Regime di responsabilità dell’hosting provider: nuova pronuncia della Corte di Cassazione

La Corte di Cassazione (la “Corte”), con l’ordinanza n. 39763 del 13 Dicembre 2021, si è nuovamente pronunciata sul regime di responsabilità dell’hosting provider di fronte all’immissione di contenuti illeciti sul web da parte di terzi.

Il caso concreto

Nel caso di specie, una società Italiana (la “Società Attrice”), licenziataria di concessioni televisive e dei relativi diritti di sfruttamento economico dei format televisivi, conveniva in giudizio, dinanzi al Tribunale di Roma, una società statunitense, fornitrice di servizi di hosting e titolare di una piattaforma online (la “Società Convenuta) dove era stata rilevata la presenza, non autorizzata, di contenuti tratti da programmi televisivi appartenenti alla Società Attrice.

La Società Convenuta si difendeva in giudizio sostenendo la propria natura di “hosting provider” di carattere passivo, in quanto la stessa svolgeva un ruolo di natura meramente tecnica senza alcuna attività di elaborazione idonea a incidere concretamente sui contenuti memorizzati o trasmessi sul proprio portale digitale.

Tuttavia, sia nel giudizio di primo grado, sia in sede di appello, veniva ritenuto che la piattaforma della Società Convenuta fosse responsabile invece per attività di hosting “attivo”. Inoltre, veniva accertata la violazione da parte della Società Convenuta dei diritti d’autore della Società Attrice, in particolare si rinveniva una violazione degli articoli 78 ter e 79 della Legge n. 633/1941 (“Legge sul Diritto d’Autore”) con conseguente emissione di un’inibitoria e di una contestuale penale, condannando, altresì, la Società Convenuta al risarcimento dei danni ivi quantificati.

La questione in oggetto arrivava, dunque, dinanzi alla Corte.

Premessa: le differenti tipologie di provider

Per meglio comprendere il tema della responsabilità dell’hosting provider, discussa nel proseguo, è utile, primariamente, inquadrare le diverse tipologie di internet service provider (“ISP”) e comprenderne le relative funzionalità.

L’ISP è il soggetto che presta un servizio della società dell’informazione, generalmente dietro retribuzione, svolto online. Per offrire connessione, un ISP dispone di una serie di punti (cd. “point of presence”), formati da un complesso di apparecchiature, come router e server, che permettono agli utenti di connettersi a Internet. Oltre all’accesso a internet, un ISP può, altresì, fornire ulteriori tipologie di servizi.

Per i fini che qui rilevano, la normativa di riferimento in tema di ISP si rinviene, in particolare, nel D.lgs. 70/2003 (il “Decreto”) che recepisce a livello nazionale la Direttiva (UE) 2000/30/CE (“Direttiva e-Commerce”).

Ricorrendo alla classificazione delle attività svolte da un ISP operata dagli articoli 14, 15 e 16 del Decreto, è possibile distinguere (secondo l’ordine di cui ai menzionati articoli):

• l’attività di semplice trasporto o trasmissione, ovvero l’attività di fornitura di accesso alla rete di comunicazione (cd. “mere conduit”) quale, a titolo esemplificativo: l’e-mail provider o la società di telecomunicazioni. Il provider, in tale ipotesi, trasmette informazioni fornite da un destinatario del servizio o fornisce accesso ad una rete di comunicazione;
• l’attività di memorizzazione temporanea (cd. “caching provider”) quale, a titolo esemplificativo: il motore di ricerca “Google”. In questo caso, il provider trasmette informazioni fornite da un destinatario del servizio, effettuando una memorizzazione automatica, intermedia e temporanea, di tali informazioni, al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a loro richiesta;
• l’attività di memorizzazione di informazioni fornite da un destinatario del servizio (cd. “hosting provider”) quali, ad esempio: “eBay” e "Facebook”. In tale ipotesi, l’ISP memorizza informazioni fornite da un destinatario del servizio a richiesta dello stesso.

L’hosting provider viene, inoltre, differenziato tra hosting provider attivo e hosting provider passivo.Tale differenziazione, elaborata dalla giurisprudenza e come di seguito meglio descritta, assume rilevanza al fine di determinare l’applicazione o meno del regime di responsabilità previsto dagli articoli 16 e 17 del Decreto.

L’inquadramento normativo della responsabilità dell’hosting provider (passivo) ai sensi degli articoli 16 e 17 del Decreto

L’articolo 16 del Decreto, norma dedicata specificamente alla responsabilità nelle attività di hosting, prevede che l’hosting provider non può essere considerato responsabile dei contenuti memorizzati a richiesta di un destinatario del servizio a condizione che, il prestatore:

• “non sia effettivamente a conoscenza del fatto che l’attività o l'informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell'informazione;
• non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso”.

In aggiunta a quanto previsto dall’articolo 16 del Decreto, l’articolo 17 dello stesso, rubricato “Assenza dell’obbligo generale di sorveglianza”, afferma un principio comune a tutte le tipologie di ISP e stabilisce l’insussistenza di un obbligo generale di sorveglianza e di ricerca di fatti e circostanze illecite (fatti salvi gli obblighi previsti dal successivo comma 2 dell’articolo 17), in considerazione della effettiva impossibilità per l’hosting provider di poter effettuare un controllo, sia preventivo che successivo, su tutte le informazioni memorizzate e trasmesse.

Ne deriva che, come altresì precisato in precedenza dalla Corte (Cass. Civ., sent. N. 7708/2019), la responsabilità dell’hosting provider sussiste in capo al prestatore “che non abbia provveduto all’immediata rimozione dei contenuti illeciti, nonché se abbia contenuto a pubblicarli, pur quando ricorrano congiuntamente le seguenti condizioni:

1. sia a conoscenza legale dell’illecito perpetrato dal destinatario del servizio, per averne avuto notizia da titolare de diritto leso oppure aliunde;
2. l’illiceità dell’altrui condotta sia ragionevolmente constatabile, onde egli sia in colpa grave per non averla positivamente riscontrata, alla stregua del grado di diligenza che è ragionevole attendersi da un operatore professionale della rete in un determinato momento storico;
3. abbia la possibilità di attivarsi utilmente, in quanto reso edotto in modo sufficientemente specifico dei contenuti illecitamente immessi da rimuovere”.

Inoltre, la responsabilità dell’hosting provider sorge sempre se, avendo avuto conoscenza dell’illiceità per un terzo del contenuto di un servizio al quale gestisce l’accesso, lo stesso non informi celermente l'autorità competente e qualora non risponda alle richieste dell'autorità.

Alla luce di quanto sopra, la responsabilità dell’hosting provider, rientrerebbe, dunque, in un’ipotesi di responsabilità per fatto proprio di carattere omissivo, derivante da un fatto illecito altrui di cui non si impedisca la realizzazione qualora venga accertata una concreta conoscenza dell’attività illecita.

Natura attiva dell’hosting provider

La giurisprudenza, ormai costante, differenzia le ipotesi di attività di hosting passivo e attività di hosting attivo e, pertanto, il relativo regime di responsabilità applicabile.

In particolare, l’”hosting provider “attivo” viene individuato come “quel prestatore dei servizi della società dell'informazione che pone in essere una condotta attiva, concorrendo con altri nella commissione dell'illecito”.

Ai fini dell’individuazione della condotta attiva, attraverso un’elencazione non tassativa, la giurisprudenza considera i seguenti elementi idonei a delineare la figura dell’hosting provider attivo:

• l’attività di filtro, selezione, indicizzazione, organizzazione, valutazione, uso, modifica, estrazione o promozione dei contenuti, operate mediante una gestione imprenditoriale del servizio;
• l'adozione di una tecnica di valutazione comportamentale degli utenti (per aumentarne la fidelizzazione), dalla quale si può desumere l’intento di implementare in modo attivo l’offerta dei contenuti da parte degli utenti.

In presenza dei suddetti “indici di interferenza”, si ritiene che i servizi proposti da un hosting provider si estendano oltre la semplice predisposizione di un processo tecnico di caricamento delle informazioni all’interno di una piattaforma digitale, non rimanendo neutri rispetto alla selezione, all’organizzazione dei contenuti e allo sfruttamento economico degli stessi. Di conseguenza, per tale ragione, si ritiene che non possa essere invocata la clausola di limitazione della responsabilità prevista dagli articoli 16 e 17 del Decreto, e pertanto, nei confronti dell’hosting provider attivo, trovino applicazione le regole generali sulla responsabilità civile.

La decisione della Corte nel caso concreto

Tornando al caso di specie, la Corte, dunque, ha affermato che i fatti oggetto di accertamento giustificassero l’inquadramento dell’attività posta in essere dalla Società Convenuta nell’alveo dell’hosting provider attivo, in particolare dal momento che i contenuti audio e video diffusi venivano selezionati dalla stessa piattaforma e collegati alla pubblicità in base ai dati di maggiore o minore versione.

Pertanto, l’attività svolta dalla Società Convenuta incideva in maniera rilevante nella gestione dei contenuti e presupponeva la loro conoscenza e valutazione. Tale attività è parsa, dunque, consapevolmente finalizzata a cooperare con il terzo nella commissione dell’illecito.

Inoltre la Corte, dalle risultanze emerse, ha affermato l’esistenza di una “gestione imprenditoriale del servizio”, attraverso l’utilizzo di sistemi di data mining e di profilazione dell’utenza, contribuendo, di fatto, alla “creazione e la distribuzione dei contenuti” da parte della Società Convenuta, in quanto hosting provider.

La Corte ha, altresì, ribadito la sussistenza della responsabilità della Società Convenuta che, sebbene informata dalla Società Attrice circa la sussistenza di contenuti illeciti sulla sua piattaforma, (e quindi non potendosi ritenere applicabile la limitazione di responsabilità di cui all’articolo 16 del Decreto) non aveva provveduto all’immediata rimozione di tali contenuti.

L’ordinanza in esame conferma quindi il costante indirizzo giurisprudenziale in tema di responsabilità dell’hosting provider attivo, fermo restando che spetta sempre al giudice di merito effettuare un’attenta verifica, caso per caso, circa la sussistenza delle condizioni necessarie ai fini dell’accertamento della responsabilità dell’hosting provider.

In aggiunta, la Corte, pronunciandosi in merito alla liquidazione dei danni – contestata dalla Società Convenuta in sede di ricorso in quanto sarebbe mancata la prova del danno patito dalla Società Attrice in violazione dell’articolo 158, comma 2, della Legge sul Diritto d’Autore – enuncia un nuovo principio di diritto in tema di diritto d’autore, in base al quale la violazione di un diritto di esclusiva “costituisce danno in re ipsa, senza che incomba al danneggiato altra prova del lucro cessante che quella della sua estensione, a meno che l’autore della violazione fornisca la dimostrazione dell'insussistenza, nel caso concreto, di danni risarcibili, e tale pregiudizio è suscettibile di liquidazione in via forfettaria con il criterio del prezzo del consenso di cui all’art.158, comma secondo, terzo periodo, della [Legge sul Diritto d’Autore], che costituisce la soglia minima di ristoro”.