Negli scorsi giorni è circolata in rete la notizia di un nuovo disegno di legge, promosso dall’onorevole Gabriella Carlucci contenente «disposizioni per assicurare la tutela della legalità nella rete internet e delega al Governo per l’istituzione di un apposito comitato presso l’Autorità per le garanzie nelle comunicazioni». Il provvedimento non è ancora disponibile in via ufficiale, è ancora in prima lettura alla Camera e ancora lontano, quindi, dall’approvazione, ma ha comunque suscitato ampie discussioni in merito alla portata di tre dei quattro commi divulgati.
Le maggiori preoccupazioni riguardano, infatti, il divieto di immettere in rete qualsiasi tipo di contenuto in forma anonima. Il divieto non sarebbe sanzionato direttamente, nel senso che solo qualora tali contenuti possano configurare un reato l’autore e coloro che hanno agevolato l’anonimato degli autori risponderebbero del reato commesso in concorso. Il disegno di legge, inoltre, estende alle ipotesi di diffamazione commesse attraverso la rete internet tutte le norme che riguardano la legge sulla stampa, «senza eccezione». Le novità sono molteplici e meritano una analisi.
Il divieto di anonimato in rete
Il primo comma del disegno di legge c 2195 recita:
È fatto divieto di effettuare o agevolare l’immissione nella rete di contenuti in qualsiasi forma (testuale, sonora, audiovisiva e informatica, ivi comprese le banche dati) in maniera anonima.
Due sono le condotte, quindi, che sono oggetto del comma in esame: l’immissione dei contenuti in forma anonima e l’agevolazione da parte di un terzo di tale attività. Ad una prima lettura sembrerebbe che i destinatari siano i soli fornitori di hosting e servizi web e non i provider. È vero o si tratta di un’altra norma che comunque, implicitamente, carica di responsabilità anche questi ultimi soggetti?
Per rispondere compiutamente a questa domanda bisognerebbe capire che cosa si intende con il richiamo all’anonimato e cioè se il divieto di essere anonimi coinvolga una riferibilità precisa al soggetto, che quindi non deve potere immettere alcun contenuto in rete se non con nome e cognome ed – eventualmente – altri dati, oppure se ci si debba riferire a quello che è comunemente noto come “anonimato protetto”. Attraverso l’anonimato protetto, infatti, è possibile utilizzare pseudonimi a patto che l’iscrizione alla piattaforma che permette l’immissione dei contenuti in rete sia avvenuta con dati reali e veritieri. Il fine è quello di potersi esprimere correntemente in forma anonima ma di potere essere anche identificati o identificabili nel caso in cui le autorità competenti chiedano l’identificazione della persona autrice del contenuto.
La lettera della norma tace, ma è plausibile che ci si voglia riferire alla seconda ipotesi. In questo momento storico nel nostro ordinamento non esiste norma che imponga l’identificazione della persona che usufruisce di un servizio web. Sono, invece, i singoli contratti o termini di servizio che impongono all’utente di fornire dati reali all’atto dell’iscrizione e, sempre contrattualmente, responsabilizzano lo stesso utente ad avere cura delle proprie credenziali di autenticazione (username e password). In caso di commissione di un illecito il fornitore di contenuti ha un interesse proprio a che l’autore dell’illecito sia individuato, ma non ha l’obbligo giuridico di individuarlo: spetta alle autorità competenti.
Identità certe, incerte e collettive
Secondo la prassi d’uso, se il servizio è a pagamento la riferibilità al soggetto è imposta e raggiunta da esigenze contrattuali. Pensiamo, ad esempio, all’acquisto di un dominio o a un qualsiasi account premium dove, per il semplice fatto di dovere utilizzare una carta di credito, il provider del servizio dispone di nome e cognome, indirizzo di fatturazione e, generalmente, dei dati bancari dell’utente. Sempre nei termini di servizio sono, inoltre, presenti clausole che attribuiscono all’utente la responsabilità della segretezza e della custodia del proprio account e stabiliscono, salva prova contraria, la presunzione che qualsiasi attività effettuata attraverso quell’account sia stata effettuata personalmente dall’utente. Sempre questi servizi, inoltre, impongono il rispetto di precisi limiti di età al fine di impedire ai minori (che magari hanno la capacità tecnica di usare le piattaforme, ma non hanno la capacità giuridica di concludere un contratto) l’uso dei propri servizi.
Le piattaforme che ospitano contenuti o che forniscono servizi che permettono la comunicazione o l’interazione fra utenti, però, possono essere utilizzate in modo gratuito con la conseguenza che il fornitore del servizio dispone, molto spesso, di dati che possono essere fasulli poiché non li verifica in concreto. Quest’ultimo aspetto, come si può intuire, ha un evidente limite pratico: l’utente difficilmente legge i termini di servizio quando si iscrive a una qualsiasi piattaforma e anche qualora fosse a conoscenza delle limitazioni che gli vengono imposte, il gestore non ha modo di verificare che esse vengano rispettate – con la conseguenza che, in caso di problemi dovuti all’attività effettuata da un utente può rischiare interruzioni del servizio così come doversi difendere da una eventuale accusa di concorso nel reato con l’autore.
Questa è la principale ragione per cui la quasi totalità dei servizi impone la verifica via email dell’iscrizione alla piattaforma e permette di effettuare l’accesso non (soltanto) con la username scelta dall’utente ma con l’email. Questo meccanismo fa si che l’utente non possa iscriversi e usare nel tempo il proprio account con email istantanee (cioè indirizzi email creati ad hoc per iscriversi a un servizio e che durano solo pochi minuti) e debba invece disporre di una mail permanente, vera, ad esso riferibile. La ragione principale di questa strategia è quella di arrivare, un po’ come le scatole cinesi, a una serie di dati che, letti in modo incrociato, permettano l’individuazione della persona ove ce ne sia bisogno. Ipotizzando, infatti, la commissione di un reato, l’indagine per l’individuazione del soggetto partirà certamente dall’analisi del singolo servizio attraverso cui il reato è stato commesso. In seguito saranno verificati i dati in possesso dal gestore del servizio, dall’utenza si arriverà quindi alla mail fornita per l’identificazione e, ancora, all’acquisizione dei dati presso il gestore della mail, e si incroceranno i risultati ottenuti con i file di log nell’ipotesi conservati dai provider. Gli autori di eventuali reati, quindi, sono già identificabili.
Non tutti i servizi disponibili su web possono, comunque, da soli fornire dati utili. Ciò perché è sempre possibile aprire un’utenza non permanente e al solo fine di commettere un reato: pensiamo all’iscrizione a un social network con una mail istantanea effettuata al solo fine di inserire un commento molesto verso un altro utente per poi abbandonare l’account. Le mail temporanee sono un servizio neutrale ed utile, soprattutto per proteggere gli utenti dallo spam che può derivare da una iscrizione a un servizio. Esistono poi servizi che periodicamente rendono disponibili credenziali di autenticazione pubbliche, come il noto Bugmenot, il quale ha il solo fine di evitare lo spamming commerciale che deriva dalle iscrizioni e permettere la consultazione occasionale di quotidiani telematici o, comunque, di dare l’accesso a un servizio temporaneo evitando l’iscrizione personale.
Concorso nel reato
La rete, come si vede, rende disponibili diverse tecnologie che permettono comunque di inserire contenuti o partecipare alle conversazioni senza bisogno di identificarsi. Il primo comma del disegno di legge stabilisce che è vietato agevolare l’immissione anonima di contenuti. Il secondo comma, invece, stabilisce che:
I soggetti che, anche in concorso con altri operatori non presenti sul territorio italiano, ovvero non identificati o identificabili, rendano possibili i comportamenti di cui al comma 1. sono da ritenersi responsabili – in solido con coloro che hanno effettuato le pubblicazioni anonime – di ogni e qualsiasi reato, danno o violazione amministrativa cagionati ai danni di terzi o dello Stato.
Secondo tale disposto, per parlare di un’eventuale corresponsabilità dei soggetti che agevolano l’anonimato devono sussistere gli elementi del concorso nel reato che, secondo l’articolo 110 del codice penale, devono concretizzare una cooperazione intenzionale sia nella commissione del reato sia nella volontà di concorrere nel reato. L’elemento soggettivo, quindi, è chiave affinché questo tipo di responsabilità possa dirsi configurabile. Sotto questo aspetto, le diverse tecnologie che rendono disponibili credenziali di autenticazione distribuite, proprio per il carattere di neutralità che le caratterizza, difficilmente potrebbero vedersi condannare in concorso con l’autore del reato.
Non dissimile, allo stato dei fatti e alla lettera del disegno di legge, è la situazione dei gestori dei servizi poiché, anche qualora venisse creato un obbligo giuridico di verificare l’identità di tutti i loro utenti, si assisterebbe – nel caso in cui un utente riuscisse a registrarsi con dati falsi o attraverso un servizio anonimo – di un reato omissivo proprio, consistente nell’avere negletto il controllo sull’identificazione (qualora il ddl individui modalità e soggetti in capo a cui tale controllo deve sussistere). Il concorso potrebbe, invece, sussistere se il controllo fosse stato volontariamente omesso al fine di agevolare la condotta dell’autore del reato.
Qual è l’ostacolo affinché la norma esaminata possa dirsi efficace? È necessario stabilire in capo ai gestori dei servizi regole tecniche che permettano loro di adeguarsi all’eventuale obbligo di identificazione in modo da potere dimostrare, viste tutte le difficoltà poste dalle tecnologie disponibili, che hanno fatto il possibile per verificare le credenziali di autenticazione dell’utente. In questo caso, poiché la maggior parte dei gestori di servizi non dispongono di sportelli aperti al pubblico, l’unico modo sembra l’invio di una fotocopia cartacea di un documento di identità o di una lettera di assunzione di responsabilità alla stregua di quanto avviene per la registrazione di un dominio geografico italiano. Il problema, in questo caso, sarà riuscire a rendere cogente tale obbligo anche per tutte le piattaforme che permettono l’immissione di contenuti in rete non soggetti alla legge italiana, come Facebook, Youtube, l’enciclopedia collaborativa Wikipedia e tutti i più popolari servizi web.
Poste tutte le difficoltà evidenziate, è chiaro come il ruolo dei provider sia e rimanga centrale. Attualmente e a prescindere dalle numerose proroghe, i fornitori di connettività hanno l’obbligo di conservare i dati di traffico dei loro utenti e le procure possono acquisirli (nell’ipotesi in cui si proceda per un reato comune entro 6 mesi, nei casi dei reati più gravi entro 24 mesi). Sorge il dubbio che attraverso il disegno di legge possano essere ampliati anche i termini di acquisizione di tali dati con conseguenti ulteriori obblighi di conservazione in capo ai provider.
La diffamazione e la stampa
Il disegno di legge prevede un terzo comma dedicato alla diffamazione, nel quale si stabilisce che
Per quanto riguarda i reati di diffamazione si applicano, senza alcuna eccezione, tutte le norme relative alla Stampa. Qualora insormontabili problemi tecnici rendano impossibile l’applicazione di determinate misure, in particolare relativamente al diritto di replica, il Comitato per la tutela della legalità nella rete Internet (di cui al successivo articolo 3 della presente legge) potrà essere incaricato dalla Magistratura competente di valutare caso per caso quali misure possano essere attuate per dare comunque attuazione a quanto previsto dalle norme vigenti.
Questa disposizione è particolarmente preoccupante per due aspetti. Il primo relativo all’estensione indiscriminata di ogni applicazione relativa alla stampa alla diffamazione commessa attraverso internet. Il secondo per il ruolo del costituendo Comitato per la tutela della legalità della rete Internet presso l’autorità garante per le comunicazioni.
Riguardo al primo aspetto, il problema più evidente dell’estensione al web della legge sulla stampa fa pensare all’applicabilità dei reati propri di omissione di controllo che il codice penale (artt. 57 e seguenti) attribuisce al direttore e al vice direttore responsabile di una testata per avere omesso di controllare i contenuti che vengono pubblicati, se le pubblicazioni sono periodiche. Questi soggetti, infatti, hanno l’obbligo giuridico di controllare qualsiasi contenuto pubblicato e possono rispondere del reato qualora omettano di effettuare tale controllo, oppure di concorso con l’autore del reato qualora siano consapevoli dell’offensività del contenuto ma decidono di pubblicarlo ugualmente. La disposizione fa temere eventuali sviluppi nel senso di porre ulteriori obblighi non solo ai gestori delle piattaforme ma anche agli stessi utenti che gestiscono spazi aperti alla discussione, come un blog con commenti, un profilo su un social network commentabile eccetera.
Posto che esistono servizi, come Friendfeed, che non permettono di cancellare i commenti inseriti da altri utenti, quali possono essere i problemi di un utente smemorato che, accidentalmente, non ricordi più con quale email o con quali credenziali di autenticazione accedeva a un blog, magari da tempo abbandonato e sul quale ha lasciato liberi i commenti? Probabilmente non potremo più scordarcene, se vogliamo dormire sonni tranquilli.
La situazione può ulteriormente complicarsi. I reati commessi a mezzo stampa, infatti, prevedono anche l’ulteriore ipotesi della stampa clandestina o della stampa non periodica. In questi due casi, se non sono state osservate le prescrizioni in materia di stampa periodica e non periodica o se non si riesce ad identificare l’autore del reato, “editore” o “stampatore” possono rispondere del reato di omissione di controllo. In Italia abbiamo già avuto un caso di condanna per stampa clandestina di un blog, sebbene il caso giurisprudenziale è, sinora, rimasto un precedente isolato e la giurisprudenza sia attualmente consolidata nell’applicare le regole in materia di stampa alle sole testate telematiche registrate. Sorge, quindi il dubbio che, dalla lettera del terzo comma del disegno di legge, una probabile evoluzione riguarderà l’introduzione di obblighi di controllo sui contenuti anche in capo agli utenti.
Ipotesi di registrazione
Più difficile, invece, appare l’obbligo di registrare come testate telematiche ogni servizio che si utilizza per immettere contenuti in rete, anche perché per i servizi di microblogging e di social networking tale ipotesi sarebbe concretamente impossibile per difetto dei requisiti necessari alla registrazione. Il secondo aspetto controverso della disposizione in esame riguarda l’ultimo capoverso del terzo comma nella parte in cui si dispone che
Qualora insormontabili problemi tecnici rendano impossibile l’applicazione di determinate misure, in particolare relativamente al diritto di replica, il Comitato per la tutela della legalità nella rete Internet (di cui al successivo articolo 3 della presente legge) potrà essere incaricato dalla Magistratura competente di valutare caso per caso quali misure possano essere attuate per dare comunque attuazione a quanto previsto dalle norme vigenti.
Non è chiaro a quali insormontabili problemi tecnici e a quali misure ci si stia riferendo, ma il ruolo dell’istituendo Comitato pare sovrapporsi ai poteri del giudice il quale, perito fra i periti, ha sempre facoltà di nominare consulenti tecnici che lo aiutino a valutare la situazione e sempre nel rispetto dei poteri che gli sono conferiti dalle norme vigenti. È, inoltre, lecito chiedersi come saranno scelti tali periti e con quali competenze e quanto numeroso sarà il personale di cui il Comitato dovrà disporre per fare fronte a tutte le esigenze della magistratura, con quale tempistica potrà provvedere a dare una risposta, se e come questa risposta sarà eventualmente impugnabile dalle parti, quali vincoli verranno posti al magistrato dal parere del Comitato.
Moltissimi sono, dunque, i quesiti lasciati aperti dal disegno di legge: non ci rimane che attendere una versione ufficiale per poterli valutare in modo più approfondito.