Pirateria digitale e responsabilità dei provider, il caso CloudFlare: l'orientamento dei tribunali - Cyber Security 360

La situazione

Pirateria digitale e responsabilità dei provider, il caso CloudFlare: l’orientamento dei tribunali

Un’ordinanza e una pronuncia del Tribunale di Milano sul caso CloudFlare permettono di approfondire come la tutela del diritto della proprietà intellettuale sia più importante del valore attribuito alle definizioni tecniche di provider fornite dalla normativa UE: una situazione che porta a valutare le responsabilità degli ISP nell’ambito della pirateria digitale

05 Mar 2021
L
Niccolò Lasorsa Borgomaneri

Studio Legale Marsaglia – PLG MILAN

S
Marco Signorelli

Director of Strategy & Operations di DCP

Nell’ambito della pirateria audio-visiva la giurisprudenza si sta muovendo nella direzione di non dar valore alle definizioni di Internet service provider contenute nella Direttiva europea 2000/31 (recepita con il D.Lgs 70/03 in Italia) rispetto alla tutela del più importante diritto della proprietà intellettuale.

Non importa, quindi, se un soggetto viene qualificato come hosting provider, caching o come CDN per far sì che goda di una determinata protezione, ma gli organi giudicanti dovranno analizzare in concreto il loro ruolo negli atti illeciti.

A sottolineare il concetto un’ordinanza del tribunale di Milano del novembre 2020 e una pronuncia dello stesso tribunale sul reclamo di un’ordinanza di giugno 2020, entrambe sul “caso CloudFlare”, che aiutano a far chiarezza sul tema.

Pirateria e responsabilità dei provider, l’ordinanza del Tribunale di Milano

Con l’ordinanza del 19 novembre 2020, il Tribunale di Milano (Procedimento R.G. n. 36960/20) ha dovuto decidere sul reclamo di CloudFlare Inc. in relazione all’ordinanza cautelare (5 Ottobre,R.G. n. 42163/20), richiesta da Sky e dalla Lega Nazionale Calcio, che le imponeva di interrompere immediatamente la fornitura di qualsivoglia servizio della Società dell’informazione erogato a favore di IPTV The Best, famoso servizio IPTV che consente di vedere eventi sportivi “riservati” senza pagare alcunché.

Prescindendo dall’analisi delle doglianze meramente tecniche (CloudFlare ha eccepito anche una violazione del contradditorio, ultrapetizione e penale manifestamente eccessiva) ciò che interessa in questa sede sono le contestazioni dei seguenti punti:

  • “Cloudflare non offre servizi di hosting, come erroneamente presupposto dal provvedimento impugnato, ed i servizi dalla stessa erogati non concorrono alla realizzazione delle condotte illecite denunciate”;
  • “il comando cautelare è generico ed indeterminato, sia quanto ai servizi resi da Cloudlfare sia quanto alla illimitata estensione dell’inibitoria a condotte future, per tale via imponendo a Cloudflare un inesigibile obbligo di monitoraggio costante della rete”.

Per quanto riguarda il primo punto, il Tribunale ha respinto il reclamo di CloudFlare motivando che “il fatto allegato a fondamento della domanda è costituito dallo svolgimento da parte di Cloudflare di servizi che vengono utilizzati per la realizzazione dell’illecito.

Detta domanda ricade senza dubbio nell’ambito della protezione invocata dalle richiedenti e accordata dal sistema delineato dagli artt. 156 e 163 L.A.: merita di essere rammentato al riguardo che il dettato normativo è stato modificato dal D.lgs. 70/2003 in attuazione dell’art. 8 par. 3 della Direttiva 29/2001, al fine di consentire al soggetto leso di ottenere tutela, sia in via di urgenza sia di pieno accertamento, nei confronti di tutti i soggetti che contribuiscano causalmente alla violazione del diritto altrui, ancorché la frazione di condotta singolarmente attuata non costituisca in sé una violazione imputabile del diritto d’autore”.

Giurisprudenza, pirateria e qualificazione tecnica dei provider

Questa motivazione prosegue nel filone delle decisioni che prescindono dalla qualificazione tecnica dei soggetti coinvolti in atti di pirateria digitale statuendo espressamente che, anche una diversa qualificazione che possa venire fatta dai soggetti lesi non determina né l’inammissibilità delle richieste né il mutamento della domanda.

Questo in quanto una qualificazione specifica in relazione alle categorie previste dalla Direttiva 2000/31 e dal D.lgs. 70/2013 (mere conduit, caching, hosting) non è necessaria dato che in ogni caso viene previsto che il prestatore del servizio possa essere obbligato a porre fine alle violazioni commesse.

Ed infatti leggiamo: “Cloudflare svolge attività di supporto e ottimizzazione dei siti vetrina, che ne consentono la visibilità e li pubblicizzano.

La messa a disposizione di tali servizi contribuisce dunque causalmente alla violazione come concretamente essa si estrinseca, non occorrendo affatto che la cessazione dei servizi erogati dalla reclamante determini la scomparsa dei siti pirata”.

Nel caso di specie, il contributo causale alle violazioni dei diritti viene individuato nel ruolo dei siti web.

Queste vetrine sono utilizzate per la promozione e vendita di sottoscrizioni al servizio IPTV illecito. Spesso le vetrine vengono arricchite con l’indicazione del bouquet di canali e dei marchi delle emittenti televisive. Stiamo parlando dello strumento funzionale all’attività commerciale del pirata e necessario all’utente finale per gestire la sottoscrizione all’accesso dei contenuti in violazione del copyright.

L’indeterminatezza dell’ordine cautelare

Per quanto riguarda invece il secondo punto dei reclami di CloudFlare (ossia l’indeterminatezza dell’ordine cautelare) il Tribunale afferma come il decreto cautelare impugnato sia riferito ad ipotesi ben specifiche ed individuate nel decreto stesso e confermate con l’ordinanza non imponendo alcuna “sorveglianza attiva” a mente di quanto previsto dall’art. 15 Dir. 2000/31 e dall’art. 17 D.lgs. 70/2003: “L’ordine dovrà dunque essere ottemperato da CloudFlare, in esecuzione della misura cautelare reclamata, previa specifica segnalazione da parte di LNPA o di Sky delle modifiche della condotta lesiva che richiedano nuovi adempimenti da parte del soggetto passivo del comando inibitorio”.

Anche qui bisogna evidenziare come i Tribunali italiani con l’aiuto dei consulenti tecnici stiano evolvendo il concetto di ordine inibitorio da statico a dinamico.

La pronuncia del Tribunale di Milano

Per continuare la disamina giurisprudenziale dell’evoluzione degli ordini inibitori sul tema informatico che da un lato stanno facendo prevalere la disamina dei comportamenti “in concreto” dei soggetti coinvolti e dall’altro stanno introducendo il concetto di inibizione dinamica e quindi modulabile anche in seguito alla sua emanazione segnaliamo la pronuncia del Tribunale di Milano nel giudizio R.G. n. 24419/20 (reclamo dell’ordinanza del 22 giugno 2020, R.G. n. 23892/20) che vede nuovamente coinvolti (oltre a numerosi Internet Provider) CloudFlare contro Sky e la Lega Nazionale Calcio.

In questo procedimento non è solo CloudFlare a chiedere la riforma dell’ordinanza reclamata ma anche Sky e la Lega.

Per comodità di lettura eviteremo di commentare le doglianze di Sky e Lega, peraltro rigettate integralmente dal Tribunale, per analizzare invece le difese di CloudFlare.

In questo procedimento CloudFlare basa il suo reclamo su una diversa chiave di lettura che suggerisce al Tribunale, ossia che sia erroneo considerare CloudFlare un hosting provider, “essendo CloudFlare attiva nella fornitura di servizi di protezione e sicurezza di rete, di prevenzione di attacchi informatici e minacce DDoS, tramite servizi di “reverse proxy” dato che inoltre “non svolge attività di archiviazione permanente, non essendo tale la funzione “always online”, che consiste nella conservazione di una copia cache delle prime dieci collegate ipertestualmente alla pagina HTML principale”.

Prescindendo da qualsiasi analisi tecnica, è evidente come CloudFlare cerchi in questo caso di usufruire di una protezione diversa rispetto a quella concessa dalla normativa specifica (visto gli esiti fino ad oggi).

  1. Non sia in ogni caso stata considerata la differenza tra servizi di hosting e quelli di caching;
  2. La “non proporzionalità ed efficacia del comando cautelare, in quanto l’attività di CLOUDFLARE attiene a servizi di sicurezza informatica e la cessazione della stessa non avrebbe alcun reale beneficio per la ricorrente e l’intervenuta in ordine alla cessazione dell’attività illecita”. Tema sul quale abbiamo visto come la precedente pronuncia abbia già chiarito la posizione del Tribunale di Milano;
  3. Nuovamente la genericità del provvedimento cautelare che sarebbe un comando cautelare “in bianco” potendosi estendere a tutti i nomi a dominio che effettuano ritrasmissioni illecite.

Le motivazioni che il Tribunale utilizza nella sua ordinanza non fanno altro che confermare la teoria che il comportamento sanzionabile non deve necessariamente essere indispensabile per la realizzazione dell’evento ma quanto che “la partecipazione di CloudFlare ad attività che consentono la visibilità dei siti vetrina – anche tramite l’archiviazione di dati di tali siti – e partecipano così al flusso dei dati in violazione dei diritti di Lega Nazionale professionisti Serie A e di Sky srl, ne comporta la legittimazione quale soggetto passivo del comando cautelare, non rilevando la circostanza che, in assenza dei servizi di CloudFlare, sarebbe comunque realizzabile un accesso illecito ai contenuti protetti”.

Ed infatti ciò che rileva per la prova della sussistenza del rapporto di causalità tra la condotta e l’evento che deve essere fatta è quella del concreto verificarsi dell’evento “indipendentemente da ogni diversa astratta possibilità di trasmissione dei flussi di dati”.

Il Collegio quindi statuisce quanto segue sul reclamo di CloudFlare: “L’ordinanza reclamata deve essere quindi modificata, in relazione all’ordine inibitorio rivolto a CloudFlare Inc., nel senso di ordinare a quest’ultima, con la previsione di penale nella misura indicata nell’ordinanza reclamata, di cessare immediatamente nella gestione e fornitura dei servizi, comunque qualificati o qualificabili, erogati per l’accesso ai servizi illeciti oggetto di inibitoria come descritti nell’ordinanza reclamata, senza che questo comporti modificazione dell’oggetto o dei fatti costitutivi della domanda cautelare”.

Conclusione

Concludendo quindi, ciò che emerge chiaramente da queste due ultime pronunzie è sicuramente un allineamento dei Tribunali (quantomeno quello milanese) su alcuni concetti fondamentali:

  • la condotta dei Provider è da analizzare in concreto senza alcuna preconcettuale qualificazione a mente della normativa in materia;
  • le ipotetiche condotte illegali sono da considerare in relazione all’effetto concreto che hanno causato nel loro complesso non essendo possibile estrinsecare le singole condotte;
  • gli ordini inibitori possono essere “in bianco” o “dinamici” contenendo previsioni che possono essere applicate anche ad ipotesi future di violazioni basate sugli stessi illeciti da parte degli stessi attori.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5