La responsabilità penale dell’Internet Service Provider

two 3d humans give their hand for handshake

two 3d humans give their hand for handshake

Autore del lavoro candidato: Lisa Castellani

SINTESI CONTENENTE UNA BREVE DESCRIZIONE DEL LAVORO SVOLTO E DEI RISULTATI OTTENUTI: Il nuovo millennio è stato caratterizzato dall’esplosione di Internet e dei nuovi mezzi tecnologici, che ha comportato dei cambiamenti epocali in ogni settore della vita umana. Essi offrono molteplici opportunità di sviluppo, sul piano sociale, culturale ed economico, ma possono costituire altresì, da un lato, un terreno fertile per nuovi modi e tipi di comportamenti di rilievo penale, e dall’altro lato innovativi strumenti e mezzi per la ricerca delle prove e, in generale, per il contrasto a gravi fenomeni criminosi congenitamente transnazionali. Si assiste inoltre ad una sorta di “democratizzazione” del crimine: la rete e le tecnologie informatiche forniscono all’agente, anche di medie-basse competenze informatiche, il “potere” di porre in essere illeciti fino a qualche anno fa totalmente esclusi dalla portata del singolo. Anche solo i più recenti fatti di cronaca evidenziano il crescente allarme sociale suscitato dalle organizzazioni terroristiche, che si avvalgono di strumenti tecnologici, Internet, Darknet e social media non solo nelle fasi del reclutamento, della ricerca di fondi o della propaganda e dei discorsi di odio (hate speech), ma altresì nelle fase di realizzazione degli attacchi, che possono essere diretti contro sistemi informatici o banche dati sensibili. Tra le questioni giuridiche connesse all’esplosione della criminalità on-line, la problematica della responsabilità penale dell’ISP è sicuramente tra le più dibattute. La tematica risulta particolarmente complessa e delicata non con riguardo agli illeciti commessi direttamente dall’ISP nella veste di autore o coautore (trovando in tali casi applicazione le disposizioni ordinarie in tema di imputazione della responsabilità), ma in relazione a quelli realizzati dagli utenti della rete, per i quali sorgono innanzitutto limiti in virtù del principio di personalità di cui all’art. 27 Costituzione. Fa propendere per la configurabilità della responsabilità degli ISPs anche nell’ipotesi d’illeciti dei terzi la maggior facilità con cui gli stessi sono individuabili a differenza degli utenti che materialmente li realizzano, i quali possono beneficiare dell’anonimato o di altri strumenti tecnici per mascherare la propria identità. E’ inoltre chiaro che il prestatore, fornendo di solito i propri servizi in forma d’impresa, sarà presumibilmente più solvibile rispetto all’autore del reato. D’altra parte è ugualmente vero che prevedere obblighi di controllo e garanzia nei confronti dei providers renderebbe più onerosa la loro attività con possibili conseguenti effetti inibitori sullo sviluppo libero della rete: dal punto di vista economico i maggiori costi potrebbero essere addebitati agli internauti tramite l’aumento dei servizi a pagamento; dal punto di vista giuridico gli ISPs sarebbero inoltre portati a privilegiare forme di censure onde evitare di incappare in una responsabilità che, data la difficoltà tecnica del controllo sugli innumerevoli contenuti trasmessi, si avvicinerebbe molto ad una responsabilità di tipo oggettivo. Il progetto scientifico si è proposto di contribuire a fornire un quadro teorico e metodologico attraverso il quale valutare come, nel nostro ordinamento, debba essere affrontata la vexata quaestio della responsabilità penale degli ISPs in relazione ai fatti illeciti realizzati dagli utenti. Le considerazioni preliminari della ricerca hanno riguardato innanzitutto il concetto di responsabilità penale ed il carattere personale della stessa sancito all’art. 27, comma 1, della Costituzione, oggetto di una profonda evoluzione nei tracciati della Corte Costituzionale culminata nella sentenza n. 364 del 23 marzo 1988, che ha inaugurato l’affermarsi di un filone di pronunce in cui, secondo quanto già evidenziato dalla dottrina più sensibile, si accoglie il principio di colpevolezza specificando che per fatto proprio non s’intende il fatto collegato al soggetto dal mero nesso di causalità ma anche, e soprattutto, dal momento subiettivo, costituito, in presenza della prevedibilità ed evitabilità del risultato vietato, almeno dalla colpa in senso stretto. Interessante è stato quindi, alla luce di tale orientamento, affrontare la disciplina dei delitti commessi a mezzo stampa (per parte della dottrina suscettibile di applicazione in via analogica al service provider), la quale, sin dalla sua prima apparizione nell’Editto Albertino sulla stampa del 26 marzo 1848, ha suscitato numerose critiche e problematiche, proprio per il contrasto con il principio di responsabilità personale, nonché la problematica della responsabilità penale degli enti. L’art. 27, 1° comma, Cost., è stato a lungo considerato come una trasposizione a livello costituzionale dell’antico brocardo societas delinquere non potest, tant’è che la responsabilità punitiva degli enti collettivi introdotta dalla legge delega n. 300/2000 ed il successivo decreto legislativo di attuazione n. 231/2001, forse per non acuire i delicati equilibri con i dogmi personalistici dell’imputazione criminale di rango costituzionale, è stata etichettata come amminist rativa, sebbene sia ancorata a presupposti e garanzie proprie del diritto penale che ne rendono molto controversa la natura. Si è proceduto quindi all’analisi di alcuni aspetti tecnici concernenti la struttura di Internet, essenziali per una corretta impostazione della questione inerente all’an e al quomodo della responsabilità penale degli ISPs. Fissate le caratteristiche fondamentali dell’Internet Trinity, una trinità fatta dalla tecnologia del mezzo, dalla distribuzione geografica dei suoi utenti, dalla natura dei suoi contenuti, mi sono concentrata sulla valutazione dell’impatto che la “rete delle reti” ha sulle possibilità di commettere crimini e sulle relative fattispecie illecite che, proprio per la sua eterogeneità, sta mettendo a dura prova la capacità delle legislazioni nazionali ed internazionali di identificare strategie adeguate per proteggere non solo le loro infrastrutture ma anche la sicurezza dei cittadini. Il temine cybercrime da molto tempo viene utilizzato, soprattutto dai media, per raggruppare l’eterogenea gamma dei pericoli e degli illeciti che infettano il cyberspace. Nonostante l’esplosione a livello internazionale del fenomeno, non si riviene, in alcuna disposizione giuridica sovranazionale, una definizione specifica di cybercrime. Questo vuoto normativo ha fatto si che in dottrina ci si interroghi circa il rapporto intercorrente tra i “crimini cibernetici” e la nozione di “criminalità informatica”, altrettanto mancante di una specificazione giuridica internazionalmente riconosciuta nonostante il suo utilizzo in numerose fonti interne e sovranazionali e la recente menzione tra i crimini che, ai sensi dell’art. 83, par. 1, del Trattato sul funzionamento dell’Unione (TFUE), rientrano nella competenza penale diretta dell’Unione europea. Valutata la relazione che intercorre tra l’ampia categoria dei reati informatici e quella dei reati cibernetici, si � � proceduto all’esposizione dalle iniziative contro i cybercrimes promosse a livello sovranazionale (ad esempio dal gruppo dei Paesi industriali (G8); dalle Nazioni Unite, ed in modo particolare dal suo Ufficio per il controllo della droga e la prevenzione del crimine (ONUDC), dall’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE/OECD) e dal suo Comitato per Informazione, Informatica e Comunicazione (ICCP); dal Consiglio d’Europa e dall’Unione Europea) e a livello nazionale (in modo particolare Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, pubblicato in G.U. 19 marzo 2013, n. 66). Risolte queste questioni preliminari, stante l’intrinseca sovranazionalità del cyberspace, è stato essenziale il confronto con modelli di responsabilità elaborati in altri ordinamenti. Ho approfondito innanzitutto la regolamentazione della responsabilità degli ISPs per i contenuti immessi dai propri utenti nel sistema americano. Gli Stati Uniti, culla della rivoluzione cibernetica, sono stati i primi ad affrontare le problematiche inerenti alla possibile rilevanza penale delle condotte degli ISPs per gli abusi e gli illeciti commessi in rete. In modo particolare è stato sviluppato un sistema di normazione “verticale” nel senso che sono state previste specifiche disposizione per settori determinati. Si rinvengono infatti una forma d’immunità relativa a tutti i tipi di materiale fatta eccezione che per la proprietà intellettuale (IP) nello US Communications Decency Act (CDA), e “safe harbors” in materia di violazione del copyright nel Digital Millennium Copyr ight Act (DMCA). Mi sono quindi concentrata sull’analisi del sistema di regolamentazione europeo, che, a differenza di quello americano, è “orizzontale”, ovvero si applica sia in caso di illeciti civili che penali ed abbraccia la totalità dei contenuti. La normativa di riferimento è contenuta nella Direttiva e-Commerce 2000/31/CE che, ad oggi, rappresenta il modello legislativo per i Paesi membri. Per l’influenza che la legislazione tedesca ed in modo particolare il Gesetz zur Regelung der Rahmenbedingungen für Informations-und Kommunikationsdienste (IuKDG) del 1997 ha avuto sull’elaborazione della Direttiva europea sopracitata, mi sono dedicata anche allo studio del sistema teutonico della responsabilita degli ISPs, al cui sviluppo il Prof. Sieber, direttore del Max Planck Institute for Foreign and International Criminal Law, presso il quale si è svolto parte del progetto, ha contribuito attivamente fin dalla sua origine. Alla luce della normativa sopra richiamata, per valutare la configurabilità di una responsabilità penale o amministrativa da reato dei providers (a seconda che gli stessi si identifichino in una persona fisica o giuridica) ho preceduto all’analisi delle regole penali di parte generale e specificatamente gli istituti del concorso di persone nel reato (art. 110 c.p.), della responsabilità per omesso impedimento dell’evento (art. 40, comma 2, c.p.), nonché la disciplina dei delitti commessi a mezzo della stampa, pur nella consapevolezza che la tematica non si presta ad una soluzione unica e applicabile ad ogni ipotesi, essendo sempre necessario sagomare l’individuazione dei soggetti responsabili nel greto delle sfumature del caso concreto. Anche sulla base degli orientamenti espressi dalla Corte Europea dei diritti dell’uomo e della Corte di Giustizia dell’Unione Europea, pur non sussistendo alcun “generale” obbligo di impedimento di reati altrui, nelle specifiche materie considerate (es. tutela della privacy) non si può non riconoscere che nella normativa vigente sono rinvenibili autonomi e specifici obblighi di protezione sulla cui base è possibile fondare anche una responsabilità penale del provider ex art. 40 c.p. per i reati commessi dai propri utenti in rete. D’altronde tutto ciò è pienamente in linea con la condotta virtuosa che, come previsto dal legislatore comunitario, gli stati membri possono richiedere agli intermediari della società dell’informazione. Il contemperamento tra l’esigenza di garantire la libertà di comunicazione e la necessità di tutelare diritti fondamentali del nostro ordinamento non può che comportare il superamento del paradigma del provider inerte o passivo non appena ricevuta la notizia dell’illecito commesso dai fruitori del suo servizio.

Annunci