L’Autorità per le Garanzie nelle Comunicazioni (“AGCOM” o “Autorità”), con Delibera n. 333/25/CONS (“Delibera”) ha sanzionato uno dei colossi statunitensi di servizi Internet, Cloudflare Inc. (“Cloudflare”), con una sanzione di oltre 14 milioni di euro per non aver bloccato i siti segnalati attraverso il Piracy Shield, lo “scudo” nazionale antipirateria. Cloudflare ha contestato la sanzione e ha annunciato di voler presentare ricorso, ritenendo che la normativa sul Piracy Shield “sia fondamentalmente imperfetta, tecnicamente pericolosa e rischia di causare un’interruzione generalizzata dell’economia digitale in Italia”[1]. Ma cosa prevede il Piracy Shield? E qual è l’oggetto della Delibera? Il Piracy Shield Il Piracy Shield è una piattaforma tecnologica concepita per individuare e bloccare in tempi rapidissimi siti, indirizzi IP e domini che diffondono illecitamente eventi sportivi, film, serie TV, musica e altri contenuti protetti dal diritto d’autore. Lo strumento trova il proprio fondamento nella L. 93/2023 (“Legge Antipirateria”), adottata in risposta al dilagare delle IPTV illegali e dello streaming pirata, inizialmente con riferimento alle competizioni calcistiche di Serie A e successivamente estesa all’interno compartimento dell’intrattenimento digitale. Il meccanismo è basato sulla cooperazione tra i titolari dei diritti (come DAZN, Sky, Mediaset) e gli altri Internet Service Provider (“ISP”) operanti in Italia. A fronte di una segnalazione, la piattaforma notifica in tempo reale agli operatori l’elenco degli indirizzi segnalati, imponendo, entro 30 minuti, l’inibizione dell’accesso ovvero l’adozione di misure tecniche equivalenti volte a impedire la fruizione dei contenuti da parte degli utenti finali. L’accesso ai domini inibiti comporta la visualizzazione di una schermata informativa sull’illiceità del servizio. I destinatari degli ordini dell’Autorità non sono soltanto gli ISP in senso stretto, ma una platea molto più ampia di soggetti: prestatori di servizi di mere conduit (es., punti di interscambio internet), di hosting (es., cloud, piattaforme online), di caching (es., reverse proxy), fornitori di VPN, di DNS pubblicamente disponibili[2] e gestori di motori di ricerca. In altri termini, chiunque incida, anche indirettamente, sull’accessibilità dei contenuti. Per ridurre il rischio di blocchi indiscriminati, il Piracy Shield include una whitelist di oltre 11.000 domini. L’esperienza applicativa ha tuttavia già mostrato criticità, come dimostrato i casi di “overblocking”, tra cui il blocco temporaneo di Google Drive di ottobre 2024. È in questo contesto che si innesta il caso Cloudflare. Il provvedimento contro Cloudflare La sanzione trae origine dalla mancata ottemperanza alla Delibera n. 49/25/CONS del 18 febbraio 2025, con cui l’AGCOM aveva ordinato a Cloudflare di disabilitare l’accesso a una serie di contenuti pirata segnalati tramite il Piracy Shield. Secondo l’Autorità, una percentuale significativa dei siti coinvolti si avvaleva dei servizi di Cloudflare per la diffusione illecita di opere protette. AGCOM ha ritenuto Cloudflare qualificabile come prestatore di servizi rilevanti ai sensi della Legge Antipirateria, in quanto fornitore di servizi di mere conduit, VPN e DNS pubblicamente disponibili[3]. La società statunitense, com’è noto, offre servizi infrastrutturali quali content delivery network, risoluzione DNS e sicurezza informatica, operando come intermediario tecnico tra utenti e siti web. Pur non fornendo contenuti, Cloudflare incide in modo significativo sulla loro distribuzione e accessibilità. Richiamando precedenti giurisprudenziali sfavorevoli alla società[4], l’Autorità ha sostenuto che l’attività di reverse proxy[5] può integrare un concorso nella realizzazione degli illeciti commessi da terzi. Ciò in quanto tali servizi consentirebbero di occultare l’identità dell’hosting provider effettivo, rendendo più complessa l’individuazione della fonte dell’illecito e permettendo, in concreto, di aggirare i blocchi disposti dall’Autorità. La posizione di Cloudflare Nel corso dell’istruttoria e successivamente all’adozione della Delibera, Cloudflare ha contestato radicalmente questa impostazione. La società ha ribadito che i propri servizi non danno origine alla trasmissione dei contenuti, non consentono di conoscerli, controllarli o modificarli e non incidono sulla loro disponibilità online, che resta legata ai web server di terzi. La sospensione dei servizi Cloudflare, secondo questa prospettiva, non eliminerebbe né renderebbe inaccessibili i siti, che continuerebbero a essere fruibili indipendentemente dall’infrastruttura fornita. Da ciò discenderebbe, a parere della società, l’impossibilità tecnica di dare esecuzione agli ordini dell’Autorità. Su queste basi Cloudflare ha annunciato il ricorso contro la Delibera, contestando anche l’impianto normativo della Legge Antipirateria, ritenuta idonea a generare effetti sistemici negativi sull’economia digitale. Considerazioni conclusive Il cuore della controversia non riguarda tanto la responsabilità di Cloudflare per la messa a disposizione di contenuti illeciti, quanto il mancato rispetto di ordini amministrativi volti a disabilitare l’accesso a tali contenuti. È su questo piano che l’AGCOM colloca la violazione e giustifica la sanzione. Tuttavia, nelle proprie difese Cloudflare sembra richiamare, seppur indirettamente, la tradizionale distinzione tra hosting provider “attivo” e “passivo”[6], da cui discende, in determinate condizioni, l’esenzione di responsabilità. Oggi il riferimento normativo da prendere in considerazione è rappresentato dall’Articolo 6 del Digital Services Act (Regolamento UE 2065/2022)[7], che subordina tale esenzione non solo all’assenza di conoscenza effettiva dell’illecito, ma anche all’adozione tempestiva di misure una volta ricevuta una segnalazione qualificata (c.d. meccanismo di notice and action). Come sottolineato dall’Autorità[8], il procedimento sanzionatorio non mira ad accertare una responsabilità contenutistica in capo a Cloudflare, bensì l’inottemperanza a ordini specifici e reiterati. Da questa prospettiva, anche l’eventuale qualificazione della società come hosting provider “passivo” potrebbe risultare irrilevante: l’AGCOM aveva già portato a conoscenza di Cloudflare la presenza di contenuti illeciti, senza che fossero adottate misure ritenute adeguate. Alla luce di quanto precede, la decisione dell’AGCOM suggerisce la necessità di rafforzare i presidi interni di compliance regolatoria, in particolare nei settori ad alta esposizione come quello della tutela del diritto d’autore, di valutare attentamente, ex ante, il rischio di qualificazione come intermediari rilevanti alla luce dei servizi effettivamente offerti, nonché di predisporre procedure tecniche e legali per la gestione degli ordini di blocco delle autorità, anche quando se ne intenda contestare la legittimità. Il caso Cloudflare mostra, infatti, come la scelta di non conformarsi integralmente agli ordini, confidando in una successiva tutela giurisdizionale, possa comportare conseguenze sanzionatorie immediate e di notevole entità. [1] https://www.key4biz.it/piracy-shield-cloudflare-fara-ricorso-il-ceo-prince-in-agcom-non-capiscono-come-funziona-internet/563411/; https://www.linkedin.com/posts/gianfranco-quaglia-a3769712b_matthew-prince-eastdakota-on-x-activity-7415465713743839232-OOFK?utm_source=share&utm_medium=member_desktop&rcm=ACoAAEAIGOYBcrV8g6FCXQ5T5ESxiNBcDi_VErY. [2] Una VPN, acronimo di Virtual Private Network (Rete Privata Virtuale), è un servizio che protegge la connessione a internet, creando un tunnel virtuale tra un dispositivo (computer, smartphone, ecc.) e il web usando la crittografia. Nasconde l’indirizzo IP di origine e permette di superare i blocchi geografici assegnando un nuovo indirizzo IP attestato su un server estero. Un DNS pubblicamente disponibile (DNS pubblico) è un sistema gratuito che traduce i nomi a dominio in indirizzi IP. Tale servizio può essere offerto da aziende (come Google, Cloudflare o OpenDNS), enti e fondazioni. Un DNS pubblico, se offerto da soggetti che non ottemperano ai blocchi ordinati dall’Autorità permette di aggirarli e raggiungere il dominio oscurato rendendo meno efficaci i blocchi disposti dall’Autorità ed eseguiti da tutti gli altri soggetti destinatari degli ordini. [3] Il Digital Services Act (Regolamento UE 2065/2022) tra gli esempi di servizi di mere conduit – ossia di servizi consistenti nella trasmissione, su una rete di comunicazione, di informazioni fornite da un destinatario del servizio, o nella fornitura dell’accesso a una rete di comunicazione – prevede espressamente anche i risolutori e servizi di DNS. [4] Tribunale di Milano; Tribunale di Roma, R.G. 14261/2024. [5] Si tratta di un server che si posiziona di fronte a uno o più server applicativi e riceve le richieste dei client (ad es. browser, app, programma desktop) al loro posto. Il reverse proxy inoltra le richieste ai server interni appropriati e restituisce le risposte ai client, agendo come intermediario e mascherando l’infrastruttura backend. [6] Si parla di hosting provider “attivo” quando l’attività prestata non è una mera fornitura del servizio di memorizzazione in modo tecnico e automatico, ma ha ad oggetto anche i contenuti della prestazione resa e di hosting provider “passivo” quando svolge un’attività di prestazione di servizi di ordine meramente tecnico e automatico, non potendo conoscere né controllare le informazioni trasmesse o memorizzate dalle persone alle quali forniscono i servizi. In tal senso, la giurisprudenza nazionale e europea, aveva enucleato alcuni indici di interferenza (meramente esemplificativi e non necessariamente tutti compresenti), ovvero elementi idonei a individuare la figura dell’hosting provider attivo comprendente attività quali di filtro, selezione, indicizzazione, organizzazione, catalogazione, aggregazione, valutazione, uso, modifica, estrazione o promozione dei contenuti pubblicati dagli utenti, operante mediante una gestione imprenditoriale del servizio, nonché l’adozione di una tecnica di valutazione comportamentale degli utenti per aumentarne la fidelizzazione. Tali indici sono stati accolti anche dalla giurisprudenza nazionale, la quale ha affermato che in tutti i casi in cui non sussista un’attività di ordine meramente tecnico, automatico e passivo, le limitazioni di responsabilità non sono applicabili (CGUE 236/2010, Google France e Google, cause da C-236/08 a C-238/08; CGUE, 12 luglio 2011, L’Oréal e a., C-324/09; CGUE, 7 agosto 2018, Cooperative Vereniging SNBREACT U.A. c. Deepak Mehta, C-521/17; CGUE, 22 giugno 2021, YouTube, C-682/18 e C-683/18. Per la giurisprudenza nazionale si veda, Cass. Civ., Sez. I, 7708/2009, Cass. Civ., Sez. I, 39763/2021; CdS, Sez. VI, 10510/2023). [6] Prima dell’entrata in vigore del DSA, la disciplina di riferimento era rappresentata invece dagli articoli 16 e 17 del D.Lgs. 70/2003 e ss.mm.ii. (c.d. Decreto e-commerce), ora abrogati. [7] Prima dell’entrata in vigore del DSA, la disciplina di riferimento era rappresentata invece dagli articoli 16 e 17 del D.Lgs. 70/2003 e ss.mm.ii. (c.d. Decreto e-commerce), ora abrogati. [8] Nella propria Delibera, l’AGCOM chiarisce infatti che l’obiettivo del procedimento sanzionatorio non riguarda, la sussistenza di responsabilità in capo a Cloudflare per l’aver messo a disposizione contenuti in violazione del diritto d’autore, ma nel non aver ottemperato alle richieste delle Autorità di disabilitare l’acceso a contenuti illegali e per non aver adottato le misure tecnologiche e organizzative necessarie per rendere non fruibili da parte degli utilizzatori finali i contenuti diffusi illegalmente.
