse, in Nodi virtuali, legami informali: Internet alla ricerca di regole, a cura di Passaglia e Poletti, Pisa, 2017, 179 ss. (56) Sullo scandalo di Cambridge Analytica, si veda l’inchiesta dal quotidiano britannico The Guardian al presente link <https://www.theguar-

SAGGI mente fenomeno mediatico globale, ha mostrato limpidamente le potenzialità derivanti dall’utilizzo iniquo dei dati personali e l’incidenza che tali strumenti hanno sull’andamento della società democratica, senza che, tuttavia, la collettività sia realmente conscia degli effetti perturbanti di tali meccanismi sulla realtà pubblica (57). Da tali prospettazioni si evince, dunque, come il nodo problematico dell’utilizzo di algoritmi, quali strumenti di analisi, cernita e diffusione delle informazioni, sussista nell’opacità del meccanismo mediante cui viene operata la scelta ordinante, la quale rimane oscura agli utenti ma, al contempo, in grado di influenzarne fortemente l’opinione. Esemplificativa nella descrizione di tale situazione è l’espressione “The black box society”, la quale, sfruttando l’ambiguità intrinseca del termine, evidenzia la dicotomia antinomica del contesto: ossia, da una parte, come la vita privata sia sempre più trasparente e tracciabile (58) mentre, dall’altra, come viga la totale impenetrabilità relativamente alle logiche “algoritmiche” di aziende ed istituzioni legate al mondo dell’informazione (59). dian.com/news/series/cambridge-analytica-files>. In breve giova ricordare che Cambridge analytica era un’azienda di consulenza per il marketing online specializzata nel raccogliere dati dai social network, sviluppò un sistema di micro-targeting comportamentale in grado di analizzare milioni di dati per diversi scopi. I dati a cui la società ebbe accesso furono raccolti grazie ad un’applicazione, chiamata «this is your digital life», ossia un quiz sulla personalità, utilizzabile tramite la funzione login di Facebook. Attraverso tale quiz, Kogan fu in grado di costruire un ampio archivio di dati personali degli utenti, il quale venne, poi, alienato illecitamente a Cambridge Analytica, violando, in tal modo i termini d’uso di Facebook, nonché la privacy degli utenti. Nell’estate del 2016, il comitato di Trump affidò a Cambridge Analytica la gestione della campagna elettorale mediatica. Furono utilizzate grandi quantità di account fasulli gestiti automaticamente per diffondere post, notizie false e altri contenuti contro l’opposizione, modulando la loro attività a seconda degli utenti, grazie ai dati in loro proprietà e influenzando, così, l’andamento delle elezioni americane. Cambridge Analytica, inoltre, non venne coinvolta solamente in tale contesto politico ma nel maggio del 2017 il Guardian aveva già dedicato una lunga inchiesta alla compagnia e al suo ruolo nella campagna referendaria per Brexit a favore del «Leave». (57) Cfr. Purtova, Property Rights in Personal Data. A European Perspective, Oisterwijk, 2012, 193 ss. (58) Sul profilo della violazione della privacy da parte degli algoritmi si osservi Pallone, La profilazione degli individui connessi ad Internet: privacy online e valore economico dei dati personali, in Cyberspazio e diritto, 2015, 295 ss. (59) Tale espressione è stata coniata da Pasquale, The Black Box Society: The Secret Algorithms That Control Money and Information, Harvard, 2015, 9 ss. La tesi esposta da Frank Pasquale nel suo libro si estrinseca nel contrasto tra la “logica del segreto” di aziende e istituzioni e la trasparenza delle vite. Tutto ciò che si compie online è tracciato, e il regime di sorveglianza sul web – che sia giustificato per “ragioni di sicurezza” oppure per “semplificare l’esperienza di navigazione” – ha un’estensione immensa. Mentre l’autorità è espressa sempre più in termini algoritmici impenetrabili. La metafora della scatola nera è utilizzata, quindi, per far comprendere come da una parte essa registra ogni segnale dell’utente nella navigazione sul web, senza che, tuttavia, si possa conoscere come tali dati vengano poi utilizzati.

È chiaro che, l’oscurità dei meccanismi di ranking di visibilità delle informazioni, il filtraggio delle medesime e la diffusione di fake news da parte dei motori di ricerca e dei social media creino un’asimmetria profonda tra informatori e informati, incidendo negativamente sulla loro libertà di informazione, come tutelata dalle Carte Costituzionali; un sistema così criptico non consente agli utenti di discernere tra il buon funzionamento e l’abuso del medesimo (60). La sovranità politica richiede, al contrario, un dibattito pubblico in cui possano dialogare idee differenti e in cui possano trovare voce anche le posizioni più antitetiche alla corrente culturale dominante, nonché dove non operi alcuna forma di censura (61). A tal proposito, si vuole evidenziare come il regime costituzionale tuteli anche l’espressione di un libero dissenso prodromico ad un dialogo pubblico costruttivo. È di facile intendimento che la logica della filter bubble porti, invece, ad un monologo solipsista, ossia alla frammentazione del discorso pubblico e alla chiusura piuttosto che al confronto, ponendosi, in tal modo, in totale contrasto con i principi enunciati e tutelati dalle carte. Si evince, invero, che a causa del sistema informativo sin qui mostrato, gli utenti non sono realmente in grado di formarsi in modo libero e di contribuire, conseguentemente, in modo positivo al dibattito democratico, in quanto la loro opinione risulta distorta a causa delle modalità di ricezione delle informazioni, nonché dalla loro mendacia.

6. Democrazia virtuale e quadro normativo: garanzie claudicanti

Da tutto quanto fin ora espresso, si può giungere alla considerazione che Internet, quale dimensione potenziale di libertà, apertura, crescita, scambio e conoscenza, celi in sé anche il suo cigno nero, ossia la possibilità di essere utilizzata in modo reprobo al fine di raggiungere scopi di controllo occulto e influenza iniqua delle masse. La c.d. Democrazia virtuale, infatti, se apparentemente risulta maggiormente partecipativa e aperta ad ogni forma di espressione, condivisione e dibattito, in realtà poggia su meccanismi di manipolazione utilitaristica delle informazioni in grado di influenzare e determinare (60) Per quanto riguarda il sistema di sorveglianza attuato mediante gli algoritmi, cfr. Montelero - Vaciago, The Dark Side of Big Data: Private and Public Interaction in Social Surveillance. How data collections by private entities affect governmental social control and how EU reform on data protection respond, in Computer L. Rev., 2013, 161 ss. (61) Sustein, Repubblic.com 2.0, Princeton, 2007, 38 ss., il quale traccia la differenza tra sovranità del consumatore nel libero mercato e la sovranità del cittadino in una nazione libera. Mentre nel consumo una risposta personalizzata rende il mercato più efficiente, nella democrazia è necessario, invece, un confronto costante tra opinioni confliggenti.

DIRITTO DI INTERNET N. 4/2019

641

SAGGI le masse nella propria opinione politica. Si tratta, quindi, di un processo attento alla sovranità popolare solo in modo formale, ma sostanzialmente più simile a quanto accadeva nei regimi totalitaristici, dove tutti gli strumenti mediatici erano di dominio del Partito al Governo. A tal riguardo, i recenti scandali mediatici concernenti l’utilizzo iniquo dei dati per creare un sistema di informazioni personalizzate per influenzare le elezioni politiche, come nel già menzionato caso di Cambridge Analytica, hanno introiettato nella collettività nonché nelle Istituzioni una maggiore consapevolezza dei rischi connessi ad un utilizzo spregiudicato di tali mezzi. Internet, invero, può essere considerata a pieno titolo un advertisement supported service che si fonda sulla profilazione degli utenti: i dati, quindi, sono divenuti il nuovo “oro nero” per lo svolgimento di molteplici attività (62). Conseguentemente a tale situazione di sfruttamento e controllo per fini sia commerciali che politici dei dati personali, l’Unione Europea ha ravvisato la necessità di rafforzare la tutela per i propri cittadini in tale contesto, abrogando la precedente direttiva 95/46/CE che disciplinava la materia e approvando il nuovo Regolamento 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla loro libera circolazione (63). La direttiva, infatti, stante la sua natura programmatica e non direttamente vincolante nei confronti dei paesi membri, aveva dato adito a recepimenti discrasici tra loro e conseguentemente a ciò, ad una disciplina discrepante della materia all’interno dell’Unione con effettivi rischi di violazione (64). Al fine di proteggere (62) A tal riguardo, si riportano le parole del Commissario europeo per la tutela dei consumatori Meglena Kuneva, pronunciate a Bruxelles il 31 marzo 2009, nell’ambito di una Tavola Rotonda concernente tali temi. In quell’occasione, il Commissario, parlando di Internet, ha sottolineato che: «the development of marketing based on profiling and personal data is what makes it go round. (..) We accept this reality because it is one chosen by users. Internet users have massively opted for free services offered in exchange for acceptance of advertisement. Today, advertisement online is individually targeted and increasingly based on the user’s profile and behavior (..) Personal data is the new oil of the internet and the new currency of the digital world». (63) Per un commento, cfr., almeno, Lucchini Guastalla, Il nuovo regolamento europeo sul trattamento dei dati personali: i principi ispiratori, in Contr. impr., 2018, 106 ss.; Stanzione, Il regolamento europeo sulla privacy: origini e ambito di applicazione, in Eur. dir. priv., 2016, 1249 ss.; Spina, Alla ricerca di un modello di regolazione per l’economia dei dati. Commento al Regolamento (UE) 2016/679, in Riv. Regolaz. merc., 2016, 143 ss.; Cuffaro, Il diritto europeo sul trattamento dei dati personali, in Contr. Impr., 2018, 1098 ss. (64) Particolarmente interessante, a riguardo, è il considerando 9 del Regolamento UE 679/2016, in cui il legislatore comunitario riconosce espressamente che la dir. 95/47/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La disposizione sottolinea, altresì, che la compresenza di diversi livelli di protezione dei diritti e

642

DIRITTO DI INTERNET N. 4/2019

maggiormente la sfera privata dei cittadini europei nella dimensione virtuale in cui la loro personalità ha diritto di esprimersi in modo pieno e senza alcuna forma di controllo illecito, il Parlamento europeo ha deciso di adottare un Regolamento, ossia un atto legislativo che garantisse una nuova disciplina uniforme della materia e una tutela più estesa. Nel nuovo linguaggio del legislatore europeo si coglie, invero, un riferimento alla “funzione sociale” della protezione dei dati personali, la quale si raccorda con la protezione dell’individuo in tutte le sue sfaccettature (65). A rigore di chiarezza, è importante rammentare, in proposito, che anche il Regolamento si estrinseca in modo programmatico, non entrando nel dettaglio di molte disposizioni, lasciando ampio margine di discrezionalità agli operatori nella sua definizione pragmatica e, conseguentemente a ciò, una maggiore o minore garanzia per gli individui a seconda del modus operandi scelto. In definitiva si può ritenere, quindi, che alla luce della maggiore consapevolezza e sensibilità acquisita dalle Istituzioni su tali temi, recentemente siano stati compiuti alcuni passi avanti per contrastare fenomeni che violano le libertà fondamentali. È altrettanto chiaro, tuttavia, che i medesimi siano ancora scazonti nella garanzia effettiva a totalizzante del diritto di informazione e libera espressione nella dimensione del costituzionalismo moderno quale forma dinamica, virtuale e globale. Alla luce della nuova morfologia del procedimento democratico, di cui la libertà di informazione e libera espressione è garanzia, si conviene che oggi sia fondamentale trovare nuove vie di controllo circa l’effettività sostanziale dell’esercizio di tali diritti. I nuovi strumenti di democrazia partecipativa, infatti, come la Piattaforma Rousseau (66), devono essere veicolo di democrazia sodelle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali con riguardo al trattamento di tali dati negli Stati membri, possa ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE» (65) Si rimanda alle riflessioni di Ricci, Sulla funzione sociale del diritto alla protezione dei dati personali, in Contr. Impr., 2017, 596 ss.; altresì, Piraino, il regolamento generale sulla protezione dei dati personali e i diritti dell’interessato, in Nuove leggi civ., 2017, 369 ss. (66) Per maggiori informazioni si veda: <https://rousseau.movimento5stelle.it/la_nostra_storia.php>. Giova riportare alla mente che la piattaforma fu ideata da Gianroberto Casaleggio, secondo l’idea che la democrazia rappresentativa fosse ormai superata. Grazie all’utilizzo della Rete, quindi, venne immaginato uno strumento in cui gli eletti si comportano da portavoce ed il loro compito è quello di sviluppare il programma elettorale e mantenere gli impegni presi con chi li ha votati. Proprio per tale motivo, la piattaforma porta il nome dell’omonimo filosofo francese Jean-Jacques Rousseau.

SAGGI stanziale e non cavalli di Troia al cui interno si celano forme di demagogia populista (67). Le piattaforme online, nonché il potere di profilazione dell’algoritmo, infatti, qualora vengano utilizzate al fine di incidere negativamente sul corretto svolgimento del processo democratico e delle consultazioni elettorali, divengono elementi deleteri per l’evoluzione della società. Al fine, quindi, di tutelare tali fondamentali libertà, pietre miliari della democrazia ed elemento necessario per porsi in contrasto con ogni forma di nuovo autoritarismo governativo, si auspica l’emanazione di nuovi trattati destinati a disciplinare in modo più specifico i territori virtuali di Internet, così complessi ma fondamentali per la società contemporanea (68).

7. Conclusioni: nuove frontiere di regolamentazione del fenomeno democratico

Quale considerazione conclusiva, risulta emblematico l’appello promosso da Intellettuali di differenti nazioni contro i sistemi di sorveglianza di massa rivolto a Stati, Imprese, Governi e Nazioni Unite, mediante cui si chiedeva l’approvazione di una Carta Internazionale dei Diritti Digitali. Il testo dell’appello, invero, così recitava: «Negli ultimi mesi, l’estensione della sorveglianza di massa è diventata di dominio pubblico. Con pochi clic del mouse i governi possono accedere al vostro cellulare, al vostro indirizzo e-mail, ai vostri social networking e alle ricerche fatte su Internet. Possono seguire le vostre indicazioni e le attività politiche e, in collaborazione con le società Internet, che raccolgono e memorizzano i dati, sono in grado di prevedere i vostri consumi e i vostri comportamenti. L’inviolabilità e integrità dell’individuo è il pilastro fondamentale della democrazia. L’integrità umana va oltre la fisicità corporea. Tutti gli esseri umani hanno il diritto di non essere osservati e disturbati nei loro pensieri, nel loro ambiente personale e nelle loro comunicazioni. Questo diritto umano fondamentale è stato annullato e svuotato dall’uso improprio che stati e grandi imprese fanno delle nuove tecnologie a fini di sorveglianza di massa [...]. Una persona sotto sorveglianza non è più libera, una società sotto sorveglianza non è più una democrazia» (69). In conclusione, ispirandosi dalle espressive parole dell’appello, il quale estrinseca chiaramente il desiderio di tutelare i diritti fondamentali, quali garanzie essen-

ziali per uno sviluppo evolutivo della società contemporanea, si auspica che la logica indecifrabile regolante i meccanismi informativi divenga più comprensibile ai cittadini grazie ad un’opera volta alla regolamentazione del fenomeno da parte dei legislatori. In tal modo, sarebbe possibile rendere maggiormente simmetrico il rapporto che lega tutti i protagonisti del processo informativo, senza la presenza di “scatole nere” che ne controllino una parte dando adito a possibili gravi abusi del sistema e fungendo, così, da spada di Damocle della Democrazia. La capacità di controllare e non essere controllati da sistemi di calcolo il cui complesso linguaggio numerico diviene ostacolo alla chiarezza, porterebbe, invero, all’estrinsecazione delle potenzialità positive di Internet, come delineate all’inizio di tale contributo. Attraverso un utilizzo più regolato diverrebbe, infatti, strumento di crescita evolutiva della coscienza collettiva democratica della società e non, al contrario, l’oro di Re Mida.

(67) Rivera, La Rete, cit. 273 ss. (68) Gori, Social media, cit. 203 ss. (69) L’appello in difesa delle libertà civili venne firmato da 560 intellettuali di diversa nazionalità, in occasione della giornata mondiale per i diritti umani nel 2014 al fine di condannare i sistemi di sorveglianza di massa resi palesi agli occhi del mondo dall’ex consulente del N.S.A. (National Security Agency) e attivista statunitense Edward Snowden.

DIRITTO DI INTERNET N. 4/2019

643

SAGGI

Il diritto d’autore alla prova della realtà digitale. Contenuti protetti e diritto all’accesso: un bilanciamento difficile di Marco Iacopini Sommario: 1. Il ruolo degli Internet Service Providers nell’involuzione-evoluzione del diritto d’autore. – 2. L’esperienza normativa canadese e quella del Regno Unito. – 3. Il linking a contenuti protetti nella disciplina della direttiva 2001/29/CE in materia di diritto d’autore e nelle sentenze della Corte di Giustizia. – 4. La direttiva 2019/790: primi approcci interpretativi. – 5. Segue. L’art. 17 della direttiva 2019/790: il difficile equilibrio tra privativa ed accessibilità ai contenuti. Il contributo analizza la natura e la struttura del diritto di autore, la sua applicazione ai contenuti dematerializzati e la sua circolazione nell’ambito del mercato unico digitale. Tale ricostruzione trova il suo fondamento nell’analisi delle nuove modalità circolatorie di tale diritto e delle nuove dinamiche sociali che si sono create nel web, da una parte e, dall’altra, nella considerazione dell’evoluzione della disciplina internazionale ed europea in materia di diritto d’autore, con particolare attenzione alla recente e discussa direttiva 2019/790. The essay analyzes the structure and nature of copyright, its application to dematerialized contents and its circulation in the context of the digital single market. This reconstruction finds support in the analysis of the new circulatory patterns of this right and of the new social dynamics created by the web, on the one hand and, on the other, in the consideration of the evolution of the international and European law on copyright, with particular attention to the recent and discussed 2019/790 directive.

1. Il ruolo degli Internet Service Providers nell’involuzione-evoluzione del diritto d’autore

L’avvento dell’era digitale e la pervasività del web e di Internet hanno inciso notevolmente sulla nostra vita quotidiana. In particolar modo oggi Internet ha modificato radicalmente quei meccanismi ben consolidati che stavano alla base della produzione, del consumo e della circolazione del sapere e della cultura così come delineati dalla normativa in materia di diritto d’autore. Fino ai primi anni duemila, il bilanciamento di interessi tra chi produceva contenuto di carattere culturale e chi aveva interesse a fruirne era chiaro: l’ordinamento assegnava all’autore non solo il diritto a vedersi riconosciuta la paternità dell’opera ed altri diritti morali ma anche e soprattutto (ai sensi dell’art. 12 L. 633/1941) il diritto esclusivo di utilizzare economicamente l’opera (1). L’esercizio in forma esclusiva di questi diritti da parte dell’autore permetteva a lui, e ai suoi aventi causa, di vedere remunerato il frutto della propria opera intellettuale per un periodo limitato nel tempo (2) attraverso lo sfruttamento commerciale. Il pubblico, quindi, per poter accedere all’opera intellettuale di un determinato

soggetto doveva adempiere ad una controprestazione in danaro in favore dell’autore o di chi deteneva i diritti esclusivi di sfruttamento economico dell’opera. Ciò non eliminava fenomeni di “pirateria”, i quali però non assumevano l’odierna consistenza e diffusione, anche per il fatto che le opere erano contenute su di un supporto materiale – musicassetta, videocassetta, pellicola, cd, dvd, libro, ad esempio – e che le tecniche e gli strumenti necessari per effettuare copie in serie non erano di facile reperibilità o comunque non erano così diffusi. La progressiva digitalizzazione e dematerializzazione delle opere intellettuali e l’elezione del web quale canale primario di diffusione dei contenuti (3) ha da subito preoccupato le industrie del settore culturale, in considerazione delle evidenti possibilità di consumo illegale dei contenuti protetti dal diritto d’autore (4), derivanti dalla facilità di copia dei contenuti e dalla facilità di diffusione degli stessi in maniera incontrollata rispetto alla volontà del titolare del diritto (5). (3) Si pensi a network quali Netflix o Amazon Prime, che diffondo i propri contenuti solo ed esclusivamente tramite streaming digitale.

(1) Costanzo, Quale tutela del diritto d’autore in Internet?, in Giur. cost., 2015, 2343. (2) Per un tempo che, nel nostro ordinamento, ai sensi dell’art. 25 L. n. 633 del 1941, è pari alla durata della vita dell’autore e viene prolungato fino al settantesimo anno solare dalla sua morte.

(4) Bertoni - Montagnani, Il ruolo degli intermediari Internet tra tutela del diritto d’autore e valorizzazione della creatività in rete, in Giur. comm., 2013, 560 ss. (5) Musso, Prove di resistenza del diritto d’autore: e-books e prestito bibliotecario alla luce della giurisprudenza evolutiva della Corte di giustizia, in Dir. inf.

DIRITTO DI INTERNET N. 4/2019

645

SAGGI L’elevata diffusione del consumo illegale di contenuti protetti, lo scarso disvalore che viene attribuito e percepito dalla società con riguardo a tali condotte nonché l’importanza che da sempre rivestono il diritto d’autore e i diritti di privativa in generale, hanno indotto il legislatore internazionale (6) e i legislatori nazionali (7) ad intervenire sul tema cercando un nuovo bilanciamento tra gli interessi di tutela e di sfruttamento economico esclusivo propri degli autori e di accesso degli utenti alle informazioni reperibili in rete (8), distinguendo tra quelle liberamente accessibili, quelle tutelate dal diritto d’autore ma soggette al regime delle creative commons (9) e quelle soggette a diritto d’autore e a sfruttamento economico esclusivo. Alla luce di queste considerazioni, risulta evidente come lo schema tipico del diritto d’autore previsto e disciplinato dalla L. 663 del 1941 risulti essere inadeguato dinnanzi alle nuove modalità di produzione dei contenuti digitali in cui gli utenti della rete sono al tempo stesso autori, editori ma anche consumatori dei contenuti originali (10). Al fine di porre un limite all’accesso incontrollato a contenuti protetti, il legislatore europeo ha cercato di attribuire nel corso del tempo e tramite l’evoluzione della sua disciplina in tema di tutela del diritto d’autore e della proprietà intellettuale, un ruolo sempre più rilevante

e inform., 2017, 631. (6) Si pensi all’accordo t.r.i.p.s. del 1995 promosso dal w.t.o. con l’intento di armonizzare e disciplinare gli aspetti commerciali della circolazione internazionale del diritto d’autore, reperibile presso: <www. uibm.gov.it/attachments/Accordo_trips.pdf>, ma anche alla Direttiva n. 2004/48/ C.E. recante norme in materia di rispetto dei diritti di proprietà intellettuale, reperibile presso: <https://eur-lex.europa.eu/legal-content/ IT/TXT/HTML/?uri=CELEX:32004L0048R(01)&from=EN>. (7) Il riferimento, con riguardo all’ordinamento italiano, va al D. Lgs. n. 140 del 2006, il quale, nel recepire i contenuti della direttiva 2004/48 C.E., è intervenuto su alcuni aspetti sia della legge sul diritto d’autore, sia del codice della proprietà industriale. Per le esperienze degli altri stati europei v. infra, § 2. (8) Finocchiaro, L’equilibrio titolare/users nel diritto d’autore dell’unione europea, in Dir. inf. e inform., 2016, p. 499. (9) Le licenze creative commons sono delle licenze di diritto d’autore redatte e messe a disposizione del pubblico a partire dal 16 dicembre 2002 da Creative Commons, un’organizzazione non a scopo di lucro statunitense fondata da Lawrence Lessig. Esse costituiscono una forma di tutela intermedia del diritto d’autore posizionandosi tra la disciplina e le tutele offerte dal copyright completo (full-copyright) e il pubblico dominio (public domain) e prevedono due libertà: la libertà di copiare e la libertà di riadattare l’opera da combinare. Queste due libertà devono essere combinate con quattro differenti modalità di utilizzo. (10) Sulle prospettive del diritto d’autore nella realtà odierna si veda Falce, La modernizzazione del diritto d’autore, Torino, 2012 e aa.vv., Scenari e prospettive del diritto d’autore, a cura di Gambino-Falce, Roma, 2009.

646

DIRITTO DI INTERNET N. 4/2019

agli Internet Service Provider o I.S.P. (11) con il dichiarato intento, come emerge chiaramente dalla lettura della proposta di direttiva n. 2016/0280 (12), recentemente approvata dal Consiglio dell’Unione Europea, all’esito di non poche critiche, il 15 aprile 2019, di allontanare la loro posizione da quella di meri intermediari della rete e renderla più simile a quella di controllori di ciò che avviene sulla rete e della liceità delle condotte tenute dagli utenti (13). La tutela del diritto d’autore in Internet pone non pochi problemi non solo dal punto di vista della repressione degli illeciti e degli abusi, ma anche e soprattutto dal punto di vista dei contorni e dell’estensione che tale tutela deve assumere (14). I diritti esclusivi che caratterizzano la tutela autorale devono nel web essere controbilanciati dal rilievo assunto dalla libertà di accesso alle informazioni, dalla riservatezza delle comunicazioni e della protezione dei dati personali (elementi che devono essere necessariamente riconosciuti in capo agli utenti) da una parte e, dall’altra, dal diritto di libera iniziativa economica proprio degli I.S.P. (15) Il legislatore europeo è intervenuto, in tema di tutela del diritto d’autore e di proprietà intellettuale, attraverso la direttiva 48/2004/C.E. (16), con l’intento di procedere ad una armonizzazione della materia al fine di creare un mercato unico e concorrenziale anche con riguardo alle opere dell’ingegno. Inserendosi nel solco normativo già tracciato dall’accordo internazionale TRIPs, la direttiva rappresenta il primo intervento comunitario volto a dettare una serie di misure comuni in tema di protezione della proprietà industriale/intellettuale dai fenomeni di pirateria (17).

(11) Per la definizione di I.s.p. si fa riferimento a quella contenuta in O.e.c.d., The Economic and Social Role of Internet Intermediaries, 2010, 9. (12) Reperibile all’indirizzo: <https://eur-lex.europa.eu/legal-content/ IT/TXT/?uri=CELEX%3A52016PC0593>. (13) Cfr. Bertoni - Montagnani, Il ruolo degli intermediari Internet tra tutela del diritto d’autore e valorizzazione della creatività in rete, cit., 580; Bertoni - Montagnani, La modernizzazione del diritto d’autore e il ruolo degli intermediari Internet quali propulsori delle attività creative in rete, in Dir. inf. e inform., 2015, 112. (14) Santiello, La responsabilità del provider, inadempimento, obbligo di diligenza professionale e clausole di esonero responsabilità, in questa Rivista, 2019, 544. (15) Petruso, Fatto illecito degli intermediari tecnici della rete e diritto d’autore: un’indagine di diritto comparato, in Europa dir. priv., 2012, 1175. (16) Evidente in questo settore la spinta verso la realizzazione non solo di un’ampia cooperazione a livello europeo ma anche e soprattutto internazionale, al fine della realizzazione di un’avanzata armonizzazione della disciplina. (17) Per un esame più approfondito della direttiva 48/2004 si veda: Poletti, Qualche notazione sul risarcimento del danno da violazione della pro-

SAGGI La direttiva non prende però in alcuna considerazione il fenomeno della diffusione di contenuti digitali, e quindi dematerializzati, sul web, per quanto in quel momento storico questo fenomeno costituisse una pratica già diffusa. Nel considerando n. 2 la stessa si limita ad affermare che la tutela della proprietà intellettuale non dovrebbe essere di ostacolo alla libera circolazione delle informazioni anche su Internet, facendo trapelare la consapevolezza dell’odierna difficoltà di proporre un bilanciamento efficace tra tutela del diritto di privativa e sfruttamento economico esclusivo da una parte e, dall’altra, diritto all’accesso e alla libertà delle informazioni. Maggiore importanza, nell’ottica del presente elaborato, riveste invece il considerando n. 9 della direttiva n. 2004/48, il quale con chiarezza ammette che la diffusione dell’uso di Internet permette una distribuzione non autorizzata immediata e globale delle opere intellettuali. Il considerando continua affermando la necessità che l’effettivo rispetto della proprietà intellettuale debba essere garantito da un’azione specifica a livello comunitario. Azione specifica di livello comunitario che si è realizzata soltanto con l’approvazione della Proposta di Direttiva n. 2016/280, la quale prova ad attribuire un certo grado di responsabilità agli Internet Service Provider ed assegna ai titolari del diritto di privativa una serie di strumenti per tutelare in via diretta i propri interessi. Al fine di comprendere a pieno il percorso evolutivo della normativa europea e del diritto vivente con riguardo alla tutela dei diritti di proprietà intellettuale in rete occorre necessariamente analizzare la posizione degli I.S.P. Nell’ambito della società dell’informazione e della responsabilità degli I.S.P. l’Unione Europea (allora ancora Comunità Europea) è intervenuta in un primo momento con la direttiva n. 2000/31 (c.d. direttiva in materia di commercio elettronico), la quale, pur non riguardando direttamente il diritto d’autore e la privativa industriale è stata frequentemente utilizzata nella giurisprudenza della C.G.E.U (18) come aggancio normativo per offrire tutela alla lesione del diritto d’autore effettuata a mezzo di pubblicazione in Internet (19). La direttiva 2000/31 rappresenta il primo passo della legislazione europea in tema di realtà digitale e servizi Web: i suoi articoli 12, 13 e 14 sostanzialmente introdu-

prietà intellettuale, tra regole speciali e disciplina generale, in Scritti in onore F. D. Busnelli, aa.vv., Milano, 2018, 10. (18) Cfr. infra, § 3. (19) Tassone - Barbone, Saga del Copyright, ritorsioni digitali e condanna per lite temeraria, in questa Rivista, 2019, 511 ss; Cassano, Un precedente di responsabilità del social network per attività abusiva di linking, in questa Rivista, 2019, 315 ss.

cono una disciplina volta a deresponsabilizzare i fornitori di servizi telematici per l’uso illecito che viene fatto dagli utenti dei servizi da loro forniti (20), distinguendo tra attività di mere conduit, caching e hosting. Tale disciplina mostra evidenti limiti derivanti dalla generale previsione di irresponsabilità degli Internet service providers, i quali rispondono solo in ipotesi residuali e di carattere eccezionale, come comprova lo stesso tenore letterale degli articoli sopra menzionati (21). Il legislatore europeo, oltre a prevedere specifiche ipotesi di irresponsabilità collegate all’esercizio da parte degli intermediari di specifiche funzioni, introduce anche una clausola generale di irresponsabilità valida per tutti gli intermediari indipendentemente dall’attività da essi svolta (22). L’art. 15 infatti statuisce chiaramente l’inesistenza in capo ai provider di obblighi di controllo preventivo sui dati immessi on line da coloro che utilizzano il Web (23). Ciò impedisce agli Stati membri dell’Unione di imporre ai prestatori di servizi sia un generale obbligo di sorveglianza sulle informazioni che trasmettono o memorizzano, sia un obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. Un impianto normativo di tale genere, fondato su un approccio “deresponsabilizzante” per gli intermediari, rende difficile qualsiasi tipo di contrasto all’utilizzo non autorizzato di contenuti protetti, quando invece sarebbe parso preferibile una scelta diversa, specie quando tramite i servizi offerti dagli intermediari si realizzino illeciti a danno di importanti settori dell’ordinamento, quali appunto quelli in cui rilevano i diritti di privativa intellettuale ed industriale. Sull’applicazione di tale normativa è più volte intervenuta la Corte di Giustizia, la quale ha meglio precisato gli ambiti di responsabilità dei provider dinnanzi ad attività illecite compiute da terzi per il tramite dei servizi da questi offerti, attraverso l’individuazione di comportamenti che, laddove tenuti dal provider, fanno venire meno la clausola di generale irresponsabilità (24).

(20) Cfr. Bond, Business trends in virtual worlds and social networks – an overview of the legal and regulatory issues relating to intellectual property and money transactions, in Entertainment Law Review, 2009, 121 ss. (21) Non è un caso che la giurisprudenza italiana abbia elaborato la figura del provider “attivo”, sottraendola all’applicazione delle norme in questione. Da ultimo cfr. Cass., 19 marzo 2019, n. 7708 e n. 7709, in questa Rivista, 2019, 261 ss., con commento di Panetta e con commento di Rovati. (22) Montagnani, Primi orientamenti in materia di responsabilità dei fornitori di servizi cloud per violazione del diritto d’autore in rete, in Riv. dir. ind., 2014, 177. (23) Petruso, Fatto illecito degli intermediari tecnici della rete e diritto d’autore: una indagine di diritto comparato, cit., 1178. (24) Infra § 3.

DIRITTO DI INTERNET N. 4/2019

647

SAGGI L’attuale impianto normativo europeo non appare con evidenza sufficiente a contrastare l’utilizzo abusivo di contenuti protetti: per questo appare più proficuo al fine di bloccare il processo sostanzialmente involutivo dei diritti di privativa, procedere ad un generale ripensamento del diritto d’autore e ad una sua modernizzazione (25), al fine di trovare il miglior equilibrio possibile tra una visione business-oriented e una visione citizen-oriented della conoscenza e della cultura.

2. L’esperienza normativa canadese e quella del Regno Unito

A tal proposito assumono grande rilevanza le esperienze normative adottate nel Canada (26) e nel Regno Unito (27), le quali, per quanto provenienti da ordinamenti di common law (28), hanno come obiettivo quello di fare fronte ai molteplici interessi che il diritto d’autore assume a seconda del contesto in cui questo è calato. Al fine di comprendere appieno la ratio degli interventi normativi attuati da questi due Paesi è necessario sottolineare come secondo la maggior parte della dottrina (29) la modernizzazione del diritto d’autore deve passare attraverso due binari differenti: da una parte gli interventi di riforma devono riguardare gli aspetti strutturali della proprietà intellettuale (ad esempio, il regime delle eccezioni, la durata della privativa, il rapporto titolare-utilizzatore) ossia tutti quegli aspetti che prescindono dal luogo, reale o digitale, in cui il diritto d’autore è calato ed utilizzato. Il secondo binario su cui la riforma del diritto d’autore e della proprietà intellettuale deve intervenire riguarda invece tutti quegli aspetti di tale diritto che maggiormente risultano essere colpiti dall’ambiente digitale (30), quali ad esempio la diffusione e la

(25) Bertoni - Montagnani, La modernizzazione del diritto d’autore e il ruolo degli intermediari Internet quali propulsori delle attività creative in rete, cit., 118; Bertoni - Montagnani, Il ruolo degli intermediari Internet tra tutela del diritto d’autore e valorizzazione della creatività in rete, in Giur. comm., 2013, 537. (26) Copyright Modernization Act è disponibile all’indirizzo <http://www. laws-lois.justice.gc.ca/eng/acts/C-42/Index.html>.

circolazione – autorizzata o meno – sui canali digitali, le modalità di circolazione delle licenze e dei diritti di utilizzo, la responsabilità degli I.S.P. dinnanzi a violazione dei diritti di privativa. Nel novembre del 2012 è entrato in vigore in Canada il Copyright Modernization Act con il dichiarato obiettivo di ampliare il numero e le caratteristiche delle eccezioni alla privativa nascente dal diritto d’autore, al fine di includervi, oltre alle tradizionali eccezioni per ricerca, studio privato, critica, recensione e news reporting, anche le eccezioni relative ad istruzione, satira e parodia. Il Copyright Modernization Act ha consentito agli istituti di istruzione e a coloro che operano per fini di formazione, di riprodurre un lavoro o un’opera o di compiere atti di visualizzazione delle opere protette in maniera legittima, a condizione che la fonte e l’autore siano resi noti. Ciò ha reso possibile anche impartire lezioni a distanza e registrare le medesime purché siano rispettati i suddetti criteri. Tale eccezione trova applicazione anche nei confronti delle biblioteche, degli archivi e dei musei, consentendo loro di realizzare copie digitali o in formato diverso di opere presenti nei cataloghi a condizione che siano in un formato obsoleto o non più disponibile o in un formato che stia diventando indisponibile. A fianco della eccezione per parodia e satira il Copyright Modernization Act prevede l’innovativa eccezione di mash-up (31). La riforma autorizza la creazione di opere derivate da opere protette già pubblicate quando esse non vengano impiegate per fini commerciali, a condizione che si provveda a citare l’autore dell’originale, che il mash-up sia realizzato con una copia lecita del lavoro originale e vi sia la totale assenza di un effetto negativo sul lavoro originale (32). Il regime di eccezioni introdotto in Canada con tale riforma trova piena applicazione a condizione che alle opere non siano state apposte misure tecnologiche di protezione o esse non siano state accompagnate da un avviso, diverso dal simbolo del copyright, che vieti esplicitamente tali atti.

(27) Copyright, designs and patents Act 1988 è disponible all’indirizzo: <http://www.legislation.gov.uk/ukpga/1988/48/contents>. (28) Per l’approccio alla regolamentazione della proprietà intellettuale proprio delle famiglie di common law e di civil law, si veda Sganga, Propertizing European Copyright: History, Challenges and Opportunities, Eduard Elgar Publishing, 2018. (29) De santis, Verso una riforma del diritto d’autore. libertà di ricerca e libera circolazione della conoscenza, in Riv. dir. ind., 2013, 118; Pirruccio, Diritto d’autore e responsabilità del provider, in Giur. Merito, 2012, 2591; Stazi, La tutela del diritto d’autore in rete: bilanciamento degli interessi, opzioni regolatorie europee e “modello italiano”, in Dir. inf. e inform., 2015, 89. (30) Cfr. Ricolfi, Making copyright fit for the digital agenda, 12th eipn Congress 2011 reperibile presso <http://nexa.polito.it/nexafiles/Making%20Copiryght%20Fit%20For%20The%20Digital%20Agenda.

648

DIRITTO DI INTERNET N. 4/2019

pdf>, il quale ipotizza un diritto d’autore tradizionale, dotato di tutti i diritti di privativa, per l’ambiente analogico ed un diritto d’autore 2.0 per l’ambiente digitale, ove l’autore, pur mantenendo la paternità dell’opera, può scegliere quali diritti di privativa mantenere e quali no. (31) Per mash-up si intende una canzone o composizione realizzata unendo fra loro due o più brani preregistrati, foto, video, spesso sovrapponendo la parte vocale di una traccia a quella strumentale di un’altra, mediante l’uso di campionatori digitali o analogici. (32) Attraverso tale eccezione, ad esempio, un soggetto potrebbe unire più opere d’arte, più foto di vari autori e mediante sovrapposizione creare una nuova foto/opera originale.

SAGGI Il regime canadese (33) sembra essere solo in parte coerente con le pressioni che l’ambiente digitale genera sul diritto d’autore: se da una parte con le nuove eccezioni si agevola lo sviluppo digitale del diritto d’autore, dall’altra sussiste il fondato rischio che tali eccezioni, essendone subordinata l’applicazione all’assenza di misure tecnologiche di protezione o di avvisi sulle opere stesse, rimangano soltanto una dichiarazione di intenti. La riforma canadese, inoltre, non sembra innovare in senso sostanziale la disciplina strutturale del diritto d’autore continuando a prevedere una struttura classica formata da diritti morali da un lato e diritti patrimoniali esclusivi dall’altro; una struttura che risulta essere eccessivamente rigida, poco duttile e che mal si adatta alla “liquidità” della circolazione e dei traffici giuridici che si realizzano nel web, alla dematerializzazione delle opere intellettuali ed alla mentalità di fruizione e condivisioni (leggasi ripubblicazione) dei contenuti propria degli utenti della rete. L’adeguamento del diritto d’autore e delle tutele in esso inserite alla realtà digitale non può essere raggiunto mediante il mero ampliamento del regime eccezionale che, se da una parte riduce il rischio di un utilizzo eccessivo e distorto del regime di privativa, dall’altro non produce alcun effetto sulla struttura normativa del diritto d’autore – struttura che rimane ancorata allo schema privativa-autorizzazione – tale da adattarlo alla dematerializzazione dei contenuti su cui lo stesso diritto ricade. Appare evidente, infatti, come un regime di eccezioni eccessivamente ampio unito alla deresponsabilizzazione generalizzata dei providers ed all’assenza di una rimodulazione della struttura del diritto d’autore potrebbe portare alla completa negazione di diritti di sfruttamento esclusivo nella realtà digitale (34). L’evoluzione del diritto d’autore quindi non può che partire dall’osservazione delle nuove modalità di circolazione delle opere dell’ingegno che non rientrano nel tradizionale regime della licenza. La dematerializzazione dei contenuti e delle modalità di circolazione proprie del web mal si confà al sistema chiuso dell’autorizzazione dell’autore – o del titolare dei diritti – per l’ascolto, la lettura o l’uso dell’opera. Il vero ambito su cui il legislatore dovrebbe concentrare la propria attenzione ed intervenire non sembra tanto

(33) È facile osservare come l’impianto della riforma canadese sia in parte riprodotto anche nella proposta di direttiva n. 2016/280 della u.e., approvata il 15 aprile 2019 dal Consiglio dell’Unione Europea. Anche la proposta di direttiva, infatti, prevede l’introduzione di nuove e più ampie eccezioni ai diritti di esclusiva, senza però prendere minimamente in considerazione la possibilità di intervenire sulla struttura e sul regime circolatorio del diritto d’autore. Sul punto v. infra, § 4. (34) Petruso, Fatto illecito degli intermediari tecnici della rete e diritto d’autore: un’indagine di diritto comparato, cit., 1180.

l’introduzione di nuove ipotesi di eccezioni, quanto la rimodulazione del regime circolatorio e della disciplina delle licenze (35). È proprio su questo aspetto che è intervenuta la riforma attuata dal governo della Gran Bretagna nel 2014 mediante l’adozione del Digital Copyright Exchange, poi rinominato Copyright Hub (36). Il legislatore inglese ha cercato di avvicinare l’interesse di chi vorrebbe utilizzare un contenuto protetto e quello di colui che ne risulta essere l’autore o il titolare dei diritti, mediante la creazione di una piattaforma web ad hoc dove è possibile cedere ed acquisire le licenze sulle opere dell’ingegno tramite pagamento on-line e con il dichiarato intento di contenere i costi di acquisizione (37). Tale intervento, volto a consentire una più facile circolazione delle licenze, peraltro deve essere osservato insieme al generalizzato ripensamento del sistema delle licenze in favore dell’introduzione delle licenze collettive estese (38), già in uso sin dagli anni ’60 nei sistemi di scandinavian law (39). Esse consistono in accordi per il tramite dei quali gli enti di gestione collettiva del diritto d’autore (S.i.a.e., I.m.a.i.e., S.c.f.) negoziano per conto degli aventi diritto (gli artisti associati) la licenza con gli operatori che veicoleranno i contenuti digitali su Internet. Il contenuto del contratto di licenza, così pattuito, sarà poi offerto dagli operatori ai singoli licenziatari (gli utilizzatori del contenuto). Una volta concluso l’accordo collettivo, la licenza dovrebbe essere estesa ex lege alle opere di titolari dei diritti non iscritti all’ente di gestione collettiva partecipante all’accordo (come avviene, ad esempio, per i contratti collettivi di lavoro stipulati dai sindacati). Dall’intervento normativo inglese, per quanto incompleto, emerge il convincimento che la direzione da seguire sia quella di intervenire sul regime e sulle modalità di concessione delle licenze, così da incidere non sulla (35) Bertoni - Montagnani, La modernizzazione del diritto d’autore e il ruolo degli intermediari Internet quali propulsori delle attività creative in rete, cit., 130. (36) In realtà il governo inglese in un primo momento aveva cercato di riformare il diritto d’autore con l’emanazione nel 2011 del controverso e contestato Digital Economy Act il quale, sulla scia della riforma canadese, prevedeva l’introduzione di nuove ipotesi di eccezioni ai diritti di privativa. Tale normativa è stata fortemente criticata sia dalla dottrina che da settori specializzati dell’economia tanto da portare il governo ad aprire una fase di consultazione sulla riforma. Fase che si concluse con la realizzazione del Hargreaves Review. Nonostante le modifiche così apportate al Copyright Act del 1988 il governo inglese ha sentito l’esigenza di innovare più profondamente la materia giungendo alla realizzazione della suddetta piattaforma di cui al Digital Copyright Exchange. (37) <http://www.copyrighthub.org>. (38) Hargreaves, The Hargreaves Review of Intellectual Property and Growth, cit., 38. (39) Danisch Copyright Act § 50.

DIRITTO DI INTERNET N. 4/2019

649

SAGGI natura esclusiva del diritto d’autore, come invece avviene con l’introduzione di nuove e più ampie eccezioni allo stesso, ma sulla modalità di gestione dei diritti di utilizzazione e di privativa affinché questi siano liberamente negoziabili. L’ordinamento giuridico italiano ha invece optato per soluzioni più tradizionali con l’adozione nel 2013 del regolamento AGCOM (40), entrato definitivamente in vigore nel maggio 2014. Il suddetto regolamento, per quanto in linea con la legislazione europea, si preoccupa unicamente di disciplinare il caso in cui si verifichi una lesione del diritto d’autore (ed in particolar modo del diritto di privativa) derivante dalla circolazione in rete di un contenuto senza la preventiva acquisizione dei diritti di utilizzo (41). Il regolamento prevede un sistema di “notice and take down” in base al quale a seguito del ricevimento di una segnalazione, l’AGCOM notifica al sito la possibile violazione del diritto d’autore, dandogli la possibilità di adeguarsi spontaneamente a quanto richiesto dal procedente (42). Se all’esito dell’istruttoria l’AGCOM rinviene la sussistenza di una violazione, potrà richiedere agli I.S.P. la rimozione del contenuto (se i server del sito sono in Italia) o il blocco del contenuto (se i server sono all’estero). Appare evidente come questa disciplina faccia esclusivamente fronte alle situazioni di c.d. patologia del diritto d’autore, ossia intervenga una volta che si sia verificata una possibile lesione dello stesso, senza intervenire sulla fisiologia del rapporto al fine di adeguare il diritto d’autore alle caratteristiche ed agli usi della realtà telematica.

3. Il linking a contenuti protetti nella disciplina della direttiva 2001/29/C.E. in materia di diritto d’autore e nelle sentenze della Corte di Giustizia

La direttiva 2001/29 C.E. (cd. Direttiva InfoSoc) ha come obiettivo primario quello di procedere alla armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nell’ambito della società dell’informazione e rappresenta ad oggi il principale riferimento normativo, nell’ambito dei paesi dell’Unione Europea, in tema di protezione della proprietà intellettuale in Internet e di libera utilizzazione delle opere protette (43).

(40) Adottato con la delibera delibera 480/2018.

agcom

n. 680/13, poi modificato con la

(41) Stazi, Il regolamento di cui alla delibera n. 680/13/cons dell’Agcom per la tutela del diritto d’autore in rete, in Riv. dir. ind., 2014, 13. (42) Renna, Le questioni di legittimità del regolamento dell’Agcom sulla tutela del diritto d’autore on line, in AIDA, 2014, 111. (43) Nonostante siano trascorsi ben più di 18 anni dalla sua emanazione, la revisione del quadro normativo da essa delineato non è ancora

650

DIRITTO DI INTERNET N. 4/2019

La direttiva, per il tramite della tutela del diritto d’autore, vuole promuovere da una parte lo sviluppo della società dell’informazione e dall’altra la commercializzazione di nuovi prodotti e servizi nonché lo sfruttamento economico del loro contenuto creativo. L’intento del legislatore europeo era quello di procedere con la direttiva 2001/29 ad una armonizzazione della disciplina di protezione del diritto d’autore al fine di consentire lo sviluppo di un mercato digitale comune e concorrenziale. La direttiva InfoSoc ha, infatti, introdotto in materia di riproduzione di opere oggetto di copyright una serie di nuove e più ampie eccezioni ai diritti patrimoniali dell’autore (44) quali ad esempio l’utilizzo dell’opera per scopi di ricerca, per scopi di parodia, per citazione, lasciando tuttavia ampia discrezionalità agli Stati circa la scelta di quali eccezione recepire nei propri ordinamenti interni. Ciò ha ingenerato un elevato tasso di divergenza tra gli ordinamenti nazionali, depotenziando di fatto la funzione armonizzatrice propria della direttiva (45). La vera innovazione che è stata introdotta dalla direttiva è sicuramente rappresentata non tanto dall’introduzione di un regime armonizzato di eccezioni, quanto piuttosto dal fatto che la loro applicazione al caso concreto risulta essere subordinata al cd. “three-step test”. Un’eccezione, per quanto prevista da una norma di legge interna o comunitaria, potrà essere applicata – quindi il comportamento tenuto in base a questa potrà essere ritenuto legittimo – soltanto laddove la stessa superi il three-step test, ossia quando l’eccezione sia «applicata esclusivamente in determinati casi speciali», quando l’eccezione «non sia in contrasto con lo sfruttamento normale dell’opera o degli altri materiali» ed infine quando l’applicazione dell’eccezione «non arrechi ingiustificato pregiudizio agli interessi del legittimo titolare». La scelta di subordinare la legittimità dell’applicazione dell’eccezione non solo e non tanto alla mera previsione di legge quanto piuttosto al risultato del three-step test ha generato in realtà una notevole incertezza, solo in parte chiarita dalla giurisprudenza della Corte di Giustizia (46), circa gli spazi di libertà riconosciuti all’utilizzatore (47): non basta, infatti, che il comportamento

avvenuta, sebbene ciò rientrasse tra le cinque priorità contenute nell’Agenda Digitale Europea per il biennio 2013-2014. Cfr. Commissione Europea, The Digital Agenda for Europe, 2012, 784. (44) Il considerando n. 32 della direttiva, infatti, prevede infatti che «la presente direttiva fornisce un elenco esaustivo delle eccezioni e limitazioni al diritto di riproduzione ed al diritto di comunicazione al pubblico». (45) De santis, Verso una riforma del diritto d’autore. Libertà di ricerca e libera circolazione della conoscenza, cit. 120. (46) Infra § 3. (47) Petruso, Fatto illecito degli intermediari tecnici della rete e diritto d’autore: un’indagine di diritto comparato, cit., 2012, 1175.

SAGGI mantenuto rientri nell’alveo applicativo della eccezione, ma è necessario che la condotta superi la valutazione del test. Valutazione che avviene soltanto a posteriori, ossia una volta che la condotta è stata mantenuta e quando la stessa sia stata oggetto di censura da parte del titolare del diritto. Appare evidente come la disciplina contenuta in questa direttiva risulti ormai poco adatta a fronteggiare l’evoluzione del fenomeno digitale nonché l’uso e l’abuso dei contenuti protetti in Internet. La mera previsione di eccezioni ai diritti di privativa – per quanto armonizzate e comuni agli ordinamenti europei – se da un lato legittimamente mira a far fronte all’eccessiva pervasività della privativa derivante dal diritto d’autore, dal diritto di immagine e dalla privativa industriale nelle sue varie forme, dall’altro non risolve il problema della rigidità e della farraginosità dello schema privativa-licenza di utilizzo che, come già detto anche con riguardo alla riforma canadese (48), mal si adatta alla realtà digitale e allo scarso disvalore sociale che l’utente medio attribuisce alle condotte di utilizzo senza licenza del contenuto. La direttiva 2001/29 ha però il merito di aver fornito alla giurisprudenza gli strumenti necessari per far fronte ad una comune e tuttora diffusissima pratica lesiva del diritto autoriale, ossia il linking non autorizzato a contenuti protetti. Benché la stessa non prenda in considerazione tale fenomeno (49), in sé e per sé considerato, la definizione di comunicazione al pubblico (50) in essa contenuta ha consentito alla Corte di giustizia di qualificare il linking come comunicazione diretta a tutti i potenziali utenti di un sito (51).

(48) Cfr. § 2. (49) La pratica del linking non autorizzato a contenuti protetti è un fenomeno che ha conosciuto la sua prima diffusione negli anni 1999/2000, quando si diffuse prima negli Stati Uniti e poi in Europa il programma Napster. Napster fu il primo sistema di peer-to-peer e file sharing di massa che permetteva agli utenti, tramite una serie di hyperlink, di condividere e scambiare tra loro file musicali. Napster veniva essenzialmente utilizzato come un motore di ricerca, con il quale, all’attivazione di una query faceva seguito l’elenco di file disponibili sotto forma di link; fu chiuso nel 2001 per mano dell’autorità giudiziaria. Molti osservatori notarono che qualsiasi tentativo di chiudere Napster avrebbe spinto gli utenti ad utilizzare altri mezzi per lo scambio di file su Internet. Ciò è puntualmente avvenuto mediante l’utilizzo di nuovi software e della tecnica peer-to-peer come Kazaa, WinMX, eMulee, Bit-Torrent e U-Torrent. (50) Per “comunicazione al pubblico” la Direttiva 2001/29 intende la trasmissione di un contenuto ad un numero indeterminato e considerevole di destinatari potenziali, senza che sia necessario che il pubblico di fatto acceda al materiale protetto. Cfr. Stomatoudi - Torremans, Ue copryright law: a commentary, Edward Elgar Publishing, 2013, 409. (51) Ex multis cfr. Corte di Giustizia u.e., causa c-306/05 caso sgae, causa c-607/11 caso itv Broadcasting, causa c-89/04, causa c-192-04.

La Corte di Giustizia più volte è stata chiamata ad esprimersi circa la liceità del linking a contenuti protetti: appare dunque necessario, al fine di comprendere l’approdo interpretativo a cui la corte è giunta, ripercorre alcune tappe fondamentali rappresentate dalla causa Svensson (52), dalla causa BestWater (53) ed infine dalla causa Gs Media (54), la quale ha portato alla luce una nuova linea interpretativa (55). Con le sentenze Svensson e BestWater era stato domandato alla Corte se il linking non autorizzato a contenuti protetti costituisse comunicazione al pubblico e se così considerato si dovesse ritenere riservato al titolare del diritto. Grazie alla disciplina contenuta nella direttiva InfoSoc, la Corte ha chiarito che la comunicazione al pubblico consta di due fattori fondamentali: un atto di comunicazione dell’opera ed un pubblico destinatario della comunicazione. Così individuati i fattori caratterizzanti del concetto di comunicazione presso il pubblico la Corte ha poi proceduto a fornire una nozione ampia di questa in modo tale da ricomprendervi qualsiasi forma, mezzo o strumento con il quale l’opera è resa disponibile al pubblico (56). In tale ampia definizione ricade certamente – a detta della Corte – anche il link che offrendo accesso diretto ad un contenuto, realizza una messa a disposizione delle stesso ad un pubblico corrispondente ad un numero indeterminato ed indeterminabile di potenziali destinatari. La Corte tuttavia precisa che, per la sussistenza di un link non autorizzato, è necessario che il collegamento, e quindi la comunicazione del contenuto protetto, sia rivolta ad un pubblico “nuovo” rispetto a quello originariamente preso in considerazione dal titolare del diritto oppure che la comunicazione avvenga attraverso mezzi tecnici diversi. Sulla base delle predette riflessioni, sia nella sentenza Svensson che nella sentenza BestWater la Corte di giustizia ha affermato che il linking a contenuto protetto è

(52) Corte di Giustizia u.e., causa c-466/12, Nils Svensson, in 2014, 1586, con nota di Rovati.

aida,

(53) Corte di Giustizia u.e., causa 348/2013, in aida, 2015, 441 con nota di Cogo. (54) Corte di Giustizia u.e., causa c-160/15, reperibile al link: <http://curia.europa.eu/juris/document/document.jsf;jsessionid=A37D15E9159F66348A4E317358A4016C?text=&docid=183124&pageIndex=0&doclang=IT&mode=lst&dir=&occ=first&part=1&cid=5568531>. (55) Cfr. Banterle, Linking a contenuti protetti da diritto d’autore nella giurisprudenza della corte di giustizia. Atto terzo. Gs media, in Riv. dir. ind., 2017, 469. (56) Banterle, Linking a contenuti protetti da diritto d’autore nella giurisprudenza della corte di giustizia. Atto terzo. Gs media, cit., 470.

DIRITTO DI INTERNET N. 4/2019

651

SAGGI lecito solo ed esclusivamente quando l’opera a cui esso rinvia sia liberamente fruibile; è illecito, invece, quando i contenuti a cui il link rinvia sono sottoposti a limiti di accesso in favore di un pubblico selezionato (ad esempio, tramite abbonamento, accesso sottoposto a riconoscimento mediante password, restrizioni tecnico-analogiche). Qualora il link permetta, come nei casi Svensson e BestWater, di aggirare tali restrizioni, consentendo al sito in cui il link è incorporato di effettuare una comunicazione nei confronti di un pubblico diverso da quello selezionato dal titolare del diritto e quindi “nuovo”, si verifica una ipotesi di linking non autorizzato e come tale illecito. Nella vicenda Gs Media l’interpretazione della Corte di Giustizia risulta essere in parte diversa. Alla Corte di Giustizia viene chiesto se il linking non autorizzato a contenuto protetto costituisca illecito se i contenuti “bersaglio” non fossero ancora stati pubblicati dall’avente diritto e qualora il c.d. hyperlinker fosse stato al corrente della mancata autorizzazione del titolare del diritto alla diffusione dell’opera. La Corte anzitutto precisa che i principi espressi nelle sentenze Svensson e BestWater risultano applicabili unicamente in caso di opere pubblicate su Internet con il consenso del titolare del diritto (57); secondariamente introduce due presunzioni in presenza delle quali il linking assume connotati di liceità o illiceità: il concetto dello scopo di lucro e della conoscenza della circostanza che il contenuto “puntato” sia pubblicato senza autorizzazione. Dalla lettura della sentenza Gs Media è possibile dunque ricavare questi due principi: a) il linking a contenuti soggetti a copyright non liberamente accessibili su Internet costituisce atto di comunicazione al pubblico, b) il linking a contenuti non disponibili liberamente su Internet, effettuato senza scopo di lucro e non consapevolmente (notice and take down), non costituisce comunicazione al pubblico. La presenza di uno scopo di lucro o della consapevolezza in capo all’ hyperlinker determinano il venire in essere dell’illiceità della condotta. La posizione così assunta dalla Corte di Giustizia dell’Unione Europea ha destato non poche perplessità nella dottrina, in considerazione del fatto che il fine di lucro e la conoscenza dell’autorizzazione sono requisiti che possono essere esclusivamente apprezzati su di un piano soggettivo e non oggettivo, attribuendo così risalto alla situazione psicologica in cui si troverebbe l’hyperlinker-contraffattore nel momento della condotta, avvicinando così la posizione del hyperlinker a quella degli I.S.P. così come prevista dalla direttiva n. 2000/31, dato

che questi ultimi sono responsabili solo ed esclusivamente nel caso in cui, a seguito della segnalazione di illecito utilizzo, non si adoperino per rimuovere il contenuto. Il punto maggiormente controverso della sentenza Gs Media riguarda proprio che cosa debba intendersi per fine di lucro. Parte della dottrina (58) ritiene che il fine di lucro si riferisca alle situazioni in cui il linking è correlato ad un guadagno economico diretto, circostanza che si verifica nella prassi comune e diffusa secondo cui i siti che forniscono sistematicamente link a contenuti protetti associano tale “servizio” a forme di on-line advertising. Altra parte della dottrina (59) ritiene invece di adottare un’interpretazione più ampia di fine di lucro, il quale sarebbe presente, rendendo così illecito il linking, in presenza di qualsiasi attività commerciale svolta sul sito dell’hyperlinker. Tale punto è stato oggetto di chiarimento da parte della Corte stessa, con le più recenti sentenze C-527/15 caso Stichiting Brein (60) e C-610 caso The Pirate Bay (61). Secondo tali decisioni il lucro rilevante ai fini dell’illiceità del linking è sia quello direttamente ottenuto dalla vendita del programma o del mezzo tecnico (ad es. le IP-tv) in grado di fornire all’utente il collegamento ai contenuti protetti (62), sia il lucro indiretto derivante dalle campagne pubblicitarie realizzate sul sito dell’hyperlinker (63).

4. La direttiva 2019/790: primi approcci interpretativi

Il progresso delle tecnologie digitali ha modificato profondamente il modo in cui le opere vengono create, prodotte, distribuite e sfruttate. Proprio tale evoluzione ha fatto recentemente emergere nuovi attori, nuovi modelli di business e nuove forme di consumo della cultura, intesa in senso ampio.

(58) Banterle, Linking a contenuti protetti da diritto d’autore nella giurisprudenza della corte di giustizia. Atto terzo. Gs media, cit., 2017, 473. (59) Cogo, Linking e framing al vaglio della corte di giustiza dell’Unione Europea, in Giur. it., 2017, 2206. (60) Corte di Giustizia u.e., causa c-527/15 caso Stichiting Brein, disponibile al link: <http://curia.europa.eu/juris/document/document.jsf?text=&docid=190142&pageIndex=0&doclang=IT&mode=lst&dir=&occ=first&part=1&cid=5461443>. (61) Corte di Giustizia u.e., causa c-610 caso The Pirate Bay, disponibile al link: <http://curia.europa.eu/juris/document/document.jsf?text=&docid=191707&pageIndex=0&doclang=IT&mode=lst&dir=&occ=first&part=1&cid=5461618>. (62) Corte di Giustizia u.e, causa c-527/15 caso Stichiting Brein, cit., punto 51.

(57) Nel caso di specie, infatti, il link rimandava ad un contenuto protetto ma non pubblicato su Internet dal titolare del diritto.

652

DIRITTO DI INTERNET N. 4/2019

(63) Corte di Giustizia u.e, causa c-610 caso The Pirate Bay, cit., punto 46.

SAGGI Sono proprio queste le motivazioni che la Commissione Europea ha individuato quali elementi giustificativi di un nuovo intervento normativo in tema di diritto d’autore, di utilizzo transfrontaliero delle opere protette e di mercato unico digitale con l’obiettivo ultimo dell’armonizzazione della disciplina in materia di diritto d’autore, così da eliminare le differenze esistenti tra i vari ordinamenti giuridici dell’Unione Europea, contenute nella direttiva n. 2019/790 (64). Nella relazione che ha accompagnato il testo della direttiva in Parlamento, figurano tra gli obiettivi principali la tutela delle pubblicazioni sulla stampa, la riduzione del «divario di valore» tra i profitti realizzati dalle piattaforme della rete Internet e dai creatori di contenuti e la creazione di eccezioni al diritto d’autore per l’estrazione di testi e di dati. Tra le proposte specifiche della direttiva figurano il riconoscimento agli editori del diritto d’autore diretto sull’uso delle proprie pubblicazioni da parte delle piattaforme on-line e dagli aggregatori di notizie (cd. Snippet, ex art. 15), l’obbligo per i siti web che ospitano principalmente contenuti pubblicati dagli utenti di dotarsi delle autorizzazioni necessari e di adottare misure efficaci atte ad impedire la pubblicazione non autorizzata di contenuti protetti da diritto d’autore ed infine la responsabilità in capo agli I.S.P. in relazione ai contenuti caricati dagli utenti (cd. filtro in ingresso e obbligo di vigilanza posto in capo alle piattaforme ed ai fornitori di servizi on-line, ex art. 17). Tra gli ulteriori obiettivi che l’Unione Europea si propone di raggiungere con l’adozione di questa direttiva, è necessario ricordare anche la maggior tutela che sarebbe concessa nei confronti dell’utilizzo transfrontaliero del diritto d’autore, la creazione di un mercato digitale maggiormente competitivo ed aperto, la creazione di un mercato concorrenziale dei diritti d’autore e il raggiungimento di un nuovo bilanciamento di interessi tra coloro che creano contenuti, e come tali sono titolari del diritto d’autore, e coloro che li «pubblicano», ossia i fornitori di piattaforme e servizi on-line che basano il proprio modello di business sui contenuti caricati dagli utenti. La direttiva prosegue il percorso già tracciato dai precedenti interventi in materia effettuati da parte dell’Unione, ma presenta anche aspetti innovativi e di pregio per il settore. (64) La direttiva ed i lavori preparatori, reperibili al seguente link: <https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A52016PC0593>, è stata approvata in via definitiva il 15 aprile 2019 all’esito di un iter particolarmente gravoso. La presentazione della proposta ha sollevato nel Maggio 2018 e nel Marzo del 2019 numerose proteste nell’opinione pubblica e da parte di alcuni operatori di Internet quali Wikipedia e You Tube i quali hanno provveduto ad oscurare i propri siti.

Appare evidente ad una prima lettura come l’impianto normativo che la caratterizza si ponga in linea di continuità con gli interventi normativi di natura strutturale, precedentemente effettuati in materia di diritto d’autore: il riferimento va certamente alla citata direttiva 2001/29 cd. InfoSoc (65), alle politiche di enforcement poste in essere nei confronti dei fornitori di servizi on-line (66), oltre che alla giurisprudenza della Corte di Giustizia UE in tema di linking a contenuti protetti (67). Ciò che emerge dall’analisi della proposta di direttiva è l’assenza di un vero e proprio ripensamento della struttura del diritto d’autore non tanto con riguardo ai diritti – morali e patrimoniali – e alle privative che esso incorpora, quanto piuttosto con riferimento alle modalità di cessione di tali diritti a terzi ed alle modalità di circolazione delle licenze (68). La direttiva innova prevendendo un obbligo di controllo da parte degli I.S.P. sui contenuti caricati dalla rete degli utenti, pur senza preoccuparsi di affrontare il tematica della struttura e del regime circolatorio del diritto d’autore (69), così da adeguarne le modalità di fruizione e di circolazione alla rapidità e alla duttilità della realtà digitale, né pone meccanismi per un più facile incontro tra chi intende utilizzare il contenuto e l’offerta del contenuto effettuata dall’autore o dal titolare del diritto (70). Prima di procedere oltre nell’analisi della direttiva, è necessario soffermarsi brevemente sul contenuto degli artt. 3, 5 ed 15 della medesima, rinviando l’analisi dell’art. 17 al proseguo dell’elaborato (71). L’art. 3 della direttiva prevede che gli Stati membri dispongano un’eccezione al diritto d’autore «(…) per le riproduzioni e le estrazioni effettuate da organismi di ricerca e istituti di tutela del patrimonio culturale ai fini dell’estrazione, per scopi di ricerca scientifica, di testo e di dati da opere o altri materiali cui essi hanno legalmente accesso».

(65) Cfr. § 3. (66) Cfr. § 1. (67) Goisis, Profili di legittimità nazionale e convenzionale europea della repressione in via amministrativa delle violazioni del diritto d’autore sulle reti di comunicazione elettronica: il problema dell’enforcement, in AIDA, 2014, 180. (68) Ghidini - Banterle, A critical overview of the Directive on copyright in the Digital Single Market, in questa Rivista, 2019, 3, dove si afferma che «The proposal has been criticized for lacking ambitiousness» e che «the DSM Copyright Directive mostly focuses on adding new ad hoc heterogeneous prevision contents but would not be wiser to adopt a mechanism of open paying access». (69) Cfr. § 2. (70) A differenza di quanto invece contenuto nel Digital Copyright Exchange inglese, che in via embrionale prevedeva l’adozione delle licenze collettive estese sul modello scandinavo cfr. §2. (71) Si veda § 4.

DIRITTO DI INTERNET N. 4/2019

653

SAGGI Con questo articolo si introduce negli ordinamenti degli Stati membri un’importante eccezione in favore dell’istruzione, della ricerca e della conservazione del patrimonio culturale in considerazione del fatto che le tecnologie digitali consentono nuovi tipi di utilizzi delle opere non esplicitamente contemplati dalle attuali norme dell’UE. La natura facoltativa dell’eccezione e delle limitazioni in questo settore, di cui alla direttiva InfoSoc, potrebbero inficiare, per esplicita ammissione della stessa Commissione (72), il corretto funzionamento del mercato digitale interno soprattutto in considerazione degli utilizzi transfrontalieri. Sul punto la Commissione suggerisce, nei lavori preparatori della direttiva, come l’inserimento, negli ordinamenti degli stati membri, di una simile eccezione sia fondamentale per l’uso di tecnologie di estrazione di testo e di dati nel campo della ricerca scientifica per finalità illustrative ad uso didattico e per la conservazione del patrimonio culturale. La ratio dell’introduzione di una simile eccezione mira a consentire alle nuove tecnologie, che consentono un’analisi computazionale automatizzata delle informazioni digitali, qual ad esempio suoni, immagini, testi, di non veder bloccata la loro capacità di «far emergere conoscenza» dall’incontro-scontro con il diritto d’autore (73). L’art. 5 mira invece a rendere obbligatorio l’inserimento negli ordinamenti degli Stati membri di eccezioni o limitazioni atte a consentire a coloro che svolgono attività didattiche di utilizzare opere digitali e altro materiale esclusivamente per finalità illustrativa ad uso didattico, a condizione che ciò avvenga nei locali dell’istituto o sulle reti da essi predisposte (74) ed a condizione che gli stessi ne facciano un uso non commerciale (75). Alla luce dell’art. 5 co. 1 lettera A) è opportuno domandarsi che cosa debba intendersi per «istituti d’istruzione» (72) Proposta di direttiva del Parlamento europeo e del Consiglio sul diritto d’autore nel mercato unico digitale com/2016/0593 final 2016/0280, 13, disponibile al link: <https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A52016PC0593>. (73) Proposta di direttiva del Parlamento europeo e del Consiglio sul diritto d’autore nel mercato unico digitale com/2016/0593 final 2016/0280, cit., 15. (74) L’art 5 co.1 parla esplicitamente di «ambiente elettronico sicuro accessibile solo agli alunni o studenti e al personale docente di tale istituto». (75) Anche con riguardo all’uso non commerciale del contenuto da parte dell’istituto di istruzione si pongono problemi interpretativi di non poco conto. Il requisito del non uso commerciale risulta in realtà essere una caratteristica suscettibile di interpretazione soggettiva. Si pensi al caso, frequente nella realtà italiana, delle tradizionali recite scolastiche ove agli spettatori venga richiesto per assistervi un piccolo contributo o una piccola donazione. Adottando una interpretazione ampia ma rigorosa di «uso commerciale» appare evidente come non si possa sussumere tale uso concreto del contenuto nell’alveo applicativo dell’eccezione.

654

DIRITTO DI INTERNET N. 4/2019

o meglio se di tale locuzione si debba dare un’interpretazione restrittiva (considerando tali solo istituti scolastici e di formazione, università ed istituti di ricerca pubblici e privati) oppure un’interpretazione estensiva, facendovi così rientrare anche soggetti quali gli istituti di conservazione dei beni culturali e le biblioteche (76). Dalla lettura della direttiva non sussistono elementi per dare risposta a questo interrogativo. Nonostante i rilievi sopradetti, la ratio sottesa al co. 1 dell’art. 5 è da ritenersi sicuramente meritevole di apprezzamento. Tuttavia, tale eccezione al diritto d’autore potrebbe in realtà rimanere una mera dichiarazione di intenti: infatti il comma 2 dell’art. 4 ammette la possibilità che l’eccezione in favore degli istituti di istruzione possa essere disapplicata laddove sul mercato siano facilmente reperibili «adeguate licenze che autorizzino gli atti di cui al primo comma», rispondendo alle necessità e specificità degli istituti di istruzione. L’art. 15 della direttiva affronta invece più da vicino le problematiche che investono il diritto d’autore nell’odierna realtà digitale. La norma esordisce prevedendo a chiare lettere in capo agli editori di giornali, stabiliti in uno degli stati membri, un diritto di privativa per l’utilizzo on-line delle loro pubblicazioni da parte di soggetti terzi mediante piattaforme web, i quali si dovranno procurare, dietro pagamento, una licenza di utilizzo per i materiali così riprodotti. Il primo comma della norma quindi pare, finalmente, offrire una chiara tutela dinnanzi alla ripubblicazione dei contenuti sul web, sia agli editori che impegnano le proprie risorse nella ricerca e nell’acquisizione di contenuti rilevanti per i propri lettori, sia agli autori che possono così vedere ulteriormente retribuita la propria opera a seguito della sua maggiore diffusione. Tuttavia, il prosieguo del comma 1 dell’art. 15 introduce una serie di eccezioni che ottengono l’unico risultato di depotenziare notevolmente l’ampia tutela introdotta dalla prima parte del comma. In particolar modo nella seconda parte del comma 1 il legislatore introduce un’eccezione al diritto di privativa e di sfruttamento economico esclusivo in presenza di un utilizzo del contenuto sul web effettuato «per scopi privati o non commerciali», senza chiarire quando tali scopi siano integrati. La parte finale del comma 1 dell’art. 15, invece, introduce un’eccezione al diritto di privativa in presenza di linking e dell’utilizzo «di singole parole o i estratti molto brevi

(76) Appare tuttavia possibile far rientrare l’attività di tali istituti nell’alveo applicativo del successivo art. 6, che introduce un’eccezione al diritto d’autore consentendo loro di «realizzare copie di qualunque opera o altri materiali presente permanentemente nelle loro raccolte, in qualsiasi formato o su qualsiasi supporto, ai fini di conservazione di detta opera»;

SAGGI di pubblicazioni di carattere giornalistico», prevedendo così un’ampia deroga in favore di quelle piattaforme on-line che pubblicano snippet (77). La pratica dello snippet risulta essere particolarmente invisa agli editori, non solo perché utilizza in parte un contenuto oggetto di riproduzione riservata, di fatto ripubblicandolo senza alcun genere di licenza o di accordo con il titolare dei diritti, ma anche perché la presenza della notizia su un aggregatore di notizie riduce la quantità di traffico diretto alla pagina dell’editore titolare dei diritti, facendo così diminuire indirettamente gli introiti pubblicitari. L’utente che legge la notizia sull’aggregatore vede sia il titolo che un brevissimo riassunto, a questo punto proseguirà sulla pagina dell’editore seguendo il link (saltando la homepage dell’editore) solo e soltanto se sarà estremamente interessato alla notizia stessa, altrimenti non accederà alla pagina dell’editore con conseguenti minori ricavi, derivanti dal minor traffico, dalla vendita degli spazi pubblicitari. Sul punto la direttiva assume una posizione del tutto diversa e distante da quella contenuta nella proposta 2016/0218, il cui art. 11 prevedeva di introdurre l’obbligo per coloro che pubblicano gli snippet di procurarsi una licenza d’utilizzo. La ratio dell’art. 11 (78) deve essere ricercata nella volontà del legislatore europeo di tutelare gli editori ed i creatori di contenuti che non solo vedono il loro prodotto diventare risorsa per un soggetto terzo, non legittimato ad utilizzarlo, senza essere remunerati, ma anche nell’intento di evitare un’evidente ipotesi di illecito concorrenziale, derivante dallo sviamento degli utenti dai canali di comunicazione (79) ove il contenuto è legittimamente

(77) Gli snippet sono brevi testi di anteprima delle notizie, che vengono creati automaticamente da software detti aggregatori di notizie in base ai contenuti della pagina bersaglio ed in base alla query di ricerca effettuata dall’utente. Esempi di snippet sono gli aggregatori di notizie presenti su tutti gli smartphone, siano essi Android o Apple iOS oppure la stessa sezione “notizie” della versione desktop del browser web google.it, i quali mostrano all’utente le più importanti notizie riportate dalle pagine on-line dei giornali con un breve abstract ed un link che rimanda alla pagina dell’articolo. (78) Cfr. Ghidini - Banterle, A critical overview on the European Commission’s proposal for a Directive on copyright in the Digital Single Market, in Giur. comm., 2018, 227 e ss. (79) Utile al fine di meglio comprendere la posizione assunta dalla Commissione è il riferimento alla disciplina tedesca in tema di diritto d’autore e diritti connessi del 2013. Essa attribuisce agli editori il diritto di addebitare agli aggregatori di notizie on-line la riproduzione di frammenti del loro articolo nei risultati di ricerca. Ciò provocò la reazione di Google che smise di utilizzare gli snippet, facendo così crollare il traffico nei confronti dei siti web degli editori. In Spagna invece nel corso del 2014 fu approvata, nell’ambito di una più ampia riforma del diritto d’autore, la cd. “tax link” la quale prevedeva l’obbligo per gli editori di richiedere tariffe accessorie agli aggregatori di

pubblicato, ad altri canali nei quali questo viene ripubblicato. In base all’art. 11, quindi, le piattaforme on-line avrebbero dovuto pagare una licenza per introdurre un link al sito dell’editore e per pubblicare gli snippet delle sue notizie (80); questo avrebbe potuto mitigare il potere che nell’ultimo decennio gli aggregatori di notizie – quali Google e Facebook – hanno accumulato nei confronti degli editori (81). La direttiva invece introduce una vera e propria eccezione in favore di coloro che basano il proprio modello di business su contenuti per i quali non hanno sostenuto alcun costo di produzione (82). L’esclusione, operata dal n. 1 commi 3 e 4 dell’art. 15, delle piattaforme di iperlinking e di snippet dall’obbligo di dotarsi di preventiva licenza di utilizzazione per la ripubblicazione dei contenuti impone agli editori, che compiono investimenti e che sostengono costi per l’acquisizione dei contenuti, ingenti perdite determinando una eccessiva ed ingiustificata involuzione dei diritti di privativa. Se la ratio delle deroghe sopra dette, deve essere senza dubbio rintracciata nella volontà di introdurre un’eccezione in favore della mera indicizzazione e riproposizione, a seguito di apposita query, delle pagine (e quindi dei link) contenenti articoli e notizie pubblicate da uno

notizie. Ciò provocò di tutta risposta la chiusura del servizio Google News ed il ritiro di Google dal mercato. (80) Potrebbe essere proprio questo il terreno preferenziale di applicazione delle licenze collettive estese al fine di incentivare la realizzazione di una contrattazione collettiva tra editori ed autori da una parte ed aggregatori di notizie dall’altra. (81) Commissione europea, Impat Assessment on the modernization of UE copyright rules, Bruxelles, 2016, 301 final, part. 1, 156, ove si stima come il 57% degli utenti europei leggano i giornali on-line attraverso degli intermediari (aggregatori di notizie) e di questi il 47% non continua la lettura della notizia sulla pagina dell’editore del giornale. È evidente la perdita di profitto degli editori “tradizionali” i quali oltre a sostenere i costi per la produzione del contenuto non beneficiano dei ricavi potenziali derivanti dalla vendita degli spazi pubblicitari fisici o virtuali, Cfr. Ghidini - Banterle, A critical overview of the Directive on copyright in the Digital Single Market, cit., 8. (82) Parte della dottrina ritiene che l’introduzione di specifici diritti di privativa operata sia dalla direttiva InfoSoc che dalla direttiva qui in commento in realtà non rafforzi il diritto d’autore, ritenendo maggiormente proficuo un generale ripensamento della struttura dello stesso. Sul punto Ghidini - Banterle, A critical overview of the Directive on copyright in the Digital Single Market, cit., 8, ove si afferma che «in the European Commission’s view only a new right would give publishers the ability and the title to negotiate whit online intermediaries» ma che «this solution adheres to the traditional “close”/exclusionary Copyright paradigm». La privativa riconosciuta in favore degli editori non si pone però in automatico contrasto con la necessità di prevedere una circolazione del diritto, dietro pagamento di un prezzo, più semplice e meno rigida rispetto allo schema della licenza d’utilizzo. Circostanza che la Direttiva 2019/790 esplicitamente prevede nell’ambito del Capo 2 mediante lo strumento delle licenze collettive estese di cui all’art. 12.

DIRITTO DI INTERNET N. 4/2019

655

SAGGI o più editori, appare evidente come la loro ampiezza finisca per offrire tutela e protezione a condotte che sembrano essere lesive dei diritti di privativa in quanto capaci di sviare o di soddisfare l’interesse del lettore/ utente senza che questo sia “transitato” sulle pagine del titolare del diritto.

5. Segue. L’art. 17 della direttiva 2019/790: il difficile equilibrio tra privativa ed accessibilità ai contenuti

La norma sicuramente più controversa e dibattuta dell’intera direttiva è l’art. 17, rubricato «Utilizzo di contenuti protetti da parte di prestatori di servizi di condivisione di contenuti online». Essa è chiaramente indirizzata a quei prestatori che svolgono principalmente attività di hosting e che danno pubblico accesso a materiale caricato dagli utenti – si pensi alle piattaforme come Facebook e ai social network in generale, ma anche a YouTube, ai servizi di hosting di siti web quali Aruba ecc… – e riconosce che tali prestatori di servizi, quando concedono l’accesso ad opere o altri materiali protetti, effettuano «un atto di comunicazione al pubblico». Viene così adottato a chiare lettere quel principio che da tempo la giurisprudenza della C.G.E.U. applicava dinnanzi alle violazioni dei diritti di privativa operati per il tramite di servizi di hosting, ossia che la messa a disposizione di materiale protetto ad un pubblico diverso da quello originariamente individuato dal titolare del diritto è a tutti gli effetti un atto di ripubblicazione (83). Dall’adozione di tale principio come base per l’interpretazione dell’attività dei prestatori di servizi di condivisione discende la conseguenza che tali soggetti, per pubblicare i contenuti, devono «ottenere un’autorizzazione dai titolari dei diritti (…) mediante la conclusione di un accordo di licenza». Accordo che si rende necessario non solo quando chi gestisce la piattaforma scelga di ripubblicare un determinato contenuto ma anche e soprattutto quanto la pubblicazione del contenuto protetto sia effettuata dagli utenti del servizio di condivisione on-line (84). La ratio è sicuramente quella di salvaguardare l’utente del servizio/piattaforma di condivisione dall’onere di doversi preoccupare del compito, oneroso, di ottenere la previa autorizzazione all’utilizzo del contenuto protetto, scaricando tale onere sulla piattaforma che in concreto è l’unica beneficiaria delle attività di condivisione degli utenti, poiché basa proprio su questo il suo modello di business e da questo ottiene i propri guadagni.

(83) Cfr. § 3; Ghidini - Banterle, A critical overview of the Directive on copyright in the Digital Single Market, cit., 13. (84) Art. 17 co. 2 laddove si stabilisce che «l’autorizzazione include anche gli atti compiuto dagli utenti dei servizi (…) qualora non agiscano su base commerciale o qualora la loro attività non generi ricavi significativi»

656

DIRITTO DI INTERNET N. 4/2019

In tal maniera la normativa, attribuendo l’obbligo di dotarsi di licenza in capo alla piattaforma, evita anche di limitare, eccessivamente, la libertà di espressione del cittadino/utente che si sviluppa anche – e soprattutto – tramite la condivisione di contenuti attraverso le piattaforme on-line. Dalla lettura dei primi 3 commi dell’art. 17 emerge la volontà del legislatore europeo di non appesantire l’attività delle piattaforme di condivisione di contenuti on-line, volontà che sembra essere confermata dal confronto tra il testo normativo definitivo con quanto invece previsto dall’art. 13 della proposta di direttiva 2016/0218. La formulazione di questa norma poneva infatti a chiare lettere in capo alle piattaforme non solo l’obbligo di concludere accordi per l’uso di opere protette ma anche e soprattutto quello di adottare «misure atte a garantire il funzionamento degli accordi conclusi con i titolari dei diritti (… ) volte ad impedire che talune opere o altro materiale identificati dai titolari dei diritti mediante la collaborazione con gli stessi prestatori siano messi a disposizione sui loro servizi». La ratio dell’art. 13 della proposta di direttiva sopra ricordata deve essere rintracciata nella volontà di tutelare il diritto di privativa e di sfruttamento economico esclusivo contro la diffusione dell’opera senza previa autorizzazione, tramite l’introduzione di accordi che mirino a raggiungere un nuovo compromesso tra l’interesse dell’autore e l’interesse del fruitore/distributore: non a caso il dettato dell’art. 13 prevede in più punti la collaborazione tra titolare del diritto e fornitore di servizi sia con riguardo alla stipulazione di accordi per l’utilizzo dei contenuti protetti, sia con riguardo all’individuazione dei meccanismi di protezione di tali contributi, salvaguardando così il principio secondo cui chiunque diffonda l’opera intellettuale altrui debba preventivamente averne acquisito i diritti. L’art. 13 mirava ad obbligare le piattaforme di condivisione – il cui modello di affari si sviluppa attorno al flusso di traffico generato dal contenuto di proprietà di terzi, ottenuto dalla piattaforma in maniera gratuita, e immesso dall’utente senza che nulla si debba pagare all’autore – a verificare che il contenuto così “caricato” fosse soggetto a utilizzo secondo le cd. “creative commons” oppure che ne fosse stato acquisito il diritto alla riproduzione-condivisione mediante versamento della conseguente royalty. L’obiettivo perseguito dalla Commissione Europea era quello di introdurre una tutela rafforzata della creazione intellettuale, con l’intento di porre un freno alla diffusione incontrollata delle opere dell’ingegno digitali, attuato tramite la previsione in capo ai c.d. Over the Top di un obbligo di controllo, in considerazione del fatto che l’atto di condividere il file da parte di un utente non è per nulla diverso da una ripubblicazione del contenuto:

SAGGI l’utente che prima ha fruito del contenuto e poi decide di condividerlo con un pubblico diverso – da quello previsto dall’autore o dal titolare dei diritti – ed anche solo potenziale assume la medesima posizione di un editore/ distributore (85). Il testo dell’art. 13, così come formulato nella proposta della Commissione Europea, è stato oggetto di numerosi emendamenti da parte del Parlamento Europeo il quale, pur non stravolgendone l’impianto, ha eliminato alcune rigidità formali e strutturali sino a cancellare l’obbligo di controllo preventivo e di filtro in ingresso previsto originariamente in capo agli Over the Top. Per analizzare in maniera specifica l’art. 17 è necessario iniziare dalla definizione dell’attività dei prestatori di servizi di condivisione di contenuti on-line come comunicazione al pubblico e dal conseguente obbligo di dotarsi di licenze per l’utilizzo dei contenuti. La norma, infatti, fa nascere in capo a tali fornitori di servizi l’obbligo di ottenere «un’autorizzazione dai titolari dei diritti». Saranno, dunque, gli accordi di licenza intercorsi tra fornitore del servizio e titolare del diritto, ove presenti, a disciplinare il regime, le modalità e le responsabilità per le opere pubblicate dalle piattaforme e dagli utenti. Qualora tra piattaforma di condivisione e titolare del diritto di privativa non intercorra alcun genere di autorizzazione l’art 17 prevede al comma n. 7, in via generale, che i titolari dei diritti cooperino in buona fede con i prestatori dei servizi per garantire che non siano disponibili nei loro servizi opere o altro materiale protetti non autorizzati e introduce al comma 4 un’ipotesi di responsabilità per le piattaforme per atti non autorizzati di comunicazione al pubblico, a meno che queste non dimostrino: «a) di aver compiuto massimi sforzi per ottenere un’autorizzazione e b) aver compiuto, secondo elevati standard di diligenza professionale di settore, i massimi sforzi per assicurare che non circolino opere o altri materiali specifici per i quali abbiano ricevuto le informazioni pertinenti e necessarie dai titolari dei diritti, ed in ogni caso c) di aver agito tempesti (85) Tutto ciò però si scontra (come le prime reazioni alla proposta di direttiva hanno già dimostrato) con l’esigenza di rapidità di circolazione dei dati e delle informazioni, con la gratuità dei contenuti e delle informazioni reperibili in Internet che da sempre caratterizza la realtà digitale nonché con lo scarso disvalore sociale che viene percepito nei confronti di condotte di abuso del diritto d’autore; Cfr. Bertoni - Montagnani, La modernizzazione del diritto d’autore e il ruolo degli intermediari Internet quali propulsori della attività creative in rete, cit., 115, laddove si afferma che: «le persone che sono cresciute con le tecnologie digitali considerano le informazioni come l’ingrediente necessario e connaturato all’esistenza di Internet. Poiché l’utente instaura nella rete un rapporto immediato e diretto con l’informazione egli non contempla alcun plausibile ostacolo che si possa frapporre in questo rapporto, ciò comporta l’assenza di qualsivoglia distinguo rispetto ai contenuti tutelati da diritto d’autore e porta ad un sempre maggior disconoscimento da parte degli utenti della rete della componente escludente del diritto d’autore e del diritto brevettuale».

vamente dopo aver ricevuto la segnalazione sufficientemente motivata dai titolari dei diritti, per disabilitare l’accesso o rimuovere dai loro siti web le opere o altri materiali oggetto di segnalazione e aver compiuto i massimi sforzi per impedirne il caricamento in futuro conformemente alla lettera b)» (86). Dalla lettura del comma 4 dell’art. 17 emergono diversi spunti interpretativi: da una parte, la lettera C) introduce, in caso di circolazione non autorizzata di materiale protetto, un meccanismo simile a quello attualmente in uso del “notice and take down” e quindi la sussistenza in capo alla piattaforma di un obbligo di attivazione tempestiva che viene in essere solo e soltanto in caso di patologia del diritto di privativa. Dall’altra la lettera B) sembra, invece, introdurre un vero obbligo di controllo circa gli elementi caricati dagli utenti, obbligo che deve essere adempiuto dai prestatori di servizi di condivisione non solo «secondo elevati standard di diligenza professionale del settore», quindi con l’utilizzo di una diligenza specifica richiesta dalla natura della prestazione e del servizio offerto, ma anche compiendo i massimi sforzi affinché non circolino materiali sottoposti a diritto di autore. La diligenza richiesta dalla lettera B per adempiere all’obbligo di non far circolare materiale protetto è meglio definita dallo stesso legislatore al successivo comma 5 dell’art. 17 (87), la cui ratio è quella di fornire agli interpreti una serie di strumenti e di riferimenti concreti al fine di verificare se la diligenza adottata, nel caso di specie, è sufficiente o meno da escludere la responsabilità del prestatore del servizio. Ciò che invece non emerge dalla lettura del comma 4 e della sua lettera B) è se tale obbligo di controllo sia preventivo – e quindi tale da introdurre un c.d. “filtro in ingresso” – o successivo. A tal fine assume un ruolo determinante il ruolo che la stessa lettera B) assegna ai titolari dei diritti. Nella proposta di direttiva formulata dalla Commissione appariva chiaramente l’obbligo per i fornitori dei servizi di adottare concretamente dei meccanismi di filtro in ingresso che evitassero l’immissione da parte (86) Ghidini - Banterle, A critical overview of the Directive on copyright in the Digital Single Market, cit., 14, dove si afferma che il legislatore europeo abbia attribuito a tali criteri di responsabilità un carattere proporzionale al fine di consentire, in caso di patologia del rapporto, di poter meglio valutare, in considerazione delle circostanze del caso concreto, l’impegno richiesto ed effettivamente impiegato alle piattaforme. (87) Il comma 5 prevede, infatti, che per valutare se la piattaforma sia conforme agli obblighi di cui al comma 4 e quindi possa beneficiare della esenzione da responsabilità debbano essere presi in considerazione alla luce del criterio di proporzionalità, tra gli altri, anche «a) la tipologia, il pubblico e le dimensioni del servizio e la tipologia di opere o materiali caricati dall’utente, b) la disponibilità di strumenti adeguati ed efficaci e il relativo costo per il prestatore dei servizi». Ciò significa che i criteri di esenzione di responsabilità devono essere applicati non in maniera astratta ma con riguardo alle concrete dimensioni, capacità e possibilità della piattaforma.

DIRITTO DI INTERNET N. 4/2019

657

SAGGI degli utenti di contenuti protetti. Alla luce degli emendamenti apportati al testo dal Parlamento e dal Consiglio dell’Unione Europea appare evidente la volontà di depotenziare, se non eliminare, tale innovazione, prevedendo una più semplice e non meglio delineata attività di cooperazione tra titolare del diritto e fornitore del servizio che nella fase patologica opera secondo i più consueti canoni già previsti dalla direttiva e-commerce e dalla direttiva 2001/29 (c.d. InfoSoc). L’introduzione di un vero e proprio obbligo di controllo preventivo in capo ai fornitori di servizi, così come previsto dalla Commissione, avrebbe determinato, nel caso di violazione del copyright, quantomeno una corresponsabilità del fornitore del servizio il quale alla luce delle considerazioni svolte riveste, rispetto a tali diritti, la medesima posizione degli editori tradizionali. Con la nuova formulazione, invece, il legislatore europeo non introduce un obbligo preventivo e generalizzato di controllo sui contenuti caricati dall’utente, infatti la lettera B) subordina il compimento dei massimi sforzi per non rendere disponibile il contenuto all’aver ricevuto «informazione pertinenti e necessarie dai titolari dei diritti». Ciò determina che solo quando il titolare del diritto abbia informato la piattaforma delle caratteristiche del contenuto lesivo allora questa dovrà compiere i massimi sforzi per non renderlo disponibile. Alla luce di tale considerazione tale forma di controllo non può che essere successiva (al caricamento ed alla comunicazione) e specifica cioè diretta solo e soltanto a quei contenuti per i quali la piattaforma abbia ricevuto informazioni. Nuovamente, la normativa rimanda il controllo (e l’intervento della piattaforma) all’ipotesi in cui emerga, dietro adeguata segnalazione da parte del titolare (88), una lesione del diritto. Tuttavia, dinnanzi alla lesione, la piattaforma, risponderà della violazione, non solo quando non collabori in buona fede con il titolare del diritto e, quando avvisata della violazione, non ponga in essere quelle buone pratiche atte a rimuovere «tempestivamente» il contenuto pubblicato senza licenza, ma anche quando non abbia utilizzato la diligenza professionale sufficiente e necessaria a far si che non siano disponibili opere o altri materiali specifici ed infine quanto non abbiano compiuto i massimi sforzi per ottenere l’autorizzazione. È questo il primo chiaro passo in avanti verso una maggiore responsabilizzazione del ruolo degli I.S.P. Sicuramente ai fini della tutela dei diritti di privativa questa appare una soluzione solo in parte innovativa e

(88) A tal proposito, l’art. 17 comma 4 lettera c) e comma 6 prevedono che la segnalazione debba essere «sufficientemente motivata» ossia si prevede che chi chiede la rimozione di un contenuto riservato non si possa limitare a chiederne la mera rimozione ma debba anche provare o motivare la legittimità della propria richiesta.

658

DIRITTO DI INTERNET N. 4/2019

che dimostra notevoli punti deboli ed inefficienze, nonché non in linea con la tecnologia attualmente disponibile (89). Nonostante i limiti e le inefficienze sopra dette, della lettura della lettera B) del comma 4 (90) in combinato disposto con la lettera B) del comma 5 – la quale statuisce la necessità di valutare la diligenza professionale utilizzata dalla piattaforma, al fine di poter beneficiare della esclusione della responsabilità, alla luce anche della «disponibilità di strumenti adeguati ed efficaci e il relativo costo per i prestatori di servizi» – sembrerebbe possibile ricostruire, su pur in maniera del tutto residuale ed in via embrionale, la necessità per le piattaforme di effettuare comunque un controllo preventivo sulle opere caricate, quantomeno al fine di poter invocare l’esclusione della responsabilità nel caso in cui si accerti ex post che sono stati resi disponibili contenuti protetti senza autorizzazione. Questa ricostruzione può tuttavia apparire smentita dal successivo comma 8, il quale afferma che dall’applicazione dell’art. 17 non deriva «alcun obbligo generale di sorveglianza». Se da una parte tale affermazione sembra esentare da qualunque tipo di controllo i fornitori di servizi di condivisione sia in via preventiva che in via successiva al caricamento del contenuto sulla piattaforma, indipendentemente dal fatto che ad effettuarlo sia un utente o la piattaforma stessa, sia che il contenuto sia caricato in virtù di una licenza di utilizzo o meno, dall’altra parte i commi 4 e 5 prevedono precise condotte, affinché la piattaforma possa beneficiare dell’esenzione dalle responsabilità, che mal si conciliano con la totale assenza di un obbligo generale di controllo, determinando invece la necessità di una vigilanza quantomeno successiva sulle opere caricate. La previsione in capo alle piattaforme ed ai fornitori di servizi di condivisione di un obbligo preventivo di controllo cd. “filtro in ingresso”, che si limiti solo ed esclusivamente ad effettuare un controllo formale sul contenuto caricato, e non operi invece un controllo sostanziale o di tipo censorio sul tipo o sulla qualità del contenuto

(89) L’utilizzo di filtri preventivi in ingresso non comporterebbe per i fornitori di servizi costi aggiuntivi insostenibili: basti pensare alla funzione da tempo utilizzata da una delle maggiori piattaforme di tali servizi YouTube, la quale utilizza il sistema “Content ID”. Tale sistema tramite un riconoscimento automatico dei video, verifica se il filmato caricato ha contenuti protetti da copyright e, nel caso, lo elimina dal sito o lo mostra solo con pubblicità, in modo da condividere i ricavi con gli effettivi titolari del diritto d’autore. Si veda: <https://support.google.com/youtube/ answer/2797370?hl=it>. Questa politica è stata recentemente introdotta anche dalla piattaforma Facebook <https://it-it.facebook.com/business/ help/830194837058589>. (90) La quale prevede che le piattaforme, per beneficiare dell’esclusione di responsabilità, dimostrino tra le altre attività, di «aver compiuto i massimi sforzi per assicurare che non siano disponibili opere e altri materiali».

SAGGI caricato, effettuando cioè un controllo diretto esclusivamente alla verifica del rispetto e/o dell’acquisizione-titolarità dei diritti di privativa e di licenza, non potrebbe in alcun modo risultare contrario ai principi di apertura e libera circolazione delle informazioni su Internet (come sostenuto da alcuni operatori di settore) ma mirerebbe solo ed unicamente a tutelare i produttori di contenuti, i quali a causa di ripubblicazioni non autorizzate si vedono ingiustamente sottrarre i frutti del loro lavoro. La libertà di circolazione delle informazioni e la neutralità della rete sono e debbono rimanere principi fondamentali della realtà digitale, tuttavia la loro applicazione deve necessariamente trovare un utilizzo maggiormente temperato e rispettoso degli altri diritti fondamentali dell’ordinamento al fine di garantire la sicurezza dei traffici giuridici (91). Con riguardo alla disciplina del diritto d’autore questa sicurezza non sembra essere sufficientemente garantita dall’attuale formulazione dell’art. 17, che se da un lato obbliga i fornitori di servizio a stipulare non meglio precisati accordi (92) con i produttori di contenuti, dall’altro li esonera, di nuovo, da ogni forma di controllo attivo nei confronti dei contenuti stessi ospitati e circolanti sulle loro piattaforme.

(91) Cassano - Rovati, La c.d. neutralità del web non più elemento di sfruttamento dei diritti d’autore altrui, in questa Rivista, 2019, 129 e ss. (92) Circa la natura di tali accordi la proposta di direttiva europea non fornisce alcun genere di precisazione ulteriore. È plausibile tuttavia ritenere che si faccia riferimento ad accordi di carattere collettivo tra i fornitori dei servizi e le associazioni territorialmente più rappresentative degli autori, strutturati sul modello delle licenze collettive estese che la direttiva 2019/790 disciplina all’art. 12. Si tralascia volutamente di considerare in questa sede la complessa disciplina inerente questa tipologia di licenze.

DIRITTO DI INTERNET N. 4/2019

659

SAGGI

I contratti conclusi on line dal minore di Michele Scotto di Carlo Sommario: 1. La condizione di incapacità legale del minore contraente. – 2. Il problema dei contratti telematici conclusi prima del compimento del diciottesimo anno di età. – 3. (Segue) L’accesso ai social networks. – 4. La tutela delle informazioni personali del minore alla luce del Regolamento UE/2016/679. – 5. Il consenso del minore al trattamento dei dati personali nel codice della privacy riformato. Le disposizioni previste dal codice civile in materia di incapacità negoziale si applicano sia ai contratti c.dd. “tradizionali”, sia a quelli telematici, la stipulazione dei quali è necessaria per la fruizione dei servizi della società dell’informazione. Tali servizi implicano il trattamento dei dati personali dell’utente che, se minorenne, può esprimere il consenso affinché questo si svolga laddove abbia compiuto il quattordicesimo anno di età. Questa significativa novità, introdotta dal decreto legislativo n. 101 del 10 agosto 2018, che ha novellato il codice della privacy vigente per adeguarlo alle previsioni contenute nel Regolamento UE/2016/679, induce a considerare l’opportunità di una riforma della disciplina dell’incapacità di contrattare del minore. The provisions of the civil code about negotiation capacity concern traditional and telematic contracts, which are concluded for the use of information society services. These services involve the processing of the user’s personal data. If the user is fourteen years old, he can consent to the treatment of his personal data. This significant novelty, introduced by legislative decree n. 101 of 10 August 2018, that has amended the current privacy code to adapt it to the provisions contained in EU/2016/679 Regulation, induces to consider the opportunity of a reform regarding the minor negotiation capacity.

1. La condizione di incapacità legale del minore contraente

L’art. 1425, comma 1, c.c., sancendo l’annullabilità del contratto stipulato dal soggetto legalmente incapace di contrattare, esclude che il minore possa validamente concludere un contratto. Il legislatore, attraverso la suddetta previsione, ha inteso evitare che la carenza di maturità – presunta nel soggetto che non abbia ancora compiuto il diciottesimo anno di età – possa sfociare in un pregiudizio al patrimonio dell’incapace, laddove questi decida di stipulare un contratto per soddisfare i propri interessi (1). Tuttavia, secondo la dottrina prevalente, l’esigenza di protezione de qua incontrerebbe il limite dei c.dd. «atti minuti della vita quotidiana» (2), ossia di quei negozi contraddistinti da una minima importanza economica, come l’acquisto di un giornale (3). Invero, il tenore dell’art. 1425, comma 1, c.c., il quale non contiene alcun riferimento al valore economico del contratto eventualmente concluso dall’incapace, sembra privare di validità il contratto stipulato dal minore

(1) Cfr. Roppo, Il contratto, in Trattato di diritto privato, a cura di Iudica e Zatti, 2ª ed., Milano, 2011, 716. (2) Stanzione, Capacità e minore età nella problematica della persona umana, Napoli, 1975, 298, sostiene che l’ammissibilità degli atti minuti della vita quotidiana sarebbe giustificata dalla «opportunità di evitare che un’intera classe di persone venga emarginata dal commercio giuridico (sia pure) di piccola entità». (3) In tal senso, v. Perlingieri - Cipriani, Incapacità legale e incapacità «naturale», in Perlingieri - Aa.Vv., Manuale di diritto civile, 9ª ed., Napoli, 2018, 577.

anche nel caso in cui l’operazione economica realizzata tramite il programma negoziale sia di modico valore. Ciononostante, per affermare la validità degli atti della vita quotidiana posti in essere dai minori, parte della letteratura (4) ricorre all’art. 1389 c.c., il quale lega la validità stessa del contratto concluso dal rappresentante alla sua capacità d’intendere e di volere, stabilendo che legalmente capace di agire debba essere, invece, il rappresentato. Considerando il figlio minorenne come rappresentante del genitore, si potrebbe sostenere la validità degli atti del minore stesso, se capace d’intendere e di volere (5). Secondo un diverso ordine di idee, e cioè giudicando il minore come nuncius, ossia come mero portavoce del genitore, il fondamento della validità degli atti di modico valore compiuti dall’incapace dovrebbe rinvenirsi nella volontà espressa dal rappresentante legale (6).

(4) V., per tutti, Trabucchi, Istituzioni di diritto civile, a cura di Trabucchi, 45ª ed., Padova, 2012, 264. (5) Tafaro, L’età per l’attività, Napoli, 2003, 244 s., critica quella che considera una vera e propria fictio iuris, ossia di concepire il minore come rappresentante volontario del genitore, sia perché gli effetti dell’atto compiuto dal minore ricadono nella sua sfera giuridica e non in quella dell’esercente la responsabilità genitoriale – laddove l’irrilevanza della capacità di agire del rappresentante si spiega con la produzione degli effetti del negozio nel patrimonio del rappresentato –, sia perché la ricostruzione prospettata «sembra più interessata a non sacrificare le geometriche e rigorose costruzioni teoriche che a valutare gli interessi concreti sottostanti». (6) In argomento, v. Brugi, Della capacità giuridica dei rappresentanti, in Riv. dir. comm., 1916, I, 431.

DIRITTO DI INTERNET N. 4/2019

661

SAGGI Ad un’attenta osservazione, entrambe le ricostruzioni interpretative volte a riconoscere la validità degli atti minuti della vita quotidiana sopra accennate finiscono con l’imputare ai genitori tutti i contratti eventualmente stipulati dal minore, compresi quelli che i rappresentanti legali non avrebbero mai concluso. Ai sensi dell’art. 1425, comma 2, c.c., anche l’incapacità di intendere e di volere costituisce causa di annullabilità del contratto. In tal caso, però, a differenza dell’ipotesi in cui una delle parti sia incapace di agire, è richiesta, affinché il giudice possa pronunciare la sentenza di annullamento del contratto, la sussistenza della malafede dell’altro contraente. Legittimati ad esercitare l’azione di annullamento (7) sono il minore, al compimento del diciottesimo anno di età, e i genitori, che, in quanto rappresentanti legali del minorenne stesso, sono tenuti a gestirne il patrimonio e a curarne gli interessi, fino a quando non raggiunga la maggiore età (8). L’annullabilità del contratto è preclusa dai raggiri adoperati dalla parte per mascherare la minore età, sebbene la mera dichiarazione di essere maggiorenne consenta comunque l’impugnazione del contratto. Ciò è stabilito dall’art. 1426 c.c., al quale la dottrina (9) riconosce carattere eccezionale, sicché la norma non sarebbe applicabile al di fuori dell’ipotesi ivi contemplata (10). Il raggiro (11), cui la norma si riferisce, consiste in «una vera e propria attività diretta a trarre la controparte in

(7) L’annullamento è richiesto con domanda giudiziale, finalizzata ad ottenere una sentenza costitutiva, che annulli il contratto invalido ed elimini gli effetti che questo ha prodotto. Dal carattere retroattivo dell’annullamento discende l’obbligo della restituzione delle attribuzioni conferite in adempimento delle obbligazioni dedotte nel contratto, perché prive di causa giustificativa, fermo restando che, in caso di annullamento del contratto per difetto di capacità di contrattare di una delle parti, l’incapace, ai sensi dell’art. 1443 c.c., è tenuto a restituire la prestazione ricevuta solo nei limiti in cui questa sia stata eseguita a proprio vantaggio. Ulteriore peculiarità dell’annullamento dovuto ad incapacità legale è l’opponibilità dello stesso ai terzi, i quali possono venire a conoscenza della minore età del contraente tramite la consultazione dei registri di stato civile. L’azione si prescrive in 5 anni, decorrenti dal momento in cui sia cessata la causa di invalidità del contratto, cioè dal compimento del diciottesimo anno di età da parte del minore. In argomento, v. Bocchini, Anomalie genetiche (Difetti della formazione), in Bocchini - Quadri, Diritto privato, 7ª ed., Torino, 2018, 1098 ss. (8) Cfr. Stanzione, I contratti del minore, in Europa e dir. priv., 2014, 1243 s. (9) Zaccaria, sub art. 1426 c.c., in Commentario breve al codice civile, a cura di Cian, 13ª ed., Milano, 2018, 1553. (10) Caringella - Buffoni, Manuale di diritto civile, 9ª ed., Roma, 2018, 1033, sostengono che, in ragione del generico riferimento al termine «minore», contenuto nell’art. 1426 c.c., la previsione normativa dovrebbe essere interpretata estensivamente, cioè comprendendo il caso del minore emancipato. (11) Si pensi, a titolo esemplificativo, alla falsificazione del documento di identità.

662

DIRITTO DI INTERNET N. 4/2019

errore circa la qualità di incapace legale dell’agente» (12), che il legislatore non ritiene concretizzata dalla dichiarazione, rivolta dal minorenne alla controparte, di essere maggiorenne. Infatti, quest’ultimo può sincerarsi della veridicità della dichiarazione tramite l’ispezione dei registri di stato civile (13). Peraltro, stante l’anzidetta definizione di raggiro (14), sembra ragionevole espungere dalle condotte integranti la dolosa macchinazione anche il silenzio del contrante in ordine alla sua minore età. L’art. 1426 c.c. risponde all’esigenza di comporre il conflitto di interessi che sorge tra il soggetto incapace di contrattare e i suoi rappresentanti legali, da una parte, e l’altro contraente, dall’altra. In particolare, mentre i primi aspirano ad ottenere, tramite l’azione di annullamento ex artt. 1425 e 1441 ss. c.c., la declaratoria di invalidità del contratto, il secondo mira a preservare la validità del negozio concluso, al fine di conservarne gli effetti (15). In questo contesto, l’art. 1426 c.c. esprime il favor legislativo per l’impugnabilità del contratto solo quando il minorenne non abbia maliziosamente «occultato la sua minore età»; in caso contrario, si considera prevalente l’interesse del terzo per l’affidamento riposto sulla validità dell’accordo (16).

(12) Così, Zaccaria, op. loc. ult. cit., il quale rileva che, nel corso di un giudizio di annullamento, l’onere di provare la sussistenza del raggiro compiuto dal minore ricade sullo stipulante, capace di contrattare, convenuto in giudizio. (13) In tal senso, v. Bocchini, Anomalie genetiche (Difetti della formazione), cit., 1101. Sul punto, Balestra - Bolondi, Commento all’art. 450 c.c., in Balestra (a cura di), Della famiglia, artt. 343-455, in Commentario del codice civile, diretto da Gabrielli, Torino, 2009, 590, fanno discendere dalla pubblicità dei registri di stato civile l’astratta fruibilità degli stessi da parte di chiunque. Tuttavia, in concreto, la giurisprudenza amministrativa formatasi in tema di accesso ai registri di stato civile richiede la necessaria mediazione dell’ufficiale preposto alla loro conservazione, conformemente a quanto stabilito dall’art. 450, comma 2, c.c., per quello che concerne il rilascio di certificati ed estratti degli atti registrati, e 450, comma 3, c.c., per quanto riguarda le indagini richieste dai privati sugli stessi (C. Stato, 23 gennaio 1998, n. 99, in Cons. Stato, 1998, I, 59). Giova osservare, a tal proposito, che il diritto di accesso ai documenti amministrativi, sancito come principio generale dell’azione amministrativa dall’art. 22, comma 2, l. n. 241 del 1990, è disciplinato dal regolamento esecutivo introdotto dal d.P.R. 12 aprile 2006, n. 184, l’art. 2 del quale subordina l’esercizio del diritto in questione alla sussistenza di un «interesse diretto, concreto e attuale, corrispondente a una situazione giuridicamente tutelata e collegata al documento al quale è richiesto l’accesso». (14) La quale sembra cogliere nel segno, in quanto solo un comportamento attivo dell’incapace, che sia rivolto a trarre in inganno la controparte in merito alla propria età, appare idoneo a rivelare un grado di maturità tale da giustificare il venir meno della tutela che l’ordinamento giuridico riserva al minore. (15) Cfr. Roppo, Il contratto, cit., 720. (16) La dottrina discute a proposito dell’opportunità di sanzionare il minore che abbia concluso un contratto, tacendo in merito alla propria condizione di incapacità legale, con il risarcimento del danno ai sensi dell’art. 1338 c.c. V., per la soluzione negativa, Bianca, Diritto civile, III, Il

SAGGI D’altro canto, se pure il contratto venisse annullato in ragione dell’incapacità negoziale del minore, non è detto che il terzo sarebbe sfornito di tutela. Infatti, secondo una parte della letteratura (17), sulla scia della giurisprudenza di legittimità (18), i genitori potrebbero essere chiamati a rispondere dei danni prodotti dal figlio minorenne nella sfera giuridica della parte con cui ha stipulato il contratto, poi dichiarato invalido ex art. 1425 c.c., per culpa in educando, ai sensi dell’art. 2048 c.c., che disciplina la responsabilità dei genitori per il danno cagionato dal fatto illecito dei figli minori non emancipati con cui abitano. In particolare, l’indirizzo giurisprudenziale richiamato distingue l’obbligo dei genitori di impartire ai figli l’educazione al rispetto delle regole della civile convivenza, nelle relazioni intrattenute con il prossimo e nel compimento di attività extrafamiliari, dal potere-dovere di vigilare sulla condotta tenuta dagli stessi. I due obblighi, ad avviso della Suprema Corte (19), possono, ma non necessariamente devono, coesistere, sicché pare ragionevole riconoscere l’autonomia della culpa in educando, che ricorre nel caso in cui i responsabili omettano di svolgere una costante opera educativa nei confronti dei minori (20), rispetto alla culpa in vigilando.

contratto, 2ª ed., Milano, 2000, 177; Contra, Gallo, Trattato del contratto, I, La formazione, Torino, 2010, 266, che rinviene nell’imputabilità del minore il presupposto della responsabilità dell’incapace per la conclusione del contratto invalido. Sul punto, Giardina, Commento all’art. 1426 c.c., in Navarretta - Orestano (a cura di), Dei contratti in generale, artt. 1425-1469 bis, leggi collegate, in Commentario del codice civile, diretto da Gabrielli, Torino, 2011, 43 ss., distingue l’ipotesi in cui il minore dichiari alla controparte di essere maggiorenne da quella nella quale l’incapace abbia maliziosamente occultato la propria minore età. Mentre nel primo caso l’esonero dalla responsabilità affonda le radici nella stessa scriminante che permette al minore di non osservare il contratto, nel secondo l’incapace dovrebbe essere chiamato a rispondere del danno cagionato alla controparte. Ciò non toglie che la previsione della validità del contratto in presenza del raggiro compiuto dal minore sembra escludere la sussistenza di un significativo pregiudizio per il contrante capace, la pretesa risarcitoria del quale potrebbe ancorarsi ad un danno verificatosi nella fase esecutiva del rapporto contrattuale che sia riconducibile ad una condotta scorretta assunta dal minore durante le trattative, ai sensi dell’art. 1337 c.c. (17) V., per tutti, Di Sabato, Le relazioni economiche del minore, in Dir. succ. e fam., 2015, 714; nonché Ead., Gli atti a contenuto patrimoniale del minore, in Capacità e incapacità, a cura di Rossi, Napoli, 2018, 87 s. (18) Si allude a Cass., 19 febbraio 2014, n. 3964, in Guida dir., 2014, 77, che lega la precoce emancipazione dei minori all’onere dei genitori di impartire ai figli l’educazione necessaria, affinché questi non rechino danni a terzi nel corso della vita di relazione. (19) Cass., 22 aprile 2009, n. 9556, in Danno e resp., 2010, 167 ss. (20) Un recente arresto della giurisprudenza di merito (Trib. Savona, 22 gennaio 2018, n. 79, in Dir. giust., all’indirizzo <http://www.dirittoegiustizia.it/allegati/14/0000080114/ Tribunale_di_Savona_sentenza_n_79_18_depositata_il_22_gennaio>) ribadisce che l’opera educativa in questione deve essere «finalizzata a correggere comportamenti non corretti ed a realizzare una personalità equilibrata consapevole della rela-

L’art. 2048 c.c. prevede, al terzo comma, la possibilità di liberarsi dalla responsabilità per i danni cagionati dall’incapace mediante la prova «di non aver potuto impedire il fatto». La Corte di Cassazione (21) richiede ai genitori, al fine di superare la presunzione di colpa prevista dall’art. 2048 c.c., invece della suddetta prova negativa legislativamente predeterminata, quella positiva di aver impartito al figlio una buona educazione e di aver esercitato su di lui una vigilanza adeguata, conformemente alle condizioni sociali, familiari, all’età, al carattere e all’indole del minore. L’orientamento della giurisprudenza di legittimità appena esposto sembra considerare la sola ipotesi di compresenza dell’obbligo formativo con quello di sorveglianza. Tuttavia, alla luce della rilevata autonomia dei doveri menzionati, cui segue la distinzione delle responsabilità discendenti dalle rispettive violazioni, pare corretto ritenere che, laddove sia dedotta esclusivamente la culpa in educando, la prova richiesta ai responsabili dei danni cagionati dall’incapace debba essere circoscritta all’adempimento dell’obbligo educativo.

2. Il problema dei contratti telematici conclusi prima del compimento del diciottesimo anno di età

Dalla definizione di contratto telematico quale accordo concluso mediante la trasmissione di dati informatizzati tra computers, smartphones o tablets connessi l’uno all’altro, generalmente tramite il world wide web di internet (22), si deduce che le parti contraenti, la cui interfaccia diretta è costituita dal monitor del computer oppure dallo schermo dello smartphone o del tablet utilizzato, sono reciprocamente assenti. Per questo motivo, qualora l’accordo intercorra tra un professionista e un zionalità della propria esistenza e della protezione della propria ed altrui persona da ogni accadimento consapevolmente illecito». (21) Cfr. Cass., 6 dicembre 2011, n. 26200, in Fam. e dir., 2012, 722. (22) V., per tutti, Pennasilico, La conclusione dei contratti on-line tra continuità e innovazione, in Dir. inf. e inform., 2004, 809; nonché, Lazzarelli, Contratti telematici, contratti informatici e contratti «di contenuto digitale»: nozioni e distinzioni, in Perlingieri - Lazzarelli, Il contratto telematico, in Aa.Vv., Manuale di diritto dell’informatica, a cura di Valentino, 3ª ed., Napoli, 2016, 272, la quale mette in risalto la diversità tra la categoria dei contratti telematici e quella dei c.dd. «contratti ad oggetto informatico», ossia quegli accordi suscettibili di essere stipulati off-line, e che possono avere ad oggetto beni o servizi tecnologici. Nell’àmbito, invece, dell’eterogenea categoria dei contratti telematici, Tosi, La dematerializzazione della contrattazione: il contratto virtuale con i consumatori alla luce della recente novella del codice del consumo di cui al d.lgs. 21 febbraio 2014, n. 21, in Contratto e impresa, 2014, 1274, distingue tra contratti virtuali in senso ampio, indifferentemente conclusi mediante l’impiego della tecnologia e-mail oppure di altri dispositivi telematici che permettano l’inoltro di messaggi aventi contenuto negoziale, e contratti virtuali in senso stretto, cioè perfezionati attraverso la pressione del tasto negoziale, ossia tramite la procedura del c.d. «point and click».

DIRITTO DI INTERNET N. 4/2019

663

SAGGI consumatore, il contratto telematico va ricondotto al contratto a distanza, disciplinato dall’art. 45, comma 1, lett. g, c. cons. come contratto stipulato tra le anzidette parti nell’àmbito di un regime organizzato di vendita di beni o di prestazione di servizi, in difetto della presenza «fisica e simultanea» delle stesse, attraverso l’uso esclusivo di uno o più mezzi di comunicazione a distanza (23). Ciò premesso, giova ricordare che la contrattazione telematica rappresenta non un autonomo tipo negoziale, ma una peculiare forma contrattuale (24); con la conseguenza che al negozio stipulato on line risulta applicabile l’impianto normativo del codice civile concernente la formazione dell’accordo e le patologie, originarie e sopravvenute, del contratto, nell’alveo delle quali bisogna ricomprendere le disposizioni in materia di incapacità negoziale e raggiri usati dal minore, nonché le prescrizioni del codice del consumo, qualora l’incapace contragga con un professionista on line, al fine di acquistare beni oppure ottenere la fornitura di servizi. Lo schema di conclusione del contratto in uso presso i siti web che si occupano di e-commerce (25) è costituito dall’offerta al pubblico ex art. 1336 c.c. (26), che implica la compilazione dei campi testuali inclusi in un modulo predeterminato di accettazione, nel quale vengono richieste all’utente le informazioni necessarie ad individuare la sua persona, il bene che intende acquistare e lo strumento che utilizzerà per provvedere al pagamento (27).

(23) Cfr. D’Auria, sub art. 45 c. cons., in Codice del consumo, a cura di Cuffaro, 4ª ed., Milano, 2015, 351. (24) A tal proposito, Bianca, Diritto civile, III, Il contratto, cit., 303, sostiene che la nozione di contratto telematico va delimitata avendo riguardo alla forma con cui il contratto è concluso, di modo che questo potrà avere ad oggetto «la fornitura di software o altri contenuti, dovendosi di volta in volta classificare nel tipo causale corrispondente». (25) Il commercio elettronico è stato configurato da Perlingieri, Lo schema più frequente: l’offerta al pubblico, in Perlingieri - Lazzarelli, Formazione e conclusione del contratto telematico, in Aa. Vv., Manuale di diritto dell’informatica, a cura di Valentino, cit., 302, come «ogni forma di transazione commerciale nella quale le parti interagiscono per via elettronica, piuttosto che nei tradizionali scambi e contatti fisici». (26) La norma dispone che l’offerta al pubblico vale come proposta se contiene gli elementi essenziali del contratto alla conclusione del quale è indirizzata, e se non risulta diversamente dalle circostanze o dagli usi. In presenza di questi requisiti ricorre un’offerta non recettizia, efficace sin dal momento della sua emissione, la revoca della quale è opponibile a chi non ne abbia avuto notizia, se è effettuata nella stessa forma utilizzata dall’offerente per la proposta o in una ad essa equipollente. V., amplius, Roppo, Il contratto, cit., 107 ss. (27) La compilazione del web-form è preceduta dalla consultazione del sito internet, cui l’utente, potenziale acquirente, effettua l’accesso. La pagina web del sito si presenta al navigante come una vetrina virtuale, nella quale sono esposti i prodotti, offerti dal professionista, che la controparte può acquistare. In argomento, v. Favale, La conclusione del contratto telematico, in Giur. merito, 2013, 2562.

664

DIRITTO DI INTERNET N. 4/2019

In ordine ai contratti virtuali stipulati dal minore, è possibile distinguere l’ipotesi in cui l’incapace compili il form inserendovi, nella parte dello stesso dedicata all’identificazione dell’utente, i propri dati personali, e, nella sezione destinata all’individuazione dei mezzi di pagamento, gli estremi della carta di credito del genitore, da quella nella quale il minorenne riporti, nei rispettivi spazi, i dati identificativi del rappresentante legale, e gli estremi della carta di credito di quest’ultimo (28). Nel primo caso, poiché il minore ha compilato il modulo di accettazione inserendovi i propri dati personali, sembra ragionevole ritenere che, non sussistendo il raggiro previsto dall’art. 1426 c.c., il contratto sia annullabile ai sensi dell’art. 1425 c.c. Peraltro, laddove il webform richieda di specificare l’età anagrafica dell’utente e il minore ne digiti una differente, si verserà nell’ipotesi disciplinata dalla seconda parte dell’art. 1426 c.c., sicché il contratto sarà parimenti annullabile (29). Alla medesima conclusione si dovrà giungere allorché il minore ometta di indicare la propria età, quando questa non sia necessaria ai fini del perfezionamento dell’accordo, mancando gli estremi richiesti dall’art. 1426 c.c., per configurare l’attività fraudolenta, in presenza di una condotta omissiva (30). Per quanto riguarda, invece, l’uso della carta di credito del genitore da parte del figlio minorenne, vi è chi (31) ne fa discendere una presunzione di rinuncia preventiva dell’esercente la responsabilità genitoriale ad impugnare il contratto. Sebbene l’opinione sembri condivisibile, occorre precisare che alla presunzione de qua non può attribuirsi carattere assoluto, potendo il genitore agire comunque per l’annullamento del contratto in base all’art. 1425 c.c., qualora, ad esempio, il minore abbia concluso un contratto che il responsabile non approvi.

(28) V., per tutti, Cinque, Il minore e la contrattazione telematica tra esigenze del mercato e necessità di apposite tutele, in Nuova giur. civ. comm., 2007, 23. (29) Diversamente opina Montanari, Incapacità e vizi del consenso, in Aa.Vv., Manuale di diritto dell’informatica, a cura di Valentino, cit., 321, il quale qualifica «la dichiarazione di essere maggiorenne resa alla società che gestisce il sito web […] come idonea a configurare un raggiro capace di paralizzare l’impugnativa del contratto da parte del minore», data la difficoltà per il contraente di sincerarsi della maggiore età della controparte quando la stipulazione del contratto avvenga a distanza, segnatamente con l’uso di strumenti elettronici. A tal proposito, Cinque, Il minore contraente. Contesti e limiti della capacità, Padova, 2007, 209, osserva che l’impiego del mezzo telematico da parte del contraente capace di agire implica la preventiva rinuncia all’accertamento della capacità dell’altro, di modo che questi non solo assume consapevolmente il rischio di contrarre con un minore, ma accetta anche l’eventualità dell’annullamento del contratto. (30) Cfr. Zaccaria, sub art. 1426 c.c., cit., 1553. (31) V., per tutti, Andreola, Gli acquisti online del minore tra invalidità dell’atto e responsabilità dei genitori, in Contratto e impresa, 2018, 980 s.

SAGGI Nel caso in cui l’incapace abbia compilato il form inserendo i dati del rappresentante legale nella parte in cui avrebbe dovuto inserire i propri e abbia indicato, quale mezzo di pagamento, la carta di credito del genitore, si incorrerà nel raggiro contemplato dall’art. 1426 c.c., e il contratto, pertanto, non sarà annullabile (32). Secondo una parte della letteratura (33) l’art. 1426 c.c. non potrebbe costituire un ostacolo all’impugnazione del contratto telematico, poiché gli elementi che contraddistinguono la fattispecie disciplinata dalla norma in esame, ossia il raggiro per mezzo del quale l’incapace occulta la propria minore età e la dichiarazione fatta dal minore stesso di essere maggiorenne (34), difetterebbero nel meccanismo di accesso al sito. L’opinione non convince, perché, come si è già osservato, l’attività fraudolenta posta in essere dal minorenne, idonea a trarre in inganno l’altro contraente circa la sua maggiore età, sembrerebbe riscontrabile nella negoziazione, da parte del figlio, con le generalità del genitore. Ne deriva che, in tal caso, all’eventuale impugnazione del contratto non seguirà l’annullamento dello stesso. Con riguardo, invece, alla dichiarazione del minore di essere maggiorenne, questa può essere resa dal minorenne attraverso la compilazione del modulo di accettazione, nella parte in cui viene richiesta la specificazione della sua età. L’impugnazione del contratto, in questa ipotesi, comporterà la declaratoria di invalidità dello stesso.

(32) In tal senso, v. Dell’Aversana, Il minore: autore di contratti telematici, in Nuovi media e minori, a cura di De Minico, Roma, 2012, 218, che equipara la falsificazione del documento di riconoscimento all’inserzione dei dati del genitore (o di altro soggetto capace di agire) nel modulo predeterminato di accettazione, trattandosi, in entrambi i casi, di condotta funzionale a trarre in inganno la controparte circa la propria identità e idonea a dimostrare una «maturità mentale superiore rispetto alla media»; Contra, Cinque, Il minore e la contrattazione telematica tra esigenze del mercato e necessità di apposite tutele, cit., 24, che non rinviene nel negoziare con false generalità la scaltrezza riscontrabile nell’alterazione del documento di identità ad opera del minorenne. Bisogna collocare al di fuori del dibattito appena sintetizzato l’opinione di Andreola, Il regime degli acquisti on line del minore quale consumatore “debole”, in Familia, 2017, 696, la quale osserva che nella «fattispecie in cui l’adolescente agisce simulando, con la complicità del mezzo tecnologico, un’altra identità, l’atto non può dirsi al medesimo imputabile», ma, evidentemente, andrà attribuito alla persona di cui vengono inseriti i dati identificativi nel modulo di accettazione. Invero, l’osservazione non convince, perché, sebbene il contratto sembri stipulato dal genitore, ciò non vale ad escludere che sia stato il minore a concluderlo avvalendosi delle generalità del rappresentante legale. (33) V., per tutti, Follieri, Il contratto concluso in internet, Napoli, 2005, 186 ss. (34) In merito all’asserzione del minorenne circa la propria maggiore età, Cinque, op. loc. ult. cit., osserva che «non si può ragionare di questa dichiarazione come di un elemento costitutivo della fattispecie di cui all’art. 1426: si tratta al contrario della specificazione di ciò che sicuramente non può dirsi requisito della stessa».

In dottrina non manca chi (35) sostiene che, laddove il rappresentante legale venisse privato dello strumento dell’annullamento del contratto, per avere il minorenne «con raggiri occultato la sua minore età», il genitore potrebbe comunque avvalersi del diritto di recesso, sempre che venga a conoscenza dell’acquisto compiuto dal figlio in tempo utile all’esercizio dello ius poenitendi (36). La suddetta tesi non può essere accolta, giacché il diritto di ripensamento non può sostituire l’azione di annullamento del contratto stipulato dall’incapace, data la diversità delle esigenze sottese ai due rimedi; infatti, mentre lo ius poenitendi mira ad attribuire al contraente debole la possibilità di sciogliere il vincolo contrattuale assunto senza una ponderata valutazione delle sue necessità, l’azione di annullamento assolve alla funzione di evitare che il patrimonio dell’incapace subisca depauperamenti dovuti a contratti conclusi dal minore, inabile ad autodeterminarsi efficacemente nel perseguimento dei suoi interessi.

(35) Stanzione, I contratti del minore, cit., 1254. (36) Il diritto di recedere dal contratto stipulato a distanza è attribuito al consumatore per volontà inderogabile del legislatore ed è, pertanto, irrinunciabile. Il contraente debole può avvalersene discrezionalmente, senza sopportare alcun onere di carattere patrimoniale, sempre che il relativo esercizio avvenga secondo le modalità previste dalla legge. Ai sensi dell’art. 54 c. cons., lo ius poenitendi può essere esercitato mediante il modulo-tipo di recesso allegato al codice del consumo oppure per mezzo di qualsiasi altra dichiarazione esplicita con la quale il consumatore informa il professionista della sua decisione di sciogliere il vincolo contrattuale. Il termine per l’esercizio del diritto di ripensamento è, secondo l’art. 52 c. cons., di 14 giorni, variamente decorrenti a seconda che il contratto abbia ad oggetto la fornitura di servizi o l’acquisto di beni. Nel primo caso, il termine decorre dalla conclusione del contratto, mentre, nel secondo, è necessario distinguere: in presenza di vendita di un singolo bene, dal giorno in cui il consumatore o un terzo, diverso dal vettore e designato dal consumatore, acquisisca il possesso fisico del bene; se si tratta di beni multipli richiesti mediante un solo ordine e consegnati separatamente, dal giorno in cui uno tra gli anzidetti soggetti acquisisca il possesso fisico dell’ultimo bene; nell’ipotesi di consegna di un bene costituito da lotti o pezzi multipli, dal giorno in cui uno dei soggetti sopra menzionati acquisisca il possesso fisico dell’ultimo lotto o pezzo. Gli artt. 56 e 57 c. cons. disciplinano gli obblighi delle parti, prevedendo che il professionista rimborsi al contraente debole i pagamenti da quest’ultimo effettuati in suo favore, eventualmente comprensivi delle spese di consegna, senza indebito ritardo e non oltre 14 giorni decorrenti da quello in cui è stato informato della decisione della controparte di recedere dal contratto; il contraente debole, invece, deve restituire i beni al professionista o a un terzo da quest’ultimo incaricato di riceverli – salvo il caso in cui il professionista si sia offerto di ritirarli, sollevando il consumatore dall’onere di restituirli – senza indebito ritardo e non oltre 14 giorni dalla data in cui ha comunicato al professionista la dichiarazione concernente il suo ripensamento. In argomento, v. Farneti, Il nuovo recesso del consumatore dai contratti negoziati fuori dai locali commerciali e a distanza, in Nuove leggi civ. comm., 2014, 959 ss.; Confortini, Il recesso di pentimento, in Corr. giuridico, 2014, Suppl. al n. 7, 19 ss.; Minervini - Bartolomucci, La tutela del consumatore telematico, in Aa.Vv., Manuale di diritto dell’informatica, a cura di Valentino, cit., 364 ss.

DIRITTO DI INTERNET N. 4/2019

665

SAGGI 3. (Segue) L’accesso ai social networks

Come è noto, i social networks sono piattaforme di comunicazione on line (37), che permettono al singolo navigante di relazionarsi con altri utenti al fine di condividere con questi i propri interessi all’interno di uno spazio virtuale. L’attività di social networking va ricondotta ad un servizio della società dell’informazione, ai sensi dell’art. 1, par. 1, lett. b, della direttiva UE/2015/1535, ovvero ad un «servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi». La fruizione del servizio de quo è subordinata alla compilazione di un modulo di registrazione e all’accettazione delle condizioni imposte dal suo fornitore (38), sicché sembra corretto sostenere che l’accesso al social network implichi la conclusione di un contratto telematico, secondo il procedimento caratteristico dei c.dd. «contratti per adesione». Il contratto in questione va annoverato tra quelli a prestazioni corrispettive, nell’àmbito dei quali è possibile individuare un nesso di reciprocità tra le prestazioni eseguite dai contraenti. In particolare, a fronte dell’accesso alla rete sociale e, quindi, della fruizione di uno spazio virtuale, che il provider si impegna a mettere a disposizione dell’utente, quest’ultimo cede al gestore del servizio i propri dati personali, non solo in sede di registrazione, ma anche mentre svolge la propria attività nel contesto informatico (39). Di contrario avviso è chi (40) ritiene che l’accesso al social network presupponga il perfezionamento di un negozio gratuito atipico, che avvantaggerebbe l’utente senza impoverire l’erogatore del servizio, il quale perseguirebbe un interesse di natura patrimoniale pur in assenza di un corrispettivo versato dal navigante. Secondo questa opinione, manca un nesso sinallagmatico, ossia un do ut des tra le prestazioni assunte dalle parti, di modo che non si potrebbe discorrere di contratto a prestazioni corrispettive. L’opinione riportata non è convincente, in quanto proprio il conferimento delle informazioni personali da

(37) Cfr. Popoli, Social network e concreta protezione dei dati sensibili: luci ed ombre di una difficile convivenza, in Dir. inf. e inform., 2014, 983. (38) Nella web-page iniziale del social network noto come «Instagram», il potenziale utente viene invitato ad iscriversi per visualizzare i contenuti multimediali postati dai suoi “amici”. La pagina presenta un modulo di registrazione, da compilare inserendo i dati personali del cyber-nauta, e un pulsante riportante la dicitura «Avanti», al di sotto del quale risulta la formula «Iscrivendoti, accetti le nostre Condizioni». (39) In argomento, v. Resta - Zeno-Zencovich, Volontà e consenso nella fruizione dei servizi in rete, in Riv. trim. dir. e proc. civ., 2018, 411 ss. (40) V., per tutti, Sammarco, Le clausole contrattuali di esonero e trasferimento della responsabilità inserite nei termini d’uso dei servizi del web 2.0, in Dir. inf. e inform., 2010, 634.

666

DIRITTO DI INTERNET N. 4/2019

parte del cyber-nauta, non solo in sede di primo accesso, ma anche durante lo svolgimento della suddetta attività nello spazio virtuale (41), sembra ricoprire il carattere di corrispettivo nell’àmbito di un rapporto sinallagmatico (42). La fruizione del servizio di on line social network è subordinata, dunque, alla stipulazione di un contratto telematico (43), rispetto al quale sembra ragionevole prospettare l’applicazione della disciplina codicistica prevista in materia di incapacità negoziale, analogamente a quanto osservato innanzi in merito alla generalità dei contratti telematici. Pertanto, laddove il contratto venga concluso da un minore, fatta salva l’ipotesi in cui questi con raggiri abbia occultato la propria minore età, il negozio sarà annullabile ai sensi dell’art. 1425 c.c. Seguendo un diverso ordine di idee, ossia qualificando la rete di utenti come una formazione sociale ove si svolge la personalità dell’individuo, potrebbe sostenersi che il contratto per mezzo del quale accedere al social network sia da considerare un atto funzionale all’esplicazione della libertà di associazione, contemplata dall’art. 18 Cost. (44).

(41) Si pensi, ad esempio, alla condivisione di contenuti (pagine, immagini o video) con i naviganti che fanno parte della propria rete di amicizie o alla pressione del tasto virtuale «like» per indicare il proprio apprezzamento rispetto a determinati contenuti condivisi dagli stessi. (42) Sul punto, v. Codiglione, I dati personali come corrispettivo della fruizione di un servizio di comunicazione elettronica e la “consumerizzazione” della privacy, in Dir. inf. e inform., 2017, 418, il quale sostiene che «le informazioni personali degli utenti sono beni di natura economica che vengono forniti come corrispettivo per la fruizione di servizi». Secondo Perlingieri, L’informazione come bene giuridico, in Rass. dir. civ., 1990, 338, l’informazione può configurarsi come bene in senso giuridico oltre che economico ogniqualvolta sia «idonea ad oggettivarsi in situazioni aventi una utilità giuridicamente rilevante in riferimento a questa o quell’attività umana e in particolare a iniziative suscettibili di valutazione patrimoniale». Esclude che i dati personali appartengano alla categoria dei beni economici, pur ammettendo che gli stessi siano strumentali a fluidificare l’economia digitale, Astone, L’accesso dei minori d’età ai servizi della c.d. Società dell’informazione: l’art. 8 del Reg. (UE) 2016/679 e i suoi riflessi sul Codice per la protezione dei dati personali, in Contratto e impresa, 2019, 648. (43) Per una ricostruzione del contratto de quo in termini di contratto di scambio di licenze d’uso di beni immateriali, individuati nella piattaforma di comunicazione on line del social site e nei contenuti protetti dai diritti di proprietà intellettuale dell’utente, v. Perlingieri, Gli accordi tra i siti di social networks e gli utenti, in Internet e diritto civile, a cura di Perlingieri e Ruggeri, Napoli, 2015, 214 s.; nonché Ead., Profili civilistici dei social networks, Napoli, 2014, 99. Non esclude che possa trattarsi di un contratto di appalto o di somministrazione di servizi, vista la presenza, nel regolamento contrattuale, di clausole che alleggeriscono gli oneri a carico del fornitore, Codiglione, L’accesso ai servizi: registrazione, gratuità, natura del rapporto. Il ruolo del consenso, in Sica - Codiglione, Social network sites e il «labirinto» delle responsabilità, in Giur. merito, 2012, 2716. (44) Con specifico riferimento al minore, la legge di ratifica della Convenzione di New York sui diritti del fanciullo, ossia la l. n. 176 del 27 maggio 1991, riconosce «ad ogni essere umano di età inferiore ai diciotto» (art. 1) il diritto «alla libertà di associazione e alla libertà di riunirsi pacificamente» (art. 15).

SAGGI Inteso in questi termini, il negozio de quo costituirebbe un atto con cui si estrinseca una libertà fondamentale e, pertanto, dovrebbe ritenersi escluso dalla regola dell’incapacità negoziale (45). Dall’adesione a questa tesi conseguirebbe che al minore, quale soggetto di diritto in grado di prendere decisioni autonome e di esprimere le proprie opinioni nel campo dei diritti inviolabili (46), si richiederebbe la sola capacità di discernimento al fine di porlo in essere, non anche la capacità di contrattare (47). La ricostruzione appena prospettata omette di considerare le peculiarità del rapporto contrattuale che si instaura a seguito dell’adesione, ad opera del fruitore del servizio, alle condizioni d’uso imposte dal fornitore dello stesso. Quest’ultimo offre all’utente l’opportunità di utilizzare la piattaforma di comunicazione on line in cambio delle informazioni personali del cyber-nauta, il quale autorizza il social network ad avvalersene affinché possa mostrargli inserzioni pubblicitarie conformi alle sue preferenze (48). In particolare, le inserzioni vengono create da professionisti allo scopo di pubblicizzare i propri prodotti o per incrementare la notorietà del proprio marchio tra gli utenti della rete in possesso di alcune caratteristiche predefinite, che gli inserzionisti comunicano al social network, in modo che il software possa verificare la presenza di corrispondenze tra queste ultime e le informazioni personali raccolte sull’utenza. I parametri in questione comprendono, oltre all’età e al sesso, anche la localizzazione e gli interessi dei naviganti. Una volta riscontrata la coincidenza tra i criteri indicati dai professionisti e i dati personali dei cyber-nauti, viene automaticamente designato l’utente, potenzialmente interessato all’acquisto del prodotto pubblicizzato o alla conoscenza del brand sponsorizzato, cui mostrare l’inserzione. Quanto sin qui rilevato consente, da un lato, di evidenziare la notevole rilevanza economica che assumono le

(45) In tal senso, v. Bianca, Diritto civile, I, La norma giuridica – I soggetti, 2ª ed., Milano, 2002, 237. (46) Cfr. Recinto, La capacità di discernimento: rilievo ed accertamento, in Recinto - Dell’Aversana, I rapporti personali del minore, in Capacità e incapacità, a cura di Rossi, cit., 44. (47) In argomento, v. Gazzoni, Manuale di diritto privato, 19ª ed., Napoli, 2019, 135, il quale afferma che la sussistenza della c.d. «capacità di discernimento» dovrebbe essere valutata caso per caso. (48) In tal senso depone la «Normativa sui dati» di Facebook che, alla voce «Inserzioni e altri contenuti sponsorizzati» della sezione «Fornitura, personalizzazione e miglioramento dei nostri Prodotti», in risposta alla domanda «Come usiamo queste informazioni?», dispone testualmente: «usiamo le informazioni in nostro possesso, tra cui quelle relative a interessi, azioni e connessioni, per selezionare e personalizzare inserzioni, offerte e altri contenuti sponsorizzati da mostrarti». La normativa sui dati, così come è stata revisionata il 19 aprile 2018, è reperibile all’indirizzo <https://www.facebook.com/about/privacy>.

informazioni relative ai fruitori della piattaforma di comunicazione on line per il fornitore, dal momento che questi percepisce una retribuzione dagli inserzionisti per mostrare le inserzioni pubblicitarie alla platea degli utenti ai quali sono rivolte e, dall’altro, di escludere la presenza di una causa associativa nel contratto stipulato tra il provider e i naviganti (49).

4. La tutela delle informazioni personali del minore alla luce del Regolamento UE/2016/679

L’art. 4, n. 4, del Regolamento Europeo n. 679 del 27 aprile 2016 (50) definisce «profilazione» il trattamento automatizzato di dati personali consistente nell’utilizzo degli stessi per valutare determinati aspetti personali di una persona fisica, e, in particolare, per analizzare o prevedere quelli riguardanti «il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica». La configurazione della profilazione nei termini testé riportati implica l’operatività delle disposizioni sovranazionali in materia di trattamento dei dati personali anche nell’analisi delle informazioni personali degli utenti dei social networks per finalità commerciali. Nel caso di offerta diretta di servizi della società dell’informazione a un minore, l’art. 8, par. 1, del suddetto Regolamento stabilisce che la liceità del trattamento dei dati personali presuppone, oltre al consenso dell’interessato al trattamento, che questi abbia compiuto il sedicesimo anno di età. In difetto di quest’ultimo requisito, il trattamento sarà comunque lecito se il titolare della responsabilità genitoriale abbia prestato il consenso in luogo del minore, oppure abbia autorizzato questi ad

(49) Sul punto, Cosio, Facebook e Social, Natura del contratto tra utente e social, in Ricerche giuridiche, 2017, 143, sostiene che dall’iscrizione al social network non deriva «alcuna volontà associativa, cioè di creazione di una comunità virtuale tra i diversi utenti, ma solo la volontà di accedere ad una piattaforma sociale». (50) Il Regolamento UE/2016/679, che nell’ordinamento giuridico italiano ha trovato applicazione a partire dal 25 maggio 2018, nasce dall’esigenza di assicurare un’armonizzazione completa tra gli ordinamenti giuridici degli Stati membri dell’Unione Europea in materia di protezione dei dati personali, con il proposito di introdurre una disciplina comune a tutti i Paesi che ne fanno parte, facendo salvi quei profili comunque lasciati alla regolamentazione autonoma dei singoli Stati. L’obiettivo avuto di mira dal Parlamento Europeo e dal Consiglio sembra essere quello di incentivare lo sviluppo del commercio elettronico, consolidando la fiducia degli utenti della rete sulla conformità del trattamento delle informazioni personali che li riguardano ai propri diritti sul trattamento stesso. Sul punto, v. Greco, Il trattamento dei dati personali con profili di transnazionalità e il trasferimento dei dati personali all’estero nel nuovo Regolamento europeo 2016/679. Introduzione: il modello di tutela dei dati personali introdotto dal Regolamento europeo, in Valle - Greco, Transnazionalità del trattamento dei dati personali e tutela degli interessati, tra strumenti di diritto internazionale privato e la prospettiva di principi di diritto privato di formazione internazionale, in Dir. inf. e inform., 2017, 178.

DIRITTO DI INTERNET N. 4/2019

667

SAGGI esprimerlo (51). Grava sul titolare del trattamento (52), in base al secondo paragrafo dello stesso articolo, l’obbligo di verificare, «in considerazione delle tecnologie disponibili», che il rappresentante legale del minorenne abbia prestato il consenso al trattamento delle informazioni del minore o abbia autorizzato quest’ultimo a estrinsecarlo (53). L’art. 8 cit., al paragrafo 3, fa salva l’applicazione delle disposizioni generali in materia di diritto dei contratti degli Stati membri dell’UE, comprendendovi le norme sulla validità, la formazione o l’efficacia di un contratto rispetto al minore contraente. Ciò conferma l’innanzi esposta applicabilità degli artt. 1425 e 1426 c.c. anche agli accordi conclusi dal minore per la fornitura di servizi della società dell’informazione, tra i quali va annoverato il social networking. L’attenzione manifestata dal legislatore europeo in ordine al trattamento dei dati dell’incapace non si arresta alla previsione delle condizioni inerenti al consenso dei minori in relazione ai servizi della società dell’informazione, ma concerne anche il diritto dell’interessato ad ottenere, dal titolare del trattamento, la cancellazione delle informazioni che lo riguardano, senza ingiustificato ritardo (54). Si allude, in particolare, al c.d. «diritto (51) In argomento, Resta, sub art. 8, in GDPR e normativa privacy. Commentario, a cura di Riccio, Scorza e Belisario, Milano, 2018, 87, precisa che la prestazione del consenso da parte del responsabile civile in luogo del minorenne si differenzia dall’autorizzazione a che il minore acconsenta al trattamento dei propri dati personali in ragione della funzione assunta dall’intervento dell’esercente la responsabilità genitoriale, che, nel primo caso, opera in qualità di rappresentante legale del minore, mentre, nel secondo caso, integra la capacità di agire del figlio. Peraltro, sebbene la norma faccia esplicito riferimento al titolare della responsabilità genitoriale, lasciando intendere che sia sufficiente il consenso al trattamento o l’autorizzazione a prestarlo di un solo genitore, la giurisprudenza di merito si è recentemente orientata nel senso di richiedere l’assenso di entrambi i responsabili, raggiunto concordemente tra di loro (Trib. Rieti, ord. 7 marzo 2019, in Quotidiano giuridico, all’indirizzo <http://www.quotidianogiuridico.it/documents/ 2019/04/04/facebook-la-madre-puo-far-rimuovere-la-foto-del-figlio-minore-postata-dalla-compagna-del-padre>, 7 s.). (52) Secondo il n. 7 dell’art. 4 del Regolamento UE/2016/679, il titolare del trattamento è «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri». (53) A tal proposito, Caggiano, Privacy e minori nell’era digitale. Il consenso al trattamento dei dati dei minori all’indomani del Regolamento UE 2016/679, tra diritto e tecno-regolazione, in Familia, 2018, 19, sostiene che, ai fini dell’individuazione dell’esercente la responsabilità genitoriale, nei casi in cui il minore sia esposto a rischi maggiori, potrebbe pensarsi «all’utilizzo di sistemi biometrici di identificazione del genitore (tramite impronte digitali, firma, riconoscimento facciale o iride)». (54) Sul punto, v. Thiene, Segretezza e riappropriazione di informazioni di carattere personale: riserbo e oblio nel nuovo regolamento europeo, in Nuove leggi

668

DIRITTO DI INTERNET N. 4/2019

all’oblio» (55) sui dati personali raccolti in ragione di una «offerta di servizi della società dell’informazione di cui all’art. 8, paragrafo 1», così come dispone l’art. 17, par. 1, lett. f, del Regolamento. La ragion d’essere della previsione va individuata nel 65º considerando del GDPR, il quale sottolinea la rilevanza del diritto all’oblio nell’ipotesi in cui un minore, ritenuto inconsapevole dei rischi connessi al trattamento dei propri dati personali dal legislatore europeo, presti il consenso affinché lo stesso si svolga e decida, raggiunta la maggiore età, di chiedere al titolare del trattamento la cancellazione delle informazioni in suo possesso. Il medesimo considerando puntualizza altresì che l’interessato «dovrebbe poter esercitare tale diritto indipendentemente dal fatto che non sia più un minore».

civ. comm., 2017, 425 ss. (55) L’accostamento del diritto all’oblio al diritto alla cancellazione dei dati personali, emergente dalla rubrica dell’art. 17 del Regolamento, viene criticato da Barbierato, Osservazioni sul diritto all’oblio e la (mancata) novità del regolamento UE 2016/679 sulla protezione dei dati personali, in Resp. civ., 2017, 2101, la quale osserva che «non sempre il “ fine dell’oblio ” può essere perseguìto mediante la cancellazione dei dati». A tal proposito, sembra opportuno richiamare l’orientamento della giurisprudenza di legittimità secondo il quale il diritto all’oblio può tradursi nella pretesa alla contestualizzazione e all’aggiornamento delle informazioni personali oggetto di trattamento (Cass., 5 aprile 2012, n. 5525, in Corr. giuridico, 2012, 764). D’altro canto, non può tacersi che il right to be forgotten positivizzato nella fonte sovranazionale appare distinguersi dal diritto all’oblio riconosciuto dalla giurisprudenza nazionale, dipendendo quest’ultimo dal venir meno, per il trascorrere del tempo, dell’interesse pubblico alla diffusione di una notizia di cronaca (Cass., 24 giugno 2016, n. 13161, in Foro it., 2016, I, 2734 ss.). L’indirizzo interpretativo da ultimo citato induce ad interrogarsi sul rapporto intercorrente tra il diritto ad essere dimenticati e il diritto di cronaca, su cui è intervenuta la Corte di Cassazione, la quale ha precisato che il secondo può prevalere sul primo quando la notizia o l’immagine diffusa abbia contribuito ad un dibattito di interesse pubblico; allorché l’interesse alla diffusione dell’immagine o della notizia sia effettivo ed attuale (per ragioni di giustizia, di polizia o di tutela di diritti e libertà altrui, ovvero per scopi scientifici, didattici o culturali); laddove il soggetto rappresentato goda di un elevato grado di notorietà (per la posizione rivestita nella vita pubblica del paese); quando l’informazione sia veritiera, scevra da insinuazioni e considerazioni personali, e diffusa con modalità non eccedenti lo scopo informativo; qualora l’interessato sia stato informato precedentemente della pubblicazione o trasmissione della notizia o dell’immagine, in modo da permettergli di replicare prima della diffusione al pubblico (Cass., ord. 20 marzo 2018, n. 6919, in Nuova giur. civ. comm., 2018, 1327). Diverso dal diritto di cronaca è il diritto alla rievocazione storica, che non gode della medesima garanzia costituzionale. Pertanto, laddove l’attività storiografica confligga con il fondamentale diritto alla riservatezza, nella sua particolare accezione di diritto all’oblio, l’interprete sarà investito del compito di valutare l’interesse pubblico, concreto ed attuale, alla menzione degli elementi identificativi delle persone che furono protagoniste dei fatti narrati. La menzione in questione deve considerarsi lecita, ad avviso delle Sezioni Unite Civili della Suprema Corte, solo quando riguarda soggetti che destano l’interesse della collettività, tanto per ragioni di notorietà quanto per il ruolo pubblico ricoperto (Cass., Sez. Un., 22 luglio 2019, n. 19681, disponibile all’indirizzo <http://www.cortedicassazione.it/cassazione-resources/resources/cms/documents/19681 _07_2019_no-index.pdf>, 20 ss.).

SAGGI La precisazione de qua lascia intuire che il soggetto sia legittimato a domandare l’eliminazione dei dati che lo riguardano, a prescindere dal compimento del diciottesimo anno di età. Per questo motivo, in un’ottica di valorizzazione della capacità di discernimento di un minorenne, sembra ragionevole opinare che, laddove questi si renda conto dei rischi collegati al trattamento delle informazioni che lo interessano, gli sia consentito l’esercizio del diritto alla cancellazione prima di diventare maggiorenne (56). A sostegno della conclusione raggiunta, si pensi che l’art. 8 del Regolamento, stabilendo che non occorre il raggiungimento della maggiore età per acquisire la capacità di esprimere il consenso al trattamento dei dati personali in relazione all’offerta di servizi della società dell’informazione (57), riconosce al minorenne la facoltà di manifestare la propria volontà affinché il responsabile del trattamento svolga le attività di cui questo si sostanzia, ossia «la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione» (58) dei dati personali (59). Ne discende che l’interessato, anche se non ancora maggiorenne, può prestare il consenso all’eliminazione dei dati personali che lo riguardano, una volta che questi siano stati raccolti. Attribuire al minorenne questa facoltà e, al contempo, privarlo della possibilità di chiedere al titolare del trattamento la cancellazione delle informazioni personali che lo interessano, sembra in contrasto con la ratio di protezione del soggetto debole, alla quale si

(56) Restano salvi i limiti sanciti dal terzo paragrafo dell’art. 17 cit. in ordine all’esercizio del diritto alla cancellazione, il quale è precluso nei casi espressamente previsti dalla disposizione de qua, ossia per l’esercizio del diritto alla libertà di espressione e di informazione; per l’adempimento di un obbligo legale, che richieda il trattamento previsto dal diritto dell’Unione oppure dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un cómpito svolto nel pubblico interesse o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento; per motivi di interesse pubblico nel settore della sanità pubblica; a fini di archiviazione nel pubblico interesse, di ricerca scientifica, storica o a fini statistici, nella misura in cui il diritto all’oblio rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. (57) Cfr. Thiene, Segretezza e riappropriazione di informazioni di carattere personale: riserbo e oblio nel nuovo regolamento europeo, cit., 418. (58) V., per le parole fedelmente riportate, l’art. 4, n. 2, del GDPR. (59) Cfr. Lucchini Guastalla, Il nuovo regolamento europeo sul trattamento dei dati personali: i principi ispiratori, in Contratto e impresa, 2018, 110.

ispira la disciplina del trattamento dei dati personali del minore (60). Per quanto riguarda, invece, il termine entro il quale l’interessato può esercitare il diritto all’oblio, occorre osservare che il diritto de quo rappresenta una «particolare sfaccettatura del diritto alla riservatezza» (61); l’attinenza del diritto alla cancellazione all’anzidetto attributo della personalità induce a propendere per la sua imprescrittibilità.

5. Il consenso del minore al trattamento dei dati personali nel codice della privacy riformato

Il decreto legislativo n. 101 del 10 agosto 2018, recante le disposizioni per l’adeguamento della normativa italiana alle previsioni del Regolamento UE/2016/679, ha modificato il codice in materia di protezione dei dati personali, dando attuazione alla facoltà, attribuita agli Stati membri dell’UE dall’art. 8 del GDPR, di sancire che il minore possa esprimere il consenso al trattamento dei propri dati personali ad una età inferiore rispetto a quella stabilita dal Regolamento. La norma precisa, comunque, che il minorenne debba aver compiuto almeno tredici anni. In particolare, il d.lgs. n. 101/2018 ha novellato il codice della privacy vigente inserendovi l’art. 2-quinquies, ai sensi del quale il minore che ha raggiunto il quattordicesimo anno di età può esprimere il consenso al trattamento dei propri dati personali in relazione ad un’offerta diretta di servizi della società dell’informazione; nel caso in cui il minore non abbia ancora compiuto quattordici anni, la liceità del trattamento è subordinata al consenso degli esercenti la responsabilità genitoriale. È stato già osservato che tra i servizi della società dell’informazione rientra il social networking e che ai fini dell’accesso ad una rete sociale occorre la stipulazione di un contratto a prestazioni corrispettive, nell’àmbito del quale l’utente presta il proprio consenso affinché i dati che lo riguardano vengano analizzati per scopi promozionali. Tuttavia, poiché la stipulazione di un contratto impone il possesso della capacità di agire, mentre per la liceità del trattamento dei dati personali è sufficiente il consenso del quattordicenne (62), sembra ragionevole rite-

(60) Sulla verifica della funzionalità dell’art. 8 del Regolamento UE 2016/679 a realizzare la ratio di protezione del minore contro i rischi connessi al trattamento dei suoi dati personali, v. Caggiano, Privacy e minori nell’era digitale. Il consenso al trattamento dei dati dei minori all’indomani del Regolamento UE 2016/679, tra diritto e tecno-regolazione, cit., 16 ss. (61) V., anche per le parole fedelmente riportate, Caringella - Buffoni, Manuale di diritto civile, cit., 403. (62) Astone, L’accesso dei minori d’età ai servizi della c.d. Società dell’informazione: l’art. 8 del Reg. (UE) 2016/679 e i suoi riflessi sul Codice per la protezione dei dati personali, cit., 625, sostiene che l’informazione costituisce

DIRITTO DI INTERNET N. 4/2019

669

SAGGI nere che sebbene il contraente abbia raggiunto l’età per acconsentire al trattamento in base all’art. 2-quinquies, il contratto di social network sia comunque annullabile ai sensi dell’art. 1425 c.c., considerato che il minore, in quanto tale, non è in possesso della capacità di contrattare (63). Fermo restando che, laddove siano integrati gli estremi del raggiro previsto dall’art. 1426 c.c., il contratto stipulato dal minorenne conserverà la sua validità. Le considerazioni che precedono inducono a condividere l’opinione di chi (64) ha evidenziato l’opportunità di una modifica della disciplina dell’incapacità negoziale, nel senso di ampliare il novero delle eccezioni all’incapacità legale oppure di ridurre il limite di età per certe categorie di contratti, tra i quali potrebbero farsi rientrare gli accordi necessari per la fruizione di servizi della società dell’informazione, senza tralasciare l’esigenza, già rilevata da una parte della dottrina in materia di responsabilità civile (65), di avviare un processo di educazione dei minorenni circa l’utilizzo delle reti sociali, al fine di informare i più giovani circa i rischi collegati al trattamento dei dati personali, affinché questi non esprimano con leggerezza il consenso al trattamento dei medesimi in sede di conclusione dei contratti di social network.

elemento conformativo del consenso al trattamento dei dati personali prestato dal minorenne. La rilevanza dell’informazione si desumerebbe, in particolare, dal comma 2 dell’art. 2-quinquies cit., nella parte in cui prevede che le informazioni relative al trattamento dei dati personali devono essere fornite dal titolare del trattamento «con linguaggio chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore». Il precetto in questione, oltre a porre l’accento sull’obbligo informativo gravante sul titolare del trattamento nei confronti del quattordicenne, evidenzia la necessità di un’informazione trasparente, rivolta a rafforzare la consapevolezza di chi acconsente al trattamento dei propri dati personali. (63) A proposito dell’interazione tra la disciplina del consenso al trattamento dei dati personali e quella in materia di validità ed efficacia del contratto, v. Naddeo, Il consenso al trattamento dei dati personali del minore, in Dir. inf. e inform., 2018, 35, la quale sostiene che, se «il minore ha compiuto l’età per prestare il consenso digitale ma non quella per concludere il relativo contratto, l’invalidità di quest’ultimo comporta, nonostante la liceità del trattamento, che esso debba cessare qualora venga vittoriosamente esperita l’azione di annullamento del contratto». (64) Alpa, I contratti del minore. Appunti di diritto comparato, in Contratti, 2004, 526. (65) Riccio, Social networks e responsabilità civile, in Dir. inf. e inform., 2010, 862.

670

DIRITTO DI INTERNET N. 4/2019

SAGGI

Cripto-valute e riciclaggio. Modus operandi e tentativi regolatori di Giulio Soana Sommario: 1. Introduzione. – 2. L’utilizzo di cripto-valute a fini di riciclaggio. Tre casi giudiziari a confronto. – 2.1 Il ruolo del mining. Il caso spagnolo. – 2.2 Il ruolo del cambiavalute. Il caso Italiano. – 2.3 La struttura delle transazioni e l’utilizzo dei Tumbler. Un caso d’oltreoceano. – 3. Ricadute in termini di individuazione e perseguimento della condotta criminosa. – 4. La V Direttiva Antiriciclaggio: ratio e finalità. – 5. Le definizione di cripto-valute. – 6. I destinatari della V Direttiva: cambiavalute e gestori di portafoglio tra vantaggi ed angoli ciechi. – 7. Cambiavalute, gestori di portafoglio ed istituti finanziari. Un’assimilazione avventata? – 8. Gli obblighi di identificazione e segnalazione: aspetti critici e nuove opportunità. – 9. La Dimensione Italiana. – 10. Considerazioni finali. L’ascesa delle cripto-valute nell’ultimo decennio ha causato crescente preoccupazione tra i regolatori nazionali ed internazionali. Tra i rischi identificati vi è la possibilità che questi strumenti possano essere utilizzati a fini di riciclaggio. Detto rischio è stato avvalorato da numerosi casi di cronaca che hanno confermato la potenzialità criminogena delle cripto-valute. Il Legislatore comunitario è intervenuto in materia attraverso la V Direttiva antiriciclaggio, la quale estende gli obblighi previsti dalla normativa antiriciclaggio a due entità del mondo cripto: cambiavalute e gestori di portafoglio. Questa scelta, seppur meritevole nello scopo, non coglie le opportunità regolatorie offerte dalle cripto-valute e rimane fossilizzata su schemi antiquati. The rise of cryptocurrencies during the last decade has caused growing concern among national and international regulators. One of the risk identified is that these instruments may constitute an innovative tool for criminals when laundering money. This risk has been confirmed by numerous recent cases which have underlined the criminogenic potential of cryptocurrencies. Through the V Anti money laundering directive the European legislator has first tried to regulate this emerging issue. In particular, this legislation extends the AML duties to two players of the cryptocurrencies market: exchangers and wallet-providers. This choice, while going in the right direction, does not exploits the opportunity offered by cryptocurrencies and fails to provide a customized regulatory framework.

1. Introduzione

Nato dalle ceneri della crisi finanziaria del 2008 (1), il bitcoin promette un mercato monetario decentralizzato, libero dalla tirannia delle istituzioni finanziarie e delle banche centrali (2). Fondato nella filosofia cypherpunk (3), il bitcoin ipotizza un mercato della moneta gestito e regolato in condizioni di parità dagli utenti. A dieci anni dalla sua creazione, mentre il bitcoin perde progressivamente quote di mercato, un dato è certo: un nuovo fenomeno si sta affermando a livello globale. Invero, dove inizialmente vi era solo il bitcoin, ora vi sono migliaia di cripto-valute con differenti caratteristiche che, tra l’altro, hanno stimolato un mercato gregario che svolge attività di supporto al funzionamento delle crip-

to-valute stesse: centri di miniera, cambiavalute, gestori di portafogli sono al momento industrie fiorenti (4). Vera rivoluzione e principale causa del successo delle cripto-valute è la tecnologia a queste sottostante: la block-chain (5). La block-chain appunto, quando applicata alle cripto-valute, permette di condurre transazioni tra due utenti (P2P), senza la necessità di avvalersi di un terzo garante, quale una banca (6). L’assenza di un terzo intermediario, pur se garantisce vantaggi per gli utenti in termini di costi e tempi delle transazioni, pone un rilevante problema in termini di controllo dei flussi finanziari illeciti. Difatti gli intermediari finanziari costituiscono un tassello fondamentale del quadro preventivo e repressivo di crimini, quali il

(1) Forgang, Money Laundering through Cryptocurrencies in Economic Crime Forensics Capstones, 2019, 4, all’indirizzo <https://digitalcommons. lasalle.edu/ecf_capstones/40>.

(4) Zohar, Bitcoin: Under the Hood in Communications of the ACM, 2015, 110; Carlisle, op. cit., vii; Hileman - Rauchs, Global Cryptocurrency Benchmarking Study in Cambridge Centre for Alternative Finance, 2017, 21.

(2) Brown, Cryptocurrency and Criminality: The Bitcoin Opportunity in The Police Journal: Theory, Practice and Principles, 2016, 329; Di Vizio, Le Cinte Daziarie Del Diritto Penale Alla Prova Delle Valute Virtuali Degli Internauti in Diritto Penale Contemporaneo, 2018, 86.

(5) De Vido, All That Glitters Is Not Gold: The Regulation of Virtual Currencies in the New Eu V Anti-Money Laundering Directive in DPCE Online, 2019, 64.

(3) Carlisle, Virtual Currencies and Financial Crime: Challenges and Opportunities in Royal United Services Institute for Defence and Security Studies, 2017, 1; vedi anche Dyntu - Dykyi, Cryptocurrency in the System of Money Laundering in Baltic Journal of Economic Studies, 2019, 77.

(6) Pérez López, Las Criptomonedas: Consideraciones Generales Y Empleo De Las Criptomonedas Como Instrumento De Blanqueo De Capitales En La Unión Europea Y En España in Revista de Derecho Penal y Criminología, 2017, 148; Razzante, Bitcoin E Criptovalute, Profili Fiscali, Giuridici E Finanziari, Santarcangelo di Romagna, 2018, 9.

DIRITTO DI INTERNET N. 4/2019

671

SAGGI riciclaggio o il finanziamento del terrorismo (7), attraverso un sistema di controllo diffuso che costituisce una risorsa fondamentale in termini informativi, contribuendo ad alleviare l’asimmetria informativa che caratterizza la criminalità finanziaria (8). Le cripto-valute by-passano detto sistema consentendo agli utenti di inviare denaro direttamente dal proprio portafoglio a quello del destinatario; in termini di funzionamento delle transazioni, le cripto-valute possono essere accostate ai contanti, a cui aggiungono i vantaggi derivanti dalla loro immaterialità. Oggetto di specifica attenzione da parte dei regolatori nazionali ed internazionali è stata, in particolare, la possibilità che le cripto-valute possano essere utilizzate a fini di riciclaggio (9). Questa è una fattispecie che negli ultimi anni sta destando un particolare allarme: sia per le sue capacità distorsive del mercato legale, sia in quanto passaggio fondamentale in termini di remunerazione del reato (10); detta realtà ha portato legislatori ed autorità di regolazione a prestare sempre maggiore attenzione a questa fattispecie e ad introdurre normative sempre più stringenti. Attualmente lo sviluppo del riciclaggio si muove su tre principali direttrici: globalizzazione, dematerializzazione ed anonimizzazione delle transazioni, le cripto-valute offrono transazioni che ben rispondono a questa tendenza (11). In particolare, rispetto ai sistemi tradizionali di pagamento online, le cripto-valute garantiscono un livello maggiore di anonimato, sia in termini di assenza di intermediari, sia in termini di identità delle parti (12). D’altro canto, la tecnologia block-chain offre interessanti opportunità in termini di tracciabilità e traspa-

(7) Accorsi – Brening - Müller, Economic Analysis of Cryptocurrency Backed Money Laundering in Twenty-Third European Conference on Information Systems, 2015, 4 e s. (8) Accorsi – Brening – Müller, op. cit., 2-3. (9) European Banking Authority, ‘Report on Crypto-Assets’, 2019; Cryptoassets Taskforce, ‘Final Report’, HM Treasury; Bank of England; Financial Conduct Authority, 2018; Financial Action Task Force, ‘Virtual Currencies: Key Definitions and Potential Aml/Cft Risks’, Commun. ACM, 2014, Europol, ‘Internet Organised Crime Threat Assessment’, 2018. (10) Accorsi – Brening – Müller, op. cit., 1; Mabunda, Cryptocurrency: The New Face of Cyber Money Laundering in International Conference on Advances in Big Data, 2018, 2. (11) As affirmed by Carlisle, op. cit.,vi “they offer rapid international transaction settlement and a greater degree of anonymity around users’ identities than many other established electronic payment methods; and they do so without involving banks or other powerful intermediaries in payment processing. A payment method that affords secrecy, operates outside the established financial system and facilitates speedy international payments provides obvious attractions to global criminals”. (12) Barone - Masciandaro, Cryptocurrency or Usury? Crime and Alternative Money Laundering Techniques in European Journal of Law and Economics, 2019, 234; Carlisle, op. cit., 9 e ss.

672

DIRITTO DI INTERNET N. 4/2019

renza (13), tenuto conto che detta tecnica si basa su un registro pubblico, diviso in blocchi tra loro consequenziali (14), nel quale viene annotata ciascuna transazione effettuata nella valuta associata alla specifica block-chain. La conservazione di questo registro non è affidata ad un ente centrale, bensì alla stessa comunità degli utenti: ciò significa che ogni utente può accedere ad una copia di tutte le transazioni effettuate dall’intero sistema (15). Sebbene le parti di ogni transazione siano individuate con un codice alfanumerico - la chiave pubblica - una volta associato un determinato utente con la corrispondente chiave è possibile ricostruire l’intera catena di transazioni (16). Detta caratteristica potrebbe facilitare enormemente le indagini finanziare su soggetti transazionali, superando problemi legati al segreto bancario o a differenze ordinamentali. Le problematiche illustrate non sono sfuggite ai regolatori nazionali ed internazionali. A seguito di un primo rapporto del GAFI, che lanciava un grido di allarme in materia (17), una serie di altre autorità hanno elaborato rapporti in cui si sottolineavano i rischi delle cripto-valute soprattutto in tema di finanziamento del terrorismo e di riciclaggio, con la conseguenza che vi sono state risposte regolatrici di varia natura (18). In ambito comunitario, l’Unione Europea ha recentemente introdotto la direttiva n. 2018/843 del Parlamento europeo e del Consiglio, del 30 maggio 2018 (V direttiva anti-riciclaggio) - emendando la precedente direttiva 2015/849 del Parlamento europeo e del Consiglio, del 20 Maggio 2015 (IV Direttiva Antiriciclaggio) – includendo, così, nella preesistente struttura anti-riciclaggio, le crip-

(13) Zohar, op. cit., 111; Möser – Böhme - Breuker, An Inquiry into Money Laundering Tools in the Bitcoin Ecosystem in APWG eCrime Researchers Summit, 2013. 1; Paesano, Regulating Cryptocurrencies: Challenges & Considerations in Basel Institute on Governance, 2019, 6 e ss. (14) Goriacheva – Pogodina - Silnov, Anonymization Technologies of Cryptocurrency Transactions as Money Laundering Instrument in KnE Social Sciences, 2018, 47. (15) De Vido , op. cit., 62. (16) Come affermato dall’esperto forense S. Meiklejohn “If you catch a dealer with drugs and cash on the street, you’ve caught them committing one crime but if you catch people using something like Silk Road, you’ve uncovered their whole criminal history,” she says. “It’s like discovering their books” tratto da Bohannon, The Bitcoin Busts in Science, 2016, 1145. (17) Financial Action Task Force, op. cit. (18) Si possono distinguere tre macro approcci in materia. Un primo gruppo di Paesi (Ecuador, Russia …) ha vietato l’utilizzo di cripto-monete considerandole eccessivamente rischiose per la stabilità del sistema finanziario. Un secondo gruppo ha attuato un approccio di regolamentazione positiva volta all’assorbimento delle cripto-monete nel sistema statuale e allo stimolo del mercato stesso. Un terzo gruppo ha assunto un approccio di regolamentazione negativa, ovvero individuazione dei fattori di rischio e regolamentazione volta alla minimizzazione degli stessi, senza una partecipazione diretta. Sul punto vedi De Vido, op. cit., 66.

SAGGI to-valute; in particolare, gli obblighi di identificazione e controllo, sussistenti in capo alle tradizionali istituzioni finanziarie, vengono estesi a due categorie di attori del mercato cripto-valutario: i cambiavalute e i gestori di portafoglio. La Direttiva dovrà essere recepita dagli Stati Membri entro il 10 gennaio 2020; in Italia il processo di recepimento è attualmente in corso. In particolare, in data 1 luglio 2019 il Consiglio dei Ministri ha approvato in esame preliminare il decreto legislativo di attuazione.

2. L’utilizzo di cripto-valute a fini di riciclaggio. Tre casi giudiziari a confronto Al fine di meglio comprendere l’impatto sul sistema finanziario, nonché sulle modalità di utilizzo delle cripto-valute ai fini del riciclaggio, si passano ad analizzare tre recenti casi giudiziari, al fine di fornire, senza alcuna pretesa di completezza, una epidemiologia dei modus operandi adottati.

2.1. Il ruolo del mining. Il caso spagnolo

Il mining è una delle espressioni tipiche della natura diffusa e democratica delle cripto-valute (19): i minatori costituiscono i nodi ed i custodi della rete block-chain. Loro compito principale è verificare la validità dei blocchi che progressivamente formano la block-chain al fine di garantire che le transazioni contenute nei differenti blocchi siano consequenziali (20). I minatori sono ricompensati per la loro attività dal sistema con un quantitativo fisso di cripto-valute di nuovo conio; peraltro, oltre a questa ricompensa, gli utenti possono accordare loro una commissione al fine di ottenere la priorità sulla validazione delle loro transazioni (21). Teoricamente al fine di diventare un minatore è solamente necessario possedere un computer con sufficiente potenza computazionale; in realtà, anche a causa dell’aumento del valore e della popolarità delle cripto-valute, vi è una crescente competizione in questo settore che ha causato la creazione di trust di minatori e lo sviluppo di una fiorente attività (22): le miniere di bitcoin sono attualmente capannoni contenenti centinaia di computer che consumano enormi quantità di elettricità. Tuttavia, analizzando la struttura del mining una caratteristica salta all’occhio: le cripto-monete generate

da questa attività sono “vergini” (23), nel senso che non sono riconducibili ad alcuna transazione precedente. È proprio quest’ultima caratteristica che è stata sfruttata nel caso analizzato. La condotta di riciclaggio coinvolgeva un’organizzazione spagnola che si occupava di importare e distribuire decoder di contrabbando, con un’attività che, generando rilevanti guadagni, richiedeva che questi fossero poi reinseriti nel mercato legale, attraverso un’azione di riciclaggio. Il ruolo delle cripto-valute riguardava la fase di placement ed in parte la fase di layering (24): le cripto-valute risultavano essere lo strumento attraverso cui l’organizzazione riusciva a reinserire i proventi del reato all’interno del mercato legale. Difatti, quale strumento di riciclaggio, questa organizzazione aveva deciso di investire i profitti del contrabbando in centri di miniera, da loro attivati; attraverso questi centri era, infatti, possibile generare rilevanti quantità di bitcoin di nuovo conio, per i quali non era possibile rintracciare l’origine illecita dell’investimento iniziale. Nel caso in esame, il fallimento di questo sistema è dovuto principalmente a due fattori. Il primo, di natura, se così si può dire, umana, ovvero legata alla incapacità di procrastinare e gestire più oculatamente i grandi guadagni illeciti conseguiti: infatti, i responsabili di questa organizzazione, hanno, immediatamente, utilizzato i loro rilevanti profitti, comperando beni di lusso, quali auto o immobili, in modo non proporzionato alle loro risorse lecite. Il secondo fattore che ha consentito di ricostruire il sistema di riciclaggio è stato il meccanismo adottato per avviare e gestire questi centri. Al riguardo, l’organizzazione aveva bisogno di due ingredienti: computer ed elettricità; proprio perché al fine di diventare minatore, non è richiesta alcuna formalità né dallo Stato né dalla comunità bitcoin, ma tutto ciò di cui si ha bisogno è una connessione ad internet e potenza computazionale sufficiente a risolvere i problemi crittografici collegati agli specifici blocchi della blok-chain., l’utenza elettrica costituiva un problema: i picchi di consumo collegati all’attività di miniera, se non altrimenti giustificati, sarebbero potuti essere un campanello d’allarme per le autorità; era pertanto necessario camuffare detti consumi. A tal fine l’organizzazione criminale ha provveduto a rubare l’elettricità da altri utenti, con modalità che hanno consentito all’autorità giudiziaria di individuare l’operazione svolta.

(19) Zohar, op. cit., 106. (20) Berggren - Asplund, Identifying and Analyzing Digital Payment Flows Regarding Illegal Purposes on the Internet: I Samarbete Med Cgi Och Finanskoalitionen, 2016, 20, all’indirizzo <http://www.diva-portal.org/smash/ record.jsf?pid=diva2%3A972409&dswid=9714>. (21) Pérez López, op. cit., 148; Razzante, op. cit, 10. (22) Zohar, op. cit., 109 e s.

(23) Möser – Böhme – Breuker, op. cit., 2. (24) Il procedimento di riciclaggio è solitamente descritto come diviso in tre fase; il placement il quale consiste nell’introduzione del prodotto del reato nel sistema finanziario legale, il layering durante il quale i fondi sono passati attraverso varie istituzioni e strumenti al fine di occultarne l’origine, l’integration quando i fondi sono definitivamente introdotti nell’economia legale. In merito si veda Accorsi – Brening – Müller, op. cit., 4.

DIRITTO DI INTERNET N. 4/2019

673

SAGGI 2.2. Il ruolo del cambiavalute. Il caso Italiano

Il ruolo dei cambiavalute è centrale per quanto riguarda il contrasto del riciclaggio, l’accostamento di questi ultimi alle banche ed il loro supposto ruolo di filtro tra economia reale e cripto ha causato una crescente regolamentazione, tanto da essere il fulcro – anche se con numerose criticità - della disciplina introdotta dalla V Direttiva anti-riciclaggio. Il caso analizzato riguarda un soggetto italiano, il quale si occupava di effettuare attività di cambio valute anonime per soggetti nazionali; la sua clientela era parzialmente costituita da criminali, i quali sfruttavano i suoi servizi di cambio principalmente al fine di convertire cripto-valute ottenute mediante la vendita di stupefacenti sul dark web, ovvero denaro contante al fine di acquistare stupefacenti nel dark web. Tale fattispecie criminale sottolinea la bilateralità del riciclaggio in ambito di cripto-valute; difatti, le cripto-valute non sono solo strumento dell’attività di occultazione, ma costituiscono spesso esse stesse il provento del reato presupposto. In particolare, il modus operandi adottato differiva a seconda del verso del cambio. Nel caso di cambio da euro a cripto-valute l’operazione era strutturata secondo i seguenti passaggi: il cambiavalute riceveva il denaro che il cliente intendeva cambiare (per importi inferiori a tre mila euro veniva effettuato un trasferimento direttamente su una carta prepagata indicata dal cambiavalute, mentre per importi superiori il cambiavalute incontrava direttamente il cliente, il quale gli consegnava la somma in contanti); successivamente, la somma ricevuta veniva divisa e caricata su varie carte prepagate (25) intestate a prestanome; da queste carte il denaro veniva trasferito su conti di popolari cambiavalute intestati agli stessi prestanome; le cripto-monete ottenute venivano poi inviate al conto indicato dal cliente. Detta attività era semplificata dalla relativa facilità con cui è possibile richiedere una carta prepagata e aprire un conto presso un cambiavalute; infatti tutto ciò di cui, nel caso in oggetto, il criminale aveva bisogno era una carta sim intestata al prestanome, la fotocopia del suo documento ed una foto in cui il soggetto mostrava un cartello con scritto: “foto per aprire il conto”. Nell’inverso caso di cambio da cripto a contante, il soggetto sfruttava le riserve di contante accumulate mediante l’attività di cambio per fornire ai propri clienti il contante necessario a fronte di un trasferimento sul suo conto del corrispettivo in cripto-valuta. Ciò che suscita particolare interesse in questa seconda attività è la possibilità per un soggetto, il quale effettui stabilmente attività di cambio, di accumulare rilevanti riserve sia in cripto-monete che in contanti. Se il cam-

(25) Un’attività nota in gergo come smurfing.

674

DIRITTO DI INTERNET N. 4/2019

biavalute decidesse poi di avvalersi solo di queste riserve vi sarebbe la possibilità di eludere completamente il filtro delle piattaforme di cambio ed effettuare transazioni esclusivamente da cripto a cripto.

2.3. La struttura delle transazioni e l’utilizzo dei Tumbler. Un caso d’oltreoceano

Elemento di rischio insito nelle transazioni in cripto-valute è costituito dalla loro pseudonimia, in quanto, dette transazioni non recano il nome delle parti, bensì solamente la chiave pubblica associata ai conti coinvolti (26). Tuttavia, le transazioni in cripto-monete offrono anche opportunità in termini di trasparenza e tracciabilità, caratteristiche che non sono passate inosservate agli utenti criminali, i quali hanno vieppiù sviluppato stratagemmi al fine di oscurare, ovvero interrompere, la catena delle transazioni permettendo un maggiore livello di privacy (27). Diverse sono state le soluzioni implementate al fine di perseguire questo scopo, una delle più diffuse ed utilizzate è il Tumbler: questo software permette all’utente di ottenere una maggiore privacy, oscurando la connessione tra due transazioni, in quanto filtrando e riassegnando casualmente una serie di transazioni in entrata rende estremamente difficile ricollegare la transazione in entrata a quella in uscita (28). L’utilizzo dei Tumbler è uno dei fulcri del terzo caso analizzato, che ha aperto il vaso di Pandora riguardo l’impiego deviato di cripto-valute: generalmente conosciuto come “Silk Road”, è uno dei primi casi statunitensi di alto profilo, che ha illustrato come le cripto-valute potessero essere utilizzate per finanziare complessi schemi criminali. Passando all’analisi del caso, Silk Road è l’archetipo di mercato nero online; in questa categoria rientrano una serie di piattaforme commerciali che operano attraverso darknet e forniscono una ampia varietà di beni illegali: fatta eccezione per la tipologia dei beni venduti, questi siti funzionano come qualsiasi altro sito di e-commerce: i prodotti sono divisi in categorie, vi è la possibilità di lasciare recensioni ed è spesso anche offerto un servizio alla clientela. Le transazioni su Silk Road funzionavano nel seguente modo: l’unica moneta accettata era il bitcoin; ogni uten-

(26) Seppure sull’efficacia di detta pseudonimia si veda Meiklejohn – Pomarole - Jordan - Levchenko - McCoy - Voelker – Savage, A Fistful of Bitcoins: Characterizing Payments among Men with No Names in Communications of the ACM, 2016. (27) Accinni, Profili Di Rilevanza Penale Delle “Criptovalute”(Nella Riforma Della Disciplina Antiriciclaggio Del 2017) in Arch. Pen., 2018; Di Vizio, op. cit., 102. (28) Goriacheva – Pogodina – Silnov, op. cit., 48; Möser – Böhme – Breuker, op. cit., 3.

SAGGI te doveva creare un account a cui era collegato un portafoglio bitcoin dove il denaro che si intendeva utilizzare per la transazione doveva essere depositato; questo portafoglio era gestito da Silk Road il quale pertanto agiva anche da gestore di portafoglio, sia per i compratori che per i venditori; al termine di una transazione, il denaro veniva inviato dal compratore ad un portafoglio gestito da Silk Road, il quale ritrasferiva il denaro solo quando la transazione veniva confermata. Attraverso detto schema, gli amministratori di Silk Road garantivano - a transazioni online di beni illegali – sicurezza ed anonimato. Primo, proteggevano gli utenti dalle frodi - che è uno dei maggiori problemi dell’e-commerce, e ancor più prominente in caso di acquisto di beni vietati, data l’inutilizzabilità delle vie legali – in quanto Silk Road agiva da garante delle transazioni, assicurando il pagamento della merce. Secondo, proteggevano la privacy degli utenti, posto che Silk Road – tramite l’utilizzo del darknet - permetteva a chiunque accedesse al sito di nascondere il proprio indirizzo IP, e – attraverso il pagamento solo in bitcoin non vi era la necessità di utilizzare istituzioni finanziare tradizionali per trasferire denaro, che avrebbero identificato conto ed utente, e conseguentemente operato collegamenti tra compratore e venditore (29). Nonostante questi primi due espedienti, Silk Road decise di implementare una terza salvaguardia, posto che gli amministratori si resero conto che seppur pseudonime, le transazioni mediante bitcoin erano eccessivamente trasparenti, in quanto la possibilità di seguire le transazioni stesse attraverso il registro block-chain costituiva un rischio rilevante per la privacy degli utenti. A tal fine decisero, quindi, di implementare un Tumbler quale filtro automatico per le transazioni effettuate su Silk Road: i bitcoin, prima di essere trasferiti al venditore, venivano inviati ad un Tumbler, il quale permetteva di oscurare le transazioni che avvenivano su Silk Road. Gli espedienti utilizzati erano estremamente efficienti nel nascondere l’identità degli utenti e degli amministratori, tanto che l’FBI, nonostante fosse a conoscenza dell’esistenza del sito, per lungo tempo incontrò rilevanti difficoltà nell’individuare i soggetti coinvolti in Silk Road. Alla fine l’identità di Mr. Ulrich, l’ideatore del sito, fu scoperta non grazie ad una falla nel sistema, bensì a causa di una disattenzione commessa nel pubblicizzare Silk Road su un blog online. Questo conferma come le cripto-valute, se strumentalizzate per fini illeciti, possono costituire uno strumento formidabile per

(29) D’altro canto , i rischi legati all’utilizzo del contante, in particolare la necessità di incontrare la controparte, in termini di sicurezza e privacy erano completamente annullati.

ostacolare le attività di investigazione e per garantire la privacy dei criminali nelle transazioni online.

3. Ricadute in termini di individuazione e perseguimento della condotta criminosa

I casi qui analizzati evidenziano una peculiarità del reato oggetto della seguente trattazione: l’utilizzo delle cripto-valute nello svolgimento di attività di riciclaggio comporta un sostanziale aumento di quella asimmetria informativa che già caratterizza la criminalità finanziaria. Detta accentuazione dell’asimmetria informativa si esplica secondo due direttive principali. Sotto un primo profilo, in termini di identificazione della condotta criminosa: le cripto-valute permettono di svolgere attività di riciclaggio che si esplicano quasi esclusivamente online, senza alcun contatto con soggetti dell’economia tradizionale. La dematerializzazione della condotta criminosa e del conseguente prodotto, nonché l’assenza di vincoli territoriali comportano una rilevante insidiosità del fenomeno; il rischio è che in assenza di una manifestazione concreta del reato queste condotte possano passare inosservate. D’altro canto, l’incongruenza tra le limitazioni territoriali degli organi investigativi e la mobilità delle condotte criminali potrebbe causare problemi non solo in termini di accertamento, ma anche di individuazione della condotta criminosa. Sotto un secondo profilo, in termini di anonimato degli attori: le cripto-valute completano l’emancipazione dell’universo online dal mondo reale fornendogli una moneta; questa eventualità, seppur positiva in quanto espande in maniera rilevante l’efficacia degli scambi online, comporta un rilevante rischio; le cripto-valute infatti portano con sé quei fattori di pericolo che già caratterizzano le condotte online: anonimato, globalizzazione ed immaterialità. In particolare, in termini di anonimato, le cripto-valute permettono di effettuare transazioni pseudo-anonime in assenza di intermediari; seppure di per sé le cripto-valute offrono un anonimato tutt’altro che perfetto, molti strumenti sono offerti per permettere di migliorare questa caratteristica. Tumbler, darknets, nonché nuove monete con block-chain opaca (AEC), forniscono agli autori di reati uno schermo sempre più solido dietro cui nascondersi. L’asimmetria appena descritta costituisce un rilevante ostacolo, sia in termini di individuazione della condotta criminosa, sia in termini di persecuzione della stessa. Al fine di permettere una efficace repressione di queste condotte è necessario spezzare questa asimmetria informativa; ciò sia in termini di individuazione delle condotte criminose sia in termini di investigazione delle stesse. A questo fine è di centrale importanza il sistema di polizia diffusa fissato dai sistemi di compliance anti-riciclaggio; le nuove fattispecie collegate al riciclaggio attraverso cripto-valute impongono un ripensamento del sistema

DIRITTO DI INTERNET N. 4/2019

675

SAGGI di controllo e repressione. Nuovi reati richiedono nuove risposte, e la prima risposta che il sistema penale deve fornire riguarda la possibilità stessa di individuare il reato e di investigarne gli autori.

4. La V Direttiva Antiriciclaggio: ratio e finalità

In questa direzione si è mosso il legislatore comunitario mediante l’introduzione della V Direttiva antiriciclaggio. La Direttiva estende gli obblighi previsti per le tradizionali istituzioni finanziarie a due attori del mercato cripto-valutario: i cambiavalute e i gestori di portafoglio. Entrambi detti soggetti vengono, pertanto, designati guardiani di questo mercato: a questi spetterà identificare gli utenti in modo tale da infrangere quella pseudonimia che minaccia l’efficiente esercizio della repressione penale. Mentre la scelta del gestore di portafogli è una novità introdotta dal legislatore comunitario, la regolamentazione dei cambiavalute è un classico della normativa in materia (30). Ratio di detta attenzione nei confronti dei cambiavalute è la supposta funzione di imbuto che questi svolgono tra il mercato tradizionale ed il mercato cripto (31). Idea di fondo è che il mercato cripto-valutario non abbia una sua esistenza autonoma, separata dal mercato delle valute tradizionali, e che pertanto quest’ultimo costituisca solo un momento dell’iter criminis: prima o poi il criminale avrà bisogno di convertire le proprie cripto-valute in euro o viceversa, in quel momento dovrà rivolgersi ad un cambiavalute. Se il cambiavalute è sottoposto agli obblighi di identificazione e controllo la transazione in entrata o in uscita verrà identificate e da lì, attraverso il registro block-chain, si potrà ricostruire l’intera catena di transazioni. In questo modo, il legislatore non mette mano al mercato cripto-valutario per sé, ma semplicemente lo recinta e cerca di evitare che i suoi risultati possano inquinare il mercato tradizionale. È come se, confrontato con un’area ad alta densità criminale, il legislatore, invece di agire per regolarla, costruisse un muro intorno a questa e ponesse dei militari agli ingressi in modo tale da evitare che soggetti criminali possano entrare ed uscire. Per quanto riguarda i gestori di portafoglio la scelta è probabilmente dovuta ad una somiglianza strutturale di questi ultimi con le banche: questo è un parallelo alquanto fragile o almeno lo è in termini moderni; difatti, i gestori di portafoglio offrono un servizio simile a quello offerto dalle banche rispetto al contante, e non alle

transazioni online (32). Ovvero l’utente, il quale non voglia custodire i propri risparmi sotto il materasso (e.g. in un portafoglio privato online o offline) per ragioni di sicurezza o comodità, può rivolgersi a questi soggetti, i quali sono pertanto istituzioni eventuali nell’economia delle cripto-valute, differentemente dalle banche per quanto riguarda le tradizionali transazioni online. Nonostante queste anticipate fragilità, la scelta del legislatore comunitario di fornire un quadro europeo in materia è comunque encomiabile. In primis, in quanto fornisce una definizione di cripto-valute e dei soggetti che in questo mercato operano. La questione definitoria è centrale in detto ambito ed ha un effetto deleterio in termini di comunicazione e di progresso. Avere pertanto una definizione unica nella legislazione comunitaria è un elemento di efficienza sia in termini di applicazione della normativa sia di dibattito dottrinario. In secundis, in quanto dà un segnale preciso agli Stati Membri e agli operatori, sia del mercato cripto che di quello tradizionale. Le cripto-valute sono un tema dell’agenda europea e la loro regolamentazione è necessaria: le cripto-valute non costituiscono solo un fattore di rischio ma anche una formidabile opportunità di sviluppo. È pertanto necessario garantirne e salvaguardarne la crescita, in quanto una situazione di completa deregolamentazione porta con sé il rischio che queste ultime vengano assorbite dal mercato criminale, spaventando investitori ed utenti, ed in definitiva compromettendone il regolare sviluppo (33). Una normativa, seppure attentamente calibrata, è quindi necessaria (34). In tertiis, in quanto un approccio nazionale in ambito cripto-valutario è chiaramente insufficiente. Avendo a che fare con un mercato quasi totalmente dematerializzato, la possibilità per i fornitori di servizi di migrare verso ordinamenti più compiacenti è evidente (35). Un approccio il più territorialmente esteso possibile è necessario per evitare di creare sacche di impunità e per esercitare un’influenza sufficiente a modificare il processo decisionale degli attori coinvolti (36). Agire a livello meramente na (32) Carlisle, op. cit., 24, Wallet provider activity “appear similar to deposit taking. However, this is not generally an accurate characterization … The digital currency is simply stored in the customer’s name in a secure facility usually on-premises, rather like a digital safety deposit box … safekeeping digital currency credentials is something new that falls between traditional custodial key escrow services and fiduciary trust services”. (33) Un esempio interessante in materia è fornito da Möser – Böhme – Breuker, op. cit.,12, il quale spiega come lo sviluppo dei primi bancomat negli anni ’30 fu impedito dal fatto che questi ultimi fossero utilizzati da chi non voleva guardare in faccia il cassiere, ovvero lenoni e prostitute.

(30) Sul punto vedi la disamina operata da De Vido, op. cit., 67. (31) Meiklejohn – Pomarole - Jordan - Levchenko - McCoy - Voelker – Savage, op. cit., 91; Di Vizio, op. cit., 87.

676

DIRITTO DI INTERNET N. 4/2019

(34) De Vido, op. cit., 75. (35) Pérez López, op. cit., 168. (36) Carlisle, op. cit., 28.

SAGGI zionale, specialmente per Stati territorialmente poco estesi come quelli europei, rischia di avere risultati limitati.

5. La definizione di cripto-valute

Offrire una definizione unica di cripto-valute è tutt’altro che facile. Questo è un mercato relativamente giovane, che sta conoscendo attualmente un vorticoso sviluppo: basti pensare che al momento esistono più di duemila cripto-valute (37), ed ognuna di queste costituisce una variante più o meno accentuata rispetto al modello di riferimento che, per questioni storiche e di peso economico, è il bitcoin (38). Anche i rapporti di forza all’interno di questo mercato sono estremamente flessibili: il bitcoin, che fino a pochi anni fa costituiva il settanta percento del mercato (39), adesso ne occupa una quota di molto minore, rendendo ogni ipotesi, riguardo un modello standard stabile nel tempo, sicuramente fragile. Definire in questa realtà è pertanto un esercizio complesso in quanto il rischio è, da una parte, fornire una definizione eccessivamente restrittiva che lasci angoli ciechi o, d’altra parte, assegnare una definizione talmente ampia da rendere le cripto-valute un contenitore informe di realtà eterogenee. Ulteriore elemento di complessità è costituito dal valore simbolico che una determinata definizione implica: giusto per menzionare una diatriba in questo ambito, il sistema delle Banche Centrali Europee rigetta il termine “valute” in favore del termine “asset”. A parere di queste ultime, l’utilizzo del termine “valute” è fuorviante per il mercato, in quanto assimila le cripto-valute alle “valute” a corso legale, comportando un’errata comprensione della natura e del profilo di rischio di questi “asset” (40). Ciò ha implicato una rilevante confusione terminologica. Scorrendo i report delle autorità internazionali i termini spaziano da virtual-asset a crypto-asset, crypto-currencies, e-money o, infine, digital currencies. Problema principale di tale ampia varietà è la conseguente difficoltà nel comprendere se questi termini si riferiscano allo stesso fenomeno ovvero a varianti del fenomeno stesso (41). L’art 1, comma 2, lettera d, della Direttiva si inserisce nella disputa semantica scegliendo il termine “valute virtuali”. La scelta è interessante, in quanto sottolinea come il legislatore comunitario consideri questi strumenti vere e

(37) Dato fornito da Forgang, op. cit., 3 al 2017. (38) Hileman - Rauchs, op. cit., 15-16. (39) Carlisle, op. cit. (40) De Vido, op. cit., 68. (41) Per una disamina in merito a questo dilemma terminologico si veda Houben - Snyers, Cryptocurrencies and Blockchain: Legal Context and Implications for Financial Crime, Money Laundering and Tax Evasion, Policy Department for Economic, Scientific and Quality of Life Policies, 2018, p. 20-23.

proprie valute, le quali hanno la potenzialità di svolgere una funzione assimilabile alle valute a corso legale. Passando al contenuto della definizione, con valute virtuali si intende: “una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è necessariamente legata a una valuta legalmente istituita, non possiede lo status giuridico di valuta o moneta, ma è accettata da persone fisiche e giuridiche come mezzo di scambio e può essere trasferita, memorizzata e scambiata elettronicamente” (42). Quindi, elementi essenziali delle cripto-valute, secondo questa definizione, sono: Primo, assenza di un emittente pubblico e rapporto solo eventuale con una valuta avente corso legale. Le caratteristiche soggettive dell’emittente sono pertanto definite negativamente; ciò lascia spazio ad un’ampia pletora di emittenti privati, ai quali non è demandata nessuna caratteristica specifica, nonché alla possibilità di ricondurre, in questa normativa, sia le monete centralizzate, ovvero emesse e gestite da un ente centrale (43), sia quelle decentralizzate, ovvero basate sulla gestione della comunità degli utenti (44). Secondo, funzione di scambio. La Direttiva qui richiede che la valuta virtuale sia atta a svolgere la più caratteristica delle funzioni che, secondo la teoria economica, contraddistingue la moneta (45). Seppure la funzione di scambio ha una rilevanza preminente nell’ambito delle monete tradizionali, al momento le cripto-valute vedono una preminenza della funzione di mezzo di investimento (46): ciò è dovuto principalmente alla limitata (42) Sia la scelta del termine valute virtuali che la definizione stessa sono in linea con la definizione proposta da Financial Action Task Force, cit. (43) Si pensi alle valute emesse dalla LibertyReserve. (44) Queste ultime sono comunemente identificate come cripto-valute. In merito, De Vido, op. cit., 61, La quale definisce queste ultime come “open-source, math-based peer-to-peer virtual currencies that have no central administrating authority, and no central monitoring or oversight”. Per una definizione dei due tipi di valuta si veda Financial Action Task Force, op. cit., 5. (45) In linea con l’interpretazione proposta da Haffke - Fromberger, Zimmermann, Cryptocurrencies and Anti-Money Laundering: The Shortcomings of the Fifth Aml Directive (Eu) and How to Address Them in Journal of Banking Regulation, 2019, 8, “only tokens that are accepted by natural and legal persons as an intermediary asset in trade without their traders’ own interest in their use or consumption are virtual currencies within the meaning of AMLD5” (46) Pérez López, Blanqueo De Capitales Y Tic: Marco Jurídico Nacional Y Europeo, Modus Operandi Y Criptomonendas, Aranzadi, 2019, 10; Hileman - Rauchs, op. cit., 26.; dette altre funzioni sono riprese nel considerando 10 della Direttiva il quale esplicitamente richiama queste funzioni. Statuendo che obiettivo della Direttiva è “ricomprendere tutte le possibili funzioni”. Per quanto riguarda la funzione di investimento sta emergendo in questi ultimi anni un nuovo fenomeno le ICO. Queste offerte al pubblico di cripto-monete sono una innovativa forma di investimento in startup innovative legate al mondo cripto. Purtroppo questo fenomeno è anche oggetto di estesi abusi e truffe.

DIRITTO DI INTERNET N. 4/2019

677

SAGGI accettazione delle stesse quale mezzo di pagamento e alla instabilità del loro valore (47). Dove invece la cripto-valuta ha assunto una fondamentale funzione di scambio è il mercato criminale (48). La cripto-valuta, in particolare il bitcoin, è la moneta di elezione per pagare gran parte delle transazioni svolte nel dark-web (49) e per garantire la remunerazione di reati informatici - quali ad esempio i ransomware (50). Da ultimo è da notare che sono esplicitamente escluse da questa definizione le valute chiuse – definite nei considerano delle Direttiva “valute di gioco”, data la loro limitata funzione di scambio (51). Dette valute, tipiche dei giochi online, possono essere utilizzate solamente all’interno di una specifica comunità senza possibilità di un utilizzo esterno (52). Terzo, possibilità di trasferimento, memorizzazione e scambio. Quest’ultima parte della definizione ha la funzione di escludere dall’ambito della Direttiva ogni asset che abbia una finalità di mero investimento (53). Da ciò si può dedurre che, a parere del legislatore comunitario, la cripto-valuta è essenzialmente una valuta e pertanto la funzione di scambio è una caratteristica che, seppur non necessariamente prevalente, deve comunque essere presente. Così riassunti i tratti essenziali delle “valute virtuali”, si può comprendere come la definizione utilizzata dalla Direttiva sia estremamente – ovvero troppo - ampia, ricomprendendo un novero di valute virtuali aventi caratteristiche e funzioni estremamente differenti. Sebbene la volontà sia probabilmente stata quella di evitare un’obsolescenza precoce della Direttiva, va sottolineato che vi sono alcune differenze strutturali che hanno

(47) Carlisle, op. cit., 2; Hileman - Rauchs, op. cit., 2. (48) Hm Treasury; Home Office, National Risk Assessment of Money Laundering and Terrorist Financing, 2017. 40; Vandezande, Virtual Currencies under Eu Anti-Money Laundering Law in Computer law & security review, 2017,343; Pérez López, op. cit.,156. (49) Barone – Masciandaro, op. cit., 235. (50) Per ransomware si intende quegli attacchi informatici i quali attraverso l’utilizzo di malware prendono in ostaggio il sistema informatico della vittima e richiedono un riscatto per ottenerne la liberazione. Il pagamento del riscatto è solitamente richiesto in bitcoin o altre cripto-valute. Per un caso celebre si veda l’utilizzo del software “Wanna Cry”; sul punto vedi Accinni, op. cit., 9; Europol, Internet Organised Crime Threat Assessment, 2018, 16. (51) Financial Action Task Force, op. cit, 4. (52) Come ad esempio i LindenDollar. Sui LindenDollar e i rischi a questi connessi in termini di riciclaggio vedi Stokes, Virtual Money Laundering: The Case of Bitcoin and the Linden Dollar in Information & Communications Technology Law, 2012. (53) Per una differenziazione in materia vedi European Banking Authority, op. cit., 7.

678

DIRITTO DI INTERNET N. 4/2019

diretta rilevanza in termini di regolamentazione e che sarebbero dovuti essere annoverati nella Direttiva. Al riguardo, si pensi alla summenzionata differenza tra strumenti centralizzati e diffusi: differenza che ha una rilevanza centrale, data la presenza di un ente, negli strumenti del primo tipo, che regola la valuta (54). In quest’ultimo caso vi è la possibilità di regolare detto ente, possibilità inesistente in caso di valute decentrate. Si pensi, ancora, alla struttura delle transazioni utilizzate: difatti l’insidiosità delle valute che utilizzano un sistema da pari a pari (P2P) non è presente per valute che invece necessitano dell’intermediazione di un soggetto terzo. Anche qui sarebbe stato possibile customizzare la normativa alle differenti caratteristiche dello strumento. La sensazione è quella che, per evitare di lasciare angoli ciechi, la Direttiva abbia assimilato strumenti estremamente differenti; probabilmente sarebbe stato meglio prevedere normative su misura per ogni strumento, in modo da sfruttare al meglio le singole caratteristiche e contenere i rischi specifici.

6. I destinatari della V Direttiva: cambiavalute e gestori di portafoglio tra vantaggi ed angoli ciechi

Destinatari principali dell’estensione effettuata dalla normativa in esame sono i servizi di cambiavalute. Questi sono definiti come “i prestatori di servizi la cui attività consiste nella fornitura di servizi di cambio tra valute virtuali e valute legali”. Al riguardo, si possono rilevare due questioni di natura definitoria. In primis, sono ricompresi nella normativa solo i servizi di cambio tra valute virtuali e valute legali e, nel contempo, sono esclusi da ogni obbligo quei servizi che svolgono attività di cambio esclusivamente tra valute virtuali. Trattasi sicuramente di una scelta in linea con la ratio di regolare unicamente i punti di contatto tra economia reale e virtuale e con un generale approccio di laissez faire rispetto al funzionamento del mercato delle cripto-valute. Nonostante questa coerenza teleologica, la scelta sembra poco efficiente. Infatti, da una parte detta definizione origina dall’idea che le cripto-valute non possano diventare un mercato autonomo: se questo è vero al momento, data la limitata possibilità di effettuare acquisti mediante cripto-valute, non è certo sicuro per il futuro. D’altra parte, la stessa attività di cambio tra cripto-valute costituisce un fattore di rischio in termini di contrasto del riciclaggio (55); difatti, attraverso il cambio tra differenti cripto-valute, è possibile ridurre drasticamente la

(54) Sul punto si veda Directorate Of Intelligence, Bitcoin Virtual Currency: Intelligence Unique Features Present Distinct Challenges for Deterring Illicit Activity, Federal Bureau of Investigation, 2012, 5. (55) Come sottolineato da European Banking Authority, op. cit., 21.

SAGGI tracciabilità delle transazioni. Questo comportamento, noto come “chain hopping”, è estremamente efficace, in quanto permette di far passare le proprie transazioni attraverso diverse block-chain, spesso con caratteristiche differenti (56); detta esclusione costituisce un rilevante angolo cieco della normativa comunitaria. In secundis, la Direttiva nomina esclusivamente i soggetti che forniscono servizi di cambio. Il mercato dei cambiavalute è estremamente variegato per quanto riguarda le cripto-valute: a servizi che svolgono direttamente attività di cambio - cambiavalute accentrati – si affiancano servizi che agiscono come meri facilitatori dell’incontro tra domanda ed offerta – cambiavalute decentrati (57). Questi ultimi offrono un servizio di bacheca, dove soggetti che intendono vendere od acquistare cripto-valute postano un messaggio, per poi effettuare la transazione privatamente; sebbene alcuni di questi siti richiedano una tariffa sulla transazione effettuata, questa non è necessariamente la regola. Alcuni commentatori ritengono che i cambiavalute decentrati possano essere ricompresi nell’ambito della Direttiva, mediante un’interpretazione estensiva della disposizione (58). Tuttavia è da ritenere che questa riconduzione sia tutt’altro che automatica, soprattutto nel caso in cui dette piattaforme svolgano predetta attività di bacheca con annunci per una serie di beni, tra cui le cripto-valute. È inoltre discutibile se sia corretto gravare servizi così basilari con obblighi tanto impegnativi, come quelli implicati dalla normativa antiriciclaggio. L’altra grande categoria di destinatari dell’estensione operata dalla Direttiva sono i gestori di portafoglio, come definiti all’art. 1, comma 2, lettera d, ovvero i soggetti che forniscono servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali. Detta definizione porta con sé un problema rilevante: solo una parte dei gestori di portafoglio detengono le chiavi crittografiche private, mentre, per altro verso, altri gestori forniscono meramente il servizio e gli strumenti in cui custodire detta chiave (59). La normativa potrebbe, quindi, provocare un migrazione dei gestori di portafoglio verso quest’ultima opzione: difatti basterebbe che una piattaforma, invece di memorizzare la chiave privata, chiedesse all’utente di inserirla manualmente ad ogni accesso per non dover sottostare agli onerosi obblighi imposti dalla Direttiva; d’altro canto,

anche per gli utenti, al fine di sfuggire agli obblighi di identificazione, sarebbe sufficiente utilizzare un gestore di portafoglio non custodiale (60). Dover inserire una password ad ogni accesso, seppur operazione lunga e complessa - come nel caso delle cripto-valute - sembra poca cosa rispetto al dover sottostare a stringenti obblighi di identificazione, specialmente in caso di clientela in cerca di riservatezza. Anche questa formulazione sembra pertanto soffrire un rilevante angolo cieco.

7. Cambiavalute, gestori di portafoglio ed istituti finanziari. Un’assimilazione avventata?

Dal punto di vista degli obblighi previsti, la Direttiva non prescrive alcuna disposizione su misura per gli attori del mercato cripto-valutario: cambiavalute e gestori di portafoglio sono sottoposti agli stessi obblighi di identificazione e segnalazione di attività sospette previste per i tradizionali istituti finanziari. Per meglio comprendere le problematiche legate alla scelta dei soggetti obbligati, da parte del legislatore comunitario, è opportuno effettuare una premessa in merito alla tecnologia esaminata. Seppure il sistema delle valute virtuali, previsto nella Direttiva, ricomprende una pletora molto ampia di strumenti, per quanto riguarda il rischio di riciclaggio una delle tematiche più scottanti è legata a quelle valute che utilizzando la tecnologia block-chain permettendo transazioni da pari a pari (P2P) (61). Punctum dolens, è la possibilità per gli utenti di effettuare transazioni senza doversi avvalere di intermediari che agiscano da filtro (62); è pertanto coessenziale al sistema stesso che qualunque istituzione che agisca all’interno del mercato cripto-valutario ha una funzione meramente eventuale: questo vale per i cambiavalute ed, a maggior ragione, per i gestori di portafoglio. Se così non fosse si negherebbe la principale innovazione introdotta dalle cripto-valute, ovvero la liberazione degli utenti dalla dipendenza dagli intermediari. Da ciò deriva che né i cambiavalute, né i gestori di portafoglio, seppure in misura differente, costituiscono passaggi obbligati per gli utenti del mercato cripto-valutario. Per quanto riguarda i cambiavalute, questi indubbiamente svolgono una fondamentale funzione di intermediazione tra economia cripto ed economia tradi-

(56) Forgang, op. cit., 12.; Haffke - Fromberger, - Zimmermann, op. cit., 11. (57) Haffke - Fromberger, - Zimmermann, op. cit, 4; Hileman - Rauchs, op. cit., 34. (58) Haffke - Fromberger, - Zimmermann, op. cit., 10. (59) Del campione di gestori di portafoglio analizzato da Hileman - Rauchs, op. cit., 55, solo il 27 % deteneva le chiavi di accesso degli utenti.

(60) Di diverso parere Haffke - Fromberger, - Zimmermann, op. cit., 11. (61) Queste valute sono nettamente le più sviluppate e conosciute. Si pensi a Bitcoin, Ethereum, Monero. (62) Brown, op. cit., 328; Accorsi – Brening – Müller, op. cit, 8.

DIRITTO DI INTERNET N. 4/2019

679

SAGGI zionale (63). Come rilevato da recenti inchieste (64), i criminali spesso si rivolgono a questi soggetti per accedere al mercato cripto, e la loro collaborazione è certamente fondamentale. D’altra parte, vi sarà sempre la possibilità, per soggetti sufficientemente motivati, di accedere direttamente al mercato cripto, mediante transazioni dirette con un soggetto interessato a vendere (65). Ovviamente questo tipo di transazioni sono più laboriose dell’utilizzo di cambiavalute, soprattutto in caso di acquisti di somme ingenti; tuttavia detta scomodità non implica in alcun modo un’impossibilità. Si consideri inoltre che, data l’immaterialità e la globalità del mercato cripto vi sarà sempre la possibilità per gli utenti di rivolgersi a soggetti operanti al di fuori del controllo dell’UE, in giurisdizioni con normative più compiacenti (66). Per quanto riguarda i gestori di portafoglio il discorso è ancora più accentuato. Un portafoglio in cripto-valute può essere conservato in svariate forme, con differenti livelli di comodità e sicurezza (67), e rivolgersi ad un servizio di gestione di portafoglio è solo una delle tante forme possibili; infatti un soggetto intenzionato ad utilizzare le cripto-valute per fini illeciti potrebbe, semplicemente, conservare la propria chiave privatamente ed evitare in questo modo di essere sottoposto a controlli. Questo stato di fatto è tra l’altro riconosciuto dalla stessa Direttiva che al considerando 9 afferma: “l’inclusione dei prestatori di servizi la cui attività consiste nella fornitura di servizi di cambio tra valute virtuali e valute reali e dei prestatori di servizi di portafoglio digitale non risolve completamente il problema dell’anonimato delle operazioni in valuta virtuale: infatti poiché gli utenti possono effettuare operazioni anche senza ricorrere a tali prestatori, gran parte dell’ambiente delle valute virtuali rimarrà caratterizzato dall’anonimato”. Ulteriore problematica è data dalla provvisorietà delle misure adottate. Il sistema esaminato, soprattutto per quanto riguarda la regolamentazione dei cambiavalute, si basa sull’assunto che il mercato cripto-valutario è dipendente dal mercato della valuta a corso legale. Tutta-

(63) Meiklejohn – Pomarole - Jordan - Levchenko - McCoy - Voelker – Savage, op. cit., 91. (64) Si veda su tutte l’Operaciòn Tulipan Blanca effettuata da Europol lo scorso anno. Ai fini di questa indagine fondamentale è stata la collaborazione di un cambiavalute finlandese presso cui i sospettati effettuavano le operazioni di cambio. Per informazioni si veda <https://www. europol.europa.eu/newsroom/news/illegal-network-used-cryptocurrencies-and-credit-cards-to-launder-more-eur-8-million-drug-trafficking>. (65) Pérez López (b), op. cit., 27. (66) Pérez López, op. cit., 46. (67) La chiave privata può essere stampata su carta, può essere conservata su un hard drive può essere conservata in un sito online o su un app. Si veda in merito Haffke - Fromberger, - Zimmermann, op. cit., 4.; Brown, op. cit., 331; si veda per una disamina Hileman - Rauchs, op. cit., 49 e ss.

680

DIRITTO DI INTERNET N. 4/2019

via, questo assunto resta valido fin quando la possibilità di acquistare beni in cripto-valute rimarrà limitata (68); situazione che allo stato di fatto attuale è sicuramente veritiera, ma è estremamente probabile che muterà nei prossimi anni (69). Difatti, le cripto-valute mirano a sostituire o quantomeno ad affiancare la valuta tradizionale; per ottenere detto risultato, è cruciale divenire un esteso strumento di pagamento. Se ciò avvenisse l’intero quadro della direttiva perderebbe gran parte della sua funzione. Difatti, un criminale che ottenesse i proventi della propria attività in cripto-valute, potrebbe reinvestirli direttamente senza dover sottostare ad alcun obbligo di identificazione (70); questo rischio è ulteriormente accentuato dall’assenza di obblighi di registrazione, proprio nel caso di cambiavalute che svolgono operazioni cripto su cripto. Nonostante le problematiche illustrate, la normativa comunitaria certamente svolge una fondamentale funzione di polizia: da una parte, lancia un messaggio chiaro a quelli che sono, al momento, gli attori più rilevanti del mercato cripto-valutario; dall’altra, promuove la creazione di una expertise in questa industria in materia di antiriciclaggio. Al fine di permettere una sana crescita delle cripto-valute è necessario che si scrollino di dosso l’aura di criminalità, che spesso le accompagna nel discorso comune.

8. Gli obblighi di identificazione e segnalazione: aspetti critici e nuove opportunità

La sensazione che si ha, analizzando il contenuto della Direttiva, è che si stia utilizzando la cavalleria per combattere una guerra di trincea. Le cripto-valute, nonostante la vicinanza semantica con le valute a corso legale, sono uno strumento essenzialmente diverso da queste ultime: nuove sfide richiedono nuove risposte (71). A tal fine si sta sviluppando una parte della letteratura in materia, la quale propone un cambio di prospettiva. Seguendo il vecchio adagio “when life gives you lemons, make lemonade”, si propone di cambiare il focus regolatorio dal soggetto alle transazioni (72). Difatti, se le cripto-va-

(68) Sul tasso di accettazione quale fattore di rischio in termini di riciclaggio si veda Accorsi – Brening – Müller, op. cit, 8. (69) Carlisle, op. cit., 14. (70) Per una rappresentazione grafica delle due modalità di riciclaggio si veda Mari, When Blockchain, Cryptocurrencies, and Aml Meet in Banking Exchange, 2016. (71) Carlisle, op. cit., 29. (72) “The lesson for cybercrime fighters is: AML in Bitcoin has to deal with imperfect knowledge of identities, but may exploit perfect knowledge of all transactions”. Möser – Böhme – Breuker, op. cit., 1; vedi anche

SAGGI lute permettono una conoscenza imperfetta dei soggetti, al contempo consentono una conoscenza perfetta delle transazioni. Nel momento in cui una transazione viene individuata come sospetta, sarà possibile seguire il denaro ovunque questo vada (73): si potrebbe così vanificare la possibilità per il criminale di realizzare qualunque forma di profitto mediante l’utilizzo delle cripto-valute (74). In quest’ottica tre sono le possibili direttrici di sviluppo della normativa di contrasto al riciclaggio: Primo, analisi delle transazioni. La tecnologia blockchain fornisce uno strumento prezioso agli enti di controllo, un registro pubblico in cui sono registrate tutte le transazioni effettuate con una specifica cripto-valuta; seppure queste non recano i nomi dei titolari dei conti, le informazioni fornite sono comunque significative (75). Come sottolineato da parte della dottrina, le transazioni criminali seguono percorsi specifici (76); se questa specialità delle transazioni fosse dimostrata, vi sarebbe la possibilità di codificare software che svolgano un monitoraggio continuo del registro bitcoin, al fine di individuare e segnalare transazioni sospette. Una volta lanciato, un tale programma beneficerebbe della possibilità di imparare continuamente dai risultati ottenuti, affinando la conoscenza dei percorsi (77). È una soluzione che permetterebbe di by-passare la collaborazione delle istituzioni finanziarie (78) - permettendo agli enti di controllo di accedere direttamente al registro delle transazioni - e che creerebbe, inoltre, una forma di controllo continuo e diffuso su scala internazionale. Secondo, blocco delle transazioni. Una volta individuata la transazione sospetta è necessario bloccare le cripto-valute ad essa associate. Interessante è in merito la proposta di recente dottrina, secondo cui sarebbe possibile utilizzare con le cripto-valute un sistema simile a quello adoperato con le banconote segnate (79). In particolare, la proposta consiste

nella creazione di una blacklist, la quale riporti i numeri di serie delle cripto-valute sospette e proibisca ai partecipanti al mercato l’accettazione di queste ultime (80). Il meccanismo di blacklisting costituirebbe una forma di sequestro de facto, il quale, seppur non garantendo l’apprensione del criminale, ne vanificherebbe l’attività. Terzo, controllo delle azioni volte all’oscuramento delle transazioni. Data la esposta proposta regolatoria è evidente come il mantenimento della pubblicità del registro block-chain è un momento fondamentale per il contrasto del riciclaggio in ambito cripto-valutario. In merito sarebbe, quindi, opportuno presidiare tutti quei momenti in cui un oscuramento di detta trasparenza può avvenire: si pensi alle attività di cambio cripto su cripto, ma anche all’utilizzo dei Tumblers (81). Questi ultimi sono sicuramente i grandi assenti della Direttiva in esame: detti servizi permettono, difatti, di aumentare la privacy degli utenti attraverso l’oscuramento di una o più transazioni (82). La loro utilità a fini di riciclaggio è ampiamente provata da recenti casi di cronaca (83)e dai report emessi delle autorità di controllo. Mentre alcuni ne chiedono la messa al bando (84), ci si sarebbe quantomeno aspettati una loro regolamentazione al pari di quanto avvenuto per i gestori di portafoglio (85), i quali oltretutto costituiscono un rischio nettamente minore in termini di riciclaggio. Il legislatore europeo inspiegabilmente tace in materia. Infine, merita una menzione lo sviluppo che il mercato cripto-valutario sta vivendo: il bitcoin sta cedendo il passo a nuovi strumenti, che ne perfezionano la struttura (86). In particolare, un ambito in cui gli sviluppatori si stanno muovendo, è quello della riduzione della

(80) Carlisle, op. cit., 30 e s. Accorsi – Brening – Müller, op. cit, 12, “could imply a paradigm shift in AML controls, where monitoring of actual transactions gains more relevance compared to ex-ante customer identification procedures” (73) Zohar, op. cit., 111; sul punto si veda Meiklejohn – Pomarole - Jor- Levchenko - McCoy - Voelker – Savage, op. cit.

dan

(74) Un fenomeno di sequestro de facto di questo tipo già è stato posto in essere con conti legati a famosi colpi in cripto-valute: i proventi dei riscatti richiesti dal ransomware “Wanna Cry” sono ancora fermi nel conto in cui sono stati inviati; lo stesso si dica per l’account che è ritenuto essere legato a “Silk Road”. (75) Bohannon, op. cit., 1145. (76) Berggren – Asplund, op. cit., 10 e ss./44 e ss. (77) Si veda sul punto il funzionamento del software Reactor sviluppato da Chain Analysis si veda <https://www.chainalysis.com/>. (78) La quale spesso, come dimostrato da recenti inchieste, è tutt’altro che scontata. (79) Parallelo proposto da Möser – Böhme – Breuker, op. cit., 11.

(81) Questi software anche conosciuti come Mixer permettono di oscurare la catena di transazioni. In particolare filtrando e riallocando casualmente un gruppo di transazioni in entrata questi software diminuiscono drasticamente la possibilità di associare la transazione in entrata con la transazione in uscita. Per un’analisi del funzionamento di questi software e della loro efficacia si veda Möser – Böhme – Breuker, op. cit. Sul punto si veda anche Goriacheva – Pogodina – Silnov, op. cit., 48. (82) Berggren – Asplund, op. cit., 21; questi software sono sicuramente I più conosciuti ma di certo non gli unici a fornire servizi di questo tipo, per una disamina di questi servizi si veda Tennant, Improving the Anonymity of the Iota Cryptocurrency, 2017, 10-19 all’indirizzo <https://pdfs.semanticscholar.org/490d/38d18dea9a61570ce4bc4cb8b1a3a7d527f2.pdf >. (83) Si veda su tutti Silk Road il quale prevedeva l’utilizzo di tumbler quale servizio complementare per gli utenti del suo mercato. Si pensi anche ai nomi piuttosto esplicativi usati da questi servizi quali Bit Launder o BitcoinLaundry. (84) Carlisle, op. cit., 26. (85) Haffke - Fromberger, - Zimmermann, op. cit., 12,14. (86) Per una disaminasi veda Hileman - Rauchs, op. cit., 17-18.

DIRITTO DI INTERNET N. 4/2019

681

SAGGI pubblicità del registro block-chain (87), di cui esempio lampante è Monero, il quale utilizza una block-chain opaca (88). Data l’importanza, in termini di contrasto della criminalità, della possibilità di accedere al registro delle transazioni, sarebbe opportuno che il legislatore si attivasse in modo tale da garantire che queste nuove cripto-monete, cosiddette Anonimity Enhanced Cryptocurrencies, seppur tutelando la privacy delle transazioni rispetto al controllo del quivis de populo, assicurino comunque l’accessibilità del registro ai soggetti pubblici.

9. La Dimensione Italiana

A livello nazionale la fattispecie in esame era stata già regolata da una normativa pioneristicamente introdotta nel 2017: il D.lgs. 25 Maggio 2017 n. 90. Questo decreto, emanato in attuazione alla IV Direttiva Anti-riciclaggio, aveva previsto, autonomamente rispetto al dettato comunitario in quel momento ancora silente sul punto, una prima regolamentazione delle valute virtuali. Detta normativa, all’art. 3 co 5 lett. i, estendeva gli obblighi anti-riciclaggio ai “prestatori di servizi relativi all’utilizzo di valuta virtuale, limitatamente allo svolgimento dell’attività di conversione di valute virtuali da ovvero in valute aventi corso forzoso”. A seguito all’introduzione della V Direttiva Anti-riciclaggio – che dovrà essere recepita dagli Stati membri entro il 10 gennaio 2020 - il legislatore nazionale è stato nuovamente chiamato a regolare questa materia; a detta attuazione è rivolto lo “schema di decreto legislativo recante modifiche ed integrazioni al decreto legislativo 21 Novembre 2007, n. 231 (89)”, emanato dal Dipartimento del Tesoro, che dovrebbe essere adottato a breve in sede governativa. Analizzando questo testo il legislatore è rimasto aderente alla normativa comunitaria: difatti, in tema di cripto-valute, le uniche modifiche introdotte al precedente decreto n. 90 del 2017, riguardano la limatura della preesistente definizione di valute virtuali - in modo da conformarla con quella prevista dalla normativa comunitaria - e l’estensione degli obblighi anti-riciclaggio ai prestatori di portafoglio. Questa acritica adesione al dettato comunitario sembra piuttosto deludente considerando la posizione avan (87) Bohannon, op. cit., 1146; si veda inoltre la Zero proof technology per come descritta da Mari, cit. (88) Forgang, op. cit., 8; Carlisle, op. cit., 11. (89) Il testo è disponibile al seguente link: <https://www.google.it/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=2ahUKEwjF47y9yMrkAhXJK1AKHViRCHEQFjAAegQIAhAC&url=http%3A%2F%2Fwww. dt.mef.gov.it%2Fexport%2Fsites%2Fsitodt%2Fmodules%2Fdocumenti_it%2Fregolamentazione_bancaria_finanziaria%2Fconsultazioni_pubbliche%2FBozza_recepimento_VAMLD_tavolo_tecnico_testo_per_consultazione_x3x.pdf&usg=AOvVaw2qQVGPeLMNnH0lfTe7MoWe>; con comunicato stampa numero 64 del 1 luglio 2019, il C.d.M. ha dato notizia di aver approvato in via di esame preliminare il D.lgs.

682

DIRITTO DI INTERNET N. 4/2019

guardistica che l’Italia aveva occupato mediante l’introduzione del decreto n. 90 del 2017. Come sottolineato nel corso della trattazione il dettato comunitario è sicuramente migliorabile e nuove e più audaci scelte potrebbero essere compiute dal legislatore in questo ambito. L’Italia potrebbe, quindi, sfruttare questa sede per essere ancora una volta apripista in ambito di cripto-valute, mediante un ripensamento dello schema regolatorio in un’ottica di customizzazione della normativa alle caratteristiche delle nuove tecnologie. Piuttosto che un semplice copia-incolla della normativa comunitaria, sembra opportuno svolgere una più approfondita riflessione sulla tematica in oggetto che porti ad una normativa efficace e moderna.

10. Considerazioni finali

Le cripto-valute, e la sottostante tecnologia block-chain, costituiscono una delle innovazioni più rilevanti del ventunesimo secolo. La promessa che portano con sé è quella di rivoluzionare completamente i termini del rapporto fiduciario e del concetto di trasparenza nel mercato monetario. A fronte di una tale innovazione il legislatore non può restare alla finestra. Soprattutto in ambito penale, le potenzialità di queste tecnologie debbono essere tenute sotto stretta osservazione: seppur evitando una sovra regolamentazione che potrebbe provocare un ingessamento del sistema, il legislatore deve agire al fine di evitare una crescita selvaggia. Lo stesso mercato delle cripto-valute beneficerebbe di questi interventi, i quali potrebbero permettere di colmare quel gap di credibilità che al momento lo affligge. In questo difficile bilanciamento si inserisce la V Direttiva antiriciclaggio la quale mette mano, per la prima volta a livello comunitario, al difficile rapporto tra riciclaggio e cripto-valute. Seppure l’intenzione è sicuramente corretta, l’impressione è che si sarebbe potuto puntare a soluzioni più innovative: le cripto-valute sono strumenti essenzialmente differenti dalle valute a corso legale e richiedono, quindi, soluzioni su misura. Sia in termini di soggetti obbligati, sia in termini di misure adottate, la Direttiva rimane troppo attaccata a soluzioni tradizionali poco efficaci per contrastare gli emergenti fenomeni di riciclaggio; inoltre, dal punto di vista definitorio, l’utilizzo dell’accezione “valute virtuali” rischia di non cogliere accuratamente le differenze interne al mercato stesso e le corrispondenti opzioni regolatorie. Purtuttavia, la V Direttiva costituisce comunque un valido punto di partenza da cui poter sviluppare il dialogo tra gli attori coinvolti e per poter iniziare un percorso regolamentare necessario a salvaguardare il mercato europeo.

GIURISPRUDENZA EUROPEA

Geolocalizzazione delle chiamate al numero unico di emergenza europeo 112: obblighi di Stati e imprese nell’era digitale Corte di Giustizia UE; sezione IV; sentenza 5 settembre 2019, causa n. C-417/18; Pres. e Rel. Vilaras; Avv. Gen. Campos Sánchez-Bordona; AW, BV, CU, DT c. Lietuvos valstybė (Stato lituano). L’obbligo degli Stati di provvedere affinché le imprese interessate mettano gratuitamente a disposizione dell’autorità incaricata delle chiamate di emergenza al 112 le informazioni relative all’ubicazione del chiamante nel momento in cui la chiamata raggiunge tale autorità, a condizione che ciò sia tecnicamente fattibile, sussiste anche quando la chiamata è effettuata da un telefono cellulare sprovvisto di scheda SIM.

…Omissis… Sulle questioni pregiudiziali Sulle questioni prima e seconda 18. Con la prima e la seconda questione, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 26, paragrafo 5, della direttiva 2002/22 debba essere interpretato nel senso che esso impone agli Stati membri l’obbligo di provvedere, affinché le imprese interessate mettano gratuitamente a disposizione dell’autorità incaricata delle chiamate di emergenza al 112 le informazioni relative all’ubicazione del chiamante nel momento in cui la chiamata raggiunge tale autorità, anche quando la chiamata è effettuata da un telefono cellulare sprovvisto di scheda SIM. …Omissis… 21. Per quanto riguarda la risposta a tali questioni, si evince dalla formulazione stessa dell’articolo 26, paragrafo 5, della direttiva 2002/22 che l’obbligo di messa a disposizione delle informazioni sull’ubicazione del chiamante riguarda «ogni chiamata al numero di emergenza unico europeo». 22. Occorre altresì ricordare che la Corte ha già statuito che dall’articolo 26, paragrafo 3, della direttiva 2002/22, nella sua versione originale, corrispondente, nella versione attuale di tale direttiva, al paragrafo 5 dello stesso articolo, discende che tale disposizione impone agli Stati membri, sempre che ciò sia tecnicamente fattibile, un obbligo di risultato che non si limita all’istituzione di un contesto normativo appropriato, ma esige pure che le informazioni sulla localizzazione di tutte le chiamate al numero «112» siano effettivamente trasmesse ai servizi di soccorso (sentenza dell’11 settembre 2008, Commissione/Lituania, C-274/07, EU:C:2008:497, punto 40). 23. Pertanto, non può ammettersi che le chiamate al 112 effettuate da un telefono cellulare sprovvisto di

scheda SIM siano escluse dal campo di applicazione di tale disposizione. 24. Di conseguenza, si deve rispondere alla prima e alla seconda questione dichiarando che l’articolo 26, paragrafo 5, della direttiva 2002/22 dev’essere interpretato nel senso che esso impone agli Stati membri, a condizione che ciò sia tecnicamente fattibile, l’obbligo di provvedere affinché le imprese interessate mettano gratuitamente a disposizione dell’autorità incaricata delle chiamate di emergenza al 112 le informazioni relative all’ubicazione del chiamante nel momento in cui la chiamata raggiunge tale autorità, anche quando la chiamata è effettuata da un telefono cellulare sprovvisto di scheda SIM. Sulla terza questione 25. Con la sua terza questione, il giudice del rinvio chiede alla Corte, in sostanza, di pronunciarsi sulla conformità all’articolo 26, paragrafo 5, della direttiva 2002/22 della normativa nazionale che ha definito i criteri per l’esattezza e l’affidabilità delle informazioni relative all’ubicazione di una persona che chiama il 112. …Omissis… 28. … occorre riformulare la terza questione pregiudiziale e considerare che il giudice del rinvio chiede sostanzialmente se l’articolo 26, paragrafo 5, della direttiva 2002/22 debba essere interpretato nel senso che esso conferisce agli Stati membri un potere discrezionale in sede di definizione dei criteri per l’esattezza e l’affidabilità delle informazioni relative all’ubicazione di una persona che chiama il 112, il quale permette loro di limitare tali criteri all’individuazione della stazione di base che ha ritrasmesso la chiamata. …Omissis… 30. … va rilevato che dal considerando 36 della direttiva 2002/22 e dal considerando 39 della direttiva 2009/136 emerge che la trasmissione obbligatoria di informazioni

DIRITTO DI INTERNET N. 4/2019

683

GIURISPRUDENZA EUROPEA sull’ubicazione del chiamante mira a migliorare il livello di protezione e la sicurezza degli utenti dei servizi del 112, e ad aiutare tali servizi di emergenza nell’espletamento dei loro compiti. 31. Pertanto, i criteri per l’esattezza e l’affidabilità delle informazioni relative all’ubicazione del chiamante devono in ogni caso garantire, nei limiti della fattibilità tecnica, la localizzazione della posizione del chiamante con tutta l’affidabilità e la precisione necessarie a permettere ai servizi di emergenza di venirgli utilmente in soccorso. 32. Il potere discrezionale di cui dispongono gli Stati membri nella definizione di tali criteri trova dunque un limite nella necessità di garantire che le informazioni trasmesse permettano utilmente la localizzazione effettiva del chiamante e, pertanto, l’intervento dei servizi di soccorso. …Omissis… 34. Occorre pertanto rispondere alla terza questione dichiarando che l’articolo 26, paragrafo 5, della direttiva 2002/22 dev’essere interpretato nel senso che esso conferisce agli Stati membri un potere discrezionale in sede di definizione dei criteri per l’esattezza e l’affidabilità delle informazioni relative all’ubicazione di una persona che chiama il 112, fermo restando, tuttavia, che i criteri da essi definiti devono garantire, nei limiti della fattibilità tecnica, la localizzazione della posizione del chiamante con tutta l’affidabilità e la precisione necessarie a permettere ai servizi di emergenza di venirgli utilmente in soccorso, circostanza che spetta al giudice del rinvio verificare. Sulla quarta questione 35 Con la sua quarta questione, il giudice del rinvio chiede, in sostanza, se il diritto dell’Unione debba essere interpretato nel senso che, quando, in base al diritto interno di uno Stato membro, la sussistenza di un nesso causale indiretto fra l’illecito commesso dalle autorità nazionali e il danno subito da un singolo individuo è considerata sufficiente per configurare la responsabilità dello Stato, un tale nesso causale indiretto tra una violazione del diritto dell’Unione, imputabile allo Stato membro in questione, e il danno subito da un singolo

individuo dev’essere parimenti ritenuto sufficiente per configurare la responsabilità di detto Stato membro per tale violazione del diritto dell’Unione. …Omissis… 38. Per quanto riguarda la risposta alla quarta questione, si deve rilevare che, indubbiamente, tra le condizioni che devono essere soddisfatte per stabilire la responsabilità di uno Stato membro per danni causati ai singoli individui da violazioni del diritto dell’Unione imputabili a tale Stato, figura quella relativa alla sussistenza di un nesso causale diretto tra la violazione di detto diritto e il danno subito da tali soggetti (v., in tal senso, sentenza del 4 ottobre 2018, Kantarev, C-571/16, EU:C:2018:807, punto 94 e giurisprudenza ivi citata). 39. Tuttavia, dalla giurisprudenza della Corte emerge che, nel caso di una violazione del diritto dell’Unione imputabile allo Stato, è nell’ambito della normativa interna sulla responsabilità che quest’ultimo è tenuto a riparare le conseguenze del danno arrecato, fermo restando che le condizioni stabilite dalle legislazioni nazionali in materia di risarcimento dei danni non possono essere meno favorevoli di quelle relative ad analoghe azioni di natura interna (principio di equivalenza) (v., in tal senso, sentenza del 4 ottobre 2018, Kantarev, C-571/16, EU:C:2018:807, punto 123 e giurisprudenza ivi citata). …Omissis… 41. Di conseguenza, si deve rispondere alla quarta questione dichiarando che il diritto dell’Unione dev’essere interpretato nel senso che, quando, in base al diritto interno di uno Stato membro, la sussistenza di un nesso causale indiretto fra l’illecito commesso dalle autorità nazionali e il danno subito da un singolo individuo è considerata sufficiente per configurare la responsabilità dello Stato, un tale nesso causale indiretto tra una violazione del diritto dell’Unione, imputabile allo Stato membro in questione, e il danno subito da un singolo individuo dev’essere parimenti ritenuto sufficiente per configurare la responsabilità di detto Stato membro per tale violazione del diritto dell’Unione. …Omissis…

IL COMMENTO

di Amina Maneggia Sommario: 1. Premessa. – 2. La questione e le conclusioni della Corte. – 3. Dispositivi e metodi di localizzazione ricondotti nell’ambito di applicazione dell’art. 26 della direttiva 2002/22. – 4. Il quadro normativo applicabile al NUE 112 e la sua evoluzione. – 5. Novità introdotte dal Codice europeo delle comunicazioni elettroniche pertinenti al presente caso. – 6. Le soluzioni offerte dalla tecnologia come parametro per definire la portata degli obblighi statali. – 7. Le «imprese interessate» a) in caso di chiamata senza SIM effettuata via rete mobile. – 8. Le «imprese interessate» b) in caso di chiamata effettuata in VoIP. – 9. Il problema della gratuità della raccolta e messa a disposizione dei dati relativi alla localizzazione del chiamante. – 10. Conclusione.

684

DIRITTO DI INTERNET N. 4/2019

GIURISPRUDENZA EUROPEA L’Autrice ricostruisce il significato e le implicazioni dell’affermazione della Corte secondo cui l’obbligo degli Stati membri di garantire che le informazioni sulla localizzazione del chiamante il numero unico di emergenza europeo 112 siano messe a disposizione delle autorità preposte alla gestione delle emergenze, sancito dalla direttiva 2002/22, sussiste anche in caso di chiamata da un cellulare sprovvisto di carta SIM. Inquadrata la pronuncia come riferita essenzialmente alle chiamate effettuate da smartphones, e all’utilizzo dei dati di geolocalizzazione da questi raccolti, il commento indaga sulle problematiche giuridiche che la garanzia della messa a disposizione di tali dati solleva, soprattutto in relazione alle imprese coinvolte. The Author inquires into the meaning and implications of the Court’s assertion that Article 26 of Directive 2002/22, establishing Member States’ obligation to ensure that caller location information is made available to the authority handling emergency calls to 112, also applies in cases where the call is made from a mobile telephone not fitted with a SIM card. Understanding the dictum as referring to smartphones, and to the use of handset-based location data, the article examines the legal issues that the obligation to ensure the availability of those data raises, especially as regards the undertakings involved.

1. Premessa

Nella sentenza del 5 settembre 2019, la Corte di Giustizia dell’Unione Europea è tornata a pronunciarsi dopo 10 anni, e per la prima volta in via pregiudiziale, sugli obblighi degli Stati membri riguardanti l’operatività del numero unico di emergenza europeo “1-1-2” (d’ora in poi «NUE 112» o «112»), e in particolare sull’obbligo di provvedere affinché le imprese che forniscono un servizio di comunicazione elettronica mettano gratuitamente a disposizione dell’autorità incaricata delle chiamate di emergenza le informazioni relative all’ubicazione del chiamante. La Corte ha affermato, per indicare subito un punto centrale della sentenza sul quale in particolare si concentrerà il presente commento, che il suddetto obbligo – sancito dall’art. 26, par. 5, della direttiva 2002/22 relativa al «servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica» come modificata dalla direttiva 2009/136 del 25 novembre 2009 – si applica anche alle chiamate effettuate da un telefono cellulare sprovvisto di scheda SIM (§ 24).

2. La questione e le conclusioni della Corte

La sentenza in commento trae origine da una domanda di pronuncia pregiudiziale ai sensi dell’art. 267 TFUE proposta il 21 giugno 2018 dal Tribunale amministrativo regionale di Vilnius. I ricorrenti nel procedimento principale (AW, BV, CU e DT, in seguito: «AW e a.») sono familiari di ES, una giovane di 17 anni rapita, violentata e bruciata viva nel bagagliaio di un’autovettura il 21 settembre 2013 in un sobborgo di Panevėžys (Lituania). Mentre si trovava rinchiusa nel bagagliaio, la ragazza aveva chiamato una decina di volte, tramite un telefono cellulare, il centro di raccolta delle chiamate di emergenza lituano al numero di emergenza unico europeo «112», per chiedere aiuto. Tuttavia, gli apparecchi del centro non avevano mostrato il numero di telefono cellulare utilizzato, ciò che aveva impedito di localizzare la ragazza. Non era stato possibile accertare se il cellulare utilizzato da ES fosse provvisto o meno di una scheda SIM, né perché il suo

numero non fosse visibile. AW e a. hanno proposto al Tribunale amministrativo regionale di Vilnius un ricorso diretto ad ottenere la condanna dello Stato lituano al risarcimento del danno morale subito dalla vittima, ES, e da loro stessi, sostenendo che la Repubblica di Lituania non aveva garantito la corretta attuazione pratica dell’art. 26, par. 5, della direttiva 2002/22 come modificata dalla direttiva 2009/136, il quale impone agli Stati membri di provvedere affinché le imprese interessate – ovvero, ai sensi dei parr. 1 e 2 dello stesso articolo, le imprese che forniscono un «servizio di comunicazione elettronica che permette di effettuare chiamate nazionali verso uno o più numeri che figurano in un piano di numerazione nazionale» (1) – mettano «gratuitamente a disposizione dell’autorità incaricata delle chiamate di emergenza le informazioni sulla localizzazione del chiamante nel momento in cui la chiamata raggiunge tale autorità». La stessa disposizione specifica che «[c]iò si applica ad ogni chiamata al numero di emergenza unico europeo “112”», mentre gli Stati membri «possono estendere tale obbligo alle chiamate a numeri di emergenza nazionali»; e prevede infine che «[l]e autorità di regolamentazione competenti definiscono i criteri per l’esattezza e l’affidabilità delle informazioni fornite sulla localizzazione del chiamante» (2). Secondo i ricorrenti, l’inadempienza dello Stato lituano avrebbe avuto come conseguenza l’impossibilità di trasmettere ai servizi di polizia informazioni sull’ubicazione di ES, il che avrebbe impedito loro di venirle in soccorso (§§12-13). Circa la normativa interna applicabile all’epoca dei fatti, l’art. 68, par. 2, della legge lituana sulle comunicazioni elettroniche del 15 aprile 2004 sanciva l’obbligo dei (1) Art. 26, parr. 1 e 2 della direttiva 2002/22. (2) Direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.

DIRITTO DI INTERNET N. 4/2019

685

GIURISPRUDENZA EUROPEA fornitori di reti di comunicazione e di servizi di comunicazione elettronica accessibili al pubblico di trasmettere gratuitamente le informazioni sulla localizzazione relative ad ogni chiamata d’emergenza alla centrale per le emergenze, nel momento stesso in cui questa risponde alla chiamata, e senza dover ottenere il consenso dell’abbonato o dell’utente effettivo dei servizi di comunicazione elettronica. La procedura per l’accesso ai servizi di emergenza, adottata dall’autorità di regolamentazione delle comunicazioni con ordinanza del 7 novembre 2011, statuiva inoltre l’obbligo dei fornitori di reti mobili di trasmettere le informazioni sulla localizzazione con un livello di precisione pari a quello della copertura delle stazioni radio base (identificativo di cella), ma senza indicare un valore minimo di esattezza con cui le stazioni dovessero trasmettere la localizzazione, né la densità di distribuzione delle stesse (§§ 8-9). Il Tribunale amministrativo regionale di Vilnius aveva sospeso il procedimento e sottoposto alla Corte di giustizia quattro questioni pregiudiziali, che qui richiamiamo, per brevità, nei termini in cui sono state riformulate e prese in esame dalla Corte: in primo luogo, nella prima e seconda questione congiuntamente considerate, «se l’articolo 26, par. 5, della direttiva 2002/22 debba essere interpretato nel senso che esso impone agli Stati membri l’obbligo di provvedere affinché le imprese interessate mettano […] a disposizione […] le informazioni relative all’ubicazione del chiamante […] anche quando la chiamata è effettuata da un telefono cellulare sprovvisto di scheda SIM»; in secondo luogo, nella terza questione, se la stessa disposizione debba essere interpretata nel senso di conferire «agli Stati membri un potere discrezionale in sede di definizione dei criteri per l’esattezza e l’affidabilità delle informazioni relative all’ubicazione di una persona che chiama il 112, il quale permette loro di limitare tali criteri all’individuazione della stazione di base che ha ritrasmesso la chiamata» (§ 28); in terzo luogo, nella quarta questione, «se il diritto dell’Unione debba essere interpretato nel senso che, quando, in base al diritto interno di uno Stato membro, la sussistenza di un nesso causale indiretto fra l’illecito commesso dalle autorità nazionali e il danno subito da un singolo individuo è considerata sufficiente per configurare la responsabilità dello Stato, un tale nesso causale indiretto tra una violazione del diritto dell’Unione, imputabile allo Stato membro in questione, e il danno subito da un singolo individuo dev’essere parimenti ritenuto sufficiente per configurare la responsabilità di detto Stato membro per tale violazione del diritto dell’Unione» (§ 35). Venendo alle conclusioni della Corte, con riguardo al primo punto, essa ha osservato anzitutto che «dalla formulazione stessa dell’art. 26, par. 5, della direttiva 2002/22» si evincerebbe che «l’obbligo di messa a di-

686

DIRITTO DI INTERNET N. 4/2019

sposizione delle informazioni sull’ubicazione del chiamante riguarda “ogni chiamata al numero di emergenza unico europeo”» (§ 21); combinando tale constatazione con il richiamo al principio – già espresso nella sua giurisprudenza pregressa relativa alla corrispondente disposizione della direttiva 2002/22 nella sua versione originale – secondo cui tale disposizione «impone agli Stati membri, sempre che ciò sia tecnicamente fattibile, un obbligo di risultato che non si limita all’istituzione di un contesto normativo appropriato, ma esige pure che le informazioni sulla localizzazione di tutte le chiamate al numero “112” siano effettivamente trasmesse ai servizi di soccorso» (3) (§ 22), la Corte ne ha ricavato che «non può ammettersi che le chiamate al 112 effettuate da un telefono cellulare sprovvisto di scheda SIM siano escluse dal campo di applicazione di tale disposizione» (§ 23). Ha pertanto concluso che l’art. 26, par. 5, della direttiva 2002/22 «dev’essere interpretato nel senso che esso impone agli Stati membri, a condizione che ciò sia tecnicamente fattibile, l’obbligo di provvedere affinché le imprese interessate mettano gratuitamente a disposizione dell’autorità incaricata delle chiamate di emergenza al 112 le informazioni relative all’ubicazione del chiamante nel momento in cui la chiamata raggiunge tale autorità, anche quando la chiamata è effettuata da un telefono cellulare sprovvisto di scheda SIM» (§ 24). Sulla terza questione, la Corte ha stabilito che il potere discrezionale di cui gli Stati membri dispongono, in base alla formulazione dell’art. 26, par. 5, ultima frase, della direttiva 2002/22, nel definire «i criteri per l’esattezza e l’affidabilità delle informazioni relative all’ubicazione di una persona che chiama il 112» che devono essere messe a disposizione dei servizi di emergenza, «trova un limite nella necessità di garantire che le informazioni trasmesse permettano utilmente la localizzazione effettiva del chiamante e, pertanto, l’intervento dei servizi di soccorso» (§§ 31-33). Ha pertanto concluso che l’art. 26, par. 5, della direttiva 2002/22 deve essere interpretato nel senso di richiedere che i criteri discrezionalmente definiti dagli Stati membri siano comunque idonei a «garantire, nei limiti della fattibilità tecnica, la localizzazione della posizione del chiamante con tutta l’affidabilità e la precisione necessarie a permettere ai servizi di emergenza di venirgli utilmente in soccorso» (§ 34). Sulla quarta questione, riguardante le condizioni per stabilire la responsabilità extracontrattuale dello Stato membro per danni causati ai singoli individui da violazioni del diritto dell’Unione, la Corte, pur ribadendo il consueto principio secondo cui tra tali condizioni «figura quella relativa alla sussistenza di un nesso causale (3) Corsivo nostro. La Corte richiama in particolare la sentenza dell’11 settembre 2008, Commissione c. Repubblica di Lituania, C-274/07, Racc. 2008 I-07117, § 40.

GIURISPRUDENZA EUROPEA diretto tra la violazione di detto diritto e il danno subito da tali soggetti» (§ 38), ha affermato che «quando, in base al diritto interno di uno Stato membro, la sussistenza di un nesso causale indiretto fra l’illecito commesso dalle autorità nazionali e il danno subito da un singolo individuo è considerata sufficiente per configurare la responsabilità dello Stato, un tale nesso causale indiretto tra una violazione del diritto dell’Unione, imputabile allo Stato membro in questione, e il danno subito da un singolo individuo dev’essere parimenti ritenuto sufficiente per configurare la responsabilità di detto Stato membro per tale violazione del diritto dell’Unione» (§ 41). Ciò in considerazione del fatto che «è nell’ambito della normativa interna sulla responsabilità che quest’ultimo è tenuto a riparare le conseguenze del danno arrecato» (§§ 39-40). Al di là del modo, ci sembra inedito, con il quale la Corte ha interpretato il principio di equivalenza nella determinazione della responsabilità dello Stato per danni derivanti da violazioni del diritto dell’Unione – il quale come noto richiede agli Stati membri di estendere le loro regole processuali più favorevoli a tutte le azioni fondate sul diritto comunitario (4) – è importante sottolineare che, riconoscendo la possibilità di far valere la responsabilità dello Stato per i danni arrecati a un individuo dall’inadeguata attuazione pratica delle disposizioni sulla localizzazione del chiamante l’112, la Corte ne ha chiarito la natura di norme che conferiscono diritti ai singoli (5). Non ci soffermeremo comunque oltre su questo punto, in quanto riguardante non tanto la portata dell’obbligo di localizzazione quanto la sua invocabilità e le conseguenze della sua violazione.

3. Dispositivi e metodi di localizzazione ricondotti nell’ambito di applicazione dell’art. 26 della direttiva 2002/22

Occorre anzitutto individuare, per inferenza, le tecniche di telefonia vocale nonché i sistemi di localizzazione delle chiamate che la Corte, nel precisare che l’art. 26, par. 5, della direttiva 2002/22 riguarda anche le chiamate effettuate da un telefono cellulare sprovvisto di scheda SIM, fa rientrare nel suo ambito di applicazione.

(4) Cfr. Mengozzi, La tutela davanti ai giudici nazionali dei diritti riconosciuti ai singoli ed i principi generali del diritto dell’Unione, Milano, 2011, 51 ss. (5) Cfr. Shirley Di Veroli, La geolocalizzazione delle chiamate di emergenza ed il (non sempre) pronto intervento [Corte di Giustizia Europea, 5 settembre 2019, causa C-417/18], in questa Rivista, 11 ottobre 2019, all’indirizzo ˂https://dirittodiinternet.it/7219-2/˃; Scorza, Corte di Giustizia UE: la geolocalizzazione delle chiamate di emergenza è un diritto dei cittadini dell’Unione, 6 settembre 2019, all’indirizzo ˂http://scorza.blogautore.espresso. repubblica.it/2019/09/06/corte-di-giustizia-ue-gli-operatori-devono-garantire-la-geolocalizzazione-gratuita-delle-chiamate-di-emergenza/?refresh_ce˃.

Un dato tecnico da cui partire per comprendere le implicazioni della sentenza è il fatto che un telefono cellulare sprovvisto di SIM può essere localizzato se è uno smartphone, e ricorrendo a sistemi di localizzazione basati su firmware e software incluso o installato nel dispositivo stesso (sistemi cd. handset-based). Infatti un cellulare GSM privo di scheda SIM (6) non è localizzabile mediante i sistemi basati sull’infrastruttura di rete (cd. network-based) – ovvero tramite informazioni di cella (Cell ID) fornite dalle antenne o Stazioni Radio Base (SRB) della rete cellulare eventualmente integrate con tecniche di triangolazione – in quanto non può essere identificato dall’operatore della rete mobile alla quale il cellulare si aggancia (7). Invece uno smartphone ha capacità di calcolo avanzate in grado di elaborare dati sulla localizzazione, oltre che dalle SRB, dai sistemi globali di navigazione satellitare (GNSS) e dalle informazioni ricavate dai punti di accesso wi-fi. Queste informazioni sono registrate o “collezionate” dal cellulare indipendentemente dalla SIM, e sono mediamente molto più accurate delle informazioni derivanti dalle infrastrutture di rete. Per avere un’idea, l’accuratezza della localizzazione Cell-ID è compresa tra 1,5 e 5 km, mentre l’accuratezza della localizzazione GNSS è compresa tra 6 e 28 metri (8). Con la sentenza in commento la Corte ha quindi anzitutto chiarito che gli obblighi circa la messa a disposizione delle informazioni sulla localizzazione del chiamante si estendono alle telefonate effettuate da smartphones, i quali se anche privi di SIM registrano dati molto precisi circa la loro posizione; e che proprio tali informazioni handset-based, molto più esatte di quelle ricavate dall’identificativo di cella, devono essere messe a disposizione dell’autorità incaricata delle chiamate di emergenza. Si spiega in tal senso anche l’affermazione della Corte secondo la quale i criteri relativi all’esattezza e all’affidabilità delle informazioni fornite sull’ubicazione del chiamante, pur discrezionalmente stabiliti dagli Stati in base all’art. 26 della direttiva 2002/22, devono comunque garantirne la localizzazione «con tutta l’affidabilità e la precisione necessarie a permettere ai servizi di emergenza di venirgli utilmente in soccorso» (9).

(6) Subscriber Identity Module, modulo d’identità dell’abbonato. La carta SIM nei telefoni cellulari contiene i dati dell’utente sotto forma di un codice univoco IMSI (International Mobile Subscriber Identity) che permette al gestore mobile di riconoscere il cliente e il numero di telefono ad esso assegnato. Cfr. ˂https://puntocellulare.it/glossario/sim_card.html˃. (7) Sui sistemi di localizzazione si veda, sinteticamente: ˂http://www. eena.it/localizzazione/operatori-telefonia-mobile/sistemi-di-location-based˃. (8) Si veda lo studio ˂https://ec.europa.eu/growth/content/help112project_en˃. (9) Supra, sezione 2, in relazione al § 34 della sentenza.

DIRITTO DI INTERNET N. 4/2019

687

GIURISPRUDENZA EUROPEA Una seconda notazione tecnica da fare riguarda i possibili modi di funzionamento di uno smartphone sprovvisto di SIM, al quale la Corte presumibilmente fa riferimento, e al riguardo le ipotesi plausibili ci sembrano due. In primo luogo, un cellulare sprovvisto di SIM può effettuare una chiamata agganciandosi a una qualche rete cellulare disponibile (prima ipotesi), sebbene in questo caso non sia identificabile dall’operatore di rete; in secondo luogo, un cellulare sprovvisto di SIM può, sfruttando una rete wi-fi, e utilizzando un’app apposita (ad es. Skype), effettuare una chiamata utilizzando la tecnologia VoIP (Voice over Internet Protocol) (seconda ipotesi). L’uso di Internet per la comunicazione vocale da un telefono cellulare smart è possibile e ormai diffuso grazie ad applicazioni – quali WhatsApp, Viber Messenger, Zoiper, Skype – alcune delle quali consentono di effettuare chiamate verso la rete telefonica pubblica commutata (Public Switched Telephone Network, PSTN), mentre altre, come WhatsApp offrono esclusivamente un servizio peer-to-peer. Lo smartphone è un dispositivo mobile intelligente, capace di scambiare dati in connettività, inclusi quelli relativi alla sua geolocalizzazione. Grazie alla connettività, in entrambe le ipotesi le informazioni di identificativo di cella, nonché i dati GPS e wi-fi, del cellulare sono con ogni probabilità accessibili dalle aziende produttrici del sistema operativo dello smartphone, dai servizi di geolocalizzazione dei motori di ricerca che offrono interfaccia a Internet e dalle app installate sul cellulare, inclusa quella eventualmente con cui, nella seconda ipotesi, l’utente dello smartphone ha effettuato la chiamata al NUE 112. Su tali presupposti, la statuizione cruciale della Corte contenuta nel § 24 della sentenza potrebbe essere così parafrasata [indichiamo in corsivo le implicazioni non dette ma presuntivamente presupposte]: «l’art. 26, par. 5, della direttiva 2002/22 dev’essere interpretato nel senso che esso impone agli Stati membri, a condizione che ciò sia tecnicamente fattibile, l’obbligo di provvedere affinché le imprese interessate mettano gratuitamente a disposizione dell’autorità incaricata delle chiamate di emergenza al 112 effettuate con smartphones, nel momento in cui la chiamata raggiunge tale autorità, le informazioni relative all’ubicazione del chiamante costituite dai dati di posizionamento GPS e wi-fi registrati dal cellulare anche quando la chiamata è effettuata da uno smartphone sprovvisto di scheda SIM, mediante rete cellulare oppure tramite tecnologia VoIP». Dopo aver così precisato la plausibile portata della massima della Corte, è ora opportuno, per poterne meglio comprendere il significato, richiamare gli aspetti salienti della normativa sul NUE 112, inclusi gli obblighi relativi alla messa a disposizione delle informazioni sulla localizzazione del chiamante, collocandoli nel quadro dell’evoluzione della regolamentazione europea dei ser-

688

DIRITTO DI INTERNET N. 4/2019

vizi di comunicazione elettronica e del suo ambito di applicazione.

4. Il quadro normativo applicabile al NUE 112 e la sua evoluzione

La disciplina del NUE 112 rientra nel quadro regolatorio europeo dei servizi di telecomunicazione volto alla costruzione di un mercato unico europeo delle telecomunicazioni, oggi mercato unico digitale, e ne segue l’evoluzione. Gettando uno sguardo alle origini del NUE 112, ricordiamo che tale numero è stato introdotto nel 1991, con decisione del Consiglio adottata nel quadro degli sviluppi della cooperazione in materia di protezione civile (10). Nel 1998, con l’avvio della liberalizzazione dei servizi di comunicazione elettronica a livello europeo – inizialmente promosso tramite una regolazione per infrastrutture – il NUE 112 è stato inserito nella disciplina degli obblighi di «servizio universale delle telecomunicazioni», definito come «un insieme minimo di servizi, di una data qualità, a disposizione di tutti gli utenti, indipendentemente dalla localizzazione geografica e offerto, in funzione delle specifiche condizioni nazionali, ad un prezzo abbordabile» (11). In considerazione della convergenza tecnologica dei settori delle telecomunicazioni, audiovisivo e delle tecnologie dell’informazione, l’UE è poi passata nel 2002 ad un approccio regolatorio per servizi, inglobante ogni tipo di rete di trasmissione di segnali (12), con l’adozione del quadro europeo dei servizi di telecomunicazione (cd. «pacchetto telecomunicazioni») comprensivo della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica (direttiva «servizio universale») contenente l’art. 26 sul “Numero unico di emergenza europeo”. Secondo la direttiva la garanzia del servizio universale può comportare l’imposizione da parte dello Stato, alle imprese attive sul mercato dei servizi, di obblighi di fornitura degli stessi «a (10) Decisione del Consiglio 91/396/EEC del 29 luglio 1991 sull’introduzione di un numero unico europeo per chiamate di emergenza. Dal punto di vista tecnico, l’attivazione del NUE 112 ha richiesto agli Stati membri di istituire dei centri di raccolta delle chiamate di emergenza (cd. PSAP, acronimo di Public-Safety Answering Point) capaci di ricevere, filtrare e smistare in modo efficiente tutte le chiamate di emergenza all’112, ed eventualmente ai numeri di emergenza nazionali, garantendone l’inoltro rapido alle autorità competenti per la gestione della specifica emergenza (vigili del fuoco, polizia, ambulanza… ). (11) Direttiva 98/10/CE del Parlamento europeo e del Consiglio del 26 febbraio 1998 sull’applicazione del regime di fornitura di una rete aperta (ONP) alla telefonia vocale e sul servizio universale delle telecomunicazioni in un ambiente concorrenziale, art. 2, par. 2, lett. f). (12) Cfr. De Streel - Queck, Services d’intérêt économique général et communications électroniques, in Les services d’intérêt économique général et l’Union européenne, a cura di Louiset e Rodrigues, Bruxelles, 2006, 339 ss., 349350.

GIURISPRUDENZA EUROPEA prezzi che si discostano da quelli risultanti dalle normali condizioni di mercato», o addirittura gratuitamente, e il ricorso a specifici meccanismi di finanziamento, anche mediante fondi pubblici (13). Quanto alla disciplina del NUE 112 e al suo ambito di applicazione, l’art. 26, par. 1, della direttiva 2002/22 «servizio universale» obbligava gli Stati membri a provvedere «affinché [….] tutti gli utenti finali di servizi telefonici accessibili al pubblico, ed in particolare gli utenti di telefoni pubblici a pagamento, possano chiamare gratuitamente i servizi di soccorso digitando il numero di emergenza unico europeo “112”» (14). Circa la localizzazione del chiamante l’112, l’art. 26, par. 3, disponeva che «[g]li Stati membri provvedono affinché, per ogni chiamata al numero di emergenza unico europeo “112”, le imprese esercenti reti telefoniche pubbliche mettano a disposizione delle autorità incaricate dei servizi di soccorso, nella misura in cui sia tecnicamente fattibile, le informazioni relative all’ubicazione del chiamante». In sede di attuazione di questa prima fase regolatoria, le principali difficoltà che gli Stati membri hanno dovuto affrontare sono state dovute, sotto il profilo tecnologico, all’enorme diffusione della telefonia mobile cellulare, grazie all’avvento delle reti 2G e 3G, tanto che diverse procedure di infrazione avviate dalla Commissione dal 2006 hanno riguardato l’indisponibilità delle informazioni sulla localizzazione del chiamante in caso di chiamate da telefoni cellulari (15). Pronunciandosi in proposito, la Corte di Giustizia UE ha avuto modo di precisare – in particolare nella sentenza dell’11 settembre 2008 relativa ad un ricorso per infrazione nei confronti della Lituania, richiamata dalla Corte nella sentenza qui in commento – che l’obbligo imposto agli Stati dall’art. 26, par. 3, della direttiva è un obbligo di risultato, il quale «non si limita all’istituzione di un contesto normativo appropriato, ma esige pure che le informazioni sulla localizzazione di tutte le chiamate al numero “112” siano effettivamente trasmesse ai servizi di soccorso», sempre

(13) Cfr. il 4° considerando e gli artt. 12 e 13 della direttiva 2002/22/ CE del Parlamento europeo e del Consiglio del 7 marzo 2002 relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica (direttiva servizio universale). (14) Art. 26, par. 1, della direttiva 2002/22, corsivo nostro. Cfr. Jost, Le numéro d’urgence unique européen: état des lieux et exigences nouvelles, in Revue européenne de droit de la consommation, 2007-2008, 619 ss., 622. (15) La Commissione ha rilevato l’indisponibilità delle informazioni per le chiamate all’112 effettuate da telefoni cellulari in 7 delle 14 procedure di infrazione avviate tra il 2006 e il 2009 per omessa o incompleta attuazione dell’art. 26 della direttiva, ovvero nelle procedure contro Italia, Lettonia, Lituania, Paesi Bassi, Polonia, Romania e Slovacchia. Cfr. il Press Release IP/08/1529 del 16 ottobre 2008, all’indirizzo ˂https://europa. eu/rapid/press-release_IP-08-1529_it.htm˃.

che ciò sia tecnicamente fattibile (16). Nel caso di specie, la violazione addebitata alla Lituania era dipesa dal fatto che i gestori delle reti pubbliche di telefonia mobile non si erano ancora dotati delle strutture tecniche necessarie per l’invio automatico delle informazioni al centro di raccolta delle chiamate di emergenza (17). Sul punto, la Corte ha sostenuto che la non acquisizione o il non adeguamento delle strutture «non possono essere considerati un difetto di fattibilità tecnica nel senso dell’art. 26, par. 3, della direttiva servizio universale» (18). Come noto, il quadro regolatorio europeo delle telecomunicazioni è stato riformato nel 2009 per adeguarlo all’evoluzione tecnologica e ai mutamenti nel mercato delle reti e dei servizi (19). In tale contesto, la “nuova” direttiva servizio universale 2009/136, oltre a constatare che «ai consumatori è ormai offerta una scelta sempre più ampia di fornitori di servizi vocali concorrenti», ha preso atto che con l’evoluzione delle reti verso la tecnologia IP la fornitura di un servizio, inclusi i servizi telefonici accessibili al pubblico, può essere separata dalla fornitura dell’accesso alla rete (20). Ciò spiega la diversa formula in essa utilizzata, rispetto all’originaria direttiva 2002/22, per designare all’art. 26 le imprese che gli Stati devono coinvolgere nella messa a disposizione delle informazioni sulla localizzazione del chiamante il NUE 112, ovvero non più le imprese esercenti reti telefoniche pubbliche – espressione che sottendeva una coincidenza tra gestori di rete, fornitori di accesso alla rete e fornitori di servizi – ma, appunto, le «imprese che forniscono un servizio di comunicazione elettronica che permette di effettuare chiamate nazionali verso uno o più numeri che figurano in un piano di numerazione nazionale», le quali potrebbero non essere anche fornitori di accesso alla rete. La direttiva tuttavia ha optato, nell’immediato, per una differenziazione della disciplina applicabile ai gestori di reti rispetto agli operatori indipendenti dalla rete, che of-

(16) Corte di Giustizia UE, sentenza dell’11 settembre 2008, Commissione c. Repubblica di Lituania, C-274/07, cit., §§ 12, 14, 24 e 40. Nello stesso senso si vedano: Corte di Giustizia UE, sentenza del 25 luglio 2008, Commissione c. Repubblica slovacca, C-493/078, Racc. 2008 I-00120; Corte di Giustizia UE, sentenza del 9 ottobre 2008, Commissione c. Paesi Bassi, C-230/07, Racc. 2008 I-00144. (17) Corte di Giustizia UE, sentenza 11 settembre 2008, C-274/07, cit., § 46. (18) Ibidem, §§ 14-15 e 43. (19) Si veda, tra gli altri, Tosato, L’evoluzione della disciplina comunitaria sulle comunicazioni elettroniche, in Dir. un. eur., 2009, 14, 169 ss.; Argiolas, Il nuovo quadro regolatorio delle comunicazioni elettroniche, in Giorn. dir. amm., 2011, 17, 191 ss.; Sbrescia, L’Europa delle comunicazioni elettroniche, Napoli, 2011. (20) Direttiva 2002/22 come modificata dalla direttiva 2009/136, cit., 15° e 35° considerando.

DIRITTO DI INTERNET N. 4/2019

689

GIURISPRUDENZA EUROPEA frono servizi sulle reti senza gestirle né fornirvi accesso, nel senso di un tendenziale esonero di questi ultimi dagli obblighi imposti ai primi. Al riguardo, è significativo che il preambolo della direttiva, pur constatando come sia «opportuno che gli utenti finali possano chiamare ed avere accesso ai servizi di emergenza utilizzando un qualsiasi servizio telefonico», e affermando quindi che gli Stati membri «dovrebbero provvedere affinché sia garantito un accesso affidabile ed esatto ai servizi di emergenza da parte delle imprese che forniscono agli utenti finali un servizio di comunicazione elettronica che permette di effettuare chiamate verso uno o più numeri che figurano in un piano di numerazione telefonica nazionale», sottolinea che «le imprese indipendenti dalla rete non possono avere un controllo sulla medesima e non sono pertanto in grado di garantire che le chiamate di emergenza effettuate tramite i loro servizi siano instradate con la stessa affidabilità, in quanto i problemi legati all’infrastruttura esulano dal loro controllo», oltre a riconoscere che «[p]er le imprese indipendenti dalla rete la fornitura delle informazioni relative all’ubicazione del chiamante può non essere sempre tecnicamente fattibile» (40° cons.). Da notare che in tale disposizione, che si riferisce perlopiù ai VoIP providers (21), la «non fattibilità tecnica» si ricollega all’impossibilità di ottenere informazioni basate sulle infrastrutture di rete. Uno dei limiti della tecnologia VoIP da cellulare è infatti l’impossibilità di instradare automaticamente le chiamate di emergenza, dal momento che l’accesso a Internet può avvenire da qualsiasi luogo, e ciò impedisce la localizzazione del chiamante mediante sistemi network-based. L’ipotesi di ottenere e utilizzare informazioni handset-based non è neppure contemplata, mentre la sentenza in commento apre esattamente all’uso di tali informazioni registrate dai cellulari smart. Circa l’ambito di applicazione materiale della direttiva, ovvero i «servizi di comunicazione elettronica», il quadro regolatorio del 2009 ne ha mantenuto la definizione basata, in primo luogo, sul principio della separazione della disciplina dei mezzi di trasmissione dalla disciplina dei contenuti, per cui sono «servizi di comunicazione elettronica» i «servizi forniti di norma a pagamento consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche», esclusi i «servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti»; in secondo luogo, sulla tendenziale distinzione dai «servizi

(21) Cfr. Schulzrinne - Tschofenig, Internet Protocol-based Emergency Services, Hoboken, 2013, 275.

690

DIRITTO DI INTERNET N. 4/2019

della società dell’informazione» (22), la cui definizione «abbraccia una vasta gamma di attività economiche che si svolgono on line», la maggior parte delle quali non rientra nel campo di applicazione della normativa «in quanto non consistono interamente o prevalentemente nella trasmissione di segnali su reti di comunicazione elettronica», pur essendo chiaro che «[l]a telefonia vocale e i servizi di posta elettronica» vi rientrano (10° cons.). In sintesi, la disciplina del 2009 ha riconosciuto la presenza e rilevanza sul mercato delle telecomunicazioni di fornitori di servizi di comunicazione indipendenti dalla rete, e l’esigenza di una loro regolazione; tuttavia, nell’immediato li ha essenzialmente esonerati dall’applicazione delle disposizioni sul servizio universale riguardanti il NUE 112, in ragione della loro mancanza di controllo sulle reti oltre che delle difficoltà tecniche di localizzare il chiamante. La normativa ha anche lasciato aperta la questione della riconducibilità o meno dei servizi offerti da tali imprese alla categoria dei «servizi di comunicazione elettronica», in ragione dello stretto ancoraggio della definizione di questi ultimi al criterio tecnico della «trasmissione di segnali» sulla rete.

5. Novità introdotte dal Codice europeo delle comunicazioni elettroniche pertinenti al presente caso

Ci sembra importante accennare brevemente ad alcune rilevanti novità introdotte dalla direttiva 2018/1972 dell’11 dicembre 2018 che istituisce il codice europeo delle comunicazioni elettroniche (d’ora in poi: il Codice), che ha ulteriormente riformato il quadro regolatorio delle comunicazioni elettroniche, e la cui attuazione a decorrere dal 21 dicembre 2020 comporterà l’abrogazione delle direttive che compongono l’attuale «pacchetto telecomunicazioni» (23). Ciò aiuterà a comprendere come la sentenza in commento anticipi taluni aspetti della nuova normativa, attraverso un’interpretazione evolutiva e adeguatrice del quadro regolatorio ancora in vigore alla luce dell’attuale stadio di sviluppo della telefonia digitale e dei soggetti protagonisti nel mercato digitale. Occorre sottolineare anzitutto che alla base della riforma, come rileva la relazione che accompagna la proposta di direttiva della Commissione, vi è la consapevolezza che «[i] consumatori e le imprese si basano sempre più su servizi di dati e di accesso a Internet anziché sulla telefo-

(22) Art. 2, lett. c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, cd. «direttiva quadro», come modificata dalla direttiva 2009/140/CE del 25 novembre 2009. (23) Direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio dell’11 dicembre 2018 che istituisce il codice europeo delle comunicazioni elettroniche (rifusione).

GIURISPRUDENZA EUROPEA nia e su altri servizi di comunicazione tradizionali», e la constatazione che questa evoluzione «ha messo in concorrenza tipologie di operatori di mercato in precedenza sconosciute con operatori della telefonia tradizionale (ad esempio i cosiddetti operatori “OTT” - over-the-top, ossia al di sopra delle reti): fornitori di servizi che offrono un’ampia gamma di applicazioni e servizi, inclusi servizi di comunicazione, su Internet» (24). Il nuovo Codice riconosce che «[t]aluni servizi di comunicazione elettronica di cui alla presente direttiva potrebbero rientrare anche nell’ambito di applicazione della definizione di «servizio della società dell’informazione» di cui all’articolo 1 della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio» (10° cons.), tenendo quindi in maggiore considerazione, rispetto al regime del 2009 attualmente applicabile, l’ipotesi che un servizio della società dell’informazione possa costituire un servizio di comunicazione elettronica. Circa i servizi di telefonia, il Codice, oltre a sostituire il termine «servizio telefonico accessibile al pubblico» con il termine «servizio di comunicazione vocale», ritenuto più attuale e tecnologicamente neutro, constata, con riguardo ai servizi utilizzati per le comunicazioni e ai mezzi tecnici attraverso i quali vengono forniti, che «[s]empre più spesso gli utenti finali sostituiscono la telefonia vocale tradizionale […] con servizi online equivalenti dal punto di vista funzionale, come il Voice over IP (VoIP), i servizi di messaggistica e i servizi di posta elettronica basati sul web». Sottolineando che «[d]al punto di vista dell’utente finale non è rilevante che sia il fornitore a trasmettere i segnali o che la comunicazione avvenga tramite un servizio di accesso a internet», e stante la necessità di «garantire che gli utenti finali e i loro diritti siano efficacemente e ugualmente tutelati quando utilizzano servizi equivalenti dal punto di vista funzionale», il Codice dichiara inoltre di adottare una nuova definizione di servizi di comunicazione elettronica, basata «su un approccio funzionale anziché esclusivamente sui parametri tecnici», che pur continuando a riconoscere la trasmissione di segnali come parametro importante copre «anche altri servizi che permettono la comunicazione» (15° cons.). La nuova direttiva stabilisce inoltre che i «fornitori di servizi di comunicazione interpersonale basati sul numero hanno l’obbligo di fornire accesso ai servizi di emergenza tramite le comunicazioni di emergenza», e sottolinea che gli Stati membri dovrebbero attuare il prima possibile «norme volte ad assicurare l’inoltro e la connessione accurati e affidabili ai servizi di emergenza, al fine di consentire ai fornitori di servizi di comuni (24) Proposta di direttiva del Parlamento europeo e del Consiglio che istituisce il codice europeo delle comunicazioni elettroniche (rifusione), COM/2016/0590 final - 2016/0288 (COD), 2.

cazione interpersonale basati sul numero indipendenti dalla rete di soddisfare gli obblighi inerenti all’accesso ai servizi di emergenza e alla fornitura di informazioni sulla localizzazione del chiamante a un livello comparabile a quello richiesto agli altri fornitori di tali servizi di comunicazione» (286° cons.). Un’ulteriore importante novità è poi la specifica menzione, nelle disposizioni relative alla localizzazione di chi effettua chiamate di emergenza, delle informazioni «fornite da dispositivi mobili avanzati», che «dovrebbero integrare le analoghe informazioni basate sulla rete» (290° cons.). Il nuovo art. 109, par. 6, corrispondente all’art. 26, par. 5, della direttiva «servizio universale», dispone che gli Stati membri «provvedono affinché le informazioni sulla localizzazione del chiamante siano messe a disposizione dello PSAP più adatto senza indugio dopo che è stata stabilita la connessione della comunicazione di emergenza», precisando che tali informazioni «comprendono le informazioni sulla localizzazione basata sulla rete e, ove disponibili, le informazioni sulla localizzazione del chiamante derivanti dai dispositivi mobili».

6. Le soluzioni offerte dalla tecnologia come parametro per definire la portata degli obblighi statali

Tornando alla sentenza in commento, ci sembra anzitutto che essa vada letta e compresa alla luce del dato di fatto della possibilità, già garantita dall’odierna tecnologia digitale, non solo di localizzare con grande precisione la persona che chiama da uno smartphone senza SIM, tramite le coordinate GSSN e i dati wi-fi, ma anche di trasmettere istantaneamente i relativi dati. In effetti, l’intera pronuncia risulta per così dire “guidata dalla tecnologia”, nel senso che l’interpretazione della portata degli obblighi relativi alla messa a disposizione delle informazioni sulla localizzazione del chiamante l’112 è effettuata in considerazione delle soluzioni già attualmente rese disponibili dalla tecnologia digitale, tali per cui secondo la Corte «non può ammettersi» – rectius: non può più ammettersi – «che le chiamate al 112 effettuate da uno smartphone, ancorché sprovvisto di scheda SIM, siano escluse dal campo di applicazione» dei relativi obblighi (§ 23). Esistono infatti tecnologie già disponibili di trasmissione immediata dei dati elaborati dal cellulare, di certo note alla Corte e alla quale probabilmente quest’ultima fa riferimento implicito, anche in considerazione delle misure intraprese dalla Commissione europea per promuoverne l’implementazione. È per questo opportuno farvi accenno. Rilevano in particolare talune soluzioni tecnologiche che consentono l’inoltro automatico ai centri di raccolta delle chiamate di emergenza delle coordinate geografiche del chiamante che utilizza uno smartphone, quali il

DIRITTO DI INTERNET N. 4/2019

691

GIURISPRUDENZA EUROPEA sistema di localizzazione Advanced Mobile Location (AML) o simili. Si tratta di tecnologie di localizzazione integrate nel sistema operativo dei dispositivi, come l’AML (25), o l’Emergency Location Service (ELS) di Google per Android, o funzioni fornite da app apposite, quali Where Are U (26), che in caso di chiamata al numero di emergenza attivano il ricevitore GPS o il Wi-Fi del cellulare, e inviano le coordinate del chiamante, tramite SMS o rete dati, ai servizi di soccorso. Se l’invio delle informazioni avviene tramite rete dati, e se lo smartphone è collegato a Internet, la SIM non è necessaria, anche perché i dati di localizzazione acquisiti sono essi stessi indipendenti dalla SIM, ovvero dall’identificazione dell’utente di una rete mobile. L’AML tuttavia richiede attualmente la presenza di una scheda SIM nel cellulare (27). La pronuncia della Corte può quindi implicare, in vista della futura implementazione del sistema, ampiamente promossa a livello dell’Unione (28), l’obbligo per gli Stati di imporre agli operatori di reti mobili di non impedire l’invio dell’SMS contenente i dati GPS e wi-fi nel caso in cui il cellulare sia privo di SIM, o di fare in modo che l’inoltro del messaggio avvenga in formato digitale. Inoltre, poiché il sistema funziona solo se i centri di raccolta delle chiamate all’112 sono allestiti con la strumentazione necessaria per ricevere i dati provenienti dai dispositivi, la sentenza della Corte appare volta ad accelerare l’implementazione da parte degli Stati delle strutture necessarie a supportare simili soluzioni. Da tale punto di vista, rileva quanto già affermato dalla Corte nel sua giurisprudenza pregressa relativa all’112, laddove ha chiarito che «la non acquisizione o il non adeguamento delle strutture […] non possono essere considerati un difetto di fattibilità tecnica» ai sensi dell’art. 26 della direttiva (29). Alla luce di questi ulteriori elementi, non sembra irragionevole affermare che la condizione della fattibilità tecnica, sancita dall’art. 26 della direttiva, sia intesa e utilizzata dalla Corte, piuttosto che (solo) come limite

(25) Su cui si veda la scheda della European Emergency Number Association (EENA) all’indirizzo ˂https://eena.org/aml/˃. (26) Si veda ˂https://where.areu.lombardia.it/˃. (27) Si veda ˂https://eena.org/wp-content/uploads/2018/11/2018_11_05_ AML_FAQ.pdf?item_id=209˃. (28) La Commissione ha finanziato dal 2016 due progetti di sperimentazione del sistema, volti a promuoverne l’adozione negli Stati membri che ancora non lo supportano, e grazie ai quali esso è ora operativo in 9 Stati membri (Austria, Belgio, Estonia, Finlandia, Irlanda, Islanda, Lituania, Regno Unito e Slovenia). Dal 2018 è in corso il secondo progetto Help 112-II (2018-2020), all’indirizzo ˂https://eena.org/help112-ii/˃, con l’obiettivo dell’implementazione dell’AML in tutti gli Stati membri dall’aprile 2020. (29) Supra, sezione 4.

692

DIRITTO DI INTERNET N. 4/2019

agli obblighi degli Stati, come elemento che invece implica l’obbligo di provvedere. In tale senso l’espressione «a condizione che ciò sia tecnicamente fattibile» nel § 24 della sentenza sembra potersi leggere come significante anche «in quanto tecnicamente fattibile», e l’intero paragrafo sembra potersi parafrasare ulteriormente nei seguenti termini (indichiamo anche qui in corsivo le implicazioni non dette ma presuntivamente presupposte): «l’art. 26, par. 5, della direttiva 2002/22 dev’essere interpretato nel senso che esso impone agli Stati membri, poiché è tecnicamente fattibile grazie alla connettività, l’obbligo di provvedere affinché le imprese interessate mettano gratuitamente a disposizione dell’autorità incaricata delle chiamate di emergenza al 112 effettuate con smartphones, nel momento in cui la chiamata raggiunge tale autorità, le informazioni relative all’ubicazione del chiamante, dotandosi il prima possibile delle strutture di supporto dei sistemi di localizzazione di emergenza quali l’AML, e facendo in modo che le imprese interessate consentano la trasmissione automatica tramite tali sistemi anche se la chiamata è effettuata da uno smartphone sprovvisto di scheda SIM».

7. Le «imprese interessate» a) in caso di telefonata senza SIM effettuata via rete mobile

Nel momento in cui si afferma che gli obblighi relativi alla localizzazione del chiamante l’112 richiedono l’utilizzo delle informazioni handset-based, ovvero dei dati GPS e wi-fi elaborati da un dispositivo mobile intelligente, si pone la questione di quali imprese possano essere qualificate come «imprese interessate», ai sensi dell’art. 26, par. 5, della direttiva, come tali suscettibili di essere obbligate a mettere a disposizione le relative informazioni. Affronteremo tale problema in relazione alle due possibili ipotesi di chiamata da uno smartphone privo di SIM precedentemente individuate, ovvero tramite rete mobile oppure tramite Internet (VoIP), con l’obiettivo di mettere in luce le principali questioni che si pongono e che richiederanno una risposta futura da parte delle istituzioni europee. Nella prima ipotesi, gli operatori delle reti mobili che consentono la chiamata senza SIM, e che sono senz’altro «imprese che forniscono un servizio di comunicazione elettronica che permette di effettuare chiamate nazionali verso uno o più numeri che figurano in un piano di numerazione nazionale», non riescono a localizzare il chiamante attraverso le infrastrutture di rete in quanto non lo identificano; il loro ruolo, come si è accennato, sembra circoscritto a quello di non ostacolare la trasmissione delle informazioni elaborate dal cellulare, nel caso in cui siano disponibili tecnologie di localizzazione di emergenza, come l’AML, l’ELS, o altre applicazioni che consentono l’inoltro automatico dei dati handset-based al momento della chiamata all’112.

GIURISPRUDENZA EUROPEA Quanto alle aziende sviluppatrici delle suddette tecnologie – ovvero, nel caso dell’AML, le quattro principali Telco britanniche e due aziende manifatturiere, Sony e HTC; e Google nel caso dell’ELS – il punto è se queste possano essere considerate «fornitrici di un servizio di comunicazione elettronica che permette di effettuare chiamate nazionali verso uno o più numeri che figurano in un piano di numerazione nazionale» ai sensi dell’art. 26, par. 5, della direttiva, e quindi essere sottoposte dagli Stati a obblighi inerenti la configurazione e le caratteristiche di funzionamento dei sistemi stessi, ad esempio l’obbligo di far sì che non sia richiesta una SIM. Se gli operatori di telecomunicazioni sono certamente «imprese fornitrici di un servizio di comunicazione elettronica che permette di effettuare chiamate nazionali verso uno o più numeri che figurano in un piano di numerazione nazionale», ben più problematica è la qualificazione a tale stregua di Google, delle aziende manifatturiere e di eventuali imprese produttrici di app per la geolocalizzazione d’emergenza. Google come noto offre principalmente servizi della società dell’informazione che non sono servizi di comunicazione elettronica, a partire dal motore di ricerca, e fa parte della categoria dei cd. OverThe-Top (OTT), ovvero imprese «al di sopra della rete», che sfruttano Internet per offrirvi servizi senza essere gestori di reti mobili né fornitori di accesso a Internet – tra le quali, oltre a Google, Yahoo!, Facebook, YouTube, Skype/ Microsoft (30). Tali operatori, come si è visto, in principio non rientrano nell’ambito di applicazione della direttiva 2002/22. Le tecnologie di localizzazione di emergenza in questione potrebbero forse qualificarsi come «servizi di comunicazione elettronica» in quanto, provvedendo all’invio delle informazioni sulla localizzazione del chiamante l’112 tramite rete dati o via SMS, consistono nella «trasmissione di segnali su reti di comunicazione elettronica», e sono a ciò funzionalmente utilizzate, mentre risulta più difficile qualificarli come servizi che permettono «di effettuare chiamate nazionali verso uno o più numeri che figurano in un piano di numerazione nazionale», a meno che la comunicazione dei dati relativi alla localizzazione non venga configurata come parte integrante della chiamata all’112, anche perché funzionalmente utilizzata per effettuare la comunicazione di emergenza. La difficoltà a questo punto sarebbe quella di stabilire se il fornitore di un tale servizio possa essere ritenuto responsabile del medesimo nei confronti degli utenti, criterio di recente individuato dalla Corte di Giustizia per far rientrare un

(30) Tali imprese «presuppongono l’esistenza delle infrastrutture e dei servizi di base di un operatore Telco», e forniscono servizi, contenuti e applicazioni sulle reti traendo «ricavo, in prevalenza, dalla vendita di contenuti e servizi agli utenti finali … e di spazi pubblicitari». AGCOM, Relazione Annuale 2012, 28.

servizio che comprende la trasmissione di segnali nella nozione di «servizio di comunicazione elettronica» (31). Ci limitiamo a osservare che la sentenza in commento sembra favorire l’interpretazione poc’anzi suggerita, e, in tal senso, accelerare l’attuazione di alcuni aspetti del nuovo Codice europeo per le comunicazioni elettroniche, come l’inclusione degli OTT nella sfera di applicazione del quadro regolatorio europeo, in linea, come vedremo tra breve, con un’altra recente pronuncia della stessa Corte.

8. Le «imprese interessate» b) in caso di chiamata effettuata in VoIP

Ci soffermiamo ora sull’ipotesi che lo smartphone privo di SIM, connesso in wi-fi, effettui la chiamata di emergenza in VoIP, cioè tramite Internet, utilizzando un’app idonea quale può essere Skype o altre applicazioni simili che consentano di effettuare chiamate verso la rete telefonica pubblica. In questo caso i dati di geolocalizzazione GPS e wi-fi del cellulare sono con ogni probabilità accessibili all’app utilizzata per la chiamata, quindi dall’impresa editrice della stessa, nonché raccolti dai servizi di geolocalizzazione di società che offrono l’interfaccia a Internet, come Google. Possono tali aziende essere considerate imprese che forniscono un servizio di comunicazione elettronica ai sensi della direttiva 2002/22, e in quanto tali essere obbligate dagli Stati a mettere a disposizione le informazioni possedute sulla localizzazione del chiamante? Per l’azienda che gestisce il motore di ricerca su Internet è presto detto: in questo caso Google non svolge alcuna funzione di trasmissione di segnali (come abbiamo invece ipotizzato in relazione al funzionamento dell’ELS). Per quanto riguarda l’azienda editrice dell’app VoIP, quale Skype, la sua qualificazione come impresa che fornisce un servizio di comunicazione elettronica è stata sino ad ora incerta alla luce della direttiva 2002/22. Anche le imprese produttrici di app VoIP per smartphones sono infatti in genere degli operatori OTT, come tali in principio non rientranti nell’ambito di applicazione della direttiva stessa. Tuttavia, in un’importante sentenza del 5 giugno 2019 che è opportuno richiamare, la Corte di Giustizia ha qualificato la Skype Communications Sàrl come «impresa fornitrice di un servizio di comunicazione elettronica» in relazione a SkypeOut, una funzionalità a pagamento che consente al suo utente di chiamare, a partire da un

(31) Corte di Giustizia UE, sentenza 13 giugno 2019, Google LLC c. Bundesrepublik Deutschland, C-193/18, ECLI:EU:C:2019:498, § 36, si veda in questa Rivista all’indirizzo ˂https://dirittodiinternet.it/la-corte-giustizia-dellunione-europea-servizio-posta-elettronica-gmail-non-costituisce-un-servizio-comunicazione-elettronica-ai-sensi-della-direttiva-ce212002-corte-gius/˃.

DIRITTO DI INTERNET N. 4/2019

693

GIURISPRUDENZA EUROPEA terminale connesso a Internet, numeri fissi o mobili sulla PSTN utilizzando l’Internet Protocol (32). È stato osservato in proposito che tale pronuncia estende per la prima volta a un OTT il quadro regolatorio europeo delle telecomunicazioni, anticipando sotto questo profilo quanto espressamente previsto dal Codice europeo delle comunicazioni elettroniche (33). La sentenza del 5 settembre 2019 in commento ha aggiunto l’affermazione dell’utilizzabilità dei dati handset-based registrati da uno smartphone privo di SIM, aprendo la strada al riconoscimento della possibilità di sottoporre un VoIP provider indipendente dalla rete all’obbligo di mettere a disposizione delle autorità incaricate delle chiamate di emergenza le informazioni sull’ubicazione del chiamante. Potrebbe osservarsi che tali dati non possono essere trasmessi nel momento stesso della chiamata. Si applica in questo caso il limite della fattibilità tecnica all’obbligo di garantire la trasmissione immediata delle informazioni, e in prospettiva, rileva il principio sancito nel Codice europeo delle comunicazioni elettroniche in base al quale «le informazioni sulla localizzazione del chiamante derivate da dispositivi mobili dovrebbero integrare le analoghe informazioni basate sulla rete anche se la localizzazione ottenuta tramite dispositivo mobile può risultare disponibile solo dopo che è stata effettuata la comunicazione di emergenza» (34). Spingendoci ancora un po’ oltre nel prefigurare possibili scenari di regolazione dei servizi di comunicazione interpersonale tramite Internet, potrebbe affermarsi l’obbligo degli Stati di imporre alle imprese indipendenti dalla rete che offrono tali servizi di dotarsi di funzioni di localizzazione di emergenza che consentano la trasmissione immediata dei dati dell’utente quando questo chiama il NUE 112. Su questioni simili potrà subentrare, ai sensi dell’art. 109, par. 8 del nuovo Codice, un intervento regolatorio della Commissione mediante atti delegati, in consultazione con l’Or-

(32) Corte di Giustizia UE, sentenza 5 giugno 2019, Skype Communications Sàrl c. Institut belge des services postaux et des télécommunications, C-142/18, ECLI:EU:C:2019:460, §§ 33-35. La sentenza tra origine da un procedimento instaurato innanzi alla Corte d’appello di Bruxelles dalla Skype contro l’ammenda impostale dell’IBPT per la mancata notifica dei suoi servizi di comunicazione elettronica. La Corte ha precisato che «se è vero che, sul piano tecnico, l’instradamento delle chiamate vocali emesse tramite SkypeOut viene materialmente realizzato […] dagli ISP su Internet e […] dai fornitori di servizi di telecomunicazioni sulla PSTN […], resta il fatto che tale trasmissione avviene in forza di accordi stipulati tra la Skype Communications e detti fornitori di servizi di telecomunicazioni», e «la Skype Communications deve quindi essere considerata responsabile, nei confronti degli utenti della funzionalità SkypeOut […], della trasmissione dei segnali vocali sulla PSTN». (33) Stankey, OTT VoIP Calling Apps are Telecom Services under EU, 6 May 2019, all’indirizzo ˂https://www.dwt.com/insights/2019/06/ ott-voip-calling-apps-are-telecom-services-under˃. (34) Direttiva 2018/1972 (Codice europeo), 290° considerando.

694

DIRITTO DI INTERNET N. 4/2019

gano dei regolatori europei delle comunicazioni elettroniche (BEREC).

9. Il problema della gratuità della raccolta e messa a disposizione dei dati relativi alla localizzazione del chiamante

Secondo il più volte citato § 24 della sentenza, l’art. 26, par. 5, della direttiva 2002/22 «dev’essere interpretato nel senso che esso impone agli Stati membri, a condizione che ciò sia tecnicamente fattibile, l’obbligo di provvedere affinché le imprese interessate mettano gratuitamente a disposizione dell’autorità incaricata delle chiamate di emergenza al 112 le informazioni relative all’ubicazione del chiamante […]». Un problema ulteriore che si presenta nel momento in cui si afferma il dovere di garantire la messa a disposizione dei dati di geolocalizzazione dello smartphone per localizzare il chiamante il NUE 112 è quello della garanzia del carattere gratuito della raccolta e del trasferimento degli stessi, richiesto dalla disciplina del servizio dell’112 sin dalle sue origini in quanto rientrante come si è visto nella disciplina del servizio universale. Il principio è peraltro ribadito anche dal nuovo Codice del 2018, il quale stabilisce all’art. 109, par. 6, che «gli Stati membri provvedono affinché la generazione e la trasmissione delle informazioni sulla localizzazione del chiamante siano gratuite per l’utente finale e per lo PSAP con riguardo a tutte le comunicazioni di emergenza al numero unico di emergenza europeo “112”» (corsivo nostro). La localizzazione del chiamante tramite acquisizione dei dati GPS, tuttavia, non è gratuita, bensì remunerata con… l’acquisizione stessa dei dati. Che la comunicazione dei dati da parte di un utente di un servizio digitale costituisca un corrispettivo della fornitura del servizio stesso, anche se apparentemente gratuito, è espressamente riconosciuto nel nuovo Codice europeo delle comunicazioni elettroniche, laddove si afferma che «il concetto di remunerazione dovrebbe […] ricomprendere le situazioni […] in cui l’utente finale autorizza l’accesso a informazioni senza trasmetterle attivamente, ad esempio i dati personali, incluso l’indirizzo IP, o altre informazioni generate automaticamente» (16° cons.). Il principio è sancito al condizionale e nei considerando, e sembra quindi invitare l’adozione di misure regolamentari ulteriori. Una disciplina più specifica al riguardo è stata introdotta con la direttiva 2019/770/UE relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali, la quale, come è stato rilevato, sancisce «l’espressa qualificazione del trasferimento di dati personali quale corrispettivo nel contratto di fornitura di contenuti o servizi digitali e come obbligazione in

GIURISPRUDENZA EUROPEA tutto assimilabile al pagamento del prezzo» (35), al fine di garantire, secondo il 24° considerando della direttiva stessa, «che i consumatori abbiano diritto a rimedi contrattuali, nell’ambito di tali modelli commerciali». La nuova normativa è suscettibile di assumere un rilievo notevole rispetto agli obblighi del fornitore e ai diritti dell’utente di servizi VoIP mobile circa il trasferimento alle autorità di emergenza dei dati di geolocalizzazione dell’utente, ricavati dallo smartphone. Se si ammette che l’utente paga con i propri dati la localizzazione della chiamata di emergenza, e se il servizio deve essere gratuito, lo Stato potrebbe imporre all’impresa fornitrice del servizio VoIP di garantire il trasferimento dei dati a «risarcimento» del pagamento, e, in caso di mancata prestazione di tale servizio, l’utente potrebbe azionare i rimedi contrattuali previsti. Ma siamo nel campo del futuribile.

10. Conclusione

Con la sentenza in commento la Corte di Giustizia UE ha affermato per la prima volta l’obbligo degli Stati di provvedere affinché i dati GPS e wi-fi di un dispositivo mobile intelligente siano messi a disposizione delle autorità responsabili della gestione delle emergenze in caso di chiamata al NUE 112. L’affermazione di tale obbligo ha importanti, potenziali implicazioni, in particolare: a) nel senso di sollecitare l’adeguamento delle strutture dei centri di raccolta delle chiamate di emergenza affinché supportino le tecnologie digitali già esistenti di trasferimento automatico delle informazioni sulla geolocalizzazione del chiamante (ALM); b) nel senso di estendere la normativa europea sui servizi di comunicazione elettronica ai fornitori di servizi di comunicazione vocale indipendenti dalla rete, affermandone l’obbligo potenziale di mettere a disposizione i dati posseduti sulla geolocalizzazione degli utenti, e anticipando così l’attuazione di taluni aspetti della riforma del settore varata con l’adozione del Codice europeo delle comunicazioni elettroniche. Tali prospettive sollevano questioni ulteriori che spetterà alle istituzioni europee, insieme al BEREC, definire.

(35) Direttiva 2019/770/UE relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali del 20 maggio 2019, su cui si si veda Latte, Dati personali in cambio di contenuto digitale e di servizi digitali: la Direttiva 2019/77/UE, in questa Rivista, 7 agosto 2019, all’indirizzo ˂https://dirittodiinternet.it/dati-personali-cambio-contenuto-digitale-servizi-digitali-la-direttiva-2019770ue/˃.

DIRITTO DI INTERNET N. 4/2019

695

GIURISPRUDENZA COMPARATA

Motori di ricerca, parole chiave e pubblicità illecita online: il Bundesgerichtshof tedesco condanna Amazon per utilizzo ingannevole di un marchio al fine di deviare le ricerche degli utenti verso prodotti concorrenti BUNDESGERICHTSHOF (Corte di Cassazione Federale), sentenza 25 luglio 2019, I ZR 29/18; Pres. Schaffert, Ortlieb Sportartikel GmbH c. www.amazon.de e Amazon.com, Inc. Nell’ambito di un’attività di promozione online che sfrutti un sistema di cd. keyword advertising per consentire agli utenti di rintracciare i prodotti attraverso un motore di ricerca, l’utilizzo, da parte di un operatore di mercato, di una parola-chiave coincidente con altrui marchio registrato – altresì relativo a prodotti concorrenti con quelli pubblicizzati – costituirà una violazione dei diritti di privativa connessi alla tutela del suddetto marchio ogniqualvolta le caratteristiche degli annunci pubblicitari siano tali da determinare il possibile insorgere di un effetto confusorio per i consumatori, ponendo a rischio la capacità di costoro di distinguere i prodotti relativi al marchio protetto da quelli offerti dal concorrente che si avvalga del keyword advertising.

…Omissis… 1. Die Beklagten sind Gesellschaften des Amazon-Konzerns. Die Beklagte zu 1 ist für den technischen Betrieb der Internetseite “www.amazon.de” verantwortlich. Die Beklagte zu 2 tritt auf der von der Beklagten zu 1 betriebenen Internetseite als Verkäuferin unter dem Verkäufernamen “Amazon” auf. Andere Händler bieten dort als “Marketplace-Verkäufer” Produkte an. 2. Die Klägerin stellt Taschen aus wasserdichtem Material und andere Transportbehälter für Outdoor-Aktivitäten her. Einer ihrer Geschäftsführer ist Inhaber der deutschen Wortmarke Nr. 39518381 “ORTLIEB”, die unter anderem für Fahrradtaschen und Lenkertaschen eingetragen ist (Klagemarke). Er ist weiter Inhaber der Unionsmarke EU 9232695 “ORTLIEB”, die ebenfalls unter anderem für Fahrradtaschen Schutz genießt. Die Klägerin ist als exklusive Lizenznehmerin zur Markennutzung berechtigt und zur Rechtsverteidigung autorisiert und verpflichtet. Die Beklagten werden von der Klägerin nicht mit Produkten der Marke ORTLIEB beliefert. Mit Anzeigen, die die Marke ORTLIEB wiedergeben, bewerben sie Angebote von Marketplace-Verkäufern für ORTLIEB-Produkte sowie Angebote der Beklagten zu 2 und Angebote von Marketplace-Verkäufern für Produkte Dritter. […Omissis…] 3. Die Klägerin wendet sich dagegen, dass bei Eingabe der Suchbegriffe “Ortlieb Fahrradtasche”, “Ortlieb Gepäcktasche” und “Ortlieb Outlet” in die Google-Suchfunktion von den Beklagten gebuchte Anzeigen erschienen, die die Wörter “Ortlieb Fahrradtasche”, “Ortlieb Fahrradtasche Zubehör”,

“Lenkertasche Fahrrad Ortlieb” und “Ortlieb Gepäcktaschen” enthielten und mit Angebotslisten auf www.amazon. de verlinkt waren, die neben Ortlieb-Produkten auch Produkte anderer Hersteller zeigten. Die Klägerin bietet ihre Produkte nicht über die Plattform “amazon.de” an. Sie sieht in den mit gemischten Angebotslisten verlinkten Anzeigen eine Verletzung des Rechts an der Marke “ORTLIEB” und nimmt die Beklagten auf Unterlassung und Erstattung vorgerichtlicher Kosten in Anspruch. […Omissis…] 4. Das Landgericht hat der Klage vollumfänglich stattgegeben. Das Berufungsgericht hat das landgerichtliche Urteil insoweit abgeändert, als es die Klage hinsichtlich der Verurteilung der Beklagten zu 2 zur Erstattung der Abmahnkosten abgewiesen und die Kostenentscheidung geändert hat (OLG München, GRUR-RR 2018, 151). Mit der vom Senat zugelassenen Revision, deren Zurückweisung die Klägerin beantragt, erstreben die Beklagten weiterhin die vollständige Abweisung der Klage. […Omissis] 5. Das Berufungsgericht hat weiter mit Recht angenommen, dass die Beklagte zu 1 mit der Benutzung des Zeichens “Ortlieb” ohne Zustimmung des Markeninhabers im geschäftlichen Verkehr ein mit der Klagemarke identisches Zeichen für Waren benutzt hat, die mit denjenigen identisch sind, für die sie Schutz genießt. a) Wer ohne Zustimmung des Inhabers der Marke im geschäftlichen Verkehr ein mit der Marke identisches Zeichen für Waren benutzt, die mit denjenigen identisch sind, für die sie Schutz genießt, kann nach § 14 Abs. 2 Satz 1 Nr. 1, Abs. 5 Satz 1 MarkenG vom Inhaber der Marke bei Wiederho-

DIRITTO DI INTERNET N. 4/2019

697

GIURISPRUDENZA COMPARATA lungsgefahr auf Unterlassung in Anspruch genommen werden. Die Vorschrift des § 14 Abs. 2 Satz 1 Nr. 1 MarkenG setzte zunächst Art. 5 Abs. 1 Satz 1 und 2 Buchst. a der Richtlinie 2008/95/EG (MarkenRL aF) und setzt nunmehr Art. 10 Abs. 1 und 2 Buchst. a der am 12. Januar 2016 in Kraft getretenen Richtlinie (EU) 2015/2436 (MarkenRL nF) um. Sie ist daher richtlinienkonform auszulegen. Nach Art. 5 Abs. 1 Satz 1 und 2 Buchst. a MarkenRL aF gewährt die eingetragene Marke ihrem Inhaber das ausschließliche Recht, Dritten zu verbieten, ohne seine Zustimmung im geschäftlichen Verkehr ein mit der Marke identisches Zeichen für Waren oder Dienstleistungen zu benutzen, die mit denjenigen identisch sind, für die sie eingetragen ist. Nach Art. 10 Abs. 1 und 2 Buchst. a MarkenRL nF erwirbt der Inhaber der Marke mit ihrer Eintragung, unbeschadet der von Inhabern vor dem Zeitpunkt der Anmeldung oder dem Prioritätstag der eingetragenen Marke erworbenen Rechte, das ausschließliche Recht, Dritten zu verbieten, ohne seine Zustimmung im geschäftlichen Verkehr, in Bezug auf Waren oder Dienstleistungen, ein Zeichen zu benutzen, wenn das Zeichen mit der Marke identisch ist und für Waren oder Dienstleistungen benutzt wird, die mit denjenigen identisch sind, für die die Marke eingetragen ist. b) Die Beklagte zu 1 hat die Klagemarke im geschäftlichen Verkehr benutzt. Eine Benutzung im geschäftlichen Verkehr liegt vor, wenn sie im Zusammenhang mit einer auf einen wirtschaftlichen Vorteil gerichteten kommerziellen Tätigkeit und nicht im privaten Bereich erfolgt (vgl. EuGH, Urteil vom 23. März 2010 - C-236/08 bis C-238/08, Slg. 2010, I-2417 = GRUR 2010, 445 Rn. 50 - Google France und Google). Diese Voraussetzungen liegen vor. Die Beklagte zu 1 ist nach den Feststellungen des Berufungsgerichts als Betreiberin der Website für die Verlinkung der Anzeigen mit den Angebotslisten verantwortlich. Sie hat die Klagemarke als Schlüsselwort ausgewählt, um das Erscheinen ihrer Anzeigen auszulösen und die auf ihrer Internetseite zum Verkauf angebotenen Waren zu bewerben (vgl. zur Nutzung eines Kennzeichens als Adword EuGH, Urteil vom 8. Juli 2010 - C-558/08, Slg. 2010, I-6959 = GRUR 2010, 841 Rn. 27 - Portakabin; BGH, Urteil vom 28. Juni 2018 - I ZR 236/16, GRUR 2019, 165 Rn. 60 = WRP 2019, 200 - keine-vorwerk-vertretung, jeweils mwN). c) Die Beklagte zu 1 hat das Zeichen “Ortlieb” auch ohne Zustimmung des Markeninhabers benutzt. d) Die Beklagte zu 1 hat das Zeichen “Ortlieb” für Waren (Fahrradtaschen und Lenkertaschen) benutzt, die mit den Waren identisch sind, für die die Klagemarke Schutz genießt (Fahrradtaschen und Lenkertaschen). e) Das Berufungsgericht ist auch zutreffend davon ausgegangen, dass die Beklagte zu 1 ein mit der Klagemarke identisches Zeichen benutzt hat. Das in den Anzeigen nach einer Google-Suche benutzte Zeichen “Ortlieb” ist mit der Klagemarke “ORTLIEB” identisch. Das Kriterium der Zeichenidentität ist zwar restriktiv auszulegen. Zeichenidentität setzt daher grundsätzlich eine vollständige Übereinstimmung der kollidierenden Zeichen voraus. Unschädlich sind jedoch so geringfügige Unterschiede zwi-

698

DIRITTO DI INTERNET N. 4/2019

schen den Zeichen, dass sie einem Durchschnittsverbraucher entgehen können (vgl. EuGH, Urteil vom 20. März 2003 - C-291/00, Slg. 2003, I-2799 = GRUR 2003, 422 Rn. 50 und 53 - LTJ Diffusien [Arthur/Arthur et Félicie]). Der Umstand, dass das Zeichen “Ortlieb” klein und die Marke “ORTLIEB” groß geschrieben ist, steht der Annahme ihrer Identität nicht entgegen. Beschränken sich die Unterschiede der zu vergleichenden Zeichen auf die Groß- oder Kleinschreibung einer Buchstabenfolge, so führen sie regelmäßig noch nicht aus dem Identitätsbereich heraus (vgl. EuGH, Urteil vom 22. September 2011 - C-323/09, Slg. 2011, I-8664 = GRUR 2011, 1124 Rn. 33 - Interflora und Interflora British Unit [INTERFLORA]; BGH, GRUR 2018, 924 Rn. 40 - ORTLIEB I; GRUR 2019, 522 Rn. 20 - SAM). 6. Das Berufungsgericht hat weiterhin mit Recht angenommen, dass die Benutzung des Zeichens “Ortlieb” durch die Beklagte zu 1 die Herkunftsfunktion der Klagemarke “ORTLIEB” beeinträchtigen kann. […Omissis] 7. a) Nach der Rechtsprechung des Gerichtshofs der Europäischen Union kann der Inhaber einer Marke der Benutzung eines mit dieser identischen Zeichens für Waren oder Dienstleistungen, die mit denjenigen identisch sind, für die die Marke eingetragen ist, nur widersprechen, wenn die Benutzung eine der Funktionen der Marke beeinträchtigen kann. Zu den Funktionen der Marke gehören neben der Hauptfunktion, der Gewährleistung der Herkunft der Ware oder Dienstleistung, auch deren anderen Funktionen wie etwa die Gewährleistung der Qualität der mit ihr gekennzeichneten Ware oder Dienstleistung oder die Kommunikations-, Investitions- oder Werbefunktion (vgl. EuGH, Urteil vom 18. Juni 2009 - C-487/07, Slg. 2009, I-5185 = GRUR 2009, 756 Rn. 58 - L‘Oréal u.a.; EuGH, GRUR 2010, 445 Rn. 76 f. - Google France und Google; GRUR 2010, 841 Rn. 29 f. - Portakabin). Nach der Rechtsprechung des Senats liegt eine beeinträchtigende Benutzung des Zeichens vor, wenn es durch Dritte markenmäßig oder - was dem entspricht - als Marke verwendet wird und diese Verwendung die Funktionen der Marke und insbesondere ihre wesentliche Funktion, den Verbrauchern die Herkunft der Waren oder Dienstleistungen zu garantieren, beeinträchtigt oder beeinträchtigen kann (vgl. BGH, GRUR 2018, 924 Rn. 25 - ORTLIEB I; GRUR 2019, 522 Rn. 25 - SAM, jeweils mwN). b) Die Frage, ob die herkunftshinweisende Funktion beeinträchtigt wird, wenn Internetnutzern anhand eines mit der Marke identischen Schlüsselworts die Werbeanzeige eines Dritten gezeigt wird, hängt nach der Rechtsprechung des Gerichtshofs der Europäischen Union davon ab, wie diese Anzeige gestaltet ist. Die herkunftshinweisende Funktion der Marke ist beeinträchtigt, wenn aus der Anzeige für einen normal informierten und angemessen aufmerksamen Internetnutzer nicht oder nur schwer zu erkennen ist, ob die in der Anzeige beworbenen Waren oder Dienstleistungen von dem Inhaber der Marke oder einem mit ihm wirtschaftlich verbundenen Unternehmen oder vielmehr von einem Dritten stammen. Ob nach

GIURISPRUDENZA COMPARATA diesen Grundsätzen eine Beeinträchtigung der herkunftshinweisenden Funktion vorliegt oder vorliegen kann, ist Sache der Würdigung durch das nationale Gericht (vgl. EuGH, GRUR 2010, 445 Rn. 83 f. - Google France und Google; EuGH, Urteil vom 25. März 2010 - C-278/08, Slg. 2010, I-2520 = GRUR 2010, 451 Rn. 35 - BergSpechte; EuGH, GRUR 2010, 841 Rn. 34 - Portakabin; BGH, GRUR 2018, 924 Rn. 45 - ORTLIEB I). Im Revisionsverfahren sind diese im Wesentlichen vom Tatgericht zu treffenden Feststellungen zur Verkehrsauffassung nur darauf zu überprüfen, ob das Gericht bei seiner Würdigung gegen Denkgesetze oder Erfahrungssätze verstoßen oder wesentliche Umstände unberücksichtigt gelassen hat (vgl. BGH, Urteil vom 17. Oktober 2018 - I ZR 136/17, GRUR 2019, 79 Rn. 29 = WRP 2019, 73 - Tork, mwN). c) Das Berufungsgericht hat angenommen, die herkunftshinweisende Funktion der Marke sei beeinträchtigt, weil der angesprochene Verkehr erwarte, beim Anklicken der Anzeigen Angebote von Ortlieb gezeigt zu bekommen. Die Gestaltung der Anzeigen gebe dem Verkehr keinerlei Veranlassung anzunehmen, ihm werde eine Angebotsübersicht präsentiert, in der ohne gesonderte Kenntlichmachung neben Ortlieb-Produkten gleichrangig Angebote anderer Hersteller enthalten seien. Diese Erwartung werde durch die in den Anzeigen selektiv wiedergegebenen URLs verstärkt, die allein die Begriffe aus der ersten Zeile der Anzeige verbunden mit einem “+”-Zeichen nach der Angabe “www.amazon.de/” oder “amazon.de/” enthielten. Damit werde dem Verkehr suggeriert, er gelange durch Anklicken der Anzeige zu der Webseite “www.amazon.de” und zwar dort zu einer Zusammenstellung von Angeboten, die die genannten Kriterien erfüllten, somit also zu entsprechenden Produkten der Marke Ortlieb. Gegen diese Beurteilung des Tatgerichts wendet sich die Revision ohne Erfolg. d) Die Revision rügt vergeblich, das Berufungsgericht stelle rechtsfehlerhaft darauf ab, die Alternativangebote würden nicht abgesetzt von den in der Trefferliste ebenfalls angezeigten Ortlieb-Produkten präsentiert. Anders als in dem Verfahren “ORTLIEB I” (BGH, GRUR 2018, 924 Rn. 47) hat das Berufungsgericht eine Beeinträchtigung der Herkunftsfunktion nicht allein in der fehlenden Trennung von tatsächlich passenden Treffern und sonstigen Produkten in der Ergebnisliste gesehen. Vielmehr hat es die Beeinträchtigung der Her kunftsfunktion aus der konkreten Gestaltung der Anzeige im Zusammenspiel mit der gemischten Ergebnisliste, die sowohl Produkte des Markeninhabers als auch Produkte Dritter zeigt, hergeleitet. Dabei hat es insbesondere auf die selektiv wiedergegebenen URLs abgestellt, aufgrund deren der Verkehr gerade mit spezifisch zur Anzeige passenden Angeboten rechne. Diese Beurteilung verstößt nicht gegen Denkgesetze oder Erfahrungssätze. Die Revision setzt lediglich in revisionsrechtlich unzulässiger Weise ihre eigene Auffassung an die Stelle der vom Tatgericht vorgenommenen, nicht erfahrungswidrigen Sachverhaltsbewertung. 8. Die Revision wendet sich im Ergebnis auch ohne Erfolg gegen die Annahme des Berufungsgerichts, Erschöpfung gemäß § 24 Abs. 1 MarkenG sei nur insoweit eingetreten, als die An-

zeige sich auf Ortlieb-Produkte beziehe. Mit dieser Begründung kann zwar eine Erschöpfung nicht verneint werden. Die Klägerin kann sich der Zeichenverwendung aber gemäß § 24 Abs. 2 MarkenG widersetzen. a) Die Beurteilung der Erschöpfung im Sinne von § 24 Abs. 1 MarkenG durch das Berufungsgericht hält der rechtlichen Nachprüfung nicht stand. aa) Nach § 24 Abs. 1 MarkenG hat der Inhaber einer Marke nicht das Recht, einem Dritten zu untersagen, die Marke für Waren zu benutzen, die unter dieser Marke von ihm oder mit seiner Zustimmung im Inland, in einem der übrigen Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum in den Verkehr gebracht worden sind. Die Erschöpfung tritt vorbehaltlich § 24 Abs. 2 MarkenG hinsichtlich aller Handlungen ein, die nach § 14 Abs. 3 und 4 MarkenG eine Verletzung der Marke darstellen können. Sie erfasst insbesondere das in § 14 Abs. 3 Nr. 6 MarkenG nF (§ 14 Abs. 3 Nr. 5 MarkenG aF) genannte Ankündigungsrecht, weshalb Waren, die mit einer Marke gekennzeichnet sind, bei ihrem Weitervertrieb durch Dritte grundsätzlich unter ihrer Marke beworben werden können (vgl. BGH, GRUR 2019, 165 Rn. 32 - keine-vorwerk-vertretung, mwN). Die Vorschrift des § 24 MarkenG setzt Art. 15 MarkenRL nF (Art. 7 der MarkenRL aF) um und ist mithin richtlinienkonform auszulegen. bb) Aus dem Tatbestandsmerkmal der Benutzung der Marke “für Waren” in § 24 Abs. 1 MarkenG folgt, dass Erschöpfung nur an Originalprodukten eintreten kann. Daran fehlt es, wenn die Werbung entweder nicht produktbezogen, sondern unternehmensbezogen erfolgt oder sich auf andere Produkte als Originalprodukte bezieht (BGH, GRUR 2019, 165 Rn. 53 - keine-vorwerk-vertretung, mwN). Soweit der Bundesgerichtshof bisher einen Warenbezug verneint hat, wenn die Werbung sich auf andere Produkte als Originalprodukte bezieht (vgl. BGH, Urteil vom 8. Februar 2007 - I ZR 77/04, GRUR 2007, 784 Rn. 21 = WRP 2007, 1095 - AIDOL, mwN), stand allerdings nicht der - im Streitfall gegebene - gleichzeitige Vertrieb von Konkurrenzprodukten neben Originalprodukten in Rede. Auf die Situation des Wiederverkäufers, der neben Produkten des Markenherstellers Produkte anderer Hersteller vertreibt, ist diese Rechtsprechung nicht ohne weiteres übertragbar (vgl. BGH, GRUR 2019, 165 Rn. 53 - keine-vorwerkvertretung, mwN). Nach der Rechtsprechung des Gerichtshofs der Europäischen Union steht der Umstand, dass der Wiederverkäufer neben Produkten des Markenherstellers auch Konkurrenzprodukte anbietet, der Verwendung der Marke in der Werbung nicht entgegen, sofern der Markeninhaber sich dieser Verwendung nicht aus berechtigten Gründen im Sinne von Art. 15 Abs. 2 MarkenRL nF (Art. 7 Abs. 2 MarkenRL aF) widersetzen kann (vgl. EuGH, GRUR 2010, 841 Rn. 91 - Portakabin). Der Umstand, dass der Internetnutzer bei der Verwendung der Marke als Schlüsselwort beim Anklicken der Werbeanzeige - wie im Streitfall - auf Internetseiten geleitet wird, auf denen neben Originalprodukten auch Produkte anderer Marken angeboten werden, hindert danach die Erschöpfung

DIRITTO DI INTERNET N. 4/2019

699

GIURISPRUDENZA COMPARATA nicht, sofern die berechtigten Interessen des Markeninhabers gewahrt bleiben (vgl. EuGH, GRUR 2010, 841 Rn. 87, 91 f. - Portakabin). Die vom Gerichtshof angestellte Erwägung, ein auf den Verkauf von Gebrauchtwaren einer fremden Marke spezialisierter Wiederverkäufer könne seine Kunden auf sein Geschäft ohne die Benutzung der Marke praktisch nicht hinweisen (vgl. EuGH, Urteil vom 23. Februar 1999 - C-63/97, Slg. 1999, I-905 = GRUR Int. 1999, 438 Rn. 53 - BMW; GRUR 2010, 841 Rn. 90 - Portakabin), gilt in gleicher Weise für den Wiederverkäufer, der - wie die Beklagte zu 1 - nicht mit dem Markeninhaber wirtschaftlich verbunden ist und außerhalb der Vertriebsorganisation des Markenherstellers neben Fremdprodukten auch Neuwaren des Markeninhabers anbietet (vgl. BGH, GRUR 2019, 165 Rn. 54 - keine-vorwerk-vertretung). b) Die Klägerin kann sich der Zeichenverwendung aber gemäß § 24 Abs. 2 MarkenG widersetzen. aa) Nach § 24 Abs. 2 MarkenG findet die Regelung über Erschöpfung von Markenrechten gemäß § 24 Abs. 1 MarkenG keine Anwendung, wenn sich der Inhaber der Marke der Benutzung der Marke im Zusammenhang mit dem weiteren Vertrieb der Waren aus berechtigten Gründen widersetzt, insbesondere wenn der Zustand der Waren nach ihrem Inverkehrbringen verändert oder verschlechtert ist. Ein berechtigter Grund im Sinne dieser Vorschrift liegt auch vor, wenn die konkrete Verwendung die Herkunfts- und Garantiefunktion des Zeichens verletzt oder die Unterscheidungskraft oder die Wertschätzung der Marke in unlauterer Weise ausnutzt oder beeinträchtigt (vgl. BGH, GRUR 2019, 165 Rn. 76 - keine-vorwerk-vertretung, mwN; zu Art. 7 Abs. 2 MarkenRL aF vgl. EuGH, GRUR Int. 1999, 438 Rn. 51 f. - BMW; GRUR 2010, 841 Rn. 79 f. - Portakabin; zu Art. 15 Abs. 2 UMV vgl. BGH, Urteil vom 28. Juni 2018 - I ZR 221/16, GRUR 2019, 76 Rn. 26 = WRP 2019, 77 - beauty for less, mwN). Der Markeninhaber kann sich gemäß § 24 Abs. 2 MarkenG auch einer irreführenden Verwendung widersetzen, mittels deren Kunden zum Angebot von Fremdprodukten geleitet werden (vgl. BGH, GRUR 2019, 165 Rn. 78 - keine-vorwerkvertretung). Daraus folgt, dass Umstände, unter denen der Markeninhaber gemäß § 14 Abs. 2 Nr. 1 MarkenG berechtigt ist, die Benutzung eines mit der Marke identischen Zeichens durch einen Werbenden als Schlüsselwort zu verbieten, das heißt Umstände, unter denen für einen normal informierten und angemessen aufmerksamen Internetnutzer nicht oder nur schwer zu erkennen ist, ob die in der Anzeige beworbenen Waren oder Dienstleistungen von dem Inhaber der Marke oder einem mit ihm wirtschaftlich verbundenen Unternehmen oder vielmehr von einem Dritten stammen, einer Situation entsprechen, in der § 24 Abs. 2 MarkenG anwendbar ist und in der sich folglich der Werbende nicht auf die Erschöpfungsregel des § 24 Abs. 1 MarkenG berufen kann (zu Art. 7 Abs. 2 MarkenRL aF vgl. EuGH, GRUR 2010, 841 Rn. 81 - Portakabin). bb) Danach kann

700

DIRITTO DI INTERNET N. 4/2019

die Klägerin gegen die Einrede der Erschöpfung berechtigte Gründe im Sinne von § 24 Abs. 2 MarkenG geltend machen. (1) Das Berufungsgericht hat festgestellt, der Verkehr erwarte, dass ihm beim Anklicken der streitgegenständlichen Anzeigen Angebote der dort beworbenen Produkte - Fahrradtaschen von Ortlieb, Fahrradtaschen und Zubehör von Ortlieb, Lenkertaschen von Ortlieb oder Gepäcktaschen von Ortlieb - gezeigt würden. Die Angabe des verkürzten URL unter dem Text der Anzeige suggeriere ihm, er werde durch Anklicken der Anzeige auf die Webseite “www.amazon.de” und zwar dort zu einer Zusammenstellung von Angeboten gelangen, die die genannten Kriterien erfüllen, mithin (allein) zu Produkten der Marke Ortlieb. Der Kunde rechne mit spezifisch zur Anzeige passenden Angeboten. (2) Nach diesen Feststellungen, die revisionsrechtlich nicht zu beanstanden und insbesondere nicht erfahrungswidrig sind, wird die Klagemarke in den Anzeigen aufgrund der konkreten Gestaltung irreführend verwendet, so dass Kunden durch die auf diese Weise ausgebeutete Werbewirkung der Marke (auch) zum Angebot von Fremdprodukten geleitet werden (vgl. BGH, GRUR 2019, 165 Rn. 78 - keine-vorwerk-vertretung). Dieser Verwendung der Marke kann sich die Klägerin widersetzen. […Omissis…] 9. Eine Vorlage an den Gerichtshof der Europäischen Union nach Art. 267 Abs. 3 AEUV ist nicht veranlasst (vgl. EuGH, Urteil vom 6. Oktober 1982 - C-283/81, Slg. 1982, 3415 = NJW 1983, 1257 Rn. 21 - Cilfit u.a.; Urteil vom 1. Oktober 2015 - C-452/14, GRUR Int. 2015, 1152 Rn. 43 - Doc Generici, mwN). Im Streitfall stellt sich keine entscheidungserhebliche Frage zur Auslegung des Unionsrechts, die nicht bereits durch die Rechtsprechung des Gerichtshofs geklärt oder nicht zweifelsfrei zu beantworten ist. Die Frage, ob im Einzelfall ein berechtigter Grund im Sinne von § 24 Abs. 2 MarkenG (Art. 7 Abs. 2 MarkenRL aF; Art. 15 Abs. 2 MarkenRL nF) vorliegt, ist nach der Rechtsprechung des Gerichtshofs der Europäischen Union von den nationalen Gerichten zu beantworten (vgl. EuGH, GRUR 2010, 841 Rn. 82 - Portakabin). […Omissis…] 10. Danach ist die Revision der Beklagten mit der Kostenfolge aus § 97 Abs. 1 ZPO zurückzuweisen. Der Senat kann in der Sache selbst entscheiden, da weitere Feststellungen nicht zu treffen sind (§ 563 Abs. 3 ZPO). Die im Rahmen von § 24 Abs. 2 MarkenG maßgeblichen Umstände entsprechen denen, die das Berufungsgericht bei der Anwendung des § 14 Abs. 2 Satz 1 Nr. 1 MarkenG geprüft hat (vgl. EuGH, GRUR 2010, 841 Rn. 81 - Portakabin). Damit kann insoweit auf die vom Berufungsgericht in diesem Zusammenhang getroffenen Feststellungen zurückgegriffen werden.

GIURISPRUDENZA COMPARATA

IL COMMENTO

di Antonio Davola Sommario: 1. Svolgimento del processo e motivi della decisione del Bundesgericthshof. – 2. Il tema: marchi e keyword advertising. – 3. Il marchio e le sue funzioni quali elemento essenziale per la valutazione di liceità. – 4. La linearità della Corte di Giustizia, e la distonia del Bundesgerichthof. – 5. Implicazioni in ottica comparata: cosa sarebbe accaduto in Italia? Il commento analizza i profili di legittimità concernenti l’utilizzo – da parte di terzi – di marchi soggetti a privativa, nell’ambito di attività promozionali online che sfruttino lo strumento del keyword advertising. In particolare, muovendo da una recente sentenza della Corte di Cassazione Federale tedesca (Bundesgerichtshof), la riflessione si concentra sui profili di discontinuità che le statuizioni del giudice nazionale presentano rispetto alle – apparentemente univoche – indicazioni fornite dalla Corte di Giustizia dell’Unione Europea in occasione delle decisioni rese in casi analoghi. Come si avrà modo di rilevare, la valutazione di liceità circa tali condotte è rimessa ad un apprezzamento casistico, che valorizzi la natura funzionalistica della disciplina in materia di marchi (con precipuo riferimento al bene giuridico tutelato e alle diverse funzioni che il marchio concretamente svolge nelle relazioni commerciali) all’interno del naturale dispiegarsi dei paradigmi competitivi. In chiusura, il contributo presenta una digressione in prospettiva comparata, analizzando i possibili esiti della controversia in oggetto, qualora essa fosse stata sollevata di fronte ad un giudice italiano. The work is focuses on the requirements in order to assess whether the use, by third parties, of protected trademarks as keywords to promote their products online might constitute an infringement of the rights conferred to the owner of the trademark. Moving from a recent decision rendered by the German Federal Court of Justice (Bundesgerichtshof), I investigate how the decision of the German judge marks a significant divide from the indication that the Court of Justice of the European Union repeatedly provided, when dealing with the topic of keyword advertising. It will be noted, in particular, that the lawfulness evaluation of such activities shall be appreciated through a case-by-case analysis by the Member State judge and that, in doing so, attention shall be devoted to the concrete role that trademarks are supposed to play in market dynamics, considering the concurrent need of promoting competition amongst producers. In the last part of the comment, a comparative evaluation is offered: in particular, I focus on which judgement would have been – allegedly – rendered if the case was presented in front of an Italian court, rather than a German one.

1. Svolgimento del processo e motivi della decisione del Bundesgericthshof

La ricorrente è una società produttrice di sacchetti impermeabili e contenitori per il trasporto, la quale opera e commercializza i propri prodotti con il nome Ortlieb. Ortlieb detiene una licenza esclusiva per il relativo marchio denominativo tedesco (“ORTLIEB”). Tra i prodotti suscettibili di protezione rientrano, tra gli altri, borse sportive e per il tempo libero. Gli imputati sono società del gruppo Amazon: in particolare, l’imputato 1 è responsabile del funzionamento tecnico del sito web www.amazon.de, mentre l’imputato 2 è il venditore che su tale sito web opera con il nome del venditore “Amazon”. Nel giudizio l’attrice contesta il fatto che, inserendo i termini di ricerca “Ortlieb bicycle bag”, “Ortlieb luggage bag” e “Ortlieb outlet” nella funzione di ricerca del motore di ricerca online Google, compaiono pubblicità prenotate dagli imputati che contengono le parole “Ortlieb bicycle bag”, “Ortlieb bicycle bag accessories”, “Ortlieb bicycle bag bicycle bag bicycle bag”, “Ortlieb bicycle bag accessories”, “Ortlieb manubrio Ortlieb bicycle bag” e “Ortlieb luggage bags”. Tali pubblicità sono tuttavia collegate a liste presenti su www.amazon.de, che mostrano prodotti di altri produttori: la ricorrente, inftti, non offre i propri prodotti attraverso la piattaforma “amazon.de”. Di conseguenza, la ricorrente ravvede in tali annunci una violazione dei diritti connessi alla tu-

tela del marchio “ORTLIEB” e chiede ai convenuti la cessazione della condotta attraverso un provvedimento ingiuntivo, nonché il rimborso delle spese processuali. A fronte di un primo accoglimento della domanda attorea da parte del Tribunale regionale (Landgericht), il ricorso degli imputati è stato altresì respinto in Corte d’Appello (Berufungsgericht): la Corte ha ravvisato, difatti, una violazione del §14(2) No. 1, (5) della legge tedesca sulla protezione dei marchi (Gesetz über den Schutz von Marken und sonstigen Kennzeichen - MarketG). In particolare, la Corte ha constatato una compromissione della funzione di origine del marchio, derivante dalla presentazione di prodotti sviluppati da terzi quale risultato (“hit”) di una ricerca espressamente rivolta a prodotti “Orlieb”. La Corte d’Appello, in particolare ha modificato la sentenza del Tribunale regionale esclusivamente nella misura in cui ha respinto il reclamo relativo alla condanna del convenuto alle spese di diffida, permanendo inalterata la decisione del Landesgericht per la sua restante parte. Interpellata sul tema, la Corte Federale di Giustizia (Bundesgerichtshof) ha respinto nuovamente il ricorso dell’imputato, allineandosi alla Corte d’Appello nel ritenere che l’attore potesse vietare ai convenuti l’uso del marchio “Ortlieb” nelle pubblicità oggetto della causa, perché l’uso effettivo di questo risultava fuorviante per i consumatori.

DIRITTO DI INTERNET N. 4/2019

701

GIURISPRUDENZA COMPARATA Ha osservato la Corte che, in linea di principio, il fatto che un commerciante offra anche prodotti concorrenti oltre a quelli del titolare del marchio – rinvenuti dagli utenti a seguito di una ricerca operata online – non impedisce di per sé che il marchio venga utilizzato per pubblicizzare tali prodotti, a condizione che siano salvaguardati i legittimi interessi del titolare del marchio. Se il marchio viene utilizzato in modo ingannevole in occasione della ricerca online, a causa del design concreto della pubblicità, spetta al titolare del marchio il diritto di opporsi. In particolare, ad avviso della Corte, è ragionevole ritenere che il pubblico si aspetti che, cliccando sugli annunci in questione, l’azienda Ortlieb mostrerà loro le offerte dei propri prodotti ivi pubblicizzati - tra cui borse per biciclette, borse da manubrio e borse da bagaglio. Il concreto design degli annunci non dà al pubblico alcun motivo per ritenere che, invece, sia presentata ad essi una panoramica di offerte che ricomprende prodotti sviluppati da terze parti, mostrati su un piano di parità con i prodotti Ortlieb e senza identificazione separata. In particolare, gli indirizzi abbreviati delle pagine Internet sotto il testo degli annunci (ad es. www.amazon.de/ ortlieb+bicycle bag) suggeriscono che tali link portino ad una raccolta di offerte sul sito www.amazon.de idonea a soddisfare i criteri di ricerca menzionati, ossia che presenti (solo) prodotti a marchio Ortlieb. Poiché i clienti, i quali si aspettano offerte che corrispondono specificamente alla pubblicità, sono invece condotti di fronte ad offerte relative a prodotti di terzi, il marchio dell’attore viene invero utilizzato in modo fuorviante. Di conseguenza sensi del §14 (7) MarkenG in materia di “diritto esclusivi del proprietario di un marchio, provvedimento ingiuntivo, richiesta di risarcimento danni” (Ausschließliches Recht des Inhabers einer Marke, Unterlassungsanspruch, Schadensersatzanspruch), Amazon è responsabile per la violazione del marchio commessa da www. amazon.de, nella misura in cui offre essa stessa prodotti di terzi sulle pagine internet collegate alle pubblicità ingannevoli.

2. Il tema: marchi e keyword advertising

La decisione resa dalla Corte di Cassazione Federale tedesca si pone all’interno della riflessione condotta – a livello nazionale e comunitario – in merito ai profili di liceità relativi all’impego di cd. keyword (lett. “parole chiave”) nell’ambito dei servizi di posizionamento su internet: in particolare, il nodo giuridico oggetto di controversia concerne la possibilità per il titolare di un marchio di impedire a terzi concorrenti la scelta del medesimo segno quale parola chiave al fine di collocare inserzioni pubblicitarie sui motori di ricerca.

702

DIRITTO DI INTERNET N. 4/2019

A fronte della pacifica riconduzione, ad opera delle corti europee, della scelta di una parola chiave corrispondente ad un marchio ad un uso “nel commercio” dello stesso (1) – posizione, questa, coerente con l’interpretazione offerta dalle corti federali statunitensi (2) – ancora incerti appaiono i termini di liceità del divieto di utilizzo del marchio nei casi nei quali si concretizzi una situazione di cd. “doppia identità” legata all’uso di segni identici per prodotti identici (o quantomeno concorrenti), suscettibile di compromettere la funzione economica del marchio. (3) È questo un tema complesso, il quale coinvolge – da un lato – l’opportunità di un progressivo ampliamento dei confini di tutela riservata ai marchi a seguito dell’innovazione tecnologica legata all’e-commerce, e che al contempo – dall’altro lato – pone in relazione tale protezione con il (talvolta confliggente) interesse a favorire il libero dispiegarsi dei processi concorrenziali. (4) In una sorta di “limbo” tra i due poli si pone, inoltre, l’interesse generale dei consumatori a ricevere comunicazioni chiare e non ingannevoli nel corso del processo di ricerca e scelta dei prodotti di proprio interesse, contestualizzando il marchio all’interno di un “ambiente” informativo appropriato. Aspetto, quest’ultimo, che ha assunto in particolare ruolo centrale nel guidare la decisione resa dalla Corte tedesca, e che probabilmente ne marca il principale profilo di distonia rispetto alle

(1) V. CGUE, 23 Marzo 2010, cause riunite da C-236/08 a C-238/08, Google France, in Raccolta 2010, I-02417, con commento di Cornthwaite, To Key or Not to Key? The Judgment of the European Court of Justice in the Google France AdWords cases, in Eur. Int. Prop. Rev., 2010, VII, 352; Spedicato, La sottile linea di confine tra esclusiva sul segno e usi leciti del marchio altrui: prime riflessioni sulla giurisprudenza comunitaria in materia di keyword advertising, in Dir. inf. e inform., 2010, IV-V, 731; Ricolfi, Motori di ricerca, link sponsorizzati e diritto dei marchi: il caso Google di fronte alla Corte di giustizia, in Giur. It., 2010, VII, 1603; Tavella-Bonavita, La Corte di giustizia sul caso “AdWords”: tra normativa marchi e commercio elettronico, in Dir. ind., 2010, V, 441. (2) V. Rescuecom Corp. v. Google Inc., 562 F.3d 123 (2nd Cir. 2009); 1-800 Contacts, Inc. v. WhenU.com, Inc., 414 F.3d 400 (2nd Cir. 2005); S&L Vitamins, Inc. v. Australian Gold, Inc., 521 F. Supp. 2d 188 (E.D.N.Y. 2007); Merck & Co., Inc. v. Mediplan Health Consulting, Inc., 425 F. Supp. 2d 402 (S.D.N.Y. 2006). Cfr. altresì, Colangelo, Marchi e keyword advertising dopo il caso Interflora: un’analisi comparata della disciplina comunitaria e statunitense, in Nuova giur. civ. comm., 2012, 1, 78. (3) Sironi, La tutela del marchio nell’ipotesi di uso di segni identici per prodotti o servizi identici, in Aa. Vv., Studi di diritto industriale in onore di Adriano Vanzetti, Milano, 2004; De Rose, L’Arsenal football club salva il suo marchio dagli abusi, in Cons. St., 2003, II, 381. (4) Cfr. Senftleben, Adapting EU Trademark Law to New Technologies – Back to Basics?, in Constructing European Intellectual Property: Achievements and New Perspectives, a cura di Geiger, Cheltenham, 2011; Dinwoodie-Janis, Confusion Over Use: Contextualism in Trademark Law, in 92 Iowa L. Rev., 2007, 1597; Dogan-Lemley, Trademarks and Consumer Search Costs on the Internet, in 41 Hous. L. Rev., 2004, 777; Galli, L’allargamento della tutela del marchio e i problemi di internet, in Riv. dir. ind., 2002, 106.

GIURISPRUDENZA COMPARATA indicazioni desumibili dalla giurisprudenza comunitaria esistente sul tema. Proprio in merito alla legittimità dell’utilizzo di keywords relative a marchi concorrenti, difatti, la Corte di Giustizia ha avuto modo di pronunciarsi nel corso dello scorso decennio attraverso una serie di arresti, i quali trovano sviluppo a partire dal caso Google France e la più recente enucleazione nel cd. Caso Interflora. (5) Al fine di contestualizzare adeguatamente il panorama interpretativo delineato dalle corti europee giova, tuttavia, operare una premessa relativa alle funzioni attribuite da dottrina e giurisprudenza all’istituto dei marchi: tale aspetto, infatti, è essenziale ai fini dell’individuazione del bene giuridico protetto e, di conseguenza, centrale nella disamina in merito ai potenziali profili di illegittimità relativi all’utilizzo del marchio tramite keyword, ad opera di terzi concorrenti.

3. Il marchio e le sue funzioni quali elemento essenziale per la valutazione di liceità

Nel tentativo di definire un paradigma di analisi per i fenomeni di interazione tra marchi protetti e keyword advertising, è stato innanzitutto osservato che qualunque considerazione in termini di liceità debba essere condotta con precipuo riferimento alle diverse funzioni che i marchi assumono nella dinamica commerciale: è, infatti, dalla compromissione di queste che dovrà discendere la valutazione di immeritevolezza della condotta. È dunque necessario fare riferimento alla (essenziale) funzione d’origine del marchio, nonché a quelle di comunicazione, pubblicità e investimento. (6) Si noti che la violazione di ognuna di tali funzioni andrà valutata secondo un approccio di tipo casistico, il quale prenda in considerazione le concrete modalità con le quali l’annuncio pubblicitario viene presentato ai consumatori. (7) Per quanto concerne, in primis, la funzione cd. d’origine del marchio, questa si dovrà ritenere violata ogniqualvolta l’annuncio non consenta (o consenta con difficoltà) all’utente di internet normalmente informato e ragionevolmente attento (8) di sapere se i prodotti o i servizi ai quali l’annuncio si riferisce provengano dal titolare del

(5) CGUE, 22 settembre 2011, causa C-323/09, Interflora e Interflora British Unit, in Raccolta, 2011 I-08625. (6) Considerazione, questa, riscontrabile nella giurisprudenza comunitaria si dal c.d. caso L’Oréal, v. CGUE, 18 giugno 2009, causa C-487/07, L’Oréal SA, Lancôme parfums et beauté & Cie SNC e Laboratoire Garnier & Cie contro Bellure NV, Malaika Investments Ltd e Starion International Ltd., in Raccolta 2009 I-05185. (7) V. la summenzionata sentenza Google France. (8) Si noti, in questo senso ed in via preliminare, i profili di contiguità tra la nozione richiamata dalla Corte e quella di “consumatore medio” accolta dalla normativa in materia di pratiche commerciali scorrette. V., infra, sez. 5.

marchio – o, quantomeno, da un’impresa economicamente collegata a quest’ultimo – ovvero da un terzo. Si fa riferimento, di conseguenza, al potenziale pregiudizio derivante da un’errata identificazione dell’origine commerciale del prodotto a seguito della supposizione, da parte del consumatore, dell’esistenza di un rapporto tra titolare del marchio ed inserzionista. Considerando, in secondo luogo, la funzione pubblicitaria, la giurisprudenza della Corte di Giustizia ha avuto modo di sottolineare come, pur avendo l’utilizzo di keyword identiche al marchio altrui evidenti ripercussioni in termini di strategia commerciale (sia del titolare del marchio, sia del terzo), tale impiego non è sufficiente a determinare per se un pregiudizio per l’effetto pubblicitario che l’utilizzo di un marchio esercita in favore del titolare dello stesso. L’utilizzo della medesima keyword ha certamente l’effetto di presentare di fronte al consumatore che operi la ricerca online (non più un solo prodotto, bensì) una pluralità di offerte, operate anche da concorrenti, ma è altresì vero che ciò non determina la completa eliminazione dell’offerta del titolare della privativa, il quale vedrà comunque i suoi prodotti comparire tra i primi posti dei cd. risultati naturali (9) della ricerca. (10) In questo senso, la contemporanea presenza dell’annuncio del titolare della privativa e di quelli predisposti da soggetti concorrenti è da ritenersi fisiologica all’interno del gioco concorrenziale, rientrando negli sforzi promozionali che operatori terzi sono legittimati a compiere al fine di presentare i propri prodotti (11) (ciò, specialmente, laddove questi sopportino un sovrapprezzo per la sponsorizzazione dei propri link). In questo senso, il keyword advertising dovrebbe qualificarsi nei termini di un “positivo strumento comunicativo”, idoneo a consentire un’offerta alternativa di prodotti e conseguentemente a valorizzare una dinamica concorrenziale di mercato. (12) Considerandosi da ultima la funzione di investimento, la quale ha ottenuto autonoma considerazione rispetto alla contigua funzione pubblicitaria dopo il caso Interflora, i giudici europei hanno infine ritenuto che la privativa del titolare debba ritenersi violata qualora l’uso di un segno identico a quello del titolare del marchio (na (9) Indicandosi, con tale nozione, i siti che sembrano meglio corrispondere alle parole digitate dall’utente in ordine di pertinenza. (10) Sentenza Interflora, punto 57. Cfr. Musso, Ditta e insegna. Marchio. Brevetti. Disegni e modelli. Concorrenza, in Commentario del codice civile Scialoja-Branca-Galgano, a cura di De Nova, Bologna-Roma, 2012, 245. (11) CGUE, 23 marzo 2010, cause riunite da C-236/08 a C-238/08, Google France, §§ 91-98; CGUE, 25 marzo 2010, causa C-278/08, Bergspechte, in Raccolta, 2010 I-02517, §§ 33-34; CGUE, 8 luglio 2010, causa C-558/08, Portakabin, in Raccolta, 2010 I-06963, §§ 32-33. (12) Calabrese, Pubblicità su internet tramite parole chiave e tutela del marchio che gode di rinomanza, in Giur. comm., 2012, 6, 1146.

DIRITTO DI INTERNET N. 4/2019

703

GIURISPRUDENZA COMPARATA turalmente ove si faccia riferimento a prodotti similari o identici) abbia l’effetto precipuo di ostacolare la facoltà, da parte del titolare, di utilizzare il proprio marchio per attirare e fidelizzare i propri clienti o, ancora, laddove effetto di tale utilizzo da parte dei terzi sia danneggiare la reputazione del titolare del marchio. (13) Tale pratica risulterà invece lecita ogniqualvolta l’unico esito da essa derivante sia costringere il titolare del marchio ad adeguare i propri sforzi all’attività dei concorrenti, al fine di mantenere intatto il proprio bacino di clientela. (14) Se, infatti, il marchio rappresenta certamente uno strumento essenziale per il corretto dispiegarsi del sistema concorrenziale a vantaggio di chi su di esso investe, è parimenti vero che esso non è sufficiente a fondare una posizione privilegiata per il titolare dello stesso, specialmente rispetto ad una pratica di mercato ritenuta “ordinaria e legittima” quale il keyword advertising. (15) A prescindere dallo specifico profilo di tutela considerato – e dai conseguenti presupposti lesivi – la giurisprudenza comunitaria è stata inoltre granitica nel chiarire come la violazione di una funzione del marchio andrà sempre e comunque valutata con riguardo all’annuncio concorrente, con particolare riferimento all’esattezza delle informazioni in esso contenute. Parimenti chiara è stata l’intenzione di garantire la tutela di tali funzioni a prescindere dalla natura “rinomata” del marchio o meno. (16) Sebbene qualora il marchio goda di rinomanza sia necessario verificare il ricorrere delle ulteriori vicende caratterizzanti i fenomeni di diluizione, corrosione e parassitismo del marchio, (17) in entrambi i casi la va (13) Cfr. altresì Minneci, La tutela della valenza attrattiva del marchio (rinomato e non) nel contemperamento dei diversi interessi, in Dir. ind., 2017, 5, 470. (14) Così Colangelo, Marchi e keyword advertising dopo il caso Interflora, 80. (15) CGCE, 23 aprile 2009, causa C-59/08, Copad, in Raccolta, 2009, I-03421, § 22; CGUE, 22 settembre 2011, C-323/09, Interflora, §§ 57-58. (16) Sentenza Interflora, punto 40. La distinzione tra marchi comuni e cd. marchi “celebri” è nel nostro ordinamento, come noto, esito della a seguito dell’attuazione della Direttiva 104/89/CEE (oggi non più in vigore a seguito dell’avvicendarsi del procedimento normativo comunitario, del quale ultimo esito sono l’emanazione della Direttiva (UE) 2015/2436 del Parlamento europeo e del Consiglio, del 16 dicembre 2015, sul ravvicinamento delle legislazioni degli Stati membri in materia di marchi d’impresa, OJ L 336, 23.12.2015 e del Regolamento (UE) 2017/1001 del Parlamento europeo e del Consiglio, del 14 giugno 2017, sul marchio dell’Unione europea, OJ L 154, 16.6.2017) nel nostro ordinamento attraverso l’emanazione del D.lgs. 480/92. In merito cfr. ex multis Guglielmetti, La tutela dei marchi di alta rinomanza, in Riv. dir. ind., 1980, I, 281-297; Galli, Rinomanza del marchio, tutela oltre il limite del pericolo di confusione, ibidem, 2007, 83; Ghidini, Presupposti e Portata Della Tutela Dei Marchi ‘Dotati Di Rinomanza’, in Dir. ind., 2017, 2, 69. Per una recente panoramica sul tema, con riferimento ai principali arresti giurisprudenziali nazionali e comunitari, si veda altresì Zandri, Confondibilità tra marchi: una questione di rinomanza, in Dir. ind., 2019, 1, 55. (17) Per tutti, in merito, Vanzetti, Di Cataldo, Manuale di diritto industriale, Milano, 2012, 140. Altresì Ricolfi, Trattato dei Marchi, Torino,

704

DIRITTO DI INTERNET N. 4/2019

lutazione circa la legittimità della condotta relativa al keyword advertising è nondimeno demandata all’apprezzamento del giudice nazionale. (18)

4. La linearità della Corte di Giustizia, e la distonia del Bundesgerichthof

Come si è avuto modo di accennare, la decisione resa dal Bundesgerichtof sembra evidenziare una discontinuità rispetto a quanto affermato dai giudici europei nei giudizi che hanno avuto ad oggetto la legittimità del keyword advertising: la Corte di Giustizia infatti, ha offerto posizioni tendenzialmente univoche sull’interpretazione del fenomeno, e sulle tutele accordabili ai titolari della privativa. La riflessione in merito al rapporto tra il marchio e le sue funzioni quale parametro primario per valutare la liceità del keyword advertising (insieme alla presenza di un uso in commercio e ad una condizione di “doppia identità”) è, come si è detto, delineata per la prima volta in occasione della decisione Google France e successivamente riaffermata nella decisione del caso BergSpechte. (19) Tale caso, in particolare, presenta significativi profili di contiguità con la decisione resa dalla corte tedesca: la società titolare del relativo marchio, infatti, aveva evidenziato come la digitazione dei termini “Edi Koblmüller” o “Bergspechte” (entrambi marchi registrati – tra le altre – per le classi relative all’organizzazione di viaggi e alle attività sportive, ricreative e culturali) nel motore di ricerca Google determinasse l’apparire, nello spazio relativo ai link sponsorizzati, di annunci creati dalla società trekking.at Reisen relativi a “Trekking- und Naturreisen” (trekking e viaggi nella natura) e ad “Äthiopien mit dem Bike” (l’Etiopia in bicicletta): a fronte della decisione del giudice nazionale a quo di inibire trekking. at Reisen dal re-indirizzare gli utenti alla propria pagina iniziale per mezzo di link inserito su tali annunci, la Corte si era riportata alle posizioni espresse in Google France, rimettendo al giudice nazionale la questione circa la valutazione della confusorietà in concreto di tale pratica. Tale posizione è stata, poi, oggetto di ulteriore specificazione nei casi eis.de (20) e nella sentenza Portakabin, (21) fino a ritenere che rientrino nel perimetro di analisi dei giudici nazionali non solo le keyword coincidenti con marchi soggetti a privativa, ma altresì quelle 2015, 1197. (18) Stefani, Profili di liceità dell’uso del marchio altrui come parola chiave nella pubblicità su Internet: note a margine della sentenza Interflora, in Riv. dir. ind., 2012, 1, 100. (19) V. supra nota 11. (20) CGUE, 26 marzo 2010, causa C-91/09, Eis.de GmbH c. BBY Vertriebsgesellschaft mbH, in Raccolta, 2010 I-00043. (21) V. supra nota 11.

GIURISPRUDENZA COMPARATA similari, e che riproducono il marchio con piccoli errori o typo: ferma restando la necessità di un apprezzamento in concreto, infatti, si è ritenuto che tali differenze siano talmente insignificanti da passare inosservate agli occhi del consumatore medio (in particolare, nel caso Portakabin erano state oggetto di selezione da parte di un concorrente dell’omonima società, nell’ambito del servizio di posizionamento, le parole “portacabin”, “portokabin” e “portocabin”). Le più recenti enunciazioni del principio, in linea con le precedenti decisioni, sono infine offerte nei casi L’Oréal e Interflora. (22) A fronte della solidità dell’orientamento giurisprudenziale sul tema, le principali riflessioni in ottica evolutiva hanno investito invece il ruolo (e la conseguente responsabilità) del provider della piattaforma e del motore di ricerca per illeciti eventualmente commessi dall’inserzionista: si è ritenuto, in particolare, che il prestatore di un servizio di posizionamento su internet che memorizzi quale parola chiave un segno identico ad un marchio – organizzando conseguentemente la visualizzazione degli annunci dell’inserzionista – non faccia uso del marchio e sia conseguentemente esente da responsabilità ai sensi della Direttiva sul commercio elettronico. (23) Rientrando il keyword advertising all’interno della nozione di “servizi della società dell’informazione” (art. 2 lett. a) della Direttiva, si è osservato che il service provider svolge in merito al servizio di individuazione delle parole chiave un ruolo privo di informazione o di controllo su di esse; ciò è ulteriormente rafforzato dal fatto che, anche in presenza di keywords suggerite da un software posto a disposizione degli inserzionisti dalla piattaforma, tali suggerimenti operano in modalità automatizzata, tenendo in primaria considerazione la oggettiva correlazione tra le parole e i prodotti e i servizi offerti. (24) A fronte di queste indicazioni, la decisione resa dal Bundesgerichthof si caratterizza invero per la marcata originalità con la quale viene interpretato il margine di discrezionalità garantito ai giudici nazionali dalla Corte di Giustizia: la Cassazione tedesca valorizza l’effetto confusorio dell’annuncio – attraverso un iter argomentativo che ricorda invero, come si dirà, un giudizio condotto alla stregua della disciplina sulle pratiche commerciali

(22) V. note 6 e 7. (23) Direttiva 2000/31/CE dell’8 giugno 2000 relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno, OJ L 178, 17.7.2000. (24) Cfr. CGUE, causa Google France. V., in dottrina, Mantelero, Link sponsorizzati ed uso del marchio: quale sorte per Google?, in Giur. it., 2010, I, 125; Ricolfi, Motori di ricerca, link sponsorizzati e diritto dei marchi: il caso Google di fronte alla Corte di Giustizia, in Giur. it., 2010, 1606; Mansani, La pubblicità tramite parole chiave (keyword), in Aa.Vv., Studi in memoria di Paola Frassi, Milano, 2011, 480.

scorrette (25) – e la sua idoneità a trarre in inganno l’utente medio nel compimento della propria scelta transattiva. Esito di tale effetto è, tuttavia, non (come ci si aspetterebbe) una censura espressa ai sensi della Gesetz gegen den unlauteren Wettbewerb (UWG), ossia la normativa attraverso la quale l’ordinamento tedesco ha recepito la Direttiva 2005/29/CE, ma in base alla MarkenGesetz. Invero, dalle indicazioni offerte dalla Corte di Giustizia nelle sue pronunce sul punto, sembra in effetti potersi ravvisare una contiguità tra la nozione di “utente medio” assurta a parametro analitico della disciplina del keyword advertising e quella di “consumatore medio”, che invece rappresenta il metro di valutazione per asseverare la scorrettezza di una pratica commerciale. (26) Tale vicinanza tra i due concetti emerge, a ben vedere, a seguito dell’interpretazione finalistica che il giudice europeo fornisce della disciplina di tutela dei marchi, la quale valorizza l’etica concorrenziale dell’inserzionista quale elemento fondativo della liceità della condotta, sostenendosi che l’offerta di una (altrimenti) legittima gamma di prodotti a seguito di una ricerca condotta online utilizzando keywords relative a marchi concorrenti possa nondimeno risultare illecita in presenza di un rischio confusorio, da apprezzarsi con riferimento alle oggettive caratteristiche dell’annuncio. In particolare, al ricorrere di elementi “ambigui” – relativi (ex multis) al testo del link, alla descrizione che accompagna l’annuncio, al nome a dominio del sito cui tale inserzione rimanda e i contenuti del sito linkato – l’uso del marchio dovrà considerarsi (non rivolto ad offrire una legittima alternativa a prodotti o servizi del titolare, ma) inteso ad ingannare i consumatori, e conseguentemente contrario ai principi di lealtà e correttezza commerciale. Si delinea, dunque, una potenziale sovrapposizione argomentativa tra i due plessi normativi; una scelta, questa, che – pur definita “artificiosa” da parte della dottrina che si è occupata di keyword advertising (27) - trova la propria ratio giustificativa nella natura intrinsecamente pro-competitiva del diritto dei segni distintivi che, nella dinamicità del mercato, richiede un costante bilanciamento dei diversi interessi in conflitto, volto a evitare l’attribuzione alla privativa una funzione prettamente

(25) V. in merito Guerinoni, Le pratiche commerciali scorrette. Fattispecie e rimedi, Milano, 2010; Bartolomucci, Le pratiche commerciali scorrette ed il principio di trasparenza nei rapporti tra professionisti e consumatori, in Contratto e impresa, 6, 2007, 1422; Granelli, Le “pratiche commerciali scorrette” tra imprese e consumatori: l’attuazione della direttiva 2005/29/CE modifica il codice del consumo, in Obbl. e Contr., 2007, 10, 777. (26) Sulla nozione di consumatore medio v., ex multis, Poncibò, Il consumatore medio, in Contr. e impr. Europa, 756; Rossi Carleo, Consumatore, consumatore medio, investitore e cliente: frazionamento e sintesi nella disciplina delle pratiche commerciali scorrette, Europa e dir. priv., 2010, 685. (27) Calabrese, Pubblicità su internet, 1156.

DIRITTO DI INTERNET N. 4/2019

705

GIURISPRUDENZA COMPARATA dominicale di “rendita di posizione” avulsa dal concreto svilupparsi delle condotte commerciali. (28)

5. Implicazioni in ottica comparata: cosa sarebbe accaduto in Italia?

Sulla scorta della scelta della Corte Federale tedesca di considerare ingannevole – e contraria alla normativa in materia di tutela dei marchi – la condotta posta in essere da Amazon, può risultare di interesse operare una breve digressione conclusiva in merito a come la medesima occorrenza avrebbe potuto trovare risoluzione se si fosse presentata di fronte ai giudici nostrani. La Corte di Giustizia, infatti, ha ripetutamente rimarcato come non sia possibile offrire una valutazione a priori della condotta asseritamente lesiva, dovendo il concreto apprezzamento della condotta essere rimandato al giudice nazionale di riferimento. In Italia, il tema è stato oggetto di una recente decisione resa dalla Corte di Appello di Milano, (29) la quale ha evidenziato come la giurisprudenza nostrana abbia registrato – a seguito delle pronunce dei giudici europei – un progressivo “rilassamento” nella valutazione della condotta in oggetto con riferimento alla possibile violazione dell’articolo 20 del Codice della Proprietà Industriale, disciplinante i diritti conferiti ai titolari di registrazione di un marchio. (30) Se, infatti, in un primo tempo i giudici nazionali avevano ritenuto che l’uso del marchio di un terzo nell’ambito di un’attività di keyword advertising costituisse una violazione della detta disposizione, configurando un’ipotesi di contraffazione

(28) Guardì, La responsabilità dell’inserzionista e del service provider nell’ambito del keyword advertising, in Giur. Comm., 2015, 1, 193. V. altresì Falce, La funzione attrattiva del marchio. Profili di rilievo concorrenziale, in Giur. Comm., 2006, 794. (29) App. Milano, sent. 19 aprile 2018, con nota di Loconsole Percorsi Giurisprudenziali su cd. Keyword advertising: quando un link non crea un link?, in Riv. dir. ind., 2019, 1, 9. (30) La disposizione, come noto, sancisce che “I diritti del titolare del marchio d’impresa registrato consistono nella facoltà di fare uso esclusivo del marchio. Il titolare ha il diritto di vietare ai terzi, salvo proprio consenso, di usare nell’attività economica: a) un segno identico al marchio per prodotti o servizi identici a quelli per cui esso è stato registrato; b) un segno identico o simile al marchio registrato, per prodotti o servizi identici o affini, se a causa dell’identità o somiglianza fra i segni e dell’identità o affinità fra i prodotti o servizi, possa determinarsi un rischio di confusione per il pubblico, che può consistere anche in un rischio di associazione fra i due segni; c) un segno identico o simile al marchio registrato per prodotti o servizi anche non affini, se il marchio registrato goda nello stato di rinomanza e se l’uso del segno, anche a fini diversi da quello di contraddistinguere i prodotti e i servizi, senza giusto motivo consente di trarre indebitamente vantaggio dal carattere distintivo o dalla rinomanza del marchio o reca pregiudizio agli stessi.”

706

DIRITTO DI INTERNET N. 4/2019

– nonché di concorrenza sleale – (31) le più recenti interpretazioni hanno chiarito come tale condotta possa considerarsi lecita ogniqualvolta sia volta a promuovere prodotti e servizi (pur in concorrenza con quelli del titolare della privativa) dell’inserzionista. In aggiunta, i giudici italiani hanno avuto modo di evidenziare, ancora una volta in continuità con la logica perseguita dalla Corte di Giustizia come il mero accostamento tra i prodotti del titolare della privativa e quelli di terzi all’interno della sezione delle “ricerche correlate” sia attinente alla mera funzionalità tecnica dell’algoritmo automatizzato di ricerca e, conseguentemente, non riconducibile ad un fenomeno di “uso” (rectius, abuso) del marchio altrui: tale condotta richiederebbe, infatti, una voluntas offensiva non attribuibile all’algoritmo. (32) Nondimeno, il titolare di prodotti terzi, il quale si avvalga di keyword relative ad un marchio concorrente, dovrà porre in essere uno “sforzo distintivo”, necessario – ed opportuno – al fine di evidenziare la propria correttezza professionale: (33) si è ritenuto, ad esempio, che possa costituire un indice di liceità il fatto che il terzo concorrente non inserisca nel titolo del proprio annuncio il marchio altrui, relegando l’informazione relativa alla keyword prescelta nell’ambito dei cd. metadata al fine di ridurre il rischio di associazione da parte del consumatore. (34) Alla luce degli elementi fin qui evidenziati, si potrebbe dunque essere portati a ritenere che nel caso di specie la presentazione – contestuale a quella dei prodotti Ortlieb – di prodotti concorrenti non sarebbe stata ritenuta configurante di per sé una violazione dell’art. 20 c.p.i. se presentata di fronte ad un tribunale italiano. (35) (31) Cfr. Trib. Milano, 20 febbraio 2009, in Riv. dir. ind. 2009, II, 376 e Trib. Milano, 11 marzo 2009, in GADI 2009, 5409. (32) Loconsole Percorsi Giurisprudenziali su cd. Keyword advertising, 13. (33) Cfr. Stefani, Profili di liceità dell’uso del marchio altrui, 130, la quale si richiama altresì alle considerazioni operate in CGUE, 17 marzo 2003, causa C-228/03, The Gillette Company e Gillette Group Finland Oy contro LA-Laboratories Ltd Oy., in Raccolta 2005 I-02337, nonché alle riflessioni successive contenute in CGUE, 16 novembre 2004, causa C-245/02, Anheuser-Busch, in Raccolta 2004 I-10989 nonché nella summenzionata sentenza Portakabin. (34) Cfr. Trib. Milano, 14 dicembre 2015, in <www.darts-ip.com>, nonché Trib. Palermo, 7 giugno 2013, in Giur. Comm., 2015, I, 193. In particolare, in tale ultima decisione, la presenza di un sistema di dynamic keyword insertion, ossia di uno strumento (posto a disposizione dall’azienda Google Adwords) che permette che la parola chiave scelta dall’inserzionista – e digitata dagli utenti sulla stringa del motore di ricerca – appaia altresì come titolo dell’annuncio pubblicitario, è stata ritenuta fattore dirimente al fine di ingenerare preso il pubblico dei consumatori un rischio di confusione tra i prodotti offerti dall’inserzionista che di tale tecnologia si avvalga e la società licenziataria del marchio protetto. (35) A meno di non voler considerare la presenza del termine Ortlieb all’interno dei meta-tag dell’annuncio suscettibile di creare una ragione-

GIURISPRUDENZA COMPARATA Tuttavia un elemento, apparentemente marginale nella riflessione operata dal Bundesgerichtshof, avrebbe potuto giocare un ruolo essenziale nel volgere il bilanciamento dei diritti confliggenti in favore di parte attrice: si fa riferimento, in particolare, alla circostanza per la quale Amazon.de non solo offre prodotti concorrenti, ma è una piattaforma all’interno della quale i prodotti Ortlieb non sono presenti tout court, e conseguentemente, nemmeno disponibili ai consumatori (dato che il noto operatore di commercio online non li tratta). La presenza di un annuncio Amazon ottenuta attraverso le keyword Ortlieb ha dunque l’effetto – se questo viene cliccato – non solo di condurre i consumatori di fronte ad un’offerta concorrente, ma di re-indirizzarli verso un ambiente di acquisto e comparazione di prodotti ove i prodotti Ortlieb (e, dunque, esattamente quei beni che i consumatori avevano espressamente cercato) non sono presenti, circostanza della quale l’utente medio del motore di ricerca è verosimilmente inconsapevole. Sulla base di tale considerazione, sarebbe dunque ben possibile ritenere illecita la condotta di Amazon: l’azienda, di fatto, sfrutta una parola chiave relativa ad un marchio concorrente non soltanto per proporre offerte alternative a quelle sviluppate dal titolare della privativa, ma altresì per condurre gli utenti all’interno di un sito web il quale promuove una pluralità di prodotti ad eccezione proprio di quello cercato attraverso il motore di ricerca. Di conseguenza, potrebbe – seppur, ad oggi, in via puramente ipotetica – prospettarsi una violazione della funzione di pubblicità del marchio, posto che la ragione giustificativa dell’utilizzo delle keywords nella dinamica concorrenziale (ossia la compresenza di annunci dei concorrenti e del titolare della privativa) viene di fatto, attraverso tale sistema, neutralizzata dalle caratteristiche della piattaforma Amazon; una condotta, questa, che potrebbe altresì configurare un’ipotesi di concorrenza sleale ai sensi dell’art. 2598 n. 3 del nostro codice civile.

vole aspettativa in merito ad un’associazione commerciale tra Ortlieb e Amazon, censurabile – ad avviso di una giurisprudenza invero minoritaria (v. la summenzionata Trib. Palermo, 7 giugno 2013) – ai sensi dell’art. 2598 n. 1 c.c.

DIRITTO DI INTERNET N. 4/2019

707

GIURISPRUDENZA CIVILE

Buona fede “informale” e notificazioni a mezzo p.e.c. di allegati illeggibili Corte di C assazione ; sezione lavoro; sentenza 21 agosto 2019, n. 21560; Pres. Manna, Rel. D’Antonio; I nail ( avv.ti Romeo e Puglese) c. D.E. ( avv.ti Conte Paone e Palombo). La notificazione a mezzo di posta elettronica certificata si perfeziona nel momento in cui il sistema genera le ricevute telematiche di accettazione e consegna della missiva nella casella del destinatario, realizzando una presunzione di conoscenza della comunicazione analoga a quella prevista, in tema di dichiarazioni negoziali, dall’art. 1335 c.c. In un ottica collaborativa, è però onere del destinatario rendere edotto il mittente incolpevole delle difficoltà di presa visione degli allegati trasmessi via p.e.c., onde fornirgli la possibilità di rimediare all’inconveniente.

Fatti di causa 1. La Corte d’appello Napoli ha confermato la sentenza del Tribunale di condanna dell’Inali a pagare a D.E. l’indennità temporanea totale nella misura di 106 giorni e l’indennità temporanea parziale nella misura di 68 giorni, nonché le spese mediche in relazione all’infortunio sul lavoro del 16/1/2002. La Corte ha affermato che l’indennità temporanea rimaneva a carico dell’Inali in virtù del disposto dell’art. 66, comma 1, TU anche a seguito dell’entrata in vigore del D.Lgs. n. 38 del 2000. Ha osservato, infatti, che in base al D.Lgs. citato l’indennizzo per danno biologico sostituiva solo la rendita per inabilità permanente, ma non anche quella per inabilità temporanea che rimaneva a carico dell’Inail e che tale indennità giornaliera era corrisposta senza alcun limite di durata allorché l’inabilità assoluta o parziale era causata da infortunio o malattia professionale. 2. Avverso la sentenza ricorre l’Inail con un motivo ulteriormente illustrato con memoria ex art. 378 c.p.c.. Resiste la D. . Ragioni della decisione 3. Va preliminarmente rilevata l’infondatezza dell’eccezione sollevata dalla contro ricorrente di inammissibilità del ricorso perché notificato tardivamente. La D. rileva che il ricorso è stato notificato via pec il 16/6/2014,mentre in data 11/6/2014 è stata comunicata via pec solo la relata di notifica in quanto il file con il ricorso allegato non era apribile. Questa Corte ha affermato (cfr Cass. 25819/2017) che “quanto alla pretesa illeggibilità degli allegati del messaggio pec, occorre osservare che la posta elettronica certificata è il sistema che, per espressa previsione di legge (D.P.R. 11 Febbraio 2005, n. 68) consente di inviare e-mail con valore legale equiparato ad una raccomandata con ricevuta la certezza dell’invio e della consegna (o della mancata consegna) delle e-mail al destinatario. Tale sistema è stato creato proprio al fine di garantire, in caso di contenzioso, l’opponibilità a terzi del messaggio. I gestori certificano quindi con le proprie “ricevute” che il messaggio: a. è stato spedito; b. è stato

consegnato; c. non è stato alterato. In ogni avviso inviato dai gestori è apposto anche un riferimento temporale che certifica data ed ora di ognuna delle operazioni descritte. I gestori inviano avvisi anche in caso di errore in una qualsiasi delle fasi del processo (accettazione, invio, consegna) in modo che non possano esserci dubbi sullo stato della spedizione di un messaggio. Di conseguenza, secondo la giurisprudenza, la semplice verifica dell’avvenuta accettazione dal sistema e della successiva consegna, ad una determinata data ed ora, del messaggio di posta elettronica certificato contenente l’allegato notificato è sufficiente a far ritenere perfezionata e pienamente valida la notifica. L’eventuale mancata lettura dello stesso da parte del difensore per eventuale malfunzionamento del proprio computer andrebbe imputato a mancanza di diligenza del difensore che nell’adempimento del proprio mandato è tenuto a dotarsi dei necessari strumenti informatici e a controllarne l’efficienza (cfr. Cass. pen. Sez. IV, Sent., 18-01-2017, n. 2431). Si può quindi ritenere che nel momento in cui il sistema genera la ricevuta di accettazione della pec e di consegna della stessa nella casella del destinatario si determina una presunzione di conoscenza della comunicazione da parte del destinatario analoga a quella prevista, in tema di dichiarazioni negoziali, dall’art. 1335 c.c. Spetta quindi al destinatario, in un’ottica collaborativa, rendere edotto il mittente incolpevole delle difficoltà di cognizione del contenuto della comunicazione legate all’utilizzo dello strumento telematico”. In applicazione di tali principi nel caso di specie sarebbe stato dovere del difensore della controricorrente informare il mittente della difficoltà nella presa visione degli allegati trasmessi via pec, onde fornirgli la possibilità di rimediare a tale inconveniente. Va, comunque rilevato che il ricorrente ha ripetuto la notifica a mezzo ufficiale giudiziario e che tale notifica è tempestiva. 4. L’Inail eccepisce violazione degli artt. 66 e 68 TU. Censura l’avvenuto riconoscimento dell’indennità tempora-

DIRITTO DI INTERNET N. 4/2019

709

GIURISPRUDENZA CIVILE nea parziale in violazione delle norme citate in base alle quali l’indennità temporanea è dovuta esclusivamente fino a quando dura l’inabilità assoluta che impedisca totalmente e di fatto all’infortunato di attendere al lavoro. 5. Il motivo è fondato in quanto il D.P.R. n. 1124 del 1965, artt. 66 e 68, prevedono la corresponsione di una indennità giornaliera soltanto per il caso di inabilità temporanea assoluta “che impedisca totalmente e di fatto all’infortunato di attendere al lavoro”, nulla prevedendo per il caso di inabilità temporanea parziale. Anche il D.Lgs. n. 38 del 2000, art. 13, per il caso di danno biologico, ha innovato l’art. 66, comma 1, sopra citato esclusivamente con riguardo alle prestazioni economiche connesse alla inabilità permanente, parziale o assoluta, ma nessuna modifica ha apportato alle norme che regolano l’indennità per inabilità temporanea assoluta.

6. La giurisprudenza di questa Corte è nel senso di riconoscere all’infortunato, oltre alla rendita per inabilità permanente, solo l’indennità per inabilità temporanea assoluta, diretta ad assicurare al lavoratore i mezzi di sostentamento finché dura l’inabilità che impedisce totalmente e di fatto all’infortunato di rendere le sue prestazioni lavorative (vedi Cass. n. 946/1990, n. 11145/2004, n. 1380/2005). 7. Per le considerazioni che precedono la sentenza impugnata deve essere cassata e la causa rinviata alla Corte d’appello per un riesame della domanda in applicazione dei principi di cui sopra. P.Q.M. Accoglie il ricorso, cassa la sentenza impugnata in parte qua e rinvia alla Corte d’appello di Napoli in diversa composizione anche per le spese del presente giudizio. ...Omissis…

IL COMMENTO di Mario Natale

Sommario: 1. A mo’ di premessa. - 2. Il caso e la decisione. – 3. Una nuova regola di comportamento: dovere di buona fede e collaborazione del destinatario. – 4. Postilla. Il contributo esamina l’arresto di Cass. n. 21560/2019, in epigrafe, con cui i giudici di legittimità hanno preliminarmente escluso l’inammissibilità del ricorso per tardività della notifica p.e.c. in ipotesi di allegati illeggibili. In particolare, all’attenzione del lettore si pone il tema della buona fede, clausola generale di chiusura del sistema che onera il destinatario di messaggi di posta elettronica certificati illeggibili a collaborare con il mittente incolpevole, onde fornirgli la possibilità di rimediare ad eventuali inconvenienti. The case note focuses on the decision of Cass. n. 21560/2019, in epigraph, with which the judges of legitimacy have preliminarily excluded the inadmissibility of the appeal due to the delay in the p.e.c. notification in case of illegible attachments. In particular, the reader’s attention is placed on the issue of “bona fides” , a general clause for the closure of the system that charges the recipient of illegible certified e-mail messages to collaborate with the guiltless sender, in order to give him the chance to remedy to possible inconveniences.

1. A mo’ di premessa

La «stagione riformista del processo civile telematico» (1), avviata ormai alcuni anni or sono, ha finito per mutare radicalmente le classiche formalità processuali, soprattutto grazie alla novità dell’uso generalizzato degli strumenti digitali. L’informatizzazione della giustizia civile (2) (ma (1) L’espressione è di Fichera, Le fonti del diritto dell’informatica e del processo telematico, 14 marzo 2018, 15. Il testo è disponibile al seguente link <http://www.cortedicassazione.it/cassazione-resources/resources/ cms/documents/Fichera_fonti_processo_telematico.pdf≥. (2) Il nuovo corso del processo civile italiano ha subìto una effettiva accelerazione nel 2012, grazie ad una serie di interventi legislativi d’urgenza, che hanno finito per riorganizzare l’attuale assetto del processo civile telematico. Cfr. in particolare gli artt. 16-18, Sezione VI “Giustizia digitale”, del d.l. 18 ottobre 2012, n. 179, convertito in l. 17 dicembre 2012, n. 221, con cui il legislatore ha introdotto una complessa disciplina volta a consentire ai c.d. “operatori interni” (giudici e cancellieri) ed “esterni” (avvocati, consulenti tecnici, altri ausiliari del giudice, curatori,

710

DIRITTO DI INTERNET N. 4/2019

non solo (3)) costituisce oggi, in vero, uno dei connotati essenziali dell’odierno sistema processuale, facendo per-

etc.) di porre in essere in via esclusivamente telematica una serie di atti e operazioni nell’ambito del processo (dalle comunicazioni e notificazioni di cancelleria, all’obbligatorietà dei depositi di tutti gli atti endoprocessuali), fino a novellare con l’art. 16-quater, lett. b), introdotto dalla l. 24 dicembre 2012, n. 228, l’art. 3-bis della l. 21 gennaio 1994, n. 53 (“Facoltà di notificazioni di atti civili, amministrativi e stragiudiziali per gli avvocati e procuratori legali”), già introdotto dall’art. 25, comma 3, lett. b) della l. 12 novembre 2011, n. 183, che, modificando l’art. 1, comma 1, l. n. 53 del 1994, ha previsto la facoltà del difensore di effettuare le notifiche in proprio in materia civile, amministrativa e stragiudiziale anche tramite l’utilizzo della posta elettronica certificata (comma 1 successivamente novellato, senza sostanziali variazioni, dall’art. 46, comma 1, lett. a), d.l. 24 giugno 2014, n. 90, convertito in l. 11 agosto 2014, n. 114). (3) Il processo di informatizzazione dei procedimenti giurisdizionali in Italia ha subìto un rapido enforcement grazie all’adeguamento delle altre giurisdizioni speciali, in specie quella amministrativa, tributaria e contabile.

GIURISPRUDENZA CIVILE no, più di tutto, sull’applicazione della posta elettronica certificata (in breve, «p.e.c.») alla trasmissione degli atti e dei documenti processuali (4). Una scelta, questa, va detto, operata nel segno della “burocratizzazione” della posta elettronica ordinaria e, tutto sommato, intuitiva: lo strumento della p.e.c. consente infatti di inviare e-mail con valore legale equiparato ad una raccomandata con ricevuta di ritorno (5), ed applicata al processo garantisce un rapido e più sicuro dialogo tra tutti gli operatori, che si tratti di comunicazioni o notificazioni di cancelleria, ovvero di notifiche da parte degli stessi avvocati (6). E tuttavia, le “disavventure digitali” non mancano, anzi, e la progressiva evoluzione del sistema verso una complessiva digitalizzazione delle competenze appare tuttora frenata dall’avversione di alcuni operatori che, non si sa quanto accidentalmente, mostrano ancora una certa ritrosia nel recepire appieno le indicazioni del legislatore. C’è qui, si dirà, tutto il groviglio di opportunità e insidie che contraddistingue l’uso delle comunicazioni telematiche nel processo civile, che a ben vedere porta con sé più benefici che problemi. Vero. Ma non può sottacersi come questi primi anni di “sperimentazione” siano serviti soprattutto per comprendere e rimediare ad alcune falle del sistema. E là dove non è arrivato il legislatore a porvi rimedio, è sopraggiunta la giurisprudenza, da sempre sollecitata e ben disposta allorché si tratti di colmare lacune involontarie (7). Vediamo, da ultimo, come.

(4) Ad occuparsi, in generale, delle regole sui documenti digitali e sulla loro trasmissione in via telematica, nucleo essenziale del processo telematico, è il d.lgs. 7 marzo 2005, n. 82 (“Codice dell’Amministrazione Digitale”), che prevede, inter alia, norme di principio sui documenti digitali e sulle firme elettroniche (art. 20 ss.), sulla conservazione dei fascicoli informatici (art. 40 ss.), sulla posta elettronica certificata (art. 48), etc. In particolare, per le disposizioni regolamentari sull’utilizzo della posta elettronica certificata si v. il d.p.r. 11 febbraio 2005, n. 68. Quanto, invece, alle norme di dettaglio di carattere squisitamente tecnico per l’adozione, nel processo civile e nel processo penale, delle tecnologie dell’informazione e della comunicazione, v. l’art. 34 (“Specifiche tecniche”) del D.M. 21 febbraio 2011, n. 44 (“Regolamento concernente le regole tecniche per l’adozione nel processo civile e nel processo penale, delle tecnologie dell’informazione e della comunicazione, in attuazione dei principi previsti dal decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, ai nella legge 22 febbraio 2010 n. 24”), che rinvia ad un provvedimento del Responsabile della Direzione Generale per i Sistemi Informativi Automatizzati del Ministero della Giustizia, adottato il 18 luglio 2011 (cfr. spec. l’art. 19-bis), novellato dal provvedimento del 16 aprile 2014, e modificato da ultimo in data 28 dicembre 2015. (5) Cfr. il disposto dell’art. 48 del d.lgs n. 82 del 2005. (6) Cfr. in particolare l’art. 18 (“Notificazioni per via telematica eseguite dagli avvocati”) del D.M. n. 41 del 2011. (7) Cfr. recentemente Corte Cost. 19 marzo - 9 aprile 2019, n. 75, in questa Rivista, 2019, 255 ss., con commento di Sigillò, che ha dichiarato l’illegittimità costituzionale dell’art.16-septies del d.l. n. 179 del 2012, nella parte in cui prevede che la notifica eseguita con modalità telematiche la cui ricevuta di accettazione è generata dopo le ore ventuno ed entro le ore ventiquattro si perfeziona per il notificante alle ore sette del giorno successivo, anziché al momento di generazione della predetta ricevuta. Ma v. altresì Cass. 27 marzo 2019, n. 8560, in Quotidiano giuri-

2. Il caso e la decisione

Il campo di applicazione più significativo del processo civile telematico, che ha fatto prontamente breccia nella giurisprudenza, è quello relativo alle notificazioni a mezzo p.e.c (8). Gli inconvenienti, di sistema e non, sono infatti all’ordine del giorno, gravati, peraltro, da una generale e diffusa inadeguatezza da parte di chi dovrebbe invece avere la patente di esperto, poiché ormai obbligato all’utilizzo dello strumento informatico quasi senza eccezioni (9). Accade così che sovente durante l’utilizzo della posta elettronica certificata e, in particolare, nel caso di notifiche p.e.c. eseguite in proprio dall’avvocato ai sensi dell’art. 3-bis della l. n. 53 del 1994, gli atti o i documenti informatici allegati e trasmessi improvvisamente scompaiano oppure si trasformino in file illeggibili (o non apribili): nel primo caso, il destinatario non vede affatto il file (che secondo la relata dovrebbe invece trovarsi in allegato alla p.e.c.), nel secondo, invece, lo vede ma non riesce ad aprirlo (ed è comunque diverso dal file firmato digitalmente che secondo la relata dovrebbe invece trovarsi in allegato alla p.e.c.). In entrambi i casi, è però plausibile che venga sollevata eccezione di inesistenza della notifica stessa, che in realtà non presenta vizi imputabili al mittente. Sulla seconda delle ipotesi cennate si sofferma, preliminarmente, Cass. n. 21560/2019 in epigrafe, che in un contenzioso tra l’INAIL e una lavoratrice dipendente, principiato per il pagamento delle indennità e delle spese mediche derivanti da un infortunio sul luogo di lavoro, ha rilevato l’infondatezza dell’eccezione di inammissibilità del ricorso per intempestività della notifica sollevata dal difensore dalla controricorrente (10). Questo il fatto. Il ricorso per cassazione avverso la sentenza della corte di appello di Napoli da parte dell’INAIL era stato notificato al difensore della lavoratrice a mezzo di posta elettronica certificata, in data 11/6/2014. Tuttavia, il mittente, accortosi evidentemente che il documento (recte, il ricorso) accluso al messaggio p.e.c. non era vidico, all’indirizzo <http://www.quotidianogiuridico.it>, 14 aprile 2019, con commento di Minazzi, secondo cui nel processo tributario non è applicabile la notificazione telematica disciplinata dalla l. n. 53 del 1994, concernente le notificazioni in proprio degli Avvocati. (8) Per una rassegna delle principali questioni affrontate dalla giurisprudenza di merito e di legittimità si rinvia a Cossignani, Processo civile telematico: deposito, notificazioni e comunicazioni, in Giur. it., 2017, 973 ss. (9) Ma v. sul punto le obiezioni di Sacchettini, Processo telematico. Non rappresenta un onere eccezionale e insostenibile, commento a Cass. 25 settembre 2017, n. 22320, in Guida al dir., 2018, 54 ss., spec. 56. (10) La decisione può leggersi anche in Dir. giust., 22 agosto 2019 e in Quotidiano giuridico, all’indirizzo <http://www.quotidianogiuridico.it>, 23 settembre 2019, con commento di Pellegrinelli, Valida la notificazione del ricorso a mezzo PEC anche se gli allegati non solo leggibili.

DIRITTO DI INTERNET N. 4/2019

711

GIURISPRUDENZA CIVILE sionabile (11), aveva nuovamente tentato la notifica, in data 16/6/2014, con esito questa volta positivo, ma a termini ormai spirati. Sollevata eccezione di inammissibilità del ricorso per tardività della notifica, i giudici della nomofilachia si soffermano sull’efficacia probatoria della notificazione a mezzo p.e.c. (12), aderendo ad un filone giurisprudenziale ormai in via di consolidamento: la censura è infondata e la prima notifica effettuata dall’INAIL risulta perfezionata, poiché nel momento in cui il sistema genera la ricevuta di accettazione della p.e.c. e di consegna della stessa nella casella del destinatario, si determina una presunzione (iuris tantum) di conoscenza della comunicazione analoga a quella prevista, in tema di dichiarazioni negoziali, dall’art. 1335 c.c. (13). Fin qui, si dirà, nulla quaestio, anche perché, osserva la Corte, rispetto alla posta elettronica ordinaria, la p.e.c. è il sistema che, per espressa previsione di legge (14), pre (11) Invero, dalla narrativa della decisione non si comprendono appieno le ragioni sottese alla seconda notificazione via p.e.c., limitandosi i giudici di legittimità ad osservare come la controricorrente avesse rilevato che il ricorso era stato effettivamente notificato in data 16 giugno 2014, mentre in data 11 giugno 2014 era stata comunicata via p.e.c. “solo la relata di notifica in quanto il file con il ricorso allegato non era apribile”. (12) Chiesto e pronunciato in fin dei conti sovrabbondante, in quanto la censura di inammissibilità del ricorso risultava infondata in apicibus, giacché assorbita dal fatto che l’inail avesse ripetuto la notifica tempestivamente anche a mezzo di ufficiale giudiziario. (13) La ratio decidendi è mutuata da T.A.R. Friuli - V. Giulia Trieste 3 dicembre 2014, n. 610, in Quotidiano Giuridico, all’indirizzo <http://www. quotidianogiuridico.it>, 15 gennaio 2015, con nota di Di Donna, Cosa succede se il file allegato alla pec non risulta visionabile?, prima vera decisione in tema di vizi delle notificazioni via p.e.c., ancorché nella dimensione verticale dei rapporti con la p.a. Ma si v. conf. anche la successiva decisione di T.A.R. Campania Napoli 28 maggio 2015, n. 2945, in Le banche dati Pluris. Principio di diritto ripreso recentemente anche da Cass. 31 ottobre 2017, n. 25819, in Il processo civile, reperibile all’indirizzo <http://ilprocessocivile.it/>, 1° marzo 2018, con nota di Nardelli, Notifiche a mezzo PEC e oneri di collaborazione conformi, e, nella giurisprudenza di merito, da Trib. Roma 19 marzo 2018, in Le banche dati Pluris, e da App. L’Aquila 15 marzo 2017, in Quotidiano giuridico, all’indirizzo <http://www.quotidianogiuridico.it>, 16 giugno 2017, con osservazioni di Reale. In dottrina, coerentemente con la decisione in rassegna, si ritiene che la presunzione di cui all’art. 1335 c.c. riguardi anche l’esatta conoscenza della comunicazione, e che tocchi quindi al ricevente provare che l’eventuale erronea percezione non sia a lui imputabile: cfr. Mirabelli, Dei contratti in generale, in Commentario del codice civile, II, Torino, 1961, 72. (14) Ancorché la parte motiva della decisione in commento riporti come riferimento il solo d.p.r. 11 febbraio 2005, n. 68 (“Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata, a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3”), dove v. l’art. 6, comma 3, secondo cui “la ricevuta di avvenuta consegna fornisce al mittente prova che il suo messaggio di posta elettronica certificata è effettivamente pervenuto all’indirizzo elettronico dichiarato dal destinatario e certifica il momento della consegna tramite un testo, leggibile dal mittente, contenente i dati di certificazione”, con specifico riguardo alle notificazioni in proprio degli avvocati cfr. altresì l’art. 3-bis, comma 3, della l. n.53 del 1994, a tenore del quale la notifica con modalità telematica eseguita a mezzo di posta elettronica certificata “...si perfeziona, per il soggetto notificante, nel momento in cui viene generata la ricevuta di accettazione prevista

712

DIRITTO DI INTERNET N. 4/2019

senta caratteristiche aggiuntive tali da fornire agli utenti la certezza dell’invio e della consegna (o della mancata consegna) delle e-mail al destinatario con valore legale equiparato ad una raccomandata con ricevuta di ritorno, così da “...garantire, in caso di contenzioso, l’opponibilità a terzi del messaggio” (15). L’affidabilità del sistema della p.e.c. garantisce, infatti, la certezza legale dell’invio e della ricezione del messaggio e dei suoi allegati, e tanto grazie alla ricevute telematiche di accettazione e di avvenuta consegna generate dai gestori di posta elettronica certificata (16): la prima, da parte del gestore p.e.c. dello stesso mittente, che fornisce i dati di certificazione che costituiscono prova dell’avvenuta spedizione del messaggio; la seconda, al pari della cartolina di a.r. sottoscritta dall’incaricato alla ricezione atti presso l’ufficio del difensore, rilasciata dal gestore di posta elettronica certificata in uso al destinatario contestualmente alla consegna del messaggio nella propria casella p.e.c., indipendentemente dall’avvenuta lettura, fornendo al mittente la prova che il messaggio sia effettivamente pervenuto all’indirizzo dichiarato dal destinatario e “certificando il momento della consegna tramite un testo, leggibile dal mittente, contenente i dati di certificazione” (17). Da qui, dunque, l’esito processuale pressoché scontato, che libera l’INAIL da ogni responsabilità, sia perché “...la semplice verifica dell’avvenuta accettazione dal sistema e della successiva consegna, ad una determinata data ed ora, del messaggio di posta elettronica certificato contenente l’allegato notificato è sufficiente a far ritenere perfezionata e pienamente valida la notifica”, sia in quanto “l’eventuale mancata lettura dello stesso da parte del difensore per eventuale malfunzionamento del proprio computer andrebbe imputato a mancanza di diligenza del difensore che nell’adempimento del pro-

dall’articolo 6, comma 1, del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, e, per il destinatario, nel momento in cui viene generata la ricevuta di avvenuta consegna prevista dall’articolo 6, comma 2, del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68”. (15) Cfr. l’art. 48, comma 3, del d.lgs n. 82 del 2005. (16) In motivazione sono richiamati testualmente i dicta di Cass. 31 ottobre 2017, n. 25819, cit., che ha chiarito come il sistema della p.e.c. garantisca una notevole affidabilità, dal momento che non solo “i gestori certificano (...) con le proprie “ricevute” che il messaggio: a. è stato spedito; b. è stato consegnato; c. non è stato alterato”, ma “in ogni avviso (...) è apposto anche un riferimento temporale che certifica data ed ora di ognuna delle operazioni descritte”; avvisi inviati “...anche in caso di errore in una qualsiasi delle fasi del processo (accettazione, invio, consegna), in modo che non possano esserci dubbi sullo stato della spedizione di un messaggio”. (17) Cfr. in termini l’art. 6, rubricato “Ricevuta di accettazione e di avvenuta consegna”, del d.p.r. n.68 del 2005.

GIURISPRUDENZA CIVILE prio mandato è tenuto a dotarsi dei necessari strumenti informatici e a controllarne l’efficienza...” (18). Il quadro parrebbe delineato, trovandoci di fronte alla riconoscimento, nel campo delle comunicazioni informatiche - beninteso, “certificate” - del principio della ricezione in luogo di quello della effettiva cognizione. Finzione di avveramento discutibile, ma opportuna per la certezza dei traffici giuridici, e in ogni caso superabile attraverso la prova contraria, soprattutto quando le ragioni dell’illeggibilità siano imputabili a fattori oggettivi, esterni o, per così dire, di “sistema”, e non alla semplice incompetenza del destinatario (19). La decisione si pone fin qui nel solco di un orientamento ormai diffuso e sostenuto dalla Suprema Corte, che mira a salvaguardare, ove possibile, la validità e l’efficacia degli atti processuali, specialmente in un contesto dove il risultato di numerose operazioni è quasi sempre affidato a componenti tecniche non necessariamente impeccabili nel loro funzionamento. Certo, il fenomeno dell’“outsourcing processuale” andrebbe meglio disciplinato, assicurandolo alla vigilanza del Ministero della giustizia, così evitando di scaricare sulle spalle degli utenti della giustizia eventuali disservizi informatici; così come anche criticabile pare la sanzione pretoria sotto il profilo della diligenza professionale, almeno fino a quando i metodi dell’informatica non saranno previsti come necessari per l’esercizio della professione di avvocato. Alle corte. Obiezioni, quelle appena esposte, tutto sommato, corrette. Ma in attesa che il legislatore si adegui e scorga soluzioni alternative alle “vecchie” regole codicistiche (id est, l’art. 1335 c.c.), è necessario garantire (18) Così testualmente in motivazione; argomentazione tuttavia già presente in Cass. 15 dicembre 2016, n. 2431, in Dir. giust., 2017, 4, con nota di Gasparre, Notifica via PEC: sul difensore grava l’onere di gestire correttamente gli strumenti informatici. (19) È tuttavia esclusa la possibilità di vincere la presunzione relativa di conoscenza della comunicazione ricevuta a mezzo p.e.c. attraverso la querela di falso: cfr. Cass. 21 luglio 2016, n.15035, in Fall., 2017, 184, con nota di Poli, La ricevuta di avvenuta consegna della notifica telematica in fase prefallimentare (non) fa piena prova fino a querela di falso, che in tema di notifiche telematiche nei procedimenti civili, compresi quelli cd. prefallimentari, ha stabilito che la ricevuta di avvenuta consegna, rilasciata dal gestore di posta elettronica certificata del destinatario, pur costituendo documento idoneo a dimostrare, fino a prova contraria, che il messaggio informatico è pervenuto nella casella di posta elettronica del destinatario, non assurgere tuttavia a quella “certezza pubblica” propria degli atti facenti fede fino a querela di falso, atteso che, da un lato, atti dotati di siffatta speciale efficacia, incidendo sulle libertà costituzionali e sull’autonomia privata, costituiscono un numero chiuso e non sono suscettibili di estensione analogica e, dall’altro, l’art. 16 del D.M. n. 44/2011 si esprime in termini di “opponibilità” ai terzi ovvero di semplice “prova” dell’avvenuta consegna del messaggio, e ciò tanto più che le attestazioni rilasciate dal gestore del servizio di posta elettronica certificata, a differenza di quelle apposte sull’avviso di ricevimento dall’agente postale nelle notifiche a mezzo posta, aventi fede privilegiata, non si fondano su un’attività allo stesso delegata dall’ufficiale giudiziario.

certezza, anche a costo di decisioni isolatamente (e apparentemente) ingiuste. Come a dire: così è (se vi pare) per il momento. Ma non è tutto. Vediamo perché.

3. Una nuova regola di comportamento: dovere di buona fede e collaborazione del destinatario

E’ evidente che le argomentazioni sopra tratteggiate sarebbero bastate ai giudici di legittimità per far quadrare il cerchio, arrivando a respingere rapidamente la censura di inammissibilità del ricorso, e ciò anche indipendentemente dalle considerazioni sulla natura (aggravata? per colpa presunta? oggettiva? ai “titani” e ai “chierici” l’arduo verdetto... (20)) della responsabilità del destinatario della notificazione a mezzo p.e.c. (21).

(20) La metafora, che raffigura idealmente la (mancata) disputa di questi anni tra giurisprudenza e dottrina, nel solco di un progressivo prevalere della prima sulla seconda, a causa di un inspiegabile “disimpegno” dei giuristi che ha favorito la c.d. “dottrina delle Corti”, è di Pardolesi, Dottrina e giurisprudenza: conflitti, dialoghi, monologhi, in Diritto e questioni pubbliche, in La scienza giuridica oggi: un confronto multidisciplinare, a cura di Pino, XIX, 2019, disponibile al link <http://www.dirittoequestionipubbliche.org/page/2019_n19-1/04_mono_03_Pardolesi.pdf>. (21) A prospettare la natura semi-oggettiva della responsabilità in questione è Cass. 25 settembre 2017, n. 22320, in Il processo civile telematico, reperibile all’indirizzo <http://ilprocessotelematico.it/>, 8 novembre 2017, con nota di Calorio, Allegati con estensione .p7m regolarmente formati: la non leggibilità è imputabile al destinatario, secondo cui “non si può ritenere che dotarsi dello strumento idoneo a leggere un documento in formato p7m rappresenti un onere eccezionale e insostenibile, trattandosi piuttosto di un presupposto imprescindibile per esercitare la professione legale al giorno d’oggi, la cui assenza trova giustificazione solo se si verificano casi eccezionali, fortuiti e imprevedibili che non possono essere imputati all’assenza di una normale diligenza professionale” (così in massima). Tesi, questa, in realtà coerente con l’interpretazione della giurisprudenza in ordine all’art. 1335 c.c.: cfr. Cass. 11 aprile 1990, n. 3061, in Mass. Giur. it., 1990, e Cass. 28 gennaio 1985, n. 450, id, 1985, secondo cui il principio stabilito dalla norma dell’art. 1335 c. c., per cui ogni dichiarazione diretta a una determinata persona si reputa conosciuta nel momento in cui perviene all’indirizzo di questa, opera per il solo fatto oggettivo dell’arrivo della dichiarazione in detto luogo, indipendentemente dal mezzo di trasmissione adoperato e dall’osservanza delle disposizioni del codice postale per le lettere raccomandate, con la conseguenza che incombe al destinatario l’onere di superare la presunzione di conoscenza provando di essersi trovato, senza propria colpa, nell’impossibilità di avere conoscenza della dichiarazione medesima, e cioè fornendo la dimostrazione di un evento eccezionale ed estraneo alla sua volontà. In dottrina, v. Bianca, Il contratto2, Milano, 2000, 220, per il quale si avrebbe imputazione senza colpa soltanto in presenza di un impedimento estraneo alla sfera di organizzazione del destinatario, e non dipendente dal suo fatto volontario; ma, diversamente, v. Roppo, Il contratto, in Trattato di diritto privato a cura di Iudica e Zatti, Milano, 2011, 102 s., secondo il quale potrebbero assumere rilevanza anche impedimenti riguardanti la sfera personale del destinatario, ove si tratti di soggetto che non svolga professionalmente un’attività organizzata, purché nel caso concreo non imputabili a sua colpa; e con l’avvertenza che “l’interprete deve essere equilibrato: non può accettare come «impossibilità incolpevole» qualsiasi scusa accampata dal proponente, perché così dissolverebbe il principio di auto responsabilità che ispira la regola; ma neppure può essere così rigido da trasformare in «oggettiva» (senza colpa) un’autoresponsabilità che la legge basa sulla colpa”.

DIRITTO DI INTERNET N. 4/2019

713

GIURISPRUDENZA CIVILE Lo dimostrano i numerosi arresti che hanno finora affrontato la medesima questione, la gran parte dei quali essenzialmente fondati sull’affidabilità e sul valore presuntivo della notificazione a mezzo p.e.c. (22). Sennonché, con dire che va dalla moral suasion alla “giurisprudenza normativa” (23), la Cassazione manda un ultimo avvertimento, elaborando un’innovativa regola di comportamento, già circolata nella giurisprudenza di legittimità, in realtà, e tuttavia senza che abbia mai avuto il risalto dovuto: secondo i giudici di piazza Cavour, infatti, nel caso di illeggibilità di un documento allegato ad un messaggio p.e.c., spetta al destinatario, “in un’ottica collaborativa”, rendere edotto il mittente incolpevole delle difficoltà di cognizione del contenuto della comunicazione legate all’utilizzo dello strumento telematico; con la conseguenza che, nel caso di specie, “sarebbe stato dovere del difensore della controricorrente informare il mittente della difficoltà nella presa

(22) Oltre ai precedenti citati in sentenza e a quelli richiamati supra in nota, cfr. conf. in diritto: Cass. 9 aprile 2019, n. 9897, in il processo telematico, reperibile all’indirizzo <http://ilprocessotelematico.it/>, 22 maggio 2019, con nota di Sileni, che ha ribadito come la ricevuta di avvenuta consegna “completa” di una p.e.c. è mezzo idoneo a certificare non solo il recapito – nella casella di Posta Elettronica Certificata – del messaggio e-mail, ma anche degli eventuali allegati alla stessa, e che contro tale ricevuta è comunque ammessa prova contraria costituita da errori tecnici riferibili al sistema informatizzato; Cass. 18 ottobre 2018, n. 11241, in Dir. giust., 14 marzo 2019, con nota di Piras, secondo cui in relazione a modalità di apertura e consultazione della notifica con allegati, ricevuta a mezzo p.e.c., l’accettazione del sistema e la ricezione del messaggio di consegna, ad una determinata data e ora, dell’allegato notificato è sufficiente a far ritenere perfezionata e pienamente valida la notifica, senza alcuna necessità di ulteriori verifiche in ordine alla sua effettiva visualizzazione da parte del destinatario, il quale deve effettuare ogni intervento tecnico necessario a recepire la notifica ed i relativi allegati, restando a suo carico ogni conseguenza derivante da non idonea gestione dei propri strumenti informatici; Cass. 15 marzo 2018, n. 24937, in Il processo telematico, reperibile all’indirizzo <http://ilprocessotelematico.it/>, 27 agosto 2018, con nota di Giordano, che ha stabilito come in ipotesi di invio dell’atto tramite posta elettronica certificata, la semplice verifica dell’accettazione dal sistema e della ricezione del messaggio di consegna ad una determinata data e ora dell’allegato notificato, è sufficiente a far ritenere perfezionata e pienamente valida la notifica, senza alcuna necessità di ulteriori verifiche, costituendo l’eventuale omesso invio del relativo atto allegato una mera irregolarità; Cass. 24 ottobre 2017, n. 56280, in Il penalista, reperibile all’indirizzo <http://ilpenalista.it/>, 30 gennaio 2018, con nota di Bove; Cass. 28 settembre 2017, n. 22756, in Dir. giust, 29 settembre 2017, 11, con nota di Ubaldi; Cass. 21 luglio 2016, n. 15035, cit., 184 ss.; Cass. 7 ottobre 2015, n. 20072, in Le banche dati Pluris; Trib. Taranto 4 settembre 2018, in Le banche dati DeJure; T.A.R. Umbria Perugia 9 maggio 2018, in Le banche dati Pluris. (23) L’espressione è mutuata dal contributo di Di Ciommo, Sulla giustizia ingiusta. Dalla giurisprudenza normativa alla giustizia del caso concreto, tra (in) certezza del diritto, imprevedibilità delle soluzioni e dubbi di costituzionalità. Scritto in onore di Roberto Pardolesi, in Giurisprudenza e autorità indipendenti nell’epoca del diritto liquido a cura di Di Ciommo e Troiano, Roma, Milano, 2018, 127 ss.

714

DIRITTO DI INTERNET N. 4/2019

visione degli allegati trasmessi via p.e.c., onde fornirgli la possibilità di rimediare a tale inconveniente” (24). Il richiamo ai principi di buona fede e correttezza risulta implicito, ma fa comunque rumore. L’individuazione di una lacuna del sistema viene, ancora una volta, colmata da una regola non scritta (25), dal contenuto informativo, che attinge alla clausola generale per eccellenza (la buona fede, appunto) la quale assurge a regola di chiusura del sistema e, in alcuni casi, a vero e proprio “apriscatole giuridico” (26), capace di controllare, in senso modificativo o integrativo, le relazioni giuridiche. Riassumendo. Quando si invia un messaggio di posta elettronica certificata occorre distinguere tra il testo del messaggio e gli allegati al messaggio di posta elettronica, e molto spesso accade che l’allegato al messaggio possa essere corroso durante il tragitto oppure è possibile che venga inviato già danneggiato (27). Sicché, delle due l’una: o si hanno delle conoscenze avanzate di informatica, (24) Così in motivazione. Ed invero, l’unico precedente di legittimità che richiama espressamente il dovere di collaborazione del destinatario, il quale sarebbe tenuto ad informare il mittente in caso di allegati illeggibili trasmessi via p.e.c., è di Cass. 31 ottobre 2017, n. 25819, cit. Infatti, da una lettura attenta dei repertori si scopre che il principio è frutto dell’elaborazione della giurisprudenza amministrativa, essendo evocato per la prima volta da T.A.R. Friuli-V. Giulia Trieste 3 dicembre 2014, cit., così massimata: “nel momento in cui il sistema genera la ricevuta di accettazione della PEC e di consegna della stessa nella casella del destinatario, si determina una presunzione di conoscenza della comunicazione da parte di quest’ultimo analoga a quella prevista, in tema di dichiarazioni negoziali, dall’art. 1335 c.c.; sicché spetta a lui, in un’ottica collaborativa, rendere edotto il mittente incolpevole delle difficoltà di cognizione del contenuto della comunicazione legate all’utilizzo dello strumento telematico”. Sennonché, nella fattispecie affrontata dal Tribunale triestino si trattava di verificare la legittimità del divieto di prosecuzione di un’attività oggetto di SCIA, divieto disposto perché uno dei file digitali contenenti la documentazione allegata alla segnalazione risultava non apribile e dunque non visionabile; contesto, questo, dove tuttavia il dovere di collaborazione meglio si attaglia, poiché la p.a., prima di esercitare i propri poteri inibitori, è tenuta a sollecitare l’interessato per offrirgli la possibilità di rimediare ad eventuali irregolarità, difformità o dimenticanze (cfr. l’art. 19, comma 3, della l. 7 agosto 1990, n. 241, dove in alternativa alla comminatoria del divieto di prosecuzione dell’attività, è consentito, ove possibile, all’amministrazione di invitare l’interessato a conformare l’attività o i suoi effetti alla normativa vigente entro un termine stabilito, comunque non inferiore a trenta giorni). Con la conseguenza che sorgono dubbi sull’applicazione tout court del principio di collaborazione nei rapporti interindividuali, soprattutto là dove vengano in rilievo vizi che possono incidere sulla stessa esistenza o validità degli atti processuali. (25) L’unico appiglio normativo espresso, peraltro esterno al sistema civilistico, è rinvenibile nell’art. 5 (“Utilizzo generalizzato della posta elettronica certificata”) del decreto presidenziale della Corte dei Conti, adottato il 21 ottobre 2015 (“Prime regole tecniche ed operative per l’utilizzo della posta elettronica certificata nei giudizi dinanzi alla Corte dei conti”), che al comma 7 prevede che “Nel caso in cui l’atto o documento allegato sia illeggibile o mancante o vi siano altre anomalie il destinatario è tenuto a darne immediata comunicazione al mittente a mezzo posta elettronica certificata”. (26) L’espressione, molto efficace, è di Pardolesi, Un nuovo super-potere giudiziario: la buona fede adeguatrice e demolitoria, in Foro it., I, 2014, 2039. (27) Ad esempio: può darsi che a mancare sia la desinenza relativa all’identificazione del file (.pdf o .doc), con la conseguenza che colui che

GIURISPRUDENZA CIVILE e allora il problema può correggersi autonomamente, altrimenti, come osservato dalla Corte di Cassazione, si è “costretti” a chiedere al mittente un nuovo invio, in un ottica, appunto, “collaborativa” (28).

4. Postilla

Il dictum conclusivo della Cassazione implica il superamento di quelle tesi che mirano alla sanzione della inesistenza ovvero alla nullità della notificazione, soprattutto quando il messaggio p.e.c. non contenga allegati leggibili, né nel formato firmato elettronicamente (.p7m), né in quello “libero” (.pdf); soluzioni, queste, tuttavia escluse in radice da una parte della dottrina, poiché percepite come “neo-formaliste” (29), epperò, forse, più corrette dal punto di vista giuridico, purché il bene della vita venga individuato non tanto nella necessità di un favor in vista di una non ben definita funzionalità del sistema, quanto, piuttosto, nella certezza dei rapporti giuridici e, con essa, nel principio di effettività della conoscenza dell’atto o documento processuale, il quale, se violato, si riverbera sulla regolarità processuale e sul diritto di difesa. Ma i principi di buona fede e di correttezza, piaccia o no, per la loro ormai acquisita costituzionalizzazione in rapporto all’inderogabile dovere di solidarietà di cui all’art. 2 Cost., costituiscono oggi un canone oggettivo ed una clausola generale che non riguarda soltanto il rapporto obbligatorio e contrattuale, ponendosi come argine all’agire giuridico nei suoi diversi profili (30). Nel caso che ci occupa, dunque, l’eccezione di inammissibilità del ricorso risulta infondata anche perché il destinatario non ha informato il mittente incolpevole delle difficoltà di cognizione nella presa visione dell’allegato. E vien da chiedersi, a questo punto, solo una cosa: cui prodest ?

Non è infatti chiaro se la regola di comportamento in questione nel momento in cui venga osservata si trasformi in regola di validità, inficiando, nel caso in cui il mittente “non rimedi all’inconveniente” (come? occorrerà elaborare altre regole di comportamento...), la notifica a mezzo p.e.c.

riceva l’allegato non riesca ad aprirlo, e questo perché il pc non ha gli elementi sufficienti per associare un determinato programma al file. (28) Muovendo dall’analogia con l’art. 1335 c.c., il dictum finale della Cassazione non sembra però pienamente conforme alla struttura e alla ratio della fattispecie: v. in dottrina l’opinione di Scognamiglio, Dei contratti in generale, in Comentario del codice civile a cura di Scialoja e Branca, Bologna, Roma, 1970, 184, secondo cui il destinatario, in ordine alla presa di conoscenza, deve impiegare la diligenza ordinaria, da valutarsi in concreto, il che non implica un suo atteggiamento di collaborazione, ma solo la sua buona disposizione a percepire, riflettendo sul percepito, essendo in questo ambito che dovrà essere valutata la sussistenza di una sua eventuale colpa. (29) V. in tal senso il contributo di Villata, Contro il neo-formalismo informatico, in Riv. dir. proc., 2018, 155 ss. (30) Cfr., ex multis, Cass. 22 dicembre 2011, n. 28286, in Danno e resp., con nota di Rossi, Giudizio di liquidazione del danno e abuso del processo, 1123 ss.; e Cass. 15 novembre 2007, n. 23726, in Foro it., 2008, I, 1514 ss., con nota critica di Palmieri – Pardolesi, Buona fede inflessibile e frazionamento del credito, e nota adesiva di Scoditti, Il diritto dei contratti fra costruzione giuridica e interpretazione adeguatrice.

DIRITTO DI INTERNET N. 4/2019

715

GIURISPRUDENZA CIVILE

Il diritto all’oblio (anzi, i diritti all’oblio) secondo le Sezioni Unite Corte di Cassazione ; sezioni Unite Civili; sentenza 22 luglio 2019, n. 19681; Pres. Mammone; Rel. Cirillo; P.M. Capasso (conf.) - S.G. (avv. Piroddi) c. Unione Sarda S.p.a. (avv.ti Menne, Valentino). In tema di rapporti tra il diritto alla riservatezza (nella sua particolare connotazione del c.d. diritto all’oblio) e il diritto alla rievocazione storica di fatti e vicende concernenti eventi del passato, il giudice di merito – ferma restando la libertà della scelta editoriale in ordine a tale rievocazione, che è espressione della libertà di stampa e di informazione protetta e garantita dall’art. 21 Cost. – ha il compito di valutare l’interesse pubblico, concreto ed attuale alla menzione degli elementi identificativi delle persone che di quei fatti e di quelle vicende furono protagonisti. Tale menzione deve ritenersi lecita solo nell’ipotesi in cui si riferisca a personaggi che destino nel momento presente l’interesse della collettività, sia per ragioni di notorietà che per il ruolo pubblico rivestito; in caso contrario, prevale il diritto degli interessati alla riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell’onore e dei quali si sia ormai spenta la memoria collettiva

…Omissis… Ragioni della decisione I motivi di ricorso. 1. Col primo motivo di ricorso si lamenta, in riferimento all’art. 360 c.p.c., comma 1, n. 3), violazione dell’art. 2 Cost.. Dopo aver richiamato alcuni specifici passaggi della sentenza impugnata, il ricorrente osserva che essa avrebbe erroneamente finito per considerare il diritto di cronaca sempre prevalente sui diritti individuali previsti dall’art. 2 Cost., tra i quali il diritto all’oblio. Precisa il ricorrente di non aver mai affermato che le notizie pubblicate fossero di contenuto ingiurioso o diffamatorio ovvero prive di fondamento. Il punto centrale risiederebbe, invece, nella necessità di stabilire se sia legittimo pubblicare, o meglio ripubblicare, dopo ventisette anni, la notizia di un tragico avvenimento con modalità tali da rendere facile e sicura l’individuazione dell’omicida. Il che, ad avviso del ricorrente, è realmente avvenuto, con conseguente sua esposizione ad una rinnovata notorietà che gli aveva portato gravi danni. 2. Col secondo motivo di ricorso si lamenta, in riferimento all’art. 360 c.p.c., comma 1, n. 3), violazione dell’art. 3 Cost.. La doglianza si rivolge nei confronti della motivazione della sentenza impugnata là dove essa afferma che la pubblicazione di una notizia risalente nel tempo può fondarsi sulla necessità di un’informazione volta a concorrere con l’evoluzione sociale. Una simile interpretazione dell’art. 21 Cost., secondo il ricorrente, è in contrasto col principio costituzionale di uguaglianza. Il ricorrente ricorda di aver commesso il delitto ma di avere anche scontato la pena e di essersi reinserito nel contesto sociale, mentre la pubblicazione dell’articolo avrebbe compromesso tale reinserimento andando a col-

pire la sua dignità personale; e la sentenza impugnata avrebbe leso anche l’art. 27 Cost., perché la ripubblicazione nel (omissis) di un articolo risalente al (OMISSIS) costituirebbe ‘una pena disumana per qualsiasi persona, per quanto colpevole di un grave delitto’. 3. Col terzo motivo di ricorso si lamenta, in riferimento all’art. 360 c.p.c., comma 1, n. 3), violazione e falsa applicazione degli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea sottoscritta a Nizza il 7 dicembre 2000. Ricorda il ricorrente che l’art. 7 cit. impone che venga rispettato, per ciascun individuo, il diritto alla propria vita privata e familiare, mentre l’art. 8 cit. garantisce il diritto alla protezione dei dati che riguardano ciascun individuo. Ad avviso del ricorrente, considerare lecito, o addirittura doveroso, il mantenimento in vita del ricordo di un fatto tanto doloroso avvenuto molti anni prima violerebbe entrambe le norme sovranazionali ora richiamate. L’ordinanza interlocutoria. 4. L’ordinanza interlocutoria chiarisce, innanzitutto, che l’esame dei motivi di ricorso impone di affrontare il problema del bilanciamento tra il diritto di cronaca, posto al servizio dell’interesse pubblico all’informazione, e il diritto all’oblio, finalizzato alla tutela della riservatezza della persona; ed aggiunge che, in considerazione della specifica concreta vicenda, non viene in esame il problema del diritto all’oblio connesso con la realizzazione di archivi di notizie digitalizzati e fruibili direttamente on line. Tanto premesso, l’ordinanza rammenta che il diritto di cronaca, per pacifica e risalente acquisizione della giurisprudenza sia civile che penale, è un diritto pubblico soggettivo fondato sulla previsione dell’art. 21 Cost., che sancisce il principio della libera manifestazione del pensiero e della libertà di stampa. Tale diritto non è, peraltro, senza limiti, come la giurisprudenza ha da tem-

DIRITTO DI INTERNET N. 4/2019

717

GIURISPRUDENZA CIVILE po riconosciuto, indicando la necessità della sussistenza di tre condizioni, costituite dall’utilità sociale dell’informazione, della verità oggettiva o anche solo putativa dei fatti e della forma civile dell’esposizione, che deve essere sempre rispettosa della dignità della persona. Il diritto all’oblio ‘è collegato, in coppia dialettica, al diritto di cronaca’, posto che esso sussiste quando ‘non vi sia più un’apprezzabile utilità sociale ad informare il pubblico; ovvero la notizia sia diventata ‘falsa’ in quanto non aggiornata o, infine, quando l’esposizione dei fatti non sia stata commisurata all’esigenza informativa ed abbia arrecato un vulnus alla dignità dell’interessato’. Richiamate alcune pronunce della Terza Sezione Civile, l’ordinanza interlocutoria osserva che il diritto all’oblio è stato oggetto di alcune recenti pronunce della Prima Sezione Civile le quali hanno riconosciuto, a determinate condizioni, la prevalenza del medesimo sul diritto all’informazione. In particolare, l’ordinanza interlocutoria si sofferma sui principi enunciati dall’ordinanza 20 marzo 2018, n. 6919, la quale ha affermato che il diritto all’oblio può essere recessivo, rispetto al diritto di cronaca, solo in presenza di determinate condizioni, fra le quali il contributo arrecato dalla diffusione della notizia ad un dibattito di interesse pubblico, l’interesse effettivo ed attuale alla diffusione, la grande notorietà del soggetto rappresentato, le modalità in concreto impiegate e la preventiva informazione dell’interessato finalizzata a consentirgli il diritto di replica prima della divulgazione. D’altra parte, la materia è stata oggetto anche di un recente intervento della legislazione Europea, con il Regolamento UE n. 2016/679, il cui art. 17 prevede che, a determinate condizioni, l’interessato abbia diritto a chiedere la rimozione dei dati personali che lo riguardano e che siano stati resi pubblici. Rileva l’ordinanza, in conclusione, come paia ‘ormai indifferibile l’individuazione di univoci criteri di riferimento che consentano agli operatori del diritto (ed ai consociati) di conoscere preventivamente i presupposti in presenza dei quali un soggetto ha diritto di chiedere che una notizia, a sè relativa, pur legittimamente diffusa in passato, non resti esposta a tempo indeterminato alla possibilità di nuova divulgazione’. Cenni al quadro normativo interno ed Europeo. 5. La materia in questione, come rileva l’ordinanza interlocutoria, viene ad intrecciarsi con un complesso quadro normativo che involge sia la normativa nazionale che quella Europea. Imprescindibile punto di partenza sono le disposizioni della nostra Costituzione e, in particolare, gli artt. 2, 3 e 21 della medesima, che hanno ad oggetto i diritti inviolabili, la tutela della persona, il principio di uguaglianza e il diritto di cronaca inteso, secondo la formula costituzionale, come ‘diritto di manifestare liberamente il proprio pensiero’.

718

DIRITTO DI INTERNET N. 4/2019

Deve poi essere richiamata, anche solo nei suoi punti essenziali, la normativa interna contenuta nella legislazione ordinaria: la L. 8 febbraio 1948, n. 47, sulla stampa, le norme del codice penale sulla diffamazione e quelle sulla tutela della riservatezza (originariamente contenute nella L. 31 dicembre 1996, n. 675, e oggi trasfuse nel codice in materia di dati personali di cui al D.Lgs. 30 giugno 2003, n. 196); così come vanno menzionate altre fonti che hanno una grande importanza nel caso odierno, e cioè il codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica (emanato per la prima volta in data 29 luglio 1998 con provvedimento del Garante per la protezione dei dati personali e poi in ultimo ribadito con il recente provvedimento del 29 novembre 2018 della medesima Autorità, sulla scia delle numerose modifiche introdotte dal D.Lgs. 10 agosto 2018, n. 101). Deve essere poi citato anche il Testo unico dei doveri del giornalista che il Consiglio nazionale dell’ordine ha approvato in data 27 gennaio 2016, il quale contiene una serie di preziose indicazioni sulle quali in seguito si tornerà. La normativa interna va poi letta in coordinamento con quella sovranaziona le. In particolare, l’art. 8 della Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, ratificata nel nostro Paese con la L. 4 agosto 1955, n. 848, dispone che ogni persona ‘ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza’; l’art. 7 della Carta dei diritti fondamentali dell’Unione Europea, nel ribadire la formula del citato art. 8, sostituisce al termine ‘corrispondenza’ quello più moderno di ‘comunicazioni’, mentre l’art. 8 della medesima Carta prevede il diritto di ogni persona ‘alla protezione dei dati di carattere personale che la riguardano’ e dispone che tali dati siano trattati ‘secondo il principio di lealtà’, sotto il controllo di un’autorità indipendente. Ed anche l’art. 16 del Trattato sul funzionamento dell’Unione Europea, nella versione consolidata risultante dal Trattato di Lisbona, prevede il diritto di ogni persona ‘alla protezione dei dati di carattere personale che la riguardano’. Assai di recente, infine, l’Unione Europea è tornata ad occuparsi della materia emanando il Regolamento 2016/679/UE del Parlamento Europeo e del Consiglio, che ha ad oggetto la ‘protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati’, atto che abroga la precedente direttiva 95/46/CE e che contiene, nel suo art. 17, un preciso riferimento al diritto alla ‘cancellazione’ (tra parentesi definito come ‘diritto all’oblio’). Tale Regolamento ha reso necessaria l’emanazione del citato D.Lgs. n. 101 del 2018. La giurisprudenza di questa Corte.

GIURISPRUDENZA CIVILE 6. Giova premettere, nelle sue linee essenziali, una rapida panoramica dell’evoluzione della giurisprudenza sull’argomento. E’ opportuno considerare che i limiti al corretto esercizio del diritto di cronaca sono stati fissati, almeno nelle linee fondamentali, già in un’epoca ormai lontana (v., tra tutte, la nota sentenza 18 ottobre 1984, n. 5259, contenente il c.d. decalogo del giornalista). Il diritto all’oblio, invece, che aveva dato luogo ad alcune famose pronunce in altri Stati (leading cases) e che era stato affrontato, sia pure per una vicenda molto particolare, nella sentenza 13 maggio 1958, n. 1563 (per il caso del Questore di Roma coinvolto nella strage delle Fosse Ardeatine), ha fatto la sua comparsa ‘ufficiale’, se così può dirsi, nella sentenza 9 aprile 1998, n. 3679. In quell’occasione la Corte - richiamando la propria precedente elaborazione sul diritto di cronaca e, in particolare, sottolineando l’importanza rivestita dalla ‘attualità della notizia’ - ebbe ad evidenziare l’emergere di un ‘nuovo profilo del diritto alla riservatezza, recentemente definito anche come diritto all’oblio, inteso come giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata’; e già in quel caso la sentenza aggiunse che ‘quando il fatto precedente per altri eventi sopravvenuti ritorna di attualità, rinasce un nuovo interesse pubblico all’informazione, non strettamente legato alla contemporaneità tra divulgazione e fatto pubblico’. La sentenza qui richiamata, quindi, nel far rientrare il diritto all’oblio nell’ambito della più vasta categoria del diritto alla riservatezza (già individuato dalla giurisprudenza di questa Corte a partire dal noto caso di cui alla sentenza 27 maggio 1975, n. 2129), fece comprendere che il primo si differenzia dal secondo perché ha ad oggetto il diritto della persona a che certe notizie, già a suo tempo diffuse, non vengano ulteriormente diffuse a distanza di tempo. La giurisprudenza successiva è tornata più volte sul rapporto esistente tra il diritto di cronaca e il diritto alla riservatezza, anche senza fare riferimento al diritto all’oblio. La sentenza 9 giugno 1998, n. 5658, dopo aver riconosciuto il fondamento costituzionale del diritto alla riservatezza (art. 2 Cost.), osservò che esso ha un contenuto più ampio del diritto alla reputazione e che, nel bilanciamento con il diritto di cronaca, è recessivo a condizione che ricorrano tre condizioni, costituite dalla utilità sociale della notizia, dalla verità dei fatti divulgati e dalla forma civile dell’espressione. In tempi più recenti, la sentenza 24 aprile 2008, n. 10690, ha ricordato che ‘il diritto alla riservatezza, il quale tutela l’esigenza della persona a che i fatti della sua vita privata non siano pubblicamente divulgati, è

confluito nel diritto alla protezione dei dati personali a seguito della disciplina contenuta nella L. 31 dicembre 1996, n. 675’; dopo aver chiarito che la sua violazione è fonte di illecito civile ai sensi dell’art. 2 Cost., la sentenza ha aggiunto che ‘la libertà di stampa prevale sul diritto alla riservatezza e all’onore, purché la pubblicazione sia giustificata dalla funzione dell’informazione e sia conforme ai canoni della correttezza professionale’. In particolare, deve sussistere ‘un apprezzabile interesse del pubblico alla conoscenza dei fatti privati’, in considerazione di finalità culturali o didattiche e, comunque, di una rilevanza sociale dei fatti stessi. In continuità con i menzionati precedenti, questa Corte ha stabilito che al giornalista è consentito divulgare dati sensibili senza il consenso del titolare né l’autorizzazione del Garante per la tutela dei dati personali, a condizione che la divulgazione sia ‘essenziale’ ai sensi dell’art. 6 del codice deontologico dei giornalisti, e cioè indispensabile in considerazione dell’originalità del fatto o dei modi in cui è avvenuto; valutazione che costituisce accertamento in fatto rimesso al giudice di merito (sentenza 12 ottobre 2012, n. 17408; si trattava, in quel caso, della rivelazione delle abitudini sessuali di una persona divenuta pubblicamente nota a causa di un gravissimo fatto di sangue che l’aveva vista come imputata). Occorre poi ricordare la sentenza 5 aprile 2012, n. 5525, nella quale per la prima volta questa Corte è stata chiamata ad affrontare il problema dei rapporti esistenti tra le notizie già pubblicate in passato in quanto attinenti a fatti di interesse pubblico (anche in quel caso di trattava di una vicenda giudiziaria) ed il permanere delle stesse nella rete internet (nella specie, il permanere della notizia nell’archivio informatico di un grande quotidiano di rilevanza nazionale). Nel tracciare i confini di un concreto bilanciamento degli interessi tra valori contrapposti, tutti di rilevanza costituzionale, la sentenza in esame ha ribadito che se ‘l’interesse pubblico sotteso al diritto all’informazione (art. 21 Cost.) costituisce un limite al diritto fondamentale alla riservatezza (artt. 21 e 2 Cost.), al soggetto cui i dati appartengono è correlativamente attribuito il diritto all’oblio, e cioè a che non vengano ulteriormente divulgate notizie che per il trascorrere del tempo risultino ormai dimenticate o ignote alla generalità dei consociati’. In quella pronuncia la Corte ha posto in luce che rispetto all’interesse del soggetto ‘a non vedere ulteriormente divulgate notizie di cronaca che lo riguardano, si pone peraltro l’ipotesi che sussista o subentri l’interesse pubblico alla relativa conoscenza o divulgazione per particolari esigenze di carattere storico, didattico, culturale’; ciò in quanto un fatto di cronaca può ‘assumere rilevanza come fatto storico’, giustificando in tal modo il permanere dell’interesse della collettività alla fruizione di quel fatto. Il trascorrere del tempo, però, impone che la notizia sia anche aggiornata, posto

DIRITTO DI INTERNET N. 4/2019

719

GIURISPRUDENZA CIVILE che la sua diffusione negli stessi termini in cui aveva avuto luogo in origine potrebbe fare sì che essa risulti ‘sostanzialmente non vera’. La difficoltà di stabilire un’esatta linea di confine tra il diritto di cronaca e quello alla riservatezza inteso come diritto all’oblio è evidente nella sentenza 26 giugno 2013, n. 16111, la cui vicenda, benché molto diversa da quella oggi all’esame delle Sezioni Unite, contiene tuttavia alcuni evidenti punti di contatto. Chiamata ad esaminare il caso della pubblicazione di un articolo di giornale nel quale la vicenda personale di un ex terrorista era stata accostata al ritrovamento di un arsenale di armi in luoghi non lontani dalla residenza dello stesso, questa Corte ha osservato che l’ex terrorista essendo stato condannato a pena detentiva ed avendola espiata, con conseguente faticoso reinserimento nel contesto sociale - desiderava soltanto di essere dimenticato, affinché la sua drammatica storia personale, appartenente ormai al passato, non risultasse un macigno così ingombrante da precludergli la ripresa di una vita normale. In quella sentenza la Corte, pur riconoscendo che le vicende relative ai c.d. anni di piombo ‘appartengono certamente alla memoria storica del nostro Paese’, ha spiegato che ‘ciò non si traduce nell’automatica sussistenza di un interesse pubblico alla conoscenza di eventi che non hanno più, se non in via del tutto ipotetica e non dimostrata, alcun oggettivo collegamento con quei fatti e con quell’epoca’. Ragione per cui ‘la diffusione di notizie personali in una determinata epoca ed in un determinato contesto non legittima, di per sè, che le medesime vengano utilizzate molti anni dopo, in una situazione del tutto diversa e priva di ogni collegamento col passato’. La giurisprudenza più recente ha ulteriormente consolidato gli approdi raggiunti. E così la sentenza 6 giugno 2014, n. 12834, affrontando il problema del rapporto tra diritto di cronaca e tutela dell’immagine - si trattava, in quel caso, della pubblicazione di un articolo relativo all’esecuzione della misura degli arresti domiciliari a carico di una persona poi assolta con formula piena - ha ribadito che la pubblicazione su un quotidiano della foto di una persona in coincidenza cronologica col momento del suo arresto deve rispettare non solo le condizioni, ormai ben note, per il legittimo esercizio del diritto di cronaca, ma anche le particolari cautele imposte dalla tutela della dignità della persona, che viene colta in un frangente di particolare debolezza. La sentenza ha anche aggiunto che l’accertamento sulla legittimità della pubblicazione è indagine che va condotta caso per caso, tenendo presente la previsione dell’art. 8 del codice deontologico dei giornalisti. Da ultimo, come richiamata dall’ordinanza interlocutoria, va citata l’ordinanza 20 marzo 2018, n. 6919, nella quale la Corte, in relazione ad una vicenda molto particolare che aveva ad oggetto un noto cantante, ha cercato

720

DIRITTO DI INTERNET N. 4/2019

di ricapitolare i termini del problema, anche alla luce del suindicato Regolamento UE che nel frattempo era stato emanato. Dopo aver ricordato come l’esistenza del diritto all’oblio sia stata riconosciuta anche dalla giurisprudenza sovranazionale, la pronuncia ha osservato che il trascorrere del tempo viene a mutare il rapporto tra i contrapposti diritti; per cui, fatta eccezione per il caso di una persona che rivesta un ruolo pubblico particolare o per quello in cui la notizia mantenga nel tempo un interesse pubblico, ‘la pubblicazione di una informazione concernente una persona determinata, a distanza di tempo da fatti ed avvenimenti che la riguardano, non può che integrare la violazione del fondamentale diritto all’oblio’. Interessanti contributi provengono anche dalla giurisprudenza penale. Deve essere menzionata, in particolare, la sentenza 22 giugno 2017 (3 agosto 2017), n. 38747, pronunciata in un processo per diffamazione a carico del direttore e di un giornalista di un noto quotidiano nazionale, a seguito della pubblicazione di un articolo riguardante Vittorio Emanuele di Savoia. In quella pronuncia la Corte ha rilevato che era indubbia la rilevanza pubblica della notizia rievocata (nella specie, l’uccisione di un uomo all’isola di Cavallo per mano di Vittorio Emanuele di Savoia, benché avvenuta molti anni prima), perché l’articolo era stato scritto in occasione della cerimonia di riapertura della reggia di Venaria, alla quale aveva partecipato Vittorio Emanuele di Savoia, così com’era indubbia l’esistenza di un pubblico interesse a conoscere le vicende di un soggetto che ‘è figlio dell’ultimo re d’Italia e, secondo il suo dire, erede al trono d’Italia’; per cui il diritto all’oblio doveva nella specie cedere di fronte al diritto della collettività ‘ad essere informata e aggiornata sui fatti da cui dipende la formazione dei propri convincimenti’. Alcune pronunce della giurisprudenza Europea. 7. Ai fini di un corretto inquadramento della vicenda odierna occorre anche dare conto di alcune pronunce che negli ultimi anni sono state emesse dalle Corti Europee. Va innanzitutto menzionata la sentenza 13 maggio 2014 della Corte di giustizia dell’Unione Europea (in causa C-131/12 Google Spain). Si tratta di una vicenda che aveva ad oggetto il problema dell’accesso ai dati esistenti sulla rete internet alla luce dell’allora vigente direttiva 95/46/CE del Parlamento Europeo e del Consiglio, poi abrogata, come s’è detto, dal Regolamento 2016/679/UE; in particolare, la terza questione esaminata (punti 89 e ss.) riguardava il diritto dell’interessato ad ottenere che il motore di ricerca sopprimesse determinati dati dall’elenco dei risultati reperibili sulla rete. Non è il caso di soffermarsi sui particolari del caso, ma sono importanti i principi enunciati. La Corte di giustizia ha premesso (punto 92) che il trattamento dei dati personali può risultare incompatibile con l’art. 12,

GIURISPRUDENZA CIVILE lett. b), della direttiva non soltanto se i dati sono inesatti, ma anche se essi sono inadeguati, non pertinenti o eccessivi in rapporto alle finalità del trattamento, oppure non aggiornati o conservati per un arco di tempo superiore a quello necessario, ‘a meno che la loro conservazione non si imponga per motivi storici, statistici o scientifici’. Ha altresì affermato la Corte che il diritto dell’interessato, derivante dagli artt. 7 e 8 della Carta, a chiedere ‘che l’informazione in questione non venga più messa a disposizione del grande pubblico’ mediante la sua inclusione in un elenco accessibile tramite internet prevale, in linea di massima, sull’interesse economico del gestore del motore di ricerca ed anche su quello del pubblico a reperire tale informazione in rete; a meno che non risultino ragioni particolari, ‘come il ruolo ricoperto da tale persona nella vita pubblica’, tali da rendere preponderante e giustificato l’interesse del pubblico ad avere accesso a tale informazione (punto 97). Risolvendo il caso specifico - nel quale l’attore aveva chiesto l’eliminazione del dato che collegava la sua persona ad un pignoramento effettuato per la riscossione coattiva di crediti previdenziali - la Corte ha affermato che sussisteva il diritto alla soppressione dei link corrispondenti esistenti nella rete, in quanto anche in considerazione del lungo lasso di tempo trascorso (sedici anni dalla pubblicazione originaria), l’interessato aveva diritto a che quelle informazioni non fossero più collegate alla sua persona. A conclusioni non dissimili, sia pure in relazione ad un diverso contesto, è pervenuta la Corte Europea dei diritti dell’uomo nella nota sentenza 19 ottobre 2017. Si trattava, in quel caso, della vicenda di un uomo d’affari ucraino residente in Germania, amministratore di società televisive. Pubblicato su di un quotidiano di larga diffusione un articolo relativo al suo coinvolgimento in vicende di corruzione finalizzate ad ottenere licenze televisive in Ucraina, l’interessato aveva chiesto ai giudici tedeschi che il contenuto dell’articolo on line venisse rimosso. I giudici tedeschi avevano respinto la richiesta, in considerazione dell’influenza del soggetto all’interno della società tedesca e dell’interesse pubblico alla conoscenza del fatto reato. Adita dall’interessato per presunta violazione, da parte delle autorità tedesche, dell’art. 8 della CEDU, la Corte di Strasburgo ha escluso che potesse, nella specie, ritenersi violato il diritto al rispetto della vita privata e familiare; e, dando atto dell’avvenuto bilanciamento, da parte dei giudici nazionali, dei due interessi in conflitto, la sentenza ha dichiarato di concordare con il ragionamento svolto dai giudici tedeschi, nel senso che l’articolo contestato aveva contribuito ad un dibattito di interesse generale e che c’era un interesse pubblico nel presunto coinvolgimento del richiedente e nel fatto di averlo menzionato per nome (punto 37). Ragioni, queste, considerate sufficienti a far prevalere il diritto della

generalità dei consociati alla conoscenza dei fatti rispetto a quello del privato all’oblio sui medesimi. Potrebbero essere richiamate anche altre pronunce, i cui principi comunque non si discostano da quelli già riassunti. Giova tuttavia ricordare, nel tentativo di enucleare una sintesi dei criteri indicati dalle Corti Europee, che il bilanciamento tra l’interesse del singolo ad essere dimenticato e quello opposto della collettività a mantenere viva la memoria di fatti a suo tempo legittimamente divulgati presuppone un complesso giudizio nel quale assumono rilievo decisivo la notorietà dell’interessato, il suo coinvolgimento nella vita pubblica, il contributo ad un dibattito di interesse generale, l’oggetto della notizia, la forma della pubblicazione ed il tempo trascorso dal momento in cui i fatti si sono effettivamente verificati. Delimitazione del campo di indagine in relazione alla concreta vicenda. 8. Così inquadrato, nelle sue linee normative e giurisprudenziali generali, il problema giuridico posto dall’ordinanza interlocutoria, ritengono le Sezioni Unite di dover innanzitutto compiere una delimitazione del campo di indagine della presente pronuncia. Come risulta dalla tracciata panoramica della giurisprudenza nazionale ed Europea e come è stato illustrato con chiarezza anche dalla dottrina, quando si parla di diritto all’oblio ci si riferisce, in realtà, ad almeno tre differenti situazioni: quella di chi desidera non vedere nuovamente pubblicate notizie relative a vicende, in passato legittimamente diffuse, quando è trascorso un certo tempo tra la prima e la seconda pubblicazione; quella, connessa all’uso di internet ed alla reperibilità delle notizie nella rete, consistente nell’esigenza di collocare la pubblicazione, avvenuta legittimamente molti anni prima, nel contesto attuale (è il caso della sentenza n. 5525 del 2012); e quella, infine, trattata nella citata sentenza Google Spain della Corte di giustizia dell’Unione Europea, nella quale l’interessato fa valere il diritto alla cancellazione dei dati. Il caso oggi in esame corrisponde alla prima delle tre ipotesi suindicate e rappresenta, per così dire, un caso classico, cioè un caso connesso col problema della libertà di stampa e la diffusione della notizia a mezzo giornalistico, rimanendo perciò escluso ogni collegamento con i problemi posti dalla moderna tecnologia e dall’uso della rete internet. Si tratta cioè dell’ipotesi in cui non si discute della legittimità della pubblicazione, quanto, invece, della legittimità della ripubblicazione di quanto è stato già a suo tempo diffuso senza contestazioni. La presente sentenza, quindi, si soffermerà soltanto su questo aspetto e la scelta di delimitare il campo di indagine non è frutto di un arbitrio decisionale, ma della semplice constatazione per cui ogni pronuncia giudiziaria trova il proprio limite nel collegamento con una vicenda concreta. Com’è stato incisivamente detto nelle note sentenze sulla compensatio lucri cum damno, alle Sezioni

DIRITTO DI INTERNET N. 4/2019

721

GIURISPRUDENZA CIVILE Unite non è affidata ‘l’enunciazione di principi generali e astratti o di verità dogmatiche sul diritto, ma la soluzione di questioni di principio di valenza nomofilattica pur sempre riferibili alla specificità del singolo caso della vita’ (sentenze 22 maggio 2018, n. 12564, n. 12565, n. 12566 e n. 12567). In coerenza, quindi, con i limiti del petitum e con le funzioni istituzionali della Suprema Corte, la presente decisione si atterrà ai confini ora indicati. E’ appena il caso di rilevare, del resto, che l’ordinanza interlocutoria ha posto il problema dei rapporti tra il diritto di cronaca e il diritto all’oblio; ora, se è vero che questo rapporto può risultare conflittuale anche in relazione a fattispecie nelle quali si discute della permanenza o della cancellazione dei dati sulla rete internet, è anche vero che i problemi che derivano dall’uso di tale strumento non sempre sono connessi con l’esercizio del diritto di cronaca (indicativo in tal senso è il caso affrontato nell’ordinanza 9 agosto 2017, n. 19761, dove si discuteva del diritto dell’interessato ad impedire la permanente circolazione on line di una serie di informazioni di carattere commerciale, senza che venisse in alcun modo in esame il diritto di cronaca). Il problema in esame e la sua soluzione. 9. Ai fini della soluzione del problema in esame, le Sezioni Unite ritengono di dover innanzitutto spostare la prospettiva dell’indagine rispetto all’ordinanza interlocutoria la quale, come detto, ha chiesto di indicare quale sia la linea di confine tra il diritto di cronaca e il diritto all’oblio. La corretta premessa dalla quale bisogna muovere è che quando un giornalista pubblica di nuovo, a distanza di un lungo periodo di tempo, una notizia già pubblicata la quale, all’epoca, rivestiva un interesse pubblico - egli non sta esercitando il diritto di cronaca, quanto il diritto alla rievocazione storica (storiografica) di quei fatti. Lo stesso termine ‘diritto di cronaca’, infatti, trae la propria etimologia dalla parola greca Kpovoc, che significa, appunto, tempo; il che vuol dire che si tratta di un diritto avente ad oggetto il racconto, con la stampa o altri mezzi di diffusione, di un qualcosa che attiene a quel tempo ed è, perciò, collegato con un determinato contesto. Ciò non esclude, naturalmente, che in relazione ad un evento del passato possano intervenire elementi nuovi tali per cui la notizia ritorni di attualità, di modo che diffonderla nel momento presente rappresenti ancora una manifestazione del diritto di cronaca (in tal senso già la citata sentenza n. 3679 del 1998); in assenza di questi elementi, però, tornare a diffondere una notizia del passato, anche se di sicura importanza in allora, costituisce esplicazione di un’attività storiografica che non può godere della stessa garanzia costituzionale che è prevista per il diritto di cronaca. Va detto subito, per evitare fraintendimenti, che l’attività storiografica, intesa appunto come rievocazione di

722

DIRITTO DI INTERNET N. 4/2019

fatti ed eventi che hanno segnato la vita di una collettività, fa parte della storia di un popolo, ne rappresenta l’anima ed è, perciò, un’attività preziosa. Ma proprio perché essa è ‘storia’, non può essere considerata ‘cronaca’. Ne deriva che simile rievocazione, a meno che non riguardi personaggi che hanno rivestito o rivestono tuttora un ruolo pubblico, ovvero fatti che per il loro stesso concreto svolgersi implichino il richiamo necessario ai nomi dei protagonisti, deve svolgersi in forma anonima, perché nessuna particolare utilità può trarre chi fruisce di quell’informazione dalla circostanza che siano individuati in modo preciso coloro i quali tali atti hanno compiuto. In altre parole, l’interesse alla conoscenza di un fatto, che costituisce manifestazione del diritto ad informare e ad essere informati e che rappresenta la spinta ideale che muove ogni ricostruzione storica, non necessariamente implica la sussistenza di un analogo interesse alla conoscenza dell’identità della singola persona che quel fatto ha compiuto. Un’altra importante precisazione è necessaria. La decisione di un quotidiano, di un settimanale o comunque di una testata giornalistica di procedere alla rievocazione storica di fatti ritenuti importanti in un determinato contesto sociale e territoriale non può essere messa in discussione in termini di opportunità. La scelta di una linea editoriale o piuttosto di un’altra rappresenta una delle forme in cui si manifesta la libertà di stampa e di informazione tutelata dalla Costituzione; per cui non può essere sindacata la decisione - tanto per fare un riferimento al caso oggi in esame - di pubblicare con cadenza settimanale, nell’arco di un certo periodo di tempo, la ricostruzione storica di una serie di fatti criminosi che hanno coinvolto e impressionato in modo particolare la vita di una collettività in un determinato periodo. Ciò che, al contrario, può e deve essere verificato dal giudice di merito è se, pacifico essendo il diritto alla ripubblicazione di una certa notizia, sussista o meno un interesse qualificato a che essa venga diffusa con riferimenti precisi alla persona che di quella vicenda fu protagonista in un passato più o meno remoto; perché l’identificazione personale, che rivestiva un sicuro interesse pubblico nel momento in cui il fatto avvenne, potrebbe divenire irrilevante, per i destinatari dell’informazione, una volta che il tempo sia trascorso e i fatti, anche se gravi, si siano sbiaditi nella memoria collettiva. Il che significa che il diritto ad informare, che sussiste anche rispetto a fatti molto lontani, non equivale in automatico al diritto alla nuova e ripetuta diffusione dei dati personali. E’ questo, in definitiva, il costante filo rosso che tiene unita la giurisprudenza nazionale ed Europea richiamata in precedenza. Ed è questo il senso dell’affermazione, più volte rintracciabile nella citata giurisprudenza, secondo cui il trascorrere del tempo modifica l’esito del bilanciamento tra i contrapposti diritti e porta il prota-

GIURISPRUDENZA CIVILE gonista di un fatto come quello di cui oggi si discute - che nessun diritto alla riservatezza avrebbe potuto opporre nel momento in cui il fatto avvenne - a riappropriarsi della propria storia personale. L’ormai lontana sentenza n. 1563 del 1958 coniò, in relazione alla drammatica vicenda del Questore di Roma, la cupa ma felice espressione di ‘diritto al segreto del disonore’. Tale espressione rappresenta in modo plastico il fatto che la notizia della quale il soggetto si riappropria potrebbe essere anche - e sovente ciò accade, specie quando il diritto di cronaca ha ad oggetto vicende giudiziarie, come nel caso odierno - vergognosa o comunque tale da far sorgere il legittimo desiderio del silenzio. In questa linea vanno lette la sentenza n. 5525 del 2012 - la quale evidenzia l’importanza che il trascorrere del tempo assume rispetto alle posizioni degli interessati ed alla necessità che la notizia venga aggiornata - nonché la sentenza n. 16111 del 2013 la quale, come si è detto, ha sottolineato la circostanza, decisiva anche nel caso odierno, secondo cui una notizia che rivestiva un interesse pubblico in un certo contesto non necessariamente continua a poter essere divulgata con tutti i suoi riferimenti personali quando il lungo tempo trascorso ha reso ormai inesistente quell’interesse. Nella stessa linea va letto il caso di Vittorio Emanuele di Savoia, in cui l’interesse pubblico alla rievocazione del fatto di cronaca nasceva dall’evidente notorietà pubblica della persona; e un’ulteriore conferma viene anche dalla citata sentenza 19 ottobre 2017 là dove la Corte Europea dei diritti dell’uomo ha posto in evidenza che la notorietà pubblica del soggetto dava ragione dell’interesse della collettività alla conoscenza della sua vicenda personale, da ritenere prevalente rispetto al contrapposto interesse di chi voleva mantenere il riserbo sulla medesima. Ritengono queste Sezioni Unite che in una simile risoluzione dei contrapposti interessi si inseriscano in modo armonioso anche le regole di cui al citato Testo unico dei doveri del giornalista, di recente approvazione. Proprio questo testo, nel ribadire (art. 1) che l’attività del giornalista ‘si ispira alla libertà di espressione sancita dalla Costituzione italiana’ è che è ‘diritto insopprimibile del giornalista la libertà di informazione e di critica’, aggiunge poi, nel successivo art. 3, comma 1, che il giornalista ‘rispetta il diritto all’identità personale ed evita di far riferimento a particolari relativi al passato, salvo quando essi risultino essenziali per la completezza dell’informazione’. Mentre l’art. 3, comma 2, aggiunge, dimostrando una lodevole attenzione verso i destinatari, che il giornalista, ‘nel diffondere a distanza di tempo dati identificativi del condannato, valuta anche l’incidenza della pubblicazione sul percorso di reinserimento sociale dell’interessato e sulla famiglia’, tenendo presente (comma 3) che ‘il reinserimento sociale è un passaggio complesso, che può avvenire a fine pena oppure gradualmente’.

Risulta anche dal codice di autoregolamentazione della categoria, dunque, l’avvertita necessità di tutelare il diritto prezioso alla informazione ma anche di proteggere chi può ricevere danni, come nella specie, dalla rievocazione di fatti ormai sopiti nella memoria collettiva. Ritengono, pertanto, le Sezioni Unite che debba essere ribadita la rilevanza costituzionale sia del diritto di cronaca che del diritto all’oblio; quando, però, una notizia del passato, a suo tempo diffusa nel legittimo esercizio del diritto di cronaca, venga ad essere nuovamente diffusa a distanza di un lasso di tempo significativo, sulla base di una libera scelta editoriale, l’attività svolta dal giornalista riveste un carattere storiografico; per cui il diritto dell’interessato al mantenimento dell’anonimato sulla sua identità personale è prevalente, a meno che non sussista un rinnovato interesse pubblico ai fatti ovvero il protagonista abbia ricoperto o ricopra una funzione che lo renda pubblicamente noto. E’ opportuno sottolineare, infine, che la materia in esame di per sè sfugge ad una precisa catalogazione e richiede di volta in volta, invece, la paziente e sofferta valutazione dei giudici di merito. La decisione del caso in esame. 10. Alla luce delle riflessioni svolte fin qui, può essere affrontata la decisione del caso concreto. La sentenza impugnata non ha fatto buon governo dei principi enunciati e deve, pertanto, essere cassata, in accoglimento dei motivi dell’odierno ricorso. Essa, infatti, ha commesso un primo errore là dove ha richiamato il diritto di cronaca e l’ha posto a confronto con il diritto all’oblio. Nel caso in esame è invece evidente che l’iniziativa editoriale assunta dal quotidiano l’Unione sarda di avviare una rubrica settimanale intitolata ‘(OMISSIS)’, nella quale venivano ripercorsi diciannove omicidi ‘particolarmente efferati’ che avevano determinato un intenso dibattito nell’opinione pubblica locale, è un’iniziativa che assume un carattere storiografico. Iniziativa del tutto legittima alla luce dei criteri che la Corte d’appello ha richiamato, e cioè l’avvertita necessità di avviare una riflessione su temi delicati e di attualità, ‘quali l’emarginazione, la gelosia, la depressione, la prostituzione’. Ma la riconosciuta sussistenza dell’utilità di un pubblico dibattito su questi temi non dà ragione - e qui sta la seconda, decisiva, manchevolezza della pronuncia in esame - del perché tale rievocazione sia stata fatta riportando il nome e il cognome dei protagonisti, in tal modo rendendo il colpevole facilmente individuabile in una comunità locale di non grandissime dimensioni. La sentenza, cioè, non ha illustrato per quale ragione il risorgere dell’interesse a ricordare fatti di sangue di tanti anni prima richiedesse necessariamente l’indicazione del nome del S. e della sua defunta moglie; tanto più che l’odierno ricorrente non è certamente - o, almeno, la sentenza nulla dice

DIRITTO DI INTERNET N. 4/2019

723

GIURISPRUDENZA CIVILE su questo punto - una persona pubblicamente nota, il cui comportamento privato rivesta un interesse per il grande pubblico. Deve essere poi ulteriormente rilevato che la sentenza impugnata non ha neppure considerato, nel bilanciamento delle contrapposte tutele, la bontà del percorso di riabilitazione che il S. aveva compiuto nei ventisette anni intercorsi tra la prima e la seconda pubblicazione, scontando una lunga pena detentiva e reinserendosi, con tutte le comprensibili difficoltà che questo comporta, nel tessuto sociale produttivo. Il compito di una nuova valutazione della vicenda, alla luce delle indicazioni contenute nella presente sentenza, è rimesso al giudice di rinvio. 11. In conclusione, il ricorso è accolto e la sentenza impugnata è cassata. Il giudizio è rinviato alla Corte d’appello di Cagliari, in diversa composizione personale, la quale deciderà attenendosi al seguente principio di diritto: ‘In tema di rapporti tra il diritto alla riservatezza (nella sua particolare connotazione del c.d. diritto all’oblio) e il diritto alla rievocazione storica di fatti e vicende concernenti eventi del passato, il giudice di merito - ferma restando la libertà della scelta editoriale in ordine a tale

rievocazione, che è espressione della libertà di stampa e di informazione protetta e garantita dall’art. 21 Cost. - ha il compito di valutare l’interesse pubblico, concreto ed attuale alla menzione degli elementi identificativi delle persone che di quei fatti e di quelle vicende furono protagonisti. Tale menzione deve ritenersi lecita solo nell’ipotesi in cui si riferisca a personaggi che destino nel momento presente l’interesse della collettività, sia per ragioni di notorietà che per il ruolo pubblico rivestito; in caso contrario, prevale il diritto degli interessati alla riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell’onore e dei quali si sia ormai spenta la memoria collettiva (nella specie, un omicidio avvenuto ventisette anni prima, il cui responsabile aveva scontato la relativa pena detentiva, reinserendosi poi positivamente nel contesto socia le)’. Al giudice di rinvio è demandato anche il compito di liquidare le spese del presente giudizio di cassazione. P.Q.M. La Corte accoglie il ricorso, cassa la sentenza impugnata e rinvia alla Corte d’appello di Cagliari, in diversa composizione personale, anche per la liquidazione delle spese del giudizio di cassazione.

IL COMMENTO

di Dianora Poletti e Federica Casarosa Sommario: 1. Il diritto all’oblio sotto i riflettori. – 2. Il caso. – 3. La decisione delle Sezioni Unite. Dal diritto di cronaca a quello di rievocazione storica: quando il lasso di tempo può dirsi “significativo”? – 4. La tutela del diritto all’oblio nel quadro del diritto europeo e la declinazione offerta dalle Sezioni Unite. La decisione delle Sezioni Unite si rivolge alla qualificazione “classica” del diritto all’oblio, che deve essere bilanciata con il c.d. diritto alla rievocazione storica, distinto dal diritto di cronaca. La sentenza si segnala per una meritoria azione definitoria delle diverse accezioni del diritto all’oblio, di riesame del quadro normativo europeo e nazionale e di sistemazione della pregressa giurisprudenza. Tuttavia, l’affermazione finale che la materia in esame “sfugge ad una precisa catalogazione” e “richiede … la paziente e sofferta valutazione dei giudici di merito”, rischia di produrre, alla luce del quadro delineato, ancora nuove incertezze per l’interprete. The decision of the Grand Chamber of the Supreme court addresses the qualification of a “traditional” case for the right to be forgotten, which have to be balanced with a so-called right to historical recollection, different from press right to inform. The decision provides for a classification of the different meanings of the right to be forgotten, for a review of the European and national regulatory framework as well as for the systematisation of the previous jurisprudence. However, the court affirms at the end that the matter at stake “escapes from a precise classification” and “requires... the patient and painful evaluation of the lower courts’ judges”, triggering new ambiguities and uncertainties.

1. Il diritto all’oblio sotto i riflettori

Mai come oggi il c.d. diritto all’oblio (il “cosiddetto” è d’obbligo, per quanto si dirà) è sulla cresta dell’onda. La Corte di Giustizia si è appena occupata, con la decisione C-507/17 Google LLC c. Commission nationale de l’informatique et des libertés (1), del problema dell’e-

(1) Corte di Giustizia UE, 24 settembre 2019, Causa C-507/17.

724

DIRITTO DI INTERNET N. 4/2019

stensione dell’obbligo di deindicizzazione, affermato dalla celeberrima sentenza Google Spain del 2014 (2), ri-

(2) La sentenza è stata tra le più analizzate e commentate degli ultimi anni. Ex plurimis: Palmieri e Pardolesi, Dal diritto all’oblio all’occultamento in rete: traversie dell’informazione ai tempi di Google, in Nuovi Quaderni del Foro Italiano, 1, all’indirizzo <http://www.foroitaliano.it/wpcontent/ uploads/2014/05/quaderno-n-1.pdf>; Finocchiaro, La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems,

GIURISPRUDENZA CIVILE proponendo con nettezza il dilemma della territorialità della tutela nella dimensione globale e la sua incidenza sul piano dell’effettività dei diritti (3). La decisione delle Sezioni Unite qui in commento nulla ha a che vedere con questo profilo, ossia con il diritto all’oblio nel contesto digitale, ove la notizia perde le sue coordinate temporali e l’esigenza dell’utente di evitare che un certo contenuto che lo riguarda e ne pregiudica gli interessi non sia più fruibile on line, si dirige ormai verso il motore di ricerca e non nei confronti del c.d. sito sorgente. I giudici di legittimità affrontano infatti un’angolatura che i commentatori dell’ordinanza di rimessione (4) e la stessa decisione definiscono “classica” (5) o “tradizionale” (6) del diritto all’oblio, connessa all’impiego della carta stampata. Giova subito anticipare che le attese dell’ordinanza di rimessione, che chiedevano alle Sezioni Unite la definizione di “univoci criteri di riferimento” che potessero consentire agli “operatori del diritto (ed ai consociati) di conoscere preventivamente i presupposti in presenza dei quali un soggetto ha diritto di chiedere che una notizia, a sé relativa, pur legittimamente diffusa in passato, non resti esposta a tempo indeterminato alla possibilità di nuova divulgazione”, non risultano soddisfatte, posto che la decisione dichiara espressamente di spostare “la prospettiva dell’indagine rispetto all’ordinanza interlocutoria”. L’impressione finale è che la lente del diritto all’oblio continui a scomporre profili dei diritti della personalità in un’operazione che, se è servita a definire meglio l’essenza del diritto di cronaca, crea nuove incertezze per l’interprete. Anche la pur meritoria azione definitoria delle diverse accezioni del diritto all’oblio, di riesame

del quadro normativo europeo e nazionale e di sistemazione rispetto ad esse della pregressa giurisprudenza che si deve alla sentenza, conduce all’affermazione finale che la materi a in esame “sfugge ad una precisa catalogazione” e “richiede di volta in volta … la paziente e sofferta valutazione dei giudici di merito”. In questo contesto, piuttosto che segnalare le non sempre puntuali applicazioni del diritto all’oblio, anche compiute da precedenti decisioni dello stesso giudice a sezioni semplici (7) o denunciare il suo (a volte ipertrofico) impiego (8), si deve prendere atto dello sforzo in atto verso la non agevole rimodulazione del quadro dei diritti della personalità (in particolare, del diritto alla riservatezza e alla identità personale) nella realtà odierna, nella quale è necessario salvaguardare il pluralismo dell’informazione e la conoscenza critica. È indubbio che proprio dall’elaborazione giurisprudenziale del diritto all’oblio siano derivati nuovi contorni (e nuovi confini) al diritto di cronaca che utilizza e diffonde dati personali altrui (9). L’uso cronologicamente puntuale dell’informazione, che deve essere accompagnata dalla sua attualità (o dall’attualità dell’interesse verso la stessa) ha certamente rappresentato l’elemento volto a contrastare il sostanziale azzeramento della distanza temporale tra l’inserimento della notizia nella rete e la sua successiva circolazione. Le Sezioni Unite aggiungono a questo quadro un ulteriore tassello, rappresentato dal bilanciamento tra diritto a mantenere riservati nell’attualità fatti del passato e diritto alla rievocazione storica. La ricostruzione appare aderente al caso concreto e corretta nelle conclusioni, ma non risolve tutti i problemi applicativi che possono prospettarsi al riguardo.

2. Il caso in Dir. Inf., 2015, 779; Pollicino, Diritto all’oblio e conservazione di dati. La Corte di giustizia a piedi uniti: verso un digital right to privacy, in Giur. Cost., 2014, 2949; Resta e Zeno Zencovich (a cura di), Il diritto all’oblio su Internet dopo la sentenza Google Spain, Roma, 2015. (3) Si consideri anche la decisione Corte di Giustizia UE, 3 ottobre 2019, causa C-18/18, con la quale il giudice europeo ha affermato la portata territoriale globale dell’ingiunzione giudiziale di rimozione di contenuti diffamatori presenti su Facebook. Sulle due pronunce si veda l’editoriale di Pollicino, L’“autunno caldo” della Corte di giustizia in tema di tutela dei diritti fondamentali in rete e le sfide del costituzionalismo alle prese con i nuovi poteri privati in ambito digitale, in Federalismi, 16 ottobre 2019. Secondo l’autore, le pronunce sarebbero comunque meno lontane di quanto a prima vista potrebbe sembrare. (4) Cass., sezione III civile, ordinanza interlocutoria 5 novembre 2018, n. 28084, in Corr. giur., 2019, 5, con nota di Di Ciommo, Oblio e cronaca: rimessa alle Sezioni Unite la definizione dei criteri di bilanciamento. E v. anche l’editoriale di Finocchiaro, Diritto all’oblio e diritto di cronaca: una nuova luce su un problema antico, in <Giustiziacivile.com>, 15 gennaio 2019. (5) Il termine è in corsivo nel testo della sentenza. (6) Cuffaro, Cancellare i dati personali. Dalla damnatio memoriae al diritto all’oblio, in Persona e mercato dei dati, a cura di Zorzi Galgano, Padova, 2019, 228.

A distanza di ventisette anni, il sig. S. vedeva pubblicato in un quotidiano locale il fatto di cronaca nera che lo aveva coinvolto in prima persona nella stessa città. La pubblicazione aveva avuto l’effetto di riportare alla ribalta l’omicidio - tale era l’evento rammentato - per il

(7) Cass. 5 aprile 2012, n. 5525, in NGCC, 2012, 836, con comento di Mantelero, Right to be forgotten ed archivi storici dei giornali. La Cassazione travisa il diritto all’oblio. (8) Il riferimento alla “superfetazione” non è infrequente, almeno con riguardo a taluna giurisprudenza in tema: cfr. Cuffaro, op. cit., 228. Secondo Finocchiaro, Il diritto all’oblio nel quadro dei diritti della personalità, in Dir. inf. inform., 2014, spec. 600, il diritto all’oblio sarebbe un diritto strumentale all’esercizio di altri diritti: esigenze nuove possono infatti essere accolte da diritti già consolidati, nel caso di specie dal diritto alla protezione dei dati personali o dal diritto alla identità personale. (9) Non sempre il diritto all’oblio si contrappone al diritto di manifestazione del pensiero. É questo il caso deciso da Corte di Giustizia UE, 9 marzo 2017, causa C-398/15, su cui Mantelero, Non c’è oblio per i pubblici registri, in NGCC, 2017, 1017.

DIRITTO DI INTERNET N. 4/2019

725

GIURISPRUDENZA CIVILE quale il sig. S. era stato condannato e aveva già scontato la pena relativa. La scelta editoriale non era né gratuita né persecutoria nei confronti del ricorrente, poiché l’articolo era pubblicato nel quadro di una rubrica settimanale finalizzata a presentare fatti ed eventi che si erano svolti nella città nel corso degli ultimi trenta - quarant’anni. L’articolo in questione, inoltre, non indulgeva in critiche o in criminalizzazioni, ma operava una presentazione obiettiva e puntuale dei fatti con una continenza espositiva coerente e corretta. Per quanto l’articolo non esponesse notizie false, né si presentasse come offensivo della dignità del sig. S., questi presentava ricorso presso il giudice di primo grado lamentando la violazione del suo diritto all’oblio e chiedendo conseguentemente il ristoro dei danni subiti sia sotto il profilo morale sia sotto il profilo patrimoniale (10). Il Tribunale prima, e la Corte di Appello poi, hanno rigettato il ricorso sulla base del seguente ragionamento: il diritto all’oblio del sig. S., tutelato alla luce delle norme relative alla protezione dei dati personali, si poneva in conflitto con la libertà di stampa di cui godeva il quotidiano locale e il giornalista che aveva redatto l’articolo. Entrambi i diritti sono tutelati a livello costituzionale rispettivamente dall’art. 2 e dall’art.10 Cost., dunque devono essere oggetto di un bilanciamento alla luce dei criteri delineati dalla giurisprudenza di legittimità, tenendo conto dei limiti che possono essere posti all’esercizio dei diritti di cronaca e di critica (11). In particolare, il Tribunale, e con maggiore dettaglio la Corte di Appello, ritenevano la scelta editoriale del quotidiano rispettosa del diritto di cronaca in quanto finalizzata ad offrire “una sponda di riflessione per i lettori su temi delicati quali l’emarginazione, la gelosia, la depressione, la prostituzione, con tutti i risvolti e le implicazioni che queste realtà possono determinare nella vita quotidiana”. Il successivo ricorso di fronte alla Corte di Cassazione solleva un dubbio nella Terza Sezione civile che, in presenza di un’ampia ma talvolta divergente giurisprudenza di legittimità, in specie della Sezione Prima, presenta un’ordinanza interlocutoria alle Sezioni Unite della Corte stessa. La richiesta è quella di ricevere un indirizzo uniforme per discernere i criteri che debbano essere (10) Peraltro, dopo un reclamo presso l’Autorità garante dei dati personali che non aveva riscontrato alcuna violazione della normativa su cui essa potesse intervenire. Si veda il riferimento nell’Ordinanza interlocutoria 5 novembre 2018, n. 28084, cit. (11) Occorre per vero distinguere dal diritto di cronaca anche l’aspetto del diritto di critica, poiché nell’esercizio del primo occorre necessariamente attenersi anche al criterio della verità del fatto e il peso conferito a un simile presupposto non può essere lo stesso che viene attribuito alla critica: v. al riguardo Trib. Roma, ord. 1 febbraio 2019, con nota di Palazzolo, L’hosting provider tra libertà di impresa, diritto di critica e tutela della reputazione professionale, in questa Rivista, 2019, 520.

726

DIRITTO DI INTERNET N. 4/2019

applicati nel caso di bilanciamento fra diritto di cronaca posto al servizio dell’interesse pubblico all’informazione e c.d. diritto all’oblio - posto a tutela della riservatezza della persona - alla luce del quadro normativo e giurisprudenziale sia nazionale sia europeo. La Terza sezione, infatti, imputa all’elenco dei criteri definiti dalla Sezione Prima nella sentenza n. 6919/2018 (12), se ritenuti non alternativi, il risultato di condurre ad effetti estremamente limitativi della libertà di espressione, poiché sarebbe molto improbabile la loro concomitante presenza (13). A questo elenco la Terza sezione contrappone piuttosto un’analisi delle circostanze del caso, in cui vengano valutati i seguenti elementi: l’interesse pubblico alla conoscenza dei fatti, l’attualità di tale interesse, la gravità e la rilevanza penale del fatto, la completezza della notizia del fatto, la finalità di trattamento del dato, la notorietà della persona interessata, la chiarezza della forma espositiva utilizzata. Per evitare un possibile conflitto giurisprudenziale, la Terza sezione si rivolge alle Sezioni Unite al fine di ricevere linee guida uniformi in merito.

3. La decisione delle Sezioni Unite. Dal diritto di cronaca a quello di rievocazione storica: quando il lasso di tempo può dirsi “significativo”?

Come già precisato, la questione centrale viene disattesa dalla decisione che, pur compiendo nella sua motivazione una disamina puntuale delle diverse forme di conflitto fra libertà di espressione (e dunque diritto di

(12) Cass., Sezione I civile, 20 marzo 2018, n. 6919, in Foro it., 2018, I, 1151, con nota di Pardolesi e Bonavita, Diritto all’oblio e buio a mezzogiorno; e in NGCC, 2018, 1317 con nota di Giannone Codiglione, I limiti al diritto di satira e la reputazione del cantante celebre ‘‘caduta’’ nell’oblio. Nella sentenza si afferma, come ricordano le Sezioni Unite, che “il diritto fondamentale all’oblio può subire una compressione, a favore dell’ugualmente fondamentale diritto di cronaca, solo in presenza di specifici e determinati presupposti: 1) il contributo arrecato dalla diffusione dell’immagine o della notizia ad un dibattito di interesse pubblico; 2) l’interesse effettivo ed attuale alla diffusione dell’immagine o della notizia (per ragioni di giustizia, di polizia o di tutela dei diritti e delle libertà altrui, ovvero per scopi scientifici, didattici o culturali); 3) l’elevato grado di notorietà del soggetto rappresentato, per la peculiare posizione rivestita nella vita pubblica del Paese; 4) le modalità impiegate per ottenere e nel dare l’informazione, che deve essere veritiera, diffusa con modalità non eccedenti lo scopo informativo, nell’interesse del pubblico, e scevra da insinuazioni o considerazioni personali, sì da evidenziare un esclusivo interesse oggettivo alla nuova diffusione; 5) la preventiva informazione circa la pubblicazione o trasmissione della notizia o dell’immagine a distanza di tempo, in modo da consentire all’interessato il diritto di replica prima della sua divulgazione al pubblico”. (13) Sulla questione relativa alla natura alternativa o concorrente dei criteri, che l’ordinanza di rimessione non avrebbe puntualmente compreso in ordine ai suoi effetti sul diritto di cronaca, si veda però Di Ciommo, op. cit., 8.

GIURISPRUDENZA CIVILE cronaca) e protezione dei dati personali (e dunque tutela del diritto all’oblio), interpreta in modo diverso l’attività giornalistica operante nel caso concreto e la qualifica piuttosto come diritto alla rievocazione storica di eventi del passato. L’articolo che aveva originato il caso di specie si connotava infatti di finalità storiografiche, conseguenti alla mera descrizione di un evento passato. Le Sezioni Unite confermano intanto, opportunamente, l’impossibilità di una reductio ad unum del diritto all’oblio (14), il quale funge da limite all’esercizio della libertà di manifestazione del pensiero e si rivela funzionale all’esercizio di diritti della personalità altri, in primis, del diritto alla identità digitale (che con l’agire della persona nella rete assume una dimensione dinamica). La decisione infatti distingue tre ipotesi di conflitto che possono riguardare l’esercizio da parte del titolare del proprio diritto all’oblio, qualificato come un aspetto del più generale diritto alla riservatezza, rispetto al diritto di cronaca: a) la pubblicazione ex novo di notizie relative a vicende legittimamente diffuse nel passato; b) la disponibilità di informazioni online (prevalentemente su archivi di giornali e quotidiani) non aggiornate rispetto all’iniziale pubblicazione; c) la possibilità di accedere attraverso motori di ricerca ad informazioni disponibili online relative a vicende e fatti non più aggiornati o pertinenti. Le Sezioni Unite si soffermano soltanto sulla prima ipotesi, in aderenza al caso sottoposto al loro esame, sorreggendo questa scelta con l’affermazione per cui ogni pronuncia giudiziaria trova il proprio limite nel collegamento con una vicenda concreta, dato che - come affermato con le note sentenze quadrigemine in tema di compensatio lucri cum damno (15) - alla Cassazione in adunanza plenaria non è affidata “l’enunciazione di principi generali e astratti o di verità dogmatiche sul diritto, ma la soluzione di questioni di principio di valenza nomofilattica pur sempre riferibili alla specificità del singolo caso della vita” (16). La sentenza sottolinea il fatto che il trattamento dei dati per la prima pubblicazione è assolutamente lecito, tanto che il dubbio si sposta sulla legittimità della ripubblicazione di quanto già a suo tempo diffuso. Il ragionamento della Corte è volto dunque a distinguere, alla luce del

(14) Lo affermava chiaramente Giannone Codiglione, op. cit., 1320. (15) Cass. Sez. Un., 22 maggio 2018, n. 12564, n. 12565, n. 12566 e n. 12567, in Resp. civ. e prev., 2018, 1092, con commento di Franzoni, La compensatio lucri cum damno secondo la Cassazione. E cfr. Nivarra, Le Sezioni Unite restituiscono un ordine auspicabilmente definitivo al discorso sulla compensatio lucri cum damno, ivi, 2018, 1160. (16) Il profilo si presterebbe a considerazioni, qui non consentite, sul senso attuale della funzione nomofilattica. V. comunque Canzio, Crisi della nomofilachia e prospettive di riforma della Cassazione, in Cassazione e legalità penale, Roma, 2017, 329 ss.

caso concreto, la pubblicazione originaria dell’evento di cronaca e l’attuale pubblicazione (o successiva ripubblicazione), qualificata come rievocazione storica. In questo senso le Sezioni Unite riservano alla definizione di cronaca il racconto con stampa o altri mezzi di diffusione di “qualcosa” che attiene all’attualità; in assenza dell’elemento di attualità della notizia, la cronaca cede il passo alla rievocazione storica dell’evento. La Corte, peraltro, non esclude che l’elemento di attualità della notizia possa emergere anche in un momento successivo, in ragione di nuovi elementi che sopraggiungono, ma solo in tale caso è ancora possibile tutelare il diritto di cronaca in quanto tale. Questa distinzione non è secondaria, poiché la Corte associa al diritto alla rievocazione storica uno “status” minore rispetto a quello del diritto di cronaca, tale da escludere che esso possa godere della stessa garanzia costituzionale che è prevista per quest’ultimo. La chiarezza ricostruttiva si scontra con la difficoltà di distinguere, in concreto, il discrimine tra diritto di cronaca e il diritto alla rievocazione storica, poiché il fattore tempo, cui rivolge attenzione la Corte, nell’intento di elevarlo a distinguo (meglio, a elemento che contribuisce al distinguo) tra cronaca e storiografia, può essere interpretato diversamente dalle corti alla luce delle circostanze fattuali in cui la pubblicazione può avvenire. Si pone quindi il problema di qualificare quando il lasso di tempo decorso dalla prima pubblicazione possa dirsi “significativo”, per usare il linguaggio della decisione in commento. Nel caso de quo il trascorrere di ventisette anni ben può giustificare il dissolversi dell’aspetto legato all’attualità della notizia. Una diversa valutazione è intervenuta in arresti giudiziali pregressi (peraltro richiamati dalla stessa sentenza), nei quali il diritto all’oblio è uscito soccombente dal confronto con l’interesse pubblico alla rievocazione di una data notizia. Il riferimento è in particolare alla pronuncia n. 38747 del 2017, adottata dalla Sezione Quinta, in cui l’articolo affrontava un fatto di cronaca di oltre trent’anni prima e ne riconosceva ancora la rilevanza, per offrire alla collettività “un fatto certamente idoneo alla formazione della pubblica opinione” (17). Un periodo di tempo molto inferiore ha condotto ad un risultato opposto nel caso deciso dalla sentenza n. 13161 del 2016. In questa occasione, il mezzo utilizzato – la rete Internet – ha indotto la Corte ad affermare che la pubblicazione e la diffusione della notizia non possa essere più sorretta dal criterio di attualità, neanche nel breve periodo di due anni e mezzo dalla prima pubblicazione. Anzi, la Corte qualifica il permanere della notizia come esorbitante “per la sua oggettiva e prevalente componente

(17) Per un commento alla sentenza cfr. Sirotti Gaudenzi, Diritto all’oblio e diritto all’informazione: un difficile equilibrio, in Corr. giur., 2018, 1107.

DIRITTO DI INTERNET N. 4/2019

727

GIURISPRUDENZA CIVILE divulgativa, dal mero ambito del lecito trattamento di archiviazione e memorizzazione on-line di dati giornalistici per scopi storici o redazionali” (18). Le Sezioni Unite dunque riservano ancora una volta alle corti di merito l’arduo compito di verificare se il fattore tempo nel caso concreto possa portare a definire la pubblicazione come esercizio del diritto di cronaca o di rievocazione storica. Questo potrebbe condurre anche ad applicazioni restrittive per l’esercizio del primo diritto, secondo le quali il trascorrere di pochissimo tempo potrebbe spostare la cronaca nella rievocazione: l’attuale rapidità di consumo delle notizie e l’amplissimo numero di esse – aspetti che caratterizzano la società dell’informazione – potrebbe indurre l’interprete a qualificare come rievocazione storica persino la presentazione della notizia in una edizione successiva del periodico. Si tratta ovviamente di un’ipotesi estrema, ma il dubbio potrebbe ben porsi nel caso di un articolo relativo ad una vicenda di cronaca ancora non risolta, che ricordi all’opinione pubblica proprio la mancanza di novità o di successivi sviluppi (19). In questo caso, l’attualità della notizia è da valutarsi in negativo, per la stessa assenza di eventi additivi: ne verrebbe però compromessa la funzione della stampa come “cane da guardia” (20), che può ravvisarsi proprio nel riportare l’attenzione dell’opinione pubblica su un evento trascorso. Per di più, i dubbi sono destinati ad aumentare quando la distinzione individuata dalla Corte si applichi alle pubblicazioni online, per le quali è difficile conciliare due eventi che si assumono come puntuali e separati - la prima e la seconda pubblicazione della notizia - con la permanenza “costante” nella rete di una determinata informazione (21). Fatta salva l’ipotesi di mera pubblicazione dell’articolo sulla versione online del quotidiano, cui si riescono ad applicare pianamente i ragionamenti della Corte, potrebbe profilarsi l’ipotesi della pubblicazione di un articolo con finalità storiografiche in cui, attraverso il collegamento ipertestuale, si rimandi ad uno o più articoli a suo tempo pubblicati sul quotidiano o sul periodico. In questo caso, pare lecito l’interrogativo se sia possibile

(18) La sentenza è pubblicata in Foro it., 2016, I, 2729, con nota di Pardolesi, Diritto all’oblio, cronaca in libertà vigilata e memoria storica a rischio. (19) Si pensi ai casi di cronaca nera in cui non vi sia stato alcun esito delle indagini e l’articolo riferisca i dati relativi alle persone interrogate e sospettate dalle autorità. (20) La definizione di “cane da guardia” della democrazia proviene dalla giurisprudenza della CEDU, con la ormai storica decisione Handyside c. Regno Unito, Application no. 5493/72, 7 dicembre 1976, rinvenibile all’indirizzo <http://hudoc.echr.coe.int/eng?i=001-57499>. (21) Mazzanti, Processo mediatico e diritto all’oblio. Il possibile gioco di sponda tra UE e CEDU, in Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, a cura di Mantelero - Poletti, Pisa, 2018, 379.

728

DIRITTO DI INTERNET N. 4/2019

estendere la finalità storiografica anche all’articolo collegato e dunque imporre lo stesso bilanciamento a favore del diritto all’oblio, tale da imporre la cancellazione dei dati personali. O, ancora, l’articolo stesso - essendo contenuto nell’archivio online del quotidiano - potrebbe essere soggetto ad un diverso bilanciamento fra diritto di cronaca e tutela dei dati personali, tale da richiedere un aggiornamento, una contestualizzazione e un’integrazione dei dati relativi alla vicenda storica avvenuta (22).

4. La tutela del diritto all’oblio nel quadro del diritto europeo e la declinazione offerta dalle Sezioni Unite

Nel momento in cui le Sezioni Unite qualificano il diritto all’oblio, il riferimento normativo è quello del Regolamento UE 2016/679 che ha sostituito la Dir. 95/46/ CE sulla protezione dei dati personali. In particolare, la sentenza richiama, del Regolamento, il noto art. 17, la cui discussa rubrica è dedicata al diritto alla cancellazione (“diritto all’oblio”) (23). La norma in questione definisce la prevalenza del diritto alla protezione dei dati personali dell’interessato in tutte le situazioni in cui i dati possano essere (oltre che illeciti) non aggiornati, pertinenti o accurati. Tuttavia, nel c. 3 dello stesso articolo, il legislatore europeo riconosce che la prevalenza della protezione dei dati personali non sussiste nel caso in cui il trattamento dei dati sia necessario “per l’esercizio del diritto alla libertà di espressione e di informazione” (24). Nel caso di conflitto fra diritto alla protezione dei dati e libertà di espressione, l’art. 85 c. 2 del Reg. 2016/679, preceduto dal “considerando” n. 153, dispone che sia il

(22) La sentenza 5 aprile 2012, n. 5525, cit., aveva riconosciuto in capo al soggetto, titolare dei dati personali, il diritto alla contestualizzazione e all’aggiornamento della notizia, in relazione alla finalità di trattamento dei dati, in quanto “la notizia, originariamente completa e vera, diviene non aggiornata, risultando quindi parziale e non esatta, e pertanto sostanzialmente non vera” e, dunque, astrattamente idonea a ledere l’identità personale del soggetto interessato, tale da poter richiedere “la contestualizzazione, l’aggiornamento o l’integrazione dei dati contenuti nell’articolo, per mezzo di un collegamento ad altre informazioni successivamente pubblicate concernenti l’evoluzione della vicenda”. (23) Su cui cfr. le riflessioni di Soro, Oblio, identità e memoria, in questa Rivista, 2019, 3 ss. E v. Senigaglia, Reg. UE 2016/679 e diritto all’oblio nella comunicazione telematica. Identità, informazione e trasparenza nell’ordine della dignità personale, in NLCC, 2017, 1023 ss. (24) Ciò è confermato anche da Cass. 9 luglio 2010, n.16236, in Resp. civ. e prev., 2010, 2262, con nota di Peron, Il giornalismo d’inchiesta, in cui la Corte ha evidenziato che sia la libertà di stampa sia la privacy sono entrambi beni costituzionali, ma la tutela della stampa prevale sulla tutela della riservatezza. La tutela della privacy, infatti, vale come “eccezione” rispetto “al diritto insopprimibile e fondamentale della libertà di informazione e di critica”, diritto che garantisce l’esplicazione della “sovranità popolare”. La Corte espressamente afferma che “l’attività di informazione è chiaramente prevalente rispetto ai diritti personali della reputazione e della riservatezza, nel senso che questi ultimi, solo ove sussistano determinati presupposti, ne configurano un limite”.

GIURISPRUDENZA CIVILE legislatore nazionale – e si aggiunge in calce le corti in via interpretativa – a definire le deroghe e le esenzioni previste per il trattamento dei dati personali (25). Tale quadro normativo potrebbe portare a due soluzioni interpretative: la prima che configura il diritto all’oblio così come delineato dall’art. 17 del Reg. 2016/679 come una mera ripetizione, con diversa etichetta, del diritto alla cancellazione del dato, che l’interessato poteva già esercitare alla luce della precedente disciplina in caso di trattamento ab origine illecito o in caso di trattamento le cui condizioni di liceità fossero venute meno nel corso del tempo (26). Una seconda interpretazione potrebbe escludere dalla definizione di diritto all’oblio il caso di contrasto fra diritto di cronaca e trattamento dei dati personali. In tal senso, dunque, il diritto all’oblio sarebbe circoscritto al solo caso di trattamento svolto da motori di ricerca o database online, con l’eventuale rimedio della deindicizzazione, anonimizzazione, o esatta contestualizzazione dei dati personali trattati (27). Confrontata con queste ipotesi, la sistemazione offerta dalle Sezioni Unite sembra non optare né per l’una né per l’altra. La pronuncia opera piuttosto una sovrapposizione fra le due interpretazioni, includendo sia i casi di illecito trattamento del dato coperti dalla sopravvenuta perdita delle condizioni di liceità del trattamento, sia i casi di conflitto con il diritto di cronaca, sia ancora i casi di trattamento dei dati da parte di motori di ricerca e simili. Questa ampiezza del concetto di diritto all’oblio conduce però ad un offuscamento dei suoi confini, tale da richiedere un ulteriore sforzo di elaborazione alle corti di merito circa i criteri da utilizzare di volta in volta per bilanciarlo con la manifestazione del pensiero. Infatti, l’oblio o l’essere dimenticato è lungi dal poter essere interpretato come sinonimo di cancellazione completa, ma si traduce in un atto di selezione dei dati, al fine di individuare quelli che appaiono rilevanti per la pubblica opinione o per un interesse pubblico e quelli che possono essere tralasciati. In questo senso una rappresentazione figurativa calzante può essere quella di un’immagine digitale con un diverso livello di risoluzione: quello più alto integra un numero di dati più ampio, e viceversa quello meno elevato include un nu-

(25) Ritiene la delega ai legislatori nazionali “pericolosissima”, perché capace di produrre discipline nazionali dissimili, Di Ciommo, Diritto alla cancellazione, diritto di limitazione del trattamento e diritto all’oblio, in I dati personali nel diritto europeo, a cura di Cuffaro - D’Orazio - Ricciuto, Torino, 2019, 364.

mero di dati più ristretto (28). Tuttavia, l’occhio umano potrebbe non avere alcuna difficoltà a leggere e interpretare correttamente anche l’immagine con un livello di risoluzione meno elevato, poiché i dati ivi inclusi sono necessari e sufficienti per tale finalità. É dunque il criterio di selezione dei dati che permette il raggiungimento dell’obiettivo di salvaguardare la capacità, per rimanere nella metafora, di comprensione dell’immagine. Proprio questi criteri erano ritenuti necessari alla Terza Sezione al fine di operare il bilanciamento nel caso di conflitto fra diritto di cronaca e tutela dei dati personali. Nel caso di specie, le Sezioni Unite, riconoscendo che la finalità dell’articolo pubblicato era quella di sollecitare le riflessioni dei lettori su temi delicati ma sempre presenti nella quotidianità dei cittadini, in ragione di una precisa (e insindacabile) scelta editoriale, affermano che la comprensione dell’articolo pubblicato e la realizzazione delle finalità perseguite non potevano essere inficiate dall’assenza di riferimenti individuali al soggetto che si era trovato coinvolto nelle vicende analizzate. Il quale, per di più, neppure aveva un ruolo pubblico o godeva di pubblica fama, ossia si trovava nelle altre condizioni che legittimano un interesse alla notizia non depurata dai dati anagrafici (29). Alla luce di tali scarni indici individuati dalle Sezioni Unite, è sicuramente opportuno e utile fare riferimento al Testo Unico dei doveri del giornalista, approvato il 26 gennaio 2019, in cui sono enumerati una serie di criteri ben definiti che si inseriscono “in modo armonioso”, come riconoscono le Sezioni Unite, nel quadro indicato di risoluzione dei contrapposti interessi e contribuiscono, essi stessi, al circuito procedurale del loro complesso bilanciamento. In particolare, l’art. 3, dedicato all’identità personale e al diritto all’oblio, afferma che il giornalista: “a) rispetta il diritto all’identità personale ed evita di far riferimento a particolari relativi al passato, salvo quando essi risultino essenziali per la completezza dell’informazione; b) nel diffondere a distanza di tempo dati identificativi del condannato valuta anche l’incidenza della pubblicazione sul percorso di reinserimento sociale dell’interessato e sulla famiglia, specialmente se congiunto (padre, madre, fratello) di persone di minore età; […] d) tutela il condannato che sceglie di esporsi ai media, evitando di identificarlo solo con il reato commesso e valorizzando il percorso di reinserimento che sta compiendo […]”. Le antiche problematiche che l’era digitale propone con maggiore impellenza e in termini rinnovati hanno ancora bisogno, al fine, di meditati decaloghi.

(26) Stradella, Brevi note su memoria e oblio in rete, a partire dal regolamento UE 2016/679, in Passaglia - Poletti (a cura di), Nodi virtuali, legami informali: Internet alla ricerca di regole, Pisa, 2017, 91.

(28) L’esempio trae ispirazione da Abbt, Forgetting in a Digital Glasshouse, in Remembering and Forgetting in the Digital Age, a cura di Thouvenin - Hettich - Burkert - Gasser, Cham, 2018, 126.

(27) Di Ciommo, Oblio e cronaca, cit., 14.

(29) Cass. 20 marzo 2018, n. 6919, cit.

DIRITTO DI INTERNET N. 4/2019

729

GIURISPRUDENZA CIVILE

Anche gli SMS possono avere valore di piena prova Corte di Cassazione ; sezione I civile; ordinanza 17 luglio 2019, n. 19155; Pres. Giancola; Rel. Iofrida; K.Y.M. (Avv. Bonotto, Morselli) c. G.E. Lo short message service (SMS) contiene la rappresentazione di atti, fatti o dati giuridicamente rilevanti ed è riconducibile nell’ambito dell’articolo 2712 c.c., avendo così efficacia di piena prova (nella specie relativamente alla prova del consenso al rimborso delle spese straordinarie sostenute dall’altro genitore per le rette dell’asilo nido frequentato dal comune figlio).

…Omissis… Il Tribunale di Mantova, con sentenza n. 273/2018, - in controversia concernente un’opposizione promossa da K.M.Y. nei confronti di G.E., dinanzi al Giudice di Pace di Mantova, avverso decreto ingiuntivo emesso nel 2016 con il quale si era ingiunto, al primo, di pagare, alla seconda, la somma d Euro 2.684,43, oltre interessi legali, a titolo di rimborso delle spese straordinarie sostenute da quest’ultima nell’interesse del figlio minore S., nato dalla relazione sentimentale dei due, quale contributo ulteriore (versando il padre già Euro 250,00 al mese) per le rette dell’asilo-nido, ha riformato la decisione di primo grado, che aveva, in accoglimento dell’opposizione, revocato il decreto ingiuntivo. In particolare, i giudici d’appello, rigettando l’opposizione a decreto ingiuntivo, hanno sostenuto che, dagli “sms” prodotti dalla G., inviati a quest’ultima dallo Y., documenti questi non contestati, quanto a provenienza e contenuto, dall’opponente tempestivamente (se non, tardivamente, in comparsa conclusionale), emergeva l’adesione di quest’ultimo all’iscrizione del minore all’asilo nido ed all’accollo da parte del padre della metà della retta dovuta, accordo comunque rispondente all’interesse dl figlio. Avverso la suddetta pronuncia, K.M.Y. propone ricorso per cassazione, affidato a tre motivi, nei confronti di G.E. (che non svolge attività difensiva). Motivi della decisione 1. Il ricorrente lamenta: 1) con il primo motivo, la violazione ed errata applicazione, ex art. 360 c.p.c., n. 3, degli artt. 2702 e 2712 c.c., per avere il Tribunale riconosciuto efficacia probatoria, quale scrittura privata, a tre messaggi telefonici riprodotti meccanicamente, attribuendoli erroneamente allo Y., quale presunto autore, pur essendo privi di sottoscrizione e del numero di cellulare del soggetto che li aveva inviati e del soggetto che li aveva ricevuti; 2) con il secondo motivo, la violazione ed errata applicazione, ex art. 360 c.p.c., n. 4, dell’art. 115 c.p.c., non avendo il Tribunale rilevato che lo Y., all’udienza del 16/11/2016, davanti al Giudice di Pace di Mantova, di prima comparizione delle parti, aveva tempestivamente contestato “le produzioni”

della G. e quindi l’unico documento prodotto dalla stessa con la costituzione in giudizio, contestazione questa sufficiente, trattandosi di documenti privi di sottoscrizione che non dovevano essere formalmente disconosciuti ai sensi degli artt. 214 e 215 c.p.c.; 3) con il terzo motivo, la violazione ed errata applicazione, ex art. 360 c.p.c., n. 4, dell’art. 116 c.p.c., per avere il Tribunale attribuito efficacia probatoria piena alla riproduzione meccanica dei tre messaggi telefonici e non efficacia meramente indiziaria, in presenza di contestazione della parte contro cui era stata prodotta, con conseguente erronea valutazione del contenuto degli stessi messaggi. 2. La seconda censura, di rilievo pregiudiziale, è infondata. Questa Corte ha di recente statuito (Cass. 5141/2019) che “lo “short message service” (“SMS”) contiene la rappresentazione di atti, fatti o dati giuridicamente rilevanti ed è riconducibile nell’ambito dell’art. 2712 c.c., con la conseguenza che forma piena prova dei fatti e delle cose rappresentate se colui contro il quale viene prodotto non ne contesti la conformità ai fatti o alle cose medesime. Tuttavia, l’eventuale disconoscimento di tale conformità non ha gli stessi effetti di quello della scrittura privata previsto dall’art. 215 c.p.c., comma 2, poichè, mentre, nel secondo caso, in mancanza di richiesta di verificazione e di esito positivo della stessa, la scrittura non può essere utilizzata, nel primo non può escludersi che il giudice possa accertare la rispondenza all’originale anche attraverso altri mezzi di prova, comprese le presunzioni” (nella specie, veniva in questione il disconoscimento della conformità ad alcuni “SMS” della trascrizione del loro contenuto). Sempre questa Corte (Cass.11606/2018), in tema di efficacia probatoria dei documenti informatici, ha precisato che “il messaggio di posta elettronica (cd. e-mail) costituisce un documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti che, seppure privo di firma, rientra tra le riproduzioni informatiche e le rappresentazioni meccaniche di cui all’art. 2712 c.c. e, pertanto, forma piena prova dei fatti e delle cose rappresentate se colui contro il quale viene prodotto non ne disconosca la conformità ai fatti o alle cose medesime”.

DIRITTO DI INTERNET N. 4/2019

731

GIURISPRUDENZA CIVILE Ora, sempre in tema di efficacia probatoria delle riproduzioni informatiche di cui all’art. 2712 c.c., il disconoscimento idoneo a fare perdere ad esse la qualità di prova, pur non soggetto ai limiti e alle modalità di cui all’art. 214 c.p.c., deve tuttavia essere chiaro, circostanziato ed esplicito, dovendosi concretizzare nell’allegazione di elementi attestanti la non corrispondenza tra realtà fattuale e realtà riprodotta, anche se non ha gli stessi effetti del disconoscimento previsto dall’art. 215 c.p.c., comma 2, perchè mentre questo, in mancanza di richiesta di verificazione e di esito positivo di questa, preclude l’utilizzazione della scrittura, il primo non impedisce che il giudice possa accertare la conformità all’originale anche attraverso altri mezzi di prova, comprese le presunzioni (cfr. Cass. 3122/2015, nella quale questa Corte ha confermato la sentenza impugnata, laddove aveva ritenuto utilizzabile un DVD contenente un filmato, considerato che la parte aveva contestato del tutto genericamente la conformità all’originale della riproduzione informatica prodotta e che il giudice di merito aveva ritenuto l’assenza di elementi che consentissero di ritenere il documento non rispondente al vero; conf. 17526/2016; in termini, Cass.1250/2018). Il Tribunale di Mantova ha dato rilievo al contenuto di tre SMS (la cui trascrizione era stata prodotta dalla G., in sede di costituzione nel giudizio di opposizione a decreto ingiuntivo), ritenuti di chiaro tenore (soprattutto il primo) in ordine all’impegno del padre di accollarsi la metà delle spese relative alla retta dell’asilo-nido, osservando che l’invio ed il contenuto di tali messaggi non erano stati contestati dall’opponente, comparso personalmente all’udienza di prima comparizione, senza rilevare alcunchè, se non tardivamente ed inammissibilmente con la comparsa conclusionale. Il ricorrente assume nel motivo del presente ricorso di avere comunque “contestato” l’unica produzione avversaria. Ma non era sufficiente una generica contestazione del documento, atteso che il disconoscimento, da effettuare nel rispetto delle preclusioni processuali, anche di documenti informatici aventi efficacia probatoria ai sensi dell’art. 2712 c.c., deve essere chiaro, circostanziato ed esplicito e concretizzarsi nell’allegazione di elementi attestanti la non corrispondenza tra la realtà fattuale e quella riprodotta. La sentenza impugnata risulta pertanto conforme ai principi di diritto sopra enunciati. Peraltro, come osservato anche da questa Corte (Cass.3680/2019), “nel vigore del novellato art. 115 c.p.c., a mente del quale la mancata contestazione specifica di circostanze di fatto produce l’effetto della “relevatio ad onere probandi”, spetta al giudice del merito apprezzare, nell’ambito del giudizio di fatto al medesimo riservato, l’esistenza ed il valore di una condotta di non contestazione dei fatti rilevanti, allegati dalla controparte”. 3. Il primo motivo è di conseguenza assorbito.

732

DIRITTO DI INTERNET N. 4/2019

4. Il terzo motivo è inammissibile. Invero, in tema di valutazione delle risultanze probatorie in base al principio del libero convincimento del giudice, la violazione degli artt. 115 e 116 c.p.c. è apprezzabile, in sede di ricorso per cassazione, nei limiti del vizio di motivazione di cui all’art. 360 c.p.c., comma 1, n. 5), e deve emergere direttamente dalla lettura della sentenza, non già dal riesame degli atti di causa, inammissibile in sede di legittimità (Cass. 14627/2006; Cass. 24434/2016;Cass. 23934/2017). Sempre questa Corte, ha poi affermato che la deduzione della violazione dell’art. 116 c.p.c. è ammissibile,ai sensi dell’art. 360 c.p.c., comma 1, n. 4, ove si alleghi che il giudice, nel valutare una prova o, comunque, una risultanza probatoria, non abbia operato - in assenza di diversa indicazione normativa - secondo il suo prudente apprezzamento, pretendendo di attribuirle un altro e diverso valore oppure il valore che il legislatore attribuisce ad una differente risultanza probatoria (come, ad esempio, valore di prova legale), nonchè, qualora la prova sia soggetta ad una specifica regola di valutazione, abbia invece dichiarato di valutare la stessa secondo il suo prudente apprezzamento, mentre, ove si deduca che il giudice ha solamente male esercitato il proprio prudente apprezzamento della prova, la censura è consentita ai sensi dell’art. 360 c.p.c., comma 1, n. 5, con conseguente inammissibilità della doglianza che sia stata prospettata sotto il profilo della violazione di legge ai sensi dell’art. 360 c.p.c., n. 3 (Cass. 13960/2014; cfr Cass. 11892/2016; Cass.27000/2016; Cass.23940/2017). L’art. 116 c.p.c.. infatti prescrive che il giudice deve valutare le prove secondo prudente apprezzamento, a meno che la legge non disponga altrimenti. La sua violazione è concepibile solo se il giudice di merito valuta una determinata prova, ed in genere una risultanza probatoria, per la quale l’ordinamento non prevede uno specifico criterio di valutazione diverso dal suo prudente apprezzamento, pretendendo di attribuirle un altro e diverso valore, ovvero il valore che il legislatore attribuisce ad una diversa risultanza probatoria, ovvero se il giudice di merito dichiara di valutare secondo prudente apprezzamento una prova o risultanza soggetta ad altra regola, così falsamente applicando e, quindi, violando detta norma (cfr. Cass. 8082/2017; Cass. 13960 /2014; Cass., 20119/ 2009). 4. Per tutto quanto sopra esposto, va respinto il ricorso. Non v’è luogo a provvedere sulle spese processuali, non avendo l’intimata svolto attività difensiva. Essendo il procedimento esente, non si applica il D.P.R. n. 115 del 2002, art. 13, comma 1 quater. P.Q.M. La Corte respinge il ricorso. ...Omissis....

GIURISPRUDENZA CIVILE

IL COMMENTO

di Guido Bonzagni Sommario: 1. L’SMS e la sua efficacia probatoria quale documento informatico. – 2. La pronuncia in commento in ordine all’efficacia probatoria degli SMS – 3. Uno sguardo al futuro: le pronunce di merito sull’efficacia probatoria dei servizi di messaggistica istantanea. La Corte di Cassazione nel corso dell’ultimo anno è intervenuta in due occasioni per chiarire l’utilizzabilità e l’efficacia probatoria degli SMS nel processo civile. Questo contributo vuole fornire un excurcus normativo e giurisprudenziale sull’idoneità probatoria dei documenti informatici in generale, analizzando nel dettaglio le ripercussioni delle recenti pronunce sull’efficacia probatoria degli SMS, senza tuttavia tralasciare le prospettive future connesse all’utilizzo dei servizi di messaggistica istantanea. Over the past year, the Italian Court of Cassation has intervened on two occasions to clarify the usability and probative force of SMS in the civil trial. This contribution aims to provide a normative and jurisprudential excurcus on the probative validity of electronic documents in general, analyzing in detail the repercussions of recent rulings on the probative value of SMS, without, however, neglecting the future prospects connected to the use of instant messaging services.

1. L’SMS e la sua efficacia probatoria quale documento informatico

L’SMS è l’ormai noto acronimo dello “short message service”, termine normalmente utilizzato per indicare un messaggio testuale inviato da un telefono cellulare (o da altri sistemi automatizzati) a un diverso dispositivo mobile tramite una rete GSM o UMTS. La sua facilità d’uso, unita ad un costo quasi irrisorio, ne ha permesso dapprima una diffusione capillare nell’ambito dell’uso tra privati e poi ne ha esteso l’utilizzo anche alle comunicazioni commerciali e quale mezzo per l’invio di chiavi crittografiche (1). L’SMS, in concreto, non è altro che un insieme di bit elettronici che trasferiscono un messaggio rappresentativo di un fatto avvenuto o di una volontà espressa. Data questa sua particolare natura, è quindi pacificamente (2) configurabile per l’SMS l’assunzione della qualifica di documento elettronico, ossia quel particolare tipo di documento che contiene “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (3)”.

(1) Si pensi all’utilizzo degli SMS da parte degli istituti di credito per inviare al proprio cliente in forma automatizzata il codice univoco necessario per l’autorizzazione di un’operazione di home banking effettuata on line. (2) A riguardo, cfr. Nastri, Registri sussidiari, Blockchain: #Notaio oltre la lezione di Carnelutti?, in Notariato, 2017, 369. Parte della dottrina inoltre ritiene l’SMS non solo un documento elettronico bensì addirittura un documento firmato elettronicamente in forza dell’idoneità dei dati elettronici ivi contenuti ad individuare l’autore del contenuto (cfr., a riguardo, Mason, Electronic Signatures, Londra, 2003, 101; Bechini, Firma digitale, Documento elettronico e lex attestationis: un nuovo (circoscritto) caso di dépecage?, in Dir. comm. internaz., 2011, 767). (3) Tale definizione è quella normativamente prevista dall’art. 1, lett. p) del d.lgs. 7 marzo 2005, n. 82 (c.d. “Codice dell’Amministrazione Digitale” o “CAD”), così come successivamente modificato e integrato dal d.lgs. 13 dicembre 2017 n. 217. In relazione alla definizione ante CAD, si veda Zagami, Firma digitale e sicurezza giuridica, Padova, 2000, 10 ss.

Nel corso degli anni vi è stato un costante sviluppo della normativa comunitaria (4) e nazionale (5) dedicata all’attitudine probatoria dei diversi tipi di documenti informatici e firme elettroniche, al fine di equiparare, non solo formalmente ma anche nelle applicazioni pratiche, l’efficacia probatoria del documento elettronico con quella del più tradizionale documento cartaceo. In particolare, fin dalla legge Bassanini (6) veniva sancito il c.d. principio di equivalenza tra atti o documenti cartacei e quelli informatici o telematici (7). Inoltre, l’attuale legislazione, nel Codice dell’Amministrazione Digitale (8), da un lato prevede che il docu-

(4) Si fa riferimento al Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (c.d. “Regolamento eIDAS”). (5) Si fa riferimento agli artt. 20 e ss. del CAD. Per ulteriori approfondimenti si veda Finocchiaro, Le firme elettroniche, in Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, a cura di Delfini e Finocchiaro, Torino, 2017, 213 ss.; Lupano, L’informatica e le nuove frontiere della prova documentale, in Il documento nel processo civile, a cura di Ronco, Bologna, 2011, 252 ss. e Martoni, Firme elettroniche: profili informatico-giuridici, Roma, 2010, 71 ss. (6) Cfr. art. 15, 2° comma, della l. 15 marzo 1997, n. 59. (7) Per approfondimento sul punto, cfr. Emiliozzi, Le firme elettroniche, Napoli, 2006, 20 ss. (8) In materia, il legislatore era intervenuto più volte: prima con il d.P.R. 10 novembre 1997, n. 513, “Regolamento recante criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici a norma dell’articolo 15, comma 2, della legge 15 marzo 1997, n. 59” (oggi abrogato) e il d.P.C.m. 8 febbraio 1999, “Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici” (anch’esso abrogato) poi con il d.P.R. 28 dicembre 2000, n. 445, “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”, il d.lgs. 23 gennaio 2002, n. 10, “Attuazione della direttiva 1999/93/CE relati-

DIRITTO DI INTERNET N. 4/2019

733

GIURISPRUDENZA CIVILE mento informatico soddisfa i requisiti della forma scritta, con efficacia di piena prova ex art. 2702 c.c., qualora sia sottoscritto con firma elettronica qualificata o avanzata oppure previa identificazione informatica dell’autore tramite un processo tecnico che garantisca l’integrità e l’immodificabilità del documento stesso. Dall’altro, in caso di assenza di idonea firma o procedura identificativa, l’efficacia probatoria del documento informatico (e-mail, SMS, messaggio via chat, ecc.) anziché derivare ex lege, rimane liberamente valutabile dal giudice (9). Qualora presente, tali documenti si ritengono sottoscritti con firma elettronica semplice che non soddisfa il requisito della forma scritta ad substantiam previsto dall’art. 1350 c.c. In dottrina (10) e giurisprudenza (11) pare acclarata l’idoneità di quest’ultima tipologia di firma a manifestare il consenso contrattuale, quindi, a titolo esemplificativo, si reputa efficace per la sottoscrizione di lettere di incarico, preventivi, moduli di acquisizione del consenso privacy e per la presentazione di istanze semplici alla Pubblica Amministrazione. Resta invece ancora dibattuta la validità della sottoscrizione di clausole vessatorie con firma elettronica semplice (12). Inoltre, già da tempo la giurisprudenza (13) ha iniziato ad ammettere l’utilizzo, quali prove all’interno del processo civile, di documenti informatici senza che sui medesimi sia stata apposta alcuna firma elettronica. È

va ad un quadro comunitario per le firme elettroniche” (oggi abrogato) ed il d.P.R. 7 aprile 2003, n. 137, “Regolamento recante disposizioni di coordinamento in materia di firme elettroniche” ed infine con il d.lgs. 7 marzo 2005, n. 82, “Codice dell’Amministrazione digitale”, emendato a più riprese. (9) Cfr. Battelli, Il valore legale dei documenti informatici, Napoli, 2012, 99 ss.; Bechini, Efficacia, rilevanza formale, rilevanza probatoria, in Firme elettroniche: questioni ed esperienze di diritto privato, a cura del Consiglio Nazionale del Notariato, Milano, 2003, 17 ss.; Emiliozzi, op. cit., 83 ss.; Finocchiaro, Documento informatico, firma digitale e firme elettroniche, in Trattato di diritto privato, a cura di Bessone, Torino, 2007, 326 ss. e Finocchiaro, Documenti elettronici, in Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, a cura di Delfini e Finocchiaro, Torino, 2017, 352. (10) Cfr. Battelli, op. cit., 126; Bechini, op. cit., 20.

734

il caso, ad esempio, di riproduzioni audio o video (14) la cui integrità non viene garantita a priori da una sottoscrizione bensì deve essere vagliata nel merito dal giudice. Previa idonea valutazione, risultano parimenti accettate, fin dagli inizi degli anni 2000, anche le informazioni fornite dal sistema informatico centrale di una società (15). È dunque proprio sulla scia del chiaro dettato normativo sul documento informatico nonché delle indicazioni interpretative dottrinali e giurisprudenziali sull’efficacia probatoria dei documenti informatici che vanno inquadrate le recenti pronunce della Corte di Cassazione in relazione all’idoneità degli SMS a formare piena prova.

2. La pronuncia in commento in ordine all’efficacia probatoria degli SMS

Nel corso del 2019 la Corte di Cassazione si è espressa, per la prima volta, sul valore degli SMS nel processo civile (16), aderendo, praticamente in toto, all’impostazione normativa e all’interpretazione dottrinale a riguardo. Già con la prima ordinanza del febbraio 2019 (17), la Suprema Corte chiariva infatti che “lo short message service (SMS) contiene la rappresentazione di atti, fatti o dati giuridicamente rilevanti ed è riconducibile nell’ambito dell’articolo 2712 c.c.”, in quanto rappresentazione informatica di un determinato evento o volontà. La Corte di Cassazione è poi nuovamente intervenuta con l’ordinanza n. 19155/2019 in commento, riaffermando il valore di piena prova degli SMS. La Corte, a supporto della propria decisione, non ha soltanto richiamato la precedente pronuncia in materia ma ha riportato ampi stralci dell’ordinanza n. 11606/2018, relativa all’efficacia probatoria delle mail. In tale decisione, pur senza riconoscere alle e-mail l’efficacia di scrittura privata ex art. 2702 c.c., si confermava il libero apprezzamento del giudice di merito nel valutare l’idoneità delle stesse a soddisfare il requisito della forma scritta,

(11) Si fa riferimento, ad esempio, all’ammissione della validità dei contratti stipulati mediante il c.d. point&click. A riguardo, cfr. Giudice di Pace di Partanna, 1° febbraio 2002, n. 15, Tribunale di Catanzaro, 30 aprile 2012, ordinanza n. 18 e Corte di Giustizia europea, sez. III, 21 maggio 2015, C-322/14.

(14) Parte della dottrina classifica tali riproduzioni come “riproduzioni informatiche che raffigurano un fatto attraverso il mezzo figurativo” e che di conseguenza paiono agevolmente poter essere ricondotte alle riproduzioni ex machina normate dall’art. 2712 c.c. Cfr., a riguardo, Buonomo - Merone, La scrittura privata informatica: firme elettroniche, valore probatorio e disconoscimento in giudizio, in Dir. inform., 2013, 266.

(12) Sul punto v. Finocchiaro, Il contratto nell’era dell’intelligenza artificiale, in Riv. trim. dir. proc. civ., 2018, 441.

(15) Si fa riferimento al noto caso giurisprudenziale “Autostrade per l’Italia S.p.A.” (Cass. sez. Lav. sent. 6 settembre 2001 n. 11445).

(13) Si fa riferimento alle sentenza Cass. sez. Lav., 28 gennaio 2011, n. 2117 e Cass. sez. Lav. 17 febbraio 2015, n. 3122, entrambe in materia di utilizzo di immagini videoregistrate quale prova, nel corso di procedimenti di licenziamento, dell’infedele comportamento di lavoratori. In relazione all’idoneità probatoria di tali tipologie di riproduzione si veda anche il contributo di Bonomi, Le riproduzioni meccaniche e i documenti che non riflettono una scrittura, in Il documento nel processo civile, a cura di Ronco, Bologna, 2011, 177 ss.

(16) In passato vi erano state tuttavia alcune pronunce di merito che equiparavano gli SMS ad altri strumenti tecnologici (ad. es. telegramma) idonei ad integrare il requisito della forma scritta previa valutazione da parte del giudice dei già citati requisiti di qualità, sicurezza, integrità ed immodificabilità (App. Firenze 5 luglio 2016 n. 629 in materia di licenziamento del lavoratore).

DIRITTO DI INTERNET N. 4/2019

(17) Si fa riferimento a Cass. civ. sez. II, ord. 21 febbraio 2019 n. 5141.

GIURISPRUDENZA CIVILE previo accertamento delle loro caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità (18). La Suprema Corte citando la propria ordinanza n. 11606/2018 ha dunque implicitamente esteso all’SMS, e di conseguenza a tutti i documenti informatici, l’efficacia probatoria già statuita per le e-mail (19). Per il diretto effetto della citata normativa, si attesta così anche per gli SMS la possibilità di fornire piena prova dei fatti e degli elementi dedotti dal contenuto del testo, sempre che colui contro il quale l’SMS, o qualsiasi altro documento informatico, viene prodotto in giudizio non ne disconosca tempestivamente la conformità ai fatti o agli elementi rappresentati. La pronuncia poi ha un intrinseco valore pratico per tutte le situazioni, come quella in esame, nelle quali i rapporti tra le parti in epoca anteriore al contenzioso erano buoni e gestiti senza particolari formalità, ossia tramite l’utilizzo di sistemi di messaggistica veloce su base GSM (SMS) o chat (20) (Whatsapp, Telegram, Messenger, ecc.). Si ricorda infatti che la vertenza era relativa ad un’opposizione a decreto ingiuntivo emesso nei confronti di un genitore per il rimborso delle spese straordinarie sostenute dall’altro genitore per le rette dell’asilo nido frequentato dal comune figlio, spese che nella quotidiana

(18) Nella stessa pronuncia la Suprema Corte ha ritenuto applicabili gli artt. 214, 215 e 2719 c.c. per l’eventuale disconoscimento della copia fotostatica riproduttiva del contenuto della mail. La copia non autenticata infatti si ha per riconosciuta, tanto nella sua conformità all’originale quanto nella scrittura e sottoscrizione, se non viene disconosciuta in modo formale ed inequivoco alla prima udienza, o, in ogni caso, nel primo atto di risposta successivo alla sua produzione in giudizio. Il disconoscimento potrà riguardare non solo la conformità della copia all’originale ma anche l’autenticità della scrittura o la sottoscrizione della stessa. (19) L’efficacia probatoria dei messaggi di posta elettronica non certificata, ossia privi di quel particolare procedimento informatico che garantisce l’univocità del mittente e dei riferimenti temporali di spedizione, è stata oggetto di diverse recenti pronunce. In particolar modo si fa riferimento a Cass. civ. sez. VI ord. 6 febbraio 2019, n. 3540, Cass. civ. sez. VI ord. 14 maggio 2018, n. 11606 e Cass. sez. Lav. sent. 8 marzo 2018, n. 5523. Tali decisioni, correttamente, non prendono in considerazione la Posta Elettronica Certificata (c.d. “PEC”). Rispetto alla semplice mail, l’efficacia probatoria è infatti diversa. La PEC forma prova legale dell’invio della comunicazione, della sua provenienza e della data certa in quanto le ricevute rilasciate dai gestori del servizio di PEC sono sottoscritte dai medesimi mediante una firma elettronica avanzata che consente di rendere manifesta la provenienza nonché assicura l’integrità e l’autenticità delle ricevute stesse. (20) Occorre precisare che tecnicamente i messaggi di testo via chat sono maggiormente assimilabili alla mail rispetto agli SMS. Questi infatti lasciano traccia del proprio passaggio sui registri degli operatori telefonici i quali sono obbligati a conservare i dati del traffico telefonico ed SMS per 24 mesi (per ulteriori approfondimenti sulla conservazione dei dati nelle comunicazioni elettroniche si veda il mio contributo Le comunicazioni elettroniche, in La protezione dei dati personali in Italia. Regolamento UE 2016/679 e d.lgs. 10 agosto 2018, n. 101, a cura di Finocchiaro, Bologna, 2019, 978). Un obbligo similare non sussiste per i gestori di mail (escludendo ovviamente i vincoli imposti ai provider fornitori di PEC) o chat.

realtà, cui il caso in esame non fa eccezione, vengono sovente autorizzate via messaggio. I Giudici di merito avevano dunque rigettato l’opposizione sostenendo che dagli SMS inviati dall’opponente emergeva l’adesione di questi all’iscrizione del minore all’asilo nido e, di conseguenza, l’accollo della metà della retta dovuta. In particolare, i Giudici d’Appello evidenziavano che gli SMS in esame ed il loro contenuto non erano stati tempestivamente contestati dall’opponente, il quale ne aveva eccepito provenienza e contenuto solo nella comparsa conclusionale. La Suprema Corte ha quindi respinto la tesi del ricorrente basata sull’inesistenza della correlazione tra SMS e scrittura privata. L’asserita assenza di sottoscrizione e la mancanza dei numeri di telefono di mittente e destinatario non è stata infatti ritenuta elemento tale da inficiare l’idoneità probatoria degli SMS incriminati. La Cassazione ha chiarito anche i limiti e le modalità del formale disconoscimento degli SMS, ai sensi degli artt. 214 e 215 c.p.c., contrapponendosi alle tesi del ricorrente, secondo il quale il formale disconoscimento non era applicabile agli SMS, in quanto documenti privi di sottoscrizione. La Suprema Corte ha inoltre evidenziato come “l’eventuale disconoscimento della conformità (degli SMS, ndr) non ha gli stessi effetti di quello della scrittura privata previsto dall’art. 215 c.p.c., comma 2, poiché, mentre, nel secondo caso, in mancanza di richiesta di verificazione e di esito positivo della stessa, la scrittura non può essere utilizzata, nel primo non può escludersi che il giudice possa accertare la rispondenza all’originale anche attraverso altri mezzi di prova, comprese le presunzioni”. L’ordinanza in commento ha inoltre chiarito che “il disconoscimento, da effettuare nel rispetto delle preclusioni processuali, anche di documenti informatici aventi efficacia probatoria ai sensi dell’articolo 2712 c.c., deve essere chiaro, circostanziato ed esplicito e concretizzarsi nell’allegazione di elementi attestanti la non corrispondenza tra la realtà fattuale e quella riprodotta”. L’apprezzamento sull’eventuale disconoscimento e, di conseguenza, sulla conferma o sul rigetto dello stesso, deve essere tuttavia valutato caso per caso. Tale compito risulta essere delegato quasi in via esclusiva al giudice di merito. La Cassazione ha infatti ribadito (21) che un suo intervento a riguardo può avvenire solo nei limiti del vizio di motivazione ex art. 360 c.p.c., comma 1°, n. 5), qualora l’incongruenza emerga direttamente dal testo della sentenza. Qualsiasi altra doglianza pervenga alla Suprema Corte e sia basata sulla lettura degli atti (21) Cfr. per la competenza nel disconoscimento della prova documentale Cass. civ. sez. VI ord. 13 aprile 2012 n. 5929 nonché Cass. sez. Lav. sent. 23 giugno 2006 n. 14627; Cass. civ. sez. II, sent. 30 novembre 2016 n. 24434; Cass. civ. sez. VI ord. 12 ottobre 2017 n. 23934.

DIRITTO DI INTERNET N. 4/2019

735

GIURISPRUDENZA CIVILE di causa o su una contestazione del prudente apprezzamento del giudice è dunque da ritenersi inammissibile. Nella vicenda in esame, invece, il Tribunale aveva correttamente ponderato l’istanza di disconoscimento, valutando la contestazione come estremamente generica, oltre che tardiva. L’opponente infatti, seppur personalmente presente all’udienza di prima comparizione, non aveva rilevato alcunché fino alla comparsa conclusionale. Si era così precluso ogni forma di eventuale disconoscimento sia in sede di giudizio di merito sia in quello di legittimità.

3. Uno sguardo al futuro: le pronunce di merito sull’efficacia probatoria dei servizi di messaggistica istantanea

Da ultimo, si impone una breve riflessione sull’utilizzo dei servizi di messaggistica istantanea, quali ad esempio WhatsApp, Telegram o Messenger, che stanno sempre più sostituendo gli SMS nelle comunicazioni quotidiane. Sul punto non si hanno ancora massime provenienti dalla giurisprudenza di legittimità, tuttavia pare opportuno evidenziare alcune pronunce di merito che hanno affrontato nel dettaglio la problematica. Una prima significativa pronuncia al riguardo è quella emessa dal Tribunale di Milano, sez. lavoro, 30 maggio 2017 la quale ha confermato la legittimità del licenziamento per giusta causa intimato al dipendente che, attraverso la creazione di una chat WhatsApp condivisa con i colleghi di lavoro, aveva espresso affermazioni dal contenuto diffamatorio e denigratorio nei confronti del comune datore di lavoro. Tale chat, prodotta poi in giudizio, è stata considerata valida prova. Analogamente il Tribunale di Catania, con ordinanza del 27 giugno 2017, ha ritenuto pienamente efficace il licenziamento intimato dal datore di lavoro attraverso un messaggio WhatsApp, considerando quest’ultimo alla stregua di un documento informatico e, pertanto, ritenendo soddisfatto il requisito della forma scritta previsto in tema di licenziamento. Non è poi fuori luogo sottolineare che in materia penale anche la Corte di Cassazione (Cass., sez. V pen., sent. 16 gennaio 2018 n. 1822) si è espressa sul punto equiparando i messaggi Whatsapp agli SMS. La V Sezione ha infatti ritenuto che i messaggi WhatsApp e quelli inviati tramite posta elettronica abbiano natura di documenti ai sensi dell’art. 234 c.p.p. Pare quindi evidente l’assimilazione di fatto, effettuata dalla giurisprudenza, tra SMS e applicazioni di messaggistica. Di conseguenza, anche nel processo civile le conversazioni via WhatsApp potranno essere assunte come prove, una volta che il giudice, nell’ambito della sua libera valutazione, ne avrà riconosciuto i necessari requisiti di qualità, sicurezza ed integrità.

736

DIRITTO DI INTERNET N. 4/2019

Sul punto occorre tuttavia ribadire la criticità già segnalata (22) e riguardante la natura dei servizi di istant messaging. A differenza degli SMS, la cui tracciabilità è garantita dal gestore telefonico, questi servizi di comunicazione basati su una connessione Internet prevedono che l’archiviazione del contenuto e dei dati relativi al messaggio trasmesso avvenga solo sul singolo dispositivo telefonico, potenzialmente accessibile da chiunque. Si rischia dunque che il messaggio venga visualizzato da un soggetto diverso dal reale destinatario o che addirittura venga cancellato prima ancora di aver adempiuto alla sua funzione conoscitiva (23). A sommesso avviso di chi scrive, potrà quindi essere utile una nuova pronuncia della Suprema Corte che individui alcune linee di indirizzo che agevolino il giudice di merito nell’identificazione dei requisiti di qualità, sicurezza ed integrità necessari affinché anche i messaggi WhatsApp possano essere ammessi in giudizio quali prove.

(22) Cfr. nota n. 20. (23) Sul punto si veda anche Avondola, Licenziamento e digital society: la forma scritta dalla posta ai post, in Riv. it. dir. lav., 2018, 299.

GIURISPRUDENZA CIVILE

Inibitoria di opera in violazione del diritto d’autore e copie in vendita su Amazon ed eBay Tribunale di T orino, sez. spec. imprese; sentenza 25 luglio 2019 n. 3736; Giud. La Manna; A.C. (Avv. De Caterina, Lombardi) c. G.V.G. (Avv. Vaccaneo) e altro. Il mero rinvenimento di copie dell’opera inibita presso librerie e piattaforme di vendita online non assurge di per sé a violazione dell’ordine inibitorio, in difetto di prova che l’offerta al pubblico sia successiva alla pronuncia della inibitoria.

…Omissis… Con atto di citazione ritualmente notificato C.A. conveniva in giudizio G.G.V. e la E. Edizioni Srl in liquidazione riferendo di avere convenuto nell’anno 2012 avanti al Tribunale di Torino gli attuali convenuti lamentando la violazione del diritto d’autore in relazione all’utilizzo da parte della G., per una sua pubblicazione, del titolo “Di che sogno sei?”, analogo a quello di un libro precedentemente pubblicato dal C.; che con sentenza 4674/2015 il Tribunale accertava la violazione del diritto d’autore lamentata dall’attore e inibiva ai convenuti l’ulteriore utilizzo del titolo “Di che sogno sei?”, fissando per il caso di violazione dell’inibitoria la somma di € 500,00 per ogni opera pubblicata o offerta al pubblico successivamente alla data di pubblicazione della sentenza; che nonostante l’inibitoria i convenuti hanno continuato a mettere in vendita l’opera della G. o, comunque, non hanno adottato alcuna adeguata iniziativa volta ad impedire ulteriori vendite del libro in questione per cui lo stesso continua a circolare per le librerie del nord Italia; che in data 24 settembre 2015 venivano poste in vendita dalla piattaforma Amazon 5 copie del libro in questione e una copia tramite Ebay; che in data 2 ottobre 2015 venivano poste in vendita altre 5 copie dalla libreria Bortoloso in Schio; che il 29 ottobre 2015 veniva venduta un’altra copia del libro presso la libreria Il Giardino dei Libri sita in Bellaria; che in data 13 aprile 2016 veniva venduta una ulteriore copia dalla libreria Marco librarsi in Cesena e in data 24 maggio 2016 una copia presso la libreria Idrusa in Alessano; che in totale sono state poste in vendita 14 copie del libro della G. a partire dal 29 settembre 2015; che l’importo dovuto, pertanto, in base alla sentenza è di € 7000,00. Concludeva, pertanto, chiedendo la condanna delle convenute al pagamento della somma indicata. Si costituivano le convenute contestando la pretesa avversaria e chiedendo il rigetto della domanda proposta. In via subordinata parte convenuta G. chiedeva di esse-

re manlevata per il caso di condanna dalla convenuta Espress Edizioni srl in Liquidazione. La domanda proposta è infondata e deve essere respinta. Afferma parte attrice che le convenute avrebbero violato l’inibitoria stabilita dal Tribunale di Torino con la sentenza 4674/2015 essendo successivamente alla stessa sentenza, state reperite in commercio 14 copie del libro della G. in relazione al quale era stata disposta l’inibitoria stessa. È necessario in merito rilevare che la sentenza la cui violazione è in questa sede lamentata dalla parte attrice stabilisce l’inibitoria per l’ulteriore utilizzo del titolo “Di che sogno sei?”, accertato che tale ulteriore utilizzo costituisce violazione del diritto d’autore spettante all’attore. In merito all’utilizzo pregresso la stessa pronuncia ha rigettato la domanda che era stata formulata di sequestro delle copie in circolazione non ritenendone sussistenti i presupposti secondo quanto previsto dall’art. 158 LA. La penale di € 500,00 per ogni opera pubblicata o offerta al pubblico è stata prevista, quindi, per le violazioni successive alla data di pubblicazione della sentenza. Parte attrice afferma di avere reperito in commercio, dopo la pubblicazione della sentenza, 14 copie dell’opera in questione e desume da tale circostanza l’intervenuta violazione del divieto posto dalla citata sentenza. Rileva il Collegio che il mero fatto dell’avvenuto reperimento di alcune copie dell’opera della convenuta G. per cui è causa in vendita successivamente alla sentenza non costituisce prova dell’avvenuta violazione da parte dei convenuti dell’inibitoria stabilita e non è, pertanto, di per sé sufficiente a fare ravvisare i presupposti per l’applicazione della sanzione stabilita. Non essendo, infatti, stata prevista alcuna misura per le opere già in commercio al momento della sentenza parte attrice avrebbe dovuto fornire la prova del fatto che le opere rinvenute sono state oggetto di pubblicazione e divulgazione da parte delle parti convenute successivamente alla sentenza stessa. Tale prova non è stata

DIRITTO DI INTERNET N. 4/2019

737

GIURISPRUDENZA CIVILE fornita sì che, come eccepito dalle parti convenute, le stesse opere rinvenute ben potrebbero essere opere già in commercio al momento della sentenza citata ed in relazione alle quali nessun provvedimento è stato adottato e nessuna sanzione è, pertanto, applicabile.

La domanda di parte attrice non può, pertanto, trovare accoglimento. …Omissis… P.Q.M. Respinge la domanda proposta da parte attrice …Omissis….

IL COMMENTO di Marcello Stella

Sommario: 1. Una inibitoria di tenore ambiguo. – 2. Inibitoria del commercio dell’opera contraffatta e offerta di vendita online. – 3. Precisazioni a proposito dell’onere della prova nel giudizio di violazione del diritto d’autore. – 4. Ulteriori declinazioni casistiche a proposito di sequestro presso terzi. Il tribunale torinese affronta un caso di inottemperanza ad una inibitoria della pubblicazione od offerta in vendita di opera in violazione del diritto d’autore. La domanda di risarcimento del danno è stata in concreto rigettata per mancata prova della data della violazione. La fattispecie apre tuttavia numerosi quesiti in ordine al rapporto tra le forme di tutela a disposizione del titolare del diritto di privativa ed obblighi del destinatario dell’ordine inibitorio, in specie allorché l’opera sia commercializzata online tramite prestatori di servizi della società dell’informazione. The court of Turin deals with the infringement of an injunction order, prohibiting further publication or offering for sale of a literary work in breach of the claimant’s copyright. The claim for damages, however, was rejected for lack of evidence regarding the timing of the alleged infringements. The case at hand raises several issues on the relationship between the remedies available to the copyright holder and duties of the enjoined defendant, when the infringing work is being marketed through internet service providers.

1. Una inibitoria di tenore ambiguo

Il caso sunteggiato, non del tutto limpidamente, dalla motivazione della sentenza in epigrafe vede il titolare del diritto d’autore rivendicare la paternità del titolo dato alla propria opera ed in seguito plagiato da un’opera letteraria altrui senza il suo consenso. In un primo processo l’attore chiedeva e otteneva l’inibitoria della pubblicazione e della commercializzazione dell’opera plagiante. Con cumulata domanda ai sensi dell’art. 158, co. 1, l.a., l’attore instava per ottenere il ritiro dell’opera lesiva dal commercio, pur se la motivazione parla invece di sequestro, che però è disciplinato dall’art. 161 l.a.; di qui la natura non cautelare, stando al referente normativo individuato dall’attore, del rimedio richiesto. Il tribunale torinese rigettava quest’ultima domanda e non è dato sapere per quali ragioni: plausibilmente legate alla inattuabilità pratica di un ipotetico provvedimento di tal segno, oppure, se di cautelare davvero si trattasse, al verosimile difetto di strumentalità (1).

(1) Per un caso, di segno opposto, di accoglimento della domanda cautelare ex art. 700 c.p.c. di sequestro degli esemplari già editi dell’opera costituente plagio-contraffazione, Trib. Torino 23 marzo 2006, in Foro it., 2006, I, 2081, che valorizza la circostanza che l’editore dell’opera costituente contraffazione avrebbe potuto facilmente verificare la presenza dell’opera originale sul catalogo dell’editore di quest’ultima pubblicato anche online. Nel senso che il sequestro di opera collettiva, nella specie

738

DIRITTO DI INTERNET N. 4/2019

Il tribunale, come detto, accoglieva la domanda inibitoria principale e vietava all’autore e all’editore convenuti di pubblicare (sottinteso: nuove edizioni o ristampe) ma altresì di cessare di “offrire al pubblico” ulteriori copie dell’opera plagiante, con fissazione di cospicua penale per ogni violazione successiva alla pubblicazione della sentenza. A distanza di circa un anno, l’attore parzialmente vittorioso nel primo processo propone un secondo giudizio di merito, questa volta per ottenere la condanna dei convenuti al pagamento delle astreintes spettanti a fronte del rinvenimento in commercio di 14 esemplari dell’opera inibita. Il tribunale rigetta la domanda per mancata prova. Sarebbe gravato sull’attore, così si è ragionato, l’onere di

cinematografica, ai sensi dell’art. 161 l.a., quale tutela rimediale meritale, presupponga una violazione del diritto d’autore “particolarmente grave”, Trib. Roma 19 novembre 2003. Il dibattito sulla strumentalità della tutela inibitoria cautelare rispetto alla tutela meritale del diritto d’autore è particolarmente acceso negli Stati Uniti. I presupposti per la adozione di una injunction inibitoria sono stati enunciati nel caso eBay Inc. v. MercExchange L.L.C., 547 U.S. 388 (2006), che onera il ricorrente di dimostrare: “(1) that it has suffered an irreparable injury; (2) that remedies available at law, such as monetary dam ages, are inadequate to compensate for that injury: (3) that, considering the balance of hardships between the plaintiff and defendant, a remedy in equity is warranted; and (4) that the public interest would not be disserved by a permanent injunction”.

GIURISPRUDENZA CIVILE dimostrare che le allegate violazioni della inibitoria siano state commesse in un momento successivo rispetto alla data di pubblicazione della sentenza inibitoria. Non basta, ha statuito il giudice torinese, il mero rinvenimento di copie in vendita, né tanto meno che se ne sia verificata la vendita al consumatore finale, perché ben potrebbe trattarsi pur sempre di copie già immesse in commercio in epoca anteriore alla pronuncia del comando inibitorio, e di cui non era stato ordinato il ritiro (o il sequestro). Questa decisione, ed il ragionamento presuntivo che la sorregge, sarebbe da approvare quasi senza esitazione se l’attore avesse limitato la sua pretesa alle copie cartacee dell’opera rinvenute presso esercizi fisici, vale a dire presso librerie tradizionali. Ma in questa fattispecie di violazione del diritto d’autore commessa in utroque, per così dire, vi era anche un non trascurabile segmento della causa petendi costituito dalla prospettata, persistente offerta in vendita dell’opera vietata su due celebri piattaforme di vendita online (c.d. marketplace). O perlomeno noi tenderemmo a così interpretare l’accenno al fatto che “venivano poste in vendita dalla piattaforma…”, che campeggia nella motivazione della sentenza. Il che offre materia per ulteriori riflessioni e distinguo.

2. Inibitoria del commercio dell’opera contraffatta e offerta di vendita online

L’inibitoria, al di là della controversa sua natura sul piano processuale, che si colloca sul crinale tra accertamento e condanna sui generis (cioè senza autonoma valenza esecutiva) ad un non facere (2), esprime un divieto. L’ordine di ritiro dal commercio dell’opera contraffatta, per contro, impone al destinatario un obbligo positivo di fare, ossia di attivarsi per eliminare dal mercato i prodotti lesivi di altrui diritti di privativa e, in particolare, di ottenere la restituzione da tutti gli intermediari ossia dai soggetti inseriti nella rete commerciale del contraffattore e nei cui confronti egli abbia la possibilità di intervenire (3). È controverso se l’obbligo di ritiro si dilati al punto da imporre al destinatario dell’ordine giudizia-

(2) Su tale classica forma di azione a tutela di diritti assoluti di stampo proprietario, le sue radici nel diritto germanico (“Unterlassungsklage”), e la sua progressiva affermazione nell’ordinamento italiano della tutela della concorrenza, v. Rapisarda, Profili della tutela civile inibitoria, Padova, 2007, passim. Giussani (a cura di), Il processo industriale, Torino, 2012. (3) Così Rovati, Art. 124 c.p.i., in Commentario breve alle leggi su proprietà intellettuale e concorrenza, a cura di Marchetti e Ubertazzi, Padova, 2012, 554 (sulla scia di Spolidoro, Le inibitorie nel diritto industriale e nel diritto d’autore, in Aa.Vv., Atti del Convegno sui “Profili critici della proprietà intellettuale ed effettività della tutela civile e penale, Milano, 2007) che rileva la non perfetta corrispondenza dei rimedi ottenibili dal titolare del diritto d’autore a mente del tenore testuale dell’art. 159 l.a., che non riproduce esattamente la formulazione dell’art. 124 c.p.i.

le di attivarsi anche presso commercianti al dettaglio o financo nei confronti dei consumatori (4). Il punto di partenza per accostarsi ad una più approfondita disamina delle sfaccettature civil-processualisitche del caso è allora che inter partes si era formato un giudicato di rigetto della domanda di ritiro dal commercio degli esemplari già editi dell’opera costituente plagio. E va da sé che la inibitoria della pubblicazione di tale opera non potesse che valere pro futuro. Fissate queste premesse, la via solo apparentemente più “liquida” imboccata dal tribunale per addivenire al rigetto integrale della domanda, imperniata com’è su considerazioni d’ordine prettamente cronologico, e segnatamente sulla mancata prova della posteriorità degli atti illeciti rispetto alla pubblicazione della inibitoria, appare ricurva su una lettura dell’accadimento storico-naturalistico con lenti tradizionali, ma ha il difetto di soprassedere su un profilo giuridico fattuale invero cruciale. Vale a dire che il rinvenimento di persistenti offerte di vendita online dell’opera vietata, se anche formulate o “postate” in epoca anteriore alla pronuncia della inibitoria, di per sé assurge ad una violazione della condanna inibitoria, a prescindere dal fatto che le copie dell’opera cui si riferiva l’offerta di vendita fossero quelle già stampate prima della pubblicazione del provvedimento inibitorio e rimaste nello stock di magazzino dell’editore o magari nella disponibilità del medesimo autore dell’opera plagiante. Si badi, infatti: la prima sentenza del tribunale torinese vietava all’autore e all’editore di offrire in vendita l’opera, fatte salve le copie già in circolazione. Cioè quelle sole copie già vendute all’ingrosso dall’editore ad esercizi commerciali indipendenti (librerie), e dunque delle res già fuoriuscite dalla disponibilità materiale e prima ancora giuridica degli ingiunti. A fronte di tale univoco divieto ad ampio raggio, pur se proiettato solo al futuro, l’autore e l’editore ingiunti avrebbero certamente dovuto attivarsi per revocare eventuali offerte di vendita ancora non accettate e dunque valide ed efficaci, quali quelle appunto dai medesimi formulate al pubblico per il tramite delle due celebri piattaforme di vendita, onde evitare il perpetrarsi dell’illecito di cui era stata loro ordinata la cessazione. Né l’attore in giudizio, titolare del diritto d’autore, avrebbe avuto allora bisogno di

(4) Nel senso che l’obbligo di ritiro non si estenda soggettivamente oltre la rete distributiva dell’autore dell’illecito, M. Vanzetti, Contributo allo studio delle misure correttive e delle sanzioni civili nel diritto industriale: i profili processuali dell’art. 124 c.p.i., in Riv. dir. ind., 2010, 26 ss., 54; contra, nel senso che la misura cautelare del sequestro industrialistico, cui è omogenea quella ex artt. 161-162 l.a., può eseguirsi non solo alla “fonte”, presso il produttore o i distributori (eventualmente all›ingrosso), ma anche “a valle”, ad esempio presso i dettaglianti (in libreria, nel caso dei libri, o ovunque questi siano venduti; nella specie peraltro non consta affatto che la distribuzione sia solo postale), Trib. Napoli 17 marzo 2003.

DIRITTO DI INTERNET N. 4/2019

739

GIURISPRUDENZA CIVILE dimostrare che la proposizione di offerte di vendita fosse posteriore rispetto alla pubblicazione della condanna inibitoria. Prova non solo irrilevante ma, oltretutto, che rischierebbe all’atto pratico di risultare addirittura diabolica, giacché non sempre i siti di vendita online consentono di visualizzare la data in cui il promittente venditore ha effettivamente formulato per la prima volta – ed in specie mai più revocato, in spregio ad un preciso ordine giudiziale – l’offerta di vendita del bene o del servizio pubblicizzato tramite i nuovi canali per lucrare ulteriori profitti dalla opera plagiante. Ridurre la soluzione del caso a una questione di mancato adempimento dell’onere probatorio, significa non inquadrare esattamente l’accadimento storico rilevante secondo i criteri civilistici acconci che sovrintendono alle forme di esercizio della volontà negoziale ed alla perdurante sua efficacia nel tempo. Il divieto giudiziale di ulteriore commercializzazione di un’opera contraffatta o plagiante, infatti, ben può risultare ugualmente violato da una offerta al pubblico ancorché formulata prima che l’ordine ingiunzionale sia stato spiccato nei confronti dell’ingiunto, ma che risulti ancora presente sulla piattaforma di vendite online successivamente alla pubblicazione della sentenza inibitoria. La violazione sarà, anzi, qui in re ipsa. A quanto consta l’attore era riuscito ad offrire una simile prova e dunque avrebbe avuto diritto a vedersi riconosciuta la spettanza della penale moltiplicata per il numero di violazioni (cioè quanto meno delle offerte di vendita, o ancora, se ciò risulti, dal numero di copie vendute online a fronte delle accettazioni di tali offerte) dell’ordine inibitorio.

3. Precisazioni a proposito dell’onere della prova nel giudizio di violazione del diritto d’autore

Anche a prescindere dalle aporie della ricostruzione della fattispecie sul piano squisitamente cronologico-fattuale, un ulteriore profilo di perplessità nei riguardi dell’esito finale della sentenza attiene allo standard probatorio. Il giudice torinese non fa testuale riferimento all’art. 2697 c.c., purtuttavia la sentenza non dà adito a dubbi quanto al fatto che la concreta ratio decidendi sia incentrata sulla sopportazione da parte dell’attore del rischio della mancata prova dei fatti costitutivi della domanda. Si nota però che la motivazione non fa neppure cenno all’art. 156-bis l.a., la quale disposizione, replicando quella dell’art. 121 c.p.i. (rubricato “ripartizione dell’onere della prova”), prevede che quando una parte abbia fornito “seri indizi” dai quali si possa ragionevolmente desumere la fondatezza delle proprie domande ed abbia individuato documenti, elementi o informazioni detenuti dalla controparte che confermino tali indizi, essa

740

DIRITTO DI INTERNET N. 4/2019

può ottenere che il giudice ne disponga l’esibizione oppure che richieda le informazioni alla controparte. La legge speciale non inverte l’onere della prova, che rimane sulla parte che afferma il diritto in giudizio, beninteso. Non consta, tuttavia, se nel caso di specie l’attore avesse accompagnato le sue produzioni documentali da una espressa richiesta di attivazione dei penetranti poteri istruttori che la legge d’autore assegna al giudice (5). Gli è che per certo l’attore aveva fornito “seri indizi”, se non già una prova concludente di violazione della condanna inibitoria, almeno per quanto concerne la proiezione del divieto sul versante delle vendite online. Questione ulteriore, cui né la sentenza in commento né i precedenti editi danno risposta, è poi se lo speciale standard di prova dei seri indizi, che consente la attivazione dei poteri istruttori del giudice, sia applicabile anche nelle cause conseguenziali, ad es. quella di condanna al pagamento della penale da ripetuta violazione di una previa inibitoria giudiziale. La risposta a nostro avviso non può che essere positiva, atteso che anche una azione di condanna al pagamento di astreintes, seppure l’oggetto immediato del processo sarà costituito dal credito risarcitorio dell’attore, ha come presupposto la violazione del diritto di proprietà intellettuale o industriale accertato dalla sentenza inibitoria e posto a fondamento della pretesa pecuniaria di ristoro. Sarebbe dunque incongruo relegare gli speciali mezzi di acquisizione della prova al solo processo che deduca direttamente ad oggetto la lesione del diritto di proprietà intellettuale ed escluderne la applicazione magari proprio nei casi in cui il contraffattore soccombente si adoperi con modalità più insidiose e meno agevolmente rilevabili dalla parte privata per eludere il comando inibitorio.

4. Ulteriori declinazioni casistiche a proposito di sequestro presso terzi

Per tentare di superare le ambiguità semantiche della espressione “poste in vendita”, che noi abbiamo sin qui interpretato nel senso di “offerte al pubblico”, proviamo a figurarci anche il diverso possibile caso, ed a chiederci dunque che cosa accadrebbe se il titolare del diritto d’autore violato alleghi che l’opera plagiante – e si assuma trattarsi pur sempre di copie appartenenti alla

(5) Controverso è poi se i poteri istruttori previsti dalla legge speciale siano esercitabili anche d’ufficio o solo ad istanza di parte, come peraltro il tenore testuale della norma indurrebbe a credere. Una parte della dottrina industrialistica, tuttavia, propende a ritenere che la disciplina speciale della legge d’autore e del codice di proprietà industriale debba essere integrata con l’archetipo dell’ordine esibitorio e dell’ispezione previsti rispettivamente dagli artt. 210 e 118 c.p.c. Il che darebbe luogo alla possibilità di un esercizio anche officioso di tali poteri. In arg. Scuffi, Diritto processuale della proprietà industriale e intellettuale, Milano, 2009, 474. Per ult. riff. dottrinali v. Di Fazzio, Art. 156-bis c.p.i., in Commentario breve alle leggi su proprietà intellettuale e concorrenza, cit., 1849.

GIURISPRUDENZA CIVILE prima edizione, immessa in commercio prima della inibitoria giudiziale pro futuro – risulti bensì ancora acquistabile sulle piattaforme di vendita online, ma che tale opera sia offerta in vendita direttamente dal prestatore del servizio di marketplace, indi dalla lussemburghese Amazon s.à.r.l. o dalla tedesca eBay GmbH, tali essendo le nazionalità delle società che si porranno di regola come controparti contrattuali degli utenti italiani, che si siano rese dirette acquirenti dell’opera plagiante dal suo editore. Ebbene, in tale diversa ipotesi riteniamo che l’onere della prova in capo all’attore-titolare del diritto violato sarà graviore. Per ottenere l’accoglimento della domanda di condanna al pagamento della penale, l’attore dovrà dimostrare che in epoca successiva alla pronuncia della inibitoria l’editore o l’autore dell’opera inibita abbiano alienato alla società che gestisce la piattaforma di vendite online ulteriori copie dell’opera costituente plagio. Tale prova difficilmente potrà essere fornita per presunzioni. Verosimilmente dovrà sollecitarsi la attivazione dei più penetranti poteri istruttori esibitori del giudice di cui si è detto nel paragrafo che precede. L’illecita violazione dell’inibitoria, infatti, sarebbe da collocarsi temporalmente proprio e solo nel momento della fornitura delle copie dell’opera plagiante dall’editore ad Amazon e non già in occasione della rivendita da quest’ultima – che ne disporrà proprio iure – al consumatore finale. L’attore, infatti, non avrebbe titolo ad ottenere ristoro dai prestatori del servizio di vendite online, non soggetti alla efficacia di giudicato del previo ordine inibitorio (6), a meno che l’attore non abbia avuto cura di estendere il contraddittorio e di renderli così parti del processo e destinatari della sua domanda inibitoria (7).

(6) Per un caso recente, invece, in cui il titolare di un marchio nell’ambito della industria cosmetica ha ottenuto una inibitoria atta a vietare la commercializzazione sulla piattaforma Amazon dei propri prodotti, onde non disperdere l’aura di esclusività e di pregio del marchio, si v. la decisione di Trib. Milano 3 luglio 2019, in Banca dati Cedam Pluris. (7) Sul piano civilistico ci si dovrà anzi chiedere se il prestatore di servizi online, per il solo fatto di avere ospitato la offerta di vendita di prodotto contraffatto, non sia, perciò solo, responsabile nei confronti del titolare del diritto di autore violato. Ciò rimanda all’evidenza al problema del discrimine tra hosting provider “attivo” e “passivo” delineatosi dapprima nella giurisprudenza della Corte di Giustizia (sent. 12 luglio 2011, L’Oreal c. eBay, C-324/09 e sent. 11 settembre 2014, Sotiris Papasavvas, C-291/13) e da ult. affrontato da Cass. 19 marzo 2019, nn. 7708 e 7709, in questa Rivista, 2019, 41 ss., con commenti di Panetta e Rovati, Il ruolo attivo degli intermediari di Internet e la conseguente responsabilità civile. Nel diritto nordamericano, secondo la doctrine della responsabilità che a sua volta affonda le radici nella antica actio di common law nota come respondeat superior, il prestatore di servizi è tenuto a rispondere dell’illecito altrui, là dove ne abbia tratto un vantaggio personale. In arg. v. Kostyu, Copyright Infringement on Internet: Determining the Liability of Internet Service Providers, in Catholic University Law Review, 1999, 1237 ss.

A tutela del titolare del diritto d’autore sovverrà peraltro la norma di cui all’art. 162, co. 6, l.a. a mente della quale il sequestro delle cose che ledono la privativa può essere anche eseguito nei confronti di terzi detentori delle cose di cui il giudice abbia vietato la distribuzione o la commercializzazione all’autore dell’illecito. Nella giurisprudenza di merito il tema della estensione (dell’esecuzione) della misura cautelare a terzi rimasti estranei al giudizio (8) è stato di rado affrontato in materia editoriale ed in quei casi isolati si è ritenuto che la misura conservativa possa trovare attuazione solo nei confronti di coloro che siano diretti aventi causa dal convenuto (9). Nel caso dunque di vendita alle società prestatrici di servizi di e-commerce da parte dell’editore convenuto, la ipotesi di una esecuzione cross-border della misura cautelare non è da escludere. La giurisdizione sarebbe regolata dall’art. 35, Reg. 1215/2012, che come noto consente la emissione di misure cautelari anche al giudice che non sia competente a conoscere nel merito. Il giudice italiano sarebbe comunque competente anche ad adottare provvedimenti cautelari, stante la sussistenza della sua giurisdizione sul merito in ragione della proiezione strettamente territoriale dei diritti d’autore (sentenza Roche). Tuttavia, le aspettative di celere esecuzione di sentenze di condanna e di provvedimenti cautelari incontreranno un ragguardevole ostacolo nel fatto che il Gran Ducato del Lussemburgo non è scelto esclusivamente per ragioni fiscali, come si potrebbe a tutta prima credere, ma anche e proprio perché il sistema giurisdizionale e il diritto processuale di tale paese, pur senza rinnegare la chiara matrice francesistica, si è progressivamente innervato di contaminazioni tipiche dei sistemi di common law quali la accresciuta discrezionalità dei poteri del giudice e la occasionalità di termini perentori o addirittura la eliminazione di termini predeterminati per il compimento di certune attività processuali. Il caso più eclatante, noto a chiunque frequenti quella giurisdizione per ragioni esecutive, è per l’appunto la inesistenza di un termine entro il quale il terzo pignorato debba rendere la dichiarazione delle cose di cui è debitore. Vede bene ognuno allora che un sistema così concepito, a servizio della stabilità anche fisica dei capitali, che entrano ma poi vi debbono rimanere o non essere facilmente appre-

(8) Perplessità verso una affermazione di responsabilità da concorso nell’illecito in capo ai prestatori di servizi dell’informazione, derivante dal solo fatto d’essere stati informati della violazione del diritto di privativa mediante una diffida stragiudiziale del titolare, ma senza aver partecipato al processo tra il titolare del diritto e l’autore principale della contraffazione, venivano espresse da Cassano - Iaselli, Caso “About Elly”: la responsabilità dell’Internet service provider, in Corr. merito, 2011, 922 ss., 928. (9) Trib. Roma 1 giugno 2007, in AIDA, 2008, 879.

DIRITTO DI INTERNET N. 4/2019

741

GIURISPRUDENZA CIVILE si da creditori stranieri, quantunque europei, degrada il principio della mutua fiducia tra Stati membri a mera petizione di principio. Rendendo la tutela esecutiva illusoria. È da chiedersi, infine, se in casi analoghi al presente i responsabili della contraffazione o della violazione del diritto d’autore possano opporre al titolare del diritto di proprietà intellettuale violato una eccezione ai sensi dell’art. 1227, co. 2, c.c. e così imputare al titolare del diritto una inerzia per non avere segnalato, con opportuna diffida stragiudiziale (take-down notice) al prestatore del servizio di marketplace la presenza in commercio di opera lesiva del suo diritto (10). Riteniamo che neppure questo sarebbe un esito acconcio sul piano civilistico. È il destinatario della inibitoria giudiziale, infatti, l’unica parte tenuta ad attivarsi, anche con i propri aventi causa, al fine di non porre in essere violazioni dell’ordine giudiziale. Né potrebbe pretendersi dal titolare del diritto leso un impossibile onere di vigilanza e di costante monitoraggio delle piattaforme di vendita online.

(10) In proposito ci pare dovranno valere per analogia le indicazioni affioranti dal “diritto vivente” in tema di determinatezza della diffida all’hosting provider: la giurisprudenza reputa non potersi addossare sul titolare del diritto d’autore violato l’onere di individuare e poi indicare nella diffida diretta al prestatore di servizi tutti i singoli Uniform Resource Locator (URL), al fine comunicare la esatta localizzazione del materiale che costituisce violazione del diritto di privativa. Imporre ai titolari dei diritti violati un siffatto onere renderebbe difficile e quasi impossibile ottenere la tutela invocata, oltretutto in difetto di qualsiasi addentellato normativo nazionale e comunitario, come nota Cassano, Sulla responsabilità del provider per la diffusione abusiva in rete di opere audiovisive, in Dir. ind., 2016, 466 ss., 468 nel commento adesivo a Trib. Roma 27 aprile 2016.

742

DIRITTO DI INTERNET N. 4/2019

GIURISPRUDENZA CIVILE

La diffamazione a mezzo Facebook e i danni risarcibili Tribunale di Bologna , sezione III civile, sentenza 5 luglio 2019, n. 1605, Giudice Gamberini; F.T. s.r.l., G.G e F.G. (Avv. P.M.) c. M.B. (Avv. M.S.). La diffusione di un messaggio diffamatorio attraverso l’uso di una bacheca Facebook integra l’ipotesi aggravata menzionata trattandosi di condotta potenzialmente capace di raggiungere un numero indeterminato o comunque quantitativamente apprezzabile di soggetti. Un’aggravante che trova la sua ratio nella idoneità del mezzo utilizzato che determina una rapida pubblicizzazione e diffusione. Questo si traduce, sul piano penale e per espressa previsione del legislatore, in un aumento della pena. Sul piano civile, ciò andrà verosimilmente a potenziare l’ingiustizia del danno, posto che l’utilizzo del mezzo internet comporta una diffusione della notizia diffamatoria ben più ampia e potenzialmente idonea a raggiungere un numero indeterminato di individui. Non può essere condiviso l’assunto per cui il danno non patrimoniale da lesione dell’immagine e della reputazione sia un danno “in re ipsa”: la sussistenza del danno non patrimoniale, quale conseguenza pregiudizievole (ossia, una perdita ai sensi dell’art. 1223 cod. civ., quale norma richiamata dall’art. 2056 c.c.) di una lesione suscettibile di essere risarcita, deve essere oggetto di allegazione e di prova, sebbene, a tale ultimo fine, possano ben utilizzarsi anche le presunzioni semplici, là dove, proprio in materia di danno causato da diffamazione, idonei parametri di riferimento possono rinvenirsi, tra gli altri, dalla diffusione dello scritto, dalla rilevanza dell’offesa e dalla posizione sociale della vittima.

…Omissis… Con atto di citazione notificato in data 04.08.2017, la F. T. S.r.l. – già W. s.r.l., società nata nel 2007 all’interno del gruppo T. di Bologna con l’obiettivo di sviluppare il mercato della bicicletta elettrica – ed i signori G. F. e G. G. in proprio, convenivano il signor B. M. innanzi il Tribunale di Bologna per sentir accertare la condotta diffamatoria da questi posta in essere ed ottenere la condanna del convenuto al risarcimento dei danni, patrimoniali e non, conseguenti alla lesione del loro diritto alla reputazione e all’immagine, quantificati in € 8.000,00 (ciascuno) per i signori F. G. e G. G. e in € 10.000,00 per la F. T. s.r.l., ovvero nella diversa somma ritenuta di giustizia, anche in via equitativa, oltre rivalutazione monetaria ed interessi ex art. 1284 comma IV, c.c. dalla domanda al saldo. Chiedevano, inoltre, disporre la pubblicazione dell’emananda sentenza di condanna, a cura degli attori ed a spese del convenuto, per una volta e per estratto su “Il Resto del Carlino”, edizione domenicale di Bologna, con caratteri doppi rispetto a quelli normali di stampa. Si costituiva nel presente giudizio il signor M. B. il quale confutava e contestava quanto dedotto e prodotto ed insisteva nella reiezione delle domande avversarie. …Omissis… 1. In genere: cenni sulla disciplina in materia di diffamazione. Ai fini di un migliore inquadramento della vicenda oggetto di causa, si ritiene utile ripercorrere sinteticamente la regolamentazione delle fattispecie di diffamazione, cui l’ordinamento nel suo complesso attribuisce un evi-

dente disvalore, sia sul piano penale, con la previsione di una specifica ipotesi di reato, ex art. 595 c.p., sia sul piano civile quale condotta evidentemente integrativa di fatto illecito, ai sensi dell’art. 2043. Comune a entrambi i piani è il significato di condotta diffamatoria, esplicitato invero solo nel codice penale, laddove si punisce la condotta di chi, comunicando con più persone, offende l’altrui reputazione. Se la comunicazione avviene a mezzo stampa o, come nel caso di specie, a mezzo internet, l’offesa si ritiene ancora più pregnante. Infatti, la Cassazione ha espressamente riconosciuto la possibilità che il reato di diffamazione possa essere commesso a mezzo internet, configurando la propagazione tramite Facebook un’ipotesi che integra quale aggravante quella di cui al terzo comma del menzionato articolo. La diffusione di un messaggio diffamatorio attraverso l’uso di una bacheca Facebook integra l’ipotesi aggravata menzionata trattandosi di condotta potenzialmente capace di raggiungere un numero indeterminato o comunque quantitativamente apprezzabile di soggetti. Un’aggravante che trova la sua ratio nella idoneità del mezzo utilizzato che determina una rapida pubblicizzazione e diffusione (Cassazione penale, sez. I, 28/04/2015, n. 24431; Cassazione penale, sez. V., 13/07/2015, n. 8328). Questo si traduce, sul piano penale e per espressa previsione del legislatore, in un aumento della pena. Sul piano civile, ciò andrà verosimilmente a potenziare l’ingiustizia del danno, posto che l’utilizzo del mezzo internet comporta una diffusione della notizia diffamatoria ben più ampia e potenzialmente idonea a raggiungere un numero indeterminato di individui.

DIRITTO DI INTERNET N. 4/2019

743

GIURISPRUDENZA CIVILE Vero è che la tutela della reputazione personale e dell’onore, bene giuridico presidiato dal perseguimento delle condotte diffamatorie, deve molto spesso trovare un adeguato bilanciamento con un altro diritto fondamentale, ossia quello di manifestazione del libero pensiero, in tutte le sue specifiche declinazioni, quali il diritto di critica e il diritto di cronaca, che trovano un preciso addentellato costituzionale nell’art. 21 Cost. L’impossibile coesistenza di entrambe le tutele, in alcune occasioni, impone all’ordinamento, all’esito di un bilanciamento tra i valori in gioco, di decidere quale dei due diritti deve considerarsi prevalente, sacrificando l’altro. Ciò avviene attraverso l’operatività di vere e proprie esimenti che, in una data situazione, elidono l’antigiuridicità di una condotta altrimenti rilevante. In questo senso il diritto di critica e di cronaca, se esercitati con le modalità e nei limiti previsti, sono idonei a conferire legittimità a una condotta che, in astratto, potrebbe integrare un illecito, ad esempio perché lesiva della reputazione altrui. Come accennato, tuttavia, l’operatività di tali esimenti non è illimitata. Il diritto di critica e di cronaca deve essere esercitato nel rispetto dei principi di verità, di pertinenza e di continenza. Non solo. A questi stessi limiti si assegna una accezione in parte diversa, più o meno restrittiva, a seconda che si parli specificamente di diritto di critica o di diritto di cronaca. In particolare, nel diritto di critica, il principio di verità assume un rilievo più limitato e affievolito rispetto al diritto di cronaca, in quanto la critica, per sua natura, sottende espressioni meramente soggettive, relative non tanto alla narrazione di un fatto storico quanto piuttosto alle opinioni che l’individuo ha di questo, senza che possa pretendersi una valutazione rigorosamente obiettiva. Diverso è invece il diritto di cronaca, inteso quale diritto a informare e ad essere informati, che trova soprattutto nel “principio di verità” un presupposto ma anche un limite del suo esercizio. Ed infatti la finalità propria della cronaca è quella di riferire non mere opinioni personali ma notizie di accadimenti, che debbono in ogni caso rivestire un pubblico interesse. Si deve poi rammentare che, qualora si ritenga integrata una condotta diffamatoria, le pretese risarcitorie avanzate dal danneggiato a ristoro del danno all’immagine che si ritiene subito, devono sempre essere sostenute da prove adeguate sulla effettiva verificazione di un apprezzabile pregiudizio. Non è pertanto ammissibile una presunzione assoluta iuris et de iure per il solo fatto dell’accertamento di una condotta diffamatoria. Nondimeno, la prova del danno non patrimoniale all’immagine può essere data anche per presunzioni,

744

DIRITTO DI INTERNET N. 4/2019

sulla base però di una complessiva valutazione di precisi elementi di fatto dedotti in causa (ex plurimis, Cassazione civile, n. 28457/2008), potendosi in questo modo giungere a una valutazione anche in via equitativa dell’ammontare del risarcimento, stante l’obiettiva difficoltà in questi casi di una determinazione specifica. 2. Il caso di specie. L’an. Il fatto che ha dato origine alla presente controversia consiste nella pubblicazione, in data 26.09.2015, da parte del signor M. B. sulla pagina Facebook della W. s.r.l. (oggi F. T. s.r.l.) -che, all’epoca, riportava un annuncio promozionale relativo alla bicicletta elettrica modello “Trilogia” rappresentando agli utenti la possibilità di usufruire fino a 300,00 di sconto – di un “post” del seguente contenuto: “Ma perché la W. invece che ostinarsi a chiudere bilanci in passivo da circa 6 anni e offrire incentivi con denaro pubblico non regala qualche bicicletta alla nuova velostazione di Bologna, e da un contributo e un sostegno alla mobilità pubblica invece che succhiare denaro ? …Dai F. meno mi piace …Al buon giatti!” Ad avviso di questo giudicante non può revocarsi in dubbio che il post scritto dal convenuto sulla pagina Facebook della W., – il cui contenuto essenziale si è integralmente riportato – assuma una portata lesiva dell’immagine della W. stessa e della reputazione dei suoi titolari, G. G. e F. G., fornendo al pubblico interessato dall’annuncio promozionale dell’azienda una rappresentazione della W. come una società in perdita da anni, che “succhia” denaro pubblico e che inganna i suoi clienti spacciando incentivi del Comune come propri sconti. Tali affermazioni risultano denigratorie di per sé stesse e, ancor più, ove non corrispondenti al vero, come nel caso di specie. Parte attrice ha, infatti, documentato la falsità della circostanza stigmatizzata dal signor M. B. con il “post” di cui si discute, ossi che la W. offrisse gli incentivi riferiti nell’annuncio promozionale commentato da B. utilizzando denaro pubblico, atteso che: “- il Comune di Bologna aveva previsto un contributo a favore degli utilizzatori finali per l’acquisto di qualsiasi bicicletta a pedalata assistita” (Doc. 18); – W. aveva, autonomamente, disposto un proprio distinto sconto ad hoc (Doc. 19), pubblicizzato sulla pagina F., che andava ad aggiungersi e cumularsi al contributo del Comune. Le azioni attribuite dal signor B. a W. (“offrire incentivi con denaro pubblico” E “succhiare denaro pubblico”) sono quindi non veritiere e lesive dell’immagine dell’azienda. Inoltre, il post risulta denigratorio anche nella parte in cui il signor B. domanda, in maniera canzonatoria, perché la W. si ostini a chiudere bilanci in passivo da circa 6 anni”. “Per sostenere la veridicità di tale affermazione

GIURISPRUDENZA CIVILE il convenuto ha riferito in atti che la W. si trovava già da anni in stato di decozione e che, a fine 2015, è stata incorporata per fusione e quindi cancellata...per effetto della gestione fallimentare (cfr. memoria B. ex art. 183, comma VI, n. 2 c.p.c.). Anche tali affermazioni non appaiono veritiere – alla luce della documentazione e delle considerazioni svolte da parte attrice, che ha spiegato come le perdite di esercizio, per una start-up in un settore altamente innovativo siano del tutto normali nel periodo iniziale, richiedendosi rilevanti investimenti e dovendosi attendere risultati positivi nel medio, lungo periodo -, ed esposte in violazione del limite della continenza. Peraltro, a smentita della gestione fallimentare riferita dal convenuto, parte attrice ha prodotto il n. del catalogo 2018 W., da cui si evince che la società attrice è in sviluppo e continuità e lanciare nuovi e più evoluti modelli di e-bike (Doc. 25), Quanto immediatamente precede conduce questo giudice a ritenere che il descritto “post” leda l’immagine e la reputazione degli attori, integrando l’elemento materiale della fattispecie diffamatoria. In relazione, poi, alla sussistenza dell’elemento soggettivo, come noto è necessario e sufficiente che ricorra il dolo generico, anche nelle forme del dolo eventuale, cioè la consapevolezza di offendere l’immagine e la reputazione altrui, la quale, nel caso di specie, si può desumere dalla intrinseca consistenza diffamatoria delle espressioni usate. In ordine al riconoscimento dell’esimente del diritto di critica, si osserva che il contenuto del commento appare esorbitante rispetto ai limiti di una opinione genuina, continente e costruttiva. Sul punto si è osservato che “il diritto di critica si concretizza in un giudizio valutativo che postula l’esistenza del fatto assunto ad oggetto o spunto del discorso critico ed una forma espositiva non ingiustificatamente sovrabbondante rispetto al concetto da esprimere, e, conseguentemente, esclude la punibilità di coloriture ed iperboli, toni aspri o polemici, linguaggio figurato o gergale, purché tali modalità espressive siano proporzionate e funzionali all’opinione o alla protesta, in considerazione degli interessi e dei valori che si ritengono compromessi” (Cass., sez. 1, n. 36045 del 13/06/2014 – dep. 20/08/2014, P.M. in proc. Surano, Rv. 261122). Invero, l’ambito di operatività di tale diritto nei delitti contro l’onore è stato oggetto di molteplici statuizioni della giurisprudenza. Si è così stabilito che, pur assumendo il requisito della verità del fatto un rilievo affievolito rispetto alla diversa incidenza che esso svolge sul versante del diritto di cronaca (Sez. 5, n. 4938/11 del 28/10/2010, S., Rv. 249239), è tuttavia indispensabile che sia rispettato un nucleo di veridicità (Sez. 5, n. 43403 del 18/06/2009, R., Rv. 245098), posto che nessuna interpretazione soggettiva, che sia fonte di di-

scredito per la persona che ne è investita, può ritenersi rapportabile al lecito esercizio del diritto di critica quando tragga le sue premesse da una prospettazione dei fatti opposta alla verità (Sez. 5, n. 7419/10 del 03/12/2009, C., Rv. 246096). Tali principi hanno trovato applicazione anche nel caso di specie, tanto è vero che, in data 14.03.2016, il Giudice per le Indagini Preliminari presso il Tribunale di Bologna ha emesso decreto penale di condanna n. 892/2016 nei confronti del sig. B. per il reato di diffamazione aggravata (Doc. 16 fasc. att.). Il quantum. Tanto puntualizzato in ordine all’integrazione degli elementi costitutivi della fattispecie diffamatoria, occorre accertare la consistenza dei pregiudizi patiti dagli attori in conseguenza della pubblicazione lesiva. Al riguardo, preme evidenziare che non possa essere condiviso l’assunto per cui il danno non patrimoniale da lesione dell’immagine e della reputazione sia un danno ” in re ipsa”, ciò contrastando con l’attuale, e ormai consolidatosi (a partire dalle pronunce delle Sezioni Unite del 2008: si vada segnatamente, Cass., Il novembre 2008, n. 26972, sino alla recente Cass., sez. un., 22 luglio 2015, n. 15350), orientamento che esclude, in ogni caso, la sussistenza di un danno non patrimoniale ” in re ipsa”, sia che esso derivi da reato (Cass., 12 aprile 2011, n. 8421), sia che sia contemplato come ristoro tipizzato dal legislatore (in tema di tutela della privacy: Cass., 26 settembre 2013, n. 22100; Cass., 15 luglio 2014, n. 16133; in tema di equa riparazione per durata irragionevole del processo: Cass., 26 maggio 2009, n. 12242), sia, infine, che derivi dalla lesione di diritti costituzionalmente garantiti, e, tra questi, il diritto all’immagine (anche di enti collettivi: Cass., 13 ottobre 2016, n. 20643) e, segnatamente, il diritto all’onore ed alla reputazione della persona fisica (Cass., 18 novembre 2014, n. 24474). Le conclusioni che precedono traggono alimento dal superamento della teorica del c.d. “danno evento”, elaborata compiutamente, come è noto, dalla sentenza n. 184 del 1986 della Corte costituzionale in tema di danno biologico e oggetto di revirement da parte della stessa Corte Costituzionale con la sentenza n. 372 del 1994. Orbene, il danno risarcibile, nella sua attuale ontologia giuridica, segnata dalla norma dell’art. 2043 c.c., cui è da ricondurre la struttura stessa dell’illecito aquiliano, non si identifica con la lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione (Cass. n. 16133 del 2014). Detta ricostruzione muove anzitutto dal riconoscimento che l’art. 2059 c.c. non disciplina una autonoma fattispecie di illecito, distinta da quella di cui all’art. 2043 c.c., ma si limita a disciplinare i limiti e le condizioni di risarcibilità dei pregiudizi non patrimoniali, sul presupposto della sussistenza di tutti gli elementi costitutivi dell’illecito richiesti dal citato art. 2043, senza differenziazioni in

DIRITTO DI INTERNET N. 4/2019

745

GIURISPRUDENZA CIVILE termini di prova (cfr. Cass., sez. un. n. 26972 del 2008, cit.). Ne consegue che la sussistenza del danno non patrimoniale, quale conseguenza pregiudizievole (ossia, una perdita ai sensi dell’art. 1223 cod. civ., quale norma richiamata dall’art. 2056 c.c.) di una lesione suscettibile di essere risarcita, deve essere oggetto di allegazione e di prova, sebbene, a tale ultimo fine, possano ben utilizzarsi anche le presunzioni semplici, là dove, proprio in materia di danno causato da diffamazione, idonei parametri di riferimento possono rinvenirsi, tra gli altri, dalla diffusione dello scritto, dalla rilevanza dell’offesa e dalla posizione sociale della vittima (si veda, in tema di diffamazione a mezzo stampa Cass. n. 13153 del 2017). Ciò posto, dunque, la oggettiva difficoltà di tradurre in termini monetari una entità (ossia il danno non patrimoniale) che non può essere stimata sulla base di criteri economici specifici, consente al giudice di applicare una valutazione necessariamente equitativa e ciò sulla base della espressa previsione codicistica, di cui all’art. 1226 c.c. Pertanto, alla luce di tutte le circostanze del caso concreto debitamente considerate a tale fine nella specie, quali la diffusione dello scritto attraverso il social network Facebook idoneo a diffondere il messaggio pubblicato, l’intrinseca rilevanza dell’offesa all’immagine dell’azienda e alla reputazione professionale degli

attori, il numero di destinatari qualificati raggiunti, la qualità di concorrente sul mercato del soggetto diffamante, si ritiene equo riconoscere la somma complessiva pari a euro 15.000,00 a titolo di risarcimento del danno all’immagine patito da parte attrice (5.000,00 per ciascuno degli attori). Dal momento della sentenza e sino all’effettivo soddisfo dovranno essere corrisposti, sul totale sopra liquidato all’attualità, gli ulteriori interessi al tasso legale. A diverse conclusioni si deve giungere con riferimento al danno patrimoniale lamentato e dipendente, in tesi attorea, dalla disincentivazione all’acquisto da parte degli utenti Facebook raggiunti dal “post” pubblicato dal convenuto. Con riferimento a tale danno, nessuna prova concreta è stata offerta dagli attori, neppure in termini di calo di fatturato a seguito della pubblicazione del “post” diffamatorio. Ne consegue il mancato riconoscimento del danno patrimoniale. Quanto, infine, alla richiesta di pubblicazione della sentenza su quotidiano locale, ritiene il giudicante che della pubblicità, soprattutto in considerazione del tempo trascorso dai fatti di causa, non possa, nel caso di specie, in alcun modo contribuire a riparare il danno subito. La domanda deve, pertanto, essere rigettata. …Omissis…

IL COMMENTO di Luca Tormen

Sommario: 1. Il caso. – 2. Lineamenti generali della diffamazione. – 3. Lineamenti della diffamazione a mezzo Facebook. – 4. Sulla quantificazione dei danni derivanti dalla diffamazione. La sentenza in commento ribadisce che la diffusione di un messaggio diffamatorio attraverso l’uso di una bacheca Facebook integra un’ipotesi di diffamazione aggravata ai sensi dell’art. 595, comma terzo, c.p., in quanto condotta potenzialmente capace di raggiungere un numero indeterminato o comunque quantitativamente apprezzabile di persone. Il Tribunale affronta il tema dell’an e del quantum della pretesa risarcitoria azionata, rilevando che, sebbene il danno non patrimoniale non sia considerabile in re ipsa, ciò nondimeno è dimostrabile attraverso presunzioni. La pronuncia, per la compiutezza e la linearità della sintesi offerta, è senza dubbio un utile ausilio per lo studio dell’argomento e la risoluzione dei frequenti altri casi di natura simile. The judgment at-issue reiterates the principle that the dissemination of a defamatory content via the Facebook wall amounts to the crime of defamation with aggravated circumstances (Section 595, par. 3, of the Italian Criminal Code). This is, since the message posted in that way is potentially perceivable by an indeterminate or considerable number of people. Subsequently, the Court analyses whether the at-issue post actually meet the defamatory standards and, this being the case, liquidates the damages suffered by the plaintiffs. In doing so, the Court recalls that, although the non-pecuniary damages cannot be in re ipsa, they can nonetheless be proven by relying on presumptions. The judgment provides a complete and linear synthesis of the at-issue matter, and is accordingly a useful help for understanding the underlying subject and the resolution of concrete cases, that frequently occur.

1. Il caso

La controversia, di sicura attualità, ha ad oggetto le richieste di (i) accertamento della natura diffamatoria di un post pubblicato su una bacheca Facebook; (ii) con-

746

DIRITTO DI INTERNET N. 4/2019

danna al risarcimento dei danni, patrimoniali e non; e (iii) pubblicazione dell’emananda sentenza. Gli attori sono una società che vende biciclette elettriche (la “W.”) e i suoi due titolari, i quali lamentano di

GIURISPRUDENZA CIVILE aver subito danni derivanti dalla diffusione del seguente post, presentato dal convenuto, soggetto privato, sottoforma di commento a un’offerta commerciale pubblicizzata dagli attori sul noto social network: “Ma perché la W. invece che ostinarsi a chiudere bilanci in passivo da circa 6 anni e offrire incentivi con denaro pubblico non regala qualche bicicletta alla nuova velostazione di Bologna, e da un contributo e un sostegno alla mobilità pubblica invece che succhiare denaro? …Dai F. meno mi piace …Al buon giatti!”. Gli attori sostengono che il post in questione li abbia danneggiati, disincentivando l’acquisto delle biciclette offerte e ledendo la loro reputazione. Il Tribunale di Bologna dirime la controversia dapprima ripercorrendo i lineamenti generali della diffamazione online – già da tempo definiti dalla consolidata giurisprudenza della Suprema Corte – quindi analizzando i profili dell’an e del quantum della pretesa risarcitoria azionata (1).

2. Lineamenti generali della diffamazione

Per quanto concerne i lineamenti generali (2), è noto che, sotto il profilo oggettivo, la diffamazione consta di tre elementi: (i) l’offesa dell’altrui reputazione; (ii) l’assenza dell’offeso; e (iii) la divulgazione della notizia diffamatoria a più persone. Il Tribunale di Bologna si sofferma sull’analisi del primo elemento, ricordando che la determinazione della natura diffamatoria di un’espressione richiede il preliminare bilanciamento tra due diritti fondamentali: da un lato quello alla reputazione personale e all’onore (art. 2 Cost.) (3), dall’altro quello alla libera manifesta (1) La sentenza, pur concernendo una pretesa risarcitoria, è di interesse anche per il penalista. Anzi, la materia – così come pressoché tutte le altre scaturenti dai fenomeni di attualità, come per esempio la responsabilità degli internet service provider – dimostra l’osmosi in corso tra diritto pubblico e privato. In argomento, si veda del Prato, Pubblico e privato: spigolature di un civilista, in Riv. it. scienze giur., 2016, 287 ss., ora anche in Id., Principi e metodo nell’esperienza giuridica, Torino, 2018, 165 ss. (2) L’ingresso della diffamazione online nel panorama giurisprudenziale si ha con la pronuncia Cass., 27 dicembre 2000, n. 4741, in Studium Juris, 2001, 599 ss..Sul tema la letteratura è assai copiosa. Si segnalano, ex multis, per la peculiare attenzione che viene prestata alla diffamazione online, Bianca – Gambino – Messinetti, Libertà di manifestazione del pensiero e diritti fondamentali, Milano, 2016; Fumo, La diffamazione mediatica, Torino, 2012; Pezzella, La diffamazione, Milano, 2016. (3) Il tema meriterebbe un approfondimento, che tuttavia risulterebbe sovrabbondante in questa sede. In breve, si registra che i social network hanno avuto un impatto sulla nozione di identità come reputazione (valore che – a differenza dell’identità intesa come dignità, che accomuna tutti – è caratteristica di ciascuno). Tradizionalmente, la reputazione è la fama di cui un soggetto gode nell’ambito della sua comunità (motivo per cui, per esempio, l’omicida non può lamentarsi di essere appellato come tale se vi è una sentenza passata in giudicato che lo attesta; anche se l’omicida ritiene di non essere tale – cfr. Cass., 3 luglio 1993, n. 6493). Internet ha creato nuove comunità, e la reputazione, conseguentemente, così come l’identità in generale, ha cambiato i propri confini tradizionali, assumendo più sfaccettature. All’identità reale si può affiancare una

zione del pensiero (art. 21 Cost.). Il bilanciamento – che si traduce nella determinazione del diritto prevalente e nel conseguente sacrificio dell’altro – avviene considerando le circostanze concrete del caso e, in particolare, verificando l’operatività delle esimenti espressione dell’art. 21 Cost. In particolare, il Tribunale di Bologna analizza le esimenti derivanti dal diritto di critica e di cronaca, ricordando che esse operano fintanto che il pensiero è espresso nel rispetto dei parametri della continenza, pertinenza e verità, con specifiche peculiarità a seconda che si tratti dell’una o dell’altra esimente. Quanto alla critica, i contorni sono meno stringenti rispetto alla cronaca: • per i parametri di verità e pertinenza, in quanto l’espressione della critica è necessariamente frutto di una prospettazione soggettiva e non è quindi richiesta una ricostruzione fattuale oggettiva (sebbene un nucleo di verità debba essere conservato) e rigidamente pertinente (4); • per la continenza, in considerazione della natura stessa della critica che, entro certi limiti, consente l’utilizzo di termini che potrebbero essere percepiti come offensivi (5). diversa identità, virtuale, che è un’invenzione del soggetto stesso, lecita fintanto che non vengono lese le prerogative altrui, e che potrebbe pertanto trovare anch’essa una sua forma di tutela. Ma può emergere altresì un’identità che agisce su un altro piano ancora, quello dell’economia dei dati, che è espressione particolare di tutte le informazioni caricate online e riguardanti, anche indirettamente, l’individuo. È un’identità che, trascendendo l’astrattezza che connota tutte le altre identità, ha valenza economica, e rispetto alla quale si sono sviluppati concetti oggi trattati dagli esperti della privacy, come la profilazione, Internet of Things, big data ecc. Si assiste quindi a una scomposizione dell’identità a seconda delle funzioni in questione; fenomeno che il giurista deve contenere riconducendo ogni finzione nella realtà della dignità umana (cfr. art. 1 della Carta di Nizza). Un approfondimento della materia, si diceva, risulterebbe soverchio in questa sede. Si rimanda pertanto a del Prato, Le basi del diritto civile, Torino, 2018, 330 ss., il quale, oltre a trattare più ampiamente alcune delle questioni poc’anzi accennate, affronta il tema della differenza tra reputazione – che è concetto studiato anche dai penalisti – e lesione della identità – che non configura una fattispecie di reato e tuttavia può essere un fatto illecito rilevante ex art. 2043 c.c. Vi è una notevole quantità di contributi specificamente dedicata al tema dell’identità. Si vedano, in particolare, Alpa, L’identità digitale e la tutela della persona. Spunti di riflessione, in Contratto e impresa, 2017, 723 ss.; Bassini - Lubello - Pollicino, Identità ed eredità digitali: stato dell’arte e possibili soluzioni al servizio del cittadino, Ariccia, 2016; Finocchiaro, voce Identità personale (diritto alla), in Dig. disc. priv., Sez. civ., Torino, 2010, 721 ss.; Pino, Il diritto all’identità personale. Interpretazione costituzionale e creatività giurisprudenziale, Bologna, 2003; Resta, Identità personale e identità digitale, in Dir. inf. e inform., 2007, 511 ss. (4) Ex multis Cass., 28 ottobre 2014, n. 36045, in DeJure. (5) In particolare, ai fini della valutazione della continenza, il messaggio controverso dev’essere contestualizzato, ovverosia considerato nel quadro dialettico nel quale è stato pronunciato. La Suprema Corte ha di recente riaffermato questo consolidato principio, alla stregua del quale, per esempio, non è frequentissima la valutazione di espressioni del pensiero non gratuite come chiaramente illecite, a maggior ragione se dirette

DIRITTO DI INTERNET N. 4/2019

747

GIURISPRUDENZA CIVILE Quanto alla cronaca, invece, il Tribunale di Bologna ribadisce che la verità ne costituisce presupposto e limite. Inoltre, è necessario che vi sia un pubblico interesse alla conoscenza dei fatti narrati. Si richiede quindi una prospettazione oggettiva, che per sua natura presuppone un più stringente rispetto dei parametri della continenza espositiva e della pertinenza della notizia rispetto a quanto necessario per l’espressione della critica. A completamento dell’inquadramento generale, il Tribunale evidenzia infine che il terzo comma dell’art. 595 c.p. prevede un aggravio di pena allorquando l’offesa sia perpetrata “col mezzo della stampa o con qualsiasi altro mezzo di pubblicità”, attesa la maggiore capacità diffusiva dell’offesa trasmessa in tal modo (la ratio dell’aggravante, in altri termini, è punire con maggiore severità quelle condotte potenzialmente capaci di raggiungere rapidamente un notevole numero di soggetti) (6).

3. Lineamenti della diffamazione a mezzo Facebook

Venendo all’analisi specifica della diffamazione a mezzo Facebook, occorre innanzitutto verificare se la pubblicazione di un post sia condotta posta in essere in assenza dell’offeso e idonea alla divulgazione a più persone (7), elementi necessari per integrare il reato della diffamazione. Per quanto concerne l’assenza dell’offeso, la dottrina ha chiarito che questa “non va intesa in senso rigorosamente fisico-spaziale, ma come impossibilità di percezione fisica dell’offesa da parte del soggetto passivo; per cui si ha diffamazione anche nell’ipotesi in cui, per qualsivoglia ragione, il soggetto passivo, pur presente, non è in grado di percepire l’offesa” (8). Ne discende che non è rilevante la presenza dell’offeso nello spazio virtuale (la pagina, il gruppo ecc.) in cui è

contro un personaggio pubblico nell’ambito di una critica politica. V. Cass., 21 gennaio 2019, n. 10319 (la quale si basa su un’interpretazione della nota sentenza della Corte EDU, Mengi vs. Turchia, 27 febbraio 2013 – Casi n. 13471/05 e 38787/07); Cass., 24 gennaio 2019, n. 7340; Cass., 23 gennaio 2019, n. 8828; Cass., 23 gennaio 2019, n. 8422. V. anche C. eur. dir. umani, 24 settembre 2019, domande 75637/13 e 8114/14, avente ad oggetto l’interpretazione dell’art. 10 della Conv. eur. dir. umani. Tutte le decisioni richiamate sono presenti in DeJure. (6) Per un’approfondita analisi della ratio del disposto di cui al terzo comma si veda Manzini, Trattato di diritto penale italiano, Torino, VIII, 340. (7) Si tratta di un profilo che non è trattato dal Tribunale di Bologna, probabilmente perché composto da lineamenti che rappresentano jus receptum. Tuttavia, ai fini di una più completa esposizione della materia, è stato ritenuto opportuno ripercorrerne i tratti principali. (8) In questi termini, Fiandaca - Musco, Diritto penale parte speciale, Vol. I, I delitti contro la persona, Bologna, 2006, 89. Dello stesso avviso, Pio Lasalvia, La diffamazione via web nell’epoca dei social network, in Cadoppi - Canestrari - Manna - Papa (diretto da), Cybercrime, Torino, 2019, 332 s. La nozione è stata accolta dalla giurisprudenza; cfr. Cass., 6 settembre 2018, n. 40083, in Dir. giust., 6 settembre 2018.

748

DIRITTO DI INTERNET N. 4/2019

stata pubblicata la notizia diffamatoria. Diversamente da quanto accade nei luoghi fisici, invero, la peculiare dimensione spazio-temporale del web impedisce al soggetto offeso di percepire direttamente l’offesa e formulare eventuali difese pressoché contestuali (9). Pertanto, da un punto di vista sostanziale, l’elemento dell’assenza risulta verificato. Quanto invece alla divulgazione della notizia diffamatoria a più persone, il concreto operare di Facebook può portare al verificarsi di due ipotesi: (i) l’offesa trasmessa in via privata, tramite un messaggio diretto esclusivamente alla persona offesa; (ii) l’offesa pubblicata su una bacheca, una pagina o un gruppo che, in genere, è invece un messaggio diretto a una pluralità di utenti. Nella prima ipotesi manca evidentemente il requisito della comunicazione a più persone. Pertanto, non sussisterebbe diffamazione, ma semmai ingiuria, che è una condotta non più sanzionata penalmente (10). Nella seconda ipotesi, invece, il requisito della pluralità soggettiva è senz’altro presente (11). Ebbene, con riferimento a quest’ultima ipotesi, la dottrina e la giurisprudenza si sono interrogate sull’applicabilità del terzo comma dell’art. 595 c.p. (offesa recata col mezzo della stampa ovvero con qualsiasi altro mezzo di pubblicità), con conseguente aumento della pena e, sotto il profilo risarcitorio, incremento dell’ammontare del danno risarcibile in considerazione della maggior gravità del fatto illecito e dell’ingiustizia del danno. L’applicazione dell’aggravante del mezzo della stampa – nel qual caso sarebbero rilevanti le disposizioni contemplate dall’art. 13 della l. n. 47 del 1948 nell’ipotesi di attribuzione di un fatto determinato – è senz’altro da escludersi. Ciò, in primo luogo, perché comporterebbe un’analogia in malam partem, stante l’aggravio di pena previsto dal richiamato art. 13 (12). In secondo luogo, in quanto la legge sulla stampa, così come il disposto di cui all’art. 57 c.p., è applicabile alle sole testate giornalisti-

(9) È di interesse anche il seguente passaggio della Suprema Corte: “il mezzo di trasmissione-comunicazione adoperato (appunto internet), certamente consente, in astratto, (anche) al soggetto vilipeso di percepire direttamente l’offesa, ma il messaggio è diretto ad una cerchia talmente vasta di fruitori, che l’addebito lesivo si colloca in una dimensione ben più ampia di quella interpersonale tra offensore e offeso”; donde “l’invio di e-mail a contenuto diffamatorio, realizzato tramite l’utilizzo di internet, integra un’ipotesi di diffamazione aggravata e l’eventualità che fra i fruitori del messaggio vi sia anche la persona a cui si rivolgono le espressioni offensive, non consente di mutare il titolo del reato nella diversa ipotesi di ingiuria.”. Cfr. Cass., 16 ottobre 2012, n. 44980, in Cass. pen., 2013, 3522. (10) Trib. Roma., 25 luglio 2018, n. 16291. (11) La giurisprudenza è pressoché unanime. In senso contrario si è rinvenuto esclusivamente Trib. Gela, 23 novembre 2011, n. 550, in Riv. pen., 2012, 441. (12) Zeno-Zencovich, La pretesa estensione alla telematica del regime della stampa. Note critiche, in Dir. inf. e inform., 1998, 15 ss.

GIURISPRUDENZA CIVILE che telematiche (oltre ovviamente a quelle tradizionali) e non alle altre piattaforme di manifestazione del pensiero che operano online (quali i social network, i blog, i forum e così via) (13). Quelle in commento sono infatti disposizioni ideate per trovare applicazione nell’area dell’informazione di tipo professionale, dotata di proprie regole deontologiche ed espressione di determinate (presunte) capacità tecniche, che giustificano inoltre l’esistenza della responsabilità editoriale. Tale area va tenuta distinta dal mare magnum del web, che è per contro un ambiente acefalo e nel quale, in linea di principio, vige il principio di immunità dei titolari della piattaforma web, così come degli amministratori in genere, fintanto che non vi sia una compartecipazione al fatto illecito (14). Ed è proprio all’interno del mare magnum del web che si colloca Facebook, in quanto hosting provider (passivo) (15). È invece pacifico che Facebook rientri tra gli altri mezzi di pubblicità contemplati dal terzo comma dell’art. 595 c.p. (16). Il Tribunale di Bologna non si discosta da tale orientamento, e ricorda che la pubblicazione di un contenuto diffamatorio, ad esempio, in una bacheca, può senz’altro raggiungere una pluralità di soggetti, in numero potenzialmente indeterminabile (se la bacheca è ad accesso pubblico) (17). E, per la facilità con cui le

(13) V. Cass., 20 marzo 2019, n. 12546, in Guida dir., 2019, XX, 84; Cass., 19 febbraio 2018, n. 16751, in Cass. pen., 3743; Cass., 11 dicembre 2017, n. 13398, in Cass. pen., 2019, 1648, con nota di Pedullà; Cass., 14 novembre 2017, n. 4873, in Foro it., 2017, 251, con nota di Di Ciommo. La conclusione è l’approdo di un percorso ermeneutico che si è formato in via pretoria a partire dall’importante pronuncia delle Sezioni Unite del 2015 che ha evidenziato la necessità di individuare il perimetro applicativo della l. n. 47 del 1948 interpretando la nozione di “stampa” alla luce di una lettura che tenga conto dell’evoluzione della tecnica (Cass., Sez. Un., 29 gennaio 2015, n. 31022, in Cass. pen., 2015, 3454, con nota di Paoloni, Le Sezioni Unite si pronunciano per l’applicabilità alle testate telematiche delle garanzie costituzionali sul sequestro della stampa: ubi commoda, ibi et incommoda?). (14) Sulla differenza tra internet e stampa si veda, più ampiamente, Pitruzzella, cit., 596 ss. (15) Cfr. CGCE, 3 ottobre 2019, Causa C-18/18. (16) Ex multis, oltre alla sentenza in commento, Cass., 3 maggio 2018, n. 40083, cit.; Cass., 23 gennaio 2017, n. 8482, in Guida dir., 2017, XVI, 100; Cass., 14 novembre 2017, n. 4873, cit.; Cass., 2 dicembre 2016, n. 50, in Dir. inf. e inform., 2017, 117; Cass., 13 luglio 2015, n. 8328, in Pluris; Cass., 28 aprile 2015, n. 24431, in Foro it., 2015, II, 691; Cass., 22 gennaio 2014, n. 16712, in Pluris. Si veda altresì, anche se il caso è stato posto all’attenzione del Tribunale Militare, Cass., 18 dicembre 2018, n. 9385, in Dir. giust., 4 marzo, con nota di Ievolella. La dottrina, parimenti, è pressoché unanime nel considerare Facebook un “mezzo di pubblicità”. Per una voce discorde, che ritiene tale qualificazione riduttiva, si veda Scopinaro, Internet e delitti contro l’onore, in Riv. it. dir. e proc. pen. 2000, 631 ss. (17) Potrebbe fare eccezione il caso (di scuola) in cui la bacheca (ovvero la pagina, il gruppo ecc.) sia accessibile soltanto a un soggetto oltre all’autore del messaggio. Infatti, ai fini della configurazione della diffamazione, è necessario che il messaggio sia percepito (rectius, percepibile) da almeno due soggetti.

comunicazioni circolano nel mondo del web, il contenuto pubblicato si presta facilmente a divenire oggetto di rapida propagazione (talvolta virale) e assumere una pregnanza considerevole; aspetti senz’altro tenuti in considerazione dal legislatore nell’introduzione dell’aggravante in esame (18). Contrariamente a quanto rilevato per l’aggravante a mezzo stampa, ricomprendere la diffusione a mezzo web negli altri mezzi di pubblicità non costituisce un’interpretazione in malam partem. Ciò è palese dal dato semantico della disposizione in commento, nella quale il riferimento agli altri mezzi di pubblicità è preceduto dalla particella disgiuntiva e formulato al plurale (mentre nel riferimento al mezzo stampa si usa il singolare e con accezione tecnica (19)). Il che “rende evidente come la categoria dei mezzi di pubblicità sia più ampia del concetto di stampa, includendo tutti quei sistemi di comunicazione e, quindi, di diffusione - dal fax ai social media - che, grazie all’evoluzione tecnologica, rendono possibile la trasmissione di dati e notizie ad un numero ampio o addirittura indeterminato di soggetti” (20). In altri termini, si desume dal dettato normativo che il legislatore ha fatto ricorso alla nozione ampia, ed elastica, di “altri mezzi di pubblicità” al fine di consentire all’interprete di ricomprendere all’interno di tale nozione i frutti dell’evoluzione tecnologica in materia di informazione e comunicazione (21). Alla luce di

(18) Un autore si è interrogato sull’opportunità di ritenere le affermazioni pubblicate online più gravi rispetto a quelle “ordinarie” (Giachello, La diffamazione su Facebook: un reato generazionale e un dilemma interpretativo, in Giurisprudenza penale web, 2018, 7). Ciò, in quanto l’agire dietro uno schermo ridurrebbe i freni inibitori, tanto che “si potrebbe già ipotizzare un’attenuazione dell’elemento soggettivo, in quanto l’utente, molto spesso non si rende pienamente conto della portata delle proprie affermazioni, proprio a causa di questo meccanismo ‘psicologico’, che porta a dare minor peso a ciò che viene pubblicato su questi ‘strumenti’”. Il riferimento è ai cd. “leoni da tastiera”/ haters, che la Cassazione descrive nei termini che seguono: “le condotte di diffamazione sono state facilitate dalla possibilità di un numero esponenziale degli utenti della rete internet di esprimere giudizi su tutti gli argomenti trattati, per cui alla schiera di “opinionisti social” spesso si associano i cosiddetti ‘odiatori sul web’, che non esitano - spesso dietro l’anonimato- ad esprimere giudizi con eloquio volgare ed offensivo” (Cass., 20 marzo 2019, n. 12546, cit.). L’impostazione adottata dal richiamato A. non sembra tuttavia cogliere nel segno: la convinzione che la protezione dello schermo faccia svanire la realtà emotiva è probabilmente frutto di mancanza di consapevolezza nell’utilizzo degli strumenti del web. Ma il web non è un non-luogo o una “zona franca dal diritto”, è anzi un potente propulsore della realtà, in cui qualsiasi contenuto pubblicato può divenire virale e oggetto di diffusione talvolta irreversibile. Ed è per questo che, correttamente, l’ordinamento punisce con maggiore severità la diffusione di messaggi diffamatori a mezzo social network. Per un approfondimento di “internet come luogo” si veda Cassano - Cimino, Internet – La responsabilità del provider, non può esistere una zona ‘franca’ dal diritto, in Guida dir., 2013, 50 ss. (19) La nozione di stampa è contenuta nella l. n. 47 del 1948. (20) Cass., 23 gennaio 2017, n. 8482, cit. (21) Sul tema si veda Pitruzzella, cit., 115 s., il quale menziona alcuni interessanti casi pratici che dimostrano come l’elasticità della nozione in esame abbia nel tempo consentito di ricomprendervi i più variegati

DIRITTO DI INTERNET N. 4/2019

749

GIURISPRUDENZA CIVILE ciò, è da escludersi che qualificare Facebook come mezzo di pubblicità sia un’analogia in malam partem.

4. Sulla quantificazione dei danni derivanti dalla diffamazione

La diffamazione non rileva esclusivamente sotto il profilo penalistico, ma ha anche risvolti risarcitori ai sensi dell’art. 2043 c.c., trattandosi di condotta che reca un danno ingiusto, non iure e contra ius. Pertanto, accertato l’an, occorre determinare il quantum (22). In proposito, il Tribunale di Bologna chiarisce innanzitutto che, anche con riferimento al danno d’immagine, è sempre necessario fornire evidenza del pregiudizio patito. In applicazione del principio di indifferenza, invero, vi è ad oggi incompatibilità con l’ordinamento dei danni in re ipsa (23) (24). Tuttavia, ciò non osta a che il danno sia provato per presunzioni, allorquando vi siano specifiche allegazioni circa le sintomatologie del caso (25), tali da consentire all’interprete di determinare il pregiudizio sofferto in via equitativa. D’altronde, essendo quella dell’immagine una voce per sua natura priva di valore economico esempi di diffusione di notizie. Ma si consideri altresì che il legislatore è solito fare ricorso a categorie ampie allorquando vi sia da legiferare sugli strumenti dell’informazione e della comunicazione, fortemente interessati dall’evoluzione tecnica. Si pensi d’altronde che lo stesso art. 21 Cost. fa riferimento a “ogni altro mezzo di diffusione”. (22) Per completezza espositiva va altresì rilevata l’esistenza, nell’ambito dei processi penali, di qualche precedente in cui i profili risarcitori non sono stati analizzati poiché non è stato possibile individuare con sufficiente certezza l’autore del post diffamatorio (v., ex multis, Cass., 22 novembre 2017, n. 5352, in ilpenalista.it, 30 maggio 2018, con nota di Rubino). Era frequente, per esempio, che non si riuscisse a individuare l’indirizzo IP e altri indizi idonei a consentire di individuare il soggetto titolare di un account anonimo. Il problema oggi è stato pressocché risolto con l’ampio utilizzo da parte delle autorità degli ordini di esibizione delle basic subscriber information (cd. BSI), attraverso i quali i provider sono obbligati a fornire gli indirizzi IP, i file di log, ecc. degli utenti indagati (cfr. art. 254 bis, c.p.p.). (23) Sul punto, oltre alle note pronunce Cass. 22 luglio 2015, in Resp. civ., 2015, 1530, con nota di Bona e Cass., 11 novembre 2008, n. 26972, in Resp. civ., 2009, 38, con nota di Monateri, si veda ex multis, Cass., 19.2.2019, n. 4815; Cass., 23.5.2018, n. 12855; Cass., 16.4.2018, n. 9385, tutte in DeJure. Qualche interessante spunto, più in generale, si rinviene in Busnelli, Itinerari europei nella ‘terra di nessuno tra contratto e fatto illecito’: la responsabilità da informazioni inesatte, in Busnelli - Patti (a cura di), Danno e responsabilità civile, Torino, 2013, 321 ss. (24) Si rinviene un’eccezione offerta da Cass., 4 giugno 2018, n. 14242, in DeJure, in applicazione della lettera dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 nella formula vigente prima dell’implementazione del GDPR. La sentenza contrasta però con altri precedenti, richiamati dal Tribunale di Bologna, che escludono la sussistenza di un danno non patrimoniale in re ipsa anche qualora quest’ultimo sia previsto dal legislatore (cfr. in materia di privacy, Cass., 26 settembre 2013, n. 22100 e Cass., 15 luglio 2014, n. 16133 e, in un caso inerente alla Legge Pinto, Cass., 26 maggio 2009, n. 12242 – tutte presenti in DeJure). (25) Cfr., ex multis, Cass., 10 dicembre 2018, n. 31884, in DeJure; Cass., 28 novembre 2008, n. 28457, in Foro it., 2009, I, 1745.

750

DIRITTO DI INTERNET N. 4/2019

predeterminato, negare la possibilità di ricorrere alle presunzioni renderebbe il risarcimento del relativo danno pressoché impossibile. Ciò premesso, il Tribunale di Bologna ritiene che le allegazioni del caso di specie abbiano fornito i seguenti elementi idonei a consentire la determinazione equitativa del danno non patrimoniale: (i) la natura di Facebook, che è uno strumento idoneo a favorire una rapida diffusione del messaggio pubblicato; (ii) l’intrinseca rilevanza dell’offesa all’immagine dell’azienda e alla reputazione professionale degli attori, percepibile sin dal tenore letterale del post; (iii) la qualità di concorrente sul mercato del soggetto diffamante e (iv) il numero di destinatari raggiunti (26). Un aspetto degno di ulteriore approfondimento è la ponderazione del numero di destinatari raggiunti. La pronuncia non fornisce indicazioni su come concretamente questo parametro sia stato determinato, ma ciò potrebbe avvenire considerando il numero di seguaci del profilo in questione e la natura del post (se pubblico ovvero ristretto a una cerchia di utenti). Si tratta di un fattore che consentirebbe di pesare la pregnanza e la capacità diffusiva della notizia diffamatoria, elemento precipuo nella determinazione della gravità dell’offesa e, quindi, dell’entità risarcitoria (27); ed è pertanto auspicabile che tale fattore venga preso in considerazione in maniera diffusa (28), unitamente al tempo in cui il post è rimasto online (circostanza invece non presa in considerazione dal Tribunale). Il Tribunale respinge invece la richiesta di risarcimento del danno patrimoniale, derivante dalla disincentivazione all’acquisto di biciclette elettriche causata dalla presenza del post. In proposito, dalla sentenza emerge soltanto che il compendio probatorio acquisito non conteneva elementi in grado di dimostrare un calo di fatturato dipendente dal post. In effetti, anche se, in astratto, non è certo da escludersi che la diffusione di un contenuto diffamatorio possa provocare una diminuzione di fatturato (29), è difficile individuare concretamente gli elementi idonei all’assolvimento dell’onere

(26) Solitamente vengono considerate anche la notorietà dell’offeso e la gravità dell’offesa (facendo riferimento alle tabelle milanesi per la liquidazione del danno non patrimoniale). (27) Una notizia diffamatoria pubblicata in un gruppo chiuso seguito da dieci utenti provoca un danno diverso rispetto alla medesima notizia pubblicata in gruppo aperto e/o con mille seguaci. (28) In dottrina, condivide l’idea di tener conto della platea potenzialmente raggiungibile, Bisori, I delitti contro l’onore, in Cadoppi - Canestrari - Manna - Papa (diretto da), Trattato di diritto penale. Parte speciale, Torino, VIII, 3 ss. (29) Si immagini, ad esempio, il caso del produttore mendacemente accusato di utilizzare determinati prodotti chimici illeciti e, per tale motivo, boicottato.

GIURISPRUDENZA CIVILE probatorio (30). Anche in proposito, la Suprema Corte ha ricordato che è possibile fare ricorso alle presunzioni e, conseguentemente, a un giudizio equitativo; e tuttavia, la prassi sembra orientata nel senso che vi sia, con riferimento al risarcimento del danno patrimoniale, una rigidità nell’interpretare il principio di indifferenza del risarcimento superiore a quanto si registra in relazione al danno non patrimoniale (31). A completamento dell’analisi degli aspetti inerenti alla riparazione del danno (32), va infine rilevato che il Tribunale di Bologna, in linea con altri precedenti di merito (33), respinge la richiesta di pubblicazione dell’emananda sentenza stante il significativo lasso di tempo trascorso tra la data di pubblicazione del post e l’emissione della sentenza. In questi casi, invero, si assume che la notizia diffamatoria sia finita in oblio.

(30) Cass., 15 luglio 2011, n. 15674, in Giust. civ. Mass. 2011, 1207. (31) Ex multis, Cass., 8 novembre 2007, n. 23304 in Resp. civ., 2008, 82; Cass., Cass., 23 ottobre 2005, n. 19981, in Pluris. (32) Si ricorda, in proposito, che il rimedio ex art. 120 c.p.c. attiene sempre all’aspetto della riparazione del danno, e tuttavia è un rimedio “assolutamente distinto dal risarcimento”, che si “caratterizza per essere operativo soltanto per il futuro e non anche per il passato”. In questi termini, Ricciuti - Zeno–Zencovich, Il danno da mass-media, Padova, 1990, 126. In giurisprudenza, si veda Cass., 21 gennaio 2016, n. 1091, in Dir. giust., 22 gennaio, con nota di Achille. (33) Trib. Milano, 17 dicembre 2012, n. 14115, in Resp. civ., 2013, 1279, con nota di Peron, cui si rimanda per una compiuta analisi dell’argomento; Trib. Roma, 25 settembre 2012, n. 17757, in DeJure; Trib. Milano, 6 settembre 2012, n. 9812, in DeJure.

DIRITTO DI INTERNET N. 4/2019

751

GIURISPRUDENZA PENALE

Data retention e processo penale. Un’occasione mancata per prendere i diritti davvero sul serio Corte di C assazione ; sezione III penale; sentenza 23 agosto 2019, n. 36380; Pres. Andreazza; Rel. Semeraro; P.M. Molino. In tema di acquisizione di dati contenuti in tabulati telefonici, la disciplina prevista dall’art. 132 d.lgs. n. 196 del 2003 è compatibile con il diritto sovranazionale in tema di tutela della privacy (direttive 2002/58/CE e 2006/24/CE), così come interpretato dalla giurisprudenza della Corte di Giustizia dell’Unione Europea. La presenza del possessore di un cellulare in una data zona, più o meno ampia rispetto alla grandezza della cella telefonica, deve essere qualificata quale semplice indizio, anche se l’utenza è precisamente attribuita ad una determinata persona.

…Omissis… Svolgimento del processo. 1. La Corte di appello di Bologna, con la sentenza del 21 dicembre 2017, in parziale riforma della sentenza del giudice dell’udienza preliminare del Tribunale di Ravenna del 9 giugno 2011, emessa all’esito del giudizio abbreviato, ha: …Omissis… - confermato la condanna inflitta a B.A. per il reato D.P.R. n. 309 del 1990, ex art. 73, comma 1, per la cessione a G.D. di 314 grammi di cocaina, con principio attivo del 98%, in (omissis), ed ha rideterminato la pena in anni 3 mesi 6 giorni 20 di reclusione ed Euro 20.000 di multa. La Corte di appello ha confermato la pena base inflitta dal giudice di primo grado di anni 8 di reclusione e rideterminato la multa in Euro 50.000; ha quindi ridotto la pena per le circostanze attenuanti generiche a anni 5 mesi 4 di reclusione ed Euro 30.000 di multa, ed ha operato la riduzione per il rito. I difensori di D.G. e B.A. hanno proposto il ricorso per cassazione avverso la sentenza della Corte di appello di Bologna del 21 dicembre 2017. …Omissis… 3. Il difensore di B.A. ha premesso che l’impugnazione si riferisce al capo 4) ed ai punti relativi alla ritenuta della responsabilità del ricorrente ed all’utilizzabilità degli elementi di prova raccolti mediante l’acquisizione dei tabulati telefonici. 3.1. Con il primo motivo si deducono, ex art. 606 c.p.p., lett. c) ed e), i vizi di violazione di legge per l’erronea applicazione dell’art. 192 c.p.p., comma 2 e art. 533 c.p.p., e della manifesta illogicità della motivazione nel punto relativo alla ritenuta partecipazione del ricorrente alla cessione della sostanza stupefacente.

Dopo aver sintetizzato la motivazione della sentenza impugnata in risposta al motivo di appello, si rileva che l’unico indizio posto a fondamento della responsabilità dai giudici di merito sarebbe costituito dalla presenza dell’utilizzatore dell’utenza (omissis) sul luogo del delitto; l’attribuzione dell’uso dell’utenza al ricorrente sarebbe avvenuto con ragionamenti inferenziali di tipo abduttivo, inidonei ad integrare la certezza indiziaria richiesta dall’art. 192 c.p.p., comma 2. 3.1.1. Si assume, in ogni caso, che anche ove fosse ritenuta la presenza sul luogo del ricorrente, questa non potrebbe costituire elemento sufficiente a ritenere la responsabilità per la cessione, in una condotta contestata ex art. 110 c.p., in assenza di elementi dai quali individuare quale contributo materiale o morale avrebbe il ricorrente posto in essere. 3.1.2. Si contesta poi che la Corte di appello abbia adoperato quale indizio il fatto che il ricorrente sia stato indagato nel 2002 nell’ambito di un’operazione relativa al traffico di sostanza stupefacente, in violazione delle più elementari regole probatorie e dei principi della giurisprudenza sulla valutazione della condotta dell’imputato pregiudicato (rv 264198). 3.1.3. La valorizzazione del precedente di polizia sarebbe avvenuta per dare corpo alla pluralità di indizi che deve sussistere per affermare la responsabilità secondo l’art. 192 c.p.p., comma 2: l’unico indizio sarebbe costituito dalla ritenuta disponibilità in capo al ricorrente dell’utenza (omissis) che ha agganciato le cellule di (OMISSIS) nella zona e nell’ora in cui il (omissis) sarebbe stata ceduta la sostanza stupefacente a G.D.. Tale dato però non costituisce un fatto certo, oggetto di diretta verifica storica, ma a sua volta il frutto di un ragionamento induttivo, inidoneo a ritenere la gravità indiziaria secondo l’art. 192 c.p.p., comma 2.

DIRITTO DI INTERNET N. 4/2019

753

GIURISPRUDENZA PENALE 3.1.4. Si rileva che i giudici di merito hanno ritenuto, in base ad un sillogismo probatorio, che l’usuario dell’utenza (OMISSIS) fosse nell’Audi a6 nel momento in cui l’acquirente acquistò la cocaina. …Omissis… 3.1.5. Quanto alla presenza dell’utenza (omissis), nella sentenza è stata dedotta dal dato emergente dai tabulati telefonici, in quanto l’utenza aveva agganciato le celle di (omissis) in cui avvenne la cessione a G.D.; la gravità dell’indizio è stata alimentata dal rilievo che l’utenza (OMISSIS omissis era stata contattata da G.D. nei momenti coevi al suo ingresso nell’Audi A6, occupata da due ignoti uomini. La sentenza di appello avrebbe sottolineato che G.D., con un’altra utenza a lui in uso, avrebbe cercato di chiamare un altro numero, da lui memorizzato nelle memorie sotto la voce H.; anche l’utenza (omissis) era stata registrata dall’acquirente sotto lo stesso nome. L’attribuzione dell’utenza (OMISSIS) al ricorrente sarebbe stata effettuata dalla Corte di appello sempre in via indiziaria, in base ad un criterio di verosimiglianza, contrario al principio del ragionevole dubbio. L’attribuzione dell’utenza al ricorrente sarebbe avvenuta in base ad una conversazione intercettata tra l’utenza in uso a G.D. e quella (OMISSIS) nel corso della quale G.D. informò l’interlocutore su una conversazione precedente con un agente immobiliare relativa ad un immobile dietro via (omissis) di “un amico di nome A.”. L’attribuzione dell’utenza è avvenuta perché è stata acquisita presso l’agenzia immobiliare la documentazione relativa ad un negozio di via (OMISSIS) strada che si trova alle spalle di via (omissis) – per il quale era stato indicato per i contatti il nome di B.A., e per il fatto che quest’ultimo era già stato indagato per il reato D.P.R. n. 309 del 1990, ex art. 73. Si rileva però che l’associazione tra i contatti dell’agenzia relativi ad immobili nelle vicinanze di via (omissis) ed B.A. è avvenuta in maniera probabilistica, solo in base al fatto che quest’ultimo era stato indagato per il delitto D.P.R. n. 309 del 1990, ex art. 73, senza verificare l’esistenza di altri contatti, e senza collegamenti reali con il nome H. registrato nella rubrica dell’acquirente. 3.1.6. Il ricorrente rileva che all’agenzia immobiliare B.A. aveva lasciato un numero di telefono diverso ((omissis)): tale prova è stata tralasciata dalle sentenze di merito, ciò incidendo sulla apparente correttezza dell’attribuzione dell’utenza (omissis) al ricorrente, ritenuto il soggetto informato da G.D. sulla trattativa immobiliare. La Corte di appello non ha poi tenuto conto che non è emerso che il ricorrente fosse in possesso di più utenze telefoniche e che l’utenza (omissis) non era dedicata alle trattative illecite, posto che su tale utenza era avvenuta la conversazione sulla trattativa immobiliare.

754

DIRITTO DI INTERNET N. 4/2019

Né è stato valutato che l’utenza (omissis) non è risultata associata nella rubrica di G.D. al nome H. Dunque, l’attribuzione dell’utenza (omissis) al ricorrente sarebbe avvenuta non su un fatto certo ma su un fatto verosimile, in violazione dell’art. 192 comma 2 c.p.p. e ciò mina la logicità del ragionamento del giudice, che sarebbe in contrasto anche con il principio del ragionevole dubbio. Il ricorso prosegue poi con l’esposizione in diritto sulla prova indiziaria (pagine 14-17); si afferma quindi che in violazione di tali principi di diritto le sentenze di merito si fonderebbero su un paralogismo giuridico, per effetto del quale si è giunti alla dichiarazione di responsabilità del ricorrente. 3.2. Con il secondo motivo si deduce, ex art. 606 c.p.p., lett. c), l’inosservanza dell’art. 191 c.p.p.; si ritiene che il D.Lgs. n. 196 del 2003, art. 132 sarebbe in contrasto con gli artt. 7, 8 e 52 par. 1 della Carta dei diritti fondamentali UE, come interpretati dalla Corte di Giustizia dell’Unione Europea con la sentenza del 8 aprile 2014, il cui contenuto è sintetizzato nel ricorso, in relazione alla direttiva 2006/24/CE in materia di data retention, con conseguente inutilizzabilità dei dati emergenti dal tabulato telefonico relativo all’utenza (OMISSIS). L’inutilizzabilità ex art. 191 c.p.p. deriverebbe dalla lesione dei diritti fondamentali della persona, arrecata dall’art. 132 citato, per la mancanza dell’indicazione dei reati al cui accertamento è volta l’acquisizione del dato e per la scelta di attribuire ad una parte del procedimento penale, il pubblico ministero, l’opportunità di acquisire i dati. La direttiva 2006/24/CE agli art. 3, 4 e 6 prevederebbe la conservazione dei dati derivanti dalle comunicazioni telefoniche e telematiche solo per il perseguimento di gravi reati ed ai soli fini di indagine. Si invocano in particolare i principi di proporzionalità e stretta necessità elaborati dalla Corte di Giustizia, ed il collegamento della compressione delle libertà con la gravità dei reati per cui si procede, perché la necessità che l’accesso ai dati avvenga dopo l’esame di un giudice o di un’autorità amministrativa indipendente; si invocano gli ulteriori profili di illegittimità derivanti dalla finestra temporale per l’acquisizione dei dati senza distinguere tra le categorie di dati, in mancanza di previsione di garanzie sufficienti contro il rischio di abusi. L’art. 132 citato conterrebbe dunque tutti i vizi già individuati dalla Corte di Giustizia, con conseguente necessità di disapplicare la norma interna e di ritenere la prova acquisita vietata dalla legge e quindi non utilizzabile. In subordine si chiede il rinvio pregiudiziale ex art. 267 TFUE alla Corte di Giustizia dell’Unione Europea affinchè accerti se gli artt. 7, 8 e 52 par. 1 della Carta dei diritti fondamentali UE ostino ad una normativa nazionale, quale quella D.Lgs. n. 196 del 2003, ex art.

GIURISPRUDENZA PENALE 132 che consente l’acquisizione e la conservazione del traffico telematico per qualsiasi tipo di reato e senza un previo controllo della richiesta da parte di un’autorità indipendente. Quanto alla cd. prova di resistenza, si rileva che il dato emerso dal tabulato nella motivazione è stato adoperato per ritenere che il possessore dell’utenza si trovasse in (OMISSIS) nella zona quindi in cui era stata ceduta la sostanza stupefacente al G.; costituisce quindi l’unico elemento di prova per individuare uno dei due soggetti presenti sull’Audi A6 in cui sarebbe avvenuta la cessione. Motivi della decisione …Omissis… 2. Il primo motivo del ricorso di B.A. è fondato, sussistendo i vizi della motivazione dedotti con il ricorso quanto alla sussistenza della penale responsabilità del ricorrente. 2.1. La Corte di appello ha ritenuto che il ricorrente sia l’autore della cessione a G.D., avvenuta a bordo di un’Audi A6, perché sul telefono cellulare in uso a quest’ultimo erano stati trovati tentativi di telefonate in uscita al n. (omissis), associata al nome H., e “prima del suo arresto” il (omissis) G.D. aveva contattato l’utenza (omissis); dall’analisi dei tabulati telefonici tale utenza si trovava nella cella di (omissis), luogo in cui era avvenuta la cessione. L’utenza (omissis) è stata ritenuta in uso al ricorrente in base al collegamento tra due conversazioni telefoniche, una con un agente immobiliare e l’altra con l’usuario dell’utenza (omissis), ed in base agli accertamenti eseguiti presso l’agenzia immobiliare. …Omissis… 2.3. Sussiste il dedotto vizio della motivazione nella parte in cui ha attribuito l’uso dell’utenza (omissis) al ricorrente. L’attribuzione è avvenuta sulla base di due elementi: perché su altra utenza in uso all’acquirente G.D. il n. (omissis) era registrato in rubrica con il nome H., laddove il nome del ricorrente è A.; per gli accertamenti effettuati presso una agenzia immobiliare, a seguito di due conversazioni telefoniche, la prima con un agente immobiliare, nel quale si faceva riferimento ad A. e ad un negozio di (omissis). Il ricorrente ha però dimostrato, mediante la produzione dell’annotazione di servizio relativa all’accertamento eseguito presso l’agenzia immobiliare, che la Corte di appello è incorsa in un travisamento della prova per omissione: non ha infatti valutato che il numero di telefono (omissis) lasciato da B.A. presso l’agenzia immobiliare non è perché il n. (omissis) perché quello n. (omissis) contattato invano il giorno dell’arresto e sempre inserito in rubrica da G.D. con il nome di H..

Il dato probatorio non può considerarsi neutro perché può anche escludere che H. ed il ricorrente siano la stessa persona. 2.4. In ogni caso, la conclusione a cui è giunta la Corte di appello è contraddittoria. 2.4.1. In punto di diritto deve infatti affermarsi che l’elemento di prova costituito della presenza di un telefono in una determinata cella dimostra, solo ed esclusivamente, che l’utilizzatore di quel telefono si trova in un data zona: per altro anche piuttosto grande, perchè le celle telefoniche non identificano un luogo preciso ma una zona di copertura della rete telefonica di grandezza variabile; nel caso in esame, la grandezza delle celle prese in esame non è neanche indicata: pertanto l’utilizzatore del n. (omissis) e G.D. avrebbero potuto trovarsi anche in due luoghi differenti. La presenza del possessore di un telefono cellulare in una data zona, più o meno ampia rispetto alla grandezza della cella, può essere qualificato quale indizio, ma di per sè non dimostra nulla, anche se l’utenza è precisamente attribuita ad una determinata persona: per avere una valenza probatoria, tale da poter portare ad una sentenza di condanna, occorrono altri indizi, ugualmente gravi e precisi, ed infine tutti concordanti, che possano consentire di affermare che il possessore dell’utenza ha commesso il reato. 2.4.2. Orbene, il procedimento logico seguito dalla Corte di appello è sia contraddittorio che manifestamente illogico. Nella sentenza di appello si fa riferimento alle trattative che sarebbero state svolte nei giorni precedenti l’arresto di G.D.: di tali conversazioni non sono riportati i contenuti e gli estremi, ma deve ritenersi che siano avvenute con utenze non ricondotte, già secondo l’ipotesi accusatoria, a B.A.; perché che sia stato quest’ultimo ad avere le conversazioni ritenute dall’oggetto illecito e che preannunciavano la consegna. Le telefonate dirette verso il numero (omissis), rubricato H., contattato il giorno dell’arresto, non si sono concretizzate in conversazioni, ed anzi sarebbero costituiti in meri tentativi di chiamata. Dunque, è escluso che attraverso esse G.D. possa aver preso l’appuntamento per la consegna. La sentenza impugnata indica che prima dell’arresto G.D. contattò il n. (omissis); non essendo stata intercettata la telefonata, non se ne conosce il contenuto. Tale utenza, all’atto del contatto, si trovava in (omissis), luogo in cui nello stesso tempo si recò anche G.D. per acquistare la sostanza stupefacente. Orbene, come già osservato, questo contatto non dimostra in alcun modo che l’utilizzatore dell’utenza n. (OMISSIS) si trovasse all’interno dell’Audi A6 ma solo che si trovava nella zona di (omissis); collocarlo all’inter-

DIRITTO DI INTERNET N. 4/2019

755

GIURISPRUDENZA PENALE no dell’auto ed attribuirgli la condotta di cessione è un salto logico privo di elementi di prova a sostegno. …Omissis… 2.6. Va altresì rilevata una ulteriore contraddittorietà della motivazione: nella sentenza si indica che non vi sono conversazioni registrate, collegate alle utenze che la sentenza attribuisce al ricorrente, aventi un contenuto illecito. L’unica conversazione riportata, se attribuibile al ricorrente, avrebbe un oggetto lecito, essendo relativa al rapporto con l’agenzia ed all’immobile. Dunque, la stessa sentenza indica una causale alternativa lecita al contatto tra l’utenza attribuita al ricorrente e G.D. Dunque, emerge dalla sentenza della Corte di appello la totale assenza di elementi di prova per ritenere che il ricorrente abbia ceduto la sostanza stupefacente a G.D.; si impone pertanto l’annullamento della sentenza impugnata senza rinvio nei confronti di B.A. per non aver commesso il fatto. 3. Quanto al secondo motivo, dal testo del ricorso risulta subordinato al rigetto del primo motivo. Perché in sede di discussione la difesa ha affermato che va ritenuto pregiudiziale, ritiene la corte di doverlo esaminare. 3.1. Il motivo è infondato. …Omissis… 3.2. Va ribadito il principio espresso dalla Corte di Cassazione, Sez. 5, con la sentenza n. 33851 del 24/04/2018, M., Rv. 273892 - 01 per cui in tema di acquisizione di dati contenuti in tabulati telefonici, la disciplina prevista dal D.Lgs. n. 196 del 2003, art. 132 è compatibile con il diritto sovranazionale in tema di tutela della privacy (direttive 2002/58/CE e 2006/24/CE), come interpretate dalla giurisprudenza della Corte di Giustizia dell’Unione Europea. In motivazione, la Corte ha fatto riferimento alle sentenze della CGUE: Grande Sezione, Digital Rights, 8 aprile 2014, C-293/12 e C-594/12; Grande Sezione, Tele 2, 21 dicembre 2016, C-203/15 e C-698/15. 3.3. Come ha correttamente rilevato la sentenza M., nella motivazione, che qui si sintetizza, la direttiva 2002/58/CE, avente ad oggetto i diritti alla riservatezza delle comunicazioni, dei dati sul traffico e di quelli sull’ubicazione, consente agli Stati membri di derogare, ai sensi dell’art. 15, par. 1, a prescrizioni, divieti ed obblighi fissati per la tutela di quei diritti, con l’adozione legislativa di misure restrittive, purchè la restrizione costituisca “una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica) e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica”.

756

DIRITTO DI INTERNET N. 4/2019

Quanto alla conservazione dei dati (cd. Data retention), la memorizzazione da parte di persone diverse dagli utenti o senza il loro consenso è ammessa solo ai fini e per il tempo strettamente necessario alla trasmissione della comunicazione, perché, a date condizioni, per l’attività di fatturazione; diversamente, ogni dato è destinato alla distruzione o “anonimizzazione”. La direttiva 2006/24/CE, di modifica della direttiva 2002/58/CE, ha avuto l’obiettivo di armonizzare le disposizioni degli Stati membri quanto all’obbligo per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, o di una rete di comunicazione, di raccogliere e conservare, per un periodo di tempo determinato, dati ivi generati o trattati, allo scopo di cui all’art. 1, par. 1, “di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di gravi reati, quali definiti da ciascuno Stato membro nella propria legislazione nazionale”. 3.4. Due sentenze della Grande Sezione della Corte di Giustizia hanno affrontato il tema del bilanciamento tra i diritti fondamentali dell’individuo e l’esigenza di accertamento e repressione dei reati mediante acquisizione di dati e informazioni presso service providers: la prima, nelle cause riunite C-293/12 e C594/12, decisa in data 8 aprile 2014, Digital Rights Ireland Ldt contro Minister for Communications, Marine and Natural Resources e a. e Karntner Landesregierung e a., su domande di pronuncia pregiudiziale proposte dalla High Court irlandese e dalla Verfassungsgerichtshof austriaca; la seconda, cause riunite C-203/15 e C698/15, del 21 dicembre 2016, Tele2 Sverige AB contro Post-och telestyrelsen e Secretary of State for the Home Department contro Tom Watson e a., su domande di pronuncia pregiudiziale proposte dal Kammarratten i Stockholm svedese e dalla Court of Appeal britannica. La sentenza del 8 aprile 2014 si è occupata della legittimità della direttiva 2006/24/CE sul presupposto che già solo la previsione di un obbligo, in capo al provider, di conservare i dati, perché della possibilità di accesso agli stessi da parte delle autorità nazionali, rappresentano un’interferenza nei diritti fondamentali garantiti dagli artt. 7 e 8 della Carta, al rispetto della vita privata e familiare. Imprescindibile, quindi, il passaggio attraverso l’art. 52, par. 1, della Carta, ai sensi del quale eventuali limitazioni all’esercizio dei diritti e delle libertà da essa riconosciuti devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà; in altri termini, resistere al vaglio di proporzionalità e di stretta necessità con riguardo a finalità di interesse generale. La Corte di Giustizia ha ritenuto che – nonostante l’oggettivo e meritevole interesse di “lotta alla criminalità grave”, essenziale alla sicurezza pubblica e reso, certamente, efficace dal largo uso di moderne tecnologie – la direttiva non rispetta i canoni di proporzionalità nella

GIURISPRUDENZA PENALE parte in cui non pone regole chiare e precise sull’applicazione della data retention, affidata ad un regime generalizzato ed indifferenziato, per utenti e mezzi di comunicazione. Oggetto di censura, in particolare, è l’assenza nella direttiva, con conseguente assoluta libertà sul punto degli Stati membri, di limiti oggettivi, sostanziali o procedurali, all’accesso e al successivo utilizzo dei dati da parte delle competenti autorità nazionali: per un verso, è generico il riferimento a “gravi reati, quali definiti da ciascuno Stato membro nella propria legislazione nazionale”; per altro verso, affinchè proporzionalità e stretta necessità possano essere effettivamente assicurate, si sarebbe dovuto imporre agli Stati membri di subordinare l’accesso al previo esame di un giudice o di un’autorità amministrativa indipendente. La Corte di Giustizia ha invalidato la direttiva 2006/24/ CE per non aver prescritto standard minimi di garanzia legittimanti un obbligo di conservazione di dati finalizzato alla prevenzione e repressione di reati. Con la sentenza del 21 dicembre 2016 C.d. Tele2 la Corte di Giustizia ha risposto al quesito se, dall’individuazione giurisprudenziale di tali standard, possa o meno dedursi l’imperatività degli stessi all’interno delle legislazioni nazionali, tenute comunque al rispetto dell’art. 15, par. 1, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE. La Corte di Giustizia ha fornito risposta affermativa, mediante un’interpretazione dell’art. 15, par. 1, collegata agli artt. 7, 8, 11 e 52 della Carta dei diritti fondamentali dell’Unione Europea: l’art. 15, par. 1 osta da una parte “ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione (...)”; dall’altra “ad una normativa nazionale la quale disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi

all’ubicazione, e segnatamente l’accesso delle autorità nazionali competenti ai dati conservati, senza limitare, nell’ambito della lotta alla criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell’Unione”. 3.5. Quanto all’impatto nel sistema normativo italiano dei principi enunciati con le sentenze della Corte di Giustizia, la Corte di Cassazione ha affermato che tali sentenze hanno riguardato Stati privi di una regolamentazione dell’accesso e della conservazione dei dati, mentre lo Stato italiano si è dotato di una specifica disciplina. Il D.Lgs. n. 196 del 2003, art. 132, attuativo della direttiva 2002/58/CE, prescrive che i dati di traffico telefonico e telematico siano conservati dai fornitori dei relativi servizi, per finalità di accertamento e di repressione dei reati, entro scadenze predeterminate e diversificate; il pubblico ministero può acquisirli presso il fornitore con decreto motivato, d’ufficio o su istanza. Nella disciplina italiana pertanto si rinvengono l’enunciazione della finalità di repressione dei reati; la delimitazione temporale dell’attività di memorizzazione; l’intervento preventivo dell’autorità giudiziaria, funzionale all’effettivo controllo della stretta necessità dell’accesso ai dati, perché al rispetto del principio di proporzionalità in concreto. …Omissis… P.Q.M. Annulla la sentenza impugnata senza rinvio nei confronti di B.A. per non aver commesso il fatto e con rinvio ad altra sezione della Corte di appello di Bologna nei confronti di D.G. quanto alla ravvisabilità dell’ipotesi di cui al D.P.R. n. 309 del 1990, art. 73, comma 5 in ordine al reato residuo sub 1). Così deciso in Roma, il 19 aprile 2019. Depositato in Cancelleria il 23 agosto 2019

IL COMMENTO di Luca Lupária

Sommario: 1. Una premessa. – 2. La data retention tra Carta di Nizza, direttiva Frattini e Corte di giustizia. – 3. La cristallizzazione di una lettura restrittiva degli standard europei. – 4. Contro un approccio semplicistico rispetto ad un tema complesso e colmo di nodi irrisolti. La giurisprudenza continua a fornire letture restrittive degli standard garantistici enunciati dalla Corte di Giustizia dell’Unione in materia di data retention. L’intento è quello di “salvare” la disciplina interna sulla conservazione dei dati ed evitare ipotesi di inutilizzabilità probatoria. Lo scritto propugna un forte cambio di passo e un maggior rispetto del quadro sovranazionale, enucleando i vari nodi problematici e le possibili soluzioni. Italian Courts keep providing restrictive interpretations of the guaranteeing standards stated by the European Court of Justice on data retention. The aim is to “save” the national regulation, avoiding cases in which data cannot be used as evidences. The paper advocates for a strong step change and a stronger compliance with the supranational framework, by identifying the problematic issues and the possible solutions.

DIRITTO DI INTERNET N. 4/2019

757

GIURISPRUDENZA PENALE 1. Una premessa

Ci siamo in qualche modo assuefatti all’atteggiamento di “resistenza” che legislatore e parte della magistratura mostrano nei confronti delle novità normative o giurisprudenziali provenienti dall’Unione europea in materia di garanzie della persona nel processo penale. Una forma di negativa resilienza testimoniata, ad esempio, dagli approcci riduttivi nella attuazione delle Direttive approvate dall’UE (1) o dagli orientamenti ermeneutici di chiusura rispetto alla pienezza dei diritti invocata dal quadro sovranazionale. La sentenza in commento fornisce una precisa riprova di quanto tale mood restrittivo persista anche con riguardo alla tormentata tematica della data retention, ossia della conservazione - teleologicamente finalizzata alla repressione della criminalità - dei “dati esterni” delle conversazioni (numero di chiamante o di chiamato, ora della conversazione, durata, celle telefoniche agganciate, ecc.). La disciplina è stata al centro, negli ultimi anni, di una complessa “parabola” eurounitaria (2), idonea a produrre un significativo impatto anche sul nostro ordinamento, che sembra opportuno ricostruire al fine di comprendere appieno la portata della pronuncia in epigrafe.

2. La data retention tra Carta di Nizza, direttiva Frattini e Corte di giustizia.

I diritti dell’individuo al rispetto della propria vita privata e alla tutela dei dati personali trovano nell’ambito dell’Unione europea un sistema di protezione particolarmente maturo e articolato. Come noto, tali garanzie sono proclamate, in modo espresso e autonomo, agli artt. 7 e 8 della Carta di Nizza. Quest’ultima, compiendo un passo avanti rispetto alla CEDU (3), chiarisce testualmente che i singoli sono (1) Un cenno sul punto in Caianiello, Dal terzo pilastro ai nuovi strumenti: diritti fondamentali, “road map” e l’impatto delle nuove direttive, in Dir. pen. cont. – Riv. trim, 2015/4, 78. (2) Per una ricostruzione della materia, v., ex plurimis, Andolina, L’acquisizione nel processo penale dei dati “esteriori” delle comunicazioni telefoniche e telematiche, Milano, 2018; Flor, Data retention ed art. 132 Cod. privacy: vexata quaestio (?), in Dir. pen. cont., 29 marzo 2017; Iovene, Data retention tra passato e futuro. Ma quale presente?, in Cass. pen., 2014, 4274 ss.; Marcolini, L’istituto della data rention dopo la sentenza della Corte di giustizia del 2014, in Cybercrime, diretto da Cadoppi - Canestrari - Manna - Papa, Torino, 2019, 1579 ss.; Pascali, La data retention dopo la dichiarazione di invalidità della Direttiva 2006/24/CE, in Riv. elettronica dir. econ. Manegement, 2015, 3, 87 ss.; Riccardi, Dati esteriori delle comunicazioni e tabulati di traffico – il bilanciamento tra privacy e repressione del fenomeno criminale nel dialogo tra giurisprudenza e legislatore, in Dir. pen. cont. – Riv. trim., 2016/3, 157 ss.; Ruggeri, Data retention e giudice di merito penale. Una discutibile pronuncia, in Cass. pen., 2017, 2483 ss. (3) È noto, del resto, che nel sistema CEDU, il diritto alla protezione dei dati personali, pur essendo stato in plurime pronunce valorizzato dalla Corte di Strasburgo nell’alveo dell’art. 8 CEDU, non trova un riconoscimento espresso: Pollicino - Bassini, Commento all’art. 8 della Carta

758

DIRITTO DI INTERNET N. 4/2019

titolari, sia del classico diritto a non subire interferenze nella propria sfera – legato all’elaborazione originaria del right to be let alone (4) –, sia di una libertà positiva a esercitare un controllo penetrante sul flusso dei propri dati, ovvero sulle informazioni che identificano o rendono individuabile una persona e che possono fornire notizie su caratteristiche, abitudini, stile di vita, relazioni personali, stato di salute, situazione economica e così via (5). I principi della Carta di Nizza, insomma, disegnano un solido scudo posto al vertice delle fonti del diritto europeo che protegge la “privacy” dei singoli da ingerenze indebite tanto dell’autorità quanto dei privati. Occorre tuttavia ribadire fin da subito che le garanzie in questione, nonostante il loro rango primario, non sono da considerarsi assolute: possono all’evidenza essere compresse, purché ciò avvenga entro i limiti di quanto stabilito dall’art. 52 della Carta di Nizza. Eventuali restrizioni all’esercizio dei diritti di cui agli artt. 7 e 8 CDFUE devono, pertanto, essere previste dalla legge, rispettare il “contenuto essenziale” di dette garanzie, essere proporzionate e rispondere a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere diritti e libertà altrui. Orbene, tra i vari istituti del processo penale, idonei a interferire con i diritti fondamentali alla vita privata e al right to the protection of personal data, vi è proprio la data retention. La conservazione dei dati di traffico telefonico e telematico appare in effetti in grado di rivelare plurime notizie sulla persona, consentendo persino di tracciarne un profilo del carattere o di mapparne gli spostamenti. Ben si comprende allora come lo strumento investigativo de quo, pur perseguendo lo scopo certamente degno di tutela di contrastare gravi forme di reato, per risultare legittimo, debba, dal punto di vista del diritto dell’Unione, rispettare lo standard di tutela cristallizzato nella Carta di Nizza. Per la verità, è stato lo stesso legislatore eurounitario a sottovalutare, almeno in un primo periodo, l’importanza di un’adeguata ponderazione tra interesse generale alla sicurezza e alla lotta contro la criminalità e tutela della privacy. A tal proposito, è notorio che il Parlamento europeo e il Consiglio UE adottarono nel 2006 la direttiva n. 24 (riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di di Nizza, in Carta dei diritti fondamentali dell’Unione europea, a cura di Mastroianni – Pollicino – Allegrezza. Pappalardo – Razzolini, Milano, 2017, 136 s. (4) Il rinvio va ovviemente a Warren - Brandeis, The Right to Privacy, in Harvard Law Review, 1890, 193 ss. (5) Per più ampie riflessioni, volendo, L. Lupária, Privacy, diritti della persona e processo penale, in Riv. dir. proc., 2019, in corso di pubblicazione.

GIURISPRUDENZA PENALE reti pubbliche di comunicazione e che modificava la direttiva 2002/58/CE), la quale – anche in ragione del clima politico in cui la stessa fu approvata – risultava assai sbilanciata in favore delle esigenze di tutela della collettività rispetto a quelle di protezione della riservatezza dei singoli (6). Una prima reazione a tale approccio securitario del legislatore UE è stata offerta da alcune Corti costituzionali interne: i Giudici delle leggi bulgaro, tedesco e rumeno censurarono gli atti di recepimento di quella che nella vulgata è ricordata come direttiva Frattini (7). Nel 2014 è intervenuta poi direttamente la Corte di giustizia UE, la quale, con la storica sentenza pronunciata nelle cause riunite Digital Rights Ireland LTD e Kärntner Landesregierung (8), ha dichiarato l’invalidità dell’intera direttiva 2006/24/UE, per contrarietà con gli artt. 7, 8 e 52, par. 1 della Carta di Nizza. I giudici di Lussemburgo hanno compiuto un ragionamento assai «lineare e convincente» (9), la cui chiave di volta va individuata nella valutazione circa il mancato rispetto del principio di proporzionalità, declinato, in questo caso, come canone di minima interferenza dello Stato nella sfera di riservatezza del singolo. Più precisamente, la Corte di giustizia, dopo aver riconosciuto che la direttiva Frattini non violava il contenuto essenziale degli artt. 7 e 8 della Carta e che l’istituto della data retention persegue un obiettivo effettivamente di interesse generale dell’Unione (ossia quello di combattere gravi forme di criminalità), ha compiuto un controllo approfondito circa il fatto che le norme UE determinassero o meno restrizioni alla tutela del rispetto della vita privata e dei dati personali limitate allo «stretto necessario» (10). Ebbene, il quesito ha avuto una risposta marcatamente negativa per plurime ragioni. In prima battuta, le misure previste dalla direttiva riguardavano potenzialmente la totalità della popolazione europea «e qualsiasi mezzo di comunicazione elettronica nonché l’insieme dei dati relativi al traffico senza alcuna distinzione, limitazione

o eccezione a seconda dell’obiettivo di lotta contro i reati gravi» (11). In secondo luogo, il provvedimento non contemplava alcun criterio oggettivo che permettesse «di delimitare l’accesso delle autorità nazionali competenti ai dati e il loro uso ulteriore a fini di prevenzione, di accertamento o di indagini penali riguardanti reati che po[ssano] […] essere considerati sufficientemente gravi da giustificare siffatta ingerenza» (12). In terzo luogo, risultava criticabile la scelta della fonte UE di non subordinare l’accesso ai dati conservati «ad un previo controllo effettuato da un giudice o da un’entità amministrativa indipendente la cui decisione sia diretta a limitare l’accesso ai dati e il loro uso a quanto strettamente necessario per raggiungere l’obiettivo perseguito e intervenga a seguito di una richiesta motivata delle suddette autorità presentata nell’ambito di procedure di prevenzione, di accertamento o di indagini penali» (13). Da ultimo, quanto alla durata di conservazione dei dati, si è osteggiata, per un verso, la fissazione di un termine minimo di sei mesi senza che fosse effettuata «alcuna distinzione tra le categorie di dati previste all’articolo 5 della direttiva a seconda della loro eventuale utilità ai fini dell’obiettivo perseguito o a seconda delle persone interessate» e, per un altro verso, la mancata previsione da parte della fonte UE di criteri oggettivi, idonei a garantire che l’interferenza nella sfera del singolo fosse limitata allo stretto necessario. Una lettura garantista questa, poi sviluppata nella giurisprudenza successiva della Corte. A tal proposito, assume un rilievo peculiare la sentenza Tele 2 Sverige AB (14), nella quale i giudici del Lussemburgo hanno stabilito che la direttiva 2002/58/CE (ossia l’atto europeo diventato applicabile alla data retention dopo la caducazione della direttiva Frattini), letta alla luce degli articoli 7, 8, 11 e 52, par. 1, della Carta di Nizza, va interpretata nel senso che essa osta «ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubi-

(6) In proposito, v. amplius, Andolina, L’acquisizione nel processo penale, cit., 58 ss. (7) Cfr., a riguardo, ancora Andolina, L’acquisizione nel processo penale, cit., 59. (8) Il rinvio va a Corte giust., Grande Sezione, 8 aprile 2014, cause riunite C-293/12 e C-594/12, Digital Rights Ireland, per un commento della quale cfr. Colombo, “Data retention” e Corte di giustizia: riflessioni a prima lettura sulla declaratoria di invalidità della direttiva 2006/24/CE, in Cass. pen., 2014, 2705 ss.; Flor, La Corte di Giustizia considera la direttiva europea 2006/34 sulla cd. “data retention” contraria ai diritti fondamentali. Una lunga storia e lieto fine, in Dir. pen. cont. – Riv. trim., 2014/2, 178 ss. (9) Così, Marcolini, L’istituto della data rention, cit., 1587. (10) Corte giust., Grande Sezione, 8 aprile 2014, cause riunite C-293/12 e C-594/12, Digital Rights Ireland § 52.

(11) Corte giust., Grande Sezione, 8 aprile 2014, cause riunite C-293/12 e C-594/12, Digital Rights Ireland § 57. (12) Corte giust., Grande Sezione, 8 aprile 2014, cause riunite C-293/12 e C-594/12, Digital Rights Ireland § 60. (13) Corte giust., Grande Sezione, 8 aprile 2014, cause riunite C-293/12 e C-594/12, Digital Rights Ireland § 62. (14) Il rinvio va a Corte giust., Grande Sezione, 21 dicembre 2016, cause rinute C-203/15 e C-698/15, Tele2 Sverige AB, per un commento della quale, v. Pollicino – Bassini, La Corte di giustizia e una trama oramai nota: la sentenza Tele2 Sverige sulla conservazione dei dati di traffico per finalità di sicurezza e ordine pubblico, in Dir. pen. cont., 9 gennaio 2017.

DIRITTO DI INTERNET N. 4/2019

759

GIURISPRUDENZA PENALE cazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica» (15). La Corte ha anche affermato che il diritto UE osta pure «a una normativa nazionale, la quale disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi all’ubicazione, e segnatamente l’accesso delle autorità nazionali competenti ai dati conservati, senza limitare, nell’ambito della lotta contro la criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell’Unione» (16). In estrema sintesi, come si è condivisibilmente affermato, la seconda decisione ha segnato un ulteriore significativo step in avanti: nella sentenza Tele 2 Sverige la Corte non si è limitata a censurare l’operato del legislatore eurounitario in materia di conservazione dei dati finalizzata alla repressione dei reati, ma ha chiaramente scolpito una serie di condizioni che pure gli ordinamenti nazionali devono oggi osservare per porsi in linea con «i principi enunciati dalla CDFUE e, prima ancora, dalla stessa CEDU» (17). Alla luce di tale parabola evolutiva, non si può fare a meno di osservare come la proclamazione di uno standard tanto elevato di protezione del diritto alla privacy nelle pronunce Digital Rights e Tele 2 Sverige AB non sia stata – a oggi – sufficientemente valorizzata tanto da molti legislatori interni (18), quanto da quello europeo. Se, infatti, i primi hanno, in non pochi casi, omesso di adeguare la loro disciplina normativa in materia, il secondo, nonostante abbia intrapreso un articolato percorso consultivo preparatorio, è ancora ben lontano da pervenire a un nuovo atto ad hoc, volto a sostituire l’oramai invalida direttiva 2006/24/CE. Pochi mesi fa il Consiglio UE ha tuttavia mostrato di collocare la data retention tra le proprie priorità politiche, adottando delle articolate Conclusioni «sulla conservazione dei dati per finalità di lotta contro la criminalità» (19). Con tale documento si è non solo ribadito che «le sentenze della Corte di giustizia dell’Unione europea […] nelle cause Digital Rights Ireland e Tele 2, […] rivesto-

(15) Corte giust., Grande Sezione, 21 dicembre 2016, cause riunite C-203/15 e C-698/15, Tele2 Sverige AB, conclusione n. 1. (16) Corte giust., Grande Sezione, 21 dicembre 2016, cause riunite C-203/15 e C-698/15, Tele2 Sverige AB, conclusione n. 2. (17) Così, testualmente, Marcolini, L’istituto della data rention, cit., 1589. (18) Cfr. in proposito, EDRi, EU Member States willing to retain illegal data retention, in <https://edri.org/eu-member-states-willing-to-retain-illegal-data-retention/, 16 gennaio 2019>. (19) Cfr. Doc. Consiglio UE, 9663/19 del 27 maggio 2019.

760

DIRITTO DI INTERNET N. 4/2019

no un’importanza fondamentale» (20), ma si è invitata la Commissione europea – tra l’altro – a predisporre «uno studio approfondito […] sulle possibili soluzioni per conservare i dati, compresa la valutazione di una futura iniziativa legislativa» (21). Per contro, si può riscontrare una maggiore sensibilità verso gli stimoli lanciati dai giudici di Lussemburgo da parte di alcune supreme giurisdizioni europee: diverse Corti hanno, anche assai di recente, presentato nuove domande di rinvio pregiudiziale, idonee a determinare un ulteriore sviluppo pretorio della tematica della data retention (22). Non stupisce che uno step successivo sia, ad esempio, già stato fissato dalla Grande Sezione della Corte di giustizia con la recente sentenza Ministerio Fiscal (23): come noto, in tale arresto i giudici hanno parzialmente riformulato uno dei criteri fissati nei loro precedenti, e, più in particolare, quello della “gravità dei reati”. Se, infatti, dalle sentenze Digital Rights e Tele 2 pareva desumersi che la data retention potesse essere ammessa solo per soglie di criminalità qualificate come “gravi”, nel nuovo arresto tale conclusione è stata apertamente smentita. A detta della Corte, infatti, la conservazione dei dati esterni di una comunicazione telefonica e telematica è possibile anche per reati “comuni”, a patto che, però, in tal caso l’autorità utilizzi le informazioni nei confronti dei singoli solo per compiere ingerenze non “gravi” nella sfera di riservatezza del singolo, quali, ad esempio, la mera richiesta di accedere ai numeri di telefono corrispondenti a una carta SIM di un cellulare e ai dati relativi all’identità civile di un titolare di detta carta. A tal proposito, se è pur vero che la distinzione di “grado” così inaugurata dalla Corte tra intrusioni nella privacy pare aver complicato ancor di più una materia già assai tormentata, merita comunque segnalare che da alcuni passaggi della pronuncia in questione si ricava che i giudici europei continuano a ricomprendere tra le limitazioni “gravi” della riservatezza di un individuo ogni utilizzo di dati esterni alle comunicazioni che consenta di produrre conclusioni precise sulla sua vita privata, tra

(20) Doc. Consiglio UE, 9663/19, 2. (21) Doc. Consiglio UE, 9663/19, 6. (22) Per un elenco dei rinvii pregiudiziali in materia, sollevati, dall’Investigatory Powers Tribunal del Regno Unito, dalla Corte costituzionale del Belgio, dal Consiglio di stato francese e dalla Corte suprema estone, cfr. Doc. Consiglio UE, 9663/19, 4. (23) Cfr. Corte giust., Grande Sezione, 2 ottobre 2018, C-207/16, Ministerio Fiscal, sulla quale v. IT.Pol – Edri, CJEU introduces new criteria for law enforcement to access to data, in <https://edri.org/cjeu-introduces-new-criteria-for-law-enforcement-to-access-to-data/, 24 ottobre 2018>.

GIURISPRUDENZA PENALE cui, ad esempio, le richieste volte a stabilire l’ubicazione di un telefono cellulare (24). A ogni modo, al di là di quanto la sentenza Ministerio Fiscal abbia acuito la complessità della materia in esame un dato è certo: la stessa fornisce la definitiva riprova di come la data retention rappresenti un istituto davvero magmatico e in perenne evoluzione, il quale abbisogna di un urgente intervento normativo da parte del legislatore UE. In ossequio alla riserva di legge di cui al combinato disposto degli artt. 7, 8 e 52 della CDFUE spetta al Parlamento e al Consiglio UE (e non all’attività suppletiva della giurisprudenza) il compito di fissare quel delicato bilanciamento tra esigenze di sicurezza della collettività e di protezione dei diritti fondamentali dei singoli, che inevitabilmente sta alla base del meccanismo de quo.

3. La cristallizzazione di una lettura restrittiva degli standard europei.

Una volta ricostruito il contesto europeo di riferimento, è ora possibile soffermarsi sulla pronuncia in epigrafe, la quale – è bene chiarirlo fin da subito – non si presenta come isolata, ma si inserisce in un quadro pretorio ben definito. Se è vero, infatti, che, dopo le sentenze Digital Rights e Tele 2, nella dottrina italiana si è denunciata a più voci la radicale incompatibilità dell’art. 132 del d.lgs. 30 giugno 2003, n. 196 (cd. codice della privacy), ossia della principale previsione interna in tema di data retention, con gli standard garantisti proclamati dalla Corte di giustizia (25), la giurisprudenza non è stata dello stesso avviso. I giudici interni – tanto di merito (26), quanto di legittimità (27) – hanno compiuto una valutazione di piena compatibilità della disciplina del codice della privacy, concernente la conservazione dei dati esterni delle comunicazioni, con il diritto UE, rifiutandosi persino di investire a loro volta la Corte di giustizia di nuove domande pregiudiziali, così come richiesto da vari difensori. La decisione in commento ha definitivamente ribadito questo atteggiamento “rassicurante” della giurisprudenza italiana. Nel caso di specie, il legale di un prevenuto,

(24) Corte giust., Grande Sezione, 2 ottobre 2018, C-207/16, Ministerio Fiscal, § 59. (25) Tra i tanti, v. Andolina, L’acquisizione nel processo penale, cit., 97 ss.; Flor, Data retention ed art. 132 Cod. privacy, cit., Marcolini, L’istituto della data rention, cit., 1590 ss. (26) Cfr. Trib. Padova, ord. 15 marzo 2017, Pres. Marassi, in Dir. pen. cont., 29 marzo 2017, con nota critica di Flor, Data retention ed art. 132 Cod. privacy, cit. (27) Cfr. Cass., sez. V, 24 aprile 2018, n. 33851, in Cass. pen., 2019, 299.

condannato dalla Corte di appello di Bologna per la cessione di un certo quantitativo di stupefacente, censurava in cassazione non solo il fatto che i giudici di merito avessero condannato il suo assistito pur essendovi a suo carico un solo indizio, rappresentato dall’aggancio, in una determinata ora, di un telefono cellulare a lui riconducibile alla cella della zona in cui sarebbe stata ceduta la droga, ma anche del contrasto tra l’art. 132 del codice della privacy con gli artt. 7, 8 e 52, par. 1, della CDFUE, come interpretati dalla Corte di giustizia nelle sentenze Digital Rights e Tele 2. Più in particolare, a detta della difesa, la normativa interna concernente la data retention non avrebbe superato il vaglio stringente di proporzionalità fissato dai giudici europei, sia perché l’art. 132 del cod. privacy consente l’acquisizione e la conservazione del traffico telematico per qualsiasi tipo di reato, senza distinguere tra forme di criminalità più o meno gravi, sia perché la stessa affida al pubblico ministero e non a un giudice o a un’altra autorità indipendente il compito di autorizzare l’acquisizione dei dati. Insomma, esattamente come era stato già denunciato a più voci in dottrina, l’art. 132 del cod. privacy conterrebbe in sé «tutti i vizi già individuati dalla Corte di giustizia, con conseguente necessità di disapplicare la norma interna e di ritenere la prova acquisita vietata dalla legge e quindi non utilizzabile». Va, peraltro, rilevato che, in subordine, la difesa ha, anche in questo caso, richiesto alla Corte di legittimità di presentare un rinvio pregiudiziale circa l’effettiva compatibilità con la Carta di Nizza delle previsioni nazionali. Ebbene, la Cassazione, pur accogliendo il primo motivo, sulla base del rilievo, in realtà abbastanza pacifico alla luce della teoria generale del diritto probatorio, per cui «la presenza di un telefono cellulare in una data zona […] può essere qualificato quale indizio, ma di per sé non dimostra nulla, anche se l’utenza è precisamente attribuita ad una determinata persona», essendo necessario per condannare un soggetto che vi siano «altri indizi, ugualmente gravi e precisi, ed infine tutti concordanti, che possano consentire di affermare che il possessore dell’utenza ha commesso il reato», ha, invece, rigettato in toto le censure “europee” del ricorrente, senza percorrere neppure la strada del rinvio pregiudiziale. Per giungere a tale conclusione, il collegio si è limitato a riprendere e ribadire i principali temi che avevano già portato in precedenza la Corte ad affermare che il più volte citato art. 132 del cod. privacy «è compatibile con il diritto sovranazionale in tema di tutela della privacy (direttive 2002/58/CE e 2006/24/CE), come interpretate dalla Corte di Giustizia dell’Unione europea» (28).

(28) Il rinvio va proprio a Cass., sez. V, 24 aprile 2018, n. 33851, cit., 299.

DIRITTO DI INTERNET N. 4/2019

761

GIURISPRUDENZA PENALE Due i principali argomenti su cui ha fatto leva il giudice nomofilattico per rigettare le censure della difesa. In una prima prospettiva, il collegio ha affermato che il diritto interno non contrasterebbe con le sentenze Digital Rights e Tele 2, posto che quest’ultime avrebbero «riguardato Stati privi di una regolamentazione dell’accesso e della conservazione dei dati, mentre lo Stato italiano si è dotato di una specifica disciplina». In un secondo angolo visuale, la Corte ha affermato che, in ogni caso, la normativa italiana supererebbe comunque il test europeo di proporzionalità, posto che la stessa non solo delimita temporalmente l’attività di memorizzazione in modo adeguato, ma soprattutto affida il potere di acquisire i dati a un organo – ossia il pubblico ministero – che in realtà sarebbe dotato di un’indipendenza funzionale sufficiente ad assicurare il rispetto dello standard eurounitario di tutela del diritto alla privacy. A tal proposito, il collegio ha ribadito che la versione italiana delle sentenze Digital Rights e Tele 2 – ove, come si è visto, si fa un riferimento testuale alla necessità di un’autorizzazione «di un giudice o di un’autorità amministrativa indipendente», affinché i dati esterni possano essere comunicati dal service provider alle autorità di law enforcement - sarebbe affetta da un “errore linguistico”. A detta dei supremi giudici, infatti, la traduzione non sarebbe fedele al testo francese e inglese della sentenza della Corte di giustizia, i quali utilizzano – rispettivamente – la locuzione “juridiction” e “court”, riferibili alla magistratura nel suo complesso e dunque anche ai pubblici ministeri. In definitiva, dunque, per la Cassazione italiana la Corte di giustizia nelle sue pronunce avrebbe inteso fare riferimento al concetto generico di “autorità giudiziaria”, che pacificamente ricomprende anche la figura della pubblica accusa, con la conseguenza che nessuna critica si potrebbe muovere alla vigente versione dell’art. 132 del cod. privacy. A tali considerazioni generali, il collegio ne ha aggiunta anche una più specifica: secondo la suprema Corte il fatto che ad autorizzare la trasmissione e l’utilizzo del dato sia il solo pubblico ministero garantirebbe comunque un livello adeguato di tutela, posto che la trasmissione di un dato esterno di una comunicazione determinerebbe una compromissione del diritto alla privacy decisamente inferiore rispetto alle intercettazioni la cui tutela è affidata, invece, al controllo di un giudice.

4. Contro un approccio semplicistico rispetto ad un tema complesso e colmo di nodi irrisolti.

La pronuncia in esame, così come l’orientamento consolidatosi nelle aule di giustizia italiane in tema di compatibilità con le fonti europee dell’art. 132 del cod. privacy, non pare affatto giungere a risultati condivisibili e, soprattutto, mostra la scarsa volontà di prendere “sul serio” la questione.

762

DIRITTO DI INTERNET N. 4/2019

Privo di pregio risulta anzitutto l’argomento preliminare su cui si fonda la decisione, ossia quello secondo cui le sentenze della Corte di giustizia avrebbero riguardato Stati che, a differenza dell’Italia, risulterebbero sprovvisti di una regolamentazione in punto di accesso e conservazione dei dati. Tale rilievo non solo non risponde alla realtà (29), ma, soprattutto, denota un profondo (e, in qualche misura, preoccupante) vizio metodologico. Le sentenze Digital Rights, Tele 2 e Ministerio Fiscal hanno infatti chiarito quali requisiti debba possedere non soltanto la disciplina europea ma altresì quella nazionale per poter rientrare nel perimetro garantistico cristallizzato dalla Carta di Nizza in materia di data retention. Anche se le pronunce europee avessero, in ipotesi, riguardato Paesi privi di disciplina, il ragionamento non dovrebbe allora mutare: i giudici di Lussemburgo non si sono limitati a compiere ragionamenti specifici, legati alla normativa di un singolo ordinamento giuridico, ma hanno stabilito una serie di principi di diritto universalmente validi per l’intero spazio di libertà, sicurezza e giustizia. Neppure la seconda ragione su cui ruota la motivazione può essere accolta senza riserve: il presunto errore del traduttore italiano delle sentenze Tele 2 e Digital Rights nell’impiegare il vocabolo “giudice”, in luogo di quello, stimato più corretto, di “autorità giudiziaria”. A ben vedere, infatti, tale interpretazione suscita più di una perplessità tenuto conto di quello che, pur in altri contesti, è il lessico utilizzato nell’ambito del diritto dell’Unione europea. Sono infatti riscontrabili precisi esempi (si pensi solo all’art. 6 della decisione quadro 2002/584/ GAI in tema di MAE) di come, allorquando il legislatore UE abbia voluto riferirsi al concetto di “autorità giudiziaria” in lingua inglese e francese non abbia utilizzato affatto i vocaboli “court” e “juridicion”, ma le locuzioni ben più ampie “judicial authority” o “autorité judiciaire”. Orbene, pare francamente arduo ritenere che la Corte di giustizia, in quanto supremo giudice del diritto UE, non abbia tenuto conto di quello che è il lessico proprio utilizzato dal legislatore eurounitario, allorquando sono state redatte le sentenze in questione. Per di più, a diminuire la persuasività della tesi sostenuta dalla Cassazione sta il fatto che la sentenza Tele 2, nel momento in cui ha sottolineato la necessità di un controllo preventivo di una “court” sull’interferenza nella sfera privata del singolo, ha richiamato quanto stabilito nella sentenza della Corte europea dei diritti dell’uomo

(29) Si veda, in proposito, solo per fare un esempio, i § 15 e ss. della sentenza Corte giust., Grande Sezione, 21 dicembre 2016, cause riunite C-203/15 e C-698/15, Tele2 Sverige AB, in cui è descritta la disciplina svedese e poi del Regno Unito in tema di data retention.

GIURISPRUDENZA PENALE Szabó e Vissy c. Ungheria (30). Orbene, in tale pronuncia i giudici di Strasburgo, pur considerando possibile che anche autorità (indipendenti) diverse da un decisore possano compiere, in alcuni casi, limitazioni del diritto alla riservatezza dell’individuo, hanno affermato che «judicial control offering the best guarantees of independence, impartiality and a proper procedure» (31), manifestando oltretutto, a nostro avviso, un espresso favor circa il fatto che, di norma, le restrizioni nella privacy del singolo debbano essere autorizzate da un judge (32). Anche alla luce di ciò, pare insomma difficile ritenere che con la locuzione “court” i giudici di Lussemburgo abbiano voluto in generale riferirsi pure alla figura dei pubblici ministeri. Certo, dove la pronuncia in epigrafe pare cogliere nel segno è nel rilevare che la garanzia primaria che la Corte di giustizia ha voluto preservare, richiedendo l’autorizzazione di una “court”, è quella dell’indipendenza dai governi dell’organo deputato a consentire l’ingerenza nei diritti fondamentali del singolo, così da evitare un controllo orwelliano di massa degli esecutivi sugli individui. Tenuto conto di ciò, si potrebbe pensare che i pubblici ministeri italiani, a differenza di quelli di altri Paesi (come Francia, Spagna e Germania) ben potrebbero istituzionalmente considerarsi soggetti che, proprio perché non gerarchicamente subordinati al ministro, siano in grado di preservare adeguatamente i diritti della persona. Se ciò è vero, non si può peraltro affermare con certezza che la Corte di giustizia nelle sue pronunce abbia voluto preservare solo il valore dell’indipendenza e non anche quello della terzietà e imparzialità: l’utilizzo del termine “court” in luogo di “judicial authority” potrebbe, invero, proprio spiegarsi con la finalità di individuare un soggetto equidistante dalla regiudicanda che possa dunque trovarsi nella condizione idonea per salvaguardare a sufficienza i diritti dei singoli di cui agli artt. 7 e 8 della Carta di Nizza. Né per dare una risposta univoca a tale quesito pare sufficiente l’ulteriore argomento, abbozzato dalla pronuncia in commento, per cui l’autorizzazione a trasmettere il contenuto di “dati esterni” a una comunicazione tollererebbe un livello di garanzie inferiori rispetto alle intercettazioni, comportando sempre un’intrusione meno intensa nella riservatezza del singolo. Siffatto assunto non sembra, invero, in toto convincente, in particolare in ragione del fatto che i giudici di Lussemburgo nelle loro pronunce hanno espressamente fatto rientrare alcune possibili ingerenze nella privacy del singolo tramite

l’istituto della data retention tra le restrizioni “gravi” dei diritti dell’individuo. Ed è proprio in ragione di tale valutazione sulla potenziale profonda lesività della data retention sulla sfera dell’individuo che è stato ipotizzato uno standard di garanzia così elevato. Diverso discorso si potrebbe forse effettuare in relazione a quelle intrusioni della privacy qualificate dalla Corte di giustizia come lievi (quale la mera attribuzione della paternità di una SIM a un soggetto): quest’ultime, data la loro minore “aggressività” nei confronti dell’individuo, potrebbero forse essere legittimamente autorizzate anche da un soggetto sì indipendente, ma non terzo e imparziale quale la pubblica accusa italiana. In definitiva, in un quadro caratterizzato più da dubbi che certezze, la strada maestra che si sarebbe dovuta seguire, a fronte della denunciata incompatibilità dell’art. 132 del cod. privacy con il diritto UE, era quella, sollecitata, del rinvio pregiudiziale. A ben vedere, infatti, tenuto conto in particolare di come la suprema Corte nostrana rappresenti l’organo di ultima istanza, istituzionalmente deputato a chiamare in causa i giudici di Lussemburgo, pare che gli ermellini avrebbero dovuto effettivamente domandare se anche un organo formalmente indipendente quale il pubblico ministero italiano, ma non terzo e imparziale, possa soddisfare lo standard di garanzie richiesto dalla Carta di Nizza. Per di più, tale occasione sarebbe stata propizia anche per interrogare la Corte di giustizia, mediante un ulteriore quesito subordinato, circa le sorti sul piano probatorio di un dato esterno a una comunicazione acquisito in violazione del diritto UE sulla privacy. A tal proposito, va, infatti, ricordato che, anche da siffatto punto di vista, la suprema Corte nostrana ha adottato un approccio restrittivo, non accogliendo i suggerimenti di quella parte della dottrina che ha proposto di ricavare direttamente dagli artt. 7 e 8 della Carta di Nizza due divieti probatori “eurounitari” (33). Dal canto suo, infatti, la Cassazione (34) ha, invece, negato che il mancato rispetto delle norme europee stabilite nelle sentenze Digital Rights e Tele 2 determini un’inutilizzabilità patologica. Si tratta all’evidenza di una soluzione del tutto insoddisfacente, posto che essa depotenzia alla radice la portata dei parametri di tutela imposti dagli artt. 7 e 8. Anche ove avessi una prova raccolta in palese violazione della CDFUE ciò non produrrebbe alcuna ripercussione sul piano probatorio. Proprio per questo motivo il caso deciso nella pronuncia in epigrafe avrebbe potuto risolvere l’impasse interrogando direttamente in proposito i giudici del Lussemburgo, così da chiarire se una discipli-

(30) Il rinvio va a Corte edu, 12 gennaio 2016, sez. IV, Szabó e Vissy c. Ungheria. (31) Corte edu, 12 gennaio 2016, sez. IV, Szabó e Vissy c. Ungheria, § 77.

(33) V., in particolare, Marcolini, L’istituto della data rention, cit., 1594.

(32) V. ancora Corte edu, 12 gennaio 2016, sez. IV, Szabó e Vissy c. Ungheria, § 77.

(34) La tesi è argomentata in Cass., sez. V, 24 aprile 2018, n. 33851, cit., 299, ma non è stata ripresa nella pronuncia in commento.

DIRITTO DI INTERNET N. 4/2019

763

GIURISPRUDENZA PENALE na interna, che – stando a quanto affermato dalla giurisprudenza domestica – non consentirebbe di sanzionare la violazione dello standard di garanzie in tema di data retention fissato in Digital Rights e Tele 2, osti o meno con l’articolo 47 della Carta di Nizza, il quale richiede, in generale, che siano predisposti rimedi effettivi in caso siano violate le norme del diritto dell’Unione. I difetti della pronuncia in commento non si fermano però qui. Non sfuggirà, infatti, come quest’ultima, esattamente come la decisione precedente alla quale è ispirata, non ha in alcun modo fornito risposta ad altre censure sollevate dalla difesa (e in dottrina) nei confronti dell’art. 132 del cod. privacy, tra cui spicca in particolare quella concernente la mancata individuazione da parte del legislatore UE di un limite edittale idoneo a consentire che interferenze penetranti nei confronti del diritto alla riservatezza dei singoli siano consentite unicamente per le fattispecie di reato più gravi. Il vuoto motivazionale che affligge in proposito la decisione de qua non può che essere apertamente stigmatizzato: pare, invero, inaccettabile che i supremi giudici nomofilattici, vista la sostanziale impossibilità di salvare da siffatto punto di vista la legittimità delle previsioni interne, abbiano del tutto omesso di argomentare questo profilo. In definitiva, proprio tale lacuna argomentativa pare fornire la decisiva riprova di come la decisione in epigrafe abbia inteso preservare a tutti i costi la possibilità per l’autorità di law enforcement di avvalersi di un meccanismo oramai essenziale per la lotta contro la criminalità, quale la data retention. Così facendo, però, i giudici sono arrivati al risultato di far pagare ai soggetti deboli – ossia ai prevenuti – le lacune organizzative sistematiche dell’ordinamento interno e di quello europeo, dovute al fatto che tanto il legislatore italiano, quanto quello UE non sono stati finora politicamente in grado di adeguare la normativa in materia agli stringenti standard di tutela imposti dalla Carta di Nizza, così come interpretata dalla Corte di giustizia. Per l’ennesima volta, dunque, nonostante la proclamazione di un livello astratto di tutela di diritti particolarmente elevato, le garanzie europee si stanno dimostrando prive di effettività, risultando meramente teoriche ed illusorie. Non si può allora che auspicare un futuro cambio di passo, in primis, da parte delle istituzioni UE istituzionalmente deputate a controllare il rispetto da parte degli Stati membri (e dei loro organi) del diritto eurounitario. Ci si riferisce, in particolare, alla Commissione europea, la quale vedendosi affidato il compito di “guardiano del diritto dell’Unione” non dovrebbe più indugiare e avviare formali procedure di infrazione, volte a obbligare gli Stati membri ad ottemperare ai loro obblighi europei in tema di data retenion. Solo in questo modo il new deal inaugurato dalla Corte di giustizia in

764

DIRITTO DI INTERNET N. 4/2019

materia di tutela del diritto alla privacy cesserà di assumere i contorni di una enorme occasione perduta.

GIURISPRUDENZA PENALE

Il vilipendio commesso su Facebook tra vecchie e nuove problematiche Corte

Cassazione ; sezione I penale; sentenza 13 agosto 2019, n. 35988; Pres. Di Tomassi; Rel. Mancuso.

Commette il delitto militare di vilipendio della Repubblica di cui all’art. 81 c.p.m.p. l’Ufficiale che scrive su Facebook “Stato di m…”. Il diritto alla libera manifestazione del pensiero, infatti, che dev’essere riconosciuto anche agli appartenenti alle forze armate, trova il suo limite giuridico nell’esigenza di tutela del decoro e del prestigio delle istituzioni, per cui la critica che trascenda nel gratuito oltraggio fine a se stesso integra gli estremi del vilipendio. Inoltre, l’inserimento della frase in questione in una bacheca Facebook è sufficiente ad integrare il requisito della pubblicità del messaggio vilipendioso, trattandosi di condotta potenzialmente capace di raggiungere un numero indeterminato o comunque elevato di persone.

…Omissis… 1. Con sentenza in data 8.5.2018, la Corte militare di appello di Roma confermava la sentenza del 25.10.2017, con la quale il Tribunale militare di Napoli aveva dichiarato C.C.P. colpevole del reato di vilipendio della Repubblica, aggravato ai sensi dell’art. 81 c.p. e art. 47 c.p.m.p., comma 1, n. 2, e lo aveva condannato alla pena di anni uno e mesi quattro di reclusione militare. Secondo i giudici del merito, il C., tenente di vascello pilota della Marina Militare Italiana, il 27.12.2015, dopo aver pubblicato, sul proprio profilo Facebook, una fotografia di una nave da guerra e la scritta “Fincantieri: collaborazione con l’India per sette fregate (OMISSIS)”, aveva commesso il reato scrivendo sulla pagina del suddetto profilo una frase che le sentenze avevano ritenuto di significato offensivo in danno dell’Italia, perché quest’ultima era stata indicata nel testo incriminato come uno “Stato di m..”. 2. I difensori dell’imputato hanno proposto ricorso per cassazione, con atto affidato a tre motivi. 2.1. Con il primo motivo di ricorso si deduce, richiamando l’art. 606 c.p.p., comma 1 lett. b), c), e), violazione e falsa applicazione della legge penale, inosservanza di norme stabilite a pena di inutilizzabilità, contraddittorietà e manifesta illogicità della motivazione con riguardo alla ritenuta sussistenza del delitto. Mancano sia l’elemento materiale, sia di quello psicologico del reato, previsto dall’art. 81 c.p.m.p. Quanto al primo elemento, nel ricorso si rileva: errata interpretazione dell’art. 530 c.p.p., non essendo stata raggiunta la prova della paternità della frase incriminata; errata qualificazione del fatto quale vilipendio; sussistenza, nel comportamento, del requisito della continenza e mancanza del requisito della pubblicità del commento incriminato, data la mancanza di certezza circa la visione della frase da parte di terzi. Il giudice di primo grado ha utilizzato l’espressione “pressochè certo” nella motivazione della propria decisione, cioè termini che indicano un giudizio di non

piena certezza sulla responsabilità dell’imputato. Inoltre, vi è stata errata applicazione della legge penale, perché, attraverso la frase incriminata, non è stato vilipeso alcuno degli organi indicati dall’art. 81 c.p.m.p., e ciò determina la configurabilità, eventualmente, dell’art. 82 c.p.m.p., che riferisce il vilipendio, più in generale, alla Nazione italiana. Quanto al secondo aspetto, nel ricorso si rileva la carenza dell’elemento psicologico del reato contestato, che richiede la precisa volontà di vilipendio alla Repubblica. La frase incriminata soddisfa il requisito della continenza, in quanto vi è un chiaro riferimento alla vicenda dei marò italiani e alla connessione di essa con i rapporti economici tra l’India e un’azienda italiana. 2.2. Con il secondo motivo di ricorso si deduce, richiamando l’art. 606 c.p.p., comma 1, lett. b), violazione, inosservanza, erronea applicazione della legge penale con particolare riguardo agli artt. 181 e 191 c.p.p. e all’art. 54 c.p. Non è condivisibile l’affermazione della Corte di merito, secondo la quale l’imputato avrebbe vilipeso la Repubblica. L’asserto del giudice di appello dipende dalla mancanza di un accertamento tecnico/ strumentale volto proprio all’accertamento della paternità della frase. 2.3. Con il terzo motivo di ricorso si deduce, richiamando l’art. 606 c.p.p., comma 1, lett. b), violazione di legge in relazione all’art. 51 c.p.. L’imputato non ha potuto esercitare il proprio diritto di difesa, perché non è stata svolta alcuna verifica per accertare la paternità della frase incriminata. Considerato in diritto 1. Il primo motivo di ricorso è manifestamente infondato. 1.1. Il reato di vilipendio della Repubblica, delle istituzioni costituzionali e delle forze armate consiste nel disprezzare, tenere a vile, ricusare qualsiasi valore etico, sociale o politico alle istituzioni predette, considerate nella loro entità astratta ovvero concreta, ossia nella loro

DIRITTO DI INTERNET N. 4/2019

765

GIURISPRUDENZA PENALE essenza ideale oppure quali enti concretamente operanti (Sez. 1, n. 1427 del 17/10/1977 - dep. 07/02/1978, Tatarella, Rv. 137859). L’elemento soggettivo del delitto di vilipendio della Repubblica, delle istituzioni costituzionali e delle forze armate consiste nel dolo generico, con conseguente irrilevanza dei motivi particolari che possano aver indotto l’autore a commettere consapevolmente il fatto vilipendioso addebitato (Sez. 1, n. 6144 del 07/03/1979 - dep. 06/07/1979, Gatti, Rv. 142461). È stato chiarito, inoltre, che il diritto di esprimere liberamente il proprio pensiero (art. 21 Cost.) e, correlativamente, quello di associarsi liberamente in partiti politici (art. 49 Cost.) per manifestare determinate ideologie, al fine di concorrere con metodo democratico a determinare la politica nazionale, trovano un limite non superabile nella esigenza di tutela del decoro e del prestigio delle istituzioni, per cui l’uso di espressioni di offesa, disprezzo, contumelia costituisce vilipendio punibile ex art. 290 c.p. (Sez. 1, n. 14226 del 29/06/1977 - dep. 11/11/1977, Venza, Rv. 137274). Il diritto di critica e libera manifestazione del pensiero supera il suo limite giuridico costituito dal rispetto del prestigio delle istituzioni repubblicane e decampa, quindi, nell’abuso del diritto, cioè nel fatto reato costituente il delitto di vilipendio, allorché la critica trascenda nel gratuito oltraggio, fine a se stesso (Sez. 1, n. 5864 del 01/02/1978 - dep. 19/05/1978, Salviucci, Rv. 139007). In riferimento al requisito di pubblicità del messaggio, la giurisprudenza della Corte di legittimità è ormai costante nel ritenere che la diffusione di un messaggio diffamatorio attraverso l’uso di una bacheca Facebook integra un’ipotesi di diffamazione aggravata ai sensi dell’art. 595 c.p., comma 3, poiché trattasi di condotta potenzialmente capace di raggiungere un numero indeterminato o comunque quantitativamente apprezzabile di persone (Sez. 1, n. 24431 del 24/04/2015 - dep. 08/06/2015, Rv. 264007). 1.2. I giudici del merito hanno tenuto conto dei principi di diritto sopra richiamati, qualificando correttamente il fatto giudicato e ravvisando il dolo. La Corte militare di appello ha spiegato che nelle espressioni rese dal C. con riguardo a una vicenda politica non si ravvisa il carattere di continenza. Il giudice di appello, alla luce del grado di tenente di vascello rivestito dal C., ha fatto riferimento, correttamente, al Codice dell’ordinamento militare, sottolineando che gli appartenenti alle forze armate possono commentare vicende politiche e di attualità, ma senza travalicare i limiti della continenza. È priva di pregio la doglianza sollevata dalla difesa del C., secondo la quale l’utilizzo, nell’espressione incriminata, della parola Stato, avrebbe dovuto determinare una diversa qualificazione giuridica del fatto, riferibile al vilipendio alla Nazione italiana ai sensi dell’art. 82 c.p.m.p.. In realtà, il commento del C. riguarda un articolo sui rapporti commerciali tra l’Italia e l’India,

766

DIRITTO DI INTERNET N. 4/2019

quindi non può essere riferito alla Nazione, ossia alla comunità di individui, ma allo Stato, cioè al soggetto inquadrabile e riconoscibile proprio in quegli organi indicati dalla lettera dell’art. 81 c.p.m.p., quali, ad esempio, il Governo e le Assemblee legislative. Il giudice di appello, inoltre, nel rispetto del principio sopra richiamato circa la pubblicità dei messaggi, e senza incorrere in vizi logici, ha correttamente evidenziato che non rileva il numero di visualizzazioni o interazioni che il post pubblicato dal C. su Facebook ha effettivamente avuto, in quanto è sufficiente la mera diffusione del messaggio sul social network affinché si possa ritenere sussistente il requisito della pubblicità. 2. Il secondo motivo di ricorso è manifestamente infondato. 2.1. In ordine al rilievo con il quale il ricorrente ha lamentato la mancanza di un accertamento della paternità della frase incriminata, è opportuno precisare che, in tema di valutazione della prova indiziaria, il giudice di merito non può limitarsi ad una valutazione atomistica e parcellizzata degli indizi, né procedere ad una mera sommatoria di questi ultimi, ma deve, preliminarmente, valutare i singoli elementi indiziari per verificarne la certezza (nel senso che deve trattarsi di fatti realmente esistenti e non solo verosimili o supposti) nonché l’intrinseca valenza dimostrativa (di norma solo possibilistica); successivamente, deve procedere a un esame globale degli elementi certi, per verificare se la relativa ambiguità di ciascuno di essi, isolatamente considerato, possa in una visione unitaria risolversi, consentendo di attribuire il reato all’imputato al di là di ogni ragionevole dubbio, cioè con un alto grado di credibilità razionale, sussistente anche qualora le ipotesi alternative, pur astrattamente formulabili, siano prive di qualsiasi concreto riscontro nelle risultanze processuali ed estranee all’ordine naturale delle cose e della normale razionalità umana (Sez. 1, n. 1790 del 30/11/2017 - dep. 16/01/2018, Mangafic, Rv. 272056; Sez. 1, n. 20461 del 12/04/2016 - dep. 17/05/2016, P.C. in proc. Graziadei, Rv. 266941). 2.2. Ciò posto, è agevole notare che il giudice di appello non è incorso in alcuna violazione di legge nel confermare la declaratoria di responsabilità penale del C.. La motivazione resa segue un iter semplice, ma esaustivo, che ha condotto il giudice di merito a riconoscere l’imputato quale autore della frase incriminata. La Corte militare di appello non ricava il giudizio di responsabilità dell’imputato dalla dichiarazione del teste maresciallo A., bensì da una valutazione complessiva degli altri elementi, quali il fatto che il profilo Facebook ove era stata pubblicata la frase riportava nome e cognome dell’imputato, con l’aggiunta della parola “(OMISSIS)”, e la sua foto. L’elemento decisivo, per i giudici di merito, è stata, plausibilmente, la dichiarazione del teste maresciallo D., il quale, in passato, avendo notato una

GIURISPRUDENZA PENALE foto che lo ritraeva in compagnia del C. - pubblicata sullo stesso profilo Facebook ove fu pubblicata la frase incriminata - chiese al C. di rimuoverla; in tale occasione, rileva la sentenza di appello, il C. si scusò con il D., assicurandogli che avrebbe rimosso quella foto dal profilo del social network. È stato questo l’elemento determinante che ha indotto la Corte militare di appello ad affermare che il profilo “ C.M.C.” è riconducibile con certezza a C.C.P.. Infatti, il giudice di merito evidenzia che, laddove il profilo Facebook ove era apparsa la foto che ritraeva il D. non fosse stata riferibile al C., quest’ultimo avrebbe certamente palesato, in quanto egli non titolare di quel profilo, l’impossibilità di eliminare la foto dal social network. Questa Corte rileva la logicità e l’assenza di vizi nel percorso seguito dal giudice di merito per giungere alla decisione. Nel pieno rispetto della giurisprudenza sopra riportata, la Corte militare di appello ha valutato i vari elementi indiziari, prima separatamente, e poi attraverso una visione d’insieme che l’ha condotta all’accertamento della paternità della frase incriminata in capo al C. e alla conseguente affermazione della sua responsabilità. Importante, nell’iter argomentativo seguito dalla Corte di merito, il rilievo che, qualora fosse stata vera la possibilità paventata dalla difesa di un accesso abusivo alla pagina Facebook dell’imputato, tale eventualità sarebbe stata sostenuta, con fermezza, non solo innanzi ai giudici di merito di entrambi i gradi di giudizio, ma, da subito, anche al cospetto dei propri sovraordinati. Ciò dimostra come la Corte militare di appello abbia effettivamente preso in considerazione le ipotesi alter-

native - come la possibilità di un’intrusione abusiva nel profilo del C. - ritenendole, sì, astrattamente formulabili come richiesto dalla giurisprudenza di legittimità, ma, comunque, prive di qualsiasi concreto riscontro nelle emergenze processuali. 3. È manifestamente infondato anche il terzo motivo di ricorso, volto a censurare la decisione del giudice di merito per presunta violazione del diritto di difesa che sarebbe derivata dal mancato accertamento della paternità della frase incriminata. Come sopra notato, il giudice del merito ha operato correttamente nell’accertare gli elementi di fatto rilevanti per la decisione e, soprattutto, nell’applicare i principi sulla valutazione degli elementi indiziari a disposizione. Per quanto attiene alla tematica del preteso esercizio di un diritto, rilevante ai sensi dell’art. 51 c.p. quale causa di giustificazione, è sufficiente rimandare a quanto già evidenziato con riguardo al requisito della continenza: le valutazioni del giudice di merito circa il travalicamento, nell’espressione usata dal C., dei confini tipici della critica politica a cui sono sottoposti tanto i comuni cittadini, quanto, in maniera più accentuata, gli appartenenti alle forze armate come il C., si pone ampiamente nel solco della giurisprudenza di legittimità. …Omissis… P.Q.M. Dichiara inammissibile il ricorso e condanna il ricorrente al pagamento delle spese processuali e della somma di Euro tremila in favore della Cassa delle ammende. …Omissis…

IL COMMENTO

di Chiara Crescioli Sommario: 1. La vicenda in commento. – 2. Vilipendio della Repubblica o della Nazione? – 3. Il confine tra vilipendio ed esercizio del diritto di critica. – 4. Il vilipendio e i Social Network: riflessioni sulla sussistenza del requisito della pubblicità e sull’accertamento della paternità del messaggio incriminato. – 5. Considerazioni conclusive: la qualifica di militare del soggetto attivo. Nella sentenza in commento la Corte di Cassazione si è occupata di definire l’ambito applicativo del delitto militare di vilipendio della Repubblica ex art. 81 c.p.m.p. Oltre a chiarire quale sia la differenza tra tale delitto e il diverso reato di vilipendio alla Nazione ex art. 82 c.p.m.p., la Corte ha affrontato nuovamente il delicato problema dell’individuazione del limite al diritto di libertà di manifestazione del pensiero, individuato, anche in questo caso, nell’esigenza di tutela delle istituzioni da espressioni di offesa e disprezzo fini a se stesse. Ci si domanda, tuttavia, se tale criterio consenta in modo efficace di distinguere tra critica animosa consentita e attacco vilipendioso o se, invece, in realtà non sia possibile effettuare una ripartizione netta. Altra questione trattata è relativa all’accertamento del requisito della “pubblicità” del commento incriminato, ritenuto certamente sussistente per essere stata la frase offensiva pubblicata su un Social Network. La soluzione offerta, però, non tiene conto delle peculiarità del mezzo Facebook, che prevede numerose opzioni per aumentare la privacy del proprio profilo, grazie alle quali è possibile condividere un contenuto soltanto con i destinatari previamente individuati. L’ultimo profilo esaminato, infine, riguarda la qualifica di militare del soggetto agente, che impone una più rigorosa osservanza di regole di comportamento rispetto al comune cittadino. In the sentence under discussion, the Court of Cassation has focused on defining the scope of the military crime of contempt of the Republic punished by art. 81 c.p.m.p. In addition to clarifying the difference between this crime and contempt of the Nation punished by art. 82 c.p.m.p., the Court

DIRITTO DI INTERNET N. 4/2019

767

GIURISPRUDENZA PENALE again addressed the delicate problem of identifying the limit to the right of free speech, also in this case identified in the need for protection of the establishments from expressions of offense and contempt that ends in itself. However, it may be questioned if this criterion effectively allows to distinguish between permitted animated criticism and contempt or if, on the other hand, it is not actually possible to make a clear division. Another issue examined refers to the assessments of the “publicity” requirement of the contempt, which was certainly considered existent because the offensive phrase was published on a social network. However, the solution offered does not consider the peculiarities of Facebook, which provides numerous privacy tools, thanks to which it is possible to share a content only with previously identified people. Finally, the last profile examined concerns the military status of the agent, which requires a more rigorous observance of rules of behaviour than ordinary citizen.

1. La vicenda in commento

Con la sentenza in oggetto, la Corte di Cassazione si è occupata sia dell’individuazione del discrimen tra l’esercizio del diritto di manifestazione del pensiero costituzionalmente garantito dall’art. 21 Cost. e le offese al decoro e al prestigio delle istituzioni, sia delle nuove problematiche sottese alla commissione del reato di vilipendio sul web. Nella vicenda in commento, un tenente di vascello pilota della Marina Militare Italiana aveva condiviso sul proprio profilo Facebook un post, corredato da una fotografia di una nave da guerra, relativo alla notizia di cronaca dell’avvenuta sottoscrizione di un contratto da parte di Fincanteri col quale si era impegnata a costruire sette fregate commissionate dalla Marina indiana, che aveva poi commentato con la frase “Stato di m…”. L’imputato, pertanto, era stato condannato dalla Corte Militare d’Appello di Roma per il reato militare di vilipendio della Repubblica (1) aggravato ai sensi degli artt. 81 e 49 comma 1 n. 2 c.p.m.p (2). La Suprema Corte ha dichiarato inammissibile il ricorso per Cassazione presentato dal militare, nel quale aveva censurato la qualificazione del fatto quale vilipendio ex art. 81 c.p.m.p., la mancata applicazione dell’esimente del diritto di critica e la carenza del requisito della “pubblicità” del commento incriminato nonché dell’accertamento della paternità della frase incriminata, confermando così la condanna inflitta dalla Corte militare d’appello di Roma.

2. Vilipendio della Repubblica o della Nazione?

Il reato militare per il quale l’imputato è stato condannato si differenzia rispetto al corrispondente reato comune di cui all’art. 290 c.p. unicamente per lo “status” di militare del soggetto attivo, motivo per cui viene de (1) «Il militare, che pubblicamente vilipende la Repubblica, le Assemblee legislative o una di queste, ovvero il Governo o la Corte Costituzionale o l’Ordine giudiziario, è punito con la reclusione militare da due a sette anni. La stessa pena si applica al militare che pubblicamente vilipende le Forze armate dello Stato o una parte di esse, o quelle della liberazione». (2) «Oltre le circostanze aggravanti comuni prevedute dal codice penale, aggravano il reato militare, quando non ne sono elementi costitutivi o circostanze aggravanti speciali, le circostanze seguenti: […] 2) l’essere il militare colpevole rivestito di un grado o investito di un comando».

768

DIRITTO DI INTERNET N. 4/2019

finito dalla dottrina come “soggettivamente specializzato” (3). Per quanto concerne l’analisi della condotta criminosa valgono, quindi, le stesse considerazioni relative alla fattispecie comune. Una differenza significativa tra i due delitti, però, è rappresentata dal trattamento sanzionatorio, dato che, a seguito della l. 24 febbraio 2006 n. 85, la pena detentiva precedentemente prevista per il reato di cui all’art. 290 c.p. è stata sostituita dalla pena pecuniaria (4), mentre quella del delitto militare, già più severa, resta la reclusione militare da due a sette anni. Il bene giuridico oggetto di protezione penale dei reati di vilipendio politico, di cui fanno parte, oltre al menzionato delitto di cui all’art. 290 c.p., anche le figure di cui agli artt. 291 (vilipendio alla Nazione italiana) e 292 c.p. (vilipendio della bandiera o altro emblema dello Stato), è il prestigio delle istituzioni, vale a dire l’elevato grado di rispettabilità delle funzioni che le stesse sono chiamate a svolgere (5). Essi furono introdotti già dal codice Zanardelli per punire quei comportamenti che non erano ricompresi nell’oltraggio, nell’ingiuria e nella diffamazione (6) e vennero poi riportati ed ampliati nel codice Rocco del 1930. I corrispondenti reati militari di vilipendio, inoltre, sono posti anche a tutela dello speciale dovere di fedeltà che compete ai militari in quanto tali (7), per cui si spiega la maggiore severità della pena.

(3) Sabino, Dei delitti contro la fedeltà e la difesa militare, in Codici penali militari – rassegna di giurisprudenza e dottrina a cura di Brunelli e Mazzi, Milano, 2001, 212 ss., in specie 214. (4) Così come per i reati di vilipendio di cui agli artt. 291 e 292 c.p. Per un’analisi complessiva della riforma di cui alla l. n. 85 del 2006 v. Padovani, Un intervento normativo scoordinato che investe anche i delitti contro lo Stato, in Guida dir., 2006, 23 ss. (5) Fiandaca – Musco, Diritto penale, PS, vol. I, V ed., Bologna, 2012, 101; Gallo – Musco, Delitti contro l’ordine costituzionale, Bologna, 1984, 129. (6) Ruga Riva, Sub. Art. 290 c.p., in Codice penale commentato a cura di Dolcini e Marinucci, vol. I, IV ed., Milano, 2015, 3101 ss., in specie 3103. V. anche Picotti, Il dolo specifico. Un’indagine sugli “elementi finalistici” delle fattispecie penali, Milano, 1993, 129, secondo cui ciò che differenzia il delitto di vilipendio dall’ingiuria e dall’oltraggio è in realtà la speciale qualità istituzionale o la rilevanza ideologica del soggetto passivo o dell’oggetto materiale del fatto. (7) Celletti, voce Tradimento, in Dig. disc. pen., vol. XIV, Torino, 1999, 317 ss, in specie 318.

GIURISPRUDENZA PENALE La condotta sanzionata dall’art. 81 c.p.m.p., al pari di quella prevista dall’art. 290 c.p., consiste nel “vilipendere” la Repubblica, le Assemblee legislative, il Governo, la Corte costituzionale, l’Ordine giudiziario, le Forze armate dello Stato e quelle della liberazione (8). Con riferimento alla nozione di vilipendio, nel silenzio del testo legislativo la dottrina si è a lungo interrogata su quale potesse essere il suo significato. Tra le varie teorie elaborate nel tempo (9) oggi si afferma generalmente che con il termine vilipendio si debba intendere “tenere a vile”, ovvero negare ogni prestigio e rispetto ad alcunché, manifestare il proprio disprezzo (10). Tale definizione, comunque, è ancora oggi da alcuni autori ritenuta troppo vaga (11), il che renderebbe le fattispecie indicate incostituzionali per contrasto col principio di tassatività (12). Per integrare i reati in esame il vilipendio dev’essere commesso “pubblicamente”. La nozione di pubblicità, che si applica anche a tali fattispecie incriminatrici (13), è quella fornita dall’art. 266 c.p., il cui ultimo comma stabilisce che il reato si considera avvenuto “pubblicamente” quando il fatto è commesso “col mezzo della stampa o con altro mezzo di propaganda, in luogo pubblico o aperto al pubblico e in presenza di più persone o in una riunione che, per il luogo in cui è tenuta o per il numero degli intervenuti o per lo scopo od oggetto di essa, non possa essere definita riunione privata”. Sulla natura giuridica del requisito della pubblicità si sono contrapposte due tesi: per la prima sarebbe condizione obiettiva di punibilità (14), per la seconda, oggi prevalente, è, invece, elemento costitutivo del reato (15). L’elemento soggettivo, infine, è costituito dal dolo generico, ovvero dalla coscienza e volontà di porre in essere atti di vilipendio nelle modalità anzidette, con conseguente irrilevanza dei motivi (16). (8) A seguito della nuova formulazione introdotta dall’art. 1, l. 30 luglio 1975, n. 655. (9) Per una sintesi delle diverse teorie v. Borsari, Sub. Art. 290 c.p., in Commentario breve al codice penale a cura di Forti, Seminara e Zuccalà, VI ed., Padova, 2017, 959 ss., in specie 960. (10) Campisi, I reati di vilipendio, Padova, 1968, 44. (11) Tasconi, voce Vilipendio (reati di), in Enc. giur. Treccani, vol. XXXII, Roma, 1994, 4; Prosdocimi, voce Vilipendio (reati di), in Enc. dir., vol. XLVI, Milano, 1993, 737 ss., in specie 738. (12) Così Fiandaca – Musco, op. cit., 101. (13) Messina, I reati contro la fedeltà e la difesa militare, in Rass. giust. mil., 1987, 181 ss., 197; Celletti, cit., 322. (14) Così Manzini, Trattato di diritto penale italiano, vol. IV, V ed. aggiornata da Nuvolone e Pisapia, Torino, 1981, 572 ss., in specie 589. (15) Sul punto v. Borsari, Sub. Art. 290 c.p., cit., 965. (16) V. Cass. 7 marzo 1979, n. 6144 in Riv. pen., 1979, 917; v. anche Picotti, il dolo specifico, cit., 106, secondo cui non possono essere apportate modifiche o aggiunte alla fattispecie richiedendo uno scopo o impulso

Trattandosi di reati a forma libera (17), possono essere realizzati anche attraverso comunicazioni o trasmissioni telematiche di dati, quindi anche attraverso l’utilizzo dei Social Network, come avvenuto nel caso in esame. Simili a tali reati sono quelli di cui agli artt. 82 c.p.m.p. e 291 c.p., che sanzionano il vilipendio alla Nazione italiana e che si distinguono dai primi unicamente per la diversità del soggetto passivo (18). Distinguere tra le diverse fattispecie, però, può risultare particolarmente difficile nei casi come quello oggetto della sentenza in commento, in cui ad essere stato vilipeso non è stato uno degli istituti costituzionali espressamente menzionati dagli artt. 81 c.p.m.p. e 290 c.p., ma lo “Stato” in generale, concetto che può apparire riconducibile a quello di Nazione. Per questo motivo, nel ricorso presentato innanzi alla Suprema Corte, la difesa dell’imputato aveva sostenuto, in via subordinata, che il reato attribuitogli dovesse essere comunque riqualificato nel diverso reato di vilipendio alla Nazione italiana ex art. 82 c.p.m.p (19), che prevede una pena massima meno elevata, dato che non era stato vilipeso alcuno degli organi indicati dall’art. 81 c.p.m.p. La Suprema Corte, analizzando le diverse fattispecie, ha evidenziato che i reati di vilipendio alla Nazione di cui agli artt. 82 c.p.m.p e 291 c.p. puniscono la condotta di colui il quale offenda «la nazione italiana tutta intera, nell’unità millenaria della stirpe, nell’unità perenne di quel glorioso patrimonio di valori ideali per cui essa vanta, a giusto titolo, fra le altre nazioni, una individualità sua propria» (20), non una determinata istituzione costituzionale. Con l’espressione “Nazione”, in altri termini, la norma intende un’unità etnico-sociale determinata dalla comunione di elementi quali lingua, costumi, storia, religione, tradizioni, che si differenzia dallo Stato perché quest’ultimo costituisce un’entità di natura giuridica e politica (21).

particolari dell’agente qualora il legislatore, nella costruzione della fattispecie, mostri indifferenza per gli stessi. Contra Manzini, op.cit., 590, secondo cui è necessario che sussista anche il “fine di vilipendere”. (17) In tal senso v. Gallo – Musco, op. cit., 133; Tasconi, cit.., 4; Borsari, Sub. Art. 290 c.p., cit., 961; Contra Prosdocimi, cit., 738, secondo cui «non è esatto parlare di fattispecie a forma libera» perché tale reato non ruota soltanto attorno al momento della lesione. (18) v. Borsari, Sub. Art. 291 c.p., in Commentario breve al codice penale a cura di Forti, Seminara e Zuccalà, VI ed., Padova, 2017, 966. (19) «Il militare, che pubblicamente vilipende la nazione italiana, è punito con la reclusione militare da due a cinque anni. Se il fatto è commesso in territorio estero, si applica la reclusione militare da due a sette anni». (20) Così Relazione del Guardasigilli sul Progetto definitivo del codice penale, II, in Lavori preparatori, vol. V, Roma, 1929, 81, disponibile online al sito <https://www.omeka.unito.it/omeka/files/original/426aa934dd6e793c697e6f617172748f.pdf>. (21) Tasconi, op. cit., 5.

DIRITTO DI INTERNET N. 4/2019

769

GIURISPRUDENZA PENALE Pertanto, i giudici di legittimità hanno respinto la tesi difensiva, osservando che il post incriminato, che indirettamente faceva riferimento alla nota vicenda dei Marò italiani arrestati in India, non voleva essere dispregiativo nei confronti di una comunità di individui, bensì verso il «soggetto inquadrabile e riconoscibile proprio in quegli organi indicati dalla lettera dell’art. 81 c.p.m.p., quali, ad esempio, il Governo e le Assemblee legislative». La Suprema Corte, quindi, ha ritenuto che il post incriminato fosse indirizzato ad offendere più istituzioni tra quelle elencate nell’art. 81 c.p.m.p. Nonostante il divieto di analogia in malam partem imponga che siano specificamente vilipese una o più delle istituzioni descritte dalla norma (22), la soluzione adottata appare condivisibile, dato che il messaggio, pur senza nominarli, era diretto agli organi costituzionali. Ai fini dell’integrazione del reato, infatti, non è necessario che i termini “Parlamento”, “Governo”, “Ordine giudiziario” vengano esplicitamente menzionati (23). I giudici di legittimità, inoltre, hanno evidenziato che i giudici di merito avevano correttamente ritenuto sussistente il dolo generico richiesto dalla norma che, come sottolineato dalla giurisprudenza di legittimità, dev’essere ricavato soprattutto dal contenuto dello scritto o delle parole, oltreché dall’idoneità del mezzo utilizzato a manifestare disprezzo (24).

3. Il confine tra vilipendio ed esercizio del diritto di critica

L’introduzione dei delitti di vilipendio politico nel codice penale fu sin da subito contestata (25). Successivamente all’entrata in vigore della Costituzione numerosi autori ne hanno caldeggiato l’abolizione (26), sostenendone l’incostituzionalità sia per il deficit di determinatezza, sia per via dell’indebita limitazione del diritto fondamentale di libertà di manifestazione del proprio

(22) Manera, Osservazioni in tema di vilipendio alle Forze armate, in Giust. pen., 1974, II, 377 ss., 381; Antolisei, Manuale di diritto penale, PS, vol. II, XVI ed. revisionata da Grosso, Milano, 2016, 853. (23) Campisi, op. cit., 44. (24) Cass. 10 giugno 1978, n. 7386, mass., in Commentario breve al codice penale, a cura di Forti e Seminara, XIX ed., Padova, 2019, 1580. V. anche Picotti, Il dolo specifico, cit., 131, che però dubita della legittimità delle semplificazioni probatorie che inducono a ritenere esistente il dolo in re ipsa quando le espressioni siano di chiaro significato offensivo. (25) Per una sintesi delle critiche mosse dalla dottrina fin dall’epoca dell’inserimento degli stessi nel codice Zanardelli v. Fiore, I reati di opinione, Padova, 1972, 28 ss, che evidenzia anche come il successivo inserimento dei delitti di vilipendio nel nuovo codice Rocco fu “relativamente indolore” per la dottrina, poiché la riforma non fece altro che codificare l’orientamento giurisprudenziale dell’epoca, particolarmente severo nell’applicazione di tali delitti. (26) v. in particolare Fiandaca - Musco, cit., 101; Ruga Riva, Sub Art. 290, cit., 3102.

770

DIRITTO DI INTERNET N. 4/2019

pensiero che essi comporterebbero (27). La Corte costituzionale, tuttavia, non ha mai accolto questa tesi, ma ha affermato in più occasioni che tali norme sono compatibili con il dettato costituzionale (28), evidenziando che la libertà di manifestazione del pensiero non è un diritto assoluto, poiché incontra, oltre al limite del buon costume, anche quello della tutela del prestigio delle istituzioni costituzionali, in ragione della natura fondamentale dei compiti loro affidati. Per questo motivo, col tempo l’attenzione della dottrina e della giurisprudenza si è spostata sull’individuazione del limite entro il quale possa ritenersi operante la scriminante del diritto di libera manifestazione del pensiero, oltre il quale si configura il delitto in esame. Sin dalle pronunce più risalenti successive all’entrata in vigore della Costituzione (29), la Cassazione, una volta riconosciuta la diretta applicabilità dell’art. 21 Cost., ha sostenuto che la critica contro le istituzioni, anche se aspra, è consentita finché non assuma il carattere della derisione, del dileggio e del disprezzo e, pertanto, si risolva in un’offesa “grossolana e volgare”. A tale principio fanno riferimento anche le decisioni più recenti, nelle quali la Suprema Corte ha ripetutamente affermato che il discrimen tra il diritto di critica e il delitto di vilipendio è costituito dal gratuito disprezzo e dall’oltraggio fine a se stesso (30), principio al quale anche la sentenza in commento si è uniformata. In questo caso, è indubbio che il commento dell’imputato (“m…”) rappresenti un turpiloquio. Anche se, quindi, (27) In tal senso Bricola, Teoria generale del reato, estr. da Noviss. Dig. it., vol. XIX, Torino, 1973 oggi anche in Id., Scritti di diritto penale, vol. I, a cura di Canestrari e Melchionda, Milano, 1997, 542 ss., in specie 790; Fiore, op. cit., 135 ss.; Gallo – Musco., op. cit., 142; Barile, Il “vilipendio” è da abolire, in Temi, 1969, 540; Pulitanò, Libertà di pensiero e pensieri cattivi, in Quest. giust., 1970, 187; Alesiani, I reati di opinione: una rilettura in chiave costituzionale, Milano, 2006, 280; Fiandaca – Musco, cit., 101. Contra Antolisei, cit., 851, secondo cui «non si vede, una volta concessa alla libertà di manifestare le proprie opinioni la massima espressione sul piano dei contenuti, perché dovrebbero essere consentite forme di manifestazione del tutto abnormi e triviali. Non vorremmo che si confondesse, ancora una volta, la libertà con la licenza»; Campisi, op. cit., 113 ss.; Bognetti, Vilipendio del governo e principi costituzionali di libertà di espressione, in Riv. it. dir. e proc. pen., 1960, 959. Ferrante, Il reato di vilipendio: problemi e falsi problemi, in Giur. merito, 1976, II, 199 ss., in specie 201. (28) V. Corte cost. 30 gennaio 1974, n. 20, in Foro It., 1974, II, 600; conf. la giurisprudenza successiva: Corte cost. 19 giugno 1974, n. 180 e 183; Corte cost. 26 giugno 1975, n. 168. (29) V. ex multis Cass. 6 maggio 1959, in Riv. it. dir. e proc. pen., 1960, 949 s.; Cass. 11 dicembre 1972, in Giust. pen., 1973, II, 422; Cass. 13 maggio 1966, in Mass. Cass. pen., 1967, 289; Cass. 10 maggio 1966 in Mass. Cass. pen., 562. Per un’analisi critica della giurisprudenza degli anni cinquanta v. Fiore, op. cit., 59 ss. (30) V. Cass. 9 marzo 2018, n. 51859, Cass. 26 ottobre 2017, n. 1903; Cass. 13 giugno 2014, n. 36045. Per un caso simile v. Cass. 21 marzo 2013, n. 28730 in Riv. pen., 2013, 907, che ha confermato la condanna per il delitto di vilipendio per l’imputato che aveva pronunciato alla presenza dei Carabinieri la frase: “In questo schifo di Italia di m…”.

GIURISPRUDENZA PENALE questo è collegato ad una notizia di cronaca, condivisibilmente è stato ritenuto un mero “sfogo” offensivo del prestigio delle istituzioni e non critica lecita. Va però osservato che la distinzione tra la critica animosa e l’attacco vilipendioso in realtà non è così netta come potrebbe sembrare, dato che pure l’espressione volgare e sprezzante, anche se si presentasse come l’isolata esplosione di un turbamento emotivo momentaneo, potrebbe essere inquadrata in un più ampio contesto sociale e interpretata come il sintomo di un malcontento più o meno profondo, più o meno diffuso, nei confronti dell’istituto oggetto dell’espressione di disprezzo (31), così, da poter essere qualificata come critica lecita. Non manca, infatti, soprattutto per quanto riguarda il vilipendio del Governo, chi ritiene che la manifestazione del dissenso possa ricomprendere anche manifestazioni di disprezzo rozze o volgari, in alcune occasioni le più idonee, per le caratteristiche culturali dei destinatari, agli scopi politici di chi voglia persuadere altri (32). Risulta impossibile, quindi, per quanti sforzi si possano fare, riuscire a distinguere a priori quali siano le espressioni che fuoriescono dall’ambito del diritto di critica e quelle che, invece, possono essere ricomprese nella sfera applicativa di tale esimente, perché il giudizio dev’essere rapportato al caso concreto (33). Ciò, però, finisce inevitabilmente per creare notevoli disparità di trattamento a seconda della diversa sensibilità dell’interprete, perché la valutazione della qualificazione dell’espressione incriminata è lasciata ad una larga sfera di apprezzamento e discrezionalità del giudice. Per questo motivo, si condivide l’opinione di quegli autori secondo cui il reato di vilipendio dovrebbe essere abolito o quantomeno riformato: il deficit di tassatività e determinatezza della norma, infatti, è evidente, poiché il giudizio sulla continenza dell’espressione utilizzata è necessariamente rimesso alla prudente valutazione del giudice. Diviene difficile, se non impossibile, stabilire a priori quali espressioni siano vietate e quali, invece, consentite, e, quindi, determinarsi secondo il precetto. Inoltre, risulta evidente il contrasto col principio di prevedibilità della decisione, che costituisce corollario del (31) Così Bognetti, cit., 956. (32) Gallo – Musco, op. cit., 140 ss.; Fiore, op. cit., 116. (33) In tal senso già Cass. S.U. 18 novembre 1958, in Giust. pen., 1959, II, 999, secondo cui l’esigenza di bilanciamento tra libera manifestazione del pensiero e norme penali dev’essere rimessa alla discrezionalità del giudice; di recente anche Cass. S.U. 22 luglio 2019, n. 19681 in Osservatorio sulla @ Privacy e Garante per Protezione dei dati personali e sulla privacy di Bruno Inzitari con Valentina Piccinini, in questa Rivista, all’indirizzo <https://dirittodiinternet.it/privacy/>, che, in materia di bilanciamento dei diritti fondamentali, in particolare per quanto riguarda i rapporti tra il diritto di cronaca e il diritto all’oblio, ha evidenziato che non è possibile stabilire a priori quale dei due debba prevalere, ma si deve necessariamente lasciare che i giudici di merito valutino caso per caso.

più ampio principio di certezza del diritto e che trova il suo fondamento negli artt. 25, 27 e 3 Cost. nonché nell’art. 7 CEDU, secondo il quale il soggetto dev’essere messo in condizione di poter conoscere se la sua condotta sarà considerata illecita, se, oltre che genericamente illecita sarà altresì considerata penalmente rilevante, e, infine, quale pena dovrà scontare nell’ipotesi in cui venga sottoposto a processo (34).

4. Il vilipendio e i Social Network: riflessioni sulla sussistenza del requisito della pubblicità e sull’accertamento della paternità del messaggio incriminato

Ulteriore profilo di interesse della sentenza in commento è che il reato di vilipendio sia stato commesso online attraverso l’utilizzo di una bacheca Facebook. Come sopra accennato, il reato di vilipendio viene in rilievo solo quando è stato commesso “pubblicamente”, ovvero nei modi indicati all’art. 266 comma 4 c.p. (35), che al n. 1 fa riferimento ad ogni “altro mezzo di propaganda”. Tale concetto è simile a quello di “qualsiasi altro mezzo di pubblicità” di cui all’art. 595 comma 3 c.p., nel quale si ritiene certamente possa essere ricompreso anche Internet, mezzo per sua natura accessibile ad una pluralità indeterminata di utenti (36). In questo caso, quindi, richiamandosi ai propri precedenti giurisprudenziali in materia di diffamazione (37), la Corte ha ritenuto sussistente il requisito della pubblicità per essere stata la frase oltraggiosa diffusa attraverso l’uso di una bacheca Facebook, piattaforma che notoriamente consente la divulgazione di messaggi destinati ad un numero indeterminato di persone (38). L’automatismo col quale è stato ribadito che la bacheca personale di un Social Network ha in ogni caso la natura di “mezzo di pubblicità” suscita però qualche perplessità. Infatti, nonostante sia indubbio che un post su Facebook possa potenzialmente essere letto da una platea vastissima di soggetti, va osservato che gli utenti hanno a loro disposizione diverse opzioni per definire l’ambito di riservatezza delle loro comunicazioni ed informazioni, che (34) Sul punto v. Viganò, Il principio di prevedibilità della decisione giudiziale in materia penale, in Dir. pen. cont., all’indirizzo <https://www.penalecontemporaneo.it/>. (35) Sabino, op. cit., 214. (36) Così Picotti, Profili penali delle comunicazioni illecite via Internet, in Dir. inform., 1999, 283 ss., in specie 315 s., che evidenzia come la locuzione utilizzata dal legislatore non richieda che la condotta debba necessariamente svolgersi in un determinato contesto spaziale. (37) Cft. Cass. 8 giugno 2015, n.24431; più di recente in senso conforme v. anche Cass. 1 febbraio 2017, n. 4873, in Riv. pen., 2018, 171 ss. con nota di Pisconti. (38) Picotti, I diritti fondamentali nell’uso ed abuso dei Social Network. Aspetti penali, in Giur. merito, 2012, 2522 ss.

DIRITTO DI INTERNET N. 4/2019

771

GIURISPRUDENZA PENALE spesso utilizzano, per rendere la loro bacheca accessibile solo a determinati utenti (i c.d. amici) o, addirittura, restringere ulteriormente l’accesso scegliendo quali tra gli “amici” possano visualizzare il contenuto di alcuni post. Per questo motivo, alcuni autori non condividono la presunzione di natura di “mezzo di pubblicità” che la Suprema Corte attribuisce alla bacheca Facebook, sottolineando che qualora il profilo personale e i contenuti ivi caricati siano visualizzabili esclusivamente da una cerchia di destinatari predeterminati non si possa essere in presenza di un mezzo di diffusione al pubblico, perché, per quanto i destinatari possano essere numerosi, rimangono comunque sempre previamente determinati o determinabili (39). Sulla base di tale osservazione, quindi, ritengono che il giudice debba verificare se il fatto sia avvenuto “pubblicamente” o “privatamente”, ovvero se lo spazio utilizzato fosse di dominio pubblico o meno, e che solo nel primo caso la diffamazione commessa mediante Social Network potrebbe essere qualificata dall’uso di un “mezzo di pubblicità” (40). Tali considerazioni appaiono senz’altro condivisibili, perché tengono in debita considerazione le peculiarità del mezzo Facebook, che si distingue nettamente dal periodico online, dal blog o dai newsgroups, ai quali spesso è erroneamente equiparato. Pertanto, con riferimento alla sentenza in esame, l’aspetto relativo all’accessibilità della bacheca dell’imputato ove è stato pubblicato il post incriminato avrebbe meritato un approfondimento maggiore, soprattutto se si considera che, a differenza della diffamazione, in cui è una mera circostanza aggravante, il requisito della pubblicità costituisce elemento costitutivo del reato di vilipendio (41). La Suprema Corte, inoltre, riprendendo quanto già statuito nell’impugnata sentenza della Corte Militare d’Appello di Roma, ha ritenuto che per la sussistenza di quest’ultimo elemento sia sufficiente la mera diffusione del messaggio sul Social Network, mentre non rileverebbe il numero di visualizzazioni o interazioni che il post ha effettivamente avuto (42). Tuttavia, anche se è (39) Lasalvia, La diffamazione via web nell’epoca dei social network, in Cybercrime, diretto da Cadoppi, Canestrari, Manna e Papa, Torino, 2019, 331 ss., in specie 346 ss; Corrias Lucente, La diffamazione a mezzo Facebook, in MediaLaws, all’indirizzo < www.medialaws.eu >; Minasola, Blogging e diffamazione: responsabilità dell’amministratore del sito per i commenti dei lettori, in Arch. pen. (online), 2013, 5. In giurisprudenza v. Trib. Gela 23 novembre 2011, n. 550, in Riv. pen., 2012, 440 ss., che tuttavia è rimasta isolata. (40) Lasalvia, op. cit., 348 s. (41) V. Picotti, Il dolo specifico, cit., 129 s., secondo cui è proprio tale requisito che connota il disvalore del fatto e determina la violazione oggettiva del «Rafforzato e particolare rapporto di riconoscimento e rispetto nei confronti di quel particolare soggetto passivo». (42) V. T.S.M. 21 luglio 1955, in Mass. TSM, II, 943; T.S.M., 28 marzo 1965, in Mass. TSM, II, 943; T.S.M. 18 giugno 1968, Mass. TSM, II, 944;

772

DIRITTO DI INTERNET N. 4/2019

certamente vero che un contenuto caricato su Internet è inevitabilmente destinato ad essere percepito da almeno due destinatari, poiché le ipotesi del sito inesplorato o del post su un Social Network non visualizzato sono altamente improbabili se non addirittura impossibili (43), ciò non significa necessariamente che l’autore del messaggio oltraggioso volesse consapevolmente renderlo conoscibile ad un numero indeterminato di persone e non, invece, solo a soggetti da lui previamente individuati e autorizzati ad accedere a detto contenuto. Se, infatti, come da prevalente opinione, il requisito della pubblicità è elemento costitutivo del reato di vilipendio, e non condizione obiettiva di punibilità, anche esso deve essere oggetto del dolo (44), che si ritiene possa essere escluso nel caso in cui il post fosse destinato soltanto ad alcuni “amici” e non reso visibile a qualsiasi utente in possesso di un profilo Facebook (45). Per questo motivo, quindi, si ritiene che un’ulteriore verifica in merito ai destinatari cui il soggetto voleva indirizzare o rendere accessibile il suddetto messaggio sarebbe stata opportuna, anche ai fini dell’accertamento della sussistenza dell’elemento soggettivo del reato contestato all’imputato. Nel ricorso, l’imputato ha altresì sostenuto che non fosse stata raggiunta la prova della paternità della frase incriminata. Come spesso accade per i reati di diffamazione commessi online, infatti, uno dei problemi principali è proprio la riconducibilità ad una data persona del messaggio incriminato, dato che su Internet, ove l’anonimato costituisce condizione giuridica “normale” (46), cambiare o acquisire un’identità nuova o altrui anche per scopi illeciti è estremamente facile. Per questo motivo, la prima difesa è proprio quella di sostenere l’assenza di prova della riconducibilità della dichiarazione offensiva all’imputato, che però spesso si rivela infondata, anche senza che sia necessario effettuare particolari indagini tecniche (47). Nel caso in esame, la Suprema

T.S.M. 20 febbraio 1976, in Rass. giust. mil. 1976, 309, secondo cui è sussistente il requisito della pubblicità qualora vi sia la mera possibilità che, per le modalità dell’azione, il fatto venga a conoscenza di un numero indeterminato di persone, indipendentemente dall’effettiva e concreta avvenuta conoscenza del fatto. Sul punto v. anche Messina, op. cit., 197 s. (43) Cft. Cass. 22 gennaio 2014, n. 16712, secondo la quale, a causa dell’inevitabile diffusione che il mezzo Internet consente, la divulgazione del messaggio diffamatorio dev’essere presunta e non oggetto di prova. (44) Gallo – Musco, op. cit., 133; Antolisei, cit., 854. (45) In tal senso v. Corte mil. App. Roma 7 luglio 1982, in Rass. giust. mil., 1983, 296, secondo la quale il dolo richiesto dall’art. 81 c.p.m.p. dev’essere escluso ogniqualvolta l’elemento della pubblicità sia estraneo alla rappresentazione dell’agente. (46) Finocchiaro G., Conclusioni, in Id. (a cura di), Diritto all’anonimato, Padova, 2008, 411 ss., in specie 414. (47) Così anche Melzi D’Eril, In tema di diffamazione via Facebook, in Dir. pen. cont., all’indirizzo <https://www.penalecontemporaneo.it/>.

GIURISPRUDENZA PENALE Corte ha valorizzato i plurimi elementi indizianti dai quali ben si poteva ritenere che l’imputato fosse oltre ogni ragionevole dubbio l’autore della frase incriminata, tra cui la dimostrazione che aveva in uso il profilo sul quale era presente il post oltraggioso, poiché dall’istruttoria era emerso che l’uomo, in passato, aveva rimosso, su richiesta di un collega, una fotografia di quest’ultimo pubblicata proprio su quel profilo, e il fatto che non avesse sostenuto la tesi di un avvenuto accesso abusivo sin dal momento della contestazione del reato (48). La doglianza dell’imputato, dunque, è stata ritenuta priva di concreto riscontro.

5. Considerazioni conclusive: la qualifica di militare del soggetto attivo

Al termine della lettura della sentenza in commento sorge spontaneo un interrogativo: è giustificato punire la condotta dell’imputato con una sanzione penale così afflittiva, ovvero un anno e quattro mesi di reclusione militare? Frasi o espressioni di analogo tenore, se non peggiore, infatti, si trovano su centinaia di bacheche Facebook e sicuramente nel web ci si è imbattuti almeno una volta in una di esse, anche solo tra i commenti di un articolo di cronaca. Anzi, le critiche aspre, che spesso sfociano nel turpiloquio, rivolte agli istituti elencati dall’art. 290 c.p. sono talmente diffuse sui social media, ed a volte pronunciate anche dagli stessi membri del Parlamento, che oramai ci si indigna più per la sanzione eventualmente comminata che per l’espressione in sé. Al di là delle valutazioni sull’opportunità di mantenere in vigore le fattispecie di vilipendio, si ritiene che al vilipendio ex art. 290 c.p., in quanto punito con la sola pena pecuniaria, possa essere applicato l’istituto della non punibilità per particolare tenuità del fatto di cui all’art. 131-bis c.p., che, a seguito dell’intervento delle Sezioni Unite (49), oggi si ritiene pacificamente applicabile a qualsiasi tipo di reato che rientri nell’ambito definito testualmente dalla predetta disposizione, poiché per qualsiasi reato è possibile graduarne la gravità in relazione alle “modalità della condotta” oltre che all’ “esiguità del danno o del pericolo”. Ma la pena massima prevista per il reato militare di cui all’art. 81 c.p.m.p.

(48) In senso conforme v. Cass. 9 maggio 2018, n. 20485, secondo cui tra gli elementi valorizzabili ai fini della responsabilità penale per accesso abusivo a sistema informatico vi è proprio il fatto che l’imputato non abbia, a sua volta, denunciato l’abusivo accesso all’indirizzo IP associato all’utenza domestica, o comprovato una potenza della banda router Wi-Fi in suo uso tale da poter essere intercettata dall’esterno, nonostante la protezione della connessione attraverso apposita password. (49) Cass. S.U. 25 febbraio 2016, n. 13681.

preclude edittalmente l’applicazione dell’istituto della non punibilità per particolare tenuità (50). Nel caso in esame il soggetto attivo rivestiva la qualifica di appartenente alle forze armate, più precisamente il grado di Ufficiale. Per questo motivo, quindi, la Suprema Corte si è dimostrata più rigorosa nelle sue valutazioni in merito al disvalore complessivo della condotta dell’imputato. La giurisprudenza costituzionale ritiene che in materia penale sia giustificata la diversità di trattamento riservata al cittadino inserito nell’ordinamento militare, caratterizzato da specifiche regole di natura cogente, rispetto a quello comune (51). Data la peculiarità del ruolo rivestito dal soggetto agente, infatti, si reputa ragionevole imporre al militare una più rigorosa osservanza di regole di comportamento, anche relative al comune senso civico (52), quali quella di non recare offesa all’onore o al decoro di altri soggetti o delle istituzioni, specialmente se, come nel caso in esame, rivestono un grado o sono investiti di un comando. Condivisibilmente, dunque, i giudici di legittimità hanno ritenuto che la condotta dell’imputato fosse connotata da un disvalore tale da integrare gli estremi del delitto contestato. Tuttavia, anche ove si consideri ragionevole la diversità di trattamento tra militari e civili con riguardo al vilipendio, la sproporzione tra le pene previste per i reati di cui agli artt. 81 e 82 c.p.m.p., vale a dire la pena detentiva che parte da un minimo di due anni, e quella prevista per i corrispondenti reati comuni, che, in seguito alla modifica legislativa ad opera della l. n. 85 del 2006, è solo pecuniaria, appare eccessiva ed irragionevole (53). Il divario sanzionatorio tra le due fattispecie, infatti, è talmente ampio che si pone in contrasto con il principio di ragionevolezza di cui all’art. 3 Cost.: anche se la particolare qualifica del soggetto agente giustifica una pena differente, l’asimmetria è enorme e in tal modo si realizza un’ingiustificata discriminazione sanzionatoria. È altresì evidente la violazione del principio di proporzionalità della pena di cui agli artt. 3 e 27 Cost. e art. 49 comma 3 della Carta di Nizza, dato che, prendendo a riferimento un tertium compartionis, la stessa appare sproporzionata rispetto al disvalore del fatto: basti pensare che il vilipendio ex art. 81 c.p.m.p. è punito molto più severamente rispetto al cagionare una lesione personale

(50) Istituto che la giurisprudenza di legittimità ritiene applicabile anche ai reati militari, in tal senso v. Cass. 20 giugno 2017, n. 30694. (51) V. Corte Cost. 8 giugno 2001, n. 186 e Corte Cost., 20 dicembre 2000, n. 562. (52) Così Corte Cost. 12 ottobre 2017, n. 215. (53) In tal senso anche Brunelli – Mazzi, Diritto penale militare, Milano, 2007, 214.

DIRITTO DI INTERNET N. 4/2019

773

GIURISPRUDENZA PENALE ad altro militare (54). Per questo motivo, si ritiene che un intervento del legislatore sul punto sarebbe senz’altro opportuno.

(54) L’art. 223 c.p.m.p., infatti, punisce con la reclusione militare da due mesi a due anni il militare che cagiona ad altro militare una lesione personale lieve.

774

DIRITTO DI INTERNET N. 4/2019

GIURISPRUDENZA PENALE

Adeguatezza e proporzionalità nel sequestro di un sistema informatico Corte (diff.).

C assazione ; sezione VI; sentenza 2 luglio 2019, n. 31593; Pres. Mogini; Rel. Aprile; P.M. Pinelli

È illegittimo, per violazione del principio di proporzionalità ed adeguatezza, il sequestro a fini probatori di un sistema informatico, quale è un personal computer, che conduca, in difetto di specifiche ragioni, ad una indiscriminata apprensione di tutte le informazioni ivi contenute.

…Omissis… Ritenuto in fatto e considerato in diritto 1. Con ordinanza […] il Tribunale di Roma, adito ai sensi degli artt. 257 e 324 cod. proc. pen., confermava il decreto del 22/01/2019 con il quale il Pubblico Ministero presso quel Tribunale aveva disposto, unitamente alla perquisizione in una serie di immobili, il sequestro di documenti, manoscritti, comunicazioni, anche contenuti in supporti informatici, telefoni cellulari, dispositivi elettronici, tablet, pc e simili, concernenti i rapporti e gli accordi tra …Omissis…, sottoposti ad indagini per il reato di falsa testimonianza commesso mediante le deposizioni dagli stessi rese quali testi nel giudizio dibattimentale in corso di svolgimento a carico di ed altri, imputati in relazione al reato di corruzione in atti giudiziari in concorso con …Omissis…, giudice della Commissione tributaria regionale. Rilevava il Tribunale come gli elementi a disposizione avessero dimostrato la sussistenza della astratta configurabilità dei delitti innanzi indicati; come i beni elencati nel decreto di sequestro impugnato ben potessero tutti considerarsi cose pertinenti agli illeciti oggetto di investigazioni; e come la disposta misura di ricerca della prova potesse considerarsi adeguata e proporzionata rispetto alle finalità perseguite. 2. Avverso tale ordinanza ha presentato ricorso …Omissis… quale legale rappresentante delle società …Omissis…, con atto sottoscritto dal suo difensore …Omissis…, il quale ha dedotto i seguenti tre motivi. 2.1. Violazione di legge, per avere il Tribunale di Roma confermato l’indicato decreto di sequestro probatorio benché nella motivazione dello stesso non fossero state affatto indicate le ragioni per cui presso le sedi delle suddette società potevano trovarsi cose pertinenti ai reati per i quali si procede: misura, dunque, che era stata adottata con finalità puramente esplorative, senza il rispetto dei canoni di adeguatezza e proporzionalità, in assenza di qualsivoglia collegamento tra i reati presupposto ed i beni appartenenti a soggetti terzi, in specie i computer di proprietà di quelle imprese collettive, com-

presi un pc e un hard disk appartenenti a soggetti diversi da …Omissis… 2.2. Violazione di legge, per avere il Tribunale del riesame confermato il primigenio provvedimento di sequestro probatorio, benché nello stesso non fosse stato menzionato alcun elemento da cui poter desumere l’esistenza di un rapporto di pertinenzialità tra i reati di falsa testimonianza, oggetto di indagini, e le attività delle considerate società commerciali, con apprensione indiscriminata dell’intero materiale presente nei supporti informatici rinvenuti. …Omissis… 3. Avverso la medesima ordinanza hanno presentato ricorso anche …Omissis…, con atto sottoscritto dal loro difensore …Omissis…, i quali hanno dedotto i seguenti due motivi. …Omissis… 3.2. Violazione di legge, per avere il giudice della impugnazione confermato l’originario decreto di sequestro probatorio, benché nello stesso non fosse stato menzionato alcun elemento da cui poter desumere l’esistenza di un rapporto di pertinenzialità tra i reati di falsa testimonianza, oggetto di indagini, ed il materiale informatico oggetto di apprensione, senza alcuna previa verifica del relativo contenuto. …Omissis… 4. Ritiene la Corte che i ricorsi siano fondati, sia pure nei limiti di seguito precisati. …Omissis… 4.4. Sono […] fondati il primo e il secondo motivo del ricorso a firma dell’avv. …Omissis… e il collegato secondo motivo del ricorso a forma dell’avv. …Omissis… nella parte in cui è stata lamentata una lesione dei criteri di adeguatezza e proporzionalità nella adozione ed esecuzione del provvedimento di sequestro di materiale informatico. Costituisce espressione di un sufficientemente consolidato orientamento di questa Corte il principio secondo il quale è illegittimo, per violazione del principio di proporzionalità ed adeguatezza, il sequestro a fini probatori

DIRITTO DI INTERNET N. 4/2019

775

GIURISPRUDENZA PENALE di un sistema informatico, quale è un personal computer, che conduca, in difetto di specifiche ragioni, ad una indiscriminata apprensione di tutte le informazioni ivi contenute (così Sez. 6, n. 24617 del 24/02/2015, Rizzo, Rv. 264092). In particolare, si è spiegato quali siano le modalità per procedere all’acquisizione del contenuto di un sistema informatico laddove esso abbia un contenuto più ampio rispetto a singoli dati o documenti cercati a fini di prova, posto che “anche un singolo computer ad uso personale non può essere equiparato ad un documento o ad un gruppo di documenti ma, e si tratta di fatto di comune conoscenza, ad un intero archivio o deposito o libreria in senso fisico, tenuto conto delle sue enormi potenzialità di archiviazione di grandi masse di dati”. Ed infatti, tenuto a mente che il principio di proporzionalità, previsto espressamente dall’art. 275 cod. proc. pen. per le misure cautelari personali, è operante anche per le misure reali, si è detto che “il codice di procedura, all’esito della riforma della legge 48/2008, in tema di criminalità informatica, è oggi esplicito nell’escludere che, di norma, possa ipotizzarsi un sequestro di interi sistemi informatici (...). Il computer deve essere sottoposto ad una perquisizione mirata al cui esito potrà sequestrarsi quanto di rilievo del suo contenuto, non potendosi quindi ritenere legittima, se non accompagnata da specifiche ragioni, una indiscriminata acquisizione dell’intero (contenuto del) sistema informatico: difatti, secondo il comma 1-bis dell’art. 247, introdotto dalla citata legge, ‘quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico,... ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati...’. Simile anche il nuovo comma 1-bis dell’art. 352 (...). Tali disposizioni sono esplicite nello stabilire che, di regola, non può procedersi al sequestro del computer in quanto tale perché la legge chiaramente ha distinto il singolo documento informatico dalla massa di informazioni che un sistema informatico/telematico è destinato a contenere. Ciò, ovviamente, non esclude che a determinate e giustificate condizioni possa essere disposto un sequestro esteso all’intero sistema – così come, se vi sono particolari ragioni, è possibile il sequestro della totalità delle cartelle

776

DIRITTO DI INTERNET N. 4/2019

cliniche cartacee di un ospedale pur se solo alcune siano di interesse – se ciò è proporzionato rispetto alle esigenze probatorie o per altro motivo venga in questione l’intero sistema (si pensi ad un computer utilizzato per la gestione di duplicazione abusiva di supporti audiovisivi o di un computer destinato alla archiviazione di materiale illecito) né esclude, se necessario, il trasferimento fisico dell’apparecchio per poi procedere a perquisizione in luogo e con modalità più convenienti, anche per la necessaria disponibilità di personale tecnico per superare le protezioni del sistema dagli accessi di terzi (in modo, quindi, non dissimile da come può essere sequestrata una intera unità immobiliare in attesa delle condizioni tecniche per una adeguata perquisizione e l’apertura di un vano protetto). Quello che è il fondamentale significato delle disposizioni sopra citate è che non è possibile acquisire in modo indiscriminato un intero archivio elettronico, sol perché è facile l’accesso, l’effettuazione di copia ed il trasferimento fisico rispetto alla massa di documenti cartacei corrispondenti, pur in assenza di qualsiasi correlazione specifica con le indagini”. Ora, a fronte della specifica doglianza formulata dagli interessati con la richiesta di riesame, il Tribunale di Roma ha risposto senza attenersi alla innanzi indicata regula iuris, avendo sostenuto che il tema della mancata previa effettuazione, da parte della polizia giudiziaria, di una preventiva perquisizione informatica è problema che attiene “alla fase esecutiva del sequestro, censurabile in altra sede (...), avendo il PM disposto, per quanto riguarda pc e server, laddove possibile, l’estrapolazione dei dati di interesse ed eventualmente la clonazione dei dispositivi con restituzione dei medesimi alla parte al termine delle operazioni”. Motivazione, questa, che oltre a ‘tradire’ una confusione tra dati informatici da acquisire e dati informatici ‘clonati’, non appare affatto confacente rispetto ai criteri ermeneutici fissati in materia dalla giurisprudenza di legittimità. Ne consegue l’annullamento dell’ordinanza gravata con rinvio al Tribunale di Roma che, nel nuovo esame, si atterrà ai principi di diritto sopra enunciati. P.Q.M. Annulla il provvedimento impugnato e rinvia per nuovo esame al Tribunale di Roma. Così deciso il 02/07/2019.

GIURISPRUDENZA PENALE

IL COMMENTO di Marco Pittiruti

Sommario: 1. Indagine informatica ed inquisitio generalis. – 2. L’oggetto del sequestro informatico – 3. Le modalità operative di ablazione del dato digitale. La Corte di Cassazione torna a precisare i confini operativi del sequestro probatorio di materiale informatico, mettendone in luce il doveroso rispetto dei criteri di adeguatezza e proporzionalità. Nel dichiarare illegittimo il provvedimento ablativo di un intero sistema informatico, cui consegue l’indiscriminata apprensione di tutte le informazioni ivi contenute, i giudici di legittimità offrono una condivisibile ricostruzione sistematica delle attività acquisitive della prova digitale, delineando una scansione procedimentale bifasica nella quale le attività di perquisizione e sequestro informatici sono logicamente e cronologicamente distinte. The Court of Cassation specifies the operational boundaries of the seizure of digital data, highlighting the required compliance with the criteria of adequacy and proportionality. By declaring unlawful the seizure of an entire computer system (in the specific case, a personal computer) that results in an indiscriminate apprehension of all the information contained therein, the Court offers a correct systematic reconstruction of the acquisitive activities of the digital evidence, outlining a biphasic procedural scan in which the activities of computer search and computer seizure are logically and chronologically distinct.

1. Indagine informatica ed inquisitio generalis

La sentenza annotata ripropone il tema, per certi versi ormai “classico” nella letteratura concernente l’acquisizione di prove digitali (1), dei limiti al sequestro probatorio di materiale informatico. Nel caso di specie, la Corte di Cassazione veniva sollecitata dal ricorrente a verificare la legittimità di un decreto di perquisizione e sequestro omnibus emesso dal pubblico ministero, avente ad oggetto qualsiasi documento, manoscritto o comunicazione contenuto nella strumentazione informatica in uso al target dell’attività investigativa e latu sensu attinente all’ipotesi delittuosa per cui si procedeva; in assenza, dunque, di alcuna specifica indicazione circa gli elementi probatori da ricercare. Va detto subito che, seppure la sentenza non presenti particolari profili di novità quanto al principio di diritto espresso (2), essa appare nondimeno significativa nella misura in cui eleva a princìpi cardine del sistema i criteri di proporzionalità ed adeguatezza del provvedimento ablatorio in tema di digital evidence. Come noto, nell’era digitale, ogni sistema informatico è in grado di memorizzare una quantità smisurata di

(1) V., ex multis, Aprile, Sequestro del computer di un giornalista, clonazione della relativa memoria e tutela del segreto professionale, in Dir. internet, 2007, 587 ss.; Cerqua, Ancora dubbi e incertezze sull’acquisizione della corrispondenza elettronica, in <www.penalecontemporaneo.it>, 23 luglio 2015; Chelo Manchia, Sequestro probatorio di computers: un provvedimento superato dalla tecnologia?, in Cass. pen., 2005, 1634 ss.; Lorusso, Sequestro probatorio e tutela del segreto giornalistico, in Giur. it., 2015, 1504 ss.; Marafioti, Digital evidence e processo penale, in Cass. pen., 2011, 4509 ss.; Monti, No ai sequestri indiscriminati di computer, in Dir. internet, 2007, 268 ss.; Troisi, Sequestro probatorio del computer e segreto giornalistico, in Dir. pen. proc., 2008, 770. Cfr. anche, volendo, Pittiruti, Digital Evidence e procedimento penale, Torino, 2017, 33 ss. (2) V. Cass., Sez. VI, 24 febbraio 2015, Rizzo, in C.E.D. Cass., rv. 264093.

dati. Mediante l’accesso al sistema, dunque, gli inquirenti vengono a contatto con una messe sterminata di informazioni, ivi inclusi dati cancellati dall’utilizzatore, ai quali nemmeno questi potrebbe, senza l’ausilio di una strumentazione complessa, risalire. Di qui, il tangibile pericolo che i mezzi di ricerca della prova digitale si trasformino in un viatico per indebite forme di inquisitio generalis svincolate dalla notitia criminis (3). Per fronteggiare tale rischio, il legislatore ha consentito, con le interpolazioni operate dalla L. 48/2008 (4), la perquisizione informatica soltanto previa individuazione di un thema probandum e, dunque, di una specifica ipotesi criminosa. La conferma di quest’assunto si rinviene nella lettera dell’art. 247-bis c.p.p., che identifica le res da ricercare in «dati, informazioni, programmi informatici o tracce comunque pertinenti al reato» (5). La conseguenza di maggior rilievo desumibile dalla disposizione in parola è la netta distinzione tra sistema (3) Cfr. Paulesu, Notizia di reato e scenari investigativi complessi: contrasto alla criminalità organizzata, operazioni «sotto copertura», captazione di dati digitali, in Riv. dir. proc., 2010, 801-802; nella dottrina nordamericana v. Trepel, Digital Searches, General Warrants, and the Case for the Courts, in 10 Yale J. L. & Tech., 2007, 120 ss. (4) Per una compiuta analisi dei riflessi processuali della L. 48/2008, si veda, per tutti, Lupária, La ratifica della Convenzione Cybercrime del Consiglio d’Europa. I profili processuali, in Dir. pen. proc., 2008, 717 ss., nonché Id. (a cura di), Sistema penale e criminalità informatica. Profili sostanziali e processuali nella Legge attuativa della Convenzione di Budapest sul Cybercrime (l. 18 marzo 2008, n. 48), Milano, 2009, 113 ss. Con specifico riferimento alla perquisizione informatica, v. Felicioni, Le ispezioni e le perquisizioni, Milano, 2012, 233 ss.; Molinari, Questioni in tema di perquisizione e sequestro di materiale informatico, in Cass. pen., 2012, 696 ss.; Signorato, Le indagini digitali. Profili strutturali di una metamorfosi investigativa, Torino, 2018, 210 ss. (5) In questo senso, sia pure con riferimento all’art. 247, comma 1, c.p.p., Potetti, Attività del p.m. diretta all’acquisizione della notizia di reato e ricerca della prova, in Cass. pen., 1995, 136.

DIRITTO DI INTERNET N. 4/2019

777

GIURISPRUDENZA PENALE informatico al cui interno si svolge l’attività di ricerca ed il singolo dato digitale oggetto di apprensione. Soltanto quest’ultimo, invero, dovrà essere sottoposto a sequestro ai sensi dell’art. 253 c.p.p. Ne consegue, quale corollario, la necessità che il decreto di perquisizione dei dati contenuti nel sistema informatico individui, perlomeno nelle linee essenziali, gli oggetti da ricercare, così che il mezzo di ricerca della prova non sia eseguito sulla scorta di mere congetture (6). In quest’ottica, già anteriormente alle interpolazioni della L. 48/2008, si era sostenuto che, «laddove non sia l’hard disk in quanto tale a venire in rilievo quale corpo del reato o cosa pertinente al reato, ma vi sia il fondato motivo di rinvenire, al suo interno, dati necessari per l’accertamento del fatto, allora il sequestro deve essere preceduto da un’attività mirata a verificare [...] se siano presenti le informazioni ricercate, per poi acquisire unicamente queste ultime [...]» (7). Proprio questo è il percorso oggi disegnato dagli artt. 352, comma 1-bis, nonché 354, comma 2, c.p.p. per le indagini informatiche urgenti (8). Invero, nella flagranza di reato ovvero al momento di procedere all’esecuzione di una ordinanza che dispone la custodia cautelare in carcere o di un ordine di carcerazione per uno dei delitti di cui all’art. 380 c.p.p., oppure, ancora, laddove occorra procedere al fermo di una persona indiziata di delitto, gli ufficiali giudiziari procedono alla perquisizione di sistemi informatici o telematici, laddove vi è fondato motivo di ritenere che essi contengano dati, informazioni, programmi informatici o tracce comunque pertinenti al reato a rischio di cancellazione o di dispersione. Chiaro il significato della disposizione de qua: stante il rischio di smarrimento dei dati – per certi versi connaturato ad ogni dato digitale, in ragione della sua volatilità – si propende per una analisi in tempo reale del sistema da parte degli inquirenti. Una volta individuati i dati, le informazioni o i programmi informatici di interesse, l’art. 354 c.p.p. prevede, specularmente, che gli stessi debbano essere immediatamente duplicati su adeguati supporti, assicurando la conformità del duplicato all’originale e la sua immodificabilità. Analoghe considerazioni possono svolgersi con riferimento all’ipotesi di perquisizione informatica disposta dall’autorità giudiziaria e disciplinata dall’art. 247 c.p.p. Oggetto dell’attività investigativa in parola è, come (6) In questi termini, proprio con riferimento ad un’ipotesi di indagini “esplorative” su un personal computer, Cass., Sez. I, 16 febbraio 2007, Pomarici, in Dir. internet, 2007, 585 ss. (7) Così Troisi, Sequestro probatorio del computer e segreto giornalistico, cit., 770. (8) In tema, cfr. Lorenzetto, Le attività urgenti di investigazione informatica e telematica, in Lupária (a cura di), Sistema penale e criminalità informatica, cit., 135 ss.

778

DIRITTO DI INTERNET N. 4/2019

emerge chiaramente dalla lettera della disposizione, il sistema informatico o telematico; le ricerche operate sulla strumentazione sono propedeutiche alla successiva acquisizione della res (digitale) costituente corpo del reato o cosa pertinente al reato contenuta al suo interno.

2. L’oggetto del sequestro informatico

La sentenza annotata aderisce all’orientamento, ormai prevalente in sede di legittimità (9), che correttamente individua la res oggetto del provvedimento ablativo nel singolo (o nei singoli) file ricercati dagli inquirenti. Non è, però, una conclusione scontata, quanto piuttosto il frutto di un tortuoso percorso giurisprudenziale e normativo. Nel peculiare contesto delle indagini digitali, la complessità del procedimento individuazione del bene da sottrarre alla libera disponibilità di chi lo detiene traspariva già dall’art. 19 della Convenzione di Budapest, il quale stabiliva la possibilità, per le «autorità competenti» degli Stati aderenti, di «sequestrare o acquisire in modo simile un sistema informatico o parte di esso o un supporto per la conservazione di dati informatici» (lett. a), nonché di «fare e trattenere una copia di quei dati informatici» (lett. b). Tale disposizione enucleava le due fondamentali ipotesi di sequestro di materiale digitale: l’una, relativa al contenitore del dato (un sistema informatico o un supporto per la conservazione di dati informatici), l’altra, afferente direttamente ai dati informatici ricercati (10). Emergeva già, dunque, il problema fondamentale sottostante alla tematica, vale a dire l’individuazione dei casi nei quali è consentito prelevare l’intero contenuto della strumentazione e quando, viceversa, deve limitarsi l’ablazione al solo dato digitale di interesse investigativo. Anteriormente alle richiamate modifiche operate dalla L. 48/2008, erano proliferate prassi devianti concernenti l’indiscriminata apprensione di materiale informatico (11). Segnatamente, l’ablazione dell’intero sistema (9) In tema, per tutte, v. Cass., Sez. VI, 24 febbraio 2015, Rizzo, cit. Cfr. anche, sia pure nella diversificata prospettiva dell’interesse ad impugnare a seguito di restituzione dei dati digitali appresi, Cass., Sez. Un., 20 luglio 2017, Andreucci, in C.E.D. Cass., rv. 270497. Per alcuni commenti alla pronuncia, v. Bartoli, Sequestro di dati a fini probatori: soluzioni provvisorie a incomprensioni durature, in Arch. pen. web, 2018, 1, 1 ss.; Mari, Impugnazioni cautelari reali e interesse a ricorrere in caso di restituzione di materiale informatico previa estrazione di copia dei dati, in Cass. pen., 2017, 4303 ss.; Rivello, L’interesse alla richiesta di riesame del provvedimento di sequestro probatorio di materiale informatico, ivi, 2018, 131 ss.; Todaro, Restituzione di bene sequestrato, estrazione di copia, interesse ad impugnare: revirement delle Sezioni Unite, in Dir. pen. cont., 2017, 157 ss. (10) In prospettiva sovranazionale, cfr. Clancy, The Fourth Amendment Aspects of Computer Searches and Seizures: a Perspective and a Primer, in Miss. L. J., 2005, 193 ss. (11) Ne riferisce Monti, No ai sequestri indiscriminati di computer, cit., 268 ss., il quale configura, ironicamente, un «“principio di precauzione”:

GIURISPRUDENZA PENALE veniva giustificata richiamando, per un verso, la natura di corpo del reato o cosa pertinente al reato di quest’ultimo (12) e, per altro verso, l’esigenza di tutelare necessità probatorie legate all’opportunità di ricerche più approfondite sull’attrezzatura (13), giungendo talvolta a configurare persino una esigenza ablatoria in re ipsa in relazione al titolo di reato per il quale si procede (14). Simili “disorientamenti” giurisprudenziali sembrano potersi fondatamente ricondurre alla natura immateriale della fonte di prova digitale, la quale mal si attaglia a disposizioni dettate con precipuo riguardo a beni dotati di una propria materialità. Si pensi all’art. 253 c.p.p., non interessato dall’intervento riformatore, il quale individua l’oggetto del sequestro nel «corpo del reato e delle cose pertinenti al reato necessarie per l’accertamento dei fatti». Infatti, qualora si ritenesse che i file, beni immateriali, non rientrino nella nozione di “cosa” rilevante ai sensi dell’art. 253 c.p.p., dovrebbe logicamente concludersi per l’impossibilità di assoggettare a sequestro i medesimi (15), dovendo viceversa sottoporre a provvedimento ablativo il ben più tangibile sistema informatico contenente il dato. Ed in effetti, ancora in tempi recenti, per la Corte di Cassazione, il «computer» nella sua interezza «può costituire esso stesso il corpo di un determinato reato, allorché […] contiene immagini pedopornografiche, o costituire una cosa pertinente al reato allorché è comunque servito per commettere il reato o i reati ipotizzati» (16). In realtà, questa ricostruzione non pare cogliere nel segno, poiché l’art. 260 c.p.p. – questo sì modificato dalla L. n. 48/2008 – espressamente ricomprende, tra i beni che possono essere oggetto di sequestro, dati, informazioni e programmi informatici. Il che equivale a dire che

non sapendo bene con cosa si ha a che fare, meglio eccedere e prendere tutto ciò che – genericamente – ricade nella nozione di hardware». V. anche Da Valle, L. 18.3.2008, n. 48 (Criminalità informatica) – Art. 9, in Legisl. pen., 2008, 297 ss. (12) Cfr. Cass., Sez. III, 6 novembre 2002, Maggiore, in Guida dir., 2003, 3, 79, ove si afferma laconicamente, in una indagine in tema di pedopornografia online, che il computer dell’indagato, essendo stato usato per la consumazione del reato, costituisce corpo del reato «in quanto contenent[e] le immagini oscene oggetto dell’illecito acquisto […]».

i supporti di memorizzazione dei dati rilevano solo nella misura in cui contengano, al proprio interno, i dati, file o programmi utilizzati per compiere l’azione criminosa. Se così è, considerare tout court il sistema informatico corpo del reato pare una forzatura, mentre è più appropriato qualificarlo, al più, cosa pertinente al reato (17), giacché l’apprensione dell’intero sistema potrebbe rivelarsi funzionale all’identificazione dell’autore di una condotta criminosa, ad esempio mediante l’analisi dei file di log. Apprezzabile, pertanto, la portata garantistica del principio di diritto espresso dalla sentenza annotata, che configura quale regola investigativa un percorso articolato in due fasi. L’attività di ricerca della prova deve, dapprima, essere rivolta all’individuazione del dato digitale da apprendere, attraverso una perquisizione informatica mirata. Essa può realizzarsi, in caso di urgenza, mediante una live analysis del sistema-obiettivo da parte degli ufficiali di polizia giudiziaria ai sensi dell’art. 352, comma 1-bis c.p.p.; in assenza dei presupposti legittimanti l’applicazione di tale disposizione, l’attività di ricerca andrà disposta con decreto motivato dell’autorità giudiziaria ai sensi dell’art. 247-bis c.p.p. In entrambi i casi, il provvedimento ablativo dovrà essere limitato ai soli dati digitali di interesse rinvenuti nel corso della perquisizione del sistema informatico o telematico. Viceversa, qualora il file di attenzione investigativa sia previamente individuato dal pubblico ministero, è auspicabile un più frequente utilizzo dell’istituto previsto dall’art. 248 c.p.p. e, dunque, una richiesta di consegna rivolta dalla parte pubblica a quella privata, con eventuale successiva perquisizione in caso di rifiuto. Nonostante l’art. 248, comma 2, c.p.p. menzioni esplicitamente i dati informatici solo allorché i medesimi siano ricercati presso banche, appare fuor di dubbio che le res digitali siano ricomprese nelle «cose» di cui può richiedersi la consegna ai sensi dell’art. 248, comma 1, c.p.p. Anzi, la strada della richiesta di consegna del singolo file oggetto di attenzione investigativa appare sempre preferibile giacché meno afflittiva della laboriosa perquisizione del sistema informatico e telematico, anche al fine di evitare attività di ricerca della prova digitale meramente esplorative.

(13) V. Cass., Sez. V, 3 aprile 2006, Ferro, inedita. (14) In proposito, si veda Cass., Sez. III, 8 gennaio 2014, Ligorio, inedita, secondo cui, in presenza di una imputazione per fatture per operazioni inesistenti, ai sensi dell’art. 2, D. Lgs. 74/2000, giacché di regola la fatturazione avviene con modalità informatiche, «l’esigenza probatoria della loro apprensione è implicita nella stessa natura dello strumento informatico». (15) Cfr., in tema, anche Monti, La nuova disciplina del sequestro informatico, in Lupária (a cura di), Sistema penale e criminalità informatica, cit., 201-202. (16) Così, in maniera particolarmente tranchant, Cass., Sez. III, 21 gennaio 2012, n. 7025, inedita.

(17) La giurisprudenza ha in più occasioni chiarito come per “cosa pertinente al reato” debbano intendersi, in senso lato, «le cose che servono, anche indirettamente, ad accertare la consumazione dell’illecito, il suo autore e le circostanze del reato, con riferimento a ogni possibile legame, individuabile caso per caso, tra le cose stesse e l’accertamento dell’illecito». Così Cass., Sez. VI, 7 aprile 1997, Iannini, in C.E.D. Cass., rv. 207591.

DIRITTO DI INTERNET N. 4/2019

779

GIURISPRUDENZA PENALE 3. Le modalità operative di ablazione del dato digitale

Restano da stabilire le modalità operative del sequestro dei dati digitali, sulle quali il dictum annotato non prende posizione, limitandosi a rilevare che in presenza di «determinate e giustificate condizioni possa essere disposto un sequestro esteso all’intero sistema […] se ciò è proporzionato rispetto alle esigenze probatorie o per altro motivo venga in questione l’intero sistema», giungendo finanche ad adombrare l’ipotesi di un «trasferimento fisico» dell’apparato. Appare, pertanto, opportuno approfondire le operazioni tecniche da compiere per l’ablazione del dato, al fine di verificare in quali casi debba procedersi all’apprensione fisica delle memorie. In proposito, la L. 48/2008, pur non avendo modificato la disciplina in tema di oggetto e formalità del sequestro, ha, comunque, precisato le modalità operative dell’acquisizione di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni (art. 254-bis c.p.p.), la quale deve avvenire mediante «copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità». Simile modalità operativa, che chiaramente allude alla tecnica di clonazione del dato mediante bit-stream image, appare in realtà travalicare gli angusti confini tracciati dall’art. 254-bis c.p.p., per assurgere a standard per il sequestro di dati informatici anche presso privati (18). Del resto, in via generale, anche l’art. 260, comma 2, c.p.p. prevede, con formula analoga all’art. 254-bis c.p.p., che la «copia» (19) avvenga su adeguati supporti mediante procedura che ne assicuri la genuinità. Depongono in tal senso anche i princìpi di adeguatezza e proporzionalità che necessariamente devono informare le attività di apprensione del dato informatico (20). E (18) Secondo Stramaglia, Il sequestro di documenti informatici: quale tutela per il segreto professionale forense?, in Dir. inf., 2008, 843, «l’estrazione di copia di dati informatici configura un’ipotesi di sequestro sui generis, in quanto consente che i dati digitali, in virtù della loro natura immateriale, permangano nella disponibilità dell’autorità giudiziaria, restando al contempo disponibili anche presso il legittimo titolare». (19) L’utilizzo del termine «copia» al posto di «duplicato» o, perlomeno, «copia forense» appare improprio. Come precisato dall’art. 1, d.lgs. 82/2005, per «copia informatica di documento informatico» deve intendersi «il documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto informatico con diversa sequenza di valori binari» (lett. i-quater); mentre, per la miglior tutela delle esigenze di genuinità del dato informatico imposte dalla L. 48/2008, viene in rilievo il diverso concetto di «duplicato informatico», vale a dire il «documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario». (20) Con precipuo riguardo al requisito della proporzionalità, il tema si è posto con particolare riferimento ai sequestri di strumentazione informatica nei confronti di un giornalista. Cfr., da ultimo, Cass., Sez. VI, 19 gennaio 2018, Lillo, in C.E.D. Cass., rv. 272538, secondo cui «il

780

DIRITTO DI INTERNET N. 4/2019

ciò non solo e non tanto, come sostiene la Corte nella pronuncia annotata, in base dell’art. 275 c.p.p., il cui perimetro operativo appare giocoforza limitato all’ambito delle misure cautelari in ragione della sua collocazione topografica nel libro IV, quanto, piuttosto, in ragione dello statuto della prova digitale risultante dalle interpolazioni operate dalla l. 48/2008. Invero, la netta preferenza per le operazioni di live analysis evidenzia la voluntas legis di improntare le attività di acquisizione del dato al criterio del minimo sacrificio necessario. In quest’ottica, il sequestro del contenitore fisico dei dati informatici, al fine di una successiva analisi dei reperti in laboratorio, deve essere visto necessariamente con sfavore, giacché enormemente (e, spesso, inutilmente) afflittivo per colui che subisce l’apprensione della res, il quale viene privato di strumentazione talvolta indispensabile per lo svolgimento di attività lavorativa (21). Dunque, l’ablazione dell’intero sistema deve essere operata mediante tecniche di clonazione che consentano, ove possibile, di lasciare la disponibilità dello stesso all’utilizzatore, mentre l’apprensione fisica dell’apparato deve trovare luogo soltanto ove insuperabili esigenze concrete la rendano inevitabile. Queste ultime sono individuate dalla sentenza in commento nella presenza di partizioni crittografate che rendano, di fatto, impossibile una selezione del dato in sede di perquisizione informatica (22). Il punto è assai delicato e merita qualche precisazione ulteriore. In ordine al problema della crittografazione

sequestro probatorio nei confronti di un giornalista avente ad oggetto atti e documenti relativi all’esercizio della sua attività professionale deve conformarsi con rigore al criterio di proporzionalità tra il contenuto del provvedimento ablativo e le esigenze di accertamento dei fatti oggetto delle indagini ex art. 200, comma 3 cod. proc. pen. e art. 10 CEDU come interpretato dalla Corte EDU, evitando quanto più è possibile interventi invasivi nella sfera professionale». In precedenza, analogo principio di diritto era stato espresso da Cass., Sez. VI, 15 aprile 2014, Minniti, in C.E.D. Cass., rv. 260068. Per un commento alla pronuncia, v. Barbara, La motivazione dell’ordine di esibizione rivolto al giornalista ex art. 256 c.p.p. e del successivo provvedimento di sequestro, in Cass. pen., 2015, 226 ss., nonché Porcu, Sequestro probatorio e segreto giornalistico: crocevia fra processo penale e informazione, in Dir. pen. proc., 2015, 555 ss. In tema, v. anche Bacchini, Il sequestro probatorio nei confronti del giornalista non indagato: il problema del bilanciamento di interessi costituzionalmente garantiti ed il rischio di elusione delle tutele, in Dir. inf., 2008, 747-748. (21) Secondo Cass., Sez. VI, 11 novembre 2016, Amores, in C.E.D. Cass., rv. 268489, un appiglio testuale al principio di proporzionalità del sequestro di dati digitali si rinverrebbe, altresì, proprio nell’art. 254bis c.p.p.: invero, poiché tale disposizione prevede l’acquisizione di dati presso i fornitori di servizi informatici, telematici o di comunicazioni mediante copia di essi su adeguato supporto ove ricorrano esigenze legate alla regolare fornitura dei medesimi servizi, se ne dovrebbe inferire «la necessità dell’individuazione di una forma di contemperamento tra le esigenze di prova e quelle attinenti ad interessi estranei all’accertamento penale». (22) Cfr. Stramaglia, Il sequestro di documenti informatici: quale tutela per il segreto professionale forense?, cit., 837.

GIURISPRUDENZA PENALE dei dati, la L. 48/2008 si è limitata ad interpolare negli artt. 247 e 352 c.p.p. un comma 1-bis che conferisce alla polizia giudiziaria il potere di operare ricerche all’interno di sistemi informatici e telematici anche qualora questi ultimi siano protetti da misure di sicurezza. Ora, se in alcuni casi un metodo di decrittazione bruteforce potrebbe condurre alla rimozione di tali ostacoli, soprattutto in caso di password brevi, in altre ipotesi potrebbe essere impossibile per gli investigatori superare le protezioni inserite dall’utente. Di tal ché, per rispettare il percorso investigativo a due tappe che prevede una perquisizione informatica mirata alla ricerca dei dati di interesse seguita da un sequestro limitato a questi ultimi, gli operanti sarebbero “costretti” a dover chiedere al soggetto in possesso della password o della chiave crittografica di rivelare tali informazioni. Tuttavia, non può dubitarsi che esse rientrino nel più ampio ambito operativo del principio nemo tenetur se detegere (23). Quindi, l’eventuale richiesta della password o della chiave di crittografia da parte degli inquirenti dovrà essere preceduta dall’avviso di cui all’art. 64, comma 3, lett. b), c.p.p., in virtù del richiamo operato dall’art. 350, comma 1, c.p.p.; in assenza del relativo avviso circa la facoltà di non rispondere, saranno inutilizzabili sia il dato raccolto sia i successivi accertamenti operati sul sistema informatico (art. 64, comma 3-bis c.p.p.). Alla luce di questa puntualizzazione, emerge con chiarezza una conseguenza assai negativa dell’impostazione accolta nella sentenza annotata: se la mera presenza di un ostacolo all’accesso al sistema comportasse, come affermano i giudici di legittimità, la necessaria asportazione fisica delle memorie, l’indagato si troverebbe davanti a una rigida alternativa: consentire l’accesso agli operanti comunicando loro password o chiavi di crittografia, oppure subire la (momentanea ma non troppo (24))

(23) In questo senso Lupária, Computer crimes e procedimento penale, in Garuti (a cura di), Modelli differenziati di accertamento, in Trattato di procedura penale, diretto da Spangher, Torino, 2011, VI, 387, nonché Padua, L’accesso alla casella e-mail e l’acquisizione dei contenuti: un delicato inquadramento normativo, in Proc. pen. giust, 2018, 597. Nella prassi, purtroppo, i margini operativi del principio in parola nell’ambito delle prove digitali si sono rivelati assai angusti. Cfr., in proposito, Trib. Vigevano, sent. 13 febbraio 2012, Stasi, inedita: «[…] fermo ovviamente il principio del nemo tenetur se detegere non ci può esimere dall’osservare che il rinvenimento nei supporti in sequestro di spezzoni di files illeciti ed il ritrovamento dei significativi percorsi di memorizzazione, ben potevano indurre l’imputato ad allegare circostanze utili alla difesa quali, ad esempio, il tipo di parole generalmente usate per le ricerche nel campo della pornografia lecita, dal cui utilizzo sarebbe (in tesi) conseguito l’involontario accesso a files vietati». (24) Ai sensi dell’art. 262 c.p.p., deve ritenersi che, non appena terminati gli accertamenti sulla strumentazione, l’autorità giudiziaria dovrebbe disporne la restituzione all’avente diritto. Allo stato, tuttavia, è doveroso segnalare che, nella prassi, il sequestro di attrezzatura informatica si protrae, di regola, ben oltre il periodo strettamente necessario alle operazioni tecniche volte ad assicurare i dati utili a fini investigativi. Secondo la

sottrazione dell’apparecchiatura, con le nefaste, intuibili conseguenze sulla sua vita lavorativa ed affettiva. A ben vedere, tuttavia, la mera presenza di ostacoli all’accesso al dato – quale l’impiego di password o di tecniche crittografiche – non pare, di per sé, legittimare l’ablazione fisica del sistema informatico. È senz’altro corretto il rilievo secondo cui, in tali casi, la scansione bifasica delle indagini informatiche non potrà essere rispettata, per l’ovvia impossibilità di selezione del dato al momento del primo contatto tra operanti e sistema informatico. Ciò non significa, tuttavia, che il sistema debba essere asportato nella sua interezza. Piuttosto, in tal caso, gli operanti – qualora possibile – dovranno procedere alla duplicazione (e non già all’asportazione fisica) dell’intero sistema, affinché esso sia in seguito sottoposto ai doverosi accertamenti tecnici (25). Del resto, il laconico riferimento all’indisponibilità di personale tecnico in grado di superare le protezioni legittimamente inserite dall’utente risulta assai pericoloso, in quanto tale condizione, spesso ricorrente nella prassi, viene a far dipendere l’afflittività in concreto del sequestro probatorio del materiale digitale da contingenze organizzative e, segnatamente, da possibili lacune nella disponibilità del personale da parte della polizia giudiziaria. Essa potrebbe, in definitiva, consentire facili aggiramenti del percorso investigativo correttamente enunciato dai giudici di legittimità. Appare fuorviante, allora, l’analogia operata dalla Corte nel dictum annotato tra il sequestro di una «intera unità immobiliare in attesa delle condizioni tecniche per una adeguata perquisizione e l’apertura di un vano protetto» e il sequestro di un sistema informatico dotato di misure di sicurezza. Mentre nel primo caso il provvedimento ablativo si giustifica in quanto è l’unica possibilità di assicurare la fonte di prova, nel secondo una attività di duplicazione dell’intero sistema è perfettamente in grado di bilanciare le esigenze investigative con il necessario rispetto dei diritti del soggetto obiettivo dell’attività di ricerca della prova.

Corte di Cassazione, tuttavia, l’indebita estensione temporale del sequestro probatorio non dà luogo ad una violazione di legge valorizzabile in quella sede (Cass., Sez. VI, 25 febbraio 2010, De Leo, inedita). (25) Deve, tuttavia, tenersi a mente che, in determinati casi, il procedimento di duplicazione forense potrebbe avere una durata incompatibile con la necessità di eseguire in tempi ragionevoli il sequestro. In questo senso G. Vaciago, Digital evidence. I mezzi di ricerca della prova digitale nel procedimento penale, Torino, 2012, 57.

DIRITTO DI INTERNET N. 4/2019

781

GIURISPRUDENZA PENALE

L’accesso abusivo a sistema informatico nell’era delle tecnologie dell’informazione e della comunicazione Corte di Cassazione ; sezione V penale; sentenza 2 maggio 2019, n. 18284; Pres. Catena; Rel. Tudino; P.M. Biritteri. Integra il reato di cui all’articolo 615 ter del c.p., la condotta di colui che accede abusivamente all’altrui casella di posta elettronica, trattandosi di uno spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell’esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio. Né, in senso contrario, potrebbe risolversi l’offensività della condotta entro il perimetro declinato dagli articoli 616 e 635 bis del c.p., che tutelano, rispettivamente, il contenuto della corrispondenza e la protezione fisica degli apparati informatici, sanzionando però condotte ultronee e successive rispetto alla abusiva introduzione in sistema informatico protetto. Per l’effetto, quindi, in ipotesi di accesso abusivo a una casella di posta elettronica protetta da password, il reato di cui articolo 615 ter del c.p. concorre con il delitto di violazione di corrispondenza, in relazione alla acquisizione del contenuto delle mail custodite nell’archivio, e con il reato di danneggiamento di dati informatici, nel caso in cui, all’abusiva modificazione delle credenziali d’accesso, consegua l’inutilizzabilità della casella di posta da parte del titolare.

Ritenuto in fatto. Con la sentenza impugnata, la Corte d’Appello di Messina ha confermato la decisione del Giudice dell’Udienza Preliminare del Tribunale in sede, con la quale Z.D. è stato condannato, all’esito del giudizio abbreviato, alla pena di giustizia per il reato di accesso abusivo a sistema informatico di cui all’art. 615 ter c.p. I fatti riguardano l’accesso, mediante abusivo utilizzo della password, alla casella di posta elettronica (OMISSIS), in uso a B.F.; la lettura della relativa corrispondenza e la modifica delle credenziali d’accesso, tanto da renderla inaccessibile al titolare del relativo dominio. Avverso la sentenza, ha proposto ricorso l’imputato, per mezzo del difensore, (omissis), deducendo, con unico motivo, violazione della legge penale in riferimento agli elementi costitutivi del reato contestato, nella specie non configurabile, in difetto delle caratteristiche di “sistema informatico protetto da misure di sicurezza” invece riconosciuto alla casella di posta elettronica nella quale l’imputato si era introdotto. Considerato in diritto. Il ricorso è manifestamente infondato. Il tema che il ricorso investe attiene alla riconducibilità del fatto in contestazione all’alveo precettivo dell’art. 615 ter c.p. La fattispecie delittuosa in rassegna ha formato oggetto di due interventi delle Sezioni Unite. Con la sentenza Casani è stato affermato che “integra il delitto previsto dall’art. 615 ter c.p., colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultan-

ti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema” (Sez. U, n. 4694/2012 del 27/10/2011, Casani, Rv 251269). Con la sentenza Savarese le Sezioni Unite, pronunciandosi in un’ipotesi di fatto commesso da un pubblico ufficiale o da un incaricato di pubblico servizio (art. 615 ter, comma 2, n. 1), hanno avuto modo di precisare, sotto il profilo dell’elemento oggettivo, che integra il delitto previsto dall’art. 615 ter c.p., la condotta di colui che “pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita” (Sez. U, n. 41210 del 18/05/2017, Savarese, Rv. 271061 - 01). I principi espressi per il pubblico funzionario possono essere trasfusi anche al settore privato, nella parte in cui vengono in rilievo i doveri di fedeltà e lealtà del dipendente che connotano indubbiamente anche il rapporto di lavoro privatistico. Pertanto è illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i suddetti doveri “manifestandosi in tal modo la “ontologica incompatibilità” dell’accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere” (Sez. U, n. 41210 del 18/05/2017, Savarese, in motivazione).

DIRITTO DI INTERNET N. 4/2019

783

GIURISPRUDENZA PENALE Nel quadro così delineato, si pone la questione della riconducibilità alla nozione giuridica di “sistema informatico” della casella di posta elettronica. Al riguardo, l’orientamento di legittimità si esprime nel senso che integra il reato di cui all’art. 615 ter c.p., la condotta di colui che accede abusivamente all’altrui casella di posta elettronica, trattandosi di una spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell’esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio (Sez. V, n. 13057 del 28.10.2015, Bastoni, Rv. 266182). Siffatta opzione ermeneutica si fonda sulla disamina tecnica della casella di posta elettronica in quanto riconducibile alla nozione di sistema informatico, inteso come complesso organico di elementi fisici (hardware) ed astratti (software) che compongono un apparato di elaborazione dati, come definito dalla Convenzione di Budapest, ratificata dalla L. n. 48 del 2008, nei termini di “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica di dati” (V. anche Sez. U. n. 40963 del 20/07/2017, Andreucci, Rv. 270497). In tale contesto, la casella di posta elettronica non è altro che uno spazio di un sistema informatico destinato alla memorizzazione di messaggi o informazioni di altra natura (immagini, video) di un soggetto identificato da un account registrato presso un provider del servizio. E l’accesso a questo spazio di memoria concreta un accesso a sistema informatico, giacché la casella è una porzione della complessa apparecchiatura – fisica e astratta – destinata alla memorizzazione delle informazioni, quando questa porzione di memoria sia protetta, in modo tale da rivelare la chiara volontà dell’utente di farne uno spazio a sé riservato, con la conseguenza che ogni accesso abusivo allo stesso concreta l’elemento materiale del reato. I sistemi informatici rappresentano, infatti, “un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantita dall’art. 14 Cost., e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615” (relazione al disegno di L. n. 2773, poi trasfuso nella L. 23 novembre 1993, n. 547), involgendo profili che – oltre la tutela della riservatezza delle comunicazioni – attengono alla definizione ed alla protezione dell’identità digitale ex se, intesa come tutela della legittimazione esclusiva del titolare di credenziali ad interagire con un sistema complesso. Ed è nella tutela di siffatta specifica situazione di legittimazione esclusiva che si risolve l’oggettività giuridica della fattispecie incriminatrice di cui all’art. 615 ter c.p., a prescindere dalla natura dei dati protetti.

784

DIRITTO DI INTERNET N. 4/2019

Nel quadro così delineato, s’appalesa del tutto inconferente la visione riduttiva proposta nel ricorso che, da un lato, riconduce l’art. 615 ter c.p., ad una gamma di macro-interessi e, dall’altro, pretende di risolvere l’offensività della condotta entro il perimetro declinato dagli artt. 616 e 635 bis c.p. Quanto al primo profilo, basti rilevare come la compromissione di interessi pubblici sia posta a fondamento dell’aggravante di cui all’art. 615 ter c.p., comma 3, con conseguente manifesta aspecificità dell’argomentazione difensiva. In riferimento al secondo aspetto, va osservato come le fattispecie richiamate – rispettivamente caratterizzate dalla tutela del contenuto della corrispondenza ex se la prima (art. 616 c.p.) e dalla protezione fisica degli apparati informatici la seconda (art. 635 bis c.p.) – sanzionano condotte ultronee e successive rispetto alla abusiva introduzione in sistema informatico protetto. Invero, integra il reato di violazione, sottrazione e soppressione di corrispondenza (art. 616 c.p.) la condotta di colui che prende cognizione del contenuto della corrispondenza telematica conservata nell’archivio di posta elettronica (V. Sez. 5, n. 12603 del 02/02/2017, Segagni, Rv. 269517); condotta logicamente e cronologicamente progressiva rispetto all’abusiva introduzione nel sistema. Allo stesso modo, il reato di danneggiamento di dati informatici, di cui all’art. 635 bis c.p. e ss., si configura in presenza di una condotta finalizzata ad impedire che il sistema funzioni (Sez. 2, n. 54715 del 01/12/2016, Pesce, Rv. 268871), in presenza del requisito dell’altruità (Sez. 2, n. 38331 del 29/04/2016, Pagani, Rv. 268234). Di guisa che le predette fattispecie, che si pongono in rapporto di alterità rispetto al reato di cui art. 615 ter c.p., possono con il medesimo concorrere, ma non ne riassumono ed esauriscono il disvalore. Deve essere pertanto affermato il principio per cui, in ipotesi di accesso abusivo ad una casella di posta elettronica protetta da password, il reato di cui art. 615 ter c.p., concorre con il delitto di violazione di corrispondenza in relazione alla acquisizione del contenuto delle mail custodite nell’archivio e con il reato di danneggiamento di dati informatici, di cui all’art. 635 bis c.p. e ss., nel caso in cui, all’abusiva modificazione delle credenziali d’accesso, consegua l’inutilizzabilità della casella di posta da parte del titolare. …Omissis… P.Q.M. Dichiara inammissibile il ricorso e condanna il ricorrente al pagamento delle spese del procedimento e della somma di Euro 3.000 a favore della Cassa delle ammende. …Omissis…

GIURISPRUDENZA PENALE

IL COMMENTO

di Jean-Paule Castagno e Andrea Alfonso Stigliano Sommario: 1. Premessa. – 2. Sistema informatico nel Cyberspace. – 3. (segue) proprietà e detenzione nel Cyberspace. – 4. Le misure di sicurezza. – 5. Accesso, mantenimento ed abusività. – 6. Quale tutela per l’infosfera? La Suprema Corte chiarisce che la casella di posta elettronica, quale “spazio di memoria (…) porzione della complessa apparecchiatura – fisica e astratta – destinata alla memorizzazione delle informazioni”, rientra nella categoria di “sistema informatico protetto da misure di sicurezza” prevista dall’art. 615 ter c.p. I giudici di legittimità compiono un altro passo in avanti nel prendere atto del processo di dematerializzazione della fattispecie, allontanandosi ulteriormente dalla struttura fisica del sistema informatico, per valorizzare pienamente la sua componente immateriale, vero cuore pulsante del sistema informatico. La pronuncia in commento, nel ripercorrere i recenti approdi della giurisprudenza di legittimità in merito al reato di accesso abusivo a sistema informatico, fornisce l’occasione per interrogarsi sulla effettività della tutela apprestata dalla norma nell’attuale contesto tecnologico e sociale. Supreme Court pointed out that the email folder, as “memory space (…) part of a complex computer system – hardware and software – meant for storing information”, is a “computer system protected by security measures” according to art. 615 ter Italian Criminal Code. The Court makes another step forward in the process of dematerialization of this offence, fully enhancing the software, considered the core of the computer system. The judgement, analyzing the recent case law on the crime of unlawful access to a computer system, gives the chance to test the actual protection provided by the law in the current technological and social scenario..

1. Premessa.

La nostra è probabilmente l’ultima generazione a fare esperienza della chiara distinzione tra ambienti online e offline. Così osservava Luciano Floridi, una delle più autorevoli voci della filosofia contemporanea, constatando come le tecnologie dell’informazione e della comunicazione (o ICT, acronimo di Information and Communications Technology) stiano cambiato il nostro modo di vivere attraverso “la creazione di nuove realtà e promuovendo un’interpretazione di ogni aspetto del mondo e delle vite che vi conduciamo in termini di informazioni”: in questo nuovo mondo informativo, l’”infosfera” usando il sostantivo coniato dal filosofo, “diviene più sfumato il limite tra il qui (analogico, basato sul carbonio e offline) e il là (digitale, basato sul silicio e online)” (1). Le premesse tecnologiche a tale rivoluzione sociale hanno iniziato a manifestarsi nella seconda metà degli anni novanta allorquando si è assistito all’apertura della rete internet al pubblico, la quale ha rapidamente portato all’informatizzazione dell’intera società e alla nascita del c.d. Cyberspace, “un insieme complesso ed in costante espansione, in cui sono offerti ‘servizi’ di ogni genere (…): dalla disponibilità ed accesso a ‘banche dati’ globali ed interattive, all’offerta di spazi di memoria per scambi ed archivi dislocati in server sempre più potenti, indifferentemente raggiungibili dall’utente da ogni luogo e distanza, fino alla nuova dimensione del cloud e del web 2.0” (2). Proprio le due tecnologie citate possono rappresentare uno dei prodotti dell’avanguardia tecnologica, la cui cifra distintiva sembra risie (1) Floridi, La quarta rivoluzione, Milano, 2017, 47. (2) Picotti, La nozione di «criminalità informatica» e la sua rilevanza per le competenze penali europee, in Riv. trim. dir. pen. ec., 2011, 831.

dere nella totale “dematerializzazione” di dati, documenti e informazioni e nella “delocalizzazione” di risorse e contenuti. In questa nuova eterea regione del mondo, si moltiplicano spazi virtuali dove ogni individuo può raccogliere, organizzare conservare e scambiare dati e informazioni in qualunque momento, senza limiti e da qualunque luogo. A fronte dei sicuri benefici, l’aver avvolto il nostro mondo attorno alle ICT ci ha reso esposti a potenziali continui attacchi (3). La riservatezza informatica assurge, dunque, ad un nuovo diritto fondamentale dell’uomo bisognoso nonché meritevole di tutela (4). Non solo in sé, dovendosi punire ogni intrusione illecita, ma anche quale presidio volto ad impedire ulteriori e potenzialmente più gravi attacchi alla persona causati dalla condivisione non autorizzata di contenuti informatici (5) nonché ad aziende ed organizzazioni di tutto il mondo la cui attività è indissolubilmente legata alla stabilità e segretezza dei propri dati aziendali. L’attuale tutela penalistica della riservatezza informatica ruota attorno all’art. 615 ter c.p. il quale punisce “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si man (3) Per un approfondimento in merito ai rischi legati alla evoluzione e diffusione delle ICT ed al contrasto agli attacchi informatici in ambito europeo, si rimanda a Flor, Cybersecurity ed il contrasto ai cyber-attacks a livello europeo: dalla CIA-Triad Protection ai più recenti sviluppi, in questa Rivista, 2019, 453 ss. (4) In merito all’impatto di internet sui diritti classici, Celotto, I “non” diritti al tempo di internet, in questa Rivista, 2019, 235 ss. (5) A tale riguardo, la l. 19 luglio 2019, n. 69 ha introdotto nel codice penale, precisamente all’art. 612 ter, il delitto di “diffusione illecita di immagini o video sessualmente espliciti”.

DIRITTO DI INTERNET N. 4/2019

785

GIURISPRUDENZA PENALE tiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”. Le definizioni di “sistema informatico o telematico protetto da misure di sicurezza” nonché dell’avverbio “abusivamente” sono questioni tutt’altro che risolte ed oggetto di molteplici interventi della giurisprudenza di legittimità: laddove, infatti, nell’identificazione dell’oggetto materiale della condotta, la giurisprudenza deve fare i conti con i già evidenziati fenomeni di dematerializzazione e delocalizzazione – tanto da poter essere portata a compimento addirittura a bordo di una navicella spaziale, come emerge dalla recentissima cronaca giudiziaria d’oltreoceano (6) – il concetto di abusività è stato oggetto di continua estensione ed adattamento, andando oggi a ricomprendere anche la violazione dei doveri di fedeltà nell’ambito dei rapporti lavorativi.

2. Sistema informatico nel Cyberspace

La recente sentenza della Quinta Sezione della Suprema Corte n. 18284 del 2 maggio 2019 fornisce l’occasione per analizzare l’attuale latitudine della tutela offerta dalla norma. La Corte d’Appello di Messina confermava la condanna inflitta dal Giudice dell’Udienza Preliminare, all’esito del giudizio abbreviato, a fronte di una condotta di “accesso, mediante abusivo utilizzo della password” ad una casella di posta elettronica, alla lettura della corrispondenza privata e alla modifica apportata alle credenziali d’accesso rendendo, in tal modo, inaccessibile la casella da parte del titolare. Il ricorrente promuoveva ricorso per cassazione lamentando la violazione della legge penale nella parte in cui la Corte territoriale assimilava la casella di posta elettronica ad un ”sistema informatico protetto da misure di sicurezza”. A ben vedere, l’art. 615 ter c.p. non fornisce alcuna nozione di sistema informatico. Questa circostanza ha fatto sì che la figura di reato in esame, introdotta nel nostro ordinamento con la l. 23 dicembre 1993, n. 547 e rimasta sostanzialmente invariata nei suoi tratti essenziali, non restasse cristallizzata di fronte all’incessante evoluzione tecnologica e informatica. Una prima definizione normativa, che si affiancava in modo sintonico con quella fornita dalla giurisprudenza di legittimità già nei primi approdi successivi all’introduzione del reato (7), si può rintracciare nell’art. 1 della

(6) Baker, NASA Astronaut Anne McClain Accused by Spouse of Crime in Space, in New York Times, 23 agosto 2019. (7) In uno dei primi arresti sul tema, la Suprema Corte di Cassazione, esprimendosi sulla riconducibilità di un centralino telefonico alla categoria di sistema informatico, definiva quest’ultimo come “una pluralità di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche in parte) di tecnologie informatiche (…) caratte-

786

DIRITTO DI INTERNET N. 4/2019

Convenzione di Budapest sulla criminalità informatica, firmata dagli Stati Membri del Consiglio d’Europa nel 2001 e ratificata dall’Italia con la l. 18 marzo 2008, n. 48. La Convenzione indica che per “sistema informatico” debba intendersi “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica di dati” (8). Le Sezioni Unite, intervenute in una vicenda cautelare reale relativa al sequestro di un computer, sviluppavano tale definizione evidenziando come un sistema informatico, in linea generale, sia costituito dalle componenti hardware e software, le prime consistenti “secondo la comune definizione, nel complesso di elementi fisici non modificabili, (quali circuiti, unità di memoria, parti meccaniche etc.) cui si aggiungono periferiche di ingresso (ad. es. tastiera, scanner etc.) e di uscita (es. monitor, stampante) ed altri componenti comuni (modem, masterizzatore, cavi)” mentre le seconde costituite, “sempre secondo la comune accezione, dall’insieme di istruzioni e procedure necessarie per il funzionamento stesso della macchina (software di base) o per farle eseguire determinate attività (software applicativo) e costituiti da programmi o dati memorizzati su specifici supporti” (9). Rimanendo ancorata alla necessaria compresenza di parte hardware e software, la giurisprudenza di legittimità sorta nell’ambito di procedimenti ai sensi dell’art. 615 ter c.p. chiariva la portata applicativa della norma, slegandosi da una dimensione incentrata sul singolo computer per estendere la tutela ad intromissioni in sistemi informatici dai confini più sfumati. In particolare, le Sezioni Unite, dirimendo un contrasto giurisprudenziale circa il locus commissi delicti in casi di accessi abusivi effettuati da postazioni remote, nel concludere che “il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art. 615 ter c.p., è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente”, fornivano importanti indicazioni sulla nozione di sistema informatico; si osservava come “un dispositivo elettronico assurge al rango di sistema informatico o telematico se si caratterizza per l’installazione di un software che ne sovrintende il funzionamento, per la capacità di utilizzare periferiche o dispositivi esterni, per l’interconnessione con altri apparecchi e per la molteplicità dei dati oggetto di trattamento”, facendo rientrare nell’ambito della protezione offerta dall’art. 615 ter c.p., “anrizzate dalla registrazione (o “memorizzazione”), per mezzo di impulsi elettronici, su supporti adeguati, di “dati”, cioè, di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit) numerici (“codice”), in combinazioni diverse” (Cass. 4 ottobre 1999, n. 3067 in Dir. Inf., 2001, 485). (8) Convenzione del Consiglio d’Europa sulla criminalità informatica, Budapest, 2001, traduzione non ufficiale a cura di Ilarda e Pasqua, Osservatorio permanente sulla criminalità organizzata. (9) Cass. 20 luglio 2017, n. 40963.

GIURISPRUDENZA PENALE che i sistemi di trattamento delle informazioni che sfruttano l’architettura di rete denominata client-server, nella quale un computer o terminale (il client) si connette tramite rete ad un elaboratore centrale (il server) per la condivisione di risorse o di informazioni, che possono essere rese disponibili a distanza anche ad altri utenti” (10). Per client-server si intende un’architettura che suddivide l’elaborazione tra una componente centrale e una o più componenti periferiche: tecnicamente (11), con il termine server si indica un programma (software) nonché il computer che supporta tale programma (hardware) che fornisce ai client una tipologia di servizio specifica; il client, a sua volta, è un programma (nonché il computer che supporta il medesimo) che fornisce l’interfaccia utente, ed esegue alcune o tutte le elaborazioni delle richieste rivolte al server, che mantiene i dati ed elabora le richieste. Pertanto, l’architettura client-server prevede un dialogo tra due software (uno periferico e uno centrale) i quali, per funzionare, necessitano di due “apparecchiature”, un computer periferico e uno centrale. Per esemplificare, ogni accesso alla nostra casella email presuppone il funzionamento di tale architettura: un software client (per esempio un web browser quale Safari o Google Chrome) installato su un hardware client (il nostro computer) e un software server (il sito di Google) che funziona grazie ad un hardware server (un computer fisicamente collocato nei data center di Google (12)). Nel momento in cui si inseriscono le credenziali e si preme il pulsante “accedi”, il client invia la richiesta per ottenere la risorsa ricercata; in risposta, il server invia un flusso di dati che permette di visualizzare sullo schermo del client la pagina web con il contenuto della casella di posta elettronica (13). Nel ricondurre i sistemi di tipo client-server alla nozione di sistema informatico rilevante, la Corte mostrava esplicitamente di riconoscere lo sviluppo di una nuova “dimensione aterritoriale”, incrementata dalla diffusione

(10) Cass. 26 marzo 2015, n. 17325, in Riv. Pen., 2015, 521. (11) Definizioni tratte dal sito “The Linux Information Project”, all’indirizzo <http://www.linfo.org/index.html>. (12) Si veda, in merito “I data center di Google, Le immagini dei posti dove passa tutto quanto”, all’indirizzo <https://www.ilpost.it/2012/10/17/foto-data-center-google/>. (13) La visualizzazione di una pagina web è solo uno fra i più semplici esempi dei possibili “risultati” di una conversazione fra client e server. Infatti, i “messaggi” scambiati fra i due nodi di rete sono estremamente complessi e diversificati: il client invia una richiesta che specifica il tipo di operazione richiesta al server (che può essere la semplice richiesta di una risorsa statica o dinamica presente sul server, la trasmissione di informazioni dal client al server, la sostituzione o la creazione di una risorsa, la cancellazione di una risorsa) oltre a una serie di numerose ulteriori informazioni. Tale richiesta viene inviata sotto forma di codice e riceve una risposta in formato analogo, la quale specifica, fra gli altri elementi, le informazioni e l’eventuale contenuto della risorsa richiesta.

di dispositivi mobili e dalla tecnologia del cloud computing, “che permettono di memorizzare, elaborare e condividere informazioni su piattaforme delocalizzate alle quali è possibile accedere da qualunque parte del globo” (14). Di conseguenza, in presenza di una banca dati “ubiquitaria, circolare o diffusa sul territorio, nonché contestualmente compresente e consultabile in condizioni di parità presso tutte le postazioni remote autorizzate all’accesso”, la Suprema Corte riteneva arbitrario scomporre i singoli componenti dell’architettura di rete: server e client sono parte integrante di un complesso meccanismo “strutturato in modo da esaltare la funzione di immissione e di estrazione dei dati da parte del client” (15). Si è osservato come tale ultima pronuncia abbia avallato una concezione di sistema informatico caratterizzato da “una dimensione – o almeno una capacità di dimensione – illimitata, e una profondità spaziale che perde ogni connotazione fisica per diventare virtuale rimanendo però assolutamente reale, distribuita intorno alla banca dati centrale lungo raggi indefinibili che la rendono sostanzialmente ubiquitaria, circolare, diffusa” (16). Tale processo di dematerializzazione appare ancora più evidente proprio nella sentenza in commento, laddove la Suprema Corte, dichiarando manifestatamente infondato il ricorso dell’imputato, riteneva integrare il reato di cui all’art. 615 ter c.p. l’accesso all’altrui casella di posta elettronica “trattandosi di uno spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell’esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio”, sottolineando come “l’accesso a questo spazio di memoria concreta un accesso a sistema informatico, giacché la casella è una porzione della complessa apparecchiatura – fisica e astratta – destinata alla memorizzazione delle informazioni, quando questa porzione di memoria sia protetta, in modo tale da rivelare la chiara volontà dell’utente di farne uno spazio a sé riservato, con la conseguenza che ogni accesso abusivo allo stesso concreta l’elemento materiale del fatto”. La Suprema Corte, definendo la casella di posta elettronica quale “spazio di memoria (…) porzione della complessa apparecchiatura – fisica e astratta – destinata alla memorizzazione delle informazioni”, compiva un altro passo in avanti nel prendere atto del processo di dematerializzazione della fattispecie, allontanandosi ulteriormente dalla struttura fisica del sistema informatico, che rimane presente ma solo sullo sfondo, per valorizzare pienamen-

(14) Cass. 26 marzo 2015, n. 17325, cit. (15) Cass. 26 marzo 2015, n. 17325, cit. Negli stessi termini anche Cass. 22 luglio 2015 n. 37343; Cass. 20 gennaio 2016, n. 12951. (16) Sciuba, Osservazioni a Cass. Pen., 26 marzo 2015, sez. UU, n. 17325, in Cass. Pen., 2015, 3507 ss.

DIRITTO DI INTERNET N. 4/2019

787

GIURISPRUDENZA PENALE te la sua componente immateriale, vero cuore pulsante del sistema informatico.

3. (segue) proprietà e detenzione nel Cyberspace

Identificate le diverse componenti di una architettura client-server, è possibile svolgere alcune considerazioni in merito alla persona offesa dal reato. Elemento di non poco rilievo attesa l’attuale procedibilità di tale reato a querela di parte, con esclusione delle ipotesi aggravate di cui al secondo comma. Nell’intervento in esame, la Suprema Corte partiva dalla considerazione che “i sistemi informatici rappresentano (…) un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantita dall’art. 14 Cost., e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615 (relazione al disegno di L. n. 2773, poi trasfuso nella L. 23 novembre 1993, n. 547), involgendo profili che – oltre la tutela della riservatezza delle comunicazioni – attengono alla definizione ed alla protezione dell’identità digitale ex se, intesa come tutela della legittimazione esclusiva del titolare di credenziali ad interagire con un sistema complesso”. La persona offesa del reato, quale titolare del domicilio informatico violato, deve essere individuato nel soggetto a cui è riferibile lo spazio virtuale tutelato dalla norma e a cui è, di conseguenza, attribuito lo ius excludendi alios (17). A tale riguardo, è intuitivo che nell’ambito della tutela del domicilio informatico risulti poco dirimente la tradizionale categoria di proprietà, sia delle componenti fisiche che vengono in evidenza sia delle relative dimensioni virtuali. Con riferimento alla componente client, è pacificamente irrilevante la titolarità dell’hardware (il dispositivo dal quale viene effettuato l’accesso): un accesso abusivo può essere effettuato attraverso un dispositivo di proprietà della persona offesa (mi approprio illecitamente dello smartphone di Tizio dove la password di accesso alla sua casella email è memorizzata), attraverso un dispositivo di proprietà dell’autore del reato (sono a conoscenza della password di accesso di Tizio e mi connetto da mio smartphone) ovvero attraverso un dispositivo di un terzo (conosco la password di accesso di Tizio e mi connetto da un computer collocato in un internet point). Parimenti irrilevante è l’individuazione del “proprietario” del software client, ad esempio il web browser Google Chrome (17) Come osservato in alcune pronunce, “l’art. 615 ter cod. pen. non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti, ma offre una tutela più ampia che si concreta nello “jus excludendi alios”, quale che sia il contenuto dei dati racchiusi in esso, purché attinente alla sfera di pensiero o all’attività, lavorativa o non, dell’utente; con la conseguenza che la tutela della legge si estende anche agli aspetti economico-patrimoniali dei dati, sia che titolare dello “jus excludendi” sia persona fisica, persona giuridica, privata o pubblica, o altro ente” (Cass. 8 maggio 2012, n. 42021, in Dir. Inf., 2013, 86; Cass. 4 ottobre 1999, n. 3067, cit.).

788

DIRITTO DI INTERNET N. 4/2019

attraverso il quale l’autore del reato accede alla casella di posta altrui. Il soggetto che detiene i diritti di sfruttamento economico del software, infatti, non appare per nulla coinvolto nella vicenda di accesso abusivo. Neppure in relazione al server, informatico e fisico, vi è coincidenza tra proprietario e persona offesa. I soggetti che si trovano a subire lesioni dei propri legittimi interessi in seguito a condotte riconducibili all’art. 615 ter c.p. non sono, in effetti, i “proprietari” del software server, ovverosia degli spazi virtuali violati (gli Internet Service Providers prima nominati quali, per esempio, Google). Non subisce alcuna lesione, evidentemente, il proprietario della parte fisica del server il quale, peraltro, potrebbe addirittura essere un soggetto diverso rispetto all’ Internet Service Provider che mette a disposizione il relativo spazio virtuale agli utenti (18). Diversamente, come sottolineato dalla stessa giurisprudenza di legittimità, appare più calzante il concetto di detenzione: “la detenzione dei file all’interno di un singolo account protetto da password (come all’interno del proprio spazio cloud) è dell’utente che dispone di quella password. La detenzione consiste infatti nell’avere la disponibilità di una cosa, ossia nell’avere la possibilità di utilizzarla tutte le volte che si desideri, pur nella consapevolezza che essa appartiene ad altri, ai quali comunque si deve render conto (animus detinendi)” (19). A fronte di ciò, non diversamente da quanto avviene nella realtà materiale, la persona offesa è l’inquilino-detentore dello spazio virtuale, laddove neppure il “proprietario” (il provider) è autorizzato ad accedere alla porzione detenuta dal singolo utente senza il previo consenso di questi (20).

4. Le misure di sicurezza

Come sottolineato dalla Corte, l’accesso ad una casella di posta elettronica è rilevante ai fini della commissione del reato tanto in quanto la medesima è protetta da una password personalizzata.

(18) Con il termine “hosting” si indentifica proprio il fenomeno di messa a disposizione degli spazi virtuali a terzi da parte dei proprietari di server o domini web. Per esemplificare, nel caso di un servizio di web mail, quali ad esempio Gmail, il fornitore del servizio (Google) non sarà necessariamente coincidente con il proprietario del server fisico (che potrebbe fare riferimento a società che ospitano, “host”, spazi virtuali dietro compenso). Tale fenomeno è indissolubilmente legato a quello di cloud computing, il quale conferma la necessità di accedere ad una “visione evolutiva del concetto di luogo, tale da includere non solo i dispositivi informatici ma anche gli spazi virtuali, nonostante questi ultimi si caratterizzino per confini labili, non fisici o addirittura inesistenti” (Signorato, Le indagini penali informatiche, Lessico, tutela dei diritti fondamentali, questioni generali, Padova, 2017, 62 ss.). (19) Cass. 28 giugno 2016, n. 40903, in CED Cassazione penale 2016. (20) Cass. 28 giugno 2016, n. 40903, cit.: “nemmeno al provider è lecito entrare nella casella di posta elettronica concessa al singolo utente”.

GIURISPRUDENZA PENALE È, infatti, essenziale perché le condotte di abusiva introduzione o mantenimento all’interno di un sistema informatico siano punibili ai sensi dell’art. 615 ter c.p. che tale sistema sia protetto da misure di sicurezza, da intendersi in generale quali “mezzi di protezione sia logica che fisica (materiale o personale)” (21). La predisposizione delle misure di sicurezza rileva in quanto essa “manifesta la voluntas excludendi alios del legittimo titolare del sistema informatico, che non necessariamente coincide con il proprietario del computer o con il soggetto cui si riferiscono i dati in esso memorizzati” (22). Per questo motivo, si può affermare che il reato in esame sia un reato a forma vincolata, punendo esclusivamente la condotta di chi abbia effettuato un accesso “violando le misure difensive approntate dal titolare del sistema” (23). Peraltro, si precisava come la fattispecie non richieda, al contrario di altri ordinamenti giuridici, l’aggiramento di misure di sicurezza ma esclusivamente la predisposizione delle medesime (24). È, infatti, pacifico orientamento in giurisprudenza che le misure di sicurezza dei sistemi informatici non assumano rilevanza di per sé, “bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone. Non si tratta perciò di un illecito caratterizzato dall’effrazione dei sistemi protettivi (…) [m]a si tratta di un illecito caratterizzato appunto dalla contravvenzione alle disposizioni del titolare, come avviene nel delitto di violazione di domicilio, che è stato notoriamente il modello di questa nuova fattispecie penale” (25). Ciò che quindi assume importanza, in punto di predisposizione di misure di sicurezza, è la manifestazione della volontà del titolare del sistema informatico di instaurare una – seppur minima – barriera all’ingresso al fine di consentire l’accesso solamente ai soggetti espressamente legittimati. Di conseguenza, si può affermare come sia ininfluente un giudizio di “idoneità” della misura di sicurezza a escludere in concreto l’ingresso di “estranei”, mentre sia, al contrario, cruciale che la presenza di tale barriera sia percepibile dall’esterno: in altri termini, “il valore di una misura di sicurezza risiede nel suo significato simbolico”, rilevando come “elemento eminentemente semiotico che non impone all’interprete alcun giudizio di idoneità in concreto” (26).

Ad ulteriore conferma della corretta individuazione del ruolo delle misure di sicurezza, la Corte di Cassazione precisava che “[è] certamente necessario che il sistema non sia aperto a tutti, ma assume rilevanza qualsiasi meccanismo di selezione abilitati all’accesso. Ne consegue che anche l’adozione di una protezione semplice, costituita da una parola chiave (password) rappresenta pur sempre un’esplicitazione del divieto di accesso al sistema e legittima la tutela in sede penale” (27). Ciò, ancora una volta, risulta di immediata chiarezza ove si riporti la nozione di misure di sicurezza a quelle che normalmente caratterizzano il tradizionale domicilio fisico: la fattispecie ex art. 614 c.p. si applica sia quando il luogo di privata dimora violato sia protetto da una porta blindata sia nel caso di protezioni infinitamente più leggere, finanche quando la porta di ingresso, sebbene presente, sia lasciata erroneamente aperta.

5. Accesso, mantenimento ed abusività

Il fatto tipico punito dalla fattispecie in esame si caratterizza per la presenza di due condotte alternative: l’introduzione abusiva in un sistema informatico protetto da misure di sicurezza ovvero il mantenimento all’interno di tale sistema informatico contro la volontà del titolare dello ius excludendi alios. La condotta di introduzione abusiva all’interno del sistema informatico viene descritta in giurisprudenza e dottrina non già come un collegamento fisico – ad esempio attraverso l’accensione dello schermo o il mero contatto fisico con un computer – ma come un collegamento logico, “ovvero il superamento della barriera di protezione del sistema, che renda possibile il dialogo con il medesimo in modo che l’agente venga a trovarsi nella condizione di conoscere dati, informazioni e programmi” (28). L’accesso ad un sistema informatico diviene, quindi, tipico quando si sostanzia in un “collegamento logico (o automatizzato) con la sua parte software” (29), “a nulla rilevando se tale accesso provenga da remoto, ad esempio mediante Internet, o in locale, accedendo alla tastiera del sistema informatico o telematico in esame” (30). Diversamente, la condotta di mantenimento nel sistema contro la volontà di chi ha il diritto di escludere il soggetto presuppone la liceità dell’ingresso dell’agente al quale, tuttavia, segua il dissenso espresso o tacito del titolare dello ius excludendi.

(21) Relazione di accompagnamento al disegno di legge C 2773, “Modifiche ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”. (22) Salvadori, I reati contro la riservatezza informatica, in Cybercrime diretto da Cadoppi, Canestrari, Manna e Papa, Milano, 2019, 677. (23) Amato Mangiameli - Saraceni, I reati informatici, Torino, 2015, 52. (24) Salvadori, op. cit., 677. (25) Cass. 7 novembre 2000, n. 12732, in Cass. Pen., 2000, 1015; in senso conforme anche Cass. 4 maggio 2006, n. 30663. (26) Amato Mangiameli - Saraceni, op. cit., 53 ss.

(27) Cass. 21 febbraio 2008, n. 36721, in CED Cassazione penale 2008. (28) Cass. 8 luglio 2008, n. 37322, in CED Cassazione penale 2008. Si veda anche Pestelli, Brevi note in tema di accesso abusivo ad un sistema informatico o telematico, in Cass. pen., 2012, 2320 ss. (29) Salvadori, op. cit., 668. (30) Perri, Analisi informatico-giuridica dei reati di frode informatica e accesso abusivo a un sistema informatico o telematico con l’aggravante dell’abuso della qualità di operatore del sistema, in Giur. merito, 2008, 1656.

DIRITTO DI INTERNET N. 4/2019

789

GIURISPRUDENZA PENALE L’introduzione o il mantenimento rilevano solo se abusivi. L’avverbio “abusivamente” è stato oggetto di una opera di costante interpretazione laddove, a latere del principale concetto di abusività quale mancanza originaria di autorizzazione o di sua successiva revoca, nel corso degli anni sono state fornite risposte ad ipotesi di condotte dai caratteri più sfumati, estendendo e delimitando i nuovi confini della categoria di abusività. Un primo orientamento riteneva potersi interpretare il concetto di abusività solo in senso oggettivo, con riguardo esclusivo al momento di accesso o mantenimento (31). Un diverso orientamento, al contrario, riteneva essere compreso nell’alveo dell’art. 615 ter c.p. anche il c.d. abuso soggettivo del titolo di legittimazione, consistente “nella condotta del soggetto che, pur avendo titolo e formale legittimazione per accedere al sistema, vi si introduca per finalità estranee alle ragioni di istituto ed agli scopi sottostanti alla protezione dell’archivio informatico” (32). In merito, si pronunciavano le Sezioni Unite nella nota sentenza “Casani”, stabilendo che “la questione di diritto controversa non debba essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza (per così dire “fisica”) dell’agente in esso. Ciò significa che la volontà contraria dell’avente diritto deve essere verificata solo con riferimento al risultato immediato della condotta posta in essere, non già ai fatti successivi” (33). In particolare, il soggetto agente si deve ritenere non autorizzato ad accedere o a permanere in un sistema informatico non solo “allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema” ma anche “allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito”. In tali situazioni, infatti, “è

(31) Tale orientamento si rifaceva alla Raccomandazione del Consiglio d’Europa che è alla base dell’introduzione della fattispecie in esame nell’ordinamento italiano, la quale interpretava l’avverbio “abusivamente” come “assenza di autorizzazione”, con esclusivo riguardo al momento di accesso o di mantenimento, senza concedere invece rilevanza ad un eventuale abuso del titolo di legittimazione, piegato a finalità diverse o ulteriori rispetto a quelle per le quali era stato concesso. Argomentava, infatti, la Cassazione che “la sussistenza o meno di quella volontà contraria dell’avente diritto, cui si fa cenno nella norma incriminatrice per riconnettervi la configurabilità del reato, va verificata solo ed esclusivamente con riferimento al risultato immediato della condotta posta in essere dall’agente con l’accedere al sistema informatico e con il mantenersi al suo interno e non con riferimento a fatti successivi che, pur se già previsti, potranno però di fatto realizzarsi solo in conseguenza di nuovi e diversi atti di volizione da parte dell’agente medesimo” (Cass. 20 dicembre 2007, n. 2534).

790

proprio il titolo legittimante l’accesso e la permanenza nel sistema che risulta violato”, venendo il dissenso del dominus loci desunto non dalla finalità che anima la condotta dell’agente (ritenuta irrilevante ai fini della punibilità della condotta), “bensì dall’oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema” (34). Nel sottolineare l’irrilevanza delle finalità che hanno motivato l’accesso al sistema informatico, quindi, le Sezioni Unite “Casani” offrivano con chiarezza due paradigmi alla luce dei quali valutare l’abusività della condotta tipica ex art. 615 ter c.p. Da un lato, infatti, ricorre il requisito dell’abusività nei casi di “oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema”, laddove tali diposizioni siano in sé manifestazione di contrarietà del titolare del sistema ad introduzioni o mantenimenti incompatibili o contrari alle medesime. Dall’altro lato, risulta comunque in linea con l’adottata teoria dell’abuso oggettivo del titolo di legittimazione ritenere abusivi gli accessi effettuati per compiere operazioni ontologicamente incompatibili con il titolo di legittimazione stesso. Alcune successive pronunce, relative a casi in cui i soggetti agenti erano dotati di una qualifica pubblicistica, conferivano nuovamente rilevanza al fine per il quale il soggetto agente agiva, che “non riveste certamente valore e significato in sé (come hanno sancito le Sezioni Unite), ma può assumere valore sintomatico, nel senso che può contribuire a chiarire se il soggetto abbia agito nell’ambito dei suoi poteri istituzionali, ovvero al di fuori degli stessi” (35) concretizzando – in quest’ultimo caso – un abuso oggettivo del titolo di legittimazione. Ad avallare questo filone interpretativo intervenivano nuovamente le Sezioni Unite nella sentenza “Savarese”, relativa alla vicenda di un cancelliere in servizio presso una Procura della Repubblica che aveva effettuato accesso al c.d. Re.Ge. per finalità estranee a quelle per le quali erano state attribuite le credenziali di accesso. In tale pronuncia veniva infatti ribadito come l’agire di un soggetto dotato di funzioni pubbliche, debba essere indirizzato alle finalità istituzionali in vista delle quali il rapporto funzionale è instaurato, “traducendosi in abuso della funzione, nell’eccesso e nello sviamento di potere la condotta che si ponga in contrasto con le predette finalità istituzionali” (36). Di conseguenza, l’utilizzo dei sistemi informatici da parte di pubblici dipendenti in contrasto con il “dovere loro imposto dallo statuto personale di eseguire sui sistemi attività che siano in diretta connessione con l’assolvimento della propria funzione” e, pertanto, estranei “alla ratio del conferimento del relativo potere” integra il canone

(32) Cass. 16 febbraio 2010, n. 19463, in Cass. pen., 2011, 2198. In senso conforme anche Cass. 13 febbraio 2009, n. 18006, in Cass. Pen., 2010, 224; Cass. 8 luglio 2008, n. 37322, cit.

(34) Cass. 27 ottobre 2011, n. 4694, cit.

(33) Cass. 27 ottobre 2011, n. 4694, in Cass. pen., 2012, 3681.

(36) Cass. 18 maggio 2017, n. 41210, in Cass. Pen., 2018, 509.

DIRITTO DI INTERNET N. 4/2019

(35) Cass. 24 aprile 2013, n. 22024, in Cass. Pen., 2014, 2535.

GIURISPRUDENZA PENALE dell’”ontologica incompatibilità” delle operazioni, e dunque dell’abusività dell’accesso (37). In tale percorso evolutivo si inserisce l’arresto in commento il quale ha il merito di estendere per la prima volta i principi enunciati nella sentenza “Savarese” anche al settore privato, “nella parte in cui vengono in rilievo i doveri di fedeltà e lealtà del dipendente che connotano indubbiamente anche il rapporto di lavoro privatistico. Pertanto è illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i suddetti doveri manifestandosi in tal modo la “ontologica incompatibilità” dell’accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere”. Tale estensione del concetto di abusività appare densa di conseguenze pratiche. Si pensi all’accesso operato da un dipendete a cartelle comuni (c.d. “shared folder”) dove sono contenuti documenti aziendali ai quali il medesimo aveva accesso per ragioni del proprio impiego: una condotta di scaricamento massivo di tali documenti, quale operazione caratterizzata da “ontologica incompatibilità” con i doveri fiduciari connaturati al rapporto di lavoro, appare oggi coperta dalla tutela offerta dall’art. 615 ter c.p. Circostanza, questa, di non poca rilevanza attesa l’orientamento della Suprema Corte teso ad escludere la configurabilità del reato di furto nel caso di semplice copiatura non autorizzata di file contenuti in un supporto informatico altrui, non comportando tale attività la perdita del possesso della res da parte del legittimo detentore (38).

6. Quale tutela per l’infosfera?

La scelta del legislatore di non fornire una definizione di sistema informatico si è rivelata, nei fatti, fortunata. Facendo leva sulla architettura client-server, è possibile fornire una piena tutela alle situazioni più disparate, accomunate dall’interazione tra più software connessi a dispositivi fisici. Partendo da quanto osservato, infatti, non pare difficile estendere la portata applicativa della norma anche a strutture peer-to-peer basate su interazioni tra diversi client senza l’intermediazione di un server centrale. Il riferimento è in particolare al fenomeno del blockchain quale database distribuito basato proprio sulla decentralizzazione delle funzioni di norma affidate al server centrale. Ancora, la norma appare idonea a dare copertura anche al fenomeno dell’Internet of Things, termine con cui si fa riferimento all’interconnessione di oggetti all’infrastruttura internet attraverso dispositivi informatici incorporati, quali chip di identificazione a radiofrequenza e sensori. Già da tempo, infatti, si è consci del (37) Cass. 18 maggio 2017, n. 41210, cit. (38) Cass. 26 ottobre 2010, n.44840, in Riv. critica dir. lav., 2011, 237.

rischio di hackeraggio di tali dispositivi con conseguente manipolazione del funzionamento degli stessi e rischi anche fisici per le persone coinvolte (39): un accesso ad un frigorifero intelligente è, a conti fatti, tecnicamente e giuridicamente non dissimile da un accesso ad un personal computer. Quest’ultimo aspetto, tuttavia, suggerisce come la norma, seppur sostanzialmente onnicomprensiva, appaia, in alcuni aspetti, non pienamente soddisfacente. Una prima questione attiene alla efficacia dissuasiva della norma, considerando che la stessa potrebbe doversi applicare a condotte potenzialmente foriere di danni enormi. Si pensi, infatti, ad un accesso abusivo non al semplice personal computer o frigorifero ma ad un account personale, come il Google account, il quale permette di accedere a messaggi di posta, archiviazione di dati, calendario ma anche ad altri sistemi informatici quali televisioni, impianti stereo o l’intero sistema domotico di gestione della nostra abitazione. Un abusivo accesso e l’utilizzo indiscriminato di tale spazio virtuale, assimilabile più ad una porzione dell’infosfera che ad un sistema informatico quale “gruppo di apparecchiature”, permette di influenzare amplissime aree della vita di un individuo con conseguenze potenzialmente gravissime, risultando in una forma di attacco alla libertà personale piuttosto che all’inviolabilità del domicilio. Se è vero che la vittima di tale accesso abusivo potrà invocare la tutela dell’art. 615 ter c.p., la lievità della cornice edittale (“fino a tre anni”), segno di una limitata percezione dell’offensività del reato, non appare adeguata a fronte della amplissima attitudine lesiva di tali condotte. Una seconda questione attiene al fatto che le condotte di accesso abusivo raramente sono fini a se stesse ma, più spesso, sono prodromiche al compimento di ulteriori gravi comportamenti, alcuni dei quali ad oggi non provvisti da sanzione penale. Laddove il danneggiamento della casella di posta elettronica può trovare tutela nella disposizione di cui all’art. 635 bis c.p. e l’abusiva lettura della corrispondenza (anche informatica) in quella di cui all’art. 616 c.p., altre gravi condotte appaiono prive di autonoma tutela (40). Solo per fare alcuni

(39) Saetta, Miliardi di oggetti connessi: la sfida dell’Internet delle cose fra innovazione e pericoli, all’indirizzo <https://www.valigiablu.it/oggetti-connessi-internet-of-things-pericoli/>. (40) Come chiarito dalla sentenza in commento, “In riferimento al secondo aspetto, va osservato come le fattispecie richiamate – rispettivamente caratterizzate dalla tutela del contenuto della corrispondenza ex se la prima (art. 616 cod. pen.) e dalla protezione fisica degli apparati informatici la seconda (635 bis cod. pen.) – sanzionano condotte ultronee e successive rispetto alla abusiva introduzione in sistema informatico protetto. Invero, integra il reato di violazione, sottrazione e soppressione di corrispondenza (art. 616 cod. pen.) la condotta di colui che prende cognizione del contenuto della corrispondenza telematica conservata nell’archivio di posta elettronica (V. Sez. 5, n.12603 del 02/02/2017, Segagni, Rv. 269517); condotta logicamente e cronologicamente progressiva rispetto all’a-

DIRITTO DI INTERNET N. 4/2019

791

GIURISPRUDENZA PENALE esempi: il furto di dati si ritiene oggi punibile solo se accompagnato dall’appropriazione del supporto sui quali i medesimi dati sono impressi laddove, in forza dell’attuale formulazione dell’art. 623 c.p., è invece sanzionato l’indebito uso o divulgazione dei soli “segreti commerciali” e di notizie destinate a rimanere segrete “sopra scoperte o invenzioni scientifiche”; ancora, l’inserimento di una autonoma fattispecie penale per punire il furto di identità digitale non ha mai superato lo stadio della proposta di legge (41). È agevole comprendere come, per tali ragioni, una condotta di accesso abusivo a sistema informatico appaia una modalità particolarmente efficace per ottenere informazioni e documenti riservati al fine di porre in essere, tra gli altri, atti di concorrenza sleale. Una terza questione è legata alle difficoltà nell’individuare e nel procedere nei confronti dell’autore materiale del reato. L’individuazione di una risorsa in rete può essere una operazione complessa, resa ancora più difficoltosa nei casi in cui l’autore del reato sia soggetto capace di celare la propria identità attraverso strumenti tecnici. Una volta individuata la risorsa in rete, peraltro, non sempre è agevole individuare il relativo utente persona fisica. Richiamando la precedente ipotesi di accessi abusivi finalizzati ad atti di concorrenza sleale, la condotta delittuosa è spesso perpetrata in un contesto societario: in tali situazioni, l’individuazione dell’autore materiale dell’accesso non solo può essere difficile – si pensi al caso di un reato commesso attraverso un terminale accessibile a più dipendenti – ma a volte non è neppure dirimente, posto che in casi del genere si assiste ad un “sopravanzamento della illegalità di impresa sulle illegalità individuali” (42). Ulteriori problematiche sono poi legate alla natura transazionale della rete: se l’autore materiale del reato è un soggetto fisicamente ubicato all’estero, oltre a eventuali questioni controverse in

tema di giurisdizione, si riscontrano spesso difficoltà ad indentificare ed acquisire le prove dell’illecito. In che modo è possibile affrontare tali problematiche? Una iniziale risposta potrebbe essere fornita da un più adeguato ricorso alla disciplina del d.lgs. n. 8 giugno 2001 n. 231 che, all’art. art. 24 bis, punisce i reati informatici: oltre ad una maggiore dissuasività, data dalla applicazione di sanzioni pecuniarie e interdittive nei confronti dell’ente e dalla possibilità di confiscare (e sequestrare nel corso delle indagini) il profitto del reato anche per equivalente, l’art. 8 permetterebbe di perseguire l’ente anche nei casi in cui l’autore del reato rimanesse non identificato a causa dell’opacità interna dell’organizzazione dell’ente. Gli strumenti ad oggi disponibili, tuttavia, non appaiono sufficienti per lo meno con riferimento a condotte perpetrate da singole persone fisiche né a condotte, ulteriori rispetto a quelle di abusivo accesso, non ancora coperte da sanzione penale. La crescente pervasività delle ICT nella attuale società, porzione di una più ampia e evidente dipendenza degli algoritmi nelle nostre vite (43), impone una maggiore sensibilità del legislatore in merito ai potenziali effetti dirompenti che accessi informatici non autorizzati possono avere nelle vite delle persone, fisiche e giuridiche, al fine di fornire non solo una protezione adeguata al domicilio informatico ma anche una chiara valorizzazione e tutela dei diversi e connessi beni giuridici esposti a lesione in ragione di un accesso abusivo.

busiva introduzione nel sistema. Allo stesso modo, il reato di danneggiamento di dati informatici, di cui agli artt. 635 bis e ss. cod. pen., si configura in presenza di una condotta finalizzata ad impedire che il sistema funzioni (Sez. 2, n.54715 del 01/12/2016, Pesce, Rv. 268871), in presenza del requisito dell’altruità (Sez. 2, n.38331 del 29/04/2016, Pagani, Rv. 268234). Di guisa che le predette fattispecie, che si pongono in rapporto di alterità rispetto al reato di cui art. 615 ter cod. pen. possono con il medesimo concorrere, ma non ne riassumono ed esauriscono il disvalore. Deve essere pertanto affermato il principio per cui, in ipotesi di accesso abusivo ad una casella di posta elettronica protetta da password, il reato di cui art. 615 ter cod. pen. concorre con il delitto di violazione di corrispondenza in relazione alla acquisizione del contenuto delle mail custodite nell’archivio e con il reato di danneggiamento di dati informatici, di cui agli artt. 635 bis e ss. cod. pen., nel caso in cui, all’abusiva modificazione delle credenziali d’accesso, consegue l’inutilizzabilità della casella di posta da parte del titolare”. (41) Per una analisi in merito, Caraccioli, La tutela penale dell’’identità digitale, in Dir. pen. cont., Milano, 2018, V, 265 ss., all’indirizzo <https:// www.penalecontemporaneo.it/d/6079-la-tutela-penale-dell-identita-digitale>. (42) Relazione ministeriale al d.lgs. n. 8 giugno 2001 n. 231.

792

DIRITTO DI INTERNET N. 4/2019

(43) Fry, Hello World: How to be Human in the Age of the Machine, Torino, 2018, 14 ss.

GIURISPRUDENZA AMMINISTRATIVA

L’inesistenza del ricorso clone informatico Consiglio di G iustizia A mministrativa per la Regione Siciliana ; Sezione giurisdizionale; ordinanza 12 settembre 2019, n. 615; Pres. De Nictolis; Rel. Caleca; Omissis (avv. Le Pera) c. Ministero dell’Interno e Questura di Palermo. Il mero duplicato informatico di un ricorso già presentato dalla medesima parte avverso la stessa ordinanza è giuridicamente inesistente, in quanto non sorretto dalla volontà della parte di proporlo e depositarlo.

…Omissis… Vista l’istanza dell’appellante di cancellazione del presente ricorso in quanto mero duplicato informatico del ricorso n. 754/2019, proposto dalla stessa parte avverso la medesima ordinanza e trattato all’udienza odierna; rilevato che il presente ricorso è un mero duplicato informatico del ricorso n. 754/2019; ritenuto che un ricorso che sia il “clone informatico” di un ricorso già presentato è giuridicamente “inesistente” come autonomo ricorso, non essendo sorretto dalla volontà della parte di proporlo e depositarlo, ma essendo il risultato di imperscrutabili errori o difetti del sistema informatico, le cui cause è qui irrilevante acclarare, per evidenti ragioni di economia processuale, essendo inve-

ce sufficiente l’ovvia constatazione che il sistema informatico non è un ente giuridico a cui sia riconosciuta la capacità giuridica e di agire e men che meno quella di proporre un ricorso giurisdizionale; ritenuto che non vi è luogo a provvedere su un ricorso inesistente. P.Q.M. Il Consiglio di Giustizia Amministrativa per la Regione Siciliana, in sede giurisdizionale, dispone il non luogo a provvedere. La presente ordinanza sarà eseguita dall’Amministrazione ed è depositata presso la segreteria della Sezione che provvederà a darne comunicazione alle parti. …Omissis…

IL COMMENTO di Paolo Clarizia

Sommario: 1. La reviviscenza della nozione di inesistenza degli atti processuali a seguito della telematizzazione del processo amministrativo. – 2. Il ricorso clone informatico. - 3. Le cause della duplicazione del ricorso. – 4. Il regime dell’inesistenza e gli strumenti di rimozione del clone informatico. Il Consiglio di Giustizia Amministrativa per la Regione Siciliana ha affermato che il ricorso clone informatico è inesistente. L’inesistenza del ricorso determina l’inidoneità degli atti a produrre effetti giuridici. Conseguentemente gli atti depositati nell’ambito del procedimento duplicato non appaiono suscettibili di essere conservati nel giudizio originario e il contributo unificato non appare dovuto. Controversa risulta poi la modalità di rimozione del ricorso clone. Mentre secondo i giudici siciliani è necessario l’accertamento giudiziale dell’inesistenza del ricorso, sembrerebbe sufficiente l’istanza di cancellazione, presentata dalla parte responsabile dell’atto inesistente. The Consiglio di Giustizia Amministrativa per la Regione Siciliana declared that the clone appeal is non-existent. The inexistence of the appeal determines the inability of the act to produce legal effects. Consequently, the acts registered in the duplicated judgement do not appear to be kept in the original judgment and the court fee does not appear to be due. The way to remove the clone appeal is controversial. While according to Sicilian judges it is necessary to make a judicial assessment of the non-existence of the appeal, it would seem sufficient the request for cancellation presented by the party responsible for the non-material act.

DIRITTO DI INTERNET N. 4/2019

793

GIURISPRUDENZA PENALE 1. La reviviscenza della nozione di inesistenza degli atti processuali a seguito della telematizzazione del processo amministrativo

A seguito della telematizzazione del processo amministrativo a opera del d.P.C.m. 16 febbraio 2016, n. 40 (1) nella giurisprudenza amministrativa si sono moltiplicati i riferimenti alla nozione di inesistenza (2) in relazione al regime applicabile ad atti o attività processuali adottati in violazione delle specifiche tecniche. Riferimenti alla categoria dell’inesistenza raramente rinvenibili nelle decisioni dei giudici amministrativi antecedenti all’informatizzazione, che hanno trattato tale istituto in relazione per lo più alla notificazione del ricorso (3) o al regime dei provvedimenti amministrativi. Parimenti anche in dottrina la questione relativa all’inesistenza degli atti processuali è stata esaminata in modo sporadico e conciso (4) focalizzando l’attenzione prevalentemente sul diritto sostanziale (5).

(1) Tra i primi commenti all’introduzione del processo amministrativo telematico si annoverano Pisano, Il processo amministrativo telematico, Roma, 2017; Freni - Clarizia (a cura di), Il nuovo processo amministrativo telematico, Milano, 2016; Tamburro, Il processo amministrativo telematico (PAT), Milano, 2016; Giurdanella - Guarnaccia, Il processo amministrativo telematico (PAT), Rimini, 2017; Freni - Clarizia (a cura di), Le novità del processo amministrativo telematico, Milano, 2017; Anselmi - Macchiavello, Il processo amministrativo telematico, Milano, 2018. Seppur già tre anni prima dell’adozione delle specifiche tecniche di cui al D.P.C.M. 16 febbraio 2016, n. 40 aveva trattato compiutamente il tema Pisano, Manuale di teoria e pratica del processo amministrativo telematico, Milano, 2013. (2) L’istituto dell’inesistenza ha sollevato molteplici dubbi in ordine alla stessa configurabilità concettuale dell’istituto, il quale è tuttavia ritenuto indispensabile al fine di ricondurre a una categoria giuridica gli atti incapaci di produrre qualsivoglia effetto giuridico. Per una recente ricostruzione dei diversi indirizzi sul rapporto tra nullità e inesistenza considerato uno degli snodi più problematici dell’intera teoria dell’invalidità degli atti giuridici si v. Mazzucca, “Inesistenza” e “nullità”: spunti critici dal diritto processuale, in Judicium, 2018. (3) Ad esempio, C. Stato, 25 maggio 2012, n. 3087. (4) Del resto, se si sfoglia un manuale di diritto processuale amministrativo o di giustizia amministrativa non si rinviene alcun riferimento all’inesistenza del ricorso o degli ulteriori atti del processo (tuttalpiù esclusivamente all’inesistenza della notificazione). Ad esempio, alcun riferimento all’inesistenza del ricorso o di altri processuali è contenuto in Travi, Lezione di Giustizia Amministrativa, Torino, 2010, Chieppa, Il Codice del Processo Amministrativo, Milano, 2010, Freni - Clarizia (a cura di), Il processo amministrativo nella giurisprudenza. Commento sistematico ai principali istituti, Milano, 2012, Corradino - Sticchi Damiani (a cura di), Il processo amministrativo, Torino, 2015; così anche Morbidelli (a cura di), Codice della Giustizia amministrativa, Milano, 2015. (5) In particolare, Caranta, L’inesistenza dell’atto amministrativo, Milano, 1979, 104 e ss., Caranta, Variazioni sull’inesistenza dell’atto amministrativo adottato in situazione di carenza di potere, in Giust. Civ., 1999, 211 e ss., D’Orsogna, Il problema della nullità in diritto amministrativo, Milano, 2004, 9 e ss. e, più recentemente, Cerulli Irelli, Invalidità ed inesistenza degli atti amministrativi e delle leggi (prime osservazioni), Diritto Pubblico, 2015, 203 e ss. Si vedano anche Treves, La presunzione di legittimità degli atti amministrativi, Padova, 1936, 31 e De Valles, Un concetto errato: gli atti giuridicamente inesistenti, in Foro it., I, 1953 che negavano la distinzione tra nullità e inesistenza.

794

DIRITTO DI INTERNET N. 4/2019

A seguito della informatizzazione e telematizzazione del processo amministrativo, invece, la categoria dell’inesistenza è stata richiamata dai Giudici amministrativi in molteplici occasioni, seppur il più delle volte ne è stata esclusa la configurabilità in applicazione di un approccio sostanzialista, volto alla conservazione degli effetti degli atti processuali. In particolare, l’inesistenza è stata presa in esame con riferimento alla proposizione di ricorso analogico (rectius: cartaceo) (6), al deposito di un atto digitale privo di sottoscrizione (7), alla sottoscrizione di un atto con firma cades (anziché pades) (8), alla mera duplicazione del deposito di uno stesso ricorso, alla notifica tramite posta elettronica certificata del ricorso prima dell’espressa introduzione di un fondamento giuridico con il d.P.C.m. 16 febbraio 2016, n. 40 (9) e alla notifica avvenuta in violazione delle disposizioni (10). Le ragioni della reviviscenza di tale istituto appaiono rinvenibili nella scelta, forse non adeguatamente ponderata, del legislatore di prevedere l’introduzione del processo amministrativo telematico con una tempistica estremamente stretta e senza alcuna gradualità (11). Da un lato, gli operatori giuridici, privi delle necessarie conoscenze e competenze di informatica giuridica, sono risultati impreparati all’improvvisa telematizzazione del processo (12) amministrativo che ha determinato una moltiplicazione di atti adottati e/o depositati in palese (6) T.a.r. Lazio, Rm, 30 maggio 2019, n. 6900, T.a.r. Sicilia, Ct, 17 dicembre 2018, n. 2422, T.a.r. Puglia, Le, 31 ottobre 2018, n. 1616, T.a.r. Puglia, Le, 9 maggio 2018, n. 788, T.a.r. Campania, Na, 2 maggio 2018, n. 2936, C.Stato, 7 febbraio 2018, n. 817, C.Stato, 4 gennaio 2018, n. 56, C.Stato, 24 novembre 2017, n. 5490 e C.Stato, 4 aprile 2017, n. 1541, seppur è stato escluso che l’atto introduttivo del giudizio, depositato come copia digitale per immagine, privo della firma digitale, sia inesistente, configurando una mera irregolarità. (7) T.a.r. Veneto, 24 dicembre 2018, n. 1201, seppur ha escluso l’inesistenza del ricorso digitale privo di sottoscrizione. (8) T.a.r. Lazio, Rm, 10 settembre 2018, n. 9209, C.Stato, 5 febbraio 2018, n. 744, T.a.r. Campania, Na, 31 gennaio 2018, n. 673 e T.a.r. Basilicata, 14 febbraio 2017, n. 160, anche se i giudici hanno ritenuto l’atto nullo e non inesistente. (9) C. Stato, 20 gennaio 2016, n. 189, seppur successivamente C.Stato, A.P., 19 settembre 2017, n. 6 ha ritenuto comunque valida la notifica per posta elettronica certificata effettuata senza la previa autorizzazione del Presidente del Tribunale prima dell’espressa previsione normativa. (10) T.a.r. Puglia, Ba, 23 luglio 2019, n. 1060, C.Stato, 15 maggio 2019, n. 3151, T.a.r. Campania, Na, 4 febbraio 2019, n. 562, T.a.r. Calabria, CZ, 15 novembre 2018, n. 1954 T.a.r. Puglia, Le, 22 ottobre 2018, n. 1520, T.a.r. Calabria, 23 aprile 2018, 949 e T.a.r. Campania, Na, 4 aprile 2017, n. 1799. (11) Tali caratteristiche sono evidenziate da Freni, Introduzione: il processo di domani, in Il nuovo processo amministrativo telematico, a cura di Freni e Clarizia, op.cit, 1. (12) Pisano, Il processo amministrativo telematico, op. cit., 41 e ss. aveva previsto la situazione di “caos telematico” nel quale si sarebbero trovati gli operatori giuridici a causa dell’introduzione di concetti e definizioni proprie dell’informatica giuridica.

GIURISPRUDENZA PENALE violazione delle nuove regole informatiche e delle specifiche tecniche (13). Da un altro lato, le disposizioni con le quali è stato introdotto il processo amministrativo telematico, che ha imposto l’utilizzo esclusivo dei documenti digitali e delle modalità telematiche di deposito degli atti, senza prevedere il doppio binario per un lungo periodo di tempo, hanno previsto la sanzione dell’invalidità per il deposito di atti cartacei o per il mancato utilizzo di documenti nativi digitali.

2. Il ricorso clone informatico

Nell’ambito di tale nuovo orientamento giurisprudenziale il Consiglio di Giustizia Amministrativa per la Regione Siciliana ha adottato l’ordinanza del 12.9.2019, n. 615 con la quale ha dichiarato inesistente un ricorso (nel caso di specie un appello cautelare) che costituiva una mera duplicazione informatica del medesimo atto con il quale era stato già instaurato innanzi alla medesima autorità giudiziaria un giudizio avverso la medesima ordinanza cautelare (14). In precedenza, la Sezione III quater del Tar del Lazio, con due pronunce del 2018, aveva già trattato la questione del regime applicabile all’instaurazione di un processo clone di un giudizio già esistente, seppur rapidamente e senza uno specifico approfondimento del tema del regime applicabile al duplicato informatico (15). Con tali sentenze, infatti, il Collegio, nel definire il procedimento principale, ha annullato il ricorso depositato successivamente in quanto mero duplicato informatico del primo, prevedendo altresì che nell’ambito del giudi-

(13) In base alle statistiche pubblicate dal Consiglio di Stato all’indirizzo <https://www.giustizia-amministrativa.it/statistiche>, nel 2017 su 290.909 depositi di atti o memorie 22.357 sono stati respinti, pari a quasi il 7,7%. La percentuale dei ricorsi rifiutati per errore tecnico, dopo un valore iniziale di gennaio 2017 del 21%, è scesa a una soglia che negli ultimi mesi del medesimo anno (novembre e dicembre) si è assestata sotto il 6% e nel primo trimestre del 2018 è risalita al 8%. Gli errori più frequenti sono risultati la mancata allegazione dell’atto da depositare alla comunicazione di posta elettronica certificata (pari al 37%, nel 2017 e al 28% nel primo trimestre del 2018), la trasmissione del deposito da parte di un mittente non costituito nel collegio difensivo (pari al 16,2% nel 2017 e al 20% nel primo trimestre del 2018), l’indicazione nel modulo di deposito di un numero di ruolo generale inesistente (pari al 10,9% nel 2017 e al 12% nel primo trimestre del 2018), l’apposizione sul modulo di una firma digitale invalida (pari al 6,1% nel 2017 e al 5% nel primo trimestre del 2018) e l’utilizzo di moduli di deposito risalenti e non aggiornati (pari al 5,9% nel 2017 e al 16% nel primo trimestre del 2018). (14) Questione, tuttavia, che assume rilievo anche ai fini pratici in tutti i casi di inserimento nei moduli di deposito di indicazioni divergenti da quelle contenute negli atti depositati, ovvero nelle ipotesi di deposito di atti o documenti in giudizi diversi (a causa di un errore nell’indicazione dell’autorità giudiziaria, ovvero del numero di ruolo). (15) Nelle sentenze del T.a.r. Lazio, Rm, 21 giugno 2018, n. 6921 e 5 luglio 2018, n. 7459.

zio originario avrebbero dovuto essere conferiti tutti gli atti depositati nell’ambito del processo clone (16). Nonostante l’assenza di un articolato iter argomentativo dalle richiamate statuizioni si possono comunque desumere alcune indicazioni in merito al regime ritenuto applicabile dal Tar all’ipotesi di duplicazione del ricorso (rectius: di duplicazione del deposito del medesimo ricorso). In primis, il Tar ha ritenuto il ricorso (o, forse, sarebbe più corretto affermare il deposito del ricorso) invalido, in quanto oggetto di annullamento, ma comunque esistente. In secondo luogo, in ragione della qualificazione dell’atto come invalido il Tar ha previsto la conservazione degli effetti giuridici degli atti del giudizio duplicato prevedendo il conferimento degli atti ivi depositati nel giudizio originario. Del resto, l’atto processuale invalido, in quanto esistente, è astrattamente idoneo a essere comunque produttivo di effetti giuridici in assenza dell’accertamento della stessa invalidità da parte del Giudice, ovvero a seguito di sanatoria, di conversione o, comunque, in tutte le ipotesi di raggiungimento dello scopo attribuito dall’ordinamento giudico. Tuttavia, nei due richiamati precedenti il Tar nel disporre l’annullamento del ricorso clone informatico ha omesso di qualificare e/o individuare il vizio che avrebbe inficiato il duplicato, ovvero quale sarebbe stata la norma processuale violata. Nonostante l’assenza di indicazioni non sembra che l’annullamento possa essere stato fatto discendere dalla circostanza che la medesima azione processuale sia stata già proposta. Nel processo amministrativo, l’esercizio dell’azione processuale non determina la nullità dell’atto con il quale si esercita nuovamente la medesima potestà (rectius: facoltà), quanto piuttosto la sua inammissibilità. Conseguentemente l’unico vizio che sembrerebbe applicabile alla fattispecie della duplicazione è rinvenibile nell’errore quale vizio della volontà. Tuttavia, la duplicazione del ricorso o del deposito non appare configurabile alla stregua di un’anomalia nel giudizio o nella valutazione dei fatti. Il Consiglio di Giustizia Amministrativa per la Regione Siciliana con la citata ordinanza ha interpretato diversamente il regime del clone informatico, affermando

(16) Si legge, infatti, “in primo luogo va annullato il ricorso [clone] in quanto mero duplicato informatico del ricorso [originario] nell’ambito del quale andranno dunque conferiti tutti gli atti recati dal ricorso [clone]”. Decisione che, a onor del vero, appare viziata da ultrapetizione, in quanto l’annullamento del ricorso è stato pronunciato nell’ambito del giudizio originario e non nell’ambito del processo clone che era stato instaurato con il ricorso clone di cui i contenuti di questo ultimo erano l’oggetto.

DIRITTO DI INTERNET N. 4/2019

795

GIURISPRUDENZA PENALE che il duplicato deve essere considerato “giuridicamente ‘inesistente’ come autonomo ricorso, non essendo sorretto dalla volontà della parte di proporlo e depositarlo”. Differente qualificazione giuridica che assume rilievo ai fini della determinazione del regime applicabile agli atti, alla possibilità di conservazione o di conversione degli atti ai fini della produzione di effetti giuridici, nonché alle modalità di accertamento e rimozione degli effetti prodotti. Secondo i giudici siciliani la presentazione di un ricorso identico a uno già iscritto a ruolo non comporta l’instaurazione di un nuovo giudizio, in quanto tale atto, non essendo sorretto della volontà della parte di proporlo e depositarlo, sarebbe giuridicamente inesistente come ricorso autonomo. Nell’ordinanza si afferma, infatti, che il clone informatico sarebbe “il risultato di imperscrutabili errori o difetti del sistema informatico, le cui cause è qui irrilevante acclarare, per evidenti ragioni di economia processuale, essendo invece sufficiente l’ovvia constatazione che il sistema informatico non è un ente giuridico a cui sia riconosciuta la capacità giuridica e di agire e men che meno quella di proporre un ricorso giurisdizionale” (17). A fronte dell’accertamento dell’inesistenza come ricorso autonomo dell’atto introduttivo del giudizio il Consiglio di Giustizia Amministrativa ha adottato una sentenza di non luogo a provvedere.

3. Le cause della duplicazione del ricorso

Innanzitutto, occorre chiarire che il ricorso clone non costituisce un duplicato (o una duplicazione) del ricorso originario. Il clone informatico si genera, infatti, quando il SIGA iscrive più processi, con differenti numeri di ruolo generale, relativi al medesimo ricorso. Inoltre tale fenomeno non costituisce il risultato di imperscrutabili errori o difetti del sistema informatico quanto, più “banalmente”, la conseguenza della trasmissione di più messaggi di posta elettronica certificata contenenti il medesimo modulo di deposito alla segreteria della sezione dell’autorità giudicante (18). Trasmissione di molteplici comunicazioni di posta elettronica certificata che può dipendere da un errato funzionamento del provider, ovvero da una disattenzione del difensore del ricorrente

(17) Tra l’altro alla stregua delle più recenti ricostruzioni dottrinarie in tema di attribuzione della responsabilità per gli errori determinati dall’applicazione dei sistemi informatici complessi non appaiono condivisibili neppure le ulteriori affermazioni circa la non imputabilità di eventuali errori al SIGA; si v. Ruffolo, Intelligenza artificiale e responsabilità, Milano, 2018 e Avanzini, Decisioni amministrative e algoritmi informatici. Predeterminazione, analisi predittiva e nuove forme di intelligibilità, Napoli, 2018. (18) Così D’Alessandri, PAT: dovuto il contributo unificato in caso di clone informatico del ricorso?, in Quotidiano Giuridico, 2019, all’indirizzo <http:// www.quotidianogiuridico.it>.

796

DIRITTO DI INTERNET N. 4/2019

che per distrazione ripete l’operazione di invio del messaggio. Alla luce di tale chiarimento la ricostruzione del Consiglio di Giustizia Amministrativa secondo la quale il clone informatico sarebbe inesistente, in quanto non sorretto dalla volontà del ricorrente (o del suo difensore) di proporre l’atto, appare senz’altro condivisibile purché sia chiaro che l’atto non è imputabile al SIGA. Del resto nel caso di specie il ricorso (ovvero il deposito del ricorso) esiste nella sua materialità, in quanto esiste la seconda trasmissione del modulo tramite posta elettronica certificata. Qualora, infatti, la generazione del ricorso clone fosse imputabile al Sistema Informatico della Giustizia Amministrativa evidentemente l’atto non esisterebbe neppure nella sua materialità, in quanto non sarebbe imputabile al ricorrente o al suo difensore. Laddove, invece, il clone sia conseguenza di una reiterata trasmissione della comunicazione di posta elettronica certificata con la quale è depositato o iscritto il ricorso appare configurabile un’ipotesi di inesistenza giuridica dell’atto processuale. Inesistenza che, tuttavia, è configurabile soltanto nel caso in cui l’atto sia privo degli elementi costitutivi essenziali capaci di consentire allo stesso di raggiungere la funzione sociale attribuita dall’ordinamento. Nel caso di specie appare evidente che la funzione sociale non può essere raggiunta in assenza di volontà del ricorrente (ovvero del suo difensore) di adottare l’atto. La mancanza assoluta di volontà di adozione dell’atto non consente, invero, di attribuire gli effetti dell’atto all’agente, determinando l’inesistenza giuridica dello stesso. Nell’ipotesi di clone informatico, infatti, non appare configurabile un vizio della volontà, inteso quale errore, ovvero una divergenza tra forma dell’atto e volontà, bensì il difetto assoluto della volontà della parte di proporre un ricorso autonomo determinato da una distrazione o disattenzione del difensore che involontariamente ha duplicato l’invio del modulo di deposito del ricorso, comportando una duplice iscrizione al ruolo e una duplicazione del giudizio in relazione al medesimo atto (19). Il compimento di un atto involontario in assenza di consapevolezza o di volontà non è sussumibile nella categoria dell’errore, che sarebbe, invece, una causa di invalidità (annullamento) dell’atto, in quanto non è rinvenibile una divergenza tra la realtà e la rappresentazio-

(19) Fattispecie analoga all’errore nel quale incorre il difensore laddove deposita una memoria o un documento in un giudizio diverso per un’errata indicazione del numero di ruolo generale del ricorso, ovvero nel caso di indicazione nel modulo o nell’epigrafe dell’atto di un’istanza non proposta.

GIURISPRUDENZA PENALE ne della stessa in capo all’agente (20). Nel caso di specie una rappresentazione della realtà non c’è stata a causa della distrazione dell’agente.

4. Il regime dell’inesistenza e gli strumenti di rimozione del clone informatico

L’inesistenza giuridica dell’atto determina l’incapacità dello stesso a produrre qualsivoglia effetto ed esclude l’operatività delle regole volte ad ammetterne la conservazione o conversione degli effetti (21). In tale prospettiva il clone informatico del ricorso è insuscettibile di determinare qualsivoglia effetto giuridico. Conseguentemente eventuali atti giuridici depositati nell’ambito del giudizio duplicato non possono essere conservati o comunque conferiti nel processo originario, o in altro procedimento. Ulteriore conseguenza dell’inesistenza del ricorso clone è rappresentata dalla non debenza del contributo unificato per le spese di giustizia relative al processo duplicato (22). Se il processo duplicato non esiste viene meno, in radice, qualsivoglia titolo fondante il tributo, id est: l’introduzione di un giudizio autonomo. Di difficile soluzione appare poi la questione relativa ai rimedi esperibili per eliminare il giudizio clone dal SIGA. Il Consiglio di Giustizia Amministrativa, nonostante la presentazione da parte del ricorrente o del suo difensore di apposita istanza di cancellazione, ha ritenuto necessario dichiarare l’inesistenza del ricorso clone tramite l’adozione della richiamata ordinanza, disponendo, a seguito del predetto accertamento, il non luogo a provvedere. Tuttavia, l’accertamento giudiziale dell’inesistenza non appare necessario. L’eliminazione del ricorso clone potrebbe essere disposta a seguito dell’istanza di cancellazione presentata dal difensore del ricorrente direttamente dalla segreteria dell’Autorità giudicante, senza il necessario accertamento giudiziale della stessa (23).

L’iscrizione del ricorso, l’attribuzione del numero di ruolo generale e la costituzione del fascicolo sono attività di competenza della segreteria, non imputabili al Collegio o al Presidente (24). Conseguentemente a fronte dell’istanza di cancellazione presentata dal difensore della parte cui è imputabile, per lo meno nella sua materialità, il ricorso clone, non sembra esservi la necessità di una pronuncia del giudice con la quale prendere atto dell’inesistenza del giudizio duplicato, al fine di eliminare anche dal SIGA il processo duplicato.

(20) Si tratta, dunque, secondo la chiara definizione di Carnelutti, Della volontà degli atti processuali, in Il Foro Italiano, 1937, IV, 373 e ss. di uno di quei “movimenti compiuti in quello stato psichico, che si chiama disattenzione o anche distrazione (e quest’ultima parola ne mette in rilievo l’analogia con ipotesi precedente), in virtù del quale il pensiero, vuoi per la attrazione di un altro oggetto, vuoi per stanchezza o per altra causa, è distratto dal vigilare il movimento medesimo; a questo proposito la pratica parla di errore involontario (svarione, da svariare, che vale distrarsi), ma la verità è che lo svarione è un fenomeno diversi dall’errore, com’è diverso il difetto (mancanza) del vizio di volontà; questa è però l’ipotesi di difetto più vicina al vizio”. (21) Caringella, Corso di diritto amministrativo, Milano, 2005, 1743 ss. (22) D’Alessandri, op. cit. (23) Del resto sul punto Carnelutti, op. cit., già nel 1937 chiariva che il rimedio per eliminare l’atto adottato in difetto di volontà è “costituito dalla correzione dell’atto”, o dalla mera “dichiarazione” contraria di colui cui è imputabile la distrazione.

(24) Del resto ai sensi della F.A.Q. n. 30 pubblicata sul portale della Giustizia Amministrativa all’indirizzo <https://www.giustizia-amministrativa.it/web/guest/faq> “nel caso siano effettuati depositi multipli di un identico atto difensivo, la Segreteria, qualora si accorga dell’anomalia, invia all’avvocato una “comunicazione di cortesia”, segnalandogli l’accaduto per le sue successive determinazioni”.

DIRITTO DI INTERNET N. 4/2019

797

GIURISPRUDENZA AMMINISTRATIVA

Il principio di appartenenza del DPO alla persona giuridica aggiudicataria del servizio T.A.R. Lecce ; sezione III; sentenza 13 settembre 2019, n. 1468; P res. D’A rpe ; E st. Baraldi ; R. Rizzi ( avv . R. Barsi) c. Comune di Taranto ( avv . A. M. Buccoliero). La persona fisica che svolge le funzioni di R.P.D., quando la stessa è stata assegnata ad una persona giuridica, deve necessariamente essere un membro della stessa, ossia “appartenere” alla medesima.

…Omissis… Fatto. La Dr.ssa R. R., odierna ricorrente, ha partecipato all’Avviso pubblico per manifestazione di interesse, per titoli, curriculum vitae e presentazione del progetto inerente all’oggetto della gara informale, indetta dal Comune di Taranto per il conferimento dell’incarico biennale per l’attuazione del Regolamento U.E. n. 679 del 2016 sulla protezione dei dati personali ed individuazione del Responsabile per la Protezione dei Dati (R.P.D.), ai sensi dell’art. 36, comma 2, lett. a), del D. Lgs. n. 50 del 2016 del Comune di Taranto, Avviso pubblicato sul sito del Comune di Taranto nonché all’Albo pretorio del Comune stesso. La Commissione giudicatrice, nominata dal Comune di Taranto con D.D. n. 317 del 2018, nel corso delle sedute del 12 novembre 2018 e del 4 dicembre 2018 ha proceduto alla valutazione delle istanze pervenute dai tredici candidati esaminando i titoli, il curriculum vitae ed il progetto presentato dai medesimi riguardo le attività oggetto dell’Avviso pubblico. Al termine dei lavori, la predetta Commissione ha proceduto a stilare una graduatoria finale, pubblicata in data 14 dicembre 2018 sul sito del Comune di Taranto; comunicazione effettuata via p.e.c. all’odierna ricorrente il 17 dicembre successivo. Indi la Stazione appaltante resistente ha effettuato le verifiche previste per legge presso il casellario giudiziale, per accertare il possesso dei requisiti di ordine generale in capo al primo ed al secondo classificato, all’esito delle quali verifiche è emersa una condanna penale non dichiarata da parte del concorrente risultato primo classificato che, pertanto, è stato escluso dalla gara per violazione di quanto disposto dal D. Lgs. n. 50/2016 e ss.mm.ii.. …Omissis… La Commissione esaminatrice - dunque - ha provveduto a stilare una seconda graduatoria, dandone comunicazione con la pubblicazione della stessa sul portale del Comune di Taranto.

Con riferimento alle graduatorie la Commissione ha espresso la seguente valutazione: “N. T. punteggio 90, R. R. punteggio 75”, quest’ultima risultata quindi seconda classificata e, pertanto, non vincitrice. Avverso gli atti sopra richiamati, nonché gli ulteriori menzionati in epigrafe, ha proposto il ricorso introduttivo del presente giudizio la Dr.ssa R. R., chiedendone l’annullamento previa sospensione degli stessi, deducendo il seguente articolato motivo: - Violazione dell’articolo 80 e ss. del D. Lgs. n. 50/2016; Violazione della normativa del bando di concorso. Eccesso di potere per contraddittorietà illogicità, irragionevolezza, travisamento, ingiustizia manifesta. Violazione degli artt. 97 e 113 Costituzione. Si è costituito in giudizio, in data 1° marzo 2019, il Comune di Taranto, che ha prodotto memoria con cui ha chiesto la reiezione del ricorso, nonché copiosa documentazione relativa alla gara svolta. All’esito dell’udienza in Camera di Consiglio del 5 marzo 2019, è stata emessa, in data 6 marzo 2019, l’ordinanza cautelare n. 130/2019, con cui questa Sezione ha accolto la proposta domanda di sospensione degli atti impugnati “considerato, in particolare, che, pur non essendovi dubbi circa il fatto che anche una persona giuridica potesse partecipare alla gara informale de qua svolta dal Comune di Taranto per l’attribuzione dell’incarico per l’attuazione del Regolamento U.E. n. 679/2016 e l’individuazione del Responsabile Protezione Dati, procedura indetta con Avviso di Manifestazione di interesse del Comune di Taranto approvato con determina n. 239/2018, risulta - illegittimamente - non chiarito (in sede di gara), come rilevato dal ricorrente nel quinto motivo di ricorso, “il legame fra la società I. S.r.l. e il sig. F. M.. Questi non è un socio della Società, ma pare non esserne neanche dipendente. Non è chiaro se la Società abbia inteso subappaltare il lavoro, né tantomeno a che titolo la società potrebbe essere chiamata dal Comune di Taranto per eventuali inadempimenti e/o danni provocati dal detto soggetto.”; tale doglianza risulta vieppiù

DIRITTO DI INTERNET N. 4/2019

799

GIURISPRUDENZA PENALE fondata e rilevante rispetto alla documentazione prodotta in giudizio dal Comune di Taranto e, in particolare, le Linee Guida sui responsabili della protezione dati, di rilievo europeo, emanate dal Gruppo di lavoro per la protezione dei dati, che espressamente prevedono, nel caso in cui la funzione di R.P.D. sia esercitata da una persona giuridica, che “ciascun soggetto appartenente alla persona giuridica e operante come RPD soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del RGPD”, così, implicitamente ma inequivocabilmente, dando atto del fatto che il soggetto (persona fisica) operante come R.P.D. debba essere appartenente alla persona giuridica, requisito non provato nel caso de quo per le ragioni sopra espresse;”. In data 3 aprile 2019, parte ricorrente ha depositato motivi aggiunti al ricorso introduttivo, con cui ha chiesto l’annullamento dei medesimi atti già impugnati col predetto ricorso previa sospensione degli stessi (sospensione, peraltro, già in essere in forza della sopra menzionata ordinanza cautelare n. 130/2019), deducendo il seguente articolato motivo: - Violazione dell’art. 80 e segg. del D. Lgs. n. 50/2016; Violazione della normativa del bando di concorso. Eccesso di potere per contraddittorietà illogicità, irragionevolezza, travisamento, ingiustizia manifesta. Violazione degli artt. 97 e 113 Costituzione sotto vari profili. In data 10 aprile 2019, si è costituita in giudizio la controinteressata Istituto di Formazione Manageriale & Consulting S.r.l., che ha depositato, poi, rispettivamente in data 7 maggio 2019 e 11 maggio 2019, documentazione e memoria con cui ha chiesto la reiezione del ricorso. Nei giorni successivi le parti hanno depositato memorie finali e, infine, all’udienza pubblica del 28 maggio 2019, su istanza di parte, la causa è stata trattenuta in decisione. Diritto. 1. Il ricorso, come integrato dai motivi aggiunti, è fondato nel merito e va accolto, nei sensi di seguito precisati. 2. Il Collegio ritiene opportuno procedere prima all’esame del ricorso introduttivo del giudizio e, poi, dei successivi motivi aggiunti. 3. Con riferimento al ricorso, parte ricorrente, con la prima censura dell’unico, articolato, motivo di gravame deduce l’illegittimità degli atti di gara impugnati in quanto sostiene che “Il bando prevede esclusivamente la partecipazione di persone fisiche, e lo si evince chiaramente dai requisiti generali richiesti”. 3.1 La censura è infondata. Il Tribunale, al riguardo, non sottovaluta le suggestive osservazioni svolte da parte ricorrente nell’analisi del predetto bando, da cui la stessa ricava che lo stesso era chiaramente modellato solo sulla partecipazione delle persone fisiche, in quanto richiedeva una serie di di-

800

DIRITTO DI INTERNET N. 4/2019

chiarazioni solo da queste presentabili e, viceversa, non includeva dichiarazioni e documentazione afferente alle persone giuridiche, fra cui l’iscrizione al Registro delle Imprese; cionondimeno non può essere trascurato che, in primis, il dato letterale del bando non prevede l’esclusione dalla partecipazione alla gara delle persone giuridiche in alcuna parte e tale circostanza risulta, già di per sé, dirimente circa la possibile partecipazione delle predette persone giuridiche alla gara informale de qua. Inoltre, come evidenziato dal Comune resistente nella sua memoria, “l’avviso di manifestazione di interesse pubblicato dal Comune di Taranto, è volto a dare esecuzione al Regolamento Europeo n. 2016/679” e il predetto “Regolamento UE prevede espressamente che il responsabile della protezione dei dati personali possa essere un dipendente del titolare del trattamento o del responsabile del trattamento (art. 37, par. 6). Ed è chiaro che nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti. Le Linee Guida (Punto 2.5) hanno specificato che qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà anche essere una persona giuridica.”. Tale incontestato dato giuridico, dunque, toglie ogni ulteriore dubbio circa l’interpretazione da fornire al bando di gara che, probabilmente, risulta mal redatto e calibrato col retropensiero rivolto alle persone fisiche ma, in ogni caso, non esclude espressamente dalla partecipazione le persone giuridiche che, come asserito espressamente dal punto 2.5 della “Linee guida sui responsabili della protezione dati” adottate in ambito U.E. il 13 dicembre 2016 e versate in atti dal Comune resistente, possono sicuramente svolgere, in base ad un contratto, la funzione di R.P.D. e, pertanto, anche tenuto conto di tale atto (nonché del format dell’Autorità garante, depositato dal Comune resistente) risulta coerente col sistema l’interpretazione del bando nel senso che lo stesso ammetteva la partecipazione anche delle persone giuridiche, circostanza poi avvenuta nella realtà come attestato dal Comune resistente. …Omissis… 7. Infine, con la quinta censura dell’unico motivo di ricorso, la Dr.ssa R. deduce l’illegittimità degli atti impugnati, in quanto “non risulta evidenziato il legame fra la società I. S.r.l. e il sig. Francesco Maldera. Questi non è un socio della Società, ma pare non esserne neanche dipendente. Non è chiaro se la Società abbia inteso subappaltare il lavoro, né tantomeno a che titolo la società potrebbe essere chiamata dal Comune di Taranto per eventuali inadempimenti e/o danni provocati dal detto

GIURISPRUDENZA PENALE soggetto. La deliberazione impugnata si limita a definirlo “soggetto individuato quale RDP”.”. 7.1 La censura è fondata. Il Collegio ritiene, sul punto, fondamentali le sopra menzionate “Linee guida sui responsabili della protezione dati” del 13 dicembre 2016, le quali ben esplicano, con interpretazione autentica, la relativa normativa comunitaria in merito alle necessarie conoscenze e qualità professionali del Responsabile Protezione Dati (R.P.D.) nonché, per quanto qui di interesse, circa la sua (necessaria) posizione all’interno di una persona giuridica, qualora la funzione di R.P.D. sia svolta, come nel caso de quo, da una persona giuridica. Orbene, come già evidenziato nell’ordinanza cautelare della Sezione n. 130/2019, le predette Linee guida danno atto del fatto che, qualora la funzione di R.P.D. sia svolta da una persona giuridica, “è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come RPD soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del RGPD”, così, implicitamente ma inequivocabilmente, richiedendo che il soggetto (persona fisica) operante come R.P.D. debba essere “appartenente” alla persona giuridica, e tale “appartenenza” risulta non provata nel presente caso. In altri termini, la società controinteressata non ha dato prova dell’appartenenza del Dr. M. F., soggetto incaricato di svolgere le funzioni di R.P.D., alla propria struttura o al proprio organico e, dunque, non si capisce come la funzione da questi svolta possa essere riferita immediatamente alla società controinteressata. Tale conclusione non risulta smentita da quanto dichiarato dall’Istituto di Formazione M. & C. S.r.l. nella memoria dell’11 maggio 2019, ma, anzi, ulteriormente rafforzata dalla stessa. Difatti, con la predetta memoria, l’odierna controinteressata, per replicare a quanto contenuto nell’ordinanza cautelare n. 130/2019, afferma che “Nella versione originale, in lingua inglese, le predette Linee Guida n. 243 - adottate il 5.4.2017 dal WP29 - fanno corrispondere, alla frase che l’intestato Tar ha giudicato rilevante per l’ordinanza cautelare, ovvero: “ciascun soggetto appartenente alla persona giuridica e operante come RPD soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del RGPD”, la seguente frase “each member of the organisation exercising the functions of a DPO fulfils all applicable requirements of Section 4 of the GDPR”. Com’è agevole rilevare, la parola appartenente non c’è nella versione inglese ma l’intera frase, nella sua ratio originaria, è da intendere nel senso che: “ogni soggetto cui la persona giuridica fa esercitare la funzione di RPD soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del RGPD”. Non c’è dubbio che, sin dall’inizio, il Dott. M. sia stato indicato come soggetto per l’esercizio della funzione di RPD e che soddisfi i requisiti previ-

sti dal RGPD. Peraltro, la società deducente ed il Dott. M. avevano, in ogni caso, concluso un accordo…non già di appartenenza (nozione che, si ribadisce, non è presente nella versione originaria del WP29 n. 243 e nel testo del RGPD) ma di prestazione professionale (concetto maggiormente confacente ad una figura di così elevata qualificazione specialistica).”. Le sopra riportate affermazioni, come detto sopra, confermano, contrariamente a quanto nelle intenzioni, la correttezza di quanto rilevato da questa Sezione nell’ordinanza cautelare n. 130/2019 per una serie di ragioni. Innanzitutto, la traduzione italiana delle più volte menzionate Linee guida proposta dalla ricorrente non ha alcun valore legale, a differenza della versione italiana delle medesime prodotta in atti dal Comune resistente, che costituisce versione ufficiale e, dunque, vincolante. Inoltre, la traduzione proposta dalla controinteressata risulta patentemente non veritiera, atteso che la dizione inglese “each member of organisation exercising the functions of DPO…” non si riferisce, come nella traduzione proposta, ad ogni soggetto (esterno) cui la persona giuridica incaricata fa svolgere le funzioni dell’R.P.D. ma, secondo piana traduzione letterale, ad ogni membro interno all’organizzazione incaricata della predetta funzione che la svolge, così come, del resto, stabilito dalla versione italiana ufficiale. Tali considerazioni, pertanto, smentiscono in radice le conclusioni cui perviene nella propria memoria la I. M. & C. S.r.l, in quanto danno pieno conto del fatto che la persona fisica che svolge le funzioni di R.P.D., quando la stessa è stata assegnata ad una persona giuridica, deve necessariamente essere un membro della stessa, ossia “appartenere” alla medesima. Orbene, da quanto prodotto in atti dalla stessa I. M. & C. S.r.l. relativamente ai propri rapporti col Dr. M., (unica) persona fisica individuata per lo svolgimento della funzione di R.P.D., risulta presente solo una proposta di incarico al predetto Dr. Maldera (Allegato 5 della relativa produzione documentale) datata 12 ottobre 2018, proposta, però, non registrata e non allegata alla domanda di partecipazione versata in atti dal Comune di Taranto e, dunque, non atta a dare piena prova del fatto che il predetto Dr. M. era, a qualche titolo, “appartenente” all’Istituto M. & C. S.r.l. a far data dal 12 ottobre 2018, ossia legato alla stessa, contrariamente a quanto sostenuto dalla predetta società secondo cui “fra la società deducente e il dott. M. esisteva un vincolo giuridico preliminare alla partecipazione alla gara pubblica”. Il Collegio, dunque, ritenuta necessaria l’appartenenza della persona fisica svolgente le funzioni di R.P.D. alla persona giuridica affidataria del servizio, contrariamente a quanto sostenuto, nei termini sopra riportati, dalla controinteressata I. & C. S.r.l. e dal Comune di Taranto,

DIRITTO DI INTERNET N. 4/2019

801

GIURISPRUDENZA PENALE che nella propria memoria difensiva afferma che “nessuna normativa in materia impone che la figura di RPD, qualora l’incarico sia conferito ad una persona giuridica debba necessariamente essere appartenente alla stessa. L’interpretazione corretta delle dette linee guida è che il soggetto che esercita le funzioni di RPD debba possedere i requisiti fissati nella sezione 4.”, ritiene fondata la quinta censura di ricorso e, pertanto, accoglie lo stesso. Per completezza di esame, poi, il Tribunale rileva che la scrittura privata fra la I. & C. S.r.l. ed il Dr. F. M. del 12 ottobre 2018 parla esplicitamente di un “incarico professionale”, ossia di un rapporto non di subordinazione e rientrante nell’alveo delle prestazioni professionali, in cui il soggetto incaricato, ossia il Dr. F. M., può godere, ai sensi degli articoli 2222 e seguenti del codice civile, di una propria autonomia nell’esplicazione dell’incarico, atteso che la lettera di conferimento non esclude tale possibilità con vincolo contrattuale, così ponendo seri dubbi circa la sussistenza del sopra menzionato requisito dell’appartenenza. 8. Per quanto sopra esposto, dunque, il Collegio ritiene il ricorso fondato e, pertanto, non rilevanti, ai fini

della decisione dello stesso, i motivi aggiunti depositati in data 3 aprile 2019, dai quali, comunque, emerge, ancora una volta, l’estrema confusione fra soggetto aggiudicatario della gara, ossia l’Istituto M. & C. S.r.l., e soggetto persona fisica designato per svolgere le funzioni di R.P.D., ossia il Dr. F. M., atteso che vi è un alternarsi di firme fra legale rappresentante della società ed incaricato della funzione di R.P.D. che denota, vieppiù, il sovrapporsi di ruoli e la mancanza del requisito della “appartenenza” sopra enucleato da parte del Dr. F. M. nei confronti dell’Istituto M. & C. S.r.l. 9. Per tutto quanto sopra illustrato, il ricorso, integrato dai motivi aggiunti, deve essere accolto e, per l’effetto, vanno annullati i provvedimenti impugnati di cui epigrafe. …Omissis… P.Q.M. Il Tribunale Amministrativo Regionale per la Puglia Lecce - Sezione Terza, definitivamente pronunciando sul ricorso, integrato dai motivi aggiunti, come in epigrafe proposto, lo accoglie e, per l’effetto, annulla i provvedimenti impugnati.

IL COMMENTO

di Vincenzo Colarocco e Marta Cogode Sommario: 1. Premesse. – 2. Il conferimento dell’incarico di DPO nei confronti di una persona giuridica – 3. Le obiezioni della dottrina e i possibili riscontri. Con la sentenza in commento i Giudici del TAR per la Puglia prendono posizione su due importanti questioni di diritto: la prima, inerente il chiarimento se sia possibile o meno attribuire l’incarico di DPO nei confronti di una persona giuridica; la seconda, riguardante i rapporti che devono intercorrere tra la persona giuridica cui eventualmente è stato affidato l’incarico e la persona fisica che concretamente svolge le mansioni di RPD. Le statuizioni dei Giudici hanno prestato il fianco a numerose critiche da parte della dottrina maggioritaria. Si tenterà di passarle in rassegna per confutarle, ove possibile. With the judgment in question, the Judges of the Regional Administrative Court for Puglia take a position on two important questions of law: the first, concerning the clarification of whether or not it is possible to assign the task of Data Protection Officer towards a company; the second, concerning the relationships that must exist between the company that received the assignment and the person who actually performs the duties of DPO. The statements of the Judges lent to numerous criticisms by the majority doctrine. An attempt will be made to review them in order to refute, where possible.

1. Premesse

Il caso di specie, oggetto della sentenza in commento, origina dal ricorso presentato da uno dei partecipanti ad una procedura indetta dal Comune di Taranto, per il tramite della pubblicazione di un avviso di manifestazione d’interesse finalizzato al conferimento dell’incarico biennale a Responsabile per la Protezione dei dati (di seguito anche “RPD” o, secondo l’acronimo inglese, “DPO”). Il Comune di Taranto, valutate le istanze per-

802

DIRITTO DI INTERNET N. 4/2019

venute e stilata la graduatoria finale, procedeva a disporre l’aggiudicazione dell’incarico in favore di una società a responsabilità limitata. La parte ricorrente, seconda classificata in graduatoria e pertanto non vincitrice, chiedeva, quindi, l’annullamento degli atti impugnati, già sospesi con un’ordinanza cautelare del 6 marzo 2019. In particolare, il ricorrente, tra le varie censure, deduceva l’illegittimità degli atti impugnati da un lato, perché il bando di gara avrebbe previsto la partecipazione

GIURISPRUDENZA PENALE esclusiva delle persone fisiche, rendendo pertanto impossibile l’aggiudicazione nei riguardi di una società e, dall’altro, perché non vi sarebbe evidenza di un legame fra la società vincitrice e la persona fisica cui, in seguito alla conclusione della procedura indetta dal Comune di Taranto, è stato dalla prima conferito l’incarico. I Giudici del TAR per la Puglia, accogliendo il ricorso, prendono posizione su due importanti questioni di diritto: la prima, inerente il chiarimento se sia possibile o meno attribuire l’incarico di DPO nei confronti di una persona giuridica; la seconda, riguardante i rapporti che devono intercorrere tra la persona giuridica cui eventualmente è stato affidato l’incarico e la persona fisica che concretamente svolge le mansioni di RPD.

2. Il conferimento dell’incarico di DPO nei confronti di una persona giuridica

Quanto al primo punto, premesso che sarebbe stato sufficiente soffermarsi ad un’interpretazione letterale del bando il quale non prevedeva l’esclusione della partecipazione alla gara delle persone giuridiche, l’avviso di manifestazione d’interesse intendeva unicamente dare esecuzione al Regolamento (UE) 2016/679 (di seguito anche “GDPR” o “Regolamento”), il quale non esclude che possano ricoprire il ruolo di DPO anche le persone giuridiche. Infatti, all’interno del Regolamento l’art. 37, norma di apertura della sezione dedicata al RPD, al paragrafo 6 specificamente dispone: “il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”. È evidente che, qualora titolare o responsabile scegliessero un proprio dipendente, questi non potrebbe essere diverso da una persona fisica; qualora, invece, decidessero di esternalizzare la funzione, per il tramite della stipula di un contratto di servizi, gli stessi si potrebbero avvalere anche di una persona giuridica. Tanto è confermato dalle Linee guida WP243 del Working Party 29 (1) che, cercando di decodificare cosa intenda il legislatore europeo allorquando fa riferimento al contratto di servizi, specificamente dispongono che “la funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento. In tal caso, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale RPD soddisfi tutti i requisiti applicabili come fissati nella Sezione 4 del GDPR”. Sul punto anche il Garante per la protezione dei dati personali (in seguito anche il “Garante”) con le F. A. (1) Linee guida sui responsabili della protezione dei dati, adottate il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017, disponibili a seguente indirizzo telematico: <https://ec.europa.eu/newsroom/ article29/item-detail.cfm?item_id=612048>.

Q. in ambito privato (2) ha precisato che il ruolo di responsabile della protezione dei dati personali può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento assegna a tale figura. Ed in tal senso qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica. Tuttavia, sul punto il Garante ha raccomandato “in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo” (3). In merito la dottrina maggioritaria ritiene che anche nell’ipotesi in cui venga nominata come DPO una persona giuridica è “sempre necessario individuare formalmente la persona fisica incaricata” (4). Orbene, prendendo le mosse dall’ultimo inciso delle Linee Guida appena ricordate, arriviamo al secondo punto oggetto del ragionamento dei Giudici. Nel caso di specie, il Comune di Taranto aveva assegnato, come visto, l’incarico nei riguardi di una persona giuridica; la società vincitrice aveva, poi, a sua volta individuato quale RDP un soggetto che non poteva essere qualificato né come socio della stessa né come dipendente. Un terzo, dunque, collaboratore esterno alla società. Ad avviso dei Giudici, nel caso di specie, il concetto di “appartenenza” del DPO alla persona giuridica aggiudicataria non risulterebbe provato. “La società controinteressata – si legge in sentenza – non ha dato prova dell’appartenenza del soggetto incaricato di svolgere le funzioni di RDP alla propria struttura o al proprio organico e, dunque, non si capisce come la funzione da questi svolta possa essere riferita immediatamente alla società controinteressata”. Vero, infatti, che l’aggiudicataria e la persona fisica che riceveva l’incarico avevano concluso un accordo, tuttavia lo stesso poteva essere qualificato come una proposta d’incarico per lo svolgimento di una prestazione professionale, non registrata e non allegata alla domanda di partecipazione versata in atti al Comune di Taranto e, quindi, inidonea a fornire una prova piena del fatto che il professionista fosse “appartenente” alla società che si è aggiudicata la gara. Del (2) Disponibili al seguente indirizzo telematico: <https://www. garanteprivacy.it/web/guest/home/docweb/-/docweb-display/ docweb/8036793>. (3) Si veda punto 8 delle F.A.Q. ricordate. (4) Cfr. Arnò - Giannella - Palermo Commento all’art. 37 del Regolamento, in Commentario al Regolamento UE 2016/679 e al Codice della privacy aggiornato, a cura di D’Agostino, Barlassina e Colarocco, Milano, 2019, 322 ss., nonché si veda sullo stesso tema Gallus - Pintus, Il Data Protection Officer, in Il Processo di adeguamento al GDPR, a cura di Cassano, Colarocco, Gallus e Micozzi, Milano, 2018, 184 e ss. ed infine Riccio, Art. 37 designazione del responsabile della protezione dei dati, 339 ss., in GDPR e Normativa Privacy Commentario, a cura di Riccio, Scorza e Belisario, Milano, 2018.

DIRITTO DI INTERNET N. 4/2019

803

GIURISPRUDENZA PENALE resto, ad avviso dei Giudici, il semplice conferimento di un incarico professionale darebbe luogo non già ad un rapporto di subordinazione vero e proprio, ma ad un rapporto per il quale il professionista, ai sensi degli articoli 2222 e ss. del codice civile, gode comunque di una propria autonomia nello svolgimento dell’incarico. Tanto basterebbe, dunque, a mettere in discussione il requisito dell’appartenenza.

3. Le obiezioni della dottrina e i possibili riscontri

La sentenza in commento ha prestato il fianco a numerose critiche. In particolare, due sono le censure che pare opportuno segnalare, che si tenterà brevemente di passare in rassegna, al fine di fornire un logico riscontro. In primo luogo, è stato fortemente contestato il passaggio della sentenza in cui i Giudici, facendo riferimento alle Linee Guida ricordate, affermano che le stesse “ben esplicano, con un’interpretazione autentica, la relativa normativa comunitaria in merito alle necessarie conoscenze e qualità professionali del Responsabile della Protezione dei Dati”. Senza alcuna pretesa di esaustività, si rammenta che per interpretazione autentica si intende quella legge o quella disposizione il cui contenuto sia la determinazione del significato di una o più disposizioni legislative precedenti (5). L’interpretazione autentica, pertanto, al pari di ogni altra legge, è vincolante erga omnes, senza tuttavia avere la caratteristica propria dell’innovatività, tipica delle fonti giuridiche, limitandosi piuttosto a dichiarare (6) il corretto significato di una fonte preesistente. La Corte Costituzionale ha fatto confluire le leggi interpretative nel solco delle leggi retroattive (7), prevedendo

(5) Gavazzi, Studi giuridici in memoria di Alfredo Passerini, Milano, 1955. (6) Si precisa che l’affermazione secondo cui le leggi di interpretazione autentica avrebbero natura dichiarativa e non decisoria è stato oggetto di un fervente dibattito. Non è, tuttavia, questa la sede opportuna per ripercorrere le posizioni sostenute da dottrina e giurisprudenza. Basti semplicemente, in quest’occasione, ricordare che la stessa giurisprudenza costituzionale ha attribuito all’interpretazione autentica una natura complessa, giustificandola sulla base del principio di ragionevolezza, posto che la stessa, sebbene pacificamente ammessa all’interno del nostro ordinamento giuridico, non ha mai trovato espresso riconoscimento nel dettato costituzionale, contrariamente a quanto accadeva nell’ordinamento pre-repubblicano: lo Statuto albertino, all’articolo 73, disponeva che “l’interpretazione della legge in modo per tutti obbligatorio spetta esclusivamente al potere legislativo”. In questo senso la Corte Costituzionale ha chiarito che – fermo restando che sono interpretative “quelle norme obiettivamente dirette a chiarire il senso di norme preesistenti ovvero a escludere o a enucleare uno dei sensi fra quelli ragionevolmente ascrivibili alla norma interpretata” – la norma di interpretazione autentica deriva da un rapporto tra norme, in cui la norma interpretante si salda con la norma interpretata, dando luogo ad un “precetto normativo unitario” (Corte Cost. 21 maggio del 2008, n. 132). (7) Paladin, Appunti sul principio di irretroattività delle leggi, in Foro amm., 1959, 946, chiarisce come le leggi di interpretazione autentica siano re-

804

DIRITTO DI INTERNET N. 4/2019

una serie di limitazioni alla loro promulgazione, stante il carattere straordinario dell’esegesi legislativa. Ebbene si ritiene che i Giudici, quando utilizzano la locuzione “interpretazione autentica” in sentenza, lo fanno in maniera impropria e certamente atecnica, Infatti, risulta difficilmente sostenibile ritenere che il WP29, oggi sostituito dall’European Data Protection Board (EDPB), abbia la natura giuridica di un organo legislativo, avendo piuttosto le caratteristiche proprie di un organismo consultivo indipendente, composto, oggi, da un rappresentante della diverse autorità nazionali, dal Garante europeo della protezione dei dati, nonché da un rappresentante della Commissione. Ne consegue che le Linee Guida dallo stesso emanate rientrano nel novero della soft law (8), di matrice internazionalistica, che involge una serie di fenomeni di regolazione connotati dalla produzione di norme prive di efficacia vincolante diretta, per questo contrapponendosi all’hard law, tipico degli ordinamenti di civil law. Gli effetti che normalmente derivano da una previsione di soft law sono quelli strettamente correlati alla moral suasion, con conseguente applicazione della regola del comply or explain da parte del soggetto destinatario di quella previsione. La ragione per la quale è invalsa, anche all’interno del nostro ordinamento giuridico, l’adozione di previsioni di questo tipo deriva dalla necessità di creare una disciplina flessibile, in grado di adattarsi velocemente alla rapida obsolescenza in cui potrebbero incorrere le norme di hard law quando disciplinino settori della vita economica e sociale che richiedano un contributo tecnico e di dettaglio. Invero, la soft regulation fa riferimento a diversi fenomeni (9) e, derivando da Paesi di common law, fatica a collocarsi correttamente nella sistematica gerarchica delle fonti di diritto positivo. In altre parole, non si fa riferimento ad un concetto stabile e sedimentato all’interno del nostro ordinamento, mostrando più che altro avere un significato vago, differentemente interpretato, senza che si rintracci un’accezione univoca e coerente del concetto, da tutti condivisa (10). troattive “per loro stessa natura” o “naturalmente retroattive, a differenza delle altre leggi che sono naturalmente irretroattive”. In senso critico, Pugiotto, Le leggi interpretative a Corte: vademecum per giudici a quibus, in Giur. cost., 2008, 2748, scrive sulla automatica retroattività delle leggi di interpretazione autentica, le quali, piuttosto, sarebbero espressive della mera volontà della legge di “interpretare (non di retroagire)”. (8) Sulla distinzione tra il concetto di soft law e altri concetti, come il diritto “mite” di Zagrebelski, si veda Pizzorusso, La produzione normativa in tempi di globalizzazione, Torino, 2008. (9) Mostacci, La soft law nel sistema delle fonti: uno studio comparato, Padova, 2008. (10) Predieri, Europeità dei fondi strutturali: compendio e metafora, Milano 1996, ritiene che il tema debba essere collocato al confine tra il sistema delle fonti e la governance; in senso contrario Tizzano, La gerarchia delle norme comunitarie e Strozzi, “Diritto dell’Unione Europea. Dal Trattato di

GIURISPRUDENZA PENALE La sentenza sembra fare un passaggio ulteriore attribuendo alle predette Linee guida la natura vincolante, statuendo che “la traduzione italiana delle più volte menzionate Linee guida proposta dalla ricorrente non ha alcun valore legale, a differenza della versione italiana delle medesime prodotta in atti dal Comune resistente, che costituisce versione ufficiale e, dunque, vincolante”. Ebbene, sembra che quello dei giudici sia più che altro un obiter dictum della sentenza, anche perché risolvere la questione della natura vincolante o meno delle Linee guida emanate dall’Autorità non argomento di facile soluzione. In Italia, infatti, si è posto il problema con riferimento alle Linee Guida emanate dall’Anac (11), che, senza pretese di completezza, hanno condotto il consiglio di Stato (12) a distinguere tre diverse tipologie di Linee Guida: da un lato, quelle approvate con decreto ministeriale (13), dall’altro, quelle approvate dall’ANAC che possono avere ora natura non vincolante, ora natura vincolante. In particolare, le ultime sono state annoverate nella categoria degli atti di regolazione delle Autorità indipendenti, che non sono regolamenti in senso proprio ma “atti amministrativi generali di regolazione” (14). Ciò comporta che si tratta di una regolamentazione flessibile dotata di efficacia vincolante, che, per poter essere tale, deve poter essere assistita da tutte le garanzie procedimentali derivanti dall’esigenza di compensare “la maggiore flessibilità del principio di legalità sostanziale con un più forte rispetto dei criteri di legalità procedimentale”. Ne consegue che le delibere di regolazione dovranno essere sottoposte a una preventiva fase di consultazione; saranno soggette a strumenti di analisi e verifica ex ante ed ex post (si veda in proposito l’AIR, analisi impatto della regolazione, e la VIR, valutazione di impatto della regolazione); dovranno essere coordinate e concentrate in “testi unici integrati”. Inoltre, dovranno essere pubblicate sulla Gazzetta Ufficiale e facoltativamente potrà essere richiesto il parere al consiglio di Stato, fermo re-

stando la piena giustiziabilità (15) delle stesse di fronte al giudice amministrativo (16). Ad avviso di chi scrive, sembra quindi che i Giudici del T.A.R. non abbiano voluto prendere posizione su questa delicatissima questione. È stato sostenuto, poi, che con questa sentenza i Giudici avrebbero, di fatto, imposto un rapporto di dipendenza nella forma del lavoro subordinato tra la persona fisica che presta le funzioni di DPO e la persona giuridica cui è stato conferito l’incarico (17). Sul punto appare opportuno soffermarsi. Sebbene la sentenza non ne faccia menzione, sembra che si sia voluto dare applicazione al principio di cui all’art. 30 del Codice appalti che specificamente dispone che “nell’affidamento degli appalti e delle concessioni, le stazioni appaltanti rispettano, altresì, i principi di libera concorrenza, non discriminazione, trasparenza, proporzionalità, nonché di pubblicità con le modalità indicate nel presente codice”. I Giudici, infatti, sembrano più che altro preoccuparsi degli aspetti inerenti al riparto dell’eventuale responsabilità. Del resto, molte questioni non appaiano chiare: non si comprende se l’aggiudicatario abbia voluto stipulare un subcontratto con il soggetto cui intendeva conferire l’incarico di DPO ovvero si sia voluto stipulare un contratto di avvalimento. In ogni caso, la proposta d’incarico proprio perché non registrata e non allegata alla domanda di partecipazione non sarebbe mai stata idonea a provare quel nesso di appartenenza che le Linee Guida ritengono necessario sussistere anche nel concetto più lato. Ne conseguirebbe che, portando questo ragionamento alle estreme conseguenze, del proprio comportamento risponderebbe un soggetto del tutto diverso da quello che ha partecipato alla gara. Infatti, non va dimenticato che se tra i privati l’autonomia negoziale lascia ampio spazio alle parti sulla disciplina dei propri rapporti, per le pubbliche amministrazioni si pone il problema della “fattispecie a doppio stadio” dell’evidenza pubblica per la quale quest’ultima deve essere intesa come iter volto primariamente all’in-

Roma alla Costituzione Europea”, Torino, 2005 ritengono tali categorie di atti strumenti di azione anomali in un contesto che ha scelto di tipizzare i singoli provvedimenti.

(15) La possibilità che le Linee guida in parola producano effetti vincolanti sembra riemergere immediatamente allorché lo stesso art. 213 del codice appalti precisa che “resta ferma l’impugnabilità delle decisioni e degli atti assunti dall’ANAC innanzi ai competenti organi di giustizia amministrativa”. Di regola, infatti, gli atti non vincolanti (es. pareri) sono impugnabili solo unitamente al provvedimento che, reso in attuazione degli stessi, lede l’interesse del ricorrente. In proposito, Cons. di Stato, 28 marzo del 2012, n. 1829; Cons. di Stato, 2 aprile del 2001 n. 1902.

(11) Deodato, Le linee guida dell’Anac: una nuova fonte del diritto?, in Giustizia amministrativa, n. 4/2016; Morbidelli, Linee guida dell’Anac: comandi o consigli?, in Diritto amministrativo, n. 3/2016. (12) Parere n. 855/2016, sullo schema di decreto legislativo recante “Codice degli appalti pubblici e dei contratti di concessione”. (13) Oltre alle Linee guida dell’Autorità anticorruzione, sono previsti altri agli atti adottati con decreto del Ministero delle infrastrutture e trasporti, su proposta dell’Anac, e numerosi decreti ministeriali previsti dal codice del 2016. Per la puntuale indicazione di tali strumenti di attuazione, si veda Cons. di Stato, parere citato. (14) Si veda in questo senso anche Romano, Atti amministrativi generali, in Cassese, Dizionario di diritto pubblico, Milano, 2006.

(16) Cintioli, Il sindacato del giudice amministrativo sulle linee guida, sui pareri del c.d. precontenzioso e sulle raccomandazioni di Anac, in Dir. proc. amm., 2017, 381. (17) Si veda il commento di Gallus, Il DPO deve essere dipendente dell’azienda affidataria dell’incarico: il Tar Lecce fa discutere del 14.9.2019 consultabile al seguente indirizzo telematico: <https://www.cybersecurity360.it/ news/il-dpo-deve-essere-un-dipendente-non-puo-essere-esterno-il-tar-lecce-fa-discutere/>.

DIRITTO DI INTERNET N. 4/2019

805

GIURISPRUDENZA PENALE dividuazione della persona dell’altro contraente che, almeno per un rapporto d’immedesimazione organica o di dipendenza, dovrebbe essere riconducibile al soggetto che è aggiudicatario della gara. Appare evidente, quindi, che la sentenza in commento non abbia escluso che l’incarico di DPO possa essere ricoperto da una persona fisica. Ha semplicemente richiesto che quando lo stesso sia stato conferito a una società nel corso di una procedura ad evidenza pubblica, come nel caso di specie, debba necessariamente essere chiaro che il concetto di appartenenza alla compagine societaria postuli un rapporto che, seppur non sussumibile nel rapporto di lavoro subordinato, individui concretamente e già dal principio della gara il soggetto che andrà ad assumere l’incarico, in maniera tale da evitare che vengano lasciati margini di autonomia discrezionali nello svolgimento dell’incarico tipici della prestazione professionale resa da un lavoratore autonomo, che non permetterebbero più di risalire la catena delle responsabilità e osterebbero alla trasparenza della procedura.

806

DIRITTO DI INTERNET N. 4/2019

PRASSI

Il supermercato intelligente: profili civilistici della automazione applicata alla grande distribuzione di Stefano Pellegatta Sommario: 1. Premessa: il quadro tecnico e tecnologico; 2. L’automazione applicata alla grande distribuzione; 3. La ricerca di un modello di acquisto immediato e il ruolo dell’Intelligenza Artificiale; 4. Implicazioni civilistiche dello sviluppo tecnologico; 5. Prime conclusioni. Lo sviluppo dell’automazione e dell’intelligenza artificiale è suscettibile di provocare effetti disruptive nei settori più vari. L’implementazione delle nuove tecnologie non è estranea all’ambito retail della grande distribuzione dove anzi la stessa può costituire un impulso all’incremento delle vendite, incentivando e agevolando il consumatore. Si tratta di un ambito in evoluzione, in cui i nuovi strumenti tecnici disponibili stanno via via aprendo possibilità fino a pochi anni or sono del tutto sconosciute. Lo sviluppo tecnologico pone al civilista molteplici questioni. Occorre infatti ricostruire le nuove modalità del processo di acquisto: la prassi sembra aprire nuovi spazi per comportamenti concludenti rilevanti per il diritto e in cui l’ausilio tecnologico gioca un ruolo di rilievo. Il tema dei veri e propri smart contracts appare invece ancora estraneo agli acquisti effettuati presso un punto vendita fisico, ma potrà assumere una possibile rilevanza sul canale online. Sotto il profilo legale, l’aspetto più rilevante dell’adozione di sistemi tecnologici e di intelligenza artificiale all’interno del supermercato è però quello della tutela della privacy del consumatore, della necessità di un suo pieno consenso, della sicurezza dei dati raccolti. Il presidio della responsabilità civile appare applicabile e adeguato anche in queste situazioni. L’adozione di una normativa chiara in merito, che operi un bilanciamento di interessi, potrà tuttavia costituire un utile strumento per favorire lo sviluppo di tali promettenti strumenti e assicurare al contempo la tutela più piena di tutti i soggetti coinvolti. The development of automation and artificial intelligence is likely to cause disruptive effects in many sectors. The implementation of new technologies also concerns the large-scale retail sector where indeed it can be an impulse to increase sales, encouraging and facilitating the consumer. This is an evolving phenomenon, in which the new technical tools allow new possibilities that until a few years ago were completely unknown. Technological development poses multiple issues for civil law. In fact, it is necessary to reconstruct the new modalities of the purchasing process: the practice seems to open new spaces for “conclusive behaviors” relevant to the law and in which the technological aid plays an important role. The theme of smart contracts, on the other hand, is still unrelated to purchases made at a physical store but may have a potential relevance on the online sales. However, from a legal point of view, the most important aspect of the adoption of technological systems and artificial intelligence within the supermarket is to ensure the protection of consumer privacy, the need for his/her full consent, the security of the personal data collected. The protection guaranteed by the civil liability rule appears applicable and adequate also in these situations. The adoption of clear legislation in this regard, which achieves a balancing of interests, may nevertheless be a useful tool to encourage the development of these promising tools and at the same time to ensure the full protection of all players involved.

1. Il quadro tecnico e tecnologico

Lo sviluppo dell’automazione e dell’intelligenza artificiale (1) è suscettibile di provocare effetti disruptive nei settori più vari (2). L’implementazione delle nuove tec-

(1) Sul concetto di intelligenza artificiale, nel prosieguo anche I.A. o A.I., cfr. Russel, Norvig, Artificial Intelligence. A Modern Approach, Pearson, 2015; De Kleer, An assumption-based TMS, in Artificial Intelligence, 28, 2, 1986, 127. A livello europeo si segnala il documento di indirizzo sulla A.I. pubblicato nell’aprile 2018, reperibile all’indirizzo: <https://ec.europa.eu/digital-single-market/en/news/communication-artificial-intelligence-europe>. Sull’ampio tema cfr. anche Sartor, Intelligenza artificiale e diritto, Un’introduzione, Milano, 1996, 9 ss. e 99 ss.; Kaplan, Intelligenza artificiale. Guida al futuro prossimo, LUISS University Press, 2017; AA.VV., Macchine che pensano. La nuova era dell’intelligenza artificiale, Bari, 2018, 31 ss. (2) Sia consentito qui rinviare a Pellegatta, Guida autonoma e prime riflessioni in punta di diritto, in questa Rivista, 1, 2019, 25 ss. Cfr. anche

nologie non è estranea neppure al settore retail dove anzi la stessa può costituire un impulso all’incremento delle vendite, incentivando e agevolando il consumatore. Si tratta di un ambito in evoluzione, dove i nuovi strumenti tecnici disponibili stanno via via aprendo possibilità fino a pochi anni or sono del tutto sconosciute. Pioniera in questo senso è stata nell’ultimo decennio l’adozione di protocolli Bluetooth (c.d. wireless personal area network) al fine di permettere ai punti vendita di entrare in relazione con i clienti, mediante l’invio di pro-

Mc.Grath, Autonomous Vehicles, Opportunities, Strategies and Disruptions, Poland, 2018, 141. Per un’analisi dell’impatto di tali nuove tecnologie sui modelli di business cfr. Giudici, Come l’intelligenza artificiale e il machine learning possono aiutare il business in modo concreto, in Quale impresa, 3/4, 2017, 40 e Moro Visconti, L’intelligenza artificiale: modelli di business e profili di valutazione, in Il Diritto industriale, 5, 2018, 421-423.

DIRITTO DI INTERNET N. 4/2019

807

PRASSI mozioni, avvisi e banner direttamente sul loro telefono cellulare. Detta tecnologia ha avuto il merito di rendere possibile un primo contatto individualizzato tra venditore e cliente, a fini promozionali e informativi, proprio durante l’esperienza di shopping all’interno del punto vendita. Essa era però di carattere sostanzialmente statico (per la natura limitata delle informazioni inviate) e soprattutto subordinata all’iniziativa del cliente che avrebbe dovuto pur sempre attivare l’opzione per la ricezione automatica o autorizzazione manuale dei messaggi Bluetooth da parte dei “totem” presenti in negozio. La successiva evoluzione degli strumenti tecnologici destinati ad accompagnare il cliente all’interno del punto vendita è stata determinata dalla implementazione di sistemi di intelligenza artificiale. Questa consente infatti di osservare il cliente nei suoi spostamenti all’interno e all’esterno del punto vendita, di riconoscerlo e altresì di profilarlo. Il sistema è in grado altresì di assumere decisioni e di apprendere dalle sue precedenti esperienze, immagazzinando una grande quantità di dati che servono proprio al perfezionamento del funzionamento della macchina (3). A tal proposito vengono in rilievo le c.d. “vetrine interattive” che sono in grado di “osservare” chi guarda e di proporre abbinamenti, offerte e opzioni personalizzate (4). Il tentativo è dunque quello di avvicinarsi sempre più alla singola persona così da incentivare l’acquisto, accostandosi quanto più possibile alle aspirazioni e preferenze di tale soggetto (5).

(3) Tradizionalmente il robot è ritenuto “una macchina che svolge autonomamente un lavoro”. Cfr. Santosuosso, Boscarato, Caroleo, Robot e diritto: una prima ricognizione, in Nuova giur. civ. comm., 2012, 494 ss.. Con lo sviluppo dell’intelligenza artificiale la macchina risulta però sempre più spesso in grado non solo di “fare” un lavoro, ma anche di assumere decisioni autonome. In tal senso osserva efficacemente Di Giovanni, Attività contrattuale e intelligenza artificiale, in Giur. it., 2019, 1681 che “quando la macchina non è semplicemente un automa, ma diviene capace di compiere da sola decisioni più o meno complesse […] non siamo più dinnanzi alla semplice (si fa per dire…) «automazione», ma a qualcosa a cui già si addice il termine «autonomia». In argomento cfr. pure Caggiano, Il Contratto nel mondo digitale, in Nuova giur. civ. comm., 2018, II, 1152 ss. (4) Di fronte a tale tecnologia ci si chiede infatti se sia il consumatore a osservare la vetrina ovvero la vetrina a guardare il consumatore. In merito cfr. Grassia, L’algoritmo decide e tu non lo sai. Cresce il potere delle logiche automatizzate, in Tuttoscienze e innovazione, La stampa, n. 1836, 1 maggio 2019, 31 e Ruffilli, In vetrina. Chi guarda si trasforma in prodotto, in Tuttoscienze e innovazione, La stampa, n. 1835, 24 aprile 2019, 29. (5) L’orizzonte sembra quello del “Market of One” che punta ad una “individualizzazione” e “personalizzazione”. Cfr. Accenture, Technology Vision 2019, reperibile all’indirizzo: <https://www.accenture.com/_acnmedia/pdf-94/accenture-techvision-2019-exec-summary.pdf>. In argomento cfr. anche Accenture, L’equazione della fiducia, 17 luglio 2019, reperibile all’indirizzo: <https://www.accenture.com/it-it/insights/strategy/balancing-trust-equation> ove viene posto in luce che “l’utilizzo dei dati consente di costruire esperienze personalizzate e generare fiducia in ogni singolo cliente” non senza far notare che “le aziende che si muovono

808

DIRITTO DI INTERNET N. 4/2019

Questo strumento permette di analizzare l’outfit dell’osservatore e di proporre capi di abbigliamento o accessori in linea con il suo stile, tra quelli commercializzati dall’azienda titolare della vetrina. Ancora, una volta identificato il profilo del consumatore e la sua identità, il sistema è in grado di elaborare una lista di prodotti di potenziale interesse sulla base degli acquisti pregressi (6). La tecnologia si presta però anche ad utilizzazioni meno evidenti o immediate. Essa può essere infatti implementata per tracciare i movimenti degli occhi dell’osservatore per capire dove si posa il suo sguardo, o ancora registrare il suo volto e determinare così, ad esempio, età e stato d’animo del soggetto (7). Ancora la tecnologia può assumere le vesti di robot o di ologrammi o ancora di strumenti di realtà aumentata che accompagnano il consumatore all’interno del punto vendita, indirizzandolo all’acquisto di specifici prodotti o fornendogli informazioni mirate, permettendo in ogni caso un’esperienza potenziata e più coinvolgente dal punto di vista sensoriale. È evidente che attraverso questi strumenti l’algoritmo può influenzare la “spesa” effettuata dal cliente finale nel punto vendita fisico: la tecnologia virtuale può così determinare effetti concreti e tangibili nel mondo reale.

2. L’automazione applicata alla grande distribuzione

Tutti questi strumenti possono essere applicati con successo al settore della grande distribuzione (8). A livello verso interazioni “market of one” e offerte personalizzate, devono rispettare la sottile linea di confine tra utile e invadente, che è diversa per ogni persona”. Sul passaggio dei consumatori verso una c.d. “personalizzazione di massa” di beni e servizi a prezzi accessibili, cfr. Brollo, Tecnologie digitali e nuove professionalità, in Diritto delle Relazioni Industriali, fasc. 2, 2019, 468 ss. (6) I suggerimenti possono raggiungere il cliente finanche nel camerino: da lì sarà infatti possibile ricevere consigli circa possibili abbinamenti e chiedere direttamente altre taglie o prodotti senza la scomodità di uscire. Cfr. F. Patti, A Milano il retail del futuro si può toccare con mano, in Tendenze Online, 16 giugno 2017, reperibile all’indirizzo: <http://tendenzeonline.info/articoli/2017/06/16/milano-il-retail-del-futuro-si-puotoccare-con-mano/>. (7) Si osserva in merito che, oltre a fornire ai clienti una coinvolgente shopping experience, la tecnologia è in grado di elaborare dettagliate analisi statistiche sulla clientela. Gli strumenti più avanzati permettono di conteggiare ogni oggetto sollevato, mentre sensori di calore riescono a misurare il “traffico dei clienti” nel negozio. Ancora, attraverso l’eye-tracking, è possibile misurare scientificamente lo sguardo delle persone: si possono così analizzare, ad esempio, quali elementi o aree di uno scaffale sono oggetto di attenzione, in che sequenza e per quanto tempo. Cfr. De Poorter, Lo shopping diventa interattivo, in Il Sole 24 ore, reperibile all’indirizzo <https://st.ilsole24ore.com/art/tecnologie/2012-02-12/shopping-diventa-interattivo-082218_PRN.shtml>. (8) Si osserva del resto che la pervasività dell’intelligenza artificiale e la sua applicabilità a soluzioni e modelli di business sempre più ampi rappresenta un forte elemento di innovazione, che può operare nei contesti più vari e anche all’interno di un portafoglio di risorse immateriali, esaltan-

PRASSI di mercato italiano è noto, ad esempio, l’intervento di società di consulenza specializzate a supporto della digitalizzazione e del rinnovamento di una nota catena di supermercati (9). Ai fini che qui interessano va segnalata la presenza all’interno di quello che è stato ribattezzato il “supermercato del futuro” di etichette e scaffali interattivi che forniscono informazioni aggiuntive sui prodotti, schermi destinati alla visualizzazione dei dati in tempo reale e ancora lo sviluppo di applicazioni intelligenti, tra cui un vero e proprio chatbot destinato a creare (e inevitabilmente influenzare) la lista della spesa. Detto strumento consiste in un assistente alla vendita virtuale e personale, che simula una conversazione con un essere umano. Esso è pensato, in particolare, per aiutare a gestire la lista della spesa, ottenere suggerimenti d’acquisto, notizie sulle promozioni, sulla posizione dei prodotti nel punto vendita o ancora per conoscere orari di apertura e chiusura dello stesso (10). Sulla base della lista fornita dall’utente, l’applicazione è in grado di fornire suggerimenti, analizzando i dati aggregati e in forma anonima, di tutte le altre liste fornite dagli altri clienti. Ancora, il software segnala offerte speciali e prodotti correlati e fornisce una mappa esatta del supermercato agevolando il reperimento dei prodotti. Successivi sviluppi, quali la connessione 5G e gli strumenti per la “navigazione indoor” all’interno degli edifici, con modalità similari al GPS, permetteranno in futuro di individuare con maggior precisione la posizione del cliente all’interno del punto vendita e così di guidarlo e di proporgli offerte ancor più mirate e puntuali. Ancora, lo sviluppo di sistemi di realtà aumenta potrà consentire lo sviluppo di una esperienza di acquisto più immersiva e coinvolgente per il consumatore (11). Parimenti, il ruolo delle etichette digitali sembra destinato ad assumere sempre maggiore importanza (12): esse forniscono infatti sia all’utente finale, sia al personale del punto vendita informazioni e funzioni aggiuntive. Sotto il primo profilo, dette etichette riducono possibili errori nelle indicazioni di prezzo, essendo automaticamente sincronizzate con il sistema centrale. Inoltre, esse possono presentare specifiche promozioni al consumatore al suo passaggio, ovvero essere dallo stesso per così dire “attivate” in modo da facilitare il reperimento della merce sugli scaffali (13). Allo stesso modo questo strudone caratteristiche e potenzialità. In questi termini Moro Visconti, op. cit., 422. (13) Si osserva in merito che la tecnologia di inchiostro digitale consente al retailer di dialogare in tempo reale con le etichette. Attraverso una specifica funzione, le etichette attivano indicatori luminosi (flash) che semplificano le attività svolte nel punto vendita, come l’individuazione della posizione di un prodotto, la segnalazione dell’esaurimento di una referenza, la notifica degli articoli in promozione oppure la gestione degli articoli scaduti. Detta funzione permette anche di aiutare lo staff in attività dove è fondamentale la reattività e la precisione, come

mento consente di segnalare immediatamente ai dipendenti la posizione di specifici prodotti e addirittura la necessità di un riassortimento. Tale funzione è possibile in combinazione con sensori di nuova generazione da incorporare negli scaffali (14). La velocizzazione dei processi resa possibile da tale ausilio tecnologico consente altresì che il personale possa dedicare più tempo all’assistenza alla clientela, nell’ottica di incrementare quanto più possibile la positività dell’esperienza di acquisto. Anche in questo ambito è dunque prevedibile lo sviluppo di una sinergia sempre maggiore tra gli strumenti tecnologici e di intelligenza artificiale e il ruolo dei dipendenti. Questi infatti saranno chiamati a supervisionare l’attività dei sistemi predetti e, grazie alla velocizzazione dei processi dagli stessi favorita, potranno dedicarsi a ulteriori e diverse mansioni, incrementando le interazioni con i clienti finali (15).

3. La ricerca di un modello di acquisto immediato e il ruolo dell’Intelligenza Artificiale

Se le tecnologie appena descritte, allo stato attuale, richiedono spesso una intermediazione tecnologica mediante smartphone o comunque attraverso strumenti tecnologici pensati ad hoc (si pensi alla stessa vetrina

ad esempio il rifornimento a scaffale. In tal caso è sufficiente effettuare la scansione del codice a barre del prodotto e il sistema attiva in tempo reale l’indicatore luminoso presente sull’etichetta, segnalando allo staff il punto esatto dello scaffale dove intervenire. Tutto questo permette di migliorare l’efficienza riducendo gli sprechi e aiutando i dipendenti meno esperti nello svolgimento delle loro mansioni. Inoltre, grazie a questa tecnologia, dipendenti e clienti tramite il proprio smartphone (o totem digitali posizionati all’interno del supermercato) possono individuare facilmente la posizione degli articoli nel punto vendita attraverso una mappa con motore di ricerca che fornisce anche indicazioni del percorso da seguire. I predetti strumenti si integrano anche con ulteriori sistemi e forniscono informazioni aggiuntive come la disponibilità di prodotti e le promozioni, offrendo un’esperienza immersiva al consumatore. Per ulteriori spunti e approfondimenti in merito cfr.: <https://www.01net. it/il-supermercato-del-futuro-a-milano-bicocca/>. (14) Alcuni sensori e videocamere posti sugli scaffali riescono a determinare quando è necessario un rifornimento di merce e avvisano gli addetti. In questo modo si possono ridurre notevolmente i tempi di stoccaggio e permettere ai lavoratori di dedicare più attenzione ai clienti. In argomento F. Patti, op. loc. cit. (15) Come osservato da Brollo, op. cit., 468 ss., “nell’era della robotica e della c.d. intelligenza artificiale, cambia il modo in cui il lavoro viene organizzato e percepito, cambia la relazione fra uomo e macchina e il ruolo delle persone alla guida della crescita lavorativa”. Pertanto “l’innovazione digitale determinerà ripercussioni sui tradizionali modelli produttivi e di organizzazione”, in particolare come conseguenza dell’integrazione tra macchine, oggetti e persone. “I c.d. «robot collaborativi» affiancano il lavoro umano, con forme di ibridazione tra persona e macchina al punto da attivare inedite forme di continuum o simbiosi in cui anche la persona in una certa misura si modifica per adattarsi alla interazione con la macchina sì da alimentare nuove responsabilità sociali per affrontare le contraddizioni emergenti”. In argomento cfr. altresì Salazar, Umano, troppo umano… o no? Robot, Androidi e cyborg nel “mondo del diritto” (prime notazioni), in BioLaw Journal – Rivista di BioDiritto, 2014, n. 1, 255 ss.

DIRITTO DI INTERNET N. 4/2019

809

PRASSI interattiva) il futuro sembra caratterizzato da una corsa verso l’adozione di tecnologie automatizzate non invasive che permettano, almeno apparentemente, un’esperienza di acquisto non mediata dalla macchina. In particolare, si assiste ad un trend volto all’eliminazione di strumenti tecnologici visibili, destinati a porsi come diaframma tra consumatore e prodotto. Detta evoluzione sembra preludere ad un modello di acquisto immediato, da intendersi nella sua doppia accezione di compravendita “istantanea” (dunque incentivata e facilitata) e “non mediata” da alcun filtro o strumento di intermediazione. La soluzione sembra pensata in primo luogo per velocizzare il processo di acquisto. È innegabile tuttavia che tutta questa immediatezza finisca altresì per favorire l’incremento delle vendite e la stessa spendita di denaro, rendendo sempre più evanescente la percezione del pagamento e dunque del costo effettivo degli acquisti. A titolo esemplificativo, è notizia assai recente che sono allo studio sistemi di pagamento basati su una scansione della mano effettuata in tre dimensioni. Tale tecnologia infatti, a seguito di una preventiva registrazione e associazione della carta di credito e di una scansione approfondita dell’arto del cliente, dovrebbe permettere di effettuare il pagamento mostrando semplicemente la mano ad un lettore ottico dedicato. Per questa via il processo di acquisto potrebbe conoscere una notevole accelerazione. Inoltre, verrebbe abolita la mediazione di uno strumento di pagamento ulteriore (quale la carta di credito o lo smartphone) consentendo al cliente finale di pagare, per così dire, “attraverso il suo corpo”, senza ulteriori mediazioni. Se questa tecnologia si presenta ancora in fase di test (16), a livello mondiale hanno invece già visto effettivamente la luce i primi supermercati del tutto privi di casse di pagamento (17). In particolari contesti infatti, sono stati realizzati supermercati sorvegliati dall’intelligenza artificiale che grazie ad un complesso sistema tecnologico e informatico sono in grado di monitorare i movimenti dei clienti e gli ac-

(16) Detta nuova tecnologia è in fase di sviluppo da parte del player globale Amazon. Allo stato essa è implementata per alcune vending machines dislocate negli uffici dell’azienda ed ancora in procinto di essere testata in un numero limitato di punti vendita Whole Food. Secondo le prime informazioni emerse lo strumento risulterebbe già sicuro, ma prima della sua definitiva introduzione su ampia scala, l’azienda intenderebbe ridurre ulteriormente il suo margine di errore. L’obiettivo della piena fiducia dell’utente finale viene infatti ritenuto prioritario. Si stima che attraverso questa modalità il tempo di pagamento potrà passare da circa 4 secondi (necessari per l’utilizzo di una carta contactless) a pochi millesimi di secondo. In merito cfr. Vega, Amazon tests Whole Foods payment system that uses hands as ID, in New York Post, 3 settembre 2019, reperibile all’indirizzo: <https://nypost.com/2019/09/03/amazon-testing-payment-system-that-uses-hands-as-id/>. (17) Pioniera in questo ambito è stata ancora una volta Amazon, attraverso l’introduzione dei punti vendita “Amazon GO”.

810

DIRITTO DI INTERNET N. 4/2019

quisti da essi compiuti. Più in dettaglio, un avanzato sistema di telecamere identifica la persona all’ingresso dei locali e successivamente tiene traccia di quanto viene inserito nel carrello. Ancora sensori di peso segnalano esattamente quali e quanti prodotti sono prelevati dal consumatore sugli scaffali. In questo modo la tecnologia è in grado di conoscere esattamente quali prodotti il cliente ha acquistato quando si avvicina all’uscita del punto vendita permettendo così, all’esito della conferma della sua identità, anche mediante strumenti di riconoscimento facciale, l’addebito sul rispettivo conto corrente o carta di credito previamente comunicati al gestore del servizio. È stato osservato che l’introduzione di alcuni elementi tipici dell’intelligenza artificiale può stimolare innovazioni di prodotto o, più frequentemente, di processo anche in modelli di business tradizionali (18).

4. Implicazioni civilistiche dello sviluppo tecnologico

È indubbio che strumenti di questo tipo pongono numerose implicazioni fattuali e legali. Sotto il primo profilo, è apparso subito chiaro che detta modalità di implementazione del punto vendita, per quanto promettente e moderna, non è adatta a tutti i contesti, essendo più confacente ad aree urbane e caratterizzate da uno specifico target di utenza. Peraltro, essa richiede un certo grado di sorveglianza, con conseguenti costi, dal momento che il rischio di furti, abusi o danneggiamenti appare elevato (19). Al di là del piano fattuale, sono evidenti le molteplici implicazioni legali che detta evoluzione comporta. Da un lato, lo sviluppo di strumenti agili e tecnologici di acquisto ripropone le tematiche di effettività del consenso, della capacità di agire, e della volontà esteriorizzata mediante comportamento concludente (20). In

(18) Moro Visconti, op. cit., 424. (19) I primi studi sul tema hanno evidenziato che i sistemi automatizzati condizionano pesantemente le differenze inventariali. In argomento si segnala la ricerca condotta da ECR Community Shrinkage and On-Shelf Availability, Self-Checkout in Retail: Measuring the Loss”, 2018 diretta da A. Beck, Leicester University i cui risultati sono reperibili all’indirizzo: <https://ecr-shrink-group.com/page/self-checkout-in-retail-measuringthe-loss-available-nov-27th>. (20) Sulla tecnologia applicata al contratto si veda già, in tempi assai risalenti, Cicu, Gli automi nel diritto privato, in Il Filangeri, 1901, 561 ss. Per una riflessione sulle moderne modalità di attuazione degli scambi, frutto della estrema automatizzazione consentita dagli strumenti elettronico si rinvia a Irti, Scambi senza accordo, in Riv. Trim. Dir. e Proc. civ., 1998, 347 ss. ove si analizza il declino del contratto come accordo. In senso opposto cfr. Oppo, Disumanizzazione del contratto?, in Riv. Dir. Civ., 1998, 525 ss. ove si osserva come nelle moderne modalità di contrattazione un “accordo” sia comunque sempre ravvisabile. In argomento si veda poi la successiva replica di Irti, “E’ vero, ma…” (replica a Giorgio Oppo), in Riv. Dir. Civ., 1999, 273 ss.

PRASSI questo quadro, l’innesto di sistemi di intelligenza artificiale applicati alla grande distribuzione può suggerire ulteriori acquisti o prodotti all’interno del punto vendita. Difficilmente però l’implementazione di tale tecnologia si tradurrà in acquisti automatici compiuti in via indipendente dal sistema automatizzato e posti a carico del cliente (21). Nel contesto della grande distribuzione, attuata mediante punti vendita fisici, ci si muove quindi in un quadro più tradizionale con riferimento al fenomeno degli smart contracts (22). Sotto questo profilo non possono peraltro escludersi nuovi sviluppi, pure in tale specifico settore, per quanto concerne il diverso canale degli acquisti online (23). In attesa di tali possibili sviluppi, ciò che d’altro lato appare già indubbio, alla luce della tecnologia già implementata (o in corso di implementazione) nei punti vendita fisici, come sopra descritta e analizzata, è che essa pone rilevanti problemi di privacy relativi alla osservazione e profilazione del cliente, con la conseguente ulteriore esigenza di garantire la piena segretezza e sicurezza dei dati raccolti. Il flusso dei dati generati dai dispositivi intelligenti e la disponibilità di modelli e algoritmi di machine learning (24) di analisi predittiva costituiscono infatti evidentemente fattori di rischio per la privacy e la protezione dei dati personali. In questo senso viene frequentemen-

(21) Con riferimento agli smart contracts e agli acquisti automatici cfr. Di Giovanni, op. cit., 1681 il quale osserva che “i progressi delle nelle tecnologie legate all’intelligenza artificiale fanno prevedere che quest’ultima potrà essere in grado (ed in certa misura “già” è in grado) di sostituire l’intervento umano anche in quei momenti o aspetti della vicenda contrattuale che richiedono facoltà non solo cognitive, ma anche valutative, e che consistono nella attuazione di “scelte” (ovviamente orientate da criteri di riferimento, ma pur sempre integranti una attività decisionale)”. (22) Sebbene in passato si sia fatto riferimento ai contratti conclusi con l’ausilio tecnologico quali smart contracts, ora questa espressione sembra assumere una connotazione più ristretta. In origine, anche il contratto concluso mediante un distributore automatico veniva qualificato come smart: cfr. Sazbo, The idea of smart contracts, reperibile all’indirizzo: <http://www.fon.hum.uva.nl/rob/Courses/InformationInSpeech/ CDROM/Literature/LOTwinterschool2006/szabo.best.vwh.net/idea. html>. Sul collegamento tra “smart contracts” e “Internet delle cose” (IoT) cfr. ancora Di Giovanni, op. cit., 1677 ss., 1679-1680. (23) Qui infatti alcune sperimentazioni lasciano spazio a implementazioni latamente riconducibili al fenomeno degli smart contracts. Si pensi alla possibilità di ordini di acquisto formulati dallo stesso frigorifero smart, attualmente in fase di test, o ancora dalle evoluzioni delle liste di acquisiti e dei sistemi di acquisto ricorrente dei portali e-commerce. Non possono escludersi in futuro possibili implementazioni di ordini di acquisto automatici che, sulla base delle preferenze espresse dal consumatore ovvero dalle sue ricerche, diano automaticamente corso all’acquisto di prodotti o servizi, salva magari la possibilità di cancellazione ovvero di recesso da parte della persona fisica. (24) Sull’autoapprendimento, definito il vero salto di qualità della A.I., costituito dal machine learning, cfr. Ruffolo, Intelligenza Artificiale, Machine Learning e responsabilità da algoritmo, in Giur. it., luglio 2019, 1690 e 1693.

te posto in luce che l’intelligenza artificiale “si nutre” di dati, la cui elaborazione costituisce il presupposto del suo funzionamento (25). Si impone quindi un bilanciamento di interessi per rendere possibile, da un lato, l’operatività e lo sviluppo di una tecnologia, quale appunto la I.A., che permette di agevolare il consumatore e l’imprenditore, e dall’altro la tutela del soggetto debole del rapporto (26). Il riferimento è, in particolare, alle esigenze di informazione del consumatore, di veridicità dei dati, di corretta conservazione e soprattutto di sicurezza dei medesimi (27). Tali problematiche riguardano senza dubbio anche i dati raccolti dalle tecnologie che vengono via via implementate nei supermercati e che si spingono a osservare e affiancare il cliente nell’esperienza di acquisto (28). In questo scenario, il ruolo del consenso del consumatore appare sempre più centrale. Tuttavia, ove l’osservazione e l’analisi della persona diventino così invasive, ci si chiede se l’ordinamento non sia chiamato ad approntare strumenti di tutela specifici, più incisivi e protettivi per il soggetto debole. Ancora è discusso se, già allo stato attuale, un controllo così pervasivo possa essere adottato senza particolari accorgimenti e cautele, dato che esso si spinge alla osservazione del cliente in modo assai penetrante e sistematico. Va poi evidenziato che di questa osservazione viene tenuta traccia, la quale contribuisce ad arricchire il database del sistema elettronico, rendendolo ancora più preciso ed accurato. (25) Cfr. Finocchiaro, Intelligenza artificiale e protezione dei dati personali, in Giur. it., Luglio 2019, 1674. I dati sono stati definiti come il “nuovo petrolio” dell’economia digitale: cfr. The Economist, The world’s most valuable resource is no longer oil, but data, 6 maggio 2017; Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, in Dir. Inf., 2018, 689 ss. (26) Sul tema del rapporto tra intelligenza artificiale e protezione dei dati personali, cfr. Pizzetti (a cura di), Intelligenza artificiale, protezione dei dati personali e regolazione, Torino, 2018; Finocchiaro, op. cit., 1670 ss. e 1672: infatti “i dati personali costituiscono al tempo stesso la risorsa sulla quale si basa l’economia digitale e l’oggetto del diritto alla protezione dei dati personali, riconosciuto dall’art. 8 della Carta dei Diritti fondamentali dell’Unione europea”. Si rende pertanto necessario un bilanciamento di diritti e interessi. Su tale commistione di obiettivi si veda anche Gambini, Algoritmi e sicurezza, in Giur. it., Luglio 2019, 1727. In argomento va richiamata la Risoluzione del Parlamento del 12 febbraio 2019 su una politica industriale europea globale in materia di robotica e intelligenza artificiale in cui da un lato si evidenzia come lo sviluppo di prodotti e servizi basati sull’intelligenza artificiale necessiti del libero flusso di dati e dell’accessibilità ai dati all’interno dell’Unione Europea e dall’altro come occorra assicurare un elevato livello di sicurezza, protezione e riservatezza dei dati utilizzati per la comunicazione tra persone, robot e intelligenza artificiale, invitando. Sul punto cfr. ancora Finocchiaro, op. cit., 1673. (27) Cfr. Moro Visconti, op. cit., 422 ss. e 424. Sul rischio derivante dai dati cfr. anche Lucatuorto, Intelligenza artificiale e diritto: le applicazioni giuridiche dei sistemi esperti, in Ciberspazio e diritto, 7, 2, 2006, 219. (28) Sui trattamenti algoritmici di dati personali cfr. ancora Gambini, op. cit., 1727: il tema degli obblighi di sicurezza e dei controlli dei trattamenti algoritmici di dati assume infatti rilievo centrale.

DIRITTO DI INTERNET N. 4/2019

811

PRASSI Su questa linea verrebbe forse da ipotizzarsi un paragone con le telecamere di sorveglianza e i sistemi di registrazione audiovideo, caratterizzati da una specifica regolamentazione a tutela dei terzi soggetti catturati dagli obiettivi (29). Tuttavia, nelle ipotesi qui descritte, la finalità primaria della ripresa e della raccolta dei dati appare ben diversa dalla sicurezza pubblica. Non si tratta di prevenire un reato, dissuadendo il suo autore o al limite facilitando la sua punizione, ma di incoraggiare (e finanche rendere possibile) un acquisto. Dunque, lo strumento tecnologico non è indirizzato, quantomeno in prima istanza, ad uno scopo di tutela della sicurezza: anche la gestione dei dati raccolti dovrebbe essere pertanto appositamente regolamentata. Strettamente correlata alla tematica della protezione dei dati è anche la questione della responsabilità civile per il loro trattamento e la loro divulgazione, che costituisce presidio applicabile e adeguato anche di fronte alle nuove sfide poste dallo sviluppo tecnologico (30). Sempre sotto il profilo della responsabilità, non va dimenticata la stessa possibilità di danno cagionato dall’intelligenza artificiale, predicabile anche nel contesto della grande distribuzione (31).

5. Prime conclusioni

frontati (32). Oltre al consenso espresso del cliente sarà dunque necessaria una informativa chiara per rendere edotti gli interessati circa limiti e modalità del trattamento dei dati raccolti: si tratta infatti di informazioni assolutamente sensibili della persona, quale la sua iterazione con l’ambiente esterno e i suoi comportamenti o addirittura la sua struttura fisica e la forma della sua mano. Ove il negozio fosse pienamente automatizzato, in mancanza di consenso non si potrebbe dunque procedere al perfezionamento dell’acquisto. Proprio tali aspetti problematici hanno forse rallentato la diffusione della tecnologia (33). Del resto, non può essere sottovalutata una possibile diffidenza della collettività di fronte a tali nuovi strumenti (ancorché si segnali in senso opposto anche una certa curiosità nei loro confronti, specie da parte delle nuove generazioni). In questo quadro ritengo che la costituzione di un quadro normativo chiaro e di strumenti di protezione del soggetto “osservato” sia condizione necessaria per accrescere la fiducia nei confronti di tali nuovi strumenti, consentendone così una più rapida e più sicura diffusione con beneficio di tutti i soggetti coinvolti, a partire dai consumatori fino a giungere anche agli operatori della grande distribuzione (34).

L’evoluzione tecnologica, di cui sono stati forniti alcuni esempi particolarmente attuali e rilevanti per il settore retail, pone pertanto anche in questo campo numerosi interrogativi e problematiche che dovranno essere af-

(29) Cfr. il provvedimento generale del Garante per la protezione dei dati personali, reperibile all’indirizzo: <https://www.garanteprivacy.it/ web/guest/home/docweb/-/docweb-display/docweb/1712680>, adottato l’8 aprile 2010, in sostituzione del precedente del 2004, che ha fissato requisiti più stringenti per evitare che l’attività di videosorveglianza si espanda fino a limitare i diritti del cittadini. In tema si segnala anche la pubblicazione di linee guida al trattamento di dati tramite dispositivi adottato dall’European Data Protection Board, reperibile all’indirizzo: <https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf>. (30) Viene quindi perseguita la più ampia responsabilizzazione degli autori del trattamento dei dati personali, ampliando il novero dei loro obblighi. Il tutto in funzione della più ampia tutela dei diritti e delle libertà degli individui e altresì della piena realizzazione delle finalità del trattamento. In argomento cfr. anche Bravo, L’«architettura» del trattamento e la sicurezza dei dati e dei sistemi in Cuffaro, D’Orazio, Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, 785 ss. e Piraino, Il regolamento generale sulla protezione dei dati personali e i diritti dell’interessato, in Nuova Giur. Civ. Comm, 2017, 388. Sulla sicurezza dei sistemi di intelligenza artificiale: Gambini, op. cit., 1737. (31) Si pensi ad esempio al danno che potrebbe determinarsi in presenza di una failure del sistema di logistica automatizzata. Sotto il profilo della responsabilità civile applicata ad algoritmi e sistemi di I.A. cfr. Costanza, L’intelligenza Artificiale e gli stilemi della responsabilità civile, in Giur. it., 2019, 1686 ss.

812

DIRITTO DI INTERNET N. 4/2019

(32) Sugli aspetti giuridici dell’applicazione dell’intelligenza artificiale ai vari modelli di business cfr. ancora Moro Visconti, op. cit., 423. (33) Si noti, ad esempio, che l’espansione dei punti vendita Amazon GO sembra procedere più lentamente, rispetto agli annunci iniziali. Sul punto cfr. Maci, Amazon Go: cos’è, come funziona e quali innovazioni porta nei supermarket, in EconomyUP, reperibile all’indirizzo: <https://www. economyup.it/retail/amazon-go-cose-come-funziona-e-quali-innovazioni-porta-nei-supermarket/>. (34) Questa esigenza di certezza è del resto una costante di fronte all’implementazione delle nuove tecnologie. Si vedano le osservazioni svolte sul punto, con riferimento alla disruptive innovation della guida autonoma, già in Pellegatta, Automazione nel settore automotive: profili di responsabilità civile, in Contr. e Impr., 4, 2019, in corso di pubblicazione e Al Mureden, Autonomous cars e responsabilità civile tra disciplina vigente e prospettive de jure condendo, in Contr. e Impr., 3, 2019, 895 ss.

PRASSI

Aspetti operativi dei profili IVA nel crowdfunding di Andrea Reale Sommario: 1. Il fenomeno del crowdfunding. – 2. Crowdfunding ed IVA: quali conseguenze? – 3. Modelli di crowdfunding con “ritorno non finanziario”. – 4. Modelli di crowdfunding con “ritorno finanziario”. – 5. Profili IVA dei servizi forniti dalle piattaforme online di crowdfunding. Lo strumento del crowdfunding si è trasformato da fenomeno di nicchia, oggetto di profezie su un futuro più o meno prossimo, a realtà economica imponente che sta trasformando settori chiave dell’economia e delle relazioni sociali. La raccolta fondi attraverso i finanziamenti della “folla”, rappresenta un’opportunità straordinaria per molteplici soggetti, per ciò che è mercato e per ciò che il mercato non vuole o non può rappresentare, sia per interessi privati che pubblici. Elemento di freno dell’espansione di tale strumento risulta essere il mancato superamento dell’attuale disciplina dell’IVA, ancora oggi basata su un sistema orientato al consumo capitalistico, che non sta più al passo dei nuovi strumenti, caratterizzati dalla digitalizzazione e dalla sharing economy. Scopo del presente lavoro è quello di individuare i profili IVA per le principali tipologie di crowdfunding esistenti all’interno del mercato europeo. Crowdfunding has moved from a niche phenomenon, subject of rough forecast, to an impressive economic reality that is transforming some of the key economy sectors and some patterns related to social relations. Fundraising represents an extraordinary opportunity on varoius perspective: for the “standard”, and for the market’s areas that are not covered by the traditional economic strategies, both for private and public interests. The weakness point of the Crowdfunding’s expansion is related to VAT discipline, still based on a capitalist consumption-oriented system, which is not able to follow the current economic trends and tools, characterized by digitization and the sharing economy. The purpose of this paper is to identify the VAT profiles to the main crowdfunding’s types, within the European market.

1. Il fenomeno del crowdfunding

Il mercato in Europa per il crowdfunding risulta, ad oggi, frammentato e variegato, includendo più di 500 piattaforme online. La cosiddetta “folla” può donare, investire, dare in prestito o acquistare, oppure può ottenere una ricompensa simbolica. Il comune denominatore negli schemi di investimento (un premio o il lending peer - to - peer), sul quale ci si focalizza, consiste nella partecipazione di un largo numero di finanziatori che elargiscono contributi via Internet, e che si aspettano, in caso di successo della campagna di crowdfunding, un ritorno economico al loro investimento. La piattaforma che, come minimo, fornisce la struttura online della campagna e alcune informazioni base sulle attività da finanziare, svolge un ruolo di mediazione tra il progetto e la folla. Anche se una piattaforma online non è necessaria per raccogliere fondi attraverso il crowdfunding, il suo utilizzo è molto comune e questa rende possibile che privati offrano direttamente sul mercato beni o servizi la cui erogazione era, fino ad un recente passato, monopolio esclusivo di soggetti professionali. Di qui l’emergere di problemi giuridici di ampie dimensioni: molte delle norme che regolano il funzionamento del mercato sono state concepite per disciplinare la vendita di beni e l’erogazione di servizi da parte di professionisti e imprese, ma esse risultano inadeguate ad ordinare tali attività

quando queste siano realizzate da non professionisti, come avviene oggi sempre di più grazie all’economia della condivisione. Di fronte alla nascita di un’economia peer - to - peer, l’invocazione che è provenuta dalla letteratura è quella di rivedere la cornice normativa stabilendo delle regole eque, per fare in modo che siano le forze del mercato e non un legislatore a stabilire vincitori e vinti (1). Concentrandosi sulle norme fiscali, l’obiettivo ultimo del legislatore dovrebbe essere quello di creare i presupposti fiscali per supportare la crescita di opportunità e nuovi progetti in modo sostenibile ed equo, e non quello di trarre beneficio imponendo tassazioni su investimenti in modo indiscriminato. Tutto questo per evitare di minare, altrimenti, una fonte davvero agile e crescente di finanziamenti per attività imprenditoriali e non.

2. Crowdfunding ed IVA: quali conseguenze?

Il presente lavoro si focalizza sull’analisi dei diversi modelli di crowdfunding in relazione a quella che è la principale tra le imposte indirette, ovvero l’IVA. I differenti modelli di crowdfunding sono stati per lo più studiati - da un punto di vista economico - essenzialmente sulla base della loro capacità di attrarre investimenti, e la loro classificazione giuridica è apparsa piuttosto incerta, anche perché solo poche giurisdizioni

DIRITTO DI INTERNET N. 4/2019

813

PRASSI nazionali hanno previsto una disciplina regolata ad hoc per il generale fenomeno del crowdfunding. A questo proposito, manca una regolamentazione specifica del crowdfunding nella normativa IVA europea, e in assenza di una chiara normazione si può solo fare riferimento alle linee guida del Comitato IVA. Queste ultime scompongono i diversi modelli di crowdfunding e ne analizzano ogni componente alla luce dell’imposta sul consumo, focalizzandosi su quelle che sono le operazioni tra l’imprenditore e i finanziatori, e poi sui servizi resi dalle varie piattaforme. I diversi trattamenti IVA del crowdfunding dipendono dalla natura del crowdfunding stesso, e quindi, di conseguenza, diventa essenziale andare ad analizzare caso per caso (2). A questo proposito, ci sono diversi aspetti da prendere in considerazione ai fini della Direttiva IVA. Primo, è necessario stabilire se colui che fornisce beni e servizi attraverso una piattaforma di economia condivisa si qualifichi come un soggetto passivo ai sensi dell’art. 9. Come descritto nel Working Paper No. 836, il Comitato IVA è intervenuto affermando che l’individuo, il quale utilizza la piattaforma di economia condivisa al fine di offrire i propri beni e servizi, agisce in modo molto simile ad un operatore economico, sicché la sua attività assume rilevanza ai fini impositivi indipendentemente dalla circostanza che sia svolta con carattere occasionale o abituale, e questo anche per evitare fenomeni di distorsione della concorrenza che, danneggiando gli operatori tradizionali, violerebbero il principio della parità di trattamento e, di conseguenza, quello della neutralità dell’IVA (3). In secondo luogo, ai sensi dell’art. 2 (1) (a) e (c), un soggetto passivo deve agire in quanto tale quando effettua operazioni relative alla sua attività economica, affinché possa rientrare, per l’appunto, nel campo di applicazione dell’IVA. In terzo ed ultimo luogo, quando beni o servizi sono resi disponibili come parte di uno scambio, sia in forma diretta che in forma indiretta, si pone la questione se questi ultimi siano forniti in modo tale da prendere in considerazione l’art. 2 (1) (a) e (c). Secondo la giurisprudenza consolidata della Corte di Giustizia europea è necessario un collegamento diretto tra questi beni o servizi e la relativa remunerazione (4). Una volta rafforzati questi punti chiave, il Comitato IVA ha voluto distinguere, nella prospettiva della ricompensa ricono-

sciuta agli investitori, i modelli operativi di crowdfunding con “ritorno non finanziario” e modelli operativi di crowdfunding con “ritorno finanziario”, con la finalità di facilitare l’attuazione della disciplina IVA vigente. Nella prima tipologia individuata, il ritorno economico può variare da nessuna ricompensa (caso del donation crowdfunding), fino all’ottenimento di una ricompensa in natura, rappresentata da beni o servizi (reward - crowdfunding); nella seconda tipologia, invece, si prevede un ritorno finanziario dovuto sia da una partecipazione sotto forma di entrate/titoli (equity - crowdfunding), oppure da interessi su prestiti (lending - crowdfunding) (5).

3. Modelli di crowdfunding con “ritorno non finanziario”

Partendo dal modello del donation - crowdfunding, bisogna precisare che non c’è alcuna linea guida del Comitato IVA su di esso, ma solo l’opinione della Commissione Europea. Come il termine “donation” suggerisce, questo tipo di crowdfunding si basa sulle donazioni effettuate dagli investitori nei confronti di una specifica causa o di un particolare progetto. Gli investitori non ricevono un prodotto con un chiaro valore monetario in cambio dei loro finanziamenti, ma solamente un semplice “grazie”; in alternativa, essi possono essere citati sul sito del progetto o menzionati nella causa stessa. Dato che nessuna ricompensa in senso patrimoniale è prevista per coloro che decidono di contribuire a una campagna di questo tipo, si può dedurre che nessuna cessione di beni o prestazione di servizi potrà essere considerata un’operazione imponibile ai fini della disciplina IVA. Interpretazione che può essere sostenuta sulla base di argomenti sistematici, dal momento che le operazioni imponibili presuppongono l’esistenza di un negozio giuridico tra le parti implicante la corresponsione di un prezzo o di un controvalore. Così, qualora l’attività di un investitore consistesse esclusivamente nel cedere un bene o fornire prestazione senza controprestazione diretta, non sussisterebbe una base imponibile e la sua attività non sarebbe, pertanto, soggetta all’imposizione dell’IVA (6). Affrontiamo ora i principali profili del reward - crowdfunding, caratterizzato dall’erogazione dei fondi a fronte di una ricompensa in natura, rappresentata da beni o servizi.

(2) Herbain, VAT and Financial Services: Comparative Law and Economic Perspective, Singapore, 2017, 457.

814

(3) Peirolo - Centore, Soggettività IVA degli utenti delle piattaforme di economia condivisa, in <eurocenference.it>, news del 15 luglio 2016.

(5) Peirolo - Centore, Crowdfunding alla ricerca di una normativa IVA, in <euroconference.it>, news 1 settembre 2016.

(4) Comm. Eur., VEG meeting n. 081 del 1 aprile 2019 - VAT treatment of the sharing economy, 4 (taxud.c.1(2019)2026442 – EN).

(6) Merkx, The VAT Consequences of Crowdfunding, in International VAT Monitor, 2016, 12 s.

DIRITTO DI INTERNET N. 4/2019

PRASSI Tale modello si fonda sulla clausola “all or nothing”: se gli investimenti non soddisferanno il limite prestabilito, il progetto non si realizzerà, ma, in caso contrario, nel momento in cui verrà raggiunta la soglia minima prevista per la realizzazione del progetto, i finanziatori perderanno il diritto di recuperare la somma erogata e acquisiranno il diritto di ricevere la ricompensa (7). L’obiettivo dell’analisi qui è quello di esaminare se: i) la fornitura di beni o servizi in cambio del finanziamento sia un’operazione rilevante ai fini IVA; ii) il finanziamento erogato possa qualificarsi come pagamento anticipato dei beni o servizi successivamente forniti dall’investitore; iii) la fornitura di beni o servizi di valore simbolico sia soggetta a un trattamento IVA diverso (8). Partendo dal primo aspetto, è bene evidenziare che, in accordo con l’art. 2 (1) e (c) della Direttiva sull’IVA, assumono rilevanza ai fini impositivi le cessioni di beni e le prestazioni di servizi effettuate a titolo oneroso da un soggetto passivo che agisce in quanto tale: per questo occorre verificare da un lato se il beneficiario sia «un soggetto passivo che agisce in quanto tale», dall’altro se sussiste un collegamento diretto tra i beni e i servizi forniti e il finanziamento ricevuto (9). In merito a quest’ultimo aspetto, è indispensabile che l’operazione sia inserita all’interno di un rapporto economico che preveda prestazioni reciproche. (10). La sussistenza di una stretta correlazione tra prestazione e controprestazione viene sottolineata dalla giurisprudenza comunitaria nella sentenza “Apple and Pear Development Council” (11), all’interno della quale la Corte di Giustizia ha affermato che un legame diretto risulta stabilito quando esiste un rapporto giuridico tra la persona che riceve un corrispettivo per un servizio e la persona che la paga. Sull’argomento si può far riferimento anche alla risposta n. 137/2018 dell’Agenzia dell’Entrate, attraverso la quale si afferma che, nel caso del reward, le somme corrisposte vengono percepite a titolo di finanziamento per la realizzazione del progetto e si qualificano come una cessione, in cui il proponente offre la vendita del bene alla platea dei potenziali interessati, impegnandosi alla sua consegna, una volta che questo sia stato un prodot-

(7) Buttus, I diversi modelli di crowdfunding nell’imposizione sui redditi, in Riv. Dir. Trib., 2019, 3. (8) Comm. Eur., Working Paper - VAT Commitee, n. 836, 6 febbraio, 2015 (taxud.c.1(2015)576037 – EN). (9) Comm. Eur., Working Paper - VAT Commitee, n. 836, cit., 5. (10) Peirolo - Centore, Profili IVA del “reward - based crowdfunding”, in <euroconference.it>, news 12 settembre 2016. (11) Corte di Giustizia UE, sentenza 13 dicembre 1983, causa C 222/82; Pres. De Wilmars; Avv. Gen. Rozés.

to, a condizione che si raggiunga la soglia minima per il finanziamento del progetto. Pertanto, nel caso di specie, nel momento in cui verrà raggiunta la soglia minima prevista, i finanziatori, da un lato, perderanno il diritto a recuperare la somma erogata, dall’altro, acquisiranno il diritto di ricevere uno dei prototipi finanziati. A questo punto, la piattaforma Internet accrediterà i relativi importi al proponente/istante, che, in ossequio alla volontà di avviare un’attività mediante la commercializzazione dei prototipi ideati, sarà tenuto ad aprire una posizione IVA (in caso di un soggetto non professionale) e a fatturare, ai singoli finanziatori, la cessione del prototipo, ai sensi dell’art. 6 de DPR del 1972 (12). In merito al secondo aspetto occorre osservare che, nella maggior parte dei casi, l’investitore riceve la ricompensa in un momento successivo rispetto a quello in cui ha erogato il finanziamento. Tenuto conto che, ai sensi dell’art. 6, co. 4 del D.P.R. n. 633/1972, il pagamento anticipato, in tutto o in parte, del corrispettivo implica che la cessione o prestazione si consideri compiuta, la Corte di Giustizia europea ha affermato che, affinché l’IVA sia riscuotibile senza che la cessione o prestazione sia stata già effettuata, è necessario che tutti gli elementi della futura operazione siano già noti e, dunque, che, al momento del pagamento dell’acconto, i beni o servizi siano specificamente individuati (13). Passando al terzo aspetto considerato, può accadere che colui che partecipa all’investimento non sia in primo luogo motivato dalla ricompensa stessa, ma da una connessione emotiva con il progetto: infatti, alcuni di questi investitori potrebbero intendere la ricompensa come un regalo di ringraziamento piuttosto che come contropartita di un’operazione, specialmente se di valore simbolico. La questione, che merita di essere esaminata in modo più approfondito, consiste nel verificare se la ricompensa simbolica costituisca la contropartita di un assoggettamento di beni o servizi imponibile ai fini dell’IVA. A tale riguardo devono essere considerati due potenziali approcci: (1) controllare se la ricompensa erogata sia una ricompensa imponibile, (2) oppure assimilarla come una donazione (14). Per quanto concerne la prima interpretazione, né la Direttiva 2006/112/CE, né la giurisprudenza della Corte

(12) Il testo della risposta ad interpello n. 137 del 27 dicembre 2018 è disponibile al seguente link < https://www.agenziaentrate.gov.it/portale/ documents/20143/307263/Interpello+137+2018_Risposta+n.+137_2018. pdf/12b69147-2905-c3eb-5eef-cc99de04bbec>. (13) Peirolo - Centore, op. ult. cit. (14) Comm. Eur., Working Paper - VAT Commitee, n. 836, cit., 9.

DIRITTO DI INTERNET N. 4/2019

815

PRASSI di Giustizia europea sembrano subordinare l’esistenza di una cessione di beni o servizi ai fini IVA al valore attribuito alla qualità del bene o del servizio in questione. Pertanto, se sono soddisfatte le condizioni relative al collegamento diretto, una transazione è soggetta ad imposizione ai sensi dell’art. 2 della Direttiva IVA. Nei casi in cui il premio è di valore simbolico, vi è naturalmente una discrepanza tra il valore dei beni o dei servizi forniti da parte dell’imprenditore, e tra il corrispettivo ricevuto dall’investitore. Tuttavia, è generalmente richiesto ai fini IVA che un corrispettivo debba riflettere il valore di mercato dei beni o dei servizi forniti affinché una transazione possa essere considerata come imponibile. Per quanto riguarda il secondo approccio, una visione alternativa potrebbe essere quella di considerare la ricompensa del valore simbolico come una non ricompensa, trattando così l’operazione come una donazione da parte dell’investitore all’imprenditore. Perciò l’attività si qualificherebbe ai fini della disciplina IVA come crowdfunding basato sulle donazioni, e sarebbe trattata come se non fosse stata offerta alcuna ricompensa all’investitore. L’applicazione di questa interpretazione, in base alla quale la fornitura di beni o servizi di valore simbolico è assimilata a una donazione, dovrebbe essere valutata caso per caso, tenendo conto delle caratteristiche di ogni scenario. Le due differenti interpretazioni del symbolic reward crowdfunding sopra elencate non devono necessariamente essere viste come alternative, piuttosto come soluzioni potenzialmente complementari. Per quanto riguarda la fornitura di beni o servizi intesa come donazione, sembra una classificazione ragionevole solamente nei casi in cui il beneficio ricevuto dall’investitore, in cambio dei finanziamenti, sia pressocché nullo (15). Vi è la possibilità, però, che la fornitura di beni o servizi possa essere considerata una donazione anche nei casi in cui il beneficio ricevuto, se non strettamente trascurabile, non sia totalmente correlato all’importo del contributo, seguendo l’approccio adottato dalla Corte di Giustizia europea nel caso “Commissione europea contro Repubblica di Finlandia” (16).

4. Modelli di crowdfunding con “ritorno finanziario”

(15) Comm. Eur., Working Paper - VAT Commitee, n. 836, cit., 13 s.

(17) Peirolo - Centore, Profili IVA dei modelli di crowdfunding con “ritorno finanziario”, in <euroconference.it>, news 3 settembre 2016.

(16) Corte di Giustizia UE, sezione III, sentenza 29 ottobre 2009, causa C – 246/08; Pres. Rodrigues; Rel. Caoimh; Avv. Gen. Ruiz - Jarabo Colomer.

816

DIRITTO DI INTERNET N. 4/2019

Nei modelli operativi di crowdfunding con “ritorno finanziario”, l’investitore, a fronte del finanziamento erogato, riceve dividendi (equity crowdfunding), oppure interessi (lending crowdfunding). Nel primo caso l’emissione di azioni non è rilevante ai fini IVA, in quanto, la remunerazione offerta sotto forma di partecipazione ai futuri guadagni del progetto finanziato può consistere in rendite o royalties. L’azione, in quanto titolo rappresentativo di un bene immateriale, non può essere oggetto di cessione a titolo oneroso ai fini IVA, considerando che quest’ultima si riferisce ai soli beni materiali; inoltre, l’emissione di titoli azionari non integra neppure una prestazione di servizi a titolo oneroso, poiché l’obiettivo della società emittente è acquisire capitali e non fornire servizi. Dal punto di vista dell’investitore, la semplice assunzione di una partecipazione in un’altra società non costituisce lo sfruttamento di un bene al fine di trarne introiti aventi carattere stabile. Affinché risulti soddisfatto il presupposto soggettivo d’imposta, è necessario che alla detenzione della partecipazione si accompagni una specifica attività che influisca, direttamente o indirettamente, sulla gestione della società partecipata; in particolare, l’interferenza richiesta è quella che implica l’effettuazione di operazioni soggette a disciplina IVA, quali la prestazione di servizi amministrativi, finanziari, commerciali e tecnici (17). In relazione al modello dell’equity crowdfunding, può pertanto ritenersi che, di regola, l’investitore non assume la qualifica di soggetto passivo, a meno che il finanziamento sia concesso da un investitore professionale. Riguardo al trattamento impositivo dei dividendi, gli stessi, anche se percepiti da un investitore professionale, sono sempre esclusi da IVA in quanto non costituiscono il corrispettivo di un’attività economica. Passando ad esaminare il modello lending crowdfunding, ammesso e regolato dal Provvedimento di Banca d’Italia dell’8 novembre 2016, è uno strumento attraverso il quale una pluralità di soggetti può richiedere a una pluralità di potenziali finanziatori, tramite piattaforme online, fondi rimborsabili, per uso personale o per finanziare un progetto (18). È possibile ritenere che il prestito rientri nel campo di applicazione dell’IVA solo se il contributore agisce come soggetto passivo, ai sensi dell’art. 2, par. 1, lett. c), della Direttiva.

(18) Buttus, I diversi modelli di crowdfunding nell’imposizione sui redditi, in Riv. Dir. Trib., supplemento online, 24 luglio 2019.

PRASSI Per soggetto passivo si intende qualsiasi persona che svolge in qualsiasi luogo un’attività economica, indipendentemente dallo scopo o dai risultati di tale attività. Il co. 2 dell’art. 9 chiarisce che «lo sfruttamento di beni materiali o immateriali al fine di ottenere da essa reddito su base continuativa deve essere considerato, in particolare, un’attività economica». Tale disposizione sembra pertinente per il lending crowdfunding, dal momento che alcuni contributori possono prestare denaro con l’obiettivo di ricevere interessi su base continua (19). Ne discende che, per gli investitori professionali, il credito concesso in prestito rientra nello svolgimento della propria attività, ed è soggetto al regime di esenzione di cui all’art. 135, par. 1, lett. d), della Direttiva n. 2006/112/CE, corrispondente all’art. 10, co. 1, n. 1), del D.P.R. n. 633/1972.

5. Profili IVA dei servizi forniti dalle piattaforme online di crowdfunding

che “ai fini dell’effettuazione della prestazione di servizi l’uso di Internet, quale mezzo di comunicazione, è equiparabile all’uso di un telefono o di un fax e non fa mutare la natura giuridica dell’operazione che va qualificata come intermediazione e non come commercio elettronico”. I servizi di intermediazione resi dalle piattaforme di crowdfunding nei confronti degli imprenditori differiscono tra di loro; in particolare, ove erogato a titolo oneroso, il servizio è rilevante ai fini IVA, ma beneficia dell’esenzione prevista per le prestazioni di intermediazione finanziaria ex art. 10, co. 1, n. 9), del D. P. R. n. 633/1972 se la piattaforma gestisce l’incasso e il pagamento delle somme di denaro tra il cliente e il fornitore (23). Per concludere, la Commissione europea è del parere che i servizi relativi all’intermediazione siano attività economiche che rientrano nel campo di applicazione della disciplina dell’IVA.

La campagna di crowdfunding è un fenomeno socio economico fondato sulla condivisione di beni e servizi per mezzo di una piattaforma digitale. Agli effetti dell’IVA, le operazioni realizzate nell’ambito dell’economia condivisa devono essere esaminate ad un duplice livello, essendo necessario stabilire il regime impositivo applicabile: i) da un lato, ai beni ceduti e servizi scambiati attraverso la piattaforma digitale, definendo, a tal fine, se l’utente che fornisce i beni e servizi debba essere qualificato come un soggetto passivo IVA; ii) dall’altro, al servizio reso dalla piattaforma digitale agli utenti (20).Le due tipologie di operazioni vanno considerate separatamente; in pratica, anche se entrambe le transazioni possono essere effettuate con modalità diverse, il trattamento IVA del servizio reso dalla piattaforma non incide su quello delle cessioni e prestazioni poste in essere attraverso la piattaforma e viceversa. Con specifico riguardo al rapporto tra la piattaforma e l’utente, il Comitato IVA ha osservato che questo servizio costituisce un’intermediazione in misura tale che la piattaforma di crowdfunding non agisca in nome proprio (21). Il ruolo dei gestori delle piattaforme è determinante, giacché crea e supervisiona il mercato telematico in cui si realizza l’incontro tra proponenti e contributori e garantisce ai primi maggiore visibilità e conseguenti speranze di successo in ragione della sua notorietà, direttamente misurabile in numero di accessi, condivisioni e, in termini informatici, traffico (22). In linea con questa qualifica, la risoluzione dell’Agenzia delle Entrate 16 maggio 2008, n. 199 ha precisato

(22) Santin, Il crowdfunding alla sfida delle qualificazioni fiscali, in Rass. Trib., 2017, 688 ss.

(23) Peirolo - Centore, op. ult. cit.

DIRITTO DI INTERNET N. 4/2019

817

PRASSI

Il captatore informatico. Attesa del consolidamento della disciplina normativa e interpretazione del Garante di Giuseppe Vaciago e Nicole Monte Sommario: 1. Introduzione. – 2. Captatore e digital forensics. – 3. Evoluzione della interpretazione giurisprudenziale. – 4. La Legge Orlando e le successive sospensioni della piena entrata in vigore. – 5. Il caso Exodus. – 6. Intervento dell’Autorità Garante per la Protezione dei dati personali. L’articolo, dopo aver analizzato lo strumento del captatore e l’interpretazione giurisprudenziale relativa all’utilizzo di questo strumento nel corso delle indagini preliminari, indaga i principali elementi della attuale disciplina c.d. Legge Orlando, non ancora pienamente in vigore. In ultimo si considera un recente caso di uso improprio del mezzo del captatore, cui è seguita una significativa interpretazione dell’Autorità Garante per la Protezione dei dati personali, la quale ha inviato una segnalazione al Ministero della Giustizia, contenente un vero e proprio monito relativo alla necessità di emanare una disciplina esaustiva. The paper, after having analyzed the instrument of the trojan horse and the jurisprudential interpretation about the use of this instrument during preliminary investigations, investigates crucial elements of the current discipline so-called Orlando Law, which is not yet fully in force. Finally, it is considered a recent case of misuse of the trojan horse, followed by a significant interpretation of the Data Protection Authority, which sent to the Ministry of Justice a report which provides a specific warning about the necessity to implement a specific regulation.

1. Introduzione

Le indagini preliminari, più di altre fasi procedimentali o processuali, vedono il necessario bilanciamento tra due diritti fondamentali: da un lato il potere inquirente della Pubblica Accusa – che ha come fine ultimo la sicurezza dei cittadini –, dall’altro il diritto di ogni cittadino di salvaguardare la propria sfera personale da un uso potenzialmente sproporzionato degli strumenti investigativi a disposizione dell’Accusa. L’evoluzione tecnologica ed il dato digitale hanno creato un’infinita disponibilità di elementi potenzialmente utili alle indagini o a sostenere l’accusa in giudizio. Al contempo, per ragioni di natura giurisdizionale e grazie alla possibilità dell’indagato di cifrare i propri dati o di rendersi anonimo in rete, l’organo inquirente si trova molto spesso nella impossibilità di accedere alle prove digitali. Ad esempio, molti dei servizi di posta elettronica non hanno sede in Italia così come i principali servizi di messaggistica istantanea o cloud service e, per questa ragione, la raccolta delle prove digitali richiede rogatorie internazionali i cui esiti sono spesso aleatori. Nel corso degli anni, dunque, anche l’Autorità Giudiziaria è andata progressivamente attrezzandosi di strumenti tecnologici al fine di raccogliere le prove, anche digitali. Uno di questi strumenti è il c.d. captatore informatico che costituisce uno strumento di indagine tanto efficace, quanto potenzialmente invasivo per i destinatari di un’indagine penale.

Prima di qualsiasi disamina dal punto di vista giuridico, è necessario osservare che il captatore informatico è un software in grado di controllare da remoto ogni tipo di device (computer, tablet, smartphone, etc.). La captazione viene effettuata attraverso l’installazione di un c.d. trojan horse (una particolare tipologia di malware) nel dispositivo dell’indagato. Il malware può essere inoculato sia fisicamente, attraverso l’inserimento di un supporto removibile (ad esempio una pen drive USB), sia virtualmente attraverso l’invio telematico del codice infetto (per esempio attraverso l’induzione dell’indagato al download di un software). L’installazione fisica del malware è più economica ed efficace, ma non è praticabile qualora non si sappia dove si trovi il device (1) e soprattutto nel caso in cui si debba agire avendo la certezza di non essere notati dal soggetto captato, per evitare di compromettere un’intera indagine. Tuttavia, è bene avere chiaro che unicamente l’inoculamento fisico consente maggiore accuratezza nella scelta del bersaglio evitando il rischio di attaccare altri device eventualmente connessi alla rete in cui viene sferrato il malware (2). L’installazione virtuale del malware può essere effettuata sia attraverso l’apertura di una pagina web che sia in grado di esplorare le vulnerabilità del device bersa-

DIRITTO DI INTERNET N. 4/2019

819

PRASSI glio (3), oppure attraverso il download di file presenti negli allegati di una e-mail o all’interno di un presunto aggiornamento di un software o di una applicazione per lo smartphone (4).

2. Captatore e digital forensics

Ai fini di una esaustiva analisi relativa all’utilizzo del captatore durante un’indagine svolta dall’Autorità Giudiziaria è necessario comprendere quali sono gli aspetti maggiormente critici nella raccolta di una prova digitale, mediante un software di questo tipo. Attualmente, la giurisprudenza di legittimità e la normativa di riferimento sembrano aver limitato alcune funzionalità. Tuttavia, non si può escludere che, nel prossimo futuro, il captatore possa essere utilizzato in modo più invasivo. Preliminarmente è utile ricordare in quali casi il dato digitale può essere ritenuto attendibile in un procedimento penale (5). In ambito probatorio, la prova digitale è stata classificata distinguendo il tipo di rappresentazione, e nello specifico è stato osservato (6) che la rappresentazione del fatto è la medesima sia che la prova sia incorporata in uno scritto sia che questo venga effettuato in un file, ciò che muta è unicamente il metodo di incorporamento su base materiale. Se, ad esempio, il file di testo viene stampato su carta, il documento è “tradizionale”, poiché esplicita in modo visibile il contenuto del documento informatico. La differenza tra i due concetti (documento tradizionale e documento informatico), si sostanzia nel metodo di incorporamento, e non nel metodo di rappresentazione. Tali metodi di incorporamento, sono fondamentalmente due: analogico e digitale. L’incorporamento analogico è “materiale”, nel senso che la rappresentazione non esiste senza il supporto fisico sul quale è incorporata. Ad esempio, se all’interno di un documento scritto vengono operate delle cancellazioni, resta comunque traccia della manipolazione. Mediante il metodo digitale, invece, la rappresentazione del fatto storico è incorporata su di una base «materiale mediante grandezze fisiche variabili»: in altre parole, si tratta di

(3) Davis - Bodmer - Lemasters, Hacking Exposed – Malware & Rootkits Security & Secret Solutions, McGraw-Hill Education, New York, New York, U.S., 2010, 54-55. (4) Casey, Digital Evidence and Computer Crime – Forensic Science, Computers and the Internet, Elsevier, Baltimore, Maryland, U.S., 2011, 377.

820

una sequenza di bit. L’incorporamento digitale ha, dunque, la caratteristica dell’immaterialità, poiché la rappresentazione esiste indifferentemente dal tipo di supporto fisico sul quale il dato informatico è incorporato. I principi fondamentali che sottendono a tale processo di acquisizione di una prova digitale sono: 1. l’immodificabilità del contenuto della memoria del dispositivo 2. la conformità dei dati acquisiti con i dati originali 3. la corretta conservazione dei dati acquisiti. Come si è accennato, alla luce di quanto osservato sinora, risulta complesso ritenere che i principi enunciati possano trovare piena applicazione con riferimento alla tipologia di captatore attualmente presa in considerazione dalla disciplina, ossia uno strumento che viene inoculato surrettiziamente all’interno del dispositivo dell’indagato e ne prende il pieno controllo. Per quanto riguarda il requisito dell’immodificabilità o dell’assenza di alterazione del dispositivo è consigliabile prevedere la creazione di un sistema di logging in grado di registrare tutte le operazioni compiute dal trojan fin dal momento della sua inoculazione. Il report generato dal sistema di logging dovrà essere allegato al verbale redatto dalla Polizia Giudiziaria in cui devono essere puntualmente descritte le attività compiute sul dispositivo oggetto di captazione, il tutto al solo scopo di garantire l’attendibilità della prova raccolta tramite captazione. Per quanto attiene la conformità dei dati acquisiti, si suggerisce un processo di certificazione attraverso l’utilizzo della funzione di hash (7) che garantisce la conformità dei dati acquisiti con quelli originali. Inoltre, va considerato che il dispositivo durante la fase di attivazione e di captazione del trojan è in costante attività (ad esempio può ricevere telefonate, inviare sms, ricevere e-mail o navigare su internet) e quindi si modifica in continuazione. Se dal punto di vista tecnico, attraverso un articolato uso della funzione di hash è ipotizzabile certificare una cristallizzazione del contenuto captato in un determinato momento, dal punto di vista processuale l’attività captativa eseguita mediante trojan non può che costituire un accertamento tecnico non ripetibile (8) ai sensi dell’art. 360 c.p.p., in quanto modifica il luogo virtuale nel quale il malware viene installato. Considerata la natura di tale strumento, diventa inevitabile,

(5) La digital forensics è stata definita come «l’applicazione della informatica e delle tecniche investigative in ambito legale» - Zatyko, Director of the Defense Computer Forensics Laboratory, Commentary: Defining digital forensics, in Forensic Magazine, 2007, all’indirizzo <http://www.forensicmag.com/node/128>.

(7) L’impronta di Hash garantisce durante un’analisi forense di supporti alterabili l’intangibilità dei dati in essi contenuti. L’Hash è una funzione univoca operante in un solo senso (ossia, che non può essere invertita), attraverso la quale viene trasformato un documento di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di “impronta digitale” del testo in chiaro, e viene detta valore di Hash o Message Digest.

(6) Tonini, Nuovi profili processuali del documento informatico, in Scienza e processo penale: linee guida per l’acquisizione della prova scientifica, a cura di De Cataldo Neuburger, Padova, 2010, 427.

(8) Sulla natura irripetibile di tali tipologie di accertamenti, si veda Mancuso, L’acquisizione di contenuti email, in Le indagini atipiche, a cura di Scalfati, Torino, 2014, 65.

DIRITTO DI INTERNET N. 4/2019

PRASSI anche se discutibile dal punto di vista processuale, il “confronto differito” di cui all’art. 268, comma 5, c.p.p. che consente al Pubblico Ministero previa autorizzazione del Giudice per le indagini preliminari di ritardare il deposito del risultato della captazione quando vi sia il concreto rischio che la prova possa venire inquinata o che gli indagati possano evitare una misura cautelare. Tale deposito viene di prassi ritardato fino al momento della chiusura delle indagini preliminari fase in cui, con notevole ritardo, sarebbe finalmente possibile verificare il rispetto da parte della polizia giudiziaria delle procedure di digital forensics e le caratteristiche tecniche del malware utilizzato (9). In questo contesto, un aspetto di fondamentale importanza è il rispetto della “catena di custodia”. L’autorità procedente dovrà indicare in apposito verbale non solo le modalità di conservazione della prova digitale, ma soprattutto la verbalizzazione di tutte le operazioni compiute dalla polizia giudiziaria anche ove si sia avvalsa di società private (10). Da ultimo va evidenziato un’altra importante caratteristica intrinseca del captatore: una volta installato, non può essere rimosso dal soggetto che ha inoculato il malware, che resta dunque giacente all’interno del dispositivo a prescindere a quelli che sono i limiti imposti dai provvedimenti autorizzativi attualmente previsti dalla disciplina e di cui si approfondirà nel prosieguo. Questo aspetto è sicuramente problematico perché potrebbe, in linea teorica, consentire un’attività di captazione anche in un momento successivo ai limiti temporali impostigli dal provvedimento autorizzativo soprattutto se si considera il fatto che, sempre in linea teorica, l’installazione del trojan può consentire anche l’introduzione di file o software all’interno del dispositivo. Per questa ragione, il pedissequo rispetto dei principi di digital forensics rappresenta di fatto un presupposto essenziale per il rispetto delle fondamentali garanzie a presidio del diritto di difesa dell’indagato. Nessuno di questi principi è stato preso in debita considerazione dal Legislatore nella regolamentazione dell’uso del captatore informatico nel corso delle indagini preliminari, introdotta nel 2017 e non ancora pienamente in vigore.

(9) Annunziata, “Trojan di Stato”: l’intervento delle Sezioni Unite non risolve le problematiche applicative connesse alla natura del captatore informatico in Trojan Horse: tecnologia, indagini e garanzie di libertà, in Parola alla Difesa, 2016. (10) Velani, Trojan horse, strumenti investigativi e diritti fondamentali: alla ricerca di un difficile equilibrio, in Trojan Horse: tecnologia, indagini e garanzie di libertà, 173, <http://www.parolaalladifesa.it/wp-content/uploads/2016/09/Parola-alla-difesa_Trojan-horse-tecnologia-indagini-e-garanzie-di-liberta%CC%80.pdf>.

3. Evoluzione della interpretazione giurisprudenziale

Come si è detto, le investigazioni e la fase procedimentale del processo penale non è rimasta estranea alla evoluzione tecnologica e per questa ragione già nel 2009 la Corte di Cassazione ha avuto modo di affrontare il tema dell’utilizzo dei captatori informatici durante le indagini. Nello specifico, in uno dei primi significativi arresti giurisprudenziali, la Suprema Corte (11) non ha ravvisato nel captatore alcun tipo di intercettazione sulla base dell’assunto che l’attività investigativa era consistita nel prelevare e copiare alcuni documenti memorizzati sull’hard disk dell’apparecchio in uso all’indagato e conseguentemente la captazione non aveva avuto ad oggetto un “flusso di comunicazioni”, ma “una relazione operativa tra microprocessore e video del sistema elettronico”. In seguito, con la c.d. sentenza Bisignani (12) la Suprema Corte ha avuto modo di confermare questo orientamento in un procedimento penale decisamente più noto, in quanto l’inchiesta giudiziaria aveva riguardato la c.d. P4 e Luigi Bisignani, che in quanto componente della associazione a delinquere avrebbe operato nell’ambito della pubblica amministrazione con finalità corruttive. Dopo alcuni anni, la Corte di Cassazione (13) è tornata a pronunciarsi sulla natura della captazione effettuata dal trojan horse e, sancendo un cambio di prospettiva, ha stabilito che gli elementi acquisiti attraverso l’utilizzo del captatore informatico rientrano nel novero delle “intercettazioni ambientali” e che le stesse devono avvenire in luoghi ben circoscritti e individuati ab origine e non in qualunque luogo si trovi il soggetto. Tale sentenza riguardava un delicato caso di associazione a delinquere di stampo mafioso e per questo ha dato adito ad un significativo dibattito a livello nazionale. In ultimo, le Sezioni Unite (14) nel 2016, a completamento di quella che di fatto aveva rappresentato una vera e propria disciplina dell’utilizzo del captatore, introdotta con la sentenza Musumeci, hanno ritenuto ammissibile l’installazione di un captatore informatico in dispositivi elettronici portatili (smartphone, tablet o laptop) anche nei luoghi di privata dimora ove il reato sia di particolare gravità e rientri tra i delitti di criminalità organizzata, anche terroristica, ex art. 51, commi 3-bis e 3-quater, c.p.p., quindi quasi ogni tipo di associazione a delinquere e non soltanto quelle di stampo mafioso.

(11) Cass. 14 ottobre 2009, n. 24695. (12) Cass. 27 novembre 2012, n. 254865. (13) Cass. 26 maggio 2015, n. 27100. (14) Cass. 1 luglio 2016, n. 26889.

DIRITTO DI INTERNET N. 4/2019

821

PRASSI In conclusione, è bene osservare che l’evoluzione giurisprudenziale ha di fatto rappresentato la linea seguita dal Legislatore per la redazione della regolamentazione introdotta con il d.lgs. 29 dicembre 2017, n. 216 c.d. Legge Orlando, di cui infra.

4. La Legge Orlando e le successive sospensioni della piena entrata in vigore

A seguito della sentenza delle Sezioni Unite, dopo un ampio dibattito in cui si sono avvicendati anche i provvedimenti emendamento Casson e proposta Quintarelli (15), in data 29 dicembre 2017 è stato approvato in via definitiva, il d.lgs. n. 216 che introduce “Disposizioni in materia di intercettazione di conversazioni o comunicazioni, in attuazione della delega di cui all’art. I, commi 82, 83 e 84, lettere a), b), c), d), ed e), della l. 23 giugno 2017, n. 103”. L’art. 4, d.lgs. n. 216 del 2017 ha introdotto la seguente disciplina: “Modifiche al codice di procedura penale in materia di intercettazioni mediante inserimento di captatore informatico”. Il Codice di procedura penale comprende tra i mezzi di ricerca della prova anche il captatore informatico all’art. 266, comma 2, indicando che l’attività di intercettazione di conversazioni o di comunicazioni possa essere “eseguita anche mediante l’inserimento di un captatore informatico su un dispositivo elettronico portatile”. La novella legislativa, inoltre, ha modificato l’art. 267 c.p.p. chiarendo che “il decreto che autorizza l’intercettazione tra presenti mediante inserimento di captatore informatico su dispositivo elettronico portatile indica le ragioni che rendono necessaria tale modalità per lo svolgimento delle indagini; nonché, se si procede per i delitti diversi da quelli di cui all’art. 51, commi 3bis e 3quater, i luoghi e il tempo, anche indirettamente determinati, in relazione ai quali è consentita l’attivazione del microfono”. Dunque, per i soli reati previsti dall’articolo 51, commi 3bis e 3quater, c.p.p. – terrorismo o crimini di stampo

(15) All’inizio del 2016 si sono sviluppati due progetti di legge (Emendamento “Casson” e proposta “Quintarelli”), che pur non essendo state recepite, esprimevano la necessità di regolare lo strumento del captatore attraverso una serie di provvedimenti cui guardare come best practice. Nello specifico, i due disegni riportavano le seguenti linee-guida: • limitazione dell’utilizzo dello strumento solo per i reati più gravi • necessaria autorizzazione del giudice per le indagini preliminari e non del pubblico ministero • possibilità di notifica ritardata all’indagato in caso di sequestro informatico, ma facoltà di quest’ultimo di analizzare i dati sequestrati in contradditorio con il p.m. • istituzione di un processo di certificazione dei captatori autorizzati all’uso e presenti sul mercato attraverso sistemi idonei di verifica che garantiscano imparzialità e segretezza • diritto per la difesa di ottenere la documentazione relativa a tutte le operazioni eseguite tramite captatori e di verificare tecnicamente che i captatori in uso siano certificati • disinstallazione dei programmi al termine dell’uso autorizzato, anche fornendo all’utente le informazioni necessarie a provvedervi autonomamente in alcuni casi.

822

DIRITTO DI INTERNET N. 4/2019

mafioso, o delitti particolarmente gravi in ambito sociale – i luoghi in cui è possibile per la polizia giudiziaria l’attivazione del microfono non devono essere predeterminati nel decreto autorizzativo del G.i.p. Diversamente, per tutti gli altri reati, il decreto dovrà circoscrivere l’attivazione del microfono del captatore solo in determinate circostanze di tempo e di luogo che dovranno essere previamente determinate, anche indirettamente. Dal punto di vista temporale, la norma dispone che l’inizio dell’intercettazione vera e propria cominci con l’attivazione del microfono in conseguenza di apposito comando, distinguendo dunque la fase di inserimento del captatore informatico sul dispositivo dall’utilizzo dello stesso ai fini dell’intercettazione. Il Legislatore ha ulteriormente specificato che per i reati previsti dall’articolo 51, commi 3bis e 3quater, c.p.p. è possibile per il Pubblico Ministero procedere alle operazioni di captazione mediante decreto motivato con l’obbligo di indicare quali sono le ragioni di urgenza che rendono impossibile attendere il provvedimento autorizzativo del giudice. Per quanto attiene all’individuazione dei requisiti tecnici dei programmi informatici, nonché alle modalità di esecuzione, in dettaglio, delle operazioni, l’art. 7, d.lgs. n. 216 del 2017, in attuazione dell’art. 81, comma 84, lett. e n. 5, legge-delega, demanda la definizione, in dettaglio, al decreto ministeriale del 20 aprile 2018. Questo decreto ha ulteriormente specificato le caratteristiche dei programmi informatici funzionali all’esecuzione delle intercettazioni mediate captatore informatico su dispositivo portatile, ed in particolare l’obbligo di periodico aggiornamento dei programmi “in linea con l’evoluzione tecnologica”, nonché programmi in grado di assicurare “integrità, sicurezza e autenticità” e sistemi di sicurezza che prevedono i) misure di offuscamento o evasione per impedire l’identificazione del captatore e dei dati captati ii) misure idonee ad assicurare la permanenza e l’efficacia del captatore sul dispositivo durante tutto il periodo di attività. Tale decreto ministeriale ha sì regolato le caratteristiche dei programmi, ma, ad una attenta lettura, il già citato provvedimento Casson avrebbe potuto essere un documento molto più completo rispetto a questo specifico decreto. La norma, infatti, prescrive un obbligo di periodico adeguamento dei programmi a standard di funzionalità ed operatività “in linea con l’evoluzione tecnologica” in modo da assicurare “integrità, sicurezza e autenticità” dei dati captati su ogni canale di trasmissione riferibile al captatore, ma non prescrive, ad esempio, la disinstallazione dei programmi al termine dell’uso autorizzato, anche fornendo all’utente le informazioni necessarie a provvedervi autonomamente in alcuni casi.

PRASSI La sicurezza, oltre a dover evitare la dispersione, deve garantire anche la riservatezza e l’integrità dei dati captati, per cui il sistema informatico deve essere predisposto in modo da prevenire indebite intrusioni durante ogni fase dell’attività acquisitiva e, dunque, deve garantire anzitutto che gli strumenti di comando e di funzionamento del captatore siano accessibili esclusivamente da parte degli operatori autorizzati. (16) Come è stato osservato anche da altri autori (17), uno degli aspetti più delicati di questa formulazione normativa è la locuzione “dispositivo elettronico portatile” che può prestare la propria ambiguità a interpretazioni difformi e che non consente altra tipologia di attività captativa su dispositivi che non siano portatili. In ultimo deve osservarsi che la novella legislativa, seguendo, il solco tracciato dalla citata sentenza delle Sezioni unite della Cassazione sul tema delle operazioni di intercettazioni “tra presenti” da svolgersi nei luoghi di privata dimora, non prevede una regolazione circa l’utilizzo del captatore per altri fini diversi dalla intercettazione (18). In proposito la dottrina e la giurisprudenza hanno dato adito ad un dibattito interpretativo relativo alla utilizzabilità o meno, da parte dell’organo inquirente, di queste ulteriori funzionalità. Sul punto, alcuni autorevoli autori hanno sostenuto che secondo la disciplina vigente si direbbe non siano ammessi usi diversi da quello appena ricordato, considerando che la normativa ha introdotto il captatore solo come mezzo di intercettazione ambientale e soltanto su dispositivi portatili, pertanto escludendo, ad esempio, perquisizioni on-line o intercettazioni di messaggi in uscita con il controllo a distanza del software di comunicazione (es. programmi e-mail, Messenger, WhatsApp). Né possono essere controllati con captatori informatici

(16) Per una compiuta analisi sul punto Torre, d.m. 20 aprile 2018: le disposizioni di attuazione per le intercettazioni mediante inserimento di captatore informatico, in Dir. Pen. Proc., 2018, 1255. V. anche, in linea generale, Ziccardi, Il captatore informatico nella “Riforma Orlando”: alcune riflessioni informatico-giuridiche, in Arch. pen. speciale riforme, 2018, 5 ss. e 10 ss. (17) Indovina, I captatori informatici: una riforma troppo contenuta per uno strumento investigativo così pervasivo, in Rivista di diritto dei media, 2018, <http://www.medialaws.eu/wp-content/uploads/2019/05/14.-Indovina.pdf>. (18) Brighi, Funzionamento e potenzialità investigative del malware, in Nuove norme in tema di intercettazioni. Tutela della riservatezza, garanzie difensive e nuove tecnologie informatiche, a cura di Giostra – Orlandi, Torino, 2018, 221 ss.; Calavita, L’odissea del trojan horse, in Dir. Pen. Contemporaneo, 2018, 45 ss; Parlato, Problemi insoluti: le perquisizioni on-line, 289 ss., la quale ritiene che «la poliedrica figura delle “perquisizioni on-line” [sia] destinata […] ad accogliere in via residuale quanto rimanga fuori dalla sfera delle intercettazioni stricto sensu e dagli altri mezzi di ricerca della prova tipici».

i computer fissi. L’utilizzo sarebbe dunque circoscritto a computer portatili, tablet e smartphone. (19) D’altro canto, è stato affermato che nel codice di rito non vi è specifica regolamentazione della materia, ma ciò non significa che le attività investigative di cui si discute debbano ritenersi vietate, e, come tali, insuscettibili di fornire materiali probatori utilizzabili in giudizio (art. 191 c.p.p.). In primo luogo, perché alcune di queste attività sono riconducibili a strumenti di ricerca della prova già disciplinati dalla legge (segnatamente, l’intercettazione di comunicazioni). In secondo luogo, perché nel sistema processuale penale non esiste un principio di tassatività della prova ed il giudice è espressamente autorizzato ad assumere anche “prove non disciplinate dalla legge” (art. 189 c.p.p.) (20). L’obiettivo della regolamentazione introdotta avrebbe dovuto mirare, come nella accennata proposta di riforma Quintarelli, a normare e disciplinare uno strumento così invasivo considerandone tutte le potenziali implicazioni. Con riferimento alla entrata in vigore della disciplina del captatore informatico, l’art. 9, d.lgs. n. 216 del 2017 originariamente prevedeva un periodo di vacatio legis, per cui era previsto che le neo-introdotte disposizioni si applicassero alle operazioni di intercettazione relative a provvedimenti autorizzativi emessi dopo il 31 marzo 2019. La legge di bilancio 2019 (l. 30 dicembre 2018, n. 145) ha ulteriormente posticipato l’entrata in vigore della nuova disciplina prevedendo uno slittamento della entrata in vigore della disciplina restrittiva dell’utilizzo dei trojan. Infatti, l’art. 11, comma 1139, lett. a ha modificato l’art. 9, comma 1, d.lgs. n. 216 del 2017 prescrivendo che le disposizioni di cui agli artt. 2, 3, 4, 5 e 7 si applicano alle operazioni di intercettazione relative a provvedimenti autorizzativi del giudice emessi, invece che dopo il 31 marzo 2019, dopo l’1 agosto 2019. In ultimo con il c.d. Decreto Sicurezza bis (d.l. 14 giugno 2019, n. 53) è stata disposta l’ulteriore proroga al 31 dicembre 2019, del termine di applicazione delle norme in materia di intercettazioni introdotte dal d.lgs. n. 216 del 2017. Per converso, la c.d. Spazzacorrotti (l. 9 gennaio 2019, n. 3) “Misure per il contrasto dei reati contro la pubblica amministrazione, nonché in materia di prescrizione del reato e in materia di trasparenza dei partiti e movimenti politici”, approvata dal Parlamento il 18 dicembre 2018 ha esteso la possibilità di intercettazione mediante captatore su (19) Sul punto Orlandi, Usi investigativi dei cosiddetti captatori informatici. Criticità e inadeguatezza di una recente riforma, in Riv. it. dir. proc. pen., 2018, 544-545. (20) Caprioli, Il “captatore informatico” come strumento di ricerca della prova in Italia, in Rev. brasileira dir. proc. pen., 2017, 485-486.

DIRITTO DI INTERNET N. 4/2019

823

PRASSI dispositivi elettronici portatili nei procedimenti per delitti contro la Pubblica Amministrazione puniti con la pena della reclusione non inferiore nel massimo a cinque anni. Dunque, per effetto del combinato disposto degli artt. 6 e 9, d.lgs. n. 216 del 2017, dell’art. 2, comma 1, d.l. 25 luglio 2018, n. 91 poi convertito in legge e infine dell’art. 11, comma 1139, legge di bilancio 2019, le disposizioni sull’uso del captatore introdotte con la legge Spazzacorrotti, non sono soggette al rinvio “a dopo il 31 luglio 2019”, né al rinvio successivo.

5. Il caso Exodus

Nelle more di una definizione chiara della disciplina sull’uso del captatore informatico, una associazione internazionale di attivisti (21), nel marzo 2019 ha portato avanti un’inchiesta sull’utilizzo di un trojan horse tramite alcune applicazioni di Google Play. Secondo quanto riportato dalla stampa un’azienda di sorveglianza, per alcuni mesi, avrebbe sottoposto a captazione alcune centinaia di soggetti ignari. Il malware era stato inoculato sui device tramite alcune app malevoli di tipo Android caricate sullo store ufficiale di Google. (22) L’inchiesta giornalistica ha messo in luce che le app infette dello spyware erano progettate per assomigliare a innocue app per ricevere promozioni e offerte di marketing da operatori telefonici italiani, o da app per migliorare le performance del dispositivo. Sembrerebbe che sia stata interpellata Google in merito al numero di soggetti intercettati tramite le applicazioni “infette”, questa avrebbe riferito che il numero di soggetti non sia inferiore a mille, tutti dispositivi di persone residenti in Italia. Il captatore Exodus era programmato per agire in due stadi: i) dapprima lo spyware si installava e controllava solamente il numero di telefono e l’IMEI del cellulare ii) in seguito il malware accedeva ai dati più sensibili presenti sul telefono infetto ed apre anche una porta e una shell sul dispositivo: in altre parole, gli operatori del malware potevano far eseguire direttamente dei comandi al telefono infetto. Tutte le prove raccolte da Security Without Borders nella indagine hanno indicato che il malware è stato sviluppato da eSurv, un’azienda italiana con base a Catanzaro, in Calabria. «eSurv ha vinto un bando della Polizia di Stato per lo sviluppo di un “sistema di intercettazione passiva e attiva,” come

(21) Motherboard è un gruppo di giornalisti d’inchiesta ed attivisti, attenti a tematiche in materia di diritti fondamentali relativi alla innovazione tecnologica, privacy e sicurezza dei cittadini, all’indirizzo <https:// www.vice.com/it/topic/motherboard>. (22) Franceschi - Bicchierai - Coluccini, Centinaia di italiani sono stati infettati da un malware nascosto da anni sul Play Store, pubblicato in vice. com, all’indirizzo <https://www.vice.com/it/article/7xnyy9/malware-exodus-infettati-1000-italiani-app-nascosta-google-play-store>.

824

DIRITTO DI INTERNET N. 4/2019

emerge da un documento pubblicato online nel rispetto della legge italiana sulla trasparenza. Il documento rivela che eSurv ha ricevuto un pagamento di euro 307.439,90 il 6 novembre 2017». (23) Il caso non solo mette in luce uno dei potenziali usi distorti del captatore informatico, ma ha destato particolare scalpore in quanto la società privata era committente di un appalto pubblico. Infatti, ne è seguita una indagine della Procura di Napoli nell’ambito della quale, nel maggio 2019, sono anche state emesse due misure cautelari personali nei confronti di un amministratore e un tecnico di una azienda di informatica.

6. Intervento dell’Autorità Garante per la Protezione dei dati personali

A seguito della inchiesta relativa ad Exodus è seguito un interessante dialogo tra l’Autorità Garante per la Protezione dei dati personali ed il Ministero della Giustizia. In data 30 aprile 2019 il Garante per la Protezione dei dati personali ha inviato una segnalazione, avente ad oggetto l’utilizzo del captatore informatico in una indagine giudiziaria, al Presidente del Senato della Repubblica, al Presidente della Camera dei Deputati, al Presidente del Consiglio dei ministri e al Ministro della Giustizia sulla disciplina delle intercettazioni mediante captatore informatico. Significativo è l’ammonimento dell’Autorità al Garante, che nello specifico indica “ad oggi l’utilizzo presenta molti limiti che non garantiscono le garanzie stabilite dal codice di rito penale a tutela dell’indagato”. E ancora “la maggior parte delle nostre indicazioni non sono state recepite dai testi definitivamente approvati. In essi manca, soprattutto, la previsione di garanzie adeguate per impedire che, in ragione delle loro straordinarie potenzialità intrusive, questi strumenti investigativi, da preziosi ausiliari degli organi inquirenti, degenerino invece in mezzi di sorveglianza massiva o, per converso, in fattori di moltiplicazione esponenziale delle vulnerabilità del compendio probatorio, rendendolo estremamente permeabile se allocato in server non sicuri o, peggio, delocalizzati anche al di fuori dei confini nazionali”. Un ulteriore rilievo effettuato ha riguardato l’archiviazione dei file da parte dell’Autorità Investigativa e infatti il Garante ha sottolineato che l’uso dei captatori è estremamente pericoloso quando si utilizzano i sistemi cloud per l’archiviazione dei dati captati. “La delocalizzazione dei server in territori non soggetti alla giurisdizione nazionale costituisce”, sottolinea il Garante, “un evidente vulnus non soltanto per la tutela dei diritti degli interessati, ma anche per la stessa efficacia e segretezza dell’azione investigativa”. Infine, l’Autorità ha invitato il Legislatore a vietare i captatori in grado poi di cancellare le tracce delle operazioni svolte sul telefonino della persona indagata “ai fini della corretta ricostruzione probatoria e della completezza e veridicità del materiale investigativo raccolto è, infatti, indispensabile disporre di software idonei a ricostruire nel dettaglio

PRASSI ogni attività svolta sul sistema ospite e sui dati ivi presenti, senza alterarne il contenuto”. In proposito rileva la teoria dell’“evidence planting” (24). Infatti, nel momento stesso in cui si prende possesso del device del soggetto investigato, vi sarebbe la teorica possibilità di inserire o formare delle prove che possono dimostrare la tesi accusatoria. Questa teoria è significativa al fine di comprendere il rilievo mosso dall’Autorità Garante. Nella misura in cui se non si può avere traccia delle operazioni effettuate sul dispositivo oggetto di indagine, non si può verificare la bontà dell’origine della prova raccolta. Sul punto deve osservarsi che esistono due differenti dottrine criminologiche: la dottrina statunitense del “Fruit of the poisoness tree”, secondo cui tutti i frutti derivanti da una prova raccolta illegalmente sono illegali. (25) Tale tesi è contrapposta a quella maggiormente diffusa in Europa che segue il principio “Mala captum, bene retentum” (26) in forza del quale una prova anche se acquisita in violazione di legge, può essere utilizzata dal giudice per le sue valutazioni in relazione alla colpevolezza del soggetto. A questo monito il Ministero della Giustizia ha risposto inviando una lettera al Garante con cui ha manifestato l’intenzione di recepire molte delle soluzioni proposte dall’Autorità per limitare i rischi di un uso distorsivo dei captatori. Il 18 luglio 2019 il Garante ha mostrato apprezzamento per la lettera del Ministro della Giustizia, ed in particolare con riferimento alla idea di adottare misure volte ad indirizzare le conversazioni intercettate esclusivamente verso gli impianti della Procura, con adeguati controlli sull’integrità dei contenuti, nonché requisiti tecnici dei captatori tali da garantire che essi si limitino effettivamente ad eseguire le sole operazioni autorizzate, pur auspicando una riforma organica della intera disciplina in materia che operi un bilanciamento tra la necessità di

utilizzo di uno strumento prezioso ai fini delle indagini e le libertà individuali. In ultimo, sembrerebbe potersi concludere che la disciplina introdotta, pur in questo stato di parziale applicazione, non consenta un uso proprio del captatore da parte dell’Autorità Giudiziaria. Infatti, se il captatore informatico fosse utilizzato unicamente come strumento per effettuare le intercettazioni c.d. ambientali o “tra presenti”, il diritto alla riservatezza da un lato ed esigenze di sicurezza pubblica dall’altro, riceverebbero un ragionevole bilanciamento di interessi entrambi tutelati dall’ordinamento giuridico. Diversamente, se venissero utilizzate le ulteriori e più ampie funzionalità del software, l’attuale disciplina e le regole tecniche previste dal decreto ministeriale potrebbero risultare insufficienti in termini di garanzie del diritto di difesa, previste per l’indagato eventualmente sottoposto a captazione, nonché in termini di tutela del diritto alla riservatezza di eventuali altri soggetti che gravitassero intorno ad un’indagine senza esserne direttamente coinvolti, la cui privacy potrebbe essere seriamente compromessa.

(24) È a tutti gli effetti un reato che sanziona la condotta di chiunque inserisca qualcosa di rubato o comunque illegale su qualcuno oppure la condotta di chi nascondendo qualcosa lo introduce nel possesso di qualcun altro in modo tale da farlo apparire colpevole quando questo venga trovato. (25) La teoria giuridica di matrice nordamericana del “frutto raccolto dall’albero avvelenato” (Fruit of the Poisonous Tree) ritiene che la prova raccolta illegalmente dovrebbe essere esclusa dal processo. Questa teoria è soggetta a delle eccezioni qualora: (i) la prova è stata trovata da una fonte indipendente dalle indagini; (ii) la scoperta di tale prova era inevitabile; (iii) se c’è una causa che giustifica l’attività illegale che ha permesso di scoprire tale prova. SilverthorneLumber Co. v. United States, 251 U.S. 385, 1920. (26) Per analizzare la contrapposizione tra i due principi si veda la seguente sentenza, European Court of Human Right, 30 giugno 2008, ref. 22978/05, Gäfgen c. Germany.

DIRITTO DI INTERNET N. 4/2019

825