Dietro le formule "buoniste" e le astratte dichiarazioni di principio contenute nelle direttive europee 2000/31/CE e 2001/29/CE - che dovranno essere recepite in Italia entro il gennaio 2003 - si nasconde il pericoloso mutamento dei principi giuridici sulla responsabilità dell'internet provider e, più in generale, dei fornitori di servizi internet. Il provider viene, di fatto, trasformato in un giudice-poliziotto, che per evitare di essere chiamato a rispondere in prima persona del comportamento illecito degli utenti, sarà costretto ad esercitare censure, filtraggi e controlli più o meno palesi su quanto accade nei propri server. E questo quando oramai, almeno in Italia, sembrava un dato acquisito (anche dalla giurisprudenza) che l'unica responsabilità ipotizzabile a carico del provider fosse quella fondata sul concorso nell'illecito (per "concorso", lo ricordiamo a chi non fosse un esperto del diritto, si intende la partecipazione attiva nella commissione di un reato).

La situazione è peggiorata dalla continua e ipertrofica crescita del corpo normativo, che continua a svilupparsi sia in quantità sia in scarso coordinamento. Il che crea ovvi problemi applicativi agli operatori e agli utenti che non hanno indicazioni chiare sul come strutturare e usare i servizi offerti. E che dunque rischiano di incappare nei rigori della legge più per difficoltà oggettive che per "cattiva volontà".
Un esempio è rappresentato dalle disposizioni della legge 1. marzo 2002 n. 39 per il recepimento delle direttive europee in materia di commercio elettronico (2000/31/CE) e di diritti d'autore nella società dell'informazione (2001/29/CE). Che impongono oneri e responsabilità molto pesanti ai provider lasciandoli praticamente "fra l'incudine e il martello". Lo schema delle responsabilità definito dalle norme in questione è ambiguo e dunque lascia molto spazio di manovra" nei confronti dei fornitori di servizi. Viene, infatti, affermato nell'art. 31 il principio secondo il quale

Tutto questo dovrebbe significare, in pratica, che non si dovrebbe (il condizionale è d'obbligo) commettere un illecito se ci si limita al cosiddetto "mero trasporto" (con evidente analogia a quanto accade per la telefonia, dove nessuno pensa di coinvolgere un gestore negli illeciti commessi dagli utenti del servizio). Ma la prestazione di servizi internet non è assimilabile tout-court a quella di servizi telefonici perché tecnicamente il provider - anche quello "intermedio" - ha un ruolo attivo nella gestione e nello smistamento delle comunicazioni in transito.
Basta pensare al ruolo dei proxy, che si interpongono fra l'utente e i dati. O ai vari sistemi di filtraggio adottati da molti provider per bloccare certi contenuti o "indirizzare" la navigazione. Oppure, ancora, si pensi alla gestione dei news-server, caso in cui il provider, per varie ragioni, decide di veicolare solo certe gerarchie di newsgroup e non altre. Dal che potrebbe derivare che il semplice fatto di "ospitare" un certo newsgroup implichi averne accettato i contenuti.

E poi ci sono i motori di ricerca che intervengono sui risultati delle interrogazioni formulate dagli utenti, sia vendendo posizionamenti, sia eliminando unilateralmente l'accessibilità a determinati contenuti. Anche in questo caso è discutibile sostenere che il "provider intermedio" non incida sulla circolazione delle informazioni.
Altro aspetto problematico riguarda il concetto di "origine della trasmissione". Tecnicamente, c'è sempre un provider che da origine ad una trasmissione e non necessariamente si tratta del soggetto che ha formato il contenuto asseritamente illecito (ancora una volta, torniamo al caso dei proxy). Quindi affermare che la responsabilità sussiste se si origina la trasmissione di un qualcosa significa che si è sempre e comunque responsabili. Probabilmente la norma voleva significare che il provider non dovrebbe essere responsabile se si limita a fornire una piattaforma tecnologica che poi l'utente impiega come meglio crede. Ma se questa era la voluntas legis la si poteva esprimere in termini sicuramente più chiari.

Veniamo ora alla successiva lettera e) che si occupa della memorizzazione temporanea detta "caching" (sigh!) secondo la quale

La norma è chiaramente scritta pensando ai proxy, ai mirror e alla gestione delocalizzata dei servizi in banda larga e, ancora una volta, crea più problemi di quanti ne risolve. Come dobbiamo intendere, infatti, quel "conformarsi alle condizioni di accesso e di aggiornamento delle informazioni"? Lo scenario che si prospetta è quello di dover interpellare ciascun titolare dei diritti sul materiale memorizzato in un mirror o in un proxy per chiedergli ogni quanto tempo aggiorna i contenuti e se quei contenuti possono ancora rimanere on line oppure no. Applicando rigorosamente questa norma la paralisi è praticamente inevitabile.

Pressoché incomprensibile, poi, è la frase contenuta al punto 4, che vuole che il provider

Tradotto, questo dovrebbe significare pressappoco quanto segue:
a) io sono il titolare di certe informazioni che rendo disponibili tramite i miei servizi;
b) tu provider memorizzi temporaneamente le mie informazioni sul tuo server;
c) quando lo fai, devi rendere disponibili le informazioni (indicare=rendere disponibili?) con metodi ampiamente riconosciuti e utilizzati dalle imprese.
Attenzione, la norma non parla di standard industriali aperti (come quelli dell'internet), ma ricorre ad una nozione molto più vaga (ampiamente riconosciuti e utilizzati). Quindi, se una casa discografica o una software house riescono ad imporre una propria tecnologia, questa diventa vincolante per tutti anche se non è uno standard riconosciuto.

Anche i successivi punti 5 e 6 meritano di essere analizzati a parte perché contengono delle prescrizioni che possono impattare drammaticamente non solo sulla responsabilità ma anche sull'organizzazione interna del provider. Per quanto riguarda il primo, è infatti prevista l'esenzione di responsabilità quando il fornitore

Cioè il fornitore non deve interferire e quindi deve consentire che soggetti terzi possano accedere ai propri sistemi con strumenti tecnologici (anche remoti) per sapere chi, quando, come ha scaricato un certo contenuto temporaneamente memorizzato sui server in questione. Questa legalizzazione del cosiddetto spyware e più in generale del diritto di terzi di svolgere indagini private senza controllo sull'uso delle risorse internet è non solo una grave minaccia per la sicurezza dei sistemi, ma espone gli utenti ad un regime ingiustificato di controllo preventivo e sistematico, sulla base di una presunzione di colpevolezza.

Altro dovere del provider è quello di vigilare sulla effettiva permanenza online dei contenuti che ha memorizzato sulle proprie macchine. Per evitare di essere ritenuto responsabile, è necessario che

A parte l'enormità dello sforzo richiesto per eseguire un compito del genere, c'è il non banale problema di definire precisamente cosa significa quel "non appena venga effettivamente a conoscenza". Basta una semplice mail anonima perché il provider sia obbligato a rimuovere un contenuto, o una telefonata, o un articolo di giornale? Oppure cos'altro? Dunque il criterio adottato dalla UE per non considerare colpevole un provider delle violazioni compiute da terzi tramite i propri server è quello che si può definire del "non intervento".
In altri termini, se il provider non modifica, filtra, o "maneggia" in qualche modo ciò che passa sulla propria rete, non può essere automaticamente considerato responsabile. Come si è visto, però, questo è un principio solo apparentemente ragionevole che, attuato nei termini proposti dal legislatore, si rivela ancora più discutibile, dato che in suo nome si impongono ai provider obblighi di controllo inesigibili o costosissimi.

Il che risulta ancora più evidente dall'analisi della lettera f) dell'articolo 31 della legge 39/02 relativo alla disciplina dell'hosting. La norma di riferimento esclude la responsabilità del provider per le informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che egli

Anche in questo caso le parole utilizzate dal legislatore sono alquanto oscure. Cosa si intende, per esempio, con la locuzione "effettivamente al corrente"? Una interpretazione rigoristica potrebbe addirittura stabilire che la responsabilità del provider sussiste quando, a prescindere dalle formalità di una eventuale comunicazione (notifica tramite ufficiale giudiziario, atto di diffida e quant'altro), di fatto, egli è a conoscenza che il proprio cliente sta compiendo un atto illecito o diffondendo informazioni illecite.

Altro punto critico: con quale potere il provider decide se un cliente sta commettendo un atto illecito o diffondendo informazioni illecite? E' vero che in alcuni casi può essere più semplice di altri rendersi conto che certe azioni possono essere contrarie alla legge. Ma questo non fa venir meno il dato di fatto, e cioè che la norma trasforma il provider in una sorta di mostro bicipite, mezzo inquirente e mezzo giudicante, per di più senza nemmeno una toga o una divisa che gli fornisca un titolo istituzionale per svolgere questo lavoro.

Una interpretazione più elastica potrebbe essere quella secondo cui la norma è fonte di responsabilità del provider se questi, venuto comunque a conoscenza di una sentenza passata in giudicato che dichiara la illiceità di una informazione o di una attività, ne tollera comunque la permanenza. Anche questa soluzione, però, è molto poco soddisfacente. Intanto perché non risolve il problema dello stabilire quando e come un qualcosa sia "effettivamente" conosciuto. E poi perché non viene elusa l'impostazione di fondo della norma, che sembra mostrare un certo disprezzo per i principi di tutela e garanzia che informano il nostro ordinamento.

Desta inoltre molta preoccupazione la scelta di stabilire per legge l'esistenza di "informazioni illecite" intrinsecamente tali. In altri termini, la responsabilità (anche) del provider dipenderà "semplicemente" dall'avere diffuso o concorso a diffondere una informazione unilateralmente classificata come illecita a prescindere dalle finalità perseguite da chi le rende disponibili. Ad esempio, nello stabilire che sono illecite le informazioni relative alla produzione delle droghe, sarebbero posti sullo stesso piano lo studioso di farmacologia che pubblica i risultati di una ricerca scientifica sulla sintesi di sostanze psicotrope e il delinquente che fa circolare gli stessi contenuti per scopi criminali.

Ma attenzione, tutto questo solo se il mezzo utilizzato per la circolazione è l'internet. Si, perché a quanto pare il problema non sembra essere tanto l'informazione in sé, ma il modo in cui è veicolata. Preoccupa di più l'incontrollabilità della circolazione delle informazioni che la loro esistenza. I riflessi sulle attività dei provider sono abbastanza evidenti, come dimostra la successiva lettera j) dello stesso articolo che impone di

La previsione della responsabilità civile per la mancata esecuzione dell'ordine dell'autorità giudiziaria o amministrativa (già peraltro sanzionate penalmente e amministrativamente) è superflua solo in apparenza, perché aggrava non poco la posizione del fornitore di servizi. L'art. 2043 del codice civile stabilisce infatti una clausola generale secondo la quale chiunque commette un fatto illecito è tenuto a risarcirne le conseguenze. Ma per applicarla al provider sarebbe necessario dimostrare un suo coinvolgimento attivo nella commissione dell'illecito. Con la formula proposta dalla legge comunitaria, invece, non c'è bisogno di provare che il fornitore di contenuti sia "coinvolto" nell'azione delittuosa dell'utente. Basta "soltanto" che non abbia rimosso prontamente il materiale incriminato. Il che si collega alla seconda ipotesi di responsabilità, relativa a quella che sembra essere una vera e propria "obbligazione di controllo" delle modalità di utilizzo dei servizi da parte dei clienti.

E' abbastanza evidente quale sia l'origine storica (recente) di norme così inutilmente restrittive: la "caccia alle streghe" iniziata sei o sette anni fa all'insegna della demonizzazione indiscriminata della rete. Si è partiti da affermazioni come "sull'internet ci sono le istruzioni per costruire le bombe", per passare attraverso quelle secondo le quali "in rete ci sono i terroristi e i pervertiti" per arrivare a stabilire per legge una responsabilità (quasi) oggettiva del provider e la criminalizzazione delle informazioni. Secondo un copione tanto chiaro quanto ignorato. Per di più l'ambigua oscurità semantica e grammaticale del testo di legge consentirà un ampio spazio di manovra in fase di emanazione dei provvedimenti attuativi di queste linee guida, e non ci si può certo aspettare una mitigazione dei toni, anzi.

E' ragionevole pensare che, quando queste normative saranno a regime, si produrrà una frattura molto netta nel mercato dei fornitori di servizi internet. Quelli grandi e potenti - che si possono permettere costose consulenze legali - saranno in grado di gestire i propri clienti e i casi critici. Quelli piccoli e squattrinati dovranno sistematicamente cedere di fronte alle minacce di azioni legali anche intentate strumentalmente al solo scopo di ridurre al silenzio le "voci fuori dal coro". Rischiando altrimenti di subire i sequestri dei propri server e pesanti sanzioni. Il prossimo futuro assetto giuridico, dunque, rischia seriamente di creare un sistema giuridico fortemente sperequato, oltre che vessatorio dei diritti di operatori e utenti.