La nuova era digitale al bivio tra tutela del consumatore e responsabilità civile

“The basic code at the heart of the new Internet is pretty simple. Prediction engines (…) create a unique universe of information for each of us – what I’ve come to call a filter bubble – which fundamentally alters the way we encounter ideas and information (…) the filter bubbles introduces three dynamics we’ve never dealt with before. First, You are alone in it (…). Second, the filter bubble is invisible. (…) Finally, You don’t chose to enter the bubble.”

Eli Pariser, The Filter Bubble, Penguin, New York, 2001.

Sommario: 1. Introduzione – 2. La tutela del diritto alla “riservatezza” e alla “consapevolezza”: una visione d’insieme – 3. Patologia della titolarità e patologia della circolazione – 4. Attacchi alle chiavi private: il fenomeno “Man in The Middle” – 5. Osservazioni conclusive

1. Introduzione

I termini del dibattito che si è sviluppato intorno al fenomeno di Internet e alle consuete operazioni che si svolgono su canali telematici, vanno ricondotti a due atteggiamenti culturali che, ancorché postisi in iniziale antitesi, finiscono per tratteggiare in maniera diversa i contorni di un’era sociale, nuova e sicuramente rivoluzionaria, pervenendo al medesimo esito.  Secondo il primo di questi orientamenti, l’uso di Internet si è andato a inserire a pieno titolo, e pure con una certa disinvoltura, nella prassi venendo a costituire non solo un numero di assoluta efficacia nei rapporti giuridico – economici inter partes, ma finendo per rappresentare un cambiamento rivoluzionario su ogni aspetto del vivere sociale. Un cambiamento di tale portata rivoluzionaria, non poteva che condurre alla necessità di costruire intorno a sé un sistema di regole nuove rispetto a quelle introdotte dalla tradizione civilistica che aveva stigmatizzato i principi cardine intorno a cui ruota, ancora oggi, il mondo della contrattualistica. La seconda corrente di pensiero, che ha mantenuto un atteggiamento manifestamente più cauto, ritiene che siano ancora utilizzabili le categorie giuridico – concettuali ereditate dalla secolare cultura di diritto comune per affrontare l’intera portata innovativa di Internet che non indugia a prendere piede sul terreno dell’economia e del diritto privato.

Una terza e più pacata riflessione ha condotto ad una più prudente formulazione circa l’ipotesi di uno scardinamento dagli schemi tradizionali, andandosi ad ancorare alla convinzione secondo cui l’impronta rivoluzionaria del menzionato fenomeno, per quanto si sia rivelata a suo modo travolgente, non potrebbe in alcun modo giustificare l’idea della nascita di un nuovo istituto negoziale con la conseguente riscrittura dell’intera disciplina del diritto delle obbligazioni e dei contratti.

Pertanto, la centralità del sistema di diritto civile deve essere confermata pur senza sottostimare lo sforzo occorrente per reinterpretare le categorie tradizionali e disciplinare compiutamente – all’insegna della ragionevolezza, adeguatezza, congruità e proporzionalità – il nuovo substrato tecnologico digitale. 8 Si impone, in un certo senso, una sorta di nuova lex mercatoria.

A venir in rilievo sarà, innanzitutto, la capacità per ciascun ordinamento di  produrre norme che siano concretamente applicabili a questo nuovo ambiente – annoverato nel linguaggio comune come “quinta dimensione” – e che dimostrino di essere regole mai viste prima, peculiari al fenomeno “Internet”.

Adesso che l’accesso alle reti aperte è mutato da un’originaria strutturazione pensata per consentire l’accesso ai soli operatori economici qualificati, in modo “chiuso” , ad una che vede la partecipazione sul mercato telematico di chiunque possa connettersi alla rete, facendo hot – spot da qualunque luogo e da qualunque dispositivo, pone seri problemi in ordine a come disciplinare le questioni tradizionali di conclusione del contratto: trattasi del tempo, del luogo, del foro competente per la risoluzione giurisdizionale delle controversie, nonché della responsabilità degli operatori professionali (imprese, fornitori del servizio di accesso alla rete, etc), ed infine della tutela del consumatore telematico.

Pertanto, se la conclusione del contratto telematico avviene ora in uno spazio “liquido”, citando l’illuminante sociologo Z. Baumann, una volta spezzati i collegamenti tra regola e territorio, luogo e norma giuridica, ci si interroga sul diritto applicabile a questo fenomeno contrattuale. La peculiare struttura tecnologica delle reti di comunicazione elettronica provoca, infatti, non poche interferenze sotto il profilo procedimentale, formale e probatorio del contratto così formato considerato anche il ruolo peculiare delle piattaforme digitali e l’emersione della normativa europea e interna delle nuove forme elettroniche tipiche e atipiche, che si avrà cura di trattare amplius nel prosieguo.

Costituiscono ulteriori aree di indagine la tutela della proprietà intellettuale e industriale in Internet con particolare riferimento alla tutela dei nomi a dominio, del software, delle banche dati su Internet e al fenomeno delle nuove condotte illecite online.[1]

2. La tutela del diritto alla “riservatezza” e alla “consapevolezza”: una visione d’insieme

Nell’utilizzo sempre più assiduo dei servizi della società dell’informazione è insito un elevato rischio di aggressione della sfera personale dei destinatari. Si è reso allora necessario riconoscere un diritto alla protezione della vita privata, segnatamente per quanto concerne la tranquillità rispetto a talune tecniche di comunicazione [2] particolarmente invasive [3]. Ciò è avvenuto in primo luogo a seguito della recente normativa concernente la protezione delle persone riguardo all’elaborazione dei dati a carattere personale. Secondo l’art. 13, 1° co., lett. e) della legge 31.12.1996, n. 675, nota Legge sulla Privacy, il soggetto cui si riferiscono i dati personali che altri ha interesse a utilizzare può « opporsi, in tutto o in parte, al trattamento dei dati personali che lo riguardano, previsto a fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, non oltre il momento in cui i dati sono comunicati o diffusi, della possibilità di esercitare gratuitamente tale diritto ». Alla legge n. 675/96 si affianca, con maggiore specificità, il d.lg. 13-5-1998, n. 17185, che all’art. 10 contiene l’affermazione di un cosiddetto diritto di difesa dalle unwanted calls (“telefonate indesiderate”). Tale disposizione subordina l’uso di un sistema automatizzato di chiamata senza intervento di un operatore o del telefax a scopi pubblicitari o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva, al consenso espresso del destinatario (con estensione della disciplina di cui agli artt. 11 e 12 della legge n. 675/96, nel caso di chiamate per le medesime finalità, effettuate con mezzi diversi da quelli ivi indicati [4]).

Per quanto concerne la seconda area di protezione del soggetto privato strettamente correlata, che inerisce alla tutela della presa di coscienza dell’utente telematico riguardo al contratto che si intende concludere con l’utilizzo delle nuove tecnologie, si rinviene nel nostro ordinamento un coacervo di disposizioni che si sono stratificate nel tempo e che, per ciò solo, generano precipue necessità di coordinamento. Un esempio scolastico è fornito dai contratti negoziati fuori dei locali commerciali, che attribuiscono al consumatore un diritto di recesso dal contratto stipulato con quelle particolari modalità.

Volendo, poi, più precisamente restare sul tema della tutela del consumatore, è di recentissima attuazione la Direttiva UE 2019/2161, cd. “Omnibus”: un novum normativo avveniristico, ma che contiene comunque le sue ombre. Ancorché, infatti, la Direttiva prevedesse la data del 21 novembre 2021 per il suo recepimento, in Italia è stata adottata con largo ritardo; un dato che è costato al Paese una procedura d’infrazione avviata dalla Commissione europea e giunta sino alla fase del parere motivato, che l’ha condotta, appunto, al recepimento. Se non altro, il Decreto Legislativo n. 26 interviene sul Codice del Consumo introducendo nuove disposizioni sul tema della riduzione dei prezzi (sebbene si tratti di un uso improprio del termine: sarebbe stato più opportuno l’uso del termine “esposizione”, atteso che la norma disciplina il regime dei prezzi da indicare sul relativi articoli in vendita). Per diretta conseguenza, il nuovo art. 17 bis del Codice del Consumo, stabilisce che, nel corso delle campagne promozionali, deve essere esplicitamente indicato il prezzo precedente a quello di riduzione applicato sul prodotto messo in vendita, intendendo per “prezzo precedente” quello inferiore applicato dal venditore nei trenta giorni anteriori l’applicazione della riduzione del prezzo. Oltretutto, la nuova disciplina consumeristica gravante sul venditore non è avulsa da un rigido regime sanzionatorio. La sanzione per la violazione dell’articolo 17 bis è quella sancita dall’articolo 22 comma 3 del Decreto Legislativo n. 114/1998, ovvero la sanzione amministrativa pecuniaria da euro 516,00 a euro 3.098,00. Il nuovo Decreto Legislativo arricchisce anche il novero delle pratiche commerciali scorrette, individuando come tali: le condotte volte alla promozione di un bene venduto come identico ad un altro venduto in un diverso Stato membro dell’ UE, che però abbia caratteristiche diverse, quelle finalizzate a fornire dati di ricerca online senza tuttavia indicare gli annunci pubblicitari a pagamento che consentono una migliore classificazione dei prodotti, o ancora quelle devianti, intense a inviare recensioni false al fine di promuovere determinati prodotti. Le nuove disposizioni sollevano ancora dei dubbi interpretativi di varia natura, specialmente alla luce del tardivo recepimento della Direttiva in Italia e di una difficoltosa armonizzazione della stessa all’ordinamento vigente.  E’ lecito attendersi che alcuni temi, come quello del “prezzo precedente” richiedano un intervento normativo o, quantomeno, la realizzazione di un nutrito elenco di FAQ per guidare gli operatori.

3. Patologia della titolarità e patologia della circolazione

In ordine alle vicende che interessano la vita del documento informatico, occorre precisare che il riconoscimento della rilevanza giuridica dello stesso ha introdotto almeno quattro rischi, che la disciplina del commercio elettronico a sua volta tende a prevenire. Si tratta, in ordine: del rischio relativo all’identificazione del soggetto, del rischio relativo all’incertezza del contenuto, del rischio relativo all’indeterminatezza del tempo della stipulazione e del rischio connesso all’indeterminatezza del luogo della stipulazione. Con la disciplina delle firme elettroniche, si è inteso porre rimedio innanzitutto ai primi due pericoli. In via preliminare, si vuole mettere in risalto un assunto di fondamentale importanza: va rilevato, con riferimento ai contenuti del documento informatico, che essi sono riproducibili all’infinito. Ciò implica che la rappresentazione informatica di una firma chirografa non può suscitare alcun affidamento, in quanto la stessa può essere facilmente riprodotta ed associata a contenuti diversi rispetto a quelli a cui era in origine destinata. Tale osservazione è di primo piano per chiarire che gli strumenti di autentificazione di un documento informatico non possono consistere in una mera riduzione in forma elettronica dei metodi usualmente impiegati nell’autentificazione di una scrittura privata tradizionale. Problemi specifici si pongono, poi, con riguardo al profilo della genuinità. Alcuni supporti notoriamente impiegati per la documentazione informatica, ad esempio i compact disk riscrivibili, o le pen drive, possono essere alterati senza che resti traccia della manipolazione effettuata.[5]. Per ovviare a tali inconvenienti, sono state predisposte barriere logiche che consentono di limitare l’accesso alla creazione e alla modificazione del contenuto dei documenti informatici. Una tecnica abbastanza efficace per garantire la provenienza e la genuinità di una rappresentazione informatica consiste, infatti, nella predisposizione di uno sbarramento logico alla generazione e alla modificazione del contenuto. Tale sbarramento può essere costituito cifrando il testo destinato alla formulazione della dichiarazione in base ad un criterio noto al solo emittente.[6]. Tale metodo, come si avrà modo di esporre, risulta essere quello dell’impiego di una chiave nota ad un solo soggetto, che viene considerato titolare della firma generata. In questo modo, solo la chiave di cifratura può determinare il contenuto del documento. In presenza degli altri requisiti descritti dall’art.1, lett. d, t.u.d.a., si prestano ad essere qualificate come firme elettroniche avanzate ed in presenza di quelli prescritti dall’art.1, lett. e, t.u.d.a., si prestano ad essere considerate firme elettroniche qualificate. Tale espediente costituisce per certo un metodo di autenticazione della provenienza e di attestazione della genuinità dei contenuti. La sua efficienza dipende, infatti, da taluni fattori imprescindibili. Primo fra tutti, vi è la garanzia in ordine al fatto che le chiavi di attivazione dell’algoritmo di firma sono attribuite al soggetto che essa indica; segue la garanzia che le stesse restino nella disponibilità esclusiva di quel soggetto, ed infine si sottolinea la robustezza del sistema di cifratura impiegato. È innegabile che tra il caso più rischioso dei documenti informatici riscrivibili privi di protezione e quello considerato più sicuro dei documenti muniti di firme elettroniche qualificate, esiste una gamma di situazioni intermedie. In relazione ad esse, il Legislatore ha disposto all’art. 10, secondo comma, del t.u.d.a., che è rimessa ad un discrezionale apprezzamento, da compiere con riferimento al caso concreto, la valutazione sulla sicurezza ed affidabilità dei metodi impiegati.

Esaurita questa doverosa premessa, si ritiene opportuno illustrare come i rischi di falso documentale relativo alla provenienza di un documento informatico firmato, secondo parte della dottrina[7], possono essere ricondotti a due classi fondamentali di patologie.

La prima anomalia degna di attenzione è da ricondurre alla cd. patologia della titolarità della firma, che si verifica quando l’intitolazione della chiave è viziata. Più specificamente, il vizio può essere sia genetico (errore del certificatore, falsa attestazione dell’identità del titolare), sia funzionale (attribuzione della chiave di firma già assegnata ad altri, smarrimento del dispositivo di firma). Un distinguo che risulta preliminare all’individuazione prima, ed alla risoluzione poi, di questo specifico problema, attiene alle nozioni di “firma digitale” e di “chiave di firma”. Mentre la prima, come abbiamo avuto modo di chiarire in precedenza, è un valore simbolico espresso in bit che dichiara e documenta l’adesione di un soggetto ad un testo, indicandone la precisa identità, la seconda è un valore algebrico anch’esso espresso in bit, che tuttavia connota in concreto le modalità di cifratura, rendendo diverso da ogni altro il risultato di quelle operazioni. La “chiave” delle firme digitali è quindi il valore che consente la generazione (mediante la “chiave privata”) o la verifica (mediante la “chiave pubblica”) di una sottoscrizione, di una certificazione o di una marcatura temporale. La seconda categoria del problema in esame fa riferimento alla patologia della circolazione della chiave di firma, che si verifica ogni qualvolta avviene un uso non autorizzato della stessa. Più specificamente, viene compromessa l’esclusività sull’impiego di chiavi di firma validamente attribuite. Passando in rassegna qualche ipotesi, ciò può avvenire a causa dell’installazione di software destinati ad attivarsi in occasione dell’impiego di un dispositivo personale per la creazione di una firma. In tale occasione, i programmi sfruttano i dati utilizzati per generare la firma voluta dal suo titolare per apporre la stessa contemporaneamente anche ad altri file, senza che egli lo sappia. I software possono essere installati sia all’insaputa o contro la volontà dell’utente del dispositivo di firma, sia contro quella del titolare del sistema hardware al quale il dispositivo viene applicato (in tal caso si tratta dell’intrusione di virus informatici). La loro presenza può non essere rilevata dall’utente della macchina e il loro impiego per la creazione di documenti contraffatti non lascia traccia sugli stessi. Secondo altra parte della dottrina[8], con riferimento al documento informatico sottoscritto con firma digitale, non è ipotizzabile altra condotta di falsità materiale diversa da quella dell’utilizzo abusivo del dispositivo di firma, in quanto limiti tecnici ne impediscono di alterare il documento sottoscritto nel modo anzidetto. Infine, posto che vi sono alcune patologie che possono verificarsi sia al momento della certificazione di una coppia di chiavi simmetriche (quelle che abbiamo       già inquadrato come “patologie della titolarità”), sia al momento della loro intitolazione (le “patologie dell’intitolazione”, per l’appunto), per tale ragione non si può escludere a priori che anche la dichiarazione sottoscritta con firma digitale venga resa sotto falso nome o sotto nome altrui o, in ogni caso, da un soggetto diverso da colui che risulta essere titolare della firma.[9]

4. Attacchi alle chiavi private: il fenomeno “Man in The Middle”

Con riguardo al campo della crittografia, che si edifica sul requisito tipico della sicurezza digitale, ovvero la confidenzialità, ci si riferisce all’esistenza del fenomeno “Man in The Middle” ogni qualvolta si presenta  il rischio di subire un trafugamento dei propri dati sensibili a seguito dell’introduzione di un soggetto esterno tra il mittente e il destinatario di una conversazione telematica. Ciò può avvenire tra conversazioni instauratesi fra    privati, ma anche fra dispositivi aziendali che effettuano tra loro transazioni    economiche. In questa sede si vuole tentare di approfondire la questione prestando maggiore attenzione alle dinamiche di questa tipologia di attacco,   frequente sui canali della rete, quale luogo privilegiato per la loro diffusione.

Accade che in una connessione legittima tra due utenti o due dispositivi, un terzo soggetto si pone illegittimamente “in the middle”, cioè nel mezzo, per perseguire i propri scopi illeciti. L’attacco più diffuso è quello che avviene all’interno di una rete Wi-Fi pubblica non crittografata, come la rete degli aeroporti, dei bar o di altri esercizi commerciali. Tuttavia, diversi sono gli attacchi MITM praticabili, per citarne alcuni: Rogue access point, IP spoofing, DNS spoofing, HTTPS spoofing, Sniffing.

Negli ultimi anni, i più esperti produttori di software, uniti agli ingegneri qualificati del settore ITC, hanno ottenuto qualche risultato positivo dopo essersi posti l’ambizioso obiettivo di arenare il MITM mediante la realizzazione del protocollo di rete HTTPS che, a differenza del precedente protocollo http, è più sicuro poiché crittografato.

Prima di proseguire con l’analisi del suddetto protocollo, una breve  digressione va fatta in merito alla nozione di crittografia. Come in precedenza accennato, la crittografia permette di effettuare una conversione dei dati da un formato leggibile in un formato codificato il quale, a sua volta, può essere letto solo dopo che è stato decrittato. Pertanto, solamente la persona autorizzata alla lettura può decriptare i dati e accedere alle informazioni nel formato originale.

Dal vasto campo della cyber security apprendiamo che, oltre ai noti  sistemi di cifratura a chiave simmetrica ed asimmetrica, esiste un terzo tipo di crittografia, detto end – to – end, che viene utilizzato principalmente dalle piattaforme social WhatsApp, Messenger e Telegram.

La sua peculiarità è insita nel fatto che permette di proteggere la privacy e le comunicazioni mediante l’uso di un doppio paio di chiavi crittografiche necessarie per cifrare e decifrare i messaggi in viaggio da un punto all’altro  della comunicazione.

Ogni utente, infatti, utilizzerà una chiave pubblica e una chiave privata, legate tra loro in maniera reciproca. La chiave privata è destinata a rimanere sul dispositivo dei due “comunicanti”, e servirà a decrittare i messaggi in arrivo; la chiave pubblica, invece, sarà condivisa con l’interlocutore e sarà utilizzata per crittografare i messaggi in uscita. Questa cifratura permette di rendere innocui i tentativi di attacco Man in The Middle, che mirano a trafugare dati e informazioni personali “intercettando” le comunicazioni tra due o più utenti. Tutto ciò ci permette di compiere alcune riflessioni.

Da un lato, l’evoluzione della tecnologia e l’uso frequente che di essa facciamo, ci impone un’evidente responsabilità nei confronti dei nostri dati sensibili i quali, di fatto, rappresentano una chiara trasposizione dei nostri dati identificativi sul piano virtuale. La valenza di un documento personale cartaceo come la carta d’identità, o il codice fiscale, non ha nulla  in più rispetto ad una certificazione digitale che possiede gli stessi contenuti. Inoltre, la cultura dell’informazione, che ormai si diffonde soprattutto attraverso la rete, ci mostra come la sicurezza informatica si muove necessariamente attraverso due direttrici. La prima è nel senso di realizzare prima, e promuovere dopo, dei validi sistemi di firewall. Nel far ciò, la tecnologia affida ai senior consultant delle società di consulenza informatica lo sviluppo di nuove soluzioni software per i clienti, sfruttando la confidential computing technology e gli smart contracts, per creare nuove app che massimizzino la fiducia, la tutela della privacy e la sicurezza. La seconda direttrice, seguendo  le sorti della prima, attraversa il campo dell’installazione degli aggiornamenti, ne promuove la pubblicità, lavora sulla fidelizzazione degli utenti incentivandoli alla conoscenza delle più sofisticate tecniche di protezione dei propri dispositivi. E questo, di riflesso, rappresenta senz’altro  un bene per la comunità degli internauti.

Tale doverosa digressione, che è stata utile per ricollegarsi alla questione della sicurezza dei protocolli di rete, risulta tanto più imprescindibile allorchè si vuol porre in risalto la circostanza per cui neanche l’HTTPS, oggi, fornisce una garanzia di sicurezza assoluta: il malintenzionato che si serve del Man in The Middle per accedere ad un dispositivo elettronico può avere ugualmente accesso ad una serie di dati illeggibili.

Queste osservazioni sono fondamentali per comprendere in che senso, non essendo   possibile prevenire le mosse dell’offensore in un campo talmente ignoto come l’underground digitale, la miglior difesa contro questo tipo di attacchi è la prudenza.

Il vasto settore della sicurezza informatica, per tutte queste ragioni, ha congegnato una serie di accorgimenti e di strumenti adeguati a garantire prudenza. È necessario, in primo luogo, evitare di connettersi ad hot – spot pubblici poiché spesso sono ubicati su reti Wi-Fi con misure di sicurezza minime o, nella peggiore delle ipotesi, sprovviste di crittografia. In secondo luogo, ma non per rilevanza, educarsi ad utilizzare una VPN (Virtual Private Network) potrebbe essere una soluzione efficace contro un attacco informatico, perché le VPN provvedono ad applicare una propria crittografia a tutto il traffico veicolato. Va da sé che la stessa sicurezza di una VPN è proporzionale alla serietà e all’efficienza del provider che la fornisce. Per proteggersi dagli attacchi MITM basati su malware, il requisito più importante è, banalmente, quello di non installare malware; a tal fine occorre monitorare con frequenza il proprio antivirus ed effettuare gli opportuni aggiornamenti al sistema operativo. Inoltre, l’utilizzo di una piattaforma di gestione delle password dotata di adeguate funzionalità di sicurezza per la rete garantisce che tutte le credenziali di accesso aziendali siano conservate al sicuro.

Come già anticipato, un antidoto anti-MITM importante è dotarsi della crittografia end-to-end. Ormai, i maggiori software di sicurezza informatica che proteggono milioni di utenti fra privati e aziende hanno integrato la propria attività di compliance con la condivisione da cassetta a cassetta utilizzando la PKI (Public Key Infrastructure). Ciò significa che i criminali informatici non possono intercettare le password o altre voci condivise in transito.

L’infrastruttura a chiave pubblica è, di fatto, un insieme di processi tecnologici che consentono a terze parti fidate di verificare l’operato, o di farsi garanti dell’identità di un utente, oltre che di associare una chiave pubblica a un utente, normalmente per mezzo di un software distribuito in modo coordinato su diversi sistemi. Le chiavi pubbliche, tipicamente, assumono la forma di certificati digitali. Tecnicamente, l’infrastruttura è composta da software client, software server , ad esempio un’autorità di certificazione, hardware, come smart card, e procedure operative. Un utente potrebbe, quindi, firmare i propri messaggi con la sua chiave privata, ed un altro utente controllare questa firma usando   la chiave pubblica contenuta nel certificato del mittente, fornito dall’autorità  di certificazione facente parte della PKI. Questo meccanismo consente a due o più parti desiderose di comunicare di verificare la confidenzialità, l’integrità dei messaggi e l’autenticazione degli utenti senza aver bisogno di avviare un  precedente scambio di informazioni segrete.

5. Osservazioni conclusive

In conclusione, risulta evidente il ruolo centrale degli intermediari della società dell’informazione e in particolar modo delle piattaforme digitali di ricerca, aggregazione di contenuti di terzi e social network. Il risvolto negativo della medaglia consiste nel fatto, pacifico, che la diffusione e condivisione online dei contenuti digitali è soggetta a condotte di fruizione illecita di varia natura che richiede un costante rafforzamento delle tutele giuridiche.

Più in generale, la tutela dei diritti di proprietà intellettuale e industriale nelle reti di comunicazione elettroniche è tema attualissimo e dibattuto, strettamente correlato a quello del regime di responsabilità civile applicabile in relazione alle diverse figure soggettive ivi operanti: fornitori di accesso alle reti di comunicazioni elettroniche (access provider o gatekeeper), prestatori di servizi che si limitano a svolgere una funzione di diffusione passiva dei contenuti (meri intermediari di servizi tecnici di caching e hosting, ISP passivi), prestatori di servizi che interferiscono attivamente nell’elaborazione finale degli stessi (ISP attivi), fornitori di contenuti digitali, musicali e audiovisivi (content provider). Con riferimento alla responsabilità di questi, si è ravvisata la necessità di andare oltre la rigida tipizzazione normativa per approdare a una rilettura attenta ed evolutiva del fatto illecito dei prestatori di servizi della società dell’informazione con conseguenze delicate in termini di responsabilità.

La zona grigia compresa tra gli opposti estremi della responsabilità piena e l’esonero da responsabilità costituisce il controverso terreno di indagine giurisprudenziale che queste osservazioni intendono lumeggiare anche alla luce di una nota decisione della Suprema Corte. E infatti, la fondamentale pronuncia di Cassazione Civile 19 marzo 2019 n. 7708, Pres. Genovese, interviene sul controverso e attuale tema della responsabilità degli hosting providers, aggiungendo una significativa tessera al complesso mosaico interpretativo inerente al tema attuale dei presupposti applicativi della responsabilità del prestatore dei servizi per contenuti illeciti pubblicati online da terzi utilizzatori. In particolare, facendo seguito ad una decisione resa su un caso che ha visto come protagonista RTI – Reti Televisive Italiane – contro la Società Yahoo Italia S.r.l., la Corte ha riconosciuto a Yahoo il ruolo di Service Provider passivo, evidenziando peraltro come l’ISP non sia obbligato a sorvegliare sui contenuti caricati dagli utenti né a rilevare una condotta illecita da parte loro.

Gli orientamenti formatisi sul tema forniscono all’interprete differenti prospettive di analisi volte ad acclarare se in relazione al soggetto prestatore di servizi che aggreghi – nell’esercizio della propria attività d’impresa – contenuti digitali caricati da terze parti, l’imputazione della responsabilità debba avvenire in base all’ordinario criterio del fatto illecito di cui all’art. 2043 c.c. oppure in base alla normativa di favore di cui alla Direttiva CE 31/2000 recepita dal D.Lgs. 70/2003 che prevede, invece, un vero e proprio esonero di responsabilità ricorrendo determinati presupposti di legge.

La Corte di Giustizia dell’Unione Europea si è espressa nella stessa direzione a giugno del 2021. Chiamata a intervenire da un Tribunale tedesco nella controversia tra Frank Peterson, un produttore musicale, e YouTube, la Corte ha dato ragione alla piattaforma stabilendo che YouTube si sarebbe comportato come un hosting provider passivo, un semplice intermediario, senza intervenire in alcun modo nelle azioni degli utenti.

Il provider, dunque, non è responsabile sui contenuti caricati da parte degli utenti quando svolge solo un ruolo tecnico e automatico. In maniera del tutto differente si pone la questione quando il provider viene a conoscenza della violazione di diritti, come i diritti d’autore (o copyright) o di proprietà industriale (marchi registrati, utilizzati impropriamente da altri): in quel caso diviene responsabile di non aver bloccato l’illecito.

[1] Si vedano C. GALLI, La tutela dei marchi rinomati in Internet, in A. PALAZZO – U. RUFFOLO (a cura di), La tutela del navigatore in Internet, Milano, 2002, 239 ss.; V. MENESINI, La libertà di concorrenza nel Web mercato, in A. PALAZZO – U.RUFFOLO (a cura di), La tutela del navigatore in internet, cit. 257 ss; D. BURK, J.E. COHEN, Fair Use Infrastructure for Copyright Management Systems, in Harv. J. Law & Tech, 2001, 41 ss.

[2] V. M. ATELLI, Dal diritto di essere lasciati soli al diritto di essere lasciati in pace: la prospettiva del danno da petulanza, RCDP, 1997, 629, che configura l’esistenza nel nostro ordinamento di un diritto alla tranquillità individuale e rammenta come tale esigenza sia stata sentita anche in ambito comunitario come emerge dal 17° Considerando della direttiva 97/7/CE sui contratti a distanza. [3] BUTTARELLI, Banche dati, cit., 316 ss.; M. ATELLI, Dal diritto, cit., 633

[4] Sul punto, la sentenza C-384/93 della Corte di Giustizia delle Comunità Europee, 10- 5-1995 (in G.U.C.E., C159, 24-6-1995) sui limiti al marketing telefonico.

[5] M.ORLANDI, Commento all’art.5, pp. 749 s.; R. SIMONE, Testo scritto, cit. p.20

[6] In alternativa, qualche garanzia in tal senso potrebbe derivare dall’impiego di supporti non riscrivibili, come i cd- rom o i dvd – rom. Questo accorgimento è certamente idoneo a garantire che il documento non possa essere modificato dopo la sua creazione, ma non assicura che esso non sia il risultato della manipolazione di altri documenti. Crf. F. RICCI, Scritture private e firme elettroniche, pag. 109, Milano, 2003.

[7] Ricci

[8] Pecorella

[9] Attualmente un algoritmo universalmente diffuso per la creazione di coppie di chiavi per la cifratura e la decifrazione dei documenti informatici è l’algoritmo RSA (dal nome dei suoi autori Rivest, Shamir e Adleman). Esso non è sicuro in termini matematicamente dimostrabili. Esiste, perciò, la possibilità teorica che si possa venirne a capo con future scoperte matematiche. Allo stato, tuttavia, l’algoritmo viene ritenuto del tutto affidabile, dal momento che gli studiosi sono concordi nel ritenere che l’eventualità di minarne la base sia enormemente improbabile.