Le nuove responsabilità per gli Internet Service Provider previste dal Decreto Omnibus

Scritto da Giordana Pepè

La Legge n. 143 del 7 ottobre 2024, di conversione del c.d. Decreto Omnibus (D. L. n. 113 del 10.08.2024, recante misure urgenti di carattere fiscale, proroghe di termini normativi ed interventi di carattere economico), ha previsto alcuni nuovi obblighi e responsabilità, anche di natura penale, per gli Internet Service Provider.

La Legge ha introdotto in primo luogo rilevanti revisioni all’art. 2 della Legge n. 93/2023, in materia di disabilitazione dell'accesso a contenuti diffusi online abusivamente. In particolare:

  • è stata generalizzata la possibilità, per l’AGCOM (Autorità garante delle comunicazioni), di ordinare la disabilitazione dell’accesso a contenuti diffusi abusivamente, mediante il blocco, oltre che della risoluzione DNS dei nomi a dominio, anche dell’instradamento del traffico di rete verso gli indirizzi IP “prevalentemente” destinati ad attività illecite (e non più solo “univocamente”, come nella precedente formulazione) (comma 1);

  • è stato esteso il perimetro dei soggetti che possono essere destinatari di provvedimenti cautelari di disabilitazione c.d. abbreviati previsti per i casi di urgenza (come per i contenuti in diretta), comprendendo anche i fornitori di servizi di VPN e DNS pubblicamente disponibili, ovunque residenti e localizzati (comma 3);

  • è stata introdotta, a garanzia dei soggetti che dimostrino un interesse qualificato, la possibilità di chiedere la revoca dei provvedimenti di inibizione all’accesso, per documentata carenza dei requisiti di legge, anche sopravvenuta (comma 3);

  • è stato fissato un termine massimo di 30 minuti, dalla notificazione di un provvedimento di disabilitazione, per l’adozione, da parte dei destinatari del provvedimento, di ogni misura tecnica volta ad ostacolare la visibilità dei contenuti. Tale termine è applicabile altresì ai gestori di motori di ricerca e ai fornitori di servizi della società dell’'informazione, anche laddove non fossero coinvolti nell’accessibilità del sito web o dei servizi illegali (ad es. mediante deindicizzazione dai motori di ricerca) (comma 5);

  • è stato previsto che la risoluzione dei nomi di dominio e l’instradamento del traffico di rete verso gli indirizzi IP bloccati devono essere riabilitati, decorsi almeno sei mesi dal blocco, se non risultino più utilizzati per finalità illecite (comma 5-bis);

  • da ultimo, per garantire un più efficiente avvio della piattaforma tecnologica unica automatizzata e un’efficace esecuzione degli ordini di inibizione, soltanto per il primo anno di funzionamento della piattaforma per tutti i destinatari dei provvedimenti disabilitativi, l’Autorità deve fissare limiti quantitativi massimi di indirizzi IP e di Fully Qualified Domain Name (FQDN) che possono essere contemporaneamente oggetto di blocco (comma 7-bis).

La legge n.143/2024 ha poi introdotto nella L. n. 633/1941 (Legge sul Diritto d’Autore) il nuovo art. 174-sexies, con l’obiettivo principale di contrastare anche penalmente il fenomeno della pirateria online.

La disposizione riguarda i seguenti soggetti:

  • prestatori di servizi di accesso alla rete;

  • gestori di motori di ricerca e fornitori di servizi di informazione, inclusi i fornitori e gli intermediari di VPN o comunque di soluzioni tecniche che ostacolino l’identificazione dell’indirizzo IP di origine;

  • operatori di content delivery network;

  • fornitori di servizi di sicurezza internet e DNS distribuiti, collocati tra i visitatori di un sito e gli hosting provider che agiscono come reverse proxy server per siti web.

Tali soggetti sono oggi obbligati a segnalare immediatamente all’Autorità Giudiziaria o alla Polizia Giudiziaria le condotte penalmente rilevanti (es. violazioni della Legge sul Diritto d’Autore, accessi abusivi sistemi informatici o telematici, frodi informatiche etc.) di cui vengano a conoscenza nell’ambito delle loro attività, condividendo tutte le informazioni a loro disposizione.

Gli stessi soggetti sono anche obbligati a designare e notificare all’AGCOM un punto di contatto che consenta loro di comunicare direttamente con l’autorità (se stabiliti fuori dall’UE, devono indicare un rappresentante in Italia).

L’omissione della segnalazione e della comunicazione (fuori dai casi di concorso nel medesimo reato) sono punite, per le persone fisiche, con la pena della reclusione fino ad un anno e, per le persone giuridiche, con sanzioni pecuniarie e interdittive di cui all’art. 24-bis D. Lgs. 231/2001 sulla responsabilità amministrativa degli enti.

Le descritte novità normative sono oggetto di critica e dibattito: al di là delle problematiche interpretative (ad esempio, sul rapporto con l’esenzione da responsabilità del c.d. hosting passivo) o di carattere prettamente tecnico-informatico, si riscontrano alcune possibili difficoltà applicative, legate ad esempio alla necessità che providers e operatori abbiano le competenze per identificare correttamente i comportamenti illeciti, o alla grande quantità di ricorsi e segnalazioni che l’AGCOM si troverebbe a gestire.

Sicuramente l’aspetto più incisivo delle modifiche, che preoccupa maggiormente gli operatori, è rappresentato dal severo regime di responsabilità penale. Questo, inoltre, genera dubbi di legittimità costituzionale ove riferito all’omessa segnalazione di meri sospetti di attività illegali, configurando una sorta di responsabilità oggettiva.

Peraltro, tale sistema, nel comportare obblighi di sorveglianza continua e generalizzata, rischia anche di porsi indirettamente in contrasto con la normativa europea (v. in particolare gli articoli 6 e 8 del DSA) e nazionale in materia di privacy.

Non resta che osservare come verrà concretamente applicato e se interverranno aggiustamenti legislativi o giurisprudenziali.

Giordana Pepè
Avanti

Descrizione in materia di know how: un recente caso vittorioso seguito da Martini Manna & Partners innanzi al Tribunale di Brescia