La responsabilità dell’hosting provider per mancata deindicizzazione dei contenuti

Cass. civ. Sez. I, ord. 8 giugno 2022, n. 18430 – Pres. Genovese – Rel. Nazzicone

[1] Responsabilità – Hosting provider – Deindicizzazione degli URL – Conoscenza dell’attività illecita – Responsabilità per attività omissiva

(D. Lgs. n. 70 del 2003, artt. 16 e 17)

[1] “Il prestatore del servizio di hosting (…) è responsabile con riguardo al contenuto delle informazioni ai sensi del D.Lgs. n. 70 del 2003, art. 16, quando: a) egli “sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita” e per quanto attiene ad azioni risarcitorie “sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione”; oppure b) egli non “agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso” appena “a conoscenza di tali fatti, su comunicazione delle autorità competenti.”

 CASO

[1] Il caso oggetto della pronuncia in epigrafe origina dalla richiesta al provider Google, da parte del soggetto diffamato da alcuni siti, di deindicizzare i relativi URL rispetto alla ricerca con le chiavi contenenti il suo nominativo e di cancellazione delle tracce digitali di tale ricerca.

Con sentenza del 2020, il Tribunale di Milano adito, vista la condanna per diffamazione del responsabile della pubblicazione delle informazioni contestate e la diffida inviata al provider, condannava Google al risarcimento del danno in quanto esso, pur debitamente informato dal ricorrente della condanna per diffamazione, non provvedeva alla deindicizzazione dei siti. Il Tribunale di Milano, tuttavia, non riconduceva la responsabilità del provider al d.lgs. n. 70 del 2003 bensì all’art. 2043 c.c. senza individuarne, quindi, la responsabilità quale hosting provider.

Avverso la predetta sentenza Google ha proposto ricorso per Cassazione affidando le sue doglianze a cinque motivi con cui ha contestato la mancata individuazione dettagliata degli URL da deindicizzare, la confusione operata dal Tribunale tra hosting provider e caching provider e l’erronea quantificazione del danno.

SOLUZIONE

[1] La Suprema Corte, nel rigettare il ricorso, richiamando la consolidata giurisprudenza sul punto, ha ricordato il ruolo, le caratteristiche ed il regime di responsabilità del provider.

La Corte di Cassazione, in particolare, ha evidenziato che il prestatore del servizio di hosting, quale è indubbiamente Google, è responsabile, con riguardo al contenuto delle informazioni, ai sensi dell’art. 16 d.lgs. n. 70 del 2003 quando sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene alle azioni risarcitorie, quando sia al correte di fatti o di circostanze che rendono manifesta l’illeceità dell’attività o dell’informazione e, ciò nonostante, non agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.

Il provider, in altre parole, è responsabile per attività omissiva se – come nel caso di specie in cui vi è stata una sentenza di condanna per diffamazione in relazione ai siti per cui è stata richiesta la deindicizzazione e la diffida a cessare l’attività – debitamente informato della falsità di contenuti pubblicati di cui viene richiesta l’eliminazione, non vi provveda tempestivamente.

QUESTIONI

[1] L’hosting provider è un fornitore di servizi che consente di allocare contenuti di varia tipologia presso i propri server, in modo tale da renderli accessibili agli utenti. Occorre, tuttavia, operare un distinguo tra hosting provider passivo e hosting provider attivo.

L’hosting provider passivo svolge un ruolo meramente tecnico, automatico e passivo, in quanto non è a conoscenza né esercita alcuna attività di autorità e controllo sulle informazioni contenute, trasmesse e memorizzate.

Per tale ragione, l’art. 16 del D.lgs. n. 70 del 2003, attuativo dall’art. 14 della Direttiva 2000/31/CE, prevede l’esclusione della responsabilità che può sorgere esclusivamente quando il prestatore, essendo venuto a conoscenza del contenuto illecito trasmesso, non abbia provveduto a rimuoverlo.

L’hosting provider viene considerato attivo, invece, quando pone in essere condotte aventi «l’effetto di completare ed arricchire in modo non passivo la fruizione dei contenuti da parte di utenti indeterminati» e, per tale ragione, non beneficia dell’esenzione di responsabilità prevista dall’art. 16 D.lgs. n. 70/2013. Vi sono alcuni elementi che, ove sussistenti e anche se non compresenti, permettono, in concreto, di identificare l’hosting provider come del tipo attivo tra cui, a titolo esemplificativo, le attività di filtro, di selezione, di indicizzazione, di organizzazione, di catalogazione, di aggregazione, di valutazione dei contenuti operate mediante una gestione imprenditoriale del servizio e, in ogni caso, tutte le condotte volte a completare e arricchire in modo non passivo la fruizione dei contenuti da parte degli utenti.

Ciò posto, l’art. 16 prevede testualmente che: «nella prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore:

1. non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione;
2. non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.»

Alla luce di tale norma, pertanto, il prestatore del servizio riveste una posizione in garanzia in quanto, una volta venuto a conoscenza degli illeciti compiuti da terzi attraverso il servizio stesso, mediante la comunicazione inviatagli dal titolare del diritto leso, ha l’obbligo di rimuovere il contenuto e di impedire ulteriori violazioni.

La giurisprudenza si è più volte soffermata sugli elementi costitutivi della fattispecie di responsabilità di cui all’art. 16 D.lgs. n. 70/2013 specificandone dettagliatamente la portata e il contenuto.

La prima condizione che deve sussistere affinché il prestatore possa essere ritenuto responsabile è la conoscenza effettiva dell’illecito. Per quanto attiene all’illiceità dell’attività o dell’informazione, essa discende dalla violazione dell’altrui sfera giuridica e comporta la lesione di diritti personalissimi. La conoscenza di tale illiceità, richiesta dalla norma, implica che non si tratti di una responsabilità oggettiva o per fatto altrui, ma di responsabilità del prestatore del servizio per fatto proprio colpevole mediante omissione, ovvero per non aver impedito la protrazione dell’illecito, rimuovendo le informazioni o disabilitando l’accesso.

La conoscenza effettiva dell’illecito, perpetrato con il servizio di hosting, cui fa riferimento l’art. 16, deve intendersi con «l’esistenza di una comunicazione in tal senso operata dal terzo, il cui diritto di assuma leso”. Il sorgere dell’obbligo del prestatore del servizio non richiede necessariamente una diffida, ma è sufficiente la mera comunicazione o notizia del diritto leso. Circa il contenuto della comunicazione con cui il titolare del diritto leso informa il prestatore del servizio esso deve essere idoneo a consentire al destinatario la comprensione e l’identificazione dei contenuti illeciti.

Tale accertamento attiene ad un profilo di merito che impone al giudice di merito, eventualmente con l’ausilio di un esperto, di valutare se i video in violazione dell’altrui diritto d’autore fossero identificabili tramite la sola indicazione del nome della trasmissione o da semplici elementi descrittivi, oppure se fosse necessaria l’indicazione dell’URL che identifica l’indirizzo cercato.

La presunzione iuris tantum di conoscenza è superabile solo qualora il prestatore del servizio dimostri di essere stato nell’impossibilità di acquisirne in concreto la conoscenza, per un evento estraneo alla sua volontà.

L’art. 16 D.lgs. 70/2013 prevede, altresì, che il prestatore è responsabile qualora sia al corrente di «fatti o di circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione». La Cassazione definisce manifesta la condizione per cui “l’illeceità sarebbe riscontrabile senza particolare difficoltà, alla stregua dell’esperienza e della conoscenza tipiche dell’operatore del settore e della diligenza professionale a lui esigibile” (Cass. civ. Sez. I, 19 marzo 2019, n. 7708). Di conseguenza, se l’illiceità non è manifesta, il prestatore del servizio, a seguito della comunicazione del terzo, ha il solo obbligo di cd. notice alle competenti autorità ex art. 17, co. 2, D.Lgs. 70/2003.

La responsabilità omissiva del prestatore del servizio presuppone, inoltre, la verifica che gli fosse possibile attivarsi utilmente ed in modo efficiente, in quanto munito di adeguati strumenti conoscitivi e anche fornito dei poteri per impedire l’altrui illecito.

L’onere di allegazione e di prova grava sull’attore titolare del diritto leso, il quale deve provare e allegare, a fronte dell’inerzia del provider: la conoscenza di quest’ultimo dell’illecito compiuto dal destinatario del servizio, grazie alla comunicazione del titolare del diritto leso; gli elementi che rendono manifesta l’illeceità; l’inerzia del prestatore, che integra di per sé responsabilità, restando, tuttavia, a carico di quest’ultimo l’onere di provare di non aver avuto alcuna possibilità di attivarsi utilmente.

Come specificato recentemente dalla Corte di Cassazione (Cass. civ. Sez. I, 19 marzo 2019, n. 7708) «ai fini del giudizio di responsabilità del prestatore occorre l’accertamento degli elementi costitutivi della fattispecie: ovvero, la condotta, consistente nell’inerzia; l’evento, quale fatto pregiudizievole ed anti-doveroso altrui; il nesso causale, mediante il cd. giudizio controfattuale, allorché l’attivazione avrebbe impedito l’evento, anche con riguardo, come nella specie, alla sua protrazione; l’elemento soggettivo della fattispecie». Quanto all’ultimo profilo, esso si compone di due momenti complementari: la rappresentazione dell’evento come illecito, indipendentemente dalla modalità e tipologia del canale conoscitivo e l’omissione consapevole nell’impedirne la prosecuzione, in cui rileva la possibilità di attivarsi utilmente.

Con specifico riferimento al caso oggetto di scrutinio afferente la condotta operativa dell’hosting provider Google, la Suprema Corte ha affermato che nonostante la previa affermazione d’inapplicabilità del d.lgs. n. 70 del 2003, la sentenza impugnata ha poi correttamente ravvisato un illecito nella condotta della società che, notiziata della sentenza penale di condanna per diffamazione dell’originario propalatore della notizia falsa, ha omesso di provvedere alla sua deindicizzazione.

Invero, dopo aver ricordato che il prestatore del servizio di hosting è responsabile con riguardo al contenuto delle informazioni ai sensi dell’art. 16 del d.lgs. n. 70 del 2003, la Prima Sezione della Corte di Cassazione ha evidenziato che nella specie rileva la prima delle fattispecie di responsabilità di cui al punto a). Google, infatti, si è reso responsabile ai sensi dell’art. 16 in quanto, seppur debitamente informato della falsità di contenuti pubblicati di cui è stata richiesta l’eliminazione, non vi ha provveduto tempestivamente.