L’approvazione del decreto legge che annualmente prevede la proroga dei termini previsti da disposizioni legislative e convenzionalmente noto come Milleproroghe porta quest’anno una buona notizia per il web. E, infatti, contiene miglioramenti sensibili per il futuro della digital inclusion nel nostro paese, in particolare per lo snellimento delle regole riguardanti la possibilità di mettere in condivisione le reti WiFi e la connessione internet in generale. La disciplina precedente delineata dall’ormai famoso decreto Pisanu prevedeva che Internet Point e altri esercizi pubblici potessero mettere in condivisione una connessione a internet solo se in precedenza autorizzati all’attività dal questore e a condizione di identificare ognuno degli utenti che accedeva alla rete condivisa.
Che cosa è cambiato
Il comma 19 dell’articolo 2 del Milleproroghe 2010 modifica, invece, l’articolo 7 del decreto Pisanu che dettava la precedente disciplina. I soli che dovranno chiedere l’autorizzazione del questore sono ora coloro che in via di «attività principale» gestiscono «un pubblico esercizio o un circolo privato di qualsiasi specie, nel quale sono posti a disposizione del pubblico, dei clienti o dei soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche» come un Internet Point. È caduto, invece, l’obbligo di autorizzazione per quegli esercizi che offrivano – con WiFi o meno – la possibilità al pubblico di collegamento a Internet come servizio aggiuntivo, come pub, biblioteche, bar e hotel.
Il requisito della “attività principale” aggiunto dal comma 19, infatti, fa sì che tutti coloro che offrono il servizio di connessione in via accessoria possano ritenersi esclusi dalla richiesta di autorizzazione. L’esclusione degli esercizi commerciali non è esplicitata nel decreto ed è effettuata via puramente deduttiva, ma è ragionevole pensare che si sia voluto limitare l’obbligo di autorizzazione ai soggetti che sono fornitori di servizi pubblici di telecomunicazioni. L’obbligo di identificare gli utenti cade, invece, per entrambe le categorie, in quanto il comma 19 abroga espressamente i commi 4 e 5 dell’articolo 7 dove l’obbligo era previsto.
Che cosa succede ora
È possibile che in sede di conversione in legge il decreto sia modificato o che nuove norme o regolamentazioni in materia, precedentemente annunciati, vengano emanati nell’immediato futuro, ma è chiaro che dopo avere passato gli ultimi cinque anni a fornire documenti per accedere alle reti WiFi pubbliche siamo di fronte a un cambiamento sensibile ed è lecito chiedersi quale panorama legislativo in questo momento si disegna per effetto dell’abrogazione degli obblighi indicati nel nostro Paese. È importante rilevare come l’obbligo di identificazione previsto nell’articolo 7 del decreto Pisanu trovasse applicazione unicamente nei confronti di soggetti che fornivano accesso a internet in via principale (come per gli Internet Point) o accessoria (come le biblioteche o gli alberghi), ma non verso gli Internet Service Provider che, infatti, hanno diversa regolamentazione.
Questi ultimi, in particolare, sono toccati dall’articolo 6 del decreto Pisanu, che, tra le altre cose, sospendeva la cancellazione dei dati del traffico telefonico o telematico dei loro utenti da parte degli Isp. Il traffico telematico conservato e messo a disposizione delle autorità – se ne fanno richiesta – non può, lo ricordiamo, riguardare contenuto della navigazione. Quest’ultimo può essere acquisito unicamente attraverso una intercettazione consentita dalla legge. I termini di conservazione, fissati in 12 mesi per il traffico telematico e 24 per quello telefonico dall’articolo 132 del Codice in materia di protezione dei dati personali, erano stati sospesi e gli Isp obbligati a non cancellare i dati (dei problemi collegati alla sospensione dei termini massimi di conservazione abbiamo parlato a suo tempo). Tali obblighi sono stati mantenuti dalla data di entrata in vigore del decreto Pisanu fino al 31 dicembre 2008. L’Isp quindi conserva i dati di traffico dei propri utenti seguendo i limiti sostanziali e temporali fissati dall’articolo 132. Non c’è una disposizione di legge che trasmetta tale obbligo ai clienti che, eventualmente, condividano una connessione internet con altri non identificati, sia questa una WiFi o meno.
La responsabilità degli utenti
È opportuno chiedersi se, in assenza di una puntuale identificazione, sia possibile ipotizzare in capo agli Internet Point o agli altri soggetti che mettono in condivisione l’accesso al web, responsabilità per il comportamento dei propri utenti. Per analizzare la questione è necessario partire da due considerazioni. La prima è che nel nostro paese è possibile rispondere per un reato commesso da altri solo se si aveva l’obbligo giuridico di evitarlo e non lo si è fatto (posizione di garanzia). La seconda è che tale obbligo può avere fonte non solo nella legge ma anche in un contratto. Sappiamo che, in genere, le condizioni generali di contratto previste dagli Isp italiani prevedono clausole che attribuiscono all’utente che sottoscrive il contratto diversi obblighi di garanzia e manleva per le attività effettuate utilizzando il servizio di connessione a Internet. Clausole che vanno dalla tutela della segretezza delle credenziali di autenticazione per la connessione al divieto di condividere il servizio con altri utenti o con persone non appartenenti alla propria organizzazione. Sono, quindi, i contratti stabiliti con il proprio Isp a permettere o meno la condivisione della connessione con utenti e a disciplinare di fatto la possibilità di condividere una connessione.
Le clausole di garanzia previste dai contratti hanno, comunque, lo scopo generale di mantenere indenne l’Isp da eventuali danni diretti causati alle proprie infrastrutture o indiretti per spese sostenute in ragione del comportamento illegittimo dell’utente, ma non sono tali da configurare ipotesi di responsabilità personale in caso di reato commesso da un utente che sta utilizzando, ad esempio, una rete aperta al pubblico. Questo perché nemmeno gli Isp stessi possono legalmente conoscere il contenuto delle comunicazioni dei propri utenti e, di conseguenza, non possono controllare né impedire che attraverso i propri servizi siano commessi reati. Per i titolari degli Internet Point o di altri esercizi che metteranno in condivisione connessione a internet queste considerazioni debbono ritenersi valide a maggior ragione, poiché neppure questi hanno modo di conoscere il contenuto della navigazione degli avventori che ne utilizzano la connessione.
Il precedente in Cassazione
A tal riguardo abbiamo un precedente giurisprudenziale relativo a un caso in cui un utente aveva inviato una mail a contenuto diffamatorio usando i servizi di un Internet Point. La Cassazione ha avuto modo di sottolineare come i titolari di un Internet Point non solo non sono obbligati a conoscere il contenuto della navigazione dei loro utenti, ma ciò gli è anche impedito dalla legge (Cass. Penale Sez. 5, sent. n. 6046/2008). L’articolo 617-quater del codice penale, infatti, vieta l’intercettazione fraudolenta di sistemi informatici e telematici, con la conseguenza che non si può attribuire al gestore dell’Internet Point responsabilità di tipo omissivo. La Cassazione, nella stessa sentenza, ha chiarito come l’obbligo – abrogato in questo momento dal decreto Milleproroghe, ma vigente all’epoca della decisione – di identificare gli utenti che utilizzavano i terminali dell’Internet Point era stato posto dal legislatore «ai soli fini della prova dell’utilizzazione e non per impedire l’eventuale reato».
Gli stessi ragionamenti possono essere ripetuti, mutatis mutandis, per le reti WiFi casalinghe. L’utente consumer che sottoscrive un contratto per accedere a internet non ha, normalmente, il diritto di condividere il servizio con altri utenti l’accesso alla rete. Questo, però, non implica che una volta che una utenza sia utilizzata, ad esempio, da un nucleo familiare, colui che sottoscrive il contratto abbia il diritto di controllare il contenuto della navigazione di ciascuno. Naturalmente, l’inesigibilità di un controllo del contenuto del traffico da parte di un utente di una connessione condivisa deve essere tenuto distinto dal diverso caso, di indole fraudolenta, del non proteggere adeguatamente e deliberatamente una rete al fine di procurarsi un alibi per commettere reati. È chiaro, però, che anche l’intento fraudolento non possa desumersi dalla mancata o non sufficiente protezione o dalla semplice condivisione, ma vada dimostrato in concreto.
Far West o Fair West?
È retorico, infine, chiederci se, dal punto di vista della repressione dei reati, l’assenza di una identificazione per gli utenti di reti (wireless o meno) messe a disposizione dagli esercenti significhi – vista l’irresponsabilità di Isp e soggetti che la mettono in condivisione – l’ingresso o, meglio, il regresso, nel far west, dato che la registrazione dei dati di una utenza non è condizione sufficiente per individuare l’autore di un illecito. Di sicuro, in caso di problemi, il titolare dell’Internet Point dovrà collaborare con la giustizia, così come accadeva in passato.