Responsabilità del provider per violazione del diritto d'autore.
Nota a Tribunale di Catania, Sezione Quarta Civile, sentenza 29 giugno 2004, n. 2286/2004

di Giuseppe Briganti
avv.briganti@iusreporter.it

Con la sentenza 2286/20041 il Tribunale di Catania affronta il tema della responsabilità del provider2 in ordine ad un illecito in materia di diritto d'autore commesso attraverso un sito web.

Più precisamente, la fattispecie verteva sull'utilizzo di un'opera storiografica senza previa autorizzazione dell'autore nell'ambito di un sito ospitato e gestito dal provider per conto di terzo soggetto. Il Tribunale, per le ragioni che si vanno brevemente ad esporre, ha dichiarato l'illegittimità del comportamento del provider, posto in essere in violazione del diritto d'autore, inibendo al prestatore intermediario ogni futura utilizzazione dell'opera oggetto del giudizio3.

Il Giudicante osserva preliminarmente che, con riguardo all'utilizzazione in rete delle opere tutelate dalla normativa sul diritto d'autore, "i file contenenti testi scritti, rinvenibili nella rete telematica in veste elettronica, godono senza dubbio della medesima protezione e tutela delle opere letterarie tradizionali in cui sono sempre convertibili, attraverso la stampa su materiale cartaceo, trattandosi comunque di attività intellettuale dell'uomo, a prescindere dalla natura del supporto veicolare dell'espressione artistica e dal giudizio di valore sull'apporto artistico".

Ciò posto con riferimento all'applicabilità della normativa sul diritto d'autore di cui alla legge 633/1941 anche nei confronti delle opere diffuse telematicamente, il Tribunale ripercorre i principali orientamenti dottrinali e giurisprudenziali del passato sulla responsabilità del provider, per giungere infine all'esame della disciplina oggi contenuta nel D.L.vo 70/20034 di attuazione della direttiva 2000/31/CE sul commercio elettronico, cui occorre accennare.

Com'è noto, gli articoli da 14 a 16 del D.L.vo 70/2003, nel disciplinare la responsabilità dei "prestatori intermediari", distinguono tra:

- attività di semplice trasporto (mere conduit): è ad esempio il caso, spiega la relazione illustrativa del provvedimento, del fornitore dei servizi di posta elettronica e del fornitore dei servizi di connessione a Internet;

- attività di memorizzazione intermedia e temporanea di informazioni effettuata allo scopo di rendere più efficace il successivo inoltro ad altri destinatari che ne hanno fatto richiesta (caching);

- attività di memorizzazione di informazioni fornite dal destinatario del servizio, come la messa a disposizione di uno spazio server per siti o pagine web (hosting).

L'art. 17 del provvedimento in parola stabilisce inoltre, in favore dei provider, il principio dell'assenza dell'obbligo generale di sorveglianza.

Il provvedimento sul commercio elettronico non introduce una specifica forma di responsabilità per i provider, bensì afferma che, ferma restando l'applicazione delle altre regole di diritto comune, per andare incontro a responsabilità extracontrattuale in ordine al fatto illecito commesso on-line dagli utenti, nei confronti del provider dovranno risultare insussistenti le condizioni espressamente previste dal D.L.vo 70/2003. Viene insomma introdotta una sorta di "immunità condizionata" dell'intermediario5.

"In sostanza, dice il testo, i fornitori di servizi non hanno alcuna responsabilità per i contenuti, a condizione che non intervengano in alcun modo sui contenuti stessi, il che è già ampiamente previsto dal nostro ordinamento (e da qualsiasi ordinamento di un paese democratico). Tuttavia la formulazione delle norme è tale da ingenerare non poche perplessità in relazione alla natura degli interventi dei fornitori di servizi, perché è noto che le attività di trasmissione e instradamento delle informazioni comportano sempre qualche forma di ‘intervento' che potrebbe rientrare tra le cause di non esenzione della responsabilità" (M. Cammarata)6.

La responsabilità del prestatore viene dunque definita in negativo: se sussistono le condizioni di cui al D.L.vo 70/2003 allora il prestatore non potrà essere chiamato a rispondere degli illeciti commessi on-line dagli utenti. Se, viceversa, il provider pone in essere un comportamento contrario a quanto sancito dal provvedimento, allora scatterà l'obbligo di risarcire il danno prodotto. Si tratterà evidentemente di una responsabilità solidale con l'autore dell'illecito ex art. 2055 cod. civ.7.

Ai sensi dell'art. 14 (attività di semplice trasporto), comma 1, del decreto sul commercio elettronico, nella prestazione di un servizio della società dell'informazione consistente nel:

- trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio,

- o nel fornire un accesso alla rete di comunicazione,

il prestatore non è responsabile delle informazioni trasmesse a condizione che:

a) non dia origine alla trasmissione;

b) non selezioni il destinatario della trasmissione;

c) non selezioni né modifichi le informazioni trasmesse.

In pratica, dice la relazione illustrativa del provvedimento, "si stabilisce che il carrier, l'operatore telefonico, non è responsabile di ciò che passa sulla sua rete".

Le predette attività di trasmissione e di fornitura di accesso includono la memorizzazione automatica, intermedia e transitoria delle informazioni trasmesse, a condizione che questa serva solo alla trasmissione sulla rete di comunicazione e che la sua durata non ecceda il tempo ragionevolmente necessario a tale scopo (art. 14, comma 2).

L'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza può esigere, anche in via d'urgenza, che il prestatore, nell'esercizio delle attività di cui al comma 2 dell'art. 14, appena illustrate, impedisca o ponga fine alle violazioni commesse.

Nella prestazione di un servizio della società dell'informazione consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, il prestatore non è responsabile della memorizzazione automatica, intermedia e temporanea di tali informazioni effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta, a condizione che (caching, art. 15, comma 1):

a) non modifichi le informazioni;

b) si conformi alle condizioni di accesso alle informazioni;

c) si conformi alle norme di aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore;

d) non interferisca con l'uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull'impiego delle informazioni;

e) agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l'accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla rete o che l'accesso alle informazioni è stato disabilitato oppure che un organo giurisdizionale o un'autorità amministrativa ne ha disposto la rimozione o la disabilitazione.

Anche in questo caso, l'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza può esigere, anche in via d'urgenza, che il prestatore, nell'esercizio delle attività di cui al comma 1 dell'art. 15, appena illustrato, impedisca o ponga fine alle violazioni commesse (art. 15, comma 2).

Ai sensi dell'art. 16, comma 1, del provvedimento sul commercio elettronico (hosting), nella prestazione di un servizio della società dell'informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non è responsabile delle informazioni memorizzate a richiesta del destinatario, a condizione che detto prestatore:

a) non sia effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l'illiceità dell'attività o dell'informazione;

b) non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso.

Le disposizioni di cui sopra non si applicano se il destinatario del servizio agisce sotto l'autorità o il controllo del prestatore (art. 16, comma 2).

L'autorità giudiziaria o quella amministrativa competente può esigere, anche in via d'urgenza, che il prestatore, nell'esercizio delle predette attività, impedisca o ponga fine alle violazioni commesse (art. 16, comma 3).

Nella prestazione dei servizi di mere conduit, caching e hosting, di cui sopra, come accennato, il prestatore non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite (art. 17, comma 1).

D'altra parte, fatte salve le disposizioni di cui agli artt. 14, 15 e 16 del provvedimento, già illustrate, il prestatore è comunque tenuto (art. 17, comma 2):

a) ad informare senza indugio l'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell'informazione;

b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.

Conseguentemente, il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza, non abbia agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non abbia provveduto ad informarne l'autorità competente (art. 17, comma 3)8.

"Anche qui saremmo di fronte a un'ipotesi pacifica di responsabilità extracontrattuale, per la prima parte della disposizione, dunque a una norma superflua. Ma la seconda parte è talmente vaga da consentire qualsiasi interpretazione, estensiva o restrittiva: che significa ‘avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo'? Basta una e-mail di segnalazione, o una lettura casuale, o occorre una diffida o un qualche altro atto formale?" (M. Cammarata)9.

Va sottolineato che la direttiva 2000/31/CE, nel prevedere all'art. 15 l'"assenza dell'obbligo generale di sorveglianza", prevedeva la facoltà, e non l'obbligo, per gli Stati membri di stabilire a carico del prestatore quanto oggi sancito dalle lettere a) e b) dell'art. 17, comma 2, del decreto legislativo in parola.

E' stato inoltre osservato che il combinato disposto degli artt. 16 e 17 del D.L.vo 70/2003 pone delicate questioni in relazione ai contratti di hosting, nel caso — frequente — in cui questi prevedano la facoltà del provider di verificare i dati immessi dall'utente e rimuovere quelli che appaiono illeciti o comunque non aderenti alla netiquette o alla policy dell'azienda10.

Con riferimento alla suesposta disciplina, il Tribunale di Catania, richiamando la più recente dottrina, rileva che essa si caratterizza nel senso:

"a) della irresponsabilità del provider che si limiti a fornire la connessione alla rete: in altri termini, l'access provider è equiparato al gestore di una rete telefonica il quale non può certamente essere tenuto responsabile per gli illeciti commessi dagli utenti della rete stessa;

b) della responsabilità del provider che non si limiti a fornire la connettività, ma eroghi servizi aggiuntivi, dal caching all'hosting (content provider), nel qual caso la responsabilità è generalmente subordinata alla circostanza che il provider sappia che l'attività o l'informazione trasmessa o svolta suo tramite siano illecite; tanto, seppure con la espressa limitazione derivante dalla circostanza che non si possa imporre al prestatore di servizi un obbligo generale di sorveglianza sulle informazioni trasmesse e memorizzate né, tanto meno, un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite;

c) della distinzione tra la posizione del provider e quella dell'editore o del direttore responsabile e ciò proprio al fine di sottrarlo all'applicazione delle più severe regole di responsabilità che in genere valgono per questi soggetti".

Il regime delineato — prosegue il Tribunale — "se, da un lato, conferma il ripudio, non solo di modelli di responsabilità oggettiva o per rischio di impresa, ma anche di modelli di responsabilità soggettiva aggravata, d'altro in positivo, si traduce nella subordinazione della responsabilità del provider alla circostanza che questi sappia della illiceità dell'attività o dell'informazione o anche, semplicemente, della esistenza dell'attività o dell'informazione.

La regola accolta è, dunque, quella in forza della quale il provider sarà responsabile dell'illecito posto in essere dall'utilizzatore allorché egli abbia piena consapevolezza del carattere antigiuridico dell'attività svolta da quest'ultimo".

La responsabilità del provider secondo il Giudicante si configura, quindi, alla stregua di una responsabilità soggettiva: colposa, allorché il fornitore del servizio, consapevole della presenza sul sito di materiale sospetto, si astenga dall'accertarne l'illiceità e, al tempo stesso, dal rimuoverlo; dolosa, quando egli sia consapevole anche della antigiuridicità della condotta dell'utente e, ancora una volta, ometta di intervenire.

Sulla base della normativa richiamata, accertata la sussistenza dell'illecito, il Tribunale ha pertanto rigettato l'eccezione sollevata dal convenuto circa la natura del servizio da esso provider offerto al terzo del cui sito si trattava.

Mentre il convenuto invocava infatti la propria posizione di mero fornitore di un servizio di hosting al fine di andare esente da responsabilità ex art. 16, comma 1, D.L.vo 70/2003, il Giudicante ha ritenuto tale fatto non provato, in virtù dell'onere probatorio gravante sul provider ex art. 2697 cod. civ., riconoscendo invece la responsabilità extracontrattuale — per fatto proprio — di quest'ultimo.

Si legge in proposito nella sentenza che la società convenuta "deve, quale proprietaria del dominio presso il quale veniva gestito e pubblicato il sito in esame, ritenersi responsabile dei materiali e dei scritti nello stesso inseriti secondo il regime di responsabilità che caratterizza il content provider, al quale incombe l'obbligo previo di controllare e verificare ogni eventuale profilo di lesività dei contenuti resi ostensibili nel sito dallo stesso creato, organizzato e gestito. Né a diversa soluzione sembra potersi giungere in dipendenza della dedotta natura gratuita del servizio reso, trattandosi nel caso di specie di illecito extracontrattuale rilevante ai sensi dell'art. 2043 ss. c.c.".

Settembre 2004

NOTE

1 Il testo della sentenza è disponibile su www.altalex.com all'indirizzo www.altalex.com/index.php?idnot=7548.

2 In generale, sull'argomento, sia consentito rinviare a G. Briganti, La disciplina del commercio elettronico. La direttiva 2000/31/CE e la sua attuazione in Italia, in Iusreporter, www.iusreporter.it, www.iusreporter.it/Testi/ecommercebook.pdf, pp. 86 ss.; per una versione aggiornata e ampliata del predetto testo: G. Briganti, Privacy, codice comunicazioni e commercio elettronico: quando si hanno le idee chiare, cap. IV, disponibile nella sezione "Internet" degli e-book di www.iusondemand.com.

3 Non ha potuto invece trovare accoglimento, nel caso in esame, la domanda di risarcimento danni avanzata dall'attore, ma solo in quanto il Giudicante non ha ritenuto provato l'ammontare del danno.

4 Decreto legislativo 9 aprile 2003, n. 70, Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione nel mercato interno, con particolare riferimento al commercio elettronico, GU Serie gen. 87 del 14 aprile 2003, Suppl. ord.

5 Così F. Di Ciommo, Responsabilità civili in Internet: i soggetti, i comportamenti illeciti, le tutele, in Altalex, www.altalex.com, www.altalex.com/index.php?idnot=6878.

6 M. Cammarata, Sotto torchio gli operatori della Rete, in InterLex, www.interlex.it, www.interlex.it/regole/torchio.htm, il quale così prosegue: "E' ovvio che, ai fini dell'attribuzione di una responsabilità, il giudice indagherà su quello che i giuristi chiamano ‘l'elemento soggettivo dell'illecito', dovrà cioè stabilire se l'intervento del provider sui contenuti sia una mera operazione tecnica o se vi sia l'intenzione di influire in qualche modo sui contenuti stessi: solo in questo caso si potrà parlare di responsabilità del fornitore. Tuttavia l'esperienza insegna che disposizioni così generiche costituiscono un pericolo non trascurabile: non è comunque positivo che un'assenza di responsabilità sia sancita da un giudice al termine di un'istruttoria o addirittura di un processo, laddove una norma più chiara eviterebbe all'origine l'intervento dell'autorità giudiziaria".
Con riguardo alle questioni concernenti la responsabilità penale del provider, si rimanda a D. Minotti, Responsabilità penale: il provider è tenuto ad "attivarsi"?, in InterLex,
www.interlex.it, www.interlex.it/regole/minotti8.htm, il quale osserva che "il decreto, agli artt. 14, 15 e 16, solleva i prestatori da ogni responsabilità (diverse da quelle amministrative fissate nel decreto) a condizione che essi non intervengano sulle informazioni (i.e. i dati) da loro memorizzate o veicolate. Previsione di mero valore riproduttivo, atteso che, anche senza il decreto, l'intervento (‘causale') sulle informazioni (consapevolmente illecite) poteva già condurre, per i principi generali di diritto penale, ad ipotesi di concorso commissivo".
Si veda anche M. Cammarata, Le trappole nei contratti di hosting, in InterLex,
www.interlex.it, www.interlex.it/regole/trappole.htm.

7 "Proseguendo l'analisi della direttiva 2000/31/Ce, pare interessante notare come la normativa in parola non lasci l'accertamento della colpa del provider alla discrezionalità del giudice. Quest'ultimo, infatti, non è genericamente chiamato, come sarebbe in forza dell'art. 2043, a valutare la correttezza della condotta e dell'atteggiamento psichico dell'intermediario, bensì è tenuto ad applicare i principi della direttiva — che il d. lgs. 70/2003 ha riprodotto fedelmente —, e dunque esclusivamente ad accertare, quando il danneggiato agisca contro l'intermediario cercando di provare la sua colpa specifica, che quest'ultimo non abbia posto in essere nessuna delle condizioni che fanno scattare la sua responsabilità.
Siamo, a ben vedere, alle prese con un sistema di imputazione della responsabilità basato esclusivamente sulla colpa specifica dell'intermediario, e cioè sulla colpa per violazione di legge; mentre al giudice è precluso, in quanto inutile al fine dell'imputazione della responsabilità, ogni accertamento ulteriore relativo all'atteggiamento psichico del convenuto" (F. Di Ciommo, Responsabilità civili in Internet: i soggetti, i comportamenti illeciti, le tutele cit.).

8 In tema di obblighi dei provider occorre oggi altresì segnalare quanto disposto dall'art. 1 DL 22 marzo 2004, n. 72 (cd. "Decreto Urbani") convertito con legge 21 maggio 2004, n. 128, GU 119 del 22 maggio 2004, recante Interventi per contrastare la diffusione telematica abusiva di opere dell'ingegno, nonché a sostegno delle attività cinematografiche e dello spettacolo.
Secondo detta norma, "A seguito di provvedimento dell'autorità giudiziaria, i prestatori di servizi della società dell'informazione, di cui al decreto legislativo 9 aprile 2003, n. 70, comunicano alle autorità di polizia le informazioni in proprio possesso utili all'individuazione dei gestori dei siti e degli autori delle condotte segnalate" (comma 5); "A seguito di provvedimento dell'autorità giudiziaria, per le violazioni commesse per via telematica di cui al presente decreto, i prestatori di servizi della società dell'informazione, ad eccezione dei fornitori di connettività alle reti, fatto salvo quanto previsto agli articoli 14, 15, 16 e 17 del decreto legislativo 9 aprile 2003, n. 70, pongono in essere tutte le misure dirette ad impedire l'accesso ai contenuti dei siti o a rimuovere i contenuti medesimi" (comma 6); "La violazione degli obblighi di cui ai commi 5 e 6 è punita con una sanzione amministrativa pecuniaria da euro 50.000 a euro 250.000" (comma 7).

9 M. Cammarata, Sotto torchio gli operatori della Rete cit.

10 M. Cammarata, Le trappole nei contratti di hosting cit., secondo il quale "dal momento in cui il provider dichiara di sorvegliare i contenuti immessi dai clienti si può presumere che egli possa essere effettivamente a conoscenza dell'eventuale illiceità di tali contenuti. E quindi si addossa le relative responsabilità!".