Categoria: Art. 16 d. lgs. 70-2003 Responsabilita’ nell’attivita’ di memorizzazione di informazioni – hosting

Doveri di data protection del titolare di piattaforma di marketplace on line, doveri che non vengono inibili dal safe harbour ex dir. 200/31

Interessanti questioni decise dalla CG 02.12.2025, C-492/23, X c. Russiamedia Digital+1,  concernenti il mancato blocco di un annuncio lesivo della privacy comparso sulla piattaforma www.public24.ro della Russmedia Digital.

Le quattro questioni sollevate dal giudice di appello rumeno:

«1)      Se gli articoli da 12 a 14 della [direttiva 2000/31] si applichino anche a un prestatore di servizi [della società dell’]informazione del tipo memorizzazione-hosting che mette a disposizione degli utenti un sito in cui possono essere pubblicati annunci gratuiti o a pagamento, il quale sostiene che il suo ruolo nella pubblicazione degli annunci degli utenti è puramente tecnico (messa a disposizione della piattaforma), ma che, attraverso i termini e le condizioni generali di utilizzo del sito, indica di non rivendicare un diritto di proprietà sui contenuti forniti o pubblicati, caricati o trasmessi, conservando però il diritto di utilizzare i contenuti, incluso copiarli, distribuirli, trasmetterli, pubblicarli, riprodurli, modificarli, tradurli, cederli a partner e rimuoverli in qualunque momento, anche senza aver bisogno di un motivo in tal senso.

2)      Se, secondo l’interpretazione dell’articolo 2, paragrafo 4, dell’articolo 4, punti 7 e 11, dell’articolo 5, paragrafo 1, lettera f), dell’articolo 6, paragrafo 1, lettera a), degli articoli 7, 24 e 25 del [RGPD] e dell’articolo 15 della direttiva 2000/31, un siffatto prestatore di servizi [della società dell’] informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto a verificare prima della pubblicazione di un annuncio se vi sia identità tra la persona che pubblica l’annuncio e il proprietario dei dati personali a cui si riferisce l’annuncio.

3)      Se, secondo l’interpretazione dell’articolo 2, paragrafo 4, dell’articolo 4, punti 7 e 11, dell’articolo 5, paragrafo 1, lettera f), dell’articolo 6, paragrafo 1, lettera a), degli articoli 7, 24 e 25 del [RGPD] e dell’articolo 15 della direttiva 2000/31/CE, un siffatto prestatore di servizi [della società dell’]informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto a verificare previamente il contenuto degli annunci spediti da utenti, al fine di escludere quelli aventi un possibile carattere illecito o che possono pregiudicare la vita privata e familiare di una persona.

4)      Se, secondo l’interpretazione dell’articolo 5, paragrafo 1, lettere b) e f), degli articoli 24 e 25 del [RGPD] e dell’articolo 15 della direttiva 2000/31, un siffatto prestatore di servizi [della società dell’]informazione del tipo memorizzazione-hosting, che è titolare del trattamento dei dati personali, sia tenuto ad applicare misure di salvaguardia tali da impedire o limitare la riproduzione e la ridistribuzione del contenuto degli annunci pubblicati per il suo tramite».

Risposta alla seconda e terza questione :

“L’articolo 5, paragrafo 2, e gli articoli da 24 a 26 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

devono essere interpretati nel senso che:

il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto, prima di pubblicare gli annunci, e mediante misure tecniche e organizzative adeguate,

–        ad individuare gli annunci che contengono dati sensibili, a norma dell’articolo 9, paragrafo 1, di detto regolamento;

–        a verificare se l’utente inserzionista che si appresta a collocare un annuncio di questo tipo sia la persona i cui dati sensibili figurano in tale annuncio e, in caso contrario,

–        a rifiutare la pubblicazione di quest’ultimo, a meno che tale utente inserzionista possa dimostrare che la persona interessata ha prestato il proprio consenso esplicito affinché i dati in questione siano pubblicati in tale mercato online, ai sensi di detto articolo 9, paragrafo 2, lettera a), o che sia soddisfatta una delle altre eccezioni previste da tale articolo 9, paragrafo 2, lettere da b) a j)”.

Risultato quasi scontato, alla luce degli artt 24-26 GDPR.

Riposta alla quarta questione:

“l’articolo 32 del RGPD deve essere interpretato nel senso che il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, di tale regolamento, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, è tenuto a mettere in atto misure di sicurezza tecniche e organizzative adeguate al fine di impedire che annunci ivi pubblicati e contenenti dati sensibili, a norma dell’articolo 9, paragrafo 1, di detto regolamento, siano riprodotti e illecitamente pubblicati su altri siti Internet”.

Idem come sopra.

Risposta alla prima questione:

l’articolo 1, paragrafo 5, della direttiva 2000/31 e l’articolo 2, paragrafo 4, del RGPD devono essere interpretati nel senso che il gestore di un mercato online, in quanto titolare, ai sensi dell’articolo 4, punto 7, del RGPD, del trattamento dei dati personali contenuti in annunci pubblicati nel suo mercato online, non può invocare – a fronte di una violazione degli obblighi derivanti dall’articolo 5, paragrafo 2, e dagli articoli da 24 a 26 e 32 di tale regolamento – gli articoli da 12 a 15 di detta direttiva relativi alla responsabilità dei prestatori intermediari“.

Era la questione più interessante. Il suo esito però non soprende: il safe harbor UE ex dir. 2000/31 riguarda la responsabilità per fatti altrui (dell’utente), non del provider. Qui invece le censure di negligenza organizzativa riguardano la condotta di quest’ultimo.

Safe harbour a Meta per “difettosità” nella progettazione di Instagram (induzione al suo uso compulsivo) ? Non spetta, dice la Corte Suprema del Massachusetts

Il prof. Eric Goldman ci riferisce della sentenza Massachusetts Supreme Court COMMONWEALTH vs. META PLATFORMS, INC, 10 aprile 2026, SJC-13747, sulla pretese pratiche commerciali sleali di Meta consistenti nella manipolazione psicologica degli utenti IOnstagram

The Commonwealth alleges that Meta
Platforms, Inc., and Instagram, LLC (collectively, Meta),
engaged in unfair business practices by designing the Instagram
platform to induce compulsive use by children, engaged in
deceptive business practices by deliberately misleading the
public about the safety of the platform, and created a public
nuisance by engaging in these unfair and deceptive practices.
Meta moved to dismiss the complaint, arguing, inter alia, that
§ 230 of the Communications Decency Act of 1996 (CDA), 47 U.S.C.
§ 230 (§ 230), barred the claims.

Beh, dice la SC, il safe harbour ex § 230 of the Communications Decency Act of 1996 (CDA), 47 U.S.C. (“(c) (1) Treatment of publisher or speaker – No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider“) non si applica : infatti qui la condotta censurata appartiene solo a Meta, mentre la norma richiede che si tratti di informazione illecita proveniente da  terzi, non dall’editore.

In particolare:

c. Unfair business practices (count I). The unfair
business practices claim does not seek to hold Meta liable based
on the content of the information Meta publishes and as such
does not meet the content element. The challenged design
features (e.g., infinite scroll, autoplay, IVR, and ephemeral
content) concern how, whether, and for how long information is
published, but the published information itself is not the
source of the harm alleged. Instead, the claim alleges that the
features themselves induce compulsive use independent of the
content provided by third-party users.
Meta contends that the unfair business practices claim
treats it as a publisher of third-party information because, in
the absence of third-party content, the design features could
not facilitate addiction in young users. But the fact that the
features require some content to function is not controlling;
instead, as discussed supra, to satisfy the content element, we
look to whether the claim seeks to hold Meta liable for harm
stemming from third-party information that it published. Here,
the unfair business practices claim does not; the Commonwealth
alleges that the features themselves prolong users’ time on the
platform, not that any information contained in third-party
posts does so. In this sense, the claim is indifferent as to
the content published.29 Consequently, the unfair business
practices claim in count I does not treat Meta as a publisher of
information, and § 230(c)(1) immunity does not apply.   (…)

Contrary to Meta’s argument, the fact that a claim concerns
publishing activities, including the use of algorithms in
connection with publishing activities, is not enough to bring
the claim within the immunity provided by § 230(c)(1).

La risposta è esatta, anche se, tutto sommato, al limite dell’ovvio.

Uguale sarebbe stata, applicando il nostro Digital Services Act reg. UE 2022/2065  (art. 6 Memorizzazione di informazioni – 1. Nella prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore del servizio non è responsabile delle informazioni memorizzate su richiesta di un destinatario del servizio, a condizione che detto prestatore: (…))

Inibitoria contro Cloudfare per coviolazione del diritto di autore

Interessante ordinanza cautelare (contumaciale) di Trib. Roma Sez. spec. in materia di imprese, Ord., 03/06/2024, n. 1569, Rg 14261/2024, RTI (gruppo Mediaset) v. Cloudfare, pubblicata in Altalex da Maurizio De Giorgi , ove link al testo.

Spunti principali:

1) la analitica descrizione del lato tecnico, in particolare del ruolo di Cloudfare, essenzialmente volto a dare l’anonimato ai suoi clienti ma non solo (piattaforma usata anche da Twitter in Brasile nella sua recente lite col governo )

2) l’esame delle questioni di giurisdizione e competenza;

3)  il rapporto tra concorso ex art. 2055 cc (affermato) ed esimente ex art. 14, 15, 16 d gls 70/2003 (non affrontata ma -direi- implicitamente negata):

<<Ciò posto, a prescindere dalla qualificazione della resistente come hosting provider e, quindi, dalla questione della responsabilità degli internet service providers anche alla luce della recente giurisprudenza comunitaria, peraltro posta in maniera implicita, l’attività da essa svolta così come  prospettata dalla ricorrente appare potersi configurare come un’attività di concorso nella realizzazione degli illeciti compiuti da terzi inquadrabile nell’ambito della fattispecie di cui all’art. 2055 c.c..
In particolare, sussiste, prima facie, nella cognizione tipica della presente fase cautelare, la prova che attraverso i nomi a dominio “G.” in tutte le variate declinazioni sono stati posti a disposizione del pubblico i programmi su cui la R.T.s.p.a. detiene i diritti di sfruttamento economico per l’Italia, senza autorizzazione e, pertanto, in violazione del diritto d’autore della ricorrente.
Dall’analisi espletata dalla S. srl, su incarico della ricorrente, è emerso che il sito noto con il nome di G. ha variato decine di estensioni del nome a dominio e che si serve dei servizi di C..

E’ emerso, altresì, che il sito offre un catalogo indicizzato di prodotti audiovisivi e li rende accessibili e fruibili mediante la pubblicazione di collegamenti ipertestuali (link) a risorse terze (cd. file hosting o cyberlocker) per il download o per lo streaming e che l’aggiornamento dei contenuti viene svolto dalla sola amministrazione del sito mentre l’utente finale può fruire dei contenuti la cui ricerca viene agevolata  dalle funzioni del sito stesso.
E’ emerso che C. agisce, quindi, come un intermediario tra il visitatore del sito e il server di origine, migliorando le prestazioni, aumentando la sicurezza e fornendo una serie di servizi aggiuntivi per ottimizzare l’esperienza dell’utente e proteggere il sito dai rischi online. Tutti i domini sfruttati da G. hanno in comune l’uso di tali servizi, ciò è riscontrabile anche dalla consultazione dei registri pubblici ottenute dalle interrogazioni D. di tutti i nomi dominio oggi riferiti a G., il N. risulta essere il comune servizio di Registrar usato per l’acquisto dei nomi di dominio e C. risulta essere l’ intermediario dei servizi internet sfruttato da tutti i domini>>

Motivazione poco lineare: la non invocabilità dell’esimente (questione logicamente antecedente l’invocabilità dell’art. 2055cc) andava argomentata, non ritenuta irrilevante (“a prescidnere”).

Ancora sulla responsabilità degli internet provider per le violazioni copyright dei loro utenti (con un cenno a Twitter v. Taamneh della Corte Suprema USA, 2023)

Approfondita sentenza (segnalata e linkata da Eric Goldman, che va sempre ringraziato) US BANKRUPTCY COURT-SOUTHERN DISTRICT OF NEW YORK, In re: FRONTIER COMMUNICATIONS CORPORATION, et al., Reorganized Debtors, Case No. 20-22476 (MG), del 27 marzo 2024.

Si v. spt. :

-sub III.A, p. 13 ss, “Secondary Liability for Copyright Infringement Is a Well-Established Doctrine”;

– sub III.B “Purpose and Effect of DMCA § 512”, 24 ss.

– sub III.D “Twitter Did Not Silently Rewrite Well-Established Jurisprudence on Secondary Liability for Copyright Infringement” p. 31 ss sul rapporto tra la disciplina delle violazioni copyright e la importante sentenza della Corte Suprema Twitter, Inc. v. Taamneh, 598 U.S. 471 (2023).

Di quest’ultima riporto due passaggi dal Syllabus iniziale:

– la causa petendi degli attori contro Twitter (e Facebook e Google):

<< Plaintiffs allege that defendants aided and abetted ISIS in the
following ways: First, they provided social-media platforms, which are
generally available to the internet-using public; ISIS was able to up-
load content to those platforms and connect with third parties on them.
Second, defendants’ recommendation algorithms matched ISIS-re-
lated content to users most likely to be interested in that content. And,
third, defendants knew that ISIS was uploading this content but took
insufficient steps to ensure that its content was removed. Plaintiffs do
not allege that ISIS or Masharipov used defendants’ platforms to plan
or coordinate the Reina attack. Nor do plaintiffs allege that defend-
ants gave ISIS any special treatment or words of encouragement. Nor
is there reason to think that defendants carefully screened any content
before allowing users to upload it onto their platforms>>

– La risposta della SCOTUS:

<<None of plaintiffs’ allegations suggest that defendants culpably “associate[d themselves] with” the Reina attack, “participate[d] in it as
something that [they] wishe[d] to bring about,” or sought “by [their]
action to make it succeed.” Nye & Nissen, 336 U. S., at 619 (internal
quotation marks omitted). Defendants’ mere creation of their media
platforms is no more culpable than the creation of email, cell phones,
or the internet generally. And defendants’ recommendation algorithms are merely part of the infrastructure through which all the content on their platforms is filtered. Moreover, the algorithms have been presented as agnostic as to the nature of the content. At bottom, the allegations here rest less on affirmative misconduct and more on passive nonfeasance. To impose aiding-and-abetting liability for passive nonfeasance, plaintiffs must make a strong showing of assistance and scienter.     Plaintiffs fail to do so.
First, the relationship between defendants and the Reina attack is
highly attenuated. Plaintiffs make no allegations that defendants’ relationship with ISIS was significantly different from their arm’s
length, passive, and largely indifferent relationship with most users.
And their relationship with the Reina attack is even further removed,
given the lack of allegations connecting the Reina attack with ISIS’ use
of these platforms. Second, plaintiffs provide no reason to think that
defendants were consciously trying to help or otherwise participate in
the Reina attack, and they point to no actions that would normally
support an aiding-and-abetting claim.
Plaintiffs’ complaint rests heavily on defendants’ failure to act; yet
plaintiffs identify no duty that would require defendants or other communication-providing services to terminate customers after discovering that the customers were using the service for illicit ends. Even if
such a duty existed in this case, it would not transform defendants’
distant inaction into knowing and substantial assistance that could
establish aiding and abetting the Reina attack. And the expansive
scope of plaintiffs’ claims would necessarily hold defendants liable as
having aided and abetted each and every ISIS terrorist act committed
anywhere in the world. The allegations plaintiffs make here are not
the type of pervasive, systemic, and culpable assistance to a series of
terrorist activities that could be described as aiding and abetting each
terrorist act by ISIS.
In this case, the failure to allege that the platforms here do more
than transmit information by billions of people—most of whom use the
platforms for interactions that once took place via mail, on the phone,
or in public areas—is insufficient to state a claim that defendants
knowingly gave substantial assistance and thereby aided and abetted
ISIS’ acts. A contrary conclusion would effectively hold any sort of
communications provider liable for any sort of wrongdoing merely for
knowing that the wrongdoers were using its services and failing to stop
them. That would run roughshod over the typical limits on tort liability and unmoor aiding and abetting from culpability>>.

La norma asseritamente violata dalle piattaforme era il 18 U.S. Code § 2333 (d) (2), secondo cui : <<2) Liability.— In an action under subsection (a) for an injury arising from an act of international terrorism committed, planned, or authorized by an organization that had been designated as a foreign terrorist organization under section 219 of the Immigration and Nationality Act (8 U.S.C. 1189), as of the date on which such act of international terrorism was committed, planned, or authorized, liability may be asserted as to any person who aids and abets, by knowingly providing substantial assistance, or who conspires with the person who committed such an act of international terrorism>>.

Il safe harbor ex § 230 CDA per Youtube in caso di accessi abusivi frodatori ad account altrui

Interessante lite sull’applicabilità del § 230 CDA statunitense a Youtube per allegate violazioni informatiche a fini di frode in account altrui (tra cui quello di Steve Wozniak) .

E’ ora giunta la decisione del 6° appellate district 15 marzo 2024,  H050042
(Santa Clara County Super. Ct. No. 20CV370338), Wozniak e altri c. Youtube), che sostanzialmente conferma il rigetto del primo grado (lasciando aperta agli attori solo  una piccola finestra).

La fattispecie è interessante per l’operatore.  Gli attori avevano diligentemente cercato di aggirare il safe harbour, argomentando in vario modo che gli addebiti a Y. erano di fatti propri (cioè di Y.), anzichè di mera condotta editoriale di informazioni altrui (per cui opera il safe harbor). Ragioni che la corte (anzi gli attori) avevano raggruppato in sei categorie:

a. Negligent security claim

b. Negligent design claim

c. Negligent failure to warn claim

d. Claims based on knowingly selling and delivering scam ads and
scam video recommendations to vulnerable users

e. Claims based on wrongful disclosure and misuse of plaintiffs’
personal information

f. Claims based on defendants’ creation or development of
information materially contributing to scam ads and videos

Ma per la corte non si può arrivare a qualificarle come condotte proprie di Y.  ai sensi del § 230 CDA , ma solo dei terzi frodatori (sub ii Material contributions, 34 ss).

Concede però parziale Leave to amend, p. 36.

I profili allegati dagli attorei sono utili pure da noi, perchè il problema è sostanzialmente simile: quello del capire se le notizie lesive pubblicate possono dirsi solo del terzo oppure anche della piattaforma (art. 6 reg. UE DSA  2022/2065)

(notizia della e link alla sentenza dal blog di Eric Goldman)

Trib. Roma sulla responsabilità del provider per materuiali caricati dagli utenti

Eleonora Rosati su IPKat ci notizia di (e ci linka a) due sentenza 2023 di Trib. Roma sez. spec. impr. sull’oggetto, entrambe tra RTI (attore) e una piattaforma di hosting files (Vimeo e V Kontacte).

Le domande sono respinte, alla luce del precedente della Corte di Giustizia Cyando del 2021.

Si tratta di :

Trib. Roma 07.04.2023 n. 5700/2023, RG 59780/2017, Giudice rel. Picaro, RTI  c. Vimeo;

Trib. Roma 12.10.2023 n. 14531/2023, RG 4341/2027, giud. rel.: Cavaliere, RTI v. V Kontakte;

Per Rosati la lettura del pcedente europeo è errata.

Qui io solo evidenzio che i) civilisticamente non ha dignità giuridica da noi la distinzine tra responsabilità primaria e secondaria/indiretta nel caso di materiali illeciti caricati dagli utenti e ii) il safe harbour copre ogni responsabilità da esso conseguente.

Il punto più importante è che, per perdere il safe harbour, bisogna che il provider avesse contezza dell’esistenza degli specifici illeciti azionati, non di una loro generica possibilità.

Altra questione poi è quella del livello di dettaglio della denuncia al provider da parte del titolare dei diritti.   Per il Trib. deve essere elevato: ed è  esatto, stante il principio per cui onus probandi incumbit ei qui dicit , regola processuale che va applicata anche alla denuncia de qua (nè c’è ragione per caricare il provider di attività faticose e incerte, a meno che tali non siano più per ragioni ad es. di avanzamento tecnologico).

Appello Roma conferma la responsabilità di Vimeo quale hosting provider attivo nella lite con RTI

Sta già quasi scemando l’attenzione verso il tema della responsabilità del provider per gli illeciti commessi dagli utenti tramite la sua piattaforma.

Francesca Santoro su Altalex ci notizia di Trib. Roma n. 6532/2023 del 12/10/2023, RG n. 5367/2019, Vimeo c. RTI, rel. Tucci.

La corte segue l’orientamento dominante basato sulla infruibilità dell’esenzione da parte dell’hosting cd attivo, fatto proprio da Cass. 7708 del 2019.

Che però non convince: la correponsabilità è regolata dalla’rt. 2055 cc per cui la colpa deve riguardare le singole opere azionate. A meno di aprire ad un dolo eventuale o colpa con previsione: ma va argomentato in tale senso.

Più interessnte è il cenno alle techniche di fingerpringing , DA INQAUDRASRE APPUNTO NELLA FAttispecie di responsabilità aquiliana.  Solo che per far scattare l’esenzione ex art- 16 d lgs 70-2003 bisogna provare che era “effettivamente a conoscenza”: e non si può dire che, prima della diffida, Vimeo lo era o meglio che, adottando questa o quella misura, lo sarebbe certametne stato  (misure adottabili ma fino a che livello di costo, poi? Tema difficile: è come per le misure di sicurezze a carico delle banche. Solo che queste rischiano un inadempimento verso i correntisti/controparti contrattuali, mentre Vimeo rischia l’illecito aquiliano: e c’è differenza tra i due casi per la soglia di costo, se -nell’ipotesi contrattuale -nulla è stato patutito ?).

SAfe harbour ex § 230 CDA in una azione contro piattaforma (di affitti brevi) VRBO per danni da incendio della casa affittata

Eric Goldman dà ntozia del caso deciso dalla Dis. Court East. Dist. NY 29 sett. 2023, 22-cv-7081 (GRB)(ARL), Eiener c. Mlller e VRBO.

La domanda erso VRBO è rigettata in limine per il cit. safe harbour.

Si tratta di un hosting provider .

la curiosità sta nel fatto che qui il danno è solo indirettametne connesso alla piattaforma dato che deriva dalla res ivi pubblicizzata, non dalla informazione in sè di affittabilità.

O meglio: gli attori allegano che l’informazione on line era errata e/o insufficiente.

Ebbene, dA noi rientra tale fattispecie nella disciplina della resp. del provider, ora regolata dagli artt. 4 segg. del DSA reg. UE 2065 del 2022?

La sospensione dell’account Twitter è coperto dal safe habour ex § 230 CDA (con una notazione per il diritto UE)

Distr. Court of california 23 agosto 2023, Case No. 23-cv-00980-JSC., Zhang v. Twitter, rigetta la domanda dell’utente Twitter per presenza del safe harbor.

Regola ormai pacifica tanto che viene da cheidersi come possa uin avvocato consugliuare la lite (nel caso però Zhang aveva agito “representing himself”)

Qui segnalo solo la (fugace) illustazione del motivo per cui T. non è il fornitore delle informaizonie  e quindi ricorre il requisito di legge

<<Second, Plaintiff seeks to hold Twitter liable for decisions regarding “information provided by another information content provider”—that is, information he and the third-party user, rather than Twitter, provided. Plaintiff’s argument Twitter is itself “an information content provider” of the third-party account holder’s content within the meaning of Section 230(f)(3) is misplaced. (Dkt. No. 53 at 21-22.) Section 230(f)(3) defines “information content provider” as “any person or entity that is responsible, in whole or in part, for the creation or development of information provided through the Internet or any other interactive computer service.”

Plaintiff appears to argue Twitter’s placement of information in “social media feeds” renders it an information content provider.

Not so. “[P]roliferation and dissemination of content does not equal creation or development of content.” Kimzey v. Yelp! Inc., 836 F.3d 1263, 1271 (9th Cir. 2016); see also Fair Hous. Council of San Fernando Valley v. Roommates.Com, LLC, 521 F.3d 1157, 1174 (9th Cir. 2008) (finding Section 230 immunity applies where the interactive computer service provider “is not responsible, in whole or in part, for the development of th[e] content, which comes entirely from subscribers and is passively displayed by [the interactive computer service provider].”)>>.

Si veda la corrispondente disposizione del digital services act, art. 6 reg. ue 2022/2065, e le tante sentenze  emesse in Italia ex art. 16 e 17 d. lgs 70/2003.

(notizia e link alla sentenza dal blog del prof. Eric Goldman)

Il reclamo cautelare milanese nella lite sui servizi DNS di Cloudfare , promossa dalle major titolari di copyright

Torrent Freak dà il link alla molto interessante ordinanza milanese (decisa il 22.09.2022 e dep.  4 novembre 2022, parrebbe) che decide il reclamo cautelare Cloudfare c. Sony-Warner-Universal Music, RG 29411/2022, rel. Tarantola.

Il reclamo di Cloudfare (C.) è rigettato e , parrebbe, a ragione.

Alcuni punti:

  • E’ confermata la giurisdizione italiana ex art. 7.1 sub 2) reg. 1215/2012 (anche  se non è chiaro perchè, dato che la disposizione si applica a chi è domiciliato in uno stato UE e viene convenuto in altro stto ue: ma C. è di diritto usa)
  • il diritto è riscontrato in capo alle major ex art. 99 bis l. aut.
  • le condotte addebitate son sufficientemente individuate. Si tratta del servizio di domain name system (DNS) che risolve i nomi in stringhe IP. Esso si affianca agli ordinari servizi di access provider, servendo spesso per anonimizzare l’accesso . Di fatto è noto a tutti che tramite il dns di C. si riesce ad eludere i  blocchi imposti agli (e attuati dagli) internet access provider.
  • per dare un inibitoria, non serve che l’inibito sia corresponsabile civilmente della vioalzione: basta che sia strumento per l’accesso a server ospitanti materiali illeciti. Gli artt. 14-17 del d. gls. 70 del 2003 sono chiarissimi (norme mai citate dal giudice, però!).

Nè c’è alcun dubbio che che C. sia un internet provider (caching, art. 15 d. lgs. 70/2003).

  • non è chiaro il rapporto tra i siti convenuti in causa e C., che nega ne esistano (assai dubbio: perchè mai dovrebbe interporsi tra i siti stessi e l’utenza? Chi le dà incarico e chi la paga?)
  • venendo confermata la cautela di prima istanza, è confermato che l’inibitoria concerne pure i siti c.d. alias (cioè quelli creati in aggiutna per eludere e che reindirizzano automaticametne le richiesta ai siti originari bloccati)
  • le difficoltà esecutive dell’ordine : è il punto più interessante a livello teorico, anche se richeiderebbe approfondimenti processuali . Per il giudice non contano, dovendosi risolverle ex art. 669 duodecies cpc. : << Non è al riguardo configurabile alcun onere preventivo a carico delle parti ricorrenti, né alcun obbligo in capo all’AG all’atto della pronuncia dell’ordine cautelare, di descrivere le specifiche modalità tecniche di esecuzione dell’ordine, ove – ritenuta la sussistenza dell’attività che è ordinato inibirsi – è la parte cui è rivolto l’ordine inibitorio che potrà rappresentare eventuali difficoltà tecniche nell’ambito dello specifico procedimento ex art. 669 duocecies cpc (peraltro già instaurato, come evincibile dagli atti). >> ,

iL PUNTO è come detto assai stimolante anche se meritevole di approfondimento.  A parte che la natura sostitutiva del reclamo porterebbe alla competenza proprio del giudiuce del reclamo, l’attuaizone avviene sì sotto il controllo del giudice, purchè un minimum sia indicato nel provvedimento. E allora può questo limitarsi a dire “filtra tutte le richeiste di accesso a questo o quel sito”? tocca al convenuto chiedere lumi, dice il giudice. OK, ma se è volonteroso; e se non lo è? Penalità di mora? E come può controllare il vincitore la corretta attuazione?

Il comando cautelare era: <<adottare immediatamente le più opportune misure tecniche al fine di inibire a tutti i destinatari dei propri servizi l’accesso ai servizi denominati “kickasstorrents.to”, “limetorrents.pro” e “ilcorsaronero.pro”, inibendo la risoluzione DNS dei nomi a dominio “kickasstorrents.to”, “limetorrents.pro”, “ilcorsaronero.pro”, sia in quanto tali che preceduti dal prefisso www, nonché inibito alla resistente la risoluzione DNS di qualsiasi nome a dominio (denominato “alias”) – che costituisca una variazione dei predetti DNS di primo, secondo, terzo e quarto livello – attraverso i quali i servizi illeciti attualmente accessibili attraverso i predetti nomi a dominio possano continuare ad essere disponibili, a condizione che i nuovi alias siano soggettivamente e oggettivamente riferiti ai suddetti servizi illeciti>>.