26 Feb Il Tribunale di Roma si pronuncia sulla responsabilità del fornitore di hosting: quando può beneficiare dell’esenzione da responsabilità e quando invece risponde ex art. 2043 c.c.

Introduzione:

La recente pronuncia del Tribunale di Roma, XVII Sez. Civ., del 10/01/2019 n. 693 affronta il tema della responsabilità dell’hosting provider rispetto a contenuti giudicati illeciti, caricati dai fruitori dei servizi di hosting, e fa riferimento ai ruoli “attivo” o “passivo” del fornitore di hosting.

Background information:

Più in generale, con internet service provider (categoria in cui rientrano anche gli hosting provider) si intendono quegli operatori della rete che, operando nella società dell’informazione, forniscono servizi Internet quali la connessione, la trasmissione e la memorizzazione dei dati, anche mettendo a disposizione le loro apparecchiature tecniche (cioè i server) per ospitare i dati stessi. Questi ultimi transiterebbero attraverso i server messi a disposizione per erogare il servizio, che può essere di semplice accesso (access provider) ovvero di fornitura di email e di spazi Web (hosting provider). Nella sostanza, essi svolgono un ruolo di intermediario che garantisce un collegamento tra chi vuole mettere a disposizione un’informazione e gli utenti finali di tale informazione.

Di qui la necessità di comprendere quando possa essere loro addebitata una responsabilità per i contenuti illeciti caricati o per le operazioni compiute dagli utenti che si avvalgono del servizio messo a disposizione dall’internet service provider, e quando no.

Questioni principali:

Per comprendere il punto, la normativa di riferimento è la Direttiva 31/2000/CE (d’ora in avanti, la “Direttiva”) sui servizi della società dell’informazione (ed in particolare sul commercio elettronico), recepita in Italia con il D.lgs 70/2003, che prevede, al ricorrere di specifici requisiti, delle esenzioni di responsabilità a favore di alcuni prestatori di servizi per gli illeciti compiuti dai fruitori dei servizi stessi.

In particolare, all’art. 16 D.lgs 70/2003 si esclude la responsabilità del prestatore a condizione che:

• “non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione;
• non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso”.

Tuttavia, l’art. 15 Dir. 2000/31/CE esclude un obbligo di monitoraggio preventivo e generalizzato, così come (ex co. 1) “un obbligo di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite”, ciò in quanto si risolverebbe in un’inammissibile compressione del diritto fondamentale alla libertà di espressione e di informazione (art. 11 della Carta dei diritti fondamentali dell’UE).

Ne deriva una regola generale “base” secondo la quale gli internet service provider non sono responsabili delle informazioni trattate e delle operazioni compiute dagli utenti (destinatari) che fruiscono del servizio, salvo intervengano sul contenuto o sullo svolgimento delle stesse operazioni, assumendo un ruolo “attivo”. I Considerando 42 e 43 della Direttiva richiedono infatti un ruolo “passivo” ossia puramente tecnico e/o automatico, per beneficiare dell’esenzione di responsabilità in parola. Ne deriva che, quando il ruolo possa invece configurarsi “attivo” sarebbe inapplicabile l’art. 16 (esenzione da responsabilità) con conseguente integrazione di un illecito civile extracontrattuale ex art. 2043 c.c. comportante un obbligo risarcitorio in capo al provider.

Per comprendere quindi lo spettro dell’esenzione da responsabilità è necessario capire quando il ruolo nel fornire il servizio sia “attivo” e quando invece “passivo”. La recente sentenza ripercorre gli orientamenti nazionali e sovranazionali sul punto.

Implicazioni pratiche:

Secondo la giurisprudenza nazionale l’hosting provider avrebbe un ruolo “attivo” tutte le volte in cui interviene anche solo nell’organizzazione, selezione o promozione dei materiali caricati, ottimizzandone i contenuti ovvero sfruttandoli da un punto di vista pubblicitario ed economico. Non sarebbe necessaria, per la pronuncia in parola, una manipolazione del contenuto sostanziale, tuttavia, per converso, sarebbe sufficiente prestare “un’assistenza consistente nell’ottimizzare la presentazione delle offerte in vendita e nel promuovere le stesse”.

Il ruolo “passivo” sussisterebbe invece tutte le volte in cui l’hosting provider si limiti a garantire una fornitura “neutra del servizio” mediante un trattamento meramente tecnico e passivo dei dati forniti dai clienti/utenti, potendo anche garantire una migliore fruibilità del servizio mediante espedienti tecnologici quale il fornire il semplice accesso tecnico (App. Milano 7.01.2015 Yahoo vs RTI), senza per questo discostarsi dal suo ruolo “passivo”. Non deve sussistere cioè alcun controllo sui contenuti o sull’editing atti a conferirgli conoscenza degli stessi, in quanto ciò integrerebbe il requisito sub a) dell’art. 16 menzionato e attiverebbe la sua responsabilità.

Invero, la Corte di Giustizia dell’UE ha più volte chiarito che l’avere un ruolo “attivo” non impone al provider l’obbligo generalizzato di controllo ex ante su tutti i contenuti caricati; del pari, l’avere un ruolo “passivo” non esime da responsabilità qualora, venuto a conoscenza dell’attività o dell’informazione illecita, il provider non faccia nulla per rimuoverle, posto che ciò integrerebbe il requisito sub b) dell’art. 16.

Di qui la necessità di comprendere che cosa si intenda per “conoscenza” acquisita (che fa scattare l’obbligo di attivarsi) e conseguentemente in cosa consista e quando venga a determinarsi l’obbligo di attivarsi.

Secondo la pronuncia in commento, non sarebbe necessaria una conoscenza personale e diretta del contenuto illecito ma sarebbe sufficiente che i mezzi tecnologici (es. il software di indicizzazione/catalogazione/organizzazione automatica dei contenuti, seppure in assenza di interventi fisici umani) siano idonei (anche solo potenzialmente quindi) a conferire la conoscenza ed il controllo dei dati memorizzati. In tali casi, il soggetto sarebbe considerato cosciente dei contenuti e, qualora non si attivi, risponderebbe ex art. 2043 c.c. per i danni conseguenti.

Si chiarisce tuttavia che, qualora la conoscenza non avvenga autonomamente (anche attraverso i mezzi tecnologici del provider stesso), l’obbligo di intervento potrebbe sorgerebbe ex post, a seguito di una denuncia da parte delle autorità competenti ovvero una puntuale indicazione dei contenuti da rimuovere da parte del potenziale danneggiato. Nel caso di specie è stata infatti giudicata insufficiente una generica diffida che imponeva al provider di ricercare “tutti i programmi” illecitamente caricati/diffusi in modo indiscriminato ma del pari si è chiarito che non è necessaria l’esatta indicazione degli URL di ciascun contenuto audio-visivo illecito, essendo sufficiente anche la semplice indicazione del titolo dello stesso. Il contenuto della diligenza del provider è tracciato dal considerando 48 della Direttiva, che postula la diligenza che è ragionevole attendersi dal provider e quella prevista dalla normativa nazionale, e consiste nel rimuovere i contenuti ovvero disabilitarne l’accesso prontamente.

Al ricorrere della conoscenza effettiva così delineata, scatterebbe l’obbligo per il provider di attivarsi diligentemente per rimuovere i contenuti illeciti, pena la responsabilità ex art. 2043 c.c. con conseguente obbligo di risarcire il danno patrimoniale emergente e da lucro cessante. Quest’ultimo viene quantificato con il criterio del c.d. “prezzo del consenso” ossia la somma di denaro che l’utilizzatore avrebbe dovuto pagare al titolare dei diritti per il tempo e secondo le modalità di utilizzazione dei contenuti contestati.

In conclusione, se il provider ha un ruolo passivo, al ricorrere dei presupposti sopra menzionati, può beneficiare dell’esenzione di responsabilità, esclusa invece di default per i provider con ruoli “attivi”. Tanto previsto “sulla carta”, per rendere operativa tale esenzione è necessario, a prescindere dal ruolo attivo o passivo, attivarsi una volta presa conoscenza del contenuto illecito, pena la sussistenza di una responsabilità (omissiva) ex art. 2043 c.c. con i conseguenti risvolti risarcitori poc’anzi individuati.