Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

La responsabilità penale degli operatori su internet

Scritto da Sergio Seminara

  SOMMARIO: 1. Il disegno di legge contro la pornografia minorile come il più recente esempio dell'incompetenza del legislatore. - 2. Il vigente sistema penale e Internet. - 3. Estensione analogica ad Internet della disciplina degli altri mass media? - 4. I codici di autoregolamentazione. - 5. La prevenzione dei reati su Internet. - 6. Un modello di disciplina: la legge tedesca 22 luglio 1997. - 7. Gli effetti della ricezione nell'ordinamento italiano della disciplina tedesca. - 8. Tutela dei dati personali e strategie di controllo per la prevenzione dei reati su Internet. - 9. Armonizzazione internazionale del diritto penale e transnazionalità di Internet.


 

  1. IL DISEGNO DI LEGGE CONTRO LA PORNOGRAFIA MINORILE COME IL PIÙ RECENTE ESEMPIO DELL'INCOMPETENZA DEL LEGISLATORE.

Il 9 giugno 1998 è stato approvato dal Senato il disegno di legge n. 2625 contenente 'Norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di minori, quale nuova forma di riduzione in schiavitù'.

Il testo (emendato rispetto alla versione approvata il 3 luglio 1997 dalla Commissione Giustizia della Camera dei deputati e ora tornato alla Camera in seconda lettura) prevede l'introduzione di numerose nuove fattispecie criminose, destinate a trovare inserimento nel codice penale dopo l'art. 600, sulla 'Riduzione in schiavitù'. Tra l'altro, l'art. 3 stabilisce la reclusione da 1 a 5 anni e la multa da 5 a 100 milioni di lire per chiunque, 'con qualsiasi mezzo, anche per via telematica, distribuisce, divulga o pubblicizza il materiale pornografico di cui al primo comma (cioè derivante dallo sfruttamento di minori infradiciottenni, n.d.s.), ovvero distribuisce o divulga notizie o messaggi pubblicitari finalizzati all'adescamento o allo sfruttamento sessuale di minori degli anni diciotto' e la reclusione fino a 3 anni o la multa da 3 a 10 milioni di lire nei confronti di chi 'consapevolmente acquista, detiene o procura ad altri, anche a titolo gratuito, materiale pornografico avente ad oggetto minori degli anni diciotto'; mentre l'art. 10 dispone che 'le disposizioni di questa sezione, nonché quelle previste dagli articoli 609-bis, 609-ter, 609-quater e 609-quinquies, si applicano altresì quando il fatto è commesso all'estero da cittadino italiano, ovvero in danno di cittadino italiano, ovvero da cittadino straniero in concorso con cittadino italiano. In quest'ultima ipotesi il cittadino straniero è punibile quando si tratta di delitto per il quale è comminata la pena della reclusione non inferiore nel massimo a cinque anni'.

Non è necessario, in questa sede, soffermarci sulla drammatica realtà dello sfruttamento sessuale di minori dalla quale trae origine la disciplina in questione, né appare opportuno indugiare sulla problematicità della fattispecie volta ad incriminare il mero possesso di materiale pornografico da parte di chi non sia concorso nella sua realizzazione. Ai nostri fini, risulta invece di estremo interesse la previsione delle condotte di distribuzione, divulgazione e pubblicizzazione 'anche per via telematica', la quale sta a dimostrare univocamente il riconoscimento legislativo di Internet come un possibile strumento di realizzazione del reato.

Questo intento di criminalizzare la diffusione in rete di materiale pornografico, se anche non esplicitato, era verosimilmente presente già nei numerosi disegni di legge presentati alla Camera dei deputati e poi confluiti nel testo approvato dal Senato: nel progetto n. 263 presentato dall'on. Rizza, il cui art. 1 puniva con la reclusione da 6 a 12 anni e la multa da 30 a 300 milioni di lire 'chiunque produce, diffonde, mette in commercio ovvero detiene materiale pornografico concernente minori degli anni diciotto'; nel progetto n. 2265 presentato dall'on. Aprea, ove il comma 3 dell'art. 1 prevedeva la reclusione da 12 a 24 anni e la multa da 100 a 600 milioni di lire per la produzione, la diffusione o il commercio di materiale pornografico finalizzati a indurre, avviare, favorire o sfruttare la prostituzione di infradiciottenni (?); nel progetto n. 2930 presentato dall'on. Marras, che all'art. 1 sanzionava con la reclusione da 6 a 12 anni e la multa da 50 a 300 milioni di lire 'chiunque produca, diffonda, metta in commercio ovvero detenga fotografie, film, video e materiali pornografici che abbiano come protagonisti minori di anni diciotto'. Con assoluta chiarezza, invece, la relazione di presentazione del progetto n. 2931 presentato dall'on. Signorini - il cui art. 1 stabiliva la reclusione da 6 mesi a 6 anni per 'chiunque detenga, commerci, divulghi o scambi immagini o testi a sfondo sessuale che abbiano ad oggetto minori di anni quattordici' -, dopo avere sottolineato l'esigenza di 'andare a colpire tutti i comportamenti del pedofilo che sono caratteristici della sua abbietta perversione, come la ricerca di materiale fotografico o filmato, il porsi in contatto con altri deviati o con organizzazioni criminali che favoriscono lo sfruttamento sessuale dei minori e l'adescamento', rilevava 'la totale assenza di una normativa che reprima l'attività dei pedofili sulla rete Internet, che qui ha trovato un mezzo tecnologico su cui scambiare informazioni ed immagini attraverso siti non riconducibili a soggetti direttamente identificabili'.

Tuttavia, questa volontà legislativa di estendere le incriminazioni alle condotte di distribuzione e divulgazione di immagini, testi o filmati a contenuto pornografico realizzate su Internet si espone a due ordini di censure. Per un verso, essa appare ridondante, non sussistendo alcun dubbio che una diffusione può svolgersi in rete come pure attraverso la posta o i tradizionali mass media; onde la precisazione in esame si presta ad essere percepita come il frutto di una visione 'demonizzatrice' di Internet, qui presentato come uno strumento di comunicazione più congeniale di ogni altro alla commissione dei reati in esame. Per altro verso, essa rivela una profonda incomprensione del fenomeno che si vorrebbe regolare, poiché - anche senza soffermarci sulle pene accessorie della chiusura degli esercizi 'la cui attività risulti connessa' ai delitti in questione e della confisca (vd. art. 7 d.d.l.), che non si comprende in quale senso e in quale misura possano trovare applicazione nella complessa realtà che prende il nome di Internet -, la tipizzazione di condotte come 'distribuire', 'divulgare', 'pubblicizzare', 'detenere' o 'procurare ad altri' risulta in grado di aprire enormi incertezze rispetto alle varietà dei ruoli e delle categorie dei soggetti operanti sulla rete.

Non è chiaro, infatti, se come responsabili della distribuzione, divulgazione, pubblicizzazione, detenzione o cessione a terzi debbano intendersi esclusivamente gli autori materiali della immissione in rete dei dati illeciti (c.d. content providers o produttori di contenuti sotto forma di testi, immagini o suoni) ovvero anche i proprietari di infrastrutture di telecomunicazione (c.d. network providers), i fornitori di accessi (c.d. access providers, i quali offrono l'accesso in rete e la facoltà di utilizzare funzioni come il Web e l'e-mail) ed i fornitori di servizi (c.d. service providers, i quali si rivolgono all'utente finale consentendogli il collegamento ad Internet e a suoi ulteriori servizi come ad esempio i news-servers).

Come vedremo, ad una così ampia e indiscriminata punibilità si oppongono insuperabili argomenti. Appare però estremamente deprecabile che un testo di legge, specificamente concepito per sanzionare anche le condotte realizzate per via telematica, manifesti un atteggiamento di totale indifferenza rispetto al tema - oggi veramente cruciale - della individuazione (e differenziazione) delle responsabilità di coloro che agiscono in rete.

Allo scopo di colmare questa lacuna, a dire il vero, il 4 aprile 1997 era già stata presentata alla Camera dei deputati, ad iniziativa dell'on. Stagno d'Alcontres, la proposta di legge n. 3530 ('Disciplina delle reti telematiche ad accesso variabile in connessione sovranazionale'), costituita da tre articoli ambiziosamente destinati a scolpire diritti e doveri dei soggetti attivi su Internet. Per quanto rileva in questa sede, il comma 2 dell'art. 2 perentoriamente stabiliva che, 'qualora per commettere i reati di cui all'articolo 266 del codice di procedura penale sono utilizzate le reti telematiche di cui all'art. 1 (cioè 'site sul territorio dello Stato, in connessione ad accesso variabile a livello sovranazionale con altre reti telematiche', n.d.s.), le pene previste per tali reati sono raddoppiate': prescrizione, questa, che non solo nel suo richiamo ad un'elencazione di delitti operata al ben diverso fine di disciplinare l'intercettazione di telecomunicazioni non si avvedeva della necessità di distinguere tra illeciti commessi via Internet e illeciti la cui esecuzione sia preparata o concordata attraverso Internet, ma inoltre appariva incomprensibile quanto al presunto maggior disvalore derivante dall'utilizzo della rete. Ulteriormente, il comma successivo stabiliva che 'il titolare ed il responsabile delle reti telematiche di cui all'articolo 1 non sono responsabili per quanto da altri comunicato attraverso le reti da essi gestite o ivi immesso, salvo l'obbligo di denunziare ad autorità dotata di potere di polizia giudiziaria ogni e qualsiasi violazione di cui essi siano venuti a conoscenza perpetrata in danno o per mezzo delle reti da essi gestite': senza indugiare qui sulla singolarità di un dovere di denuncia posto a carico di imprenditori privati (v. sul punto postea, § 4), neppure accompagnato da un termine per l'adempimento, l'assenza di una sanzione stava a significare che un siffatto obbligo sia già sancito e punito dall'ordinamento (ciò che certamente non è) ovvero che la sua inosservanza avrebbe determinato una responsabilità concorsuale (successiva alla commissione del fatto!) per l'omittente.

Come si vede, simili tentativi di legiferazione valgono a rendere apprezzabile l'inerzia del Parlamento. Nondimeno, occorre riconoscere che l'incertezza giuridica che oggi grava sui soggetti che agiscono in Internet rende necessaria l'introduzione di una regolamentazione.

Sommario

 

 

  2. IL VIGENTE SISTEMA PENALE E INTERNET.

Tale situazione di incertezza rappresenta peraltro una caratteristica dell'attuale sistema sanzionatorio penale. Così, per restare al tema della pornografia, l'art. 528 cod. pen. punisce con la reclusione da 3 mesi a 3 anni e la multa non inferiore a 200.000 lire 'chiunque, allo scopo di farne commercio o distribuzione ovvero di esporli pubblicamente, fabbrica, introduce nel territorio dello Stato, acquista, detiene, esporta, ovvero mette in circolazione scritti, disegni, immagini od altri oggetti osceni di qualsiasi specie' o, ancora, li distribuisce o espone pubblicamente. Dinanzi ad una così ampia formulazione, come si vede, non è possibile stabilire, sul piano della tipicità, se la responsabilità si estende fino a raggiungere i providers o se, invece, essa si limita agli autori materiali dell'immissione in rete dei dati illeciti.

Un'analoga formulazione onnicomprensiva - incentrata sul fatto di riprodurre, diffondere, distribuire, detenere a scopo commerciale ecc. - si rinviene negli artt. 171 ss. l. 22 aprile 1941, n. 633, in materia di violazione dei diritti di autore, che rappresenta peraltro uno dei terreni più fertili per la commissione di reati attraverso Internet. E parimenti ampie - e quindi in grado di prestarsi ad un'incriminazione a tappeto - risultano le fattispecie normative concernenti altri illeciti realizzabili in rete, come la diffamazione (art. 595 cod. pen.), la rivelazione di segreti (artt. 261, 326, 617-quater, comma 2, 618, 621 ss. cod. pen.), la diffusione di codici di accesso a sistemi informatici o di programmi diretti a danneggiarli (artt. 615-quater e quinquies cod. pen.), l'istigazione e la propaganda contrarie all'ordine pubblico (artt. 266, 272, 302 s., 414 s. cod. pen.) ecc.

A complicare ulteriormente la situazione intervengono poi le norme sulla partecipazione criminosa: a quali condizioni può ritenersi che il provider sia concorso nell'altrui illecito? È necessaria a questo proposito l'effettiva conoscenza dell'intenzione o della condotta dell'autore del reato o è sufficiente un dolo eventuale? Oppure è ravvisabile, a carico del provider, un obbligo giuridico di impedire l'evento?

Come si vede, la tranquillante e ricorrente affermazione secondo cui ciò che è illegale off-line lo è anche on-line - onde un reato non cessa di essere tale se commesso su Internet e dunque la rete delle reti non è uno spazio libero dal diritto - risulta provvista di una portata esplicativa assai modesta: anche senza indugiare sulla difficoltà di individuare la giurisdizione nazionale competente ad agire, quell'affermazione concerne infatti esclusivamente la punibilità del c.d. produttore di contenuti, mentre tace del tutto rispetto alla posizione degli altri soggetti operanti su Internet.

Le riflessioni che seguono sono destinate ad approfondire i profili della responsabilità penale degli access- e service providers, la cui vaghezza e aleatorietà sembrano costituire una caratteristica del sistema normativo non solo attuale ma anche - alla luce di quanto prima osservato - del prossimo futuro.

Sommario

 

 

  3. ESTENSIONE ANALOGICA AD INTERNET DELLA DISCIPLINA PENALE DEGLI ALTRI MASS MEDIA?

I criteri di individuazione della responsabilità dei providers possono essere teoricamente ricondotti allo schema dell'autoria, a quello della responsabilità concorsuale o a quello dell'omissione di controlli finalizzati all'impedimento di eventi illeciti.

L'inquadramento della figura del provider come autore del reato di divulgazione in rete di contenuti illeciti si limita a situazioni marginali, ove a tale soggetto sia attribuibile la paternità dei dati in questione o almeno la loro riconducibilità, qualora egli agisca come moderatore di un newsgroup o di una mailing-list e quindi provveda al controllo dei messaggi pervenuti e decida in ordine alla successiva disponibilità di essi per gli utenti del servizio. L'utilizzazione dello schema della responsabilità concorsuale risulta invece consentita nelle ipotesi in cui sia dimostrabile che il provider abbia consapevolmente fornito l'accesso a dati illeciti da altri immessi in rete; situazione anche questa in grado di assumere una valenza residuale, a causa della difficoltà sia di provare il dolo del provider in riferimento ad un reato non ancora verificatosi, sia di derivare la sua responsabilità dalla consapevolezza sopravvenuta in ordine ad un reato già perfezionatosi nei suoi elementi essenziali.

Riservandoci di tornare più avanti sui problemi appena evidenziati, appare comunque chiaro che la ridotta capacità operativa dei due criteri ora esaminati potrebbe indurre verso la costruzione di una responsabilità colposa del provider conseguente alla violazione di un obbligo giuridico di impedire eventi illeciti, similmente a quanto già dispone l'art. 57 cod. pen. per il direttore o vicedirettore responsabile in tema di stampa periodica rispetto ai reati commessi con il mezzo della pubblicazione.

Ora, è vero che taluni recenti interventi giurisprudenziali hanno esteso ai giornali c.d. telematici la disciplina amministrativa della stampa o hanno affermato una equiparazione tra gli organi di stampa e i siti Internet. Tuttavia, il tentativo di estendere analogicamente la normativa penale vigente in tema di stampa è destinato inesorabilmente a infrangersi sul principio di legalità, giacché l'art. 1, l. 8 febbraio 1948, n. 47, tassativamente stabilisce che 'sono considerate stampe o stampati, ai fini di questa legge, tutte le riproduzioni tipografiche o comunque ottenute con mezzi meccanici o fisico-chimici, in qualsiasi modo destinate alla pubblicazione'.

Nel prosieguo di queste riflessioni, avremo modo di constatare anche l'inammissibilità pratica di un obbligo di controllo a carico del provider sui contenuti immessi dall'esterno sul server da lui gestito e, dunque, l'impossibilità teorica di costruire una sua responsabilità a titolo di colpa. Per il momento, è comunque importante sottolineare come un siffatto onere di controllo non trovi alcun fondamento sul piano del diritto positivo.

Sommario

 

 

  4. I CODICI DI AUTOREGOLAMENTAZIONE.

In linea generale, i codici deontologici adempiono alla finalità di prevedere sanzioni disciplinari rispetto a fatti non costituenti reato e lesivi della onorabilità della categoria dalla quale essi sono emanati. Accanto a questa funzione complementare ad un'eterodisciplina vigente e cogente, l'esperienza tuttavia dimostra come tali codici a volte sono emanati in una situazione di vuoto normativo, allo scopo di rendere superfluo l'intervento del legislatore ovvero di fornirgli criteri orientativi da subito destinati a valere nei confronti degli associati. Quest'ultimo caso ricorre nel tema che ci occupa.

Mai prima d'ora come nel settore in esame si è verosimilmente registrata, a tutti i livelli, una convergenza di vedute in ordine alla necessità di un'autoregolamentazione. Così, sul piano comunitario, la risoluzione 17 febbraio 1997 del Consiglio UE relativa alle informazioni di contenuto illegale e nocivo invita gli Stati membri 'ad incoraggiare ed agevolare sistemi di autoregolamentazione, che includano organismi rappresentativi dei fornitori e degli utenti dei servizi su Internet'; nello stesso senso si sono tra le altre espresse, in ordine cronologico, la Proposta di decisione del Consiglio UE 27 novembre 1997 di adozione di un piano pluriennale d'azione comunitaria per promuovere l'uso sicuro di Internet (vd. GUCE 13 febbraio 1998, n. 48/98), la Dichiarazione finale 8 luglio 1997 della Conferenza ministeriale europea di Bonn sui mezzi di comunicazione globale (vd. http://194.183.2. 158/org.diritti/INTERNET/doc_bonn/doc_bonn.htm), la relazione 21 novembre 1996 del Comitato dei Rappresentanti permanenti presso il Consiglio UE (vd. http://194.183.2.158/org.diritti/IN-TERNET/docum_ue/docum_ue.htm), la comunicazione 16 ottobre 1996 della Commissione sulle informazioni di contenuto illegale e nocivo su Internet (vd. http://www.privacy.it/internet.htm), la risoluzione 25 settembre 1995 dell'Assemblea parlamentare del Consiglio d'Europa sulla democrazia informatica (vd. Dir. inf., 1996, p. 17 ss.).

Alla base di questo orientamento sta la consapevolezza - per usare le parole contenute nella relazione 19 marzo 1997 alla Proposta di risoluzione redatta dalla Commissione per le libertà pubbliche e gli affari interni costituita presso il Parlamento europeo (vd. http://www.europarl.eu.int/dg1/a4/it/a4-97/a4-0098.htm) - 'che una impostazione esclusivamente repressiva delle reti informatiche, di cui Internet è soltanto la prefigurazione, nuocerebbe in larga misura al contributo positivo di queste ultime allo sviluppo delle nostre società, ma che nel contempo sono necessarie forme efficienti di autoregolamentazione'. Ciò che a ben vedere porta con sé il riconoscimento, per un verso, della inadeguatezza degli assetti giuridici vigenti a comprendere la realtà rappresentata dalla rete delle reti, per altro verso della necessità di impostare la nuova disciplina attraverso una comune riflessione su base internazionale che possa fungere da piattaforma per una successiva armonizzazione degli ordinamenti nazionali.

Per quanto riguarda l'Italia, il modello di riferimento è costituito dalla bozza di 'Codice di autoregolamentazione per i servizi Internet', redatto da un gruppo di lavoro composto da esperti dell'Associazione Italiana Internet Provider (AIIP), dell'Associazione Nazionale Editoria Elettronica (ANEE), di Telecom Italia e di Olivetti, diffuso il 22 maggio 1997 a seguito di un incontro svoltosi presso il Ministero delle Poste e telecomunicazioni (vd. http://www.aiip.it/codice-htm). Nella sua versione aggiornata al 10 giugno 1997, il § 4b così enuncia i 'principi generali di responsabilità': '1. Il fornitore di contenuti è responsabile delle informazioni che mette a disposizione del pubblico. (...) 3. Nessun altro soggetto di Internet può essere ritenuto responsabile, salvo che sia dimostrata la sua partecipazione attiva. Per partecipazione attiva si intende qualsiasi partecipazione diretta all'elaborazione di un contenuto. 4. La fornitura di prestazioni tecniche senza conoscenza del contenuto non può (fare, n.d.s.) presumere la responsabilità dell'attore che ha fornito tali prestazioni'. Inoltre, il § 6.1. aggiunge - in tema di 'obblighi relativi alla tutela della dignità umana, dei minori e dell'ordine pubblico' - che 'qualunque soggetto di Internet venga direttamente a conoscenza dell'esistenza di contenuti accessibili al pubblico di carattere illecito, provvede ad informare direttamente l'autorità giudiziaria'.

Come si vede, i punti qualificanti della disciplina ora riferita stanno nella esclusione della responsabilità del provider rispetto ai contenuti a lui non direttamente riconducibili e nel suo contestuale obbligo di dare comunicazione all'autorità giudiziaria dei dati illeciti, accessibili al pubblico, di cui sia venuto a conoscenza. Senza indugiare sul margine di genericità derivante dall'assunzione - caratteristica dei codici deontologici - di un indistinto concetto di responsabilità (e anche scontando l'atteggiamento di autotutela corporativa che solitamente ispira la redazione di tali codici), entrambi i profili appena evidenziati si espongono però a motivate censure.

E invero, il requisito della 'partecipazione diretta all'elaborazione di un contenuto', come presupposto esclusivo della responsabilità del provider, appare eccessivamente restrittivo, giacché ingiustificatamente esclude tutte le ipotesi in cui tale soggetto, nell'esercizio dei suoi poteri di controllo e di vigilanza, abbia reso accessibili al pubblico determinati contenuti nella consapevolezza della loro natura illecita. Come si è osservato in precedenza, infatti, il moderatore di un newsgroup o di una mailing-list che provvede al controllo dei testi pervenuti e decide in ordine alla loro successiva disponibilità per gli utenti del servizio è da considerarsi come l'autore della diffusione e a nulla rileva l'assenza di un suo personale contributo nella fase della elaborazione.

Per contro, una pericolosa dilatazione della responsabilità può derivare dalla imposizione di un dovere di denuncia all'autorità giudiziaria, che il nostro codice penale attualmente prevede in via generale solo nei confronti dei pubblici ufficiali e degli incaricati di un pubblico servizio per i fatti appresi nell'esercizio o a causa delle funzioni (artt. 361 e 362) e, rispetto ai cittadini, limitatamente ai delitti contro la personalità dello Stato puniti con la pena dell'ergastolo (art. 364). In conseguenza di un siffatto obbligo di collaborazione con gli organi inquirenti, la figura del provider viene infatti sganciata dalla sua connotazione privatistica di imprenditore e risulta proiettata in un ambito pubblicistico certamente produttivo di ambiguità e potenzialmente foriero di ulteriori vincoli tendenti a trasformarlo in una sorta di garante dei contenuti accessibili sul proprio server.

Infine, desta perplessità l'omessa previsione, a carico del provider, dell'obbligo di rimuovere i materiali illeciti di cui abbia conoscenza. Per quanto tale soggetto possa essere assimilato ad un qualsiasi vettore di informazioni provenienti da terzi, la valenza neutrale della sua condotta svanisce infatti quando egli coscientemente contribuisce alla diffusione di contenuti antigiuridici immessi sul proprio server; né un siffatto obbligo risulta desumibile dall'ultimo capoverso del § 4b - secondo cui la responsabilità di chi fornisce prestazioni tecniche è subordinata alla conoscenza dei contenuti -, poiché la medesima norma ulteriormente vincola la punibilità alla diretta partecipazione all'elaborazione del materiale (1).

Alla luce delle critiche ora esposte, il 'Codice di autoregolamentazione per i servizi Internet' non appare in grado di ispirare il legislatore nazionale. Ancor più risalta poi l'inadeguatezza di questa bozza di disciplina ove si consideri che, sul piano comunitario, la citata Dichiarazione finale 8 luglio 1997 della Conferenza ministeriale europea di Bonn, riconoscendo 'la necessità di fare chiara distinzione tra la responsabilità di chi produce e mette in circolazione i contenuti e quella degli intermediari', ammette la possibilità di rendere i providers destinatari di limitati doveri di intervento. E, nella medesima prospettiva, la già citata Proposta di risoluzione, redatta dalla Commissione per le libertà pubbliche e gli affari interni costituita presso il Parlamento europeo, al punto 35 suggerisce che 'i fornitori di accesso e di servizi siano obbligati a rispettare le seguenti norme minime: assumere la piena responsabilità, compresa quella penale, per i contenuti che essi stessi mettono a disposizione; rispondere dei contenuti passibili di pena offerti da servizi esterni se i singoli contenuti concreti sono loro noti e se è loro ragionevolmente e tecnicamente possibile impedirne l'utilizzo (...)'.

Riservandoci di tornare successivamente sui contenuti della prescrizione appena citata, possiamo per il momento limitarci a constatare l'insufficienza del modello italiano di autoregolamentazione e la sua significativa divergenza rispetto alla proposta comunitaria. Tali elementi, insieme ai limiti insiti nella natura inevitabilmente volontaristica dell'adesione al codice deontologico - dalla quale consegue la debole efficacia generalpreventiva delle già miti sanzioni minacciate, la cui inflizione viene paralizzata dalla contraria volontà del destinatario -, depongono in favore di una soluzione su base legislativa.

Sommario

 

 

 

  5. LA PREVENZIONE DEI REATI SU INTERNET.

Prima di passare all'esame dei possibili contenuti di una disciplina normativa, è opportuno accertare le strategie utilizzabili per la prevenzione dei reati commessi in rete, al fine di verificare se - oltre l'evidente responsabilità dell'autore materiale - sia possibile costruire, e in quali termini, una responsabilità del provider.

A tale scopo, si è già rilevato come sia pacifica la punibilità del provider laddove egli assume il ruolo di diretto produttore dell'informazione ovvero svolge il compito di controllare o rivedere il materiale da pubblicare nella BBS o nel newsgroup o nel forum di discussione, decidendo in ordine alla sua accessibilità da parte degli utenti del servizio. Il problema, come è ovvio, concerne però le ipotesi in cui manca qualsiasi partecipazione attiva da parte del provider rispetto ai dati illeciti immessi sul suo server.

Il primo dato che si impone con evidenza concerne l'inesigibilità di un effettivo controllo, almeno da parte dei fornitori di maggiori dimensioni, sui dati immessi nel server, a causa non solo della loro immensa quantità ma anche della loro continua mutevolezza; nel caso specifico dell'e-mail, neppure si trascuri che i messaggi vengono trattenuti solo temporaneamente dal server (specie quelli in uscita) e che una loro cognizione o soppressione integrerebbe l'art. 616 cod. pen., in tema di violazione della corrispondenza telematica.

Né, al fine di aggirare tali difficoltà, è possibile fare affidamento sulla installazione di filtri destinati a reagire a determinate parole chiave, in modo da scollegare automaticamente l'utente o sopprimere al passaggio i dati ritenuti indesiderabili. A questo proposito, la Relazione sulla comunicazione della già citata Commissione sulle informazioni di contenuto illegale e nocivo su Internet osserva che 'queste soluzioni, oltre alla loro macchinosità tecnica, presentano problemi diversi, ad esempio di tipo semantico. Il fornitore America Online ha tentato, nel 1995, di intercettare i messaggi con alcune parole di carattere sessuale, tra cui la parola 'seno'; così facendo ha bloccato un foro destinato a consigliare le donne vittime di cancro al seno...'. A ciò è da aggiungere che, comunque, tali filtri non funzionano se i materiali vengono criptati, compressi o trasmessi in linguaggio diverso dall'ASCII o, laddove il filtro sia reso noto agli utenti, questi sostituiscono le parole-chiave con numeri o altri termini. Breve: mentre i controlli di tipo di tipo manuale sono impraticabili a causa dell'insostenibile dispendio di mezzi e di energie richiesto, quelli di tipo automatico si rivelano di scarsa utilità.

Qualora tuttavia, di propria iniziativa o a seguito di segnalazione da parte degli utenti o dell'autorità giudiziaria, il provider venga a conoscenza di materiali illeciti immessi sul proprio server, un suo intervento non incontra ostacoli tecnici. Così, nel settore dei newsgroups è possibile la cancellazione del singolo testo o anche dell'intero newsgroup, che in questa ipotesi viene eliminato dal server in modo da non consentire più l'accesso agli utenti. Analogamente vale per le pagine Web, ove possono eliminarsi (o chiudersi temporaneamente) singole pagine o l'intera offerta del content provider, per l'FTP server e per l'e-mail.

Il problema, però, è che il buon esito di tale intervento viene vanificato dal fatto che gli utenti possono agevolmente accedere ai medesimi contenuti attraverso differenti siti Web, un altro FTP server, le linee telefoniche o la comunicazione satellitare mediante antenne paraboliche; oppure - considerando che, attraverso un programma automatico di sincronizzazione (c.d. store and forward principle), i dati memorizzati da ciascun news server sono contemporaneamente trasmessi agli altri news servers che ospitano il medesimo newsgroup - gli utenti possono avvalersi di un qualsiasi News-Reader-Programm o di un comune browser per collegarsi ad un news-server diverso da quello del loro provider, ove rinvenire newsgroups non contenuti nel server locale o da questo eliminati. Né è possibile ipotizzare per l'access provider l'obbligo di escludere l'accesso dei suoi clienti ai materiali illeciti attraverso un intervento sull'indirizzo IP del server sul quali i dati sono disponibili, poiché tale misura non solo comporterebbe la chiusura (totale o parziale) di ogni comunicazione e scambio di materiali tra gli altri utenti collegati al medesimo indirizzo, ma oltretutto potrebbe essere facilmente aggirata da un semplice mutamento di indirizzo da parte del gestore del news server interessato ovvero da un suo ricorso ad un servizio anonimo su Internet o ad un Proxy-cache-server di altro provider.

D'altra parte, una volta scartata la possibilità di un controllo individuale degli attuali 60 milioni di utenti di Internet rispetto alle innumerevoli vie di accesso in rete a loro disposizione, neppure risulta realizzabile (anche senza considerare l'inammissibile compressione della libertà di manifestazione e di comunicazione del pensiero, garantita dalla Costituzione e dalla Convenzione europea di salvaguardia dei diritti dell'uomo) la 'compartimentazione' di una massa di utenti di un sistema chiuso di rete (ad esempio, un servizio on-line o un'intera nazione) agendo sul suo punto di collegamento alla rete mondiale, giacché tale soluzione non solo presuppone che tale collegamento si realizzi attraverso un Proxy-Cache-server - i cui contenuti verrebbero così sottoposti a controllo al fine di selezionare i dati da rendere accessibili - ma in ogni caso, come dimostra l'esperienza cinese, risulta aggirabile dalle possibilità di collegamento telefonico o satellitare esistenti su scala mondiale. A quanto precede va aggiunto che, a fronte dell'enorme massa di dati continuamente modificabili immessi in rete, un controllo preventivo in tempo reale risulta impossibile, mentre uno fondato su parole chiave si esporrebbe alle obiezioni prima avanzate.

In conclusione: come è attualmente impraticabile un sistematico ed effettivo controllo per l'individuazione su scala mondiale dei contenuti illeciti accessibili in rete, così è impossibile una definitiva chiusura dell'accesso a contenuti già individuati come illeciti. Onde un provider può tecnicamente rendere più difficile, ma non può impedire - a causa del procedimento di routing prima riferito - che i suoi clienti possano comunque accedere ai dati da lui censurati: le misure di controllo e di intervento realizzabili rivestono dunque - come si esprime la Relazione prima citata sulla comunicazione della Commissione sulle informazioni di contenuto illegale e nocivo su Internet - una 'portata simbolica'.

L'esperienza pratica conferma le conclusioni ora raggiunte. In particolare, le iniziative adottate in Germania dalla polizia e dalla Procura della Repubblica contro la CompuServe Deutschland GmbH (alla quale fu consegnata nel novembre 1995 una lista di 282 newsgroups contenenti materiali pornografici illeciti, che venne inoltrata alla casa-madre statunitense CompuServe Inc. provocando la chiusura di quei newsgroups), contro le pagine Web di Ernst Zündel che dal Canada divulgavano teorie neonaziste, contro l'indirizzo di rete 'xs4all' ove attraverso un provider olandese si diffondevano messaggi integranti le fattispecie di istigazione all'odio sociale e apologia di reati, sono servite solo ad accrescere la pubblicità dei rispettivi contenuti, rimasti accessibili su numerosi altri servers: con il risultato che l'adozione di tali misure si è rivelato al contempo inefficace come censura e valida come ulteriore propaganda dei materiali ritenuti illeciti.

Sommario

 

 

  6. UN MODELLO DI DISCIPLINA: LA LEGGE TEDESCA 22 LUGLIO 1997.

Nel panorama europeo, la Germania rappresenta l'unica nazione che ad oggi si sia dotata di una compiuta normativa espressamente concernente la responsabilità degli operatori su Internet.

L'art. 5 della l. 22 luglio 1997 sui servizi di informazione e di comunicazione (IuKDG) dispone infatti: '1. I fornitori di servizi sono responsabili secondo le leggi generali dei propri materiali da essi resi disponibili. 2. I fornitori di servizi sono responsabili dei materiali altrui da essi resi disponibili solo se hanno conoscenza dei loro contenuti e sia tecnicamente possibile ed esigibile impedirne la disponibilità. 3. I fornitori di servizi non sono responsabili dei materiali altrui ai quali essi hanno fornito solo l'accesso. Un'automatica e di breve durata ritenzione di materiali altrui, conseguente alla richiesta di utenti, va intesa come fornitura di accesso. 4. Qualora, nel rispetto della riservatezza delle comunicazioni a distanza di cui al § 85 della legge sulle telecomunicazioni, il fornitore di servizi acquisisce conoscenza di contenuti illeciti e una chiusura sia tecnicamente possibile ed esigibile, rimangono salvi, secondo le leggi generali, gli obblighi di impedimento della disponibilità di tali materiali'.

Come si vede, tale disciplina recepisce il punto 35 della già citata Proposta di risoluzione redatta dalla Commissione per le libertà pubbliche e gli affari interni costituita presso il Parlamento europeo, assumendo come base di partenza l'insussistenza di un generale obbligo di controllo del provider e l'assenza di responsabilità di colui che si limita a fornire infrastrutture per il collegamento ad Internet - qui correttamente equiparato a qualsiasi altro servizio di telecomunicazione - o un hosting, senza interferire sui contenuti veicolati attraverso la rete. Per quanto più specificamente riguarda la prospettiva penalistica, la norma pone una duplice distinzione riferita per un verso alla disponibilità o indisponibilità dei materiali, per altro verso alla loro proprietà o altruità.

In ordine alla prima distinzione, il requisito della disponibilità funge da presupposto della responsabilità del provider rispetto ai materiali propri nonché del suo obbligo di attivazione nei confronti dei materiali altrui: ove è chiaro che, nel primo caso, la disponibilità corrisponde alla mera accessibilità da parte degli utenti, mentre nel secondo caso si caratterizza pure come 'signoria' sui contenuti memorizzati nel proprio server per un tempo apprezzabile (ciò che, alla luce della precisazione operata dal comma 3, non ricorre per i Proxy-Cache servers, ove si realizza una ritenzione automatica e di breve durata conseguente ad un richiamo effettuato dagli utenti).

La distinzione tra materiali propri e altrui vale invece a definire i contenuti dei precetti penalmente rilevanti. In particolare, la nozione di proprietà - che ovviamente rinvia allo schema dell'autoria per i reati in concreto configurabili - va intesa nel senso di diretta riconducibilità al provider (che può essere pure il titolare di una homepage), il quale si presenta come l'autore del materiale - anche in quanto se ne sia appropriato, non indicandone la paternità - ovvero, laddove eserciti un controllo preventivo di congruità e/o di liceità sui materiali da rendere accessibili, come responsabile della loro immissione in rete. Una siffatta situazione, almeno in linea generale, non sembra peraltro ravvisabile rispetto ai links di rinvio, dovendosi escludere che il mero collegamento ipertestuale valga ad attribuire la proprietà del relativo materiale; in tal caso, soccorre comunque il richiamo alle 'leggi generali', che qui va riferito all'applicabilità delle norme sulla partecipazione criminosa.

La responsabilità per i materiali altrui risulta invece subordinata, anzitutto, alla conoscenza del contenuto illecito, che correttamente la dottrina tedesca - al fine di evitare l'ingresso del dolo eventuale, che sarebbe causa di illimitati ampliamenti degli spazi di punibilità - interpreta come dato effettivo e non semplicemente potenziale. I criteri della possibilità tecnica e della esigibilità presentano, dal canto loro, un grado di profonda interrelazione.

Il parametro della esigibilità - che nel suo simmetrico concetto di inesigibilità, intesa come causa sovralegale di esclusione della colpevolezza, viene respinto dalla prevalente dottrina italiana e risulta oggi in crisi anche nella dottrina e giurisprudenza tedesche - si fonda in generale su un bilanciamento degli interessi in conflitto, arricchito da una valutazione sulle concrete possibilità di tutela del bene in pericolo in rapporto alla idoneità e congruità del mezzo prescelto per il conseguimento del fine. In riferimento al tema che ci occupa, la contrapposizione tra le libertà di manifestazione del pensiero e di iniziativa economica (del provider, degli utenti o dei titolari di una pagina Web) e gli interessi collettivi offesi dalla pornografia, dalla violazione dei diritti di autore ecc. sembra tuttavia in grado di risolversi in un irrigidimento del problema all'interno dell'astratta alternativa tra i vantaggi e i pregiudizi derivanti dalla previsione di interventi repressivi a carattere inevitabilmente censorio. Sotto il profilo in esame, la nozione di esigibilità rileva dunque nella più specifica accezione - già suggerita dalla citata Proposta di risoluzione del Parlamento europeo - di ragionevolezza o proporzionalità della condotta imposta all'agente per la tutela del bene in pericolo: ciò che rinvia anche all'ulteriore parametro della possibilità tecnica.

Per l'illustrazione del concetto di possibilità tecnica - che si presta così ad essere valorizzato come un limite interno del criterio dell'esigibilità - valgono le considerazioni espresse in precedenza, dalle quali deriva che il provider può cancellare i dati illeciti dal proprio server, ma non è in condizione di precluderne l'accessibilità su altri servers. Né in ogni caso appare ipotizzabile un obbligo di chiudere l'intera connessione alla rete agendo sull'indirizzo IP, giacché una siffatta misura, coinvolgendo i diritti di terzi estranei senza escludere del tutto l'accesso ai materiali illeciti, risulta in ogni caso priva del requisito della proporzionalità.

Nei confronti del provider sussiste dunque il dovere - esigibile e tecnicamente possibile - di sopprimere i materiali illegali contenuti nel server da lui gestito e dei quali egli in qualsiasi modo abbia acquisito conoscenza. Il riconoscimento che un tale intervento vale al più a contrastare la diffusione dei contenuti illeciti, ma si rivela inefficace per una completa tutela dei beni aggredibili in rete, rappresenta solo il frutto di una corretta valutazione dell'attuale realtà di Internet.

Questa impostazione, conforme ai criteri enunciati già in sede comunitaria, va condivisa. Sul piano della tecnica legislativa, essa infatti si limita ad esprimere regole generali, in grado di consentire il loro costante adeguamento all'evoluzione tecnologica e, quindi, al continuo mutamento delle 'possibilità tecniche' di soppressione dei contenuti illeciti; al contempo, essa contiene chiari parametri orientativi nei confronti del giudice, manifestando una valenza indubbiamente superiore di quella ascrivibile a qualsiasi codice deontologico.

Sul piano dei contenuti, inoltre, la soluzione in esame risulta apprezzabile in quanto - correttamente assumendo l'utilità sociale di Internet (con le connesse aperture verso la categoria del rischio consentito) e la conseguente necessità di un suo bilanciamento rispetto agli interessi potenzialmente offendibili - evita il ricorso a schemi presuntivi e ad irreali oneri di controllo, incentrando il rimprovero sulla condotta effettivamente tenuta dal provider nel caso di materiali propri e sulla sua volontaria omissione di intervento nel caso di materiali altrui.

Sommario

 

 

  7. GLI EFFETTI DELLA RICEZIONE NELL'ORDINAMENTO ITALIANO DELLA DISCIPLINA TEDESCA.

Come risulta chiaro dalla sua formulazione - e come viene pure evidenziato dai commentatori -, il § 5 IuKDG possiede una valenza non costitutiva, ma semplicemente dichiarativa della responsabilità del provider alla stregua del diritto tedesco vigente, presentandosi così come un'interpretazione autentica fornita dal legislatore allo scopo di evitare incertezze e contrasti giurisprudenziali. Tale valutazione ha recentemente trovato un'autorevole conferma in un decreto di archiviazione emesso il 13 febbraio 1998 dalla Procura generale presso la Corte di Cassazione tedesca (vd. http://www.jura.uni-sb.de/jurpc/rechtspr/19980017.htm), relativamente ad un procedimento penale che vedeva numerosi providers come imputati di agevolazione in istigazione e apologia di reati, e i cui passaggi argomentativi essenziali possono così sintetizzarsi.

Anzitutto, il decreto rileva che a carico di un access provider è configurabile, in linea generale, una posizione di garanzia derivante non da una precedente attività antigiuridica ('la condotta del provider consistente nell'apertura di accessi ad Internet per gli utenti non è antigiuridica in sé ma anzi, alla luce delle esigenze dell'attuale società dell'informazione e in particolare anche della scienza, risulta socialmente diffusa e auspicata') ma da un onere di controllo sulla fonte del pericolo: 'nel momento in cui i providers consentono l'accesso alla rete, essi devono essere considerati come destinatari di determinati 'doveri per la sicurezza del traffico''. Alla luce dei generali principi penalistici - prosegue il decreto -, un concreto obbligo di agire è però ipotizzabile solo quando l'agente sia consapevole delle circostanze che determinano l'insorgenza di tale obbligo ed egli abbia la possibilità di impedire la verificazione dell'evento attraverso una condotta esigibile: così, mentre un generale dovere di controllo non risulterebbe né possibile né esigibile, l'obbligo di impedire l'accesso ai materiali illeciti sussiste quando il provider abbia conoscenza che determinati contenuti punibili sono disponibili in rete. Rispetto a tale soluzione - conclude il provvedimento in esame - la promulgazione della legge 22 luglio 1997 'non ha mutato nulla'.

Ora, può dubitarsi che l'introduzione in Italia di una disciplina conforme al modello tedesco assolverebbe alla medesima funzione dichiarativa.

E invero, se nessuna perplessità insorge sulla punibilità del provider per i materiali propri da lui resi disponibili, altrettanto non può ritenersi nell'ipotesi di materiali altrui, ove la costruzione di una posizione di garanzia in grado di integrare un obbligo giuridico di impedire l'evento ex art. 40 cpv. cod. pen. incontra una serie di difficoltà. Anzitutto, l'operatività della norma appena citata risulta espressamente limitata a fattispecie incriminatrici strutturate in senso causale, laddove la divulgazione, diffusione ecc. si presentano come mere condotte. Inoltre, integrando (almeno nella maggior parte) tali condotte altrettanti reati a consumazione istantanea, il riconoscimento di un obbligo giuridico di intervento a carico del provider verrebbe ulteriormente complicato dal fatto che, nell'impossibilità di esercitare una vigilanza preventiva sui materiali immessi sul server da lui gestito, egli verrebbe reso destinatario di un dovere finalizzato non ad 'impedire un evento', nella specie costituito dall'altrui condotta già verificatasi, ma solo ad attenuarne gli effetti. Ancora, una parte della nostra dottrina ammette la configurabilità di posizioni di controllo solo in riferimento alla tutela di beni primari come la vita o l'incolumità fisica, ciò che ovviamente non ricorre per i delitti commissibili via Internet. Infine, per quanto specificamente concerne la configurabilità di posizioni di controllo relative all'altrui agire illecito, una diffusa opinione richiede alternativamente che il terzo (per minorità, malattia mentale o altra causa) non sia in grado di governare responsabilmente il proprio operato ovvero esista un potere giuridico di impedire la commissione di reati da parte di terzi, certamente insussistente rispetto al tema che ci occupa.

Come si vede, dunque, l'atteggiamento della dottrina italiana rispetto alla costruzione di posizioni di garanzia appare notevolmente più restrittivo di quello rinvenibile nella dottrina tedesca. E a riprova di tale maggiore cautela può anche utilizzarsi il rilievo che la configurazione di una posizione di controllo del direttore di stampa periodica risulta in Italia solitamente impostata entro i limiti della responsabilità colposa espressamente sancita dall'art. 57 cod. pen., mentre la responsabilità dolosa per omesso controllo del concessionario di impianti di radiodiffusione e televisione viene delimitata ai reati di spettacoli osceni e di diffamazione aggravata, previsti dall'art. 30, commi 1 e 4, l. 6 agosto 1990, n. 223.

E non basta, poiché ulteriori difficoltà si presentano in ordine ai presupposti della responsabilità concorsuale del provider. Una volta ammesso che i reati (di condotta) fondati su verbi modali come diffondere, divulgare ecc. si consumano nel momento in cui i contenuti illeciti sono resi accessibili da parte del loro autore, una partecipazione del provider non può ravvisarsi né nel successivo mantenimento della disponibilità in rete di quei contenuti, né nella loro omessa cancellazione, in entrambi i casi trattandosi di condotte susseguenti la già avvenuta realizzazione del reato. Per quanto ovviamente qui si tratta di problemi che rinviano alla formulazione e all'interpretazione delle singole fattispecie incriminatrici, in linea generale sembra doversi ammettere che, nel nostro sistema, un concorso del provider nella diffusione di materiali illeciti da terzi direttamente immessi sul server da lui gestito risulta attualmente ammissibile solo qualora egli abbia una previa consapevolezza dell'altrui intenzione di commettere uno specifico reato e dolosamente intenda agevolarne la realizzazione, ciò che ad esempio ricorre nel caso di offerte di materiali a contenuto tematico altamente specifico e immediatamente riconoscibile nel suo carattere antigiuridico.

Alla luce delle conclusioni ora raggiunte, la ricezione nel nostro ordinamento della soluzione suggerita a livello comunitario e già adottata in Germania non assumerebbe una valenza meramente dichiarativa di principi generali già vigenti, risolvendosi al contrario nella previsione, nei confronti del provider, di un obbligo di soppressione - oggi inesistente - dei contenuti illeciti immessi da terzi sul server da lui gestito. L'introduzione di questa forma autonoma di responsabilità si accosterebbe così alle ipotesi di partecipazione criminosa punibile negli ambiti prima evidenziati e si porrebbe come un limite espresso rispetto ad ulteriori (ma non ragionevoli) doveri di attivazione.

Rispetto alla dibattuta alternativa tra legge e autoregolamentazione, il modello di disciplina in esame rappresenta a nostro avviso la premessa necessaria per una conciliazione tra le opposte esigenze di garantire la libertà di comunicazione e manifestazione del pensiero su Internet e di apprestare un'adeguata tutela ai beni aggredibili in rete.

Sommario

 

 

  8. TUTELA DEI DATI PERSONALI E STRATEGIE DI CONTROLLO PER LA PREVENZIONE DEI REATI SU INTERNET.

La globalità e l'interconnessione dei servizi e delle infrastrutture in rete impongono un approccio in grado di valorizzare e contemperare tutte le esigenze di tutela emergenti nei diversi settori. Come di recente ribadito anche da Rodotà, si tratta di 'trovare quindi non solo regole specifiche per ciascuno di questi spazi, ma regole di compatibilità, che impediscano ad esempio alla dinamica economica - che prende sempre più forza nella rete - di oscurare, non voglio dire di cancellare, le potenzialità di Internet come grande spazio pubblico di confronto e di discussione. (...) Dunque si tratta di tenere insieme le diverse questioni e di connetterle' (vd. http://www.privacy.it/garanterelrod.html).

In riferimento al nostro problema, le conclusioni precedentemente raggiunte in ordine all'impossibilità di costruire una responsabilità del provider come garante della liceità dei contenuti da lui resi accessibili al pubblico inducono a riflettere sul rapporto che intercorre tra il diritto dell'utente all'anonimato e il dovere del provider di apprestare i mezzi per l'individuazione degli autori di illeciti in rete.

A questo proposito, la contrapposizione tra i sostenitori di una regolazione a tappeto e di una deregulation integrale viene arricchita - e forse disvelata nelle sue più recondite motivazioni - dal contrasto tra quanti propongono la creazione di una chiave di accesso universale ai messaggi crittografati trasmessi in rete e quanti negano la sua ammissibilità alla luce del diritto individuale alla riservatezza. Su un piano generale, può comunque ritenersi che, soprattutto in Europa, oggi prevale una soluzione fondata su una disciplina rispettosa dei diritti fondamentali ma non appiattita sul convincimento che le reti possano essere governate solo dalle logiche di mercato.

Questo orientamento trova per un verso espressione nella garanzia apprestata alla riservatezza delle informazioni concernenti il 'cittadino elettronico', anche sotto il profilo della conoscenza che altri possano avere dei siti da lui consultati, indipendentemente dal loro oggetto; e, per altro verso, nelle misure - progettate o adottate - per l'individuazione degli autori di reati commessi in rete.

Fermando l'attenzione su quest'ultimo profilo, la più volte citata Proposta di risoluzione del Parlamento europeo, espressamente sottolineando l'utilità dell'anonimato su Internet, specie negli Stati in cui vigono regimi autoritari e repressivi, prospetta l'obbligo di identificazione degli utenti della rete. 'Una simile situazione - si osserva - è conforme al principio democratico secondo il quale gli individui, pur restando liberi di esprimere i loro pareri, devono tuttavia essere tenuti responsabili dei loro atti. In questa prospettiva, il principio dell'identificazione legale ('reperibilità legale') dovrebbe quindi essere incorporato nei codici di condotta nazionali ed europei. Qualora esistano tuttavia motivi legittimi perché un utente desideri rimanere anonimo (timori di rappresaglie per opinioni espresse o mancanza di fiducia per quanto riguarda l'utilizzazione che potrebbe essere fatta dal destinatario delle sue coordinate personali), bisognerebbe consentirgli di fare ricorso ad uno pseudonimo identificabile'.

Tali principi - recepiti dal 'Codice di autoregolamentazione per i servizi Internet', il cui § 4a dispone che 'tutti i soggetti di Internet devono essere identificabili. Qualsiasi soggetto di Internet, una volta identificato, ha diritto a mantenere l'anonimato nell'utilizzo della rete al fine della tutela della propria sfera privata' (2) - hanno trovato un ulteriore sviluppo nella Raccomandazione n. 3/1997 adottata il 3 dicembre 1997 dal 'Gruppo per la tutela delle persone fisiche con riguardo al trattamento dei dati personali', istituito dalla direttiva 95/46/CE del 24 ottobre 1995.

Anche qui la definizione del diritto all'anonimato come 'essenziale se si vogliono mantenere nel ciberspazio i diritti fondamentali alla riservatezza e alla libertà di espressione' viene temperata dall'ammissione che 'la capacità di partecipare e comunicare in rete senza rivelare la propria identità contrasta con le iniziative che vengono attualmente sviluppate a sostegno di altri settori importanti come la lotta contro il contenuto illegale e nocivo, le frodi finanziarie o le violazioni al diritto d'autore'. Tuttavia, la composizione di tale contrasto avviene all'insegna del 'principio di proporzionalità come criterio fondamentale per valutare la conformità di eventuali misure restrittive applicate ai diritti fondamentali garantiti dalla Convenzione' europea di salvaguardia dei diritti dell'uomo, così esprimendo nel modo più chiaro il rapporto tra regola generale ed eccezione intercorrente tra il diritto all'anonimato e le sue limitazioni, che - così come per ogni altro strumento di comunicazione - devono risultare 'debitamente giustificate, necessarie e proporzionate'.

In particolare, ad avviso dei redattori della Raccomandazione, il parallelismo istituito rispetto agli altri mezzi di comunicazione implica che i servizi anonimi di ritrasmissione di posta elettronica e gli accessi anonimi alla rete devono essere salvaguardati al pari dei servizi postali e telefonici, che consentono ancora maggiori possibilità di riservatezza; che la navigazione passiva, come pure l'acquisto di beni e servizi su Internet, devono svolgersi nel pieno anonimato allo stesso modo in cui, nel mondo non virtuale, è possibile girare per librerie o negozi senza dichiarare le proprie generalità; che i possibili abusi consentiti dalla partecipazione a newsgroups o a chat rooms non legittimano in assoluto sistemi di identificazione obbligatori, che alla luce del criterio di proporzione possono essere sostituiti da strumenti più adeguati di controllo e moderazione del contenuto.

Questa chiara presa di posizione sui contenuti della tutela apprestata in sede comunitaria al diritto alla riservatezza, qui inteso come libera espressione del pensiero e della manifestazione della personalità, vale anzitutto a confermare la correttezza della disciplina adottata dal legislatore tedesco, la quale - come si è visto - evita di imporre al provider obblighi sproporzionati e soprattutto destinati a risolversi in gravose restrizioni apportate alla libertà di comunicazione su Internet.

Inoltre, essa ha il merito di focalizzare i contenuti delle misure adottabili per la prevenzione e la repressione dei reati commessi in rete alla luce della loro natura 'debitamente giustificata, necessaria e proporzionata'. Senza qui soffermarci sui sistemi di filtraggio utilizzabili dai fruitori dei servizi, nell'attuale stadio dell'evoluzione tecnologica tali misure sembrano individuabili, da un lato, nell'obbligo per i providers di accertare l'identità degli utenti, dall'altro nella costituzione - già auspicata dalla citata Proposta di decisione 27 novembre 1997 del Consiglio relativa all'adozione di un Piano pluriennale d'azione comunitaria - di una rete europea di hot-lines che consentano agli utenti di segnalare i materiali illeciti da essi rinvenuti e così rendere consapevoli i providers dei contenuti immessi sui propri servers attivando il conseguente obbligo di soppressione.

E' evidente che nessuna delle due misure sia in grado di svolgere un ruolo decisivo al fine di assicurare l'effettività dell'apparato sanzionatorio: non la prima, a causa della possibilità di ottenere l'accesso a Internet attraverso false generalità o alterando il proprio indirizzo elettronico o ricorrendo ai c.d. anonymous remailings ovvero - eventualmente utilizzando una password altrui - servendosi di computer siti all'interno di strutture pubbliche o private (Università, imprese, comunità, computer coffee shops ecc.), rispetto ai quali l'identificazione dell'autore del materiale si arresta all'individuazione del punto di partenza del messaggio; non la seconda, il cui funzionamento presuppone non solo l'esistenza di organizzazioni preposte alla sistematica ricerca dei contenuti illeciti immessi in rete ma anche una cooperazione internazionale talmente diffusa da consentire l'integrale soppressione di tali materiali da tutti i servers accessibili dagli utenti.

La consapevolezza della limitata efficacia delle misure attualmente disponibili per la prevenzione dei reati su Internet non deve però indurre verso la ricerca di soluzioni alternative, inevitabilmente destinate a risolversi nella costituzione di obblighi penali di controllo a carico dei providers. Parafrasando una ricorrente affermazione e considerando l'attuale realtà normativa concernente gli altri più tradizionali strumenti di comunicazione, può affermarsi che ciò che non viene sottoposto ad oneri di controllo off-line non deve esserlo neppure on-line.

Sommario

 

 

  9. ARMONIZZAZIONE INTERNAZIONALE DEL DIRITTO PENALE E TRANSNAZIONALITÀ DI INTERNET.

Il primo tentativo, su scala mondiale, di introdurre sanzioni nell'ambiente (fino ad allora) totalmente deregolamentato di Internet risale al 1° febbraio 1996, cioè all'emanazione negli Stati Uniti del Telecommunications Act. Tale statuto, che pur esordiva enunciando gli obiettivi di ridurre la regolamentazione e incoraggiare 'il rapido sviluppo delle nuove tecnologie di telecomunicazione', si componeva di sette titoli, di cui il quinto (noto come Communications Decency Act) conteneva due precetti penali - il primo [47 U.S.C.A. § 223(a) (Supp. 1997)] che proibiva la cosciente trasmissione di messaggi osceni o indecenti ad ogni destinatario minore di 18 anni, l'altro [§ 223 (d)] che vietava il consapevole invio o esposizione di messaggi manifestamente offensivi con modalità tali da renderli disponibili a persone minori di 18 anni - presidiati dalla pena, alternativa o congiunta, della multa o della reclusione non superiore a due anni.

Queste norme diedero vita ad asprissime polemiche, che il 12 giugno 1996 sfociarono in una decisione - presa all'unanimità, seppure ciascuno dei tre giudici scrisse un'opinione separata - della District Court for the Eastern District of Pennsylvania, che decretò la temporanea sospensione del CDA. In particolare, la presidente Sloviter, pur riconoscendo l'interesse cogente ad una disciplina in materia, affermava che la legge 'copre un ambito più esteso del necessario e spegne le comunicazioni tra gli adulti' e che i termini 'manifestamente offensivo' e 'indecente' risultano 'intrinsecamente indeterminati'. Il giudice Buckwalter rilevava la medesima indeterminatezza, ravvisandovi una violazione del primo e quinto emendamento. Il giudice Dalzell sottolineava invece che le peculiarità della comunicazione su Internet impediscono al Parlamento di regolare il contenuto delle espressioni su tale medium.

La decisione, appellata dal Governo, è stata confermata dalla Corte Suprema con sentenza 26 giugno 1997 resa all'unanimità, seppure con un'opinione di due giudici in parte concorrente e in parte dissenziente dall'opinione manifestata dagli altri sette.

Nell'opinione della maggioranza, stesa dal giudice Stevens, si afferma 'che il CDA manca della precisione richiesta dal primo emendamento quando una legge regola la libertà di parola. Negando ai minori l'accesso ad espressioni potenzialmente dannose, il CDA effettivamente sopprime un'ampia quantità di espressioni che gli adulti hanno il diritto costituzionale di ricevere e di inviare. Questa compressione della libertà di comunicazione fra adulti è inammissibile laddove esistano soluzioni alternative meno restrittive altrettanto idonee nel conseguimento degli scopi perseguiti dalla legge' (sul punto, si rileva - come già aveva fatto la District Court - che un metodo ragionevolmente accettabile è offerto dai software che impediscono ai minori l'accesso a determinati contenuti). 'Dato il tipo di potenziale audience per la maggior parte dei messaggi - prosegue la decisione -, nell'assenza di un praticabile sistema di verificazione dell'età, chi li invia dovrebbe ritenersi responsabile se consapevole che uno o più minori saranno in grado di vederli. La conoscenza che, ad esempio, uno o più componenti di un chat group di cento persone sia un minore - onde sarebbe illecito inviare un messaggio indecente al gruppo - costituirebbe sicuramente un limite alla comunicazione tra adulti'. Per quanto infine concerne l'obiezione del Governo, secondo cui l'incontrollata disponibilità su Internet di contenuti indecenti e manifestamente offensivi sta allontanando innumerevoli cittadini dal medium a causa del rischio di trovarsi esposti essi stessi o i loro figli a materiale dannoso, così si conclude: 'Noi troviamo tale argomentazione assolutamente non persuasiva. La vistosa espansione di questo nuovo mercato delle idee contraddice il suo contenuto fattuale. E' dimostrato che la crescita di Internet è stata e continua ad essere fenomenale. E la nostra tradizione, in assenza di evidenza del contrario, ci induce a presumere che la disciplina governativa sul contenuto dell'espressione è idonea più a interferire con il libero scambio delle idee che a incentivarlo. L'interesse a promuovere la libertà di espressione in una società democratica prevale su ogni teorico ma indimostrato beneficio di una censura'.

E' da notare tuttavia che la sentenza non ha modificato la legge contro il materiale 'osceno' (che si distingue da quello indecente in base al linguaggio e alle immagini usate), sicché la pedofilia su Internet risulta oggi ammessa solo se debitamente mascherata, ma non se esplicita. Ed è proprio su questa base che si svolge l'opinione - in parte concorrente e in parte dissenziente - del giudice O'Connor, condivisa dal Presidente Rehnquist, secondo cui il CDA va considerato come qualcosa di più di un tentativo del Congresso per creare 'adult zones' su Internet, legittimo nel suo scopo di tutelare i minori ma incostituzionale nella parte - e solo in essa - in cui indebitamente restringe l'accesso degli adulti al materiale. Ciò significa che, laddove tale restrizione non sia indebita, la legge risulta conforme al primo emendamento; tuttavia - prosegue l'opinione -, poiché gli utenti possono trasmettere e ricevere messaggi senza rivelare la loro identità o età, non è attualmente possibile escludere taluno dall'accesso a determinati messaggi in base alla sua identità. Vero è pure, però, che il ciberspazio differisce dal mondo fisico anche sotto un altro fondamentale profilo: la sua malleabilità, che consente di costruire barriere e di usarle per selezionare l'identità, ciò che a sua volta permette di costruire zoning laws. Questa possibilità di trasformazione del ciberspazio non è solo teorica, come dimostra la creazione della tecnologia gateway che richiede all'utente di fornire informazioni sulla propria persona prima di ottenere l'accesso; ovvero i software che i genitori utilizzano per limitare l'accesso dei figli in rete. La trasformazione non è però ancora completa, non essendosi estesa a tutti i servizi Web e non essendo obbligatoria. Donde la conclusione che, pur concordandosi con la Corte sulla necessità di valutare la costituzionalità del CDA rispetto all'attuale situazione di Internet e di ravvisarvi una violazione del primo emendamento rispetto al diritto di espressione degli adulti, rimangono estranee le ipotesi in cui coloro che iniziano la comunicazione sanno che tutti i destinatari sono minori, sicché l'incostituzionalità del CDA andrebbe affermata solo rispetto alle comunicazioni cui partecipa più di un adulto, ritenendone al contrario la legittimità rispetto alle comunicazioni tra un adulto e uno o più minori.

La decisione della Corte Suprema, tanto nell'opinione di maggioranza che in quella di minoranza, poggia all'evidenza su basi sensibilmente diverse da quelle che trovano attualmente riconoscimento in Europa, ove anche a livello comunitario la libertà di manifestazione e comunicazione del pensiero viene invece ritenuta comprimibile attraverso l'obbligo, per i providers, di cancellare i materiali illeciti immessi sui loro servers. Né questo contrasto si presta ad una delimitazione territoriale, poiché la ritenuta inapplicabilità negli Stati Uniti di normative dirette a limitare il c.d. free speech, insieme alle caratteristiche tecnologiche della rete, consente di collocare in quel paese qualsiasi sito dai contenuti potenzialmente illeciti e così renderlo protetto dal primo emendamento della Costituzione americana.

Come si vede, dunque, se il riconoscimento dell'impossibilità di costruire una generale responsabilità dei providers in ordine ai contenuti illeciti immessi attraverso i servizi da essi forniti rinvia all'esigenza di affinare le possibilità tecniche di identificazione e persecuzione degli autori dei reati commessi in rete, a sua volta il conseguimento di questo obiettivo postula la necessità di individuare a livello internazionale un comune minimo denominatore di illiceità rispetto a specifici fatti, in modo da consentire la loro repressione ovunque essi siano realizzati. Ma - è appena il caso di rilevarlo - solo nel regno dell'utopia la globalità di Internet oggi può trovare corrispondenza nella globalità di un diritto 'comune'.

Sommario


Note

  1 Tale obbligo non è previsto neppure dal 'Codice di deontologia e di buona condotta per i servizi telematici' redatto dall'Associazione Nazionale Fornitori di Videoaudioinformazione (ANFoV) ed entrato in vigore il 1° gennaio 1998 (il testo è riportato in O. TORRANI-S. PARISE, Internet e diritto, Milano, 1998, 2° ed., p. 163 ss.), che in generale non un cenno dedica alla responsabilità del provider, prevedendo a suo carico esclusivamente obblighi di informativa nei confronti degli abbonati rispetto ai contenuti illegali e nocivi (art. 13). Assai più articolata si presenta invece la 'Carta delle garanzie di Internet', compilata dal gruppo di studio della rivista InterLex, che nella bozza divulgata il 29 aprile 1998 (sul sito http://www.interlex.com/testi/carta41.htm, consultato il 15 luglio 1998) così afferma all'art. 10: '1. I fornitori di accesso o di contenuti rimuovono dai propri sistemi, non appena ne vengano a conoscenza, i contenuti palesemente e inequivocabilmente illeciti o offensivi, informando, ove possibile, il responsabile dell'immissione. (...) 3. I fornitori di accesso o di contenuti informano l'attività giudiziaria nei casi in cui vengano a conoscenza di contenuti palesemente e inequivocabilmente illeciti immessi nei propri sistemi'; in conformità a quanto osservato nel testo, l'art. 9 inoltre dispone: '1. I fornitori di accesso non sono responsabili dei contenuti provenienti dall'esterno dei propri siti o immessi direttamente dagli utenti e non sono tenuti a impedirne la visibilità, tranne che in osservanza di un provvedimento motivato dell'autorità giudiziaria e fatte salve le disposizioni dell'art. 10'.

  2 Il § 5 ribadisce: 'I soggetti devono consentire l'acquisizione dei propri dati personali a chi fornisca loro accesso e/o hosting. I fornitori di detti servizi sono tenuti a registrare i dati per renderli disponibili all'autorità giudiziaria nei termini previsti dalla legge. Una volta identificato, l'utente può chiedere al suo fornitore di accesso e hosting di avere un identificativo diverso dal suo nome (pseudonimo) con cui operare in rete (anonimato protetto)'; sugli obblighi dei fornitori relativi al trattamento dei dati, v. il § 7b. Analogamente dispongono la 'Carta delle garanzie di Internet' (artt. 5 e 9) e il 'Codice di deontologia e di buona condotta per i servizi telematici' (artt. 6 e 11).