La realta’ delle condotte criminose realizzabili nell’ambito del commercio elettronico impone all’interprete nuove e difficili valutazioni in relazione all’identificazione degli autori degli illeciti. Se, infatti, nelle indagini aventi ad oggetto reati ordinari il problema di individuare l’autore della condotta penalmente sanzionata e’ dovuto alla carente tecnica investigativa o a motivi estrinseci all’illecito stesso, in Internet tale difficolta’ e’ messa in discussione per fattori connessi alle caratteristiche tecniche della rete, risultando alquanto ardua la possibilita’ di riferire, in modo inequivocabile, uno specifico  comportamento attuato in rete ad un determinato soggetto; per le autorita’ giudiziarie si e’ posta, quindi, la necessita’ di individuare, preliminarmente, specifici criteri di imputazione delle condotte telematiche.

L’identificazione dell’autore di reato

Ai fini dell’identificazione dell’autore del reato diviene fondamentale verificare i poteri e gli obblighi dei provider (coloro che forniscono ai singoli utenti l’accesso alla rete e la possibilita’ di utilizzare determinati servizi), in quanto essi sono i soli ad essere in possesso dei dati che consentono l’individuazione della postazione dalla quale e’ stato posto in essere il comportamento illecito.
In particolare, il provider, attraverso i file di log memorizzati sul proprio server, e’ in grado di ricostruire le specifiche attivita’ compiute dal singolo utente in una determinata sessione di collegamento; sul punto appare fondamentale che i diversi ordinamenti giuridici impongano ai provider di  conservare, anche per anni, le comunicazioni trasmesse dagli utenti sulla memoria del server (pratica che e’ gia’ prevista in capo ai gestori delle linee telefoniche in relazione ai tabulati telefonici).
L’accesso ad Internet avviene, normalmente, sulla base di una registrazione dell’utente; infatti ad ogni computer collegato in rete corrispondono un unico numero e un nome logico (hostname o indirizzo elettronico) assegnati e registrati da appositi enti competenti nelle diverse aree geografiche; il soggetto che opera tramite il provider puo’ essere identificato, inoltre, in base ai dati della home page (frontespizio) del materiale pubblicato sul Www, ovvero dall’indirizzo di identificazione (Url) della pagina, o dall’indirizzo e-mail usato per la posta elettronica (Torrani O. – Parise S., Internet e diritto, Milano, 1998, pag. 125).
Cio’ non e’, pero’, sufficiente ad identificare concretamente l’autore dell’illecito: dal momento che la legge italiana non prevede un obbligo di identificazione attraverso documenti formali del soggetto che stipula un contratto o che di fatto inizia un rapporto con un provider, non puo’ escludersi, in particolare, che siano forniti falsi estremi di identita’.
Il problema si aggrava quando il computer dal quale ha operato fisicamente l’autore del reato risulta a disposizione di piu’ soggetti che operano all’interno di una stessa struttura; in questi casi non e’ sufficiente l’identificazione della postazione dalla quale ha avuto origine la comunicazione illecita e si rendono indispensabili ulteriori e tradizionali indagini. Ulteriori difficolta’ sono costituite dalla presenza in rete di appositi siti, i c.d. anonymous remailer che cancellano l’identificazione elettronica e permettono di “navigare” in incognito, rendendo impossibile l’identificazione dell’utente.

L’identificazione dell’autore di atti o fatti telematici puo’ essere impedita anche attraverso la cancellazione dei file di log, operazione consistente nell’invio, nella directory del server, di un apposito programma che provvede automaticamente ad eliminare i file di log che si desiderano rimuovere.
Infine, e’ da ricordare la progressiva diffusione delle varie modalita’ d’utilizzo fraudolento di codici identificativi di un utente da parte di terzi (per i sistemi utilizzati per ostacolare l’identificazione si veda Parodi C. – Calice C., Responsabilita’ penali e Internet, Le ipotesi di responsabilita’ penale nell’uso dell’informatica e della telematica, Milano, 2001, pag. 32 e ss.).
Puo’, tuttavia, verificarsi che l’autore dell’illecito, pur se identificato dall’autorita’ giudiziaria, sfugga all’applicazione delle sanzioni penali previste per il caso concreto, qualora esso si trovasse in un Paese in cui la normativa prevista sia diversa da quella applicabile nel luogo dove l’illecito si e’ verificato.
L’esigenza di conciliare la legittima aspirazione dell’utente di rimanere anonimo con il principio della “rintracciabilita’ a fini giuridici” e’ emersa anche a livello istituzionale europeo, nella Posizione Comune assunta dalla Commissione in materia di “Informazioni di contenuto illegale e nocivo su Internet”, in cui si afferma che “il principio della rintracciabilita’ a fini giuridici andrebbe inserito in eventuali codici di condotta nazionali ed europei che disciplinino l’attivita’ di rispedizione”.
I contributi forniti in sede di autoregolamentazione hanno assunto notevole rilievo a questi fini. In particolare, il “Codice di autoregolamentazione per i servizi Internet”, adottato dall’Aiip (Associazione Italiana Internet Provider), ha previsto che “i soggetti devono consentire l’acquisizione dei propri dati personali a chi fornisca loro accesso e/o hosting. I fornitori di detti servizi sono tenuti a registrare i dati per renderli disponibili all’autorita’ giudiziaria nei termini previsti dalla legge” (art. 5).
In questo senso, e’ da segnalare che alcuni provider procedono ad identificare gli utenti, anche previa acquisizione di copia di documenti d’identita’; tuttavia, finche’ tale prassi non sara’ recepita da normative specifiche, i soggetti intenzionati a compiere attivita’ illecite sulla rete potranno rivolgersi ad enti che non osservano tali formalita’ (Parodi C. – Calice C., Responsabilita’ penali e Internet, Le ipotesi di responsabilita’ penale nell’uso dell’informatica e della telematica, Milano, 2001, pag. 44).

Responsabilita’ penale del provider tra il diritto e la giurisprudenza italiana

Le difficolta’ tecniche connesse alla identificazione e alla perseguibilita’ degli autori di reati commessi in internet e la necessita’ di garantire il rispetto della legalita’ anche in tale contesto hanno indotto gli operatori del diritto ad esaminare l’eventualita’ di una responsabilita’ penale dei provider, i quali sono sempre identificabili e, soprattutto, sempre assoggettabili alle norme del Paese in cui la violazione e’ commessa.

In mancanza di una specifica disciplina legislativa, che dovra’ essere coordinata anche a livello internazionale, gli operatori del diritto si sono cimentati nel valutare, alla stregua delle comuni regole in materia di responsabilita’ per omesso impedimento dell’evento (ex art. 40 comma 2 cod. pen.) ovvero di concorso o partecipazione di persone nel reato (ex art. 110 cod pen.), quali possano essere le condizioni che rendano gia’ configurabile una responsabilita’ penale dei provider (Picotti L., La responsabilita’ penale dei service providers in Italia, in Diritto penale e processo, 1999, pag. 501).
Preliminarmente, appare opportuno precisare che la questione si e’ posta non tanto con riferimento alla figura dell’access provider (mero fornitore di accesso alla rete), quanto rispetto a quella del service provider (il gestore  di servizi in rete) e cio’ nella misura in cui tale ruolo gli permetta di esercitare in concreto un sia pur limitato controllo sui dati che transitano sul proprio server.
Anzitutto, e’ innegabile che il provider sia tenuto a rispondere in sede penale dei contenuti illeciti diffusi in internet, qualora la loro paternita’ sia ad esso riconducibile: in tal caso la responsabilita’ penale ricadrebbe in capo all’autore del reato nella qualita’ di content provider, ossia fornitore  di contenuti (Mazzocchi S., Il commercio elettronico, aspetti legali e fiscali, Rimini, 2001, pag. 68).
Invece, il riconoscimento di una responsabilita’ di natura omissiva del provider, con riferimento alla violazione di un preteso obbligo di controllo sui contenuti messi a disposizione degli utenti sul proprio server, risulta piuttosto complesso; sul punto, occorre ricordare che l’art. 40, cpv., cod. pen. prevede la cosiddetta clausola di equivalenza, in base alla quale “non impedire un evento che si ha l’obbligo giuridico di impedire, equivale a cagionarlo” . 
La dottrina maggioritaria e’ concorde nell’escludere l’esistenza di una posizione di garanzia in capo al provider, in quanto non vi e’ norma giuridica che impone ad esso un obbligo di controllo sui dati provenienti da terzi e resi disponibili sulla rete mediante il proprio server; di conseguenza, non appare ipotizzabile una  sua responsabilita’ penale per il mancato impedimento di reati realizzati da terzi attraverso i servizi che lo stesso fornisce. (In questo senso si veda Mazzocchi S., Il commercio elettronico, aspetti legali e fiscali, Rimini, 2001, pag. 69; Nocerino C., Sulla responsabilita’ penale del provider, in Franceschelli V. (a cura di), Il commercio elettronico, Milano, 2001, pag. 707 e ss.; Picotti L., La responsabilita’ penale dei service providers in Italia, in Diritto penale e processo, 1999, pag. 505; econ, 1997, pag. 100; Torrani O. – Parise S., Internet e diritto, Milano, 1998, pag. 130).

Alla base di tali considerazioni vi sono ragioni di natura pratica. Occorre, infatti, tener presente che non pare tecnicamente possibile un controllo puntuale e concreto sull’enorme flusso di dati che transitano sui server gestiti da ciascun provider; controllo che necessiterebbe di un impiego di energie tecniche ed umane impensabile, soprattutto sotto l’aspetto economico (Si veda Seminara S., La responsabilita’ penale degli operatori su Internet, in Dir. Inf. Inf., 1998, pag. 756 e ss.).

Inoltre, la previsione di un “obbligo giuridico” in capo al Provider di verificare il contenuto della posta elettronica e’ da escludere in quanto tale comportamento integrerebbe la fattispecie criminosa di cui all’art. 616 cod. pen., oltre a porsi in aperto contrasto con i diritti costituzionalmente garantiti quali “la liberta’ e la segretezza della corrispondenza” (art. 15 Cost.) ed “il diritto di manifestare liberamente il proprio pensiero con la parola, lo scritto e ogni altro mezzo di diffusione” (art. 21 Cost.).
Un orientamento dottrinale minoritario ha, poi, prospettato una responsabilita’ del provider sulla base di obblighi di impedimento riconducibili ad una precedente attivita’ pericolosa ( ex art. 2050 cod. civ.). Si e’, pero’, sostenuto che la predisposizione di un accesso ad Internet e l’offerta di spazi sul server e di servizi in detto ambito costituiscono condotte socialmente adeguate, contenute nell’ambito del rischio consentito e, comunque, non “prossime” rispetto al pericolo di realizzazione dell’evento tipico, in quanto quest’ultimo e’ autonomamente realizzato dall’azione volontaria dell’autore della comunicazione illecita (Picotti, L., Fondamento e limiti della responsabilita’ penale dei Service-Providers in Internet, in Diritto Penale e Processo, 1999, pag. 380). 

L’assenza, nel diritto penale positivo, di un obbligo giuridico del service provider di impedire la commissione di illeciti impone di spostare la ricerca su una sua eventuale responsabilita’ concorsuale di carattere commissivo: in particolare, occorre valutare le ipotesi in cui il provider, con il proprio comportamento, abbia consapevolmente agevolato la realizzazione dell’altrui fatto criminoso.
Innanzi tutto, diversamente da quanto sostenuto da parte della dottrina (Picotti L., La responsabilita’ penale dei service providers in Italia, in Diritto penale e processo, 1999, pag. 501 e 502), e’ da precisare che la fornitura di accesso alla rete ed ai relativi servizi e’ un’attivita’ che, presentando un contenuto assolutamente neutro e in se’ consentito dall’ordinamento giuridico, non e’ idonea a giustificare una responsabilita’ penale del provider; ritenendo il contrario, ossia che la mera fornitura di collegamento alla rete rappresenti un contributo oggettivo penalmente rilevante, si verrebbe a toccare la delicata questione della responsabilita’ oggettiva, con tutte le prevedibili implicazioni connesse al principio della personalita’ della responsabilita’ penale.
E’, poi, da escludere una responsabilita’ concorsuale a carico del provider con riguardo al mero mantenimento in rete di contenuti penalmente rilevanti, dal momento che tale condotta e’ comunque successiva rispetto alla consumazione del reato commesso da altri;  d’ altra parte, non pare configurabile nei confronti del provider un obbligo generalizzato, penalmente sanzionato, di rimozione del materiale illecito immesso da terzi sul server da lui gestito (Mazzocchi S., Il commercio elettronico, aspetti legali e fiscali, Rimini, 2001, pag. 70).

Puo’, pertanto, affermarsi che il provider possa intervenire sui propri spazi e servizi solo a seguito di un provvedimento dell’autorita’ giudiziaria ed essere eventualmente giudicato responsabile della mancata ottemperanza a detto provvedimento; tale considerazione e’ consolidata dalle previsioni del D. Lgs. n. 70/2003 che, in relazione alle attivita’ di mere conduit, di caching e di hosting (artt. 14, 15 e 16), dispone che l’autorita’ giudiziaria o quella amministrativa, avente funzioni di vigilanza, puo’ esigere anche in via d’urgenza che il prestatore, nell’esercizio delle suddette attivita’,  impedisca o ponga fine alle violazioni commesse (art. 17).
Cio’ posto, i connotati di illiceita’ della condotta del provider devono essere individuati nelle particolari modalita’ d’accesso o di svolgimento del servizio, ove diversificate dall’ordinario, ovvero nella predisposizione di mezzi idonei ad agevolare l’anonimato dell’autore di condotte illecite (Nocerino C., Sulla responsabilita’ penale del provider, in Franceschelli V. (a cura di), Il commercio elettronico, Milano, 2001, pag. 710).
Un concorso all’altrui illecito puo’, quindi, ammettersi nelle sole ipotesi in cui sia positivamente dimostrato che il provider abbia la conoscenza dell’altrui intenzione di commettere reati e la volonta’ di agevolarne la realizzazione, consentendo o mantenendo il collegamento in rete (Seminara S., La pirateria su internet, in Riv. trim. dir. pen. econ., 1977, pag. 102).

Ai fini dell’affermazione o meno di una responsabilita’ penale del provider a titolo di concorso, appare decisiva la valutazione dell’elemento soggettivo.
Ad un primo impatto sembra ritenersi sufficiente il dolo generico (ossia la comune volizione della condotta di partecipazione) anche nei termini minimi del dolo eventuale (ossia la consapevole accettazione del rischio). Si e’ rilevato, tuttavia, che l’incertezza della portata concettuale del dolo eventuale e la difficolta’ di prova, in sede processuale, di questa particolare situazione psicologico-volitiva del concorrente provider (che non si estrinseca nella condotta) potrebbero determinare il ricorso a deduzioni argomentative (c.d. prova logica) o, addirittura, a presunzioni di dubbia legittimita’ (Picotti L., La responsabilita’ penale dei service providers in Italia, in Diritto penale e processo, 1999, pag. 503). Si e’ anche sostenuta la possibilita’, per delineare un piu’ efficiente quadro delle responsabilita’ penali del provider, di ricorrere alla discussa figura del concorso colposo in delitto doloso (grazie all’estensione dell’articolo 113 c.p.), ravvisando il fondamento della responsabilita’ penale dell’internet provider non solo nella dolosa agevolazione della commissione dell’illecito, ma anche nella mera omessa adozione di dovute cautele atte ad impedire la configurazione dell’illecito stesso. Tale ipotesi viene generalmente esclusa in quanto determinerebbe una estensione non giustificata del campo della responsabilita’ penale del provider (Amodeo G., Riflessioni sulla responsabilizzazione penale dell’internet service provider, 19 novembre 2001, www.cybergiuristi.it).
Si puo’, quindi, condividere la tesi secondo la quale il contributo agevolatore del provider puo’ assumere rilevanza penale nelle sole ipotesi in cui esso sia assistito da un dolo di partecipazione particolarmente intenso (Seminara S., La pirateria su internet, in Riv. trim. dir. pen. econ., 1977, pag. 101).

Si e’ posta, infine, la questione di una responsabilita’ penale del provider ai sensi dell’art. 57 del cod. pen. (su questo tema si vedano Boezio F. – D’alessio M., Internet e responsabilita’ penale, in Vaciago G. (a cura di), Internet e responsabilita’ giuridiche, Piacenza, 2002, pag. 325; Seminara S., La responsabilita’ penale degli operatori su Internet, in Dir. Inf. Inf., 1998, pag. 750 e ss; Gattei C., Considerazioni sulla responsabilita’ dell’Internet provider, 23 novembre 1998, www.interlex.com);  tale disposizione prevede, infatti, la responsabilita’ del direttore o vice-direttore responsabile di un periodico, in relazione al fatto commesso dal giornalista, per aver omesso di esercitare “sul contenuto del periodico da lui diretto il controllo necessario ad impedire che col mezzo della pubblicazione siano commessi reati”.

Equiparando il gestore di un sito Internet ad un responsabile editoriale, il provider diverrebbe corresponsabile dell’illecito dell’utente sulla base di una culpa in vigilando, consistente nel mancato adempimento dell’obbligo di controllo del materiale inviato sul proprio server.
La teoria della culpa in vigilando e’ stata adottata dal Tribunale di Napoli, in materia di tutela di segni distintivi, in un’ordinanza dell’8 agosto 1996, che ha affermato la responsabilita’  extracontrattuale del provider per aver “autorizzato, consentito, o comunque agevolato il comportamento illecito” di un suo utente, colpevole di aver diffuso in rete messaggi promozionali contenenti nomi e marchi appartenenti a societa’ concorrenti (Trib. Napoli, 8 agosto 1997, in Dir. inf., 1997, pag. 970). Il giudice ha riconosciuto gli estremi della concorrenza sleale per il diretto responsabile dei messaggi e della compartecipazione colposa per il provider, quest’ultimo assimilabile ad un responsabile editoriale, in quanto “il proprietario di un canale di comunicazione destinato a un pubblico di lettori – al quale va equiparato quale organo di stampa un sito Internet – ha l’obbligo di vigilare sul compimento di atti di concorrenza sleale eventualmente perpetrati attraverso la pubblicazione di messaggi pubblicitari di cui deve verificare la natura palese, veritiera e corretta, concorrendo, in difetto, e a titolo di responsabilita’ aquiliana, nell’illecito di concorrenza sleale”.
Tale pronuncia, pur vertendo in materia di concorrenza sleale, costituisce un pericoloso precedente suscettibile di influenzare in modo rilevante il settore penale; infatti, se il provider venisse equiparato ad un responsabile editoriale, esso assumerebbe una responsabilita’ non soltanto civile per i fatti illeciti commessi dai content provider ma anche penale ai sensi dell’art. 57 cod. pen., delineandosi, in tal modo, una palese ipotesi di responsabilita’ oggettiva” (Garrapa N., Internet e diritto penale: tra lacune legislative, presunte o reali, panorami trasnazionali, analisi de iure condito e prospettive de iure condendo, www.diritto.it.).
Successivamente, una decisione del Tribunale di Bari dell’11 giugno 1998 ha confermato il principio secondo cui un sito Web e’ paragonabile ad una testata di giornale, con il conseguente obbligo di controllo, da parte del provider, del materiale inviato in rete.

La linea interpretativa emersa da queste due pronunce non sembra condivisibile. Infatti, l’estensione tout court ai provider della responsabilita’ per colpa in vigilando prevista per la stampa periodica, in relazione a tutte le pubblicazioni su un sito poste in essere dagli utenti del servizio, darebbe luogo ad un’integrazione analogica in malam partem di norme penali, del tutto vietata dal nostro ordinamento. Tuttavia, si e’ sottolineato che, nelle situazioni ove si concretizza un coinvolgimento del provider nella realizzazione e diffusione delle comunicazioni illecite, pare ravvisabile, quanto meno sotto il profilo civilistico, uno schema operativo assimilabile a quello dell’editore, certamente da escludersi per l’offerta di servizi quali la semplice e-mail o la partecipazione a newsgroup (Parodi C. – Calice C., Responsabilita’ penali e Internet, Le ipotesi di responsabilita’ penale nell’uso dell’informatica e della telematica, Milano, 2001, pag. 40).
E’, inoltre, dell’estate del 1998 un ordinanza del GIP di Vicenza che, su richiesta del P.M., dispose il sequestro del sito “Isole nella Rete”, ritenendo il Provider responsabile per i contenuti illeciti immessi. In tal caso il sito internet e’ stato considerato quale strumento di diffusione del dato diffamatorio e dunque mezzo di consolidamento dell’illecito, idoneo a subire un provvedimento cautelare reale in grado d’impedire in modo assoluto l’ulteriore diffusione dell’illecito (Cassano G. – Buffa F., Responsabilita’ del content provider e dell’host provider, in Corr. Giur., 2003, pag. 77).

Di diverso avviso altra giurisprudenza di merito.
Il Tribunale di Cuneo, con ordinanza  del 23 giugno 1997 e poi con sentenza del 19 ottobre 1999, ha affermato che il Provider si limita a concedere l’accesso alla rete e lo spazio sul proprio server agli utenti per la pubblicazione di contenuti informativi e che  non e’ responsabile delle violazioni dei diritti d’autore eventualmente compiute da questi.
Di grande rilievo sul tema anche una decisione del Tribunale di Roma del 4 luglio 1998 che, escludendo la natura diffamatoria di un messaggio inviato da un utente su un newsgroup, ha indicato i possibili obblighi e le relative responsabilita’ di un gestore di un sito Internet (Ordinanza Trib. Roma 4 luglio 1998 in Gattei C., Considerazioni sulla responsabilita’ dell’Internet provider, 23 novembre 1998, www.interlex.com).
Secondo il giudice, il provider “si limita a mettere a disposizione degli utenti lo spazio virtuale dell’area di discussione e nel caso di specie, trattandosi di un newsgroup non moderato, non ha alcun potere di controllo e vigilanza sugli interventi che vi vengono inseriti”.
Tale pronuncia assume fondamentale rilievo nella definizione  della responsabilita’ del provider, in quanto esclude un suo obbligo di controllo e monitoraggio sui dati inviati dai terzi sul proprio server; e’, inoltre, importante per aver negato quel principio di identita’ tra testata giornalistica e sito internet, che sembrava essere la soluzione comune adottata dai giudici italiani.
La suddetta decisione, tuttavia, non specifica alcune situazioni: se il titolare di un newsgroup moderato debba essere considerato responsabile per le comunicazioni inviate da terzi; se il provider sia responsabile per non aver provveduto a cancellare il messaggio lesivo quando ne fosse venuto a conoscenza.

Il Tribunale di Firenze, con ordinanza 7 giugno 2001, n. 3155, ha stabilito, in materia di nomi di dominio, che non e’ configurabile la responsabilita’ del provider “al di fuori dell’ipotesi di registrazione di un nome di dominio corrispondente ad un marchio di tale risonanza da indurre necessariamente il provider, secondo le normali regole di prudenza, ad astenersi dall’eseguire la prestazione, essendo di immediata evidenza l’illecito dell’utente finale” (Ordinanza Trib. Firenze 21 maggio 2001, n. 3155, in Cassano G. – Buffa F., Responsabilita’ del content provider e dell’host provider, in Corr. Giur., 2003, pag. 78). In caso contrario, secondo la Corte, si addosserebbe al provider la responsabilita’ del giudizio sulla liceita’ o meno della registrazione del nome di dominio, ossia una serie di valutazioni che sicuramente non gli competono. Nell’ordinanza si legge anche che neppure l’Ufficio Italiano Marchi e Brevetti e’ in grado di verificare tutte le priorita’ in materia di marchi registrati, “….onde e’ impensabile che un tale compito possa essere affidato ad un provider….”.

Intervento normativo: dalla Direttiva Comunitaria 2000/31/CE al D. Lgs. n. 70/2003

La questione sulla responsabilita’ del provider attendeva un intervento comunitario che garantisse l’armonizzazione nella disciplina e, conseguentemente, favorisse la libera utilizzazione dei servizi della societa’ dell’informazione all’interno dello spazio europeo.
L’atteso intervento si e’ realizzato con la Direttiva 2000/31/CE che, disciplinando taluni aspetti giuridici del commercio elettronico, ha definito anche la responsabilita’ dei prestatori intermediari, categoria generale all’interno della quale sono ricompresi i provider.
La direttiva prende in considerazione diverse attivita’ del prestatore.
Con riguardo all’attivita’ di semplice trasporto, (o mere conduit) consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un utente, o nel fornire un accesso alla rete di comunicazione, l’art. 12 prevede che il prestatore non sia responsabile delle informazioni trasmesse a condizione che egli: non dia origine alla trasmissione; non selezioni il destinatario della trasmissione; infine, non selezioni ne’ modifichi le informazioni trasmesse.
Se, invece, il servizio consiste nella trasmissione di informazioni fornite dal destinatario di un servizio su una rete di comunicazione (attivita’ di caching), l’art. 13 dispone che l’intermediario non sia responsabile della memorizzazione automatica, intermedia e temporanea di tali dati, effettuata al fine di fornire un accesso rapido alle informazioni, a condizione che egli: non modifichi le informazioni; si conformi alle condizioni di accesso e di aggiornamento delle informazioni; non impieghi la tecnologia a disposizione per ottenere dati sull’impiego delle informazioni; agisca prontamente per rimuovere le informazioni che ha memorizzato o per disabilitare l’accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l’accesso alle informazioni e’ stato disabilitato ovvero che un organo giurisdizionale o un’autorita’ amministrativa ne ha disposto la rimozione o la disabilitazione dell’accesso.
Infine, in relazione all’attivita’ di hosting, l’art. 14 prevede che il prestatore non sia responsabile delle informazioni memorizzate su richiesta di un cliente, a condizione che non sia effettivamente al corrente del fatto che l’attivita’ o l’informazione e’ illecita e non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.

La direttiva, infine, lascia liberi gli Stati membri di stabilire, ciascuno secondo il proprio ordinamento, che l’autorita’ giudiziaria o quella amministrativa impongano al gestore del servizio di impedire o far cessare la violazione.
Dall’insieme delle disposizioni si deduce che il prestatore, per esonerarsi da responsabilita’, deve limitarsi a svolgere le suddette attivita’ senza intervenire sul contenuto delle informazioni che trasmette o memorizza e, qualora venga a conoscenza di illeciti, attivarsi per rimuovere le informazioni e disabilitare l’accesso alle medesime (Boezio F. – D’alessio M., op. cit., in Vaciago G. (a cura di), Internet e responsabilita’ giuridiche, Piacenza, 2002, pag. 337).
L’attivazione a seguito della conoscenza del potenziale pregiudizio per i terzi o dell’illiceita’ dei contenuti espone i titolari delle societa’ che erogano servizi telematici a notevoli rischi. Da un lato, infatti, procedere alla rimozione potrebbe comportare, nel caso di materiale che risulti perfettamente lecito o in assenza di alcun pregiudizio per terzi, a precise responsabilita’ civili nei confronti del soggetto al quale i dati sono stati rimossi; dall’altro, la mancata attivazione potrebbe comportare precise responsabilita’ penali in capo al provider.
Peraltro, non si comprende come potrebbe, il gestore del servizio, sostituirsi all’Autorita’ Giudiziaria nell’esercitare un controllo di qualita’ dei contenuti e di conformita’ alla normativa vigente che gia’ pone seri problemi ai Magistrati e alle Forze dell’Ordine (Pomante G., Tempi duri per i provider, Le novita’ della Legge comunitaria, www.pomante.com).
Inoltre, il giudice, ai fini dell’attribuzione di una responsabilita’, dovra’ valutare l’elemento soggettivo dell’illecito, ossia accertare se il provider abbia la conoscenza dell’intenzione di un terzo di commettere fatti criminosi e la volonta’ di agevolarne la realizzazione: solo in questo caso si potra’ parlare di responsabilita’ del gestore di servizi su internet.

L’aspetto piu’ interessante della normativa risiede nella disposizione di cui all’art. 15, la quale stabilisce che il prestatore non ha ne’ un obbligo generale di sorveglianza sul materiale inviato sul server, ne’ un obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attivita’ illecite; e’ salva, tuttavia, la discrezionalita’ di ciascun Stato Membro di determinare l’obbligo o meno per i prestatori intermediari, di informare l’autorita’ competente in merito a presunte attivita’ o informazioni illecite di cui siano a conoscenza (art. 15, comma 2).
Da piu’ parti si e’ sostenuto che le disposizioni della direttiva diano luogo ad una forma di responsabilita’ oggettiva a carico del provider, che potrebbe avere conseguenze negative sullo sviluppo dei servizi relativi: di fatto, se il fornitore di hosting fosse effettivamente a conoscenza della illiceita’ delle informazioni memorizzate o, essendone venuto a conoscenza, non abbia provveduto immediatamente a rimuoverle, sarebbe ritenuto responsabile, nonostante l’assenza di un obbligo di sorveglianza a suo carico (Puopolo G. – Liguori L., La direttiva 2000/31/CE e la responsabilita’ del provider, 7/9/2000, www.interlex.it).

I principi della Direttiva relativi alla responsabilita’ del prestatore intermediario sono stati recepiti, nel nostro ordinamento, con la Legge n. 39/2002 e attuati con il D. Lgs. n. 70/2003, che ha riprodotto, agli art. 14, 15 e 16, le disposizioni della direttiva relative all’attivita’ di mere conduit, di caching e di hosting, senza il benche’ minimo intervento di adattamento ai nostri principi giuridici.
Tali disposizioni, che non fissano specifiche ipotesi di responsabilita’ penali in capo ai provider, sono state ritenute prive di utilita’ sotto il profilo penale atteso che, anche senza il decreto, l’intervento (“causale”) sulle informazioni (consapevolmente illecite) poteva gia’ condurre, per i principi generali di diritti penale, ad ipotesi di concorso commissivo, ex art. 110 cod. pen. (Minotti D., Responsabilita’ penale: il provider e’ tenuto ad “attivarsi?”, 5 maggio 2003, www.interlex.it ). 
L’art. 17 del D. Lgs. n. 70/2003, al comma 1, ribadisce che “nella prestazione dei servizi di cui agli articoli 14, 15 e 16, il prestatore non e’ assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, ne’ ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attivita’ illecite”. Tale disposizione non ha dato luogo ad innovazioni giuridiche, dal momento che nel nostro ordinamento non esiste il reato di omesso controllo (o un’altra previsione analoga) a carico di un fornitore di servizi di comunicazione, ovvero non esiste un qualsivoglia obbligo di sorveglianza, la cui violazione sia prevista come reato.
Il comma 2 dell’art. 17 stabilisce che “fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore e’ comunque tenuto: a) ad informare senza indugio l’autorita’ giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attivita’ o informazioni illecite riguardanti un suo destinatario del servizio della societa’ dell’informazione; b) a fornire senza indugio, a richiesta delle autorita’ competenti, le informazioni in suo possesso che consentano l’identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attivita’ illecite”.
Tale disposizione risulta alquanto onerosa per i  provider, in relazione ai costi di tempo e di lavoro che devono sopportare per adempiere agli obblighi a loro imposti. Tuttavia, appare sensata la pretesa di una collaborazione dei provider, dal momento che essi sono i soli ad essere in possesso dei dati che consentono di individuare la postazione dalla quale ha operato l’autore di un eventuale reato. Ovviamente, il provider che rifiuti di fornire all’autorita’ competente informazioni (di cui e’ certamente in possesso) sul presunto autore di un illecito penale, commette il classico reato di favoreggiamento punito dall’art. 378 cod. pen..                                                                                    

Posto che il D. Lgs. 70/2003 non ha introdotto nuove ipotesi di responsabilita’ penale, occorre verificare se, in base alla disciplina da esso introdotta, possa dirsi sussistente, in capo al provider, un “obbligo giuridico di impedire l’evento” (evento coincidente con il reato commesso da terzi), ossia quell’obbligo “di garanzia”, presupposto per l’applicazione dell’art. 40, comma 2, cod. pen. che, in combinazione con la previsione dell’art. 110 c.p., fonda la punibilita’ del concorso per omissione nel reato commissivo realizzato da terzi.

Pur riconoscendo la rilevanza della fonte dell’obbligo di garanzia, si e’ sostenuto che trattasi di obblighi di garanzia non idonei a fondare ipotesi di responsabilita’ penale, soprattutto se si condivide il piu’ recente orientamento dogmatico che, proprio a fronte dei possibili profili di indeterminatezza dell’istituto, tende a limitarne fortemente la portata che, in controtendenza, col decreto ha trovato nuova ed imprevista fortuna (Minotti D., op. cit., 5 maggio 2003, www.interlex.it; in senso contrario si pone Picotti L., Internet e responsabilita’ penali, in Pascucci G., Diritto e informatica, l’avvocato di fronte alle tecnologie digitali, Milano, 2002, pag. 131)
Va, comunque, evidenziato che le disposizioni di attuazione sono molto piu’ severe di quelle previste dall’art. 15 della Direttiva, considerando anche il fatto che il loro recepimento non era obbligatorio; la norma comunitaria, infatti, affermava che “Gli Stati membri possono stabilire l’obbligo o meno per i prestatori intermediari, di informare l’autorita’ competente in merito a presunte attivita’ o informazioni illecite di cui siano a conoscenza”, non che “devono..”.


Profili comparatistici: l’esperienza americana e tedesca

Le problematiche connesse alla responsabilita’ penale del provider ruotano attorno all’utilizzo di un mezzo di comunicazione (Internet) avente dimensione sovra-nazionale, per cui l’analisi dei relativi profili giuridico – penali, per l’analogia delle situazioni da affrontare e la necessita’ di armonizzazione e coordinamento degli interventi da attuare, deve assumere una prospettiva internazionale. In primo piano si pone, quindi, la comparazione  con altri ordinamenti, a partire dagli Stati Uniti e dalla Germania, che, in tempi diversi, si sono dotati di innovativi e controversi strumenti normativi, anche di rilevanza penale.
Nell’ordinamento statunitense si configurano tre tipi diversi di responsabilita’:
1) responsabilita’ diretta del soggetto che ha compiuto la violazione per fatto proprio (direct liability);
2) responsabilita’ da concorso colposo (contributory liability), che si fonda sull’imputazione dell’evento dannoso al soggetto che abbia anche soltanto partecipato alla commissione dell’illecito, allorche’ gli sia nota, o comunque prevedibile (reason to know), la violazione di norme da parte dell’autore materiale della condotta dannosa.
3) responsabilita’ indiretta (vicarious liability), basata sull’inosservanza di poteri di controllo o sorveglianza.

Nella decisione Playboy v. Frena del 1993, e’ stata affermata per la prima volta la responsabilita’ diretta del provider, per violazione della legge sul diritto d’autore.
Il giudice, ritenendo irrilevante la circostanza che il provider fosse a conoscenza o meno di ospitare sul server immagini di proprieta’ altrui, immesse dai propri utenti, ha riconosciuto una vera e propria responsabilita’ oggettiva del provider (Vaciago G., op. cit., pag. 327 e 328).
In maniera analoga e’ stato risolto il caso Sega Entertainment, Ltd. v. Maphia del 1994. Anche in questo caso l’internet provider fu ritenuto responsabile della violazione del copyright, non per aver commesso direttamente la violazione, ma per aver messo a disposizione sul proprio server gli strumenti necessari per copiare i videogames protetti, incoraggiando i suoi utenti a caricare e scaricare i videogiochi. 
E’ stata, quindi, attribuita al provider una responsabilita’ di tipo concorsuale (contributory liability), perche’ a conoscenza delle violazioni commesse dagli utenti del suo sistema (Gattei C., Considerazioni sulla responsabilita’ dell’Internet provider, 23 novembre 1998, www.interlex.com).

Nel caso Cubby v. Compuserve del 1991, in cui l’attore aveva convenuto il provider Compuserve in relazione ad una diffamazione che avrebbe avuto luogo in un forum, il giudice rigetto’ la domanda, ritenendo che il provider non potesse essere paragonato ad un editore (che e’ legalmente tenuto al controllo delle pubblicazioni), quanto piuttosto ad un gestore di una libreria o di un’edicola, al quale non e’ imposto l’onere di esaminare il contenuto di ogni singola pubblicazione che si trova nel proprio negozio (Torrani O. – Parise S., op. cit., Milano, 1998, pag. 127).
Ugualmente, nel procedimento Religious Technology v. Netcom del 1995, il provider (Netcom) veniva ritenuto non responsabile dei contenuti caricati in rete da un utente, per essere il suo comportamento assimilabile a quello di un semplice operatore tecnico, mero fornitore, per usare le parole delle decisione, di cavi e condotti. La Corte sostenne, tuttavia, che una responsabilita’ del provider poteva essere riconosciuta nel caso in cui fosse stata dimostrata la sua conoscenza della violazione. Si escludeva comunque una responsabilita’ indiretta (vicarious liability), in quanto il provider non otteneva alcun vantaggio economico come effetto degli illeciti commessi dai suoi utenti.
Tale decisione, poi, determino’ la nota distinzione tra access provider e service provider, ritenendo soltanto il secondo responsabile per i fatti commessi in rete dagli utenti (Gattei C., op. cit., 23 novembre 1998, www.interlex.com).

Diverse sono state le conclusioni dei giudici nel caso Stratton v. Prodigy del 1995.
La Prodigy aveva argomentato che nessuna responsabilita’ poteva essergli attribuita  per le azioni di terzi, in ragione della sua qualita’ di semplice “distributore di informazioni”. In giudizio, invece, venne appurato che Prodigy esercitava, attraverso un sistema di filtraggio, controlli “editoriali” sui contenuti dei messaggi, eliminando quelli osceni e non legittimi. Poiche’ il provider  aveva deciso di operare non come semplice fornitore di informazioni, ma come direttore di una pubblicazione, la Corte ne affermo’ la responsabilita’  per aver omesso di adottare le misure di sicurezza e le cautele che aveva l’obbligo contrattuale di adottare.
Tale decisione delineo’ il principio secondo cui la responsabilita’ del provider, da non escludersi a priori, deve ricondursi ad effettivi poteri di controllo che, valutato il caso concreto, possono determinare l’equiparazione del provider alla figura dell’editore.
Nella nota sentenza Sega v. Sabella del 1995 e’ stata riconosciuta una responsabilita’ concorsuale in capo al provider, in quanto lo stesso era a conoscenza della violazione commessa dall’ utente; questa forma di responsabilita’, del tutto svincolata da un generale obbligo di controllo o da una volontaria attivita’ di controllo, si fondava sulla circostanza che il provider non si era attivato per rimuovere gli effetti dannosi (Vaciago G., op. cit, Piacenza, 2002, pag. 329 e ss).
Nel panorama europeo, la Germania rappresenta il primo Paese che si sia dotato di una compiuta normativa concernente la responsabilita’ degli operatori su Internet.
L’art. 5 della L. 22 luglio 1997 (IUKDG) sui servizi di informazione e di comunicazione dispone infatti che:
1) “I fornitori di servizi sono responsabili secondo le leggi generali dei propri materiali da essi resi disponibili;
2) I fornitori di servizi sono responsabili dei materiali altrui da essi resi disponibili solo se hanno conoscenza dei loro contenuti e sia tecnicamente possibile ed esigibile impedirne la disponibilita’;
3) I fornitori di servizi non sono responsabili dei materiali altrui ai quali hanno fornito solo l’accesso. Un’automatica e di breve durata ritenzione di materiali altrui, conseguente alla richiesta di utenti, va intesa come fornitura di accesso;
4) Qualora, nel rispetto della riservatezza delle comunicazioni a distanza di cui al § 85 delle legge sulle telecomunicazioni, il fornitore di servizi acquisisce conoscenza di contenuti illeciti e una chiusura sia tecnicamente possibile ed esigibile, rimangono salvi, secondo le leggi generali, gli obblighi di impedimento della disponibilita’ di tali materiali”.

La Legge in esame ha posto come canone di discrimine tra responsabilita’ ed irresponsabilita’ del provider “la paternita’/altruita’” dei contenuti.
L’altruita’ dei contenuti si pone, in tal senso, come elemento idoneo ad escludere la responsabilita’ penale del fornitore di servizi, salvo che quest’ultimo non sia a conoscenza dell’illiceita’ dei contenuti e, al tempo stesso, sia tecnicamente possibile e ragionevole richiedere al provider di bloccare l’accesso ai materiali in questione (per un analisi della Legge si veda Gattei C., op. cit., 23 novembre 1998, www.interlex.com; Garrapa N., op. cit., www.diritto.it; Seminara S., La responsabilita’ penale degli operatori su Internet, in Dir. Inf. Inf., 1998, pag. 759 e ss).

La legislazione tedesca individua, cosi’, un limite all’irresponsabilita’ del Service Provider: la precisa cognizione dell’illiceita’ dei materiali, unita alla ragionevole e possibile (dal punto di vista tecnico) richiesta dell’intervento censorio, rende il Service Provider “garante della sicurezza delle comunicazioni”, non sussistendo, in assenza di tali condizioni, un obbligo generale di controllo dei materiali in Rete; qualora, invece, dovessero ricorrere tali condizioni, il fornitore di servizi verrebbe chiamato a rispondere, anche penalmente, per l’omesso impedimento di reati che risultino commessi ai sensi dell’art. 13 StGB (codice penale tedesco), corrispondente al nostro art. 40 capoverso cod. pen., che regola la responsabilita’ penale per omissione impropria.
Si tratta, dunque, di una responsabilita’ penale temperata: la posizione di garanzia originata dalla potesta’ di controllo sulle fonti di pericolo non da’ luogo ad alcuna conseguenza penalmente rilevante, laddove l’intervento censorio sia inibito tecnicamente o per motivi di altra natura (Garrapa N., op. cit., www.diritto.it).
Autorevole dottrina ha sostenuto che lo IUKDG “possiede una valenza non costitutiva, ma semplicemente dichiarativa della responsabilita’ del Provider…presentandosi come un’interpretazione autentica fornita dal legislatore tedesco allo scopo di evitare incertezze e contrasti giurisprudenziali”; inoltre, “la scelta legislativa tedesca e’ auspicabile anche nel nostro Paese dove, allo stato attuale, non e’ invocabile la posizione di garanzia del Provider ed il conseguente obbligo giuridico di impedire eventi criminosi al fine di tutelare “le vittime” di Internet e, al tempo stesso, malintese esigenze di difesa sociale tendono ad ampliare a dismisura la responsabilita’ penale del Service Provider, equiparandolo al responsabile di testate cartacee” (Seminara S., op. cit., in Dir. Inf. Inf., 1998, pag. 763 e ss.).
E’, infine, da menzionare una sentenza della Corte di Cassazione svizzera, che confermo’ la condanna del direttore generale del Servizio Postale, Telefonico e Telegrafico (PTT) della Confederazione Elvetica, per concorso (a titolo di partecipazione materiale) in diffusione di materiale pornografico ai minori di anni 16 (ai sensi degli artt. 25 e 191 cod. pen. svizzero), per aver concesso ad un’agenzia (Telekiosk) l’attivazione ed il mantenimento di un servizio di conversazioni telefoniche erotiche, anche dopo l’invito della Procura svizzera ad adottare misure volte ad impedire ulteriori violazioni delle norme relative.
In questo caso, la responsabilita’ dell’imputato non e’ stata fondata sull’omissione di controllo o dell’intervento richiesto dalla Procura svizzera, bensi’ direttamente sulla sua condotta attiva, per aver mantenuto l’accesso dell’agenzia alla rete telefonica e fornito i servizi tecnici necessari per commettere i reati di cui era a conoscenza (Per un approfondimento della decisione si veda  Picotti, L., Fondamento e limiti della responsabilita’ penale dei Service-Providers in Internet, in Diritto Penale e Processo, 1999, pag. 385).

Scritto da