Furto di identità informatica - Un caso dalla giurisprudenza italiana

5/10/2018 Furto di identità informatica - Un caso dalla giurisprudenza italiana - slidepdf.com

http://slidepdf.com/reader/full/furto-di-identita-informatica-un-caso-dalla-giurisprudenza-italiana 1/59

qwertyuiopasdfghjklzxcvbnmqwerty

uiopasdfghjklzxcvbnmqwertyuiopasd

fghjklzxcvbnmqwertyuiopasdfghjklzx

cvbnmqwertyuiopasdfghjklzxcvbnmq

wertyuiopasdfghjklzxcvbnmqwertyui

opasdfghjklzxcvbnmqwertyuiopasdfg

hjklzxcvbnmqwertyuiopasdfghjklzxc

vbnmqwertyuiopasdfghjklzxcvbnmq



hjklzxcvbnmqwertyuiopasdfghjklzxc

vbnmqwertyuiopasdfghjklzxcvbnmq



hjklzxcvbnmrtyuiopasdfghjklzxcvbn

mqwertyuiopasdfghjklzxcvbnmqwert

yuiopasdfghjklzxcvbnmqwertyuiopas

Giuristudiando – Forum dei diritti

Furto di identità informatica. Un caso dalla

giurisprudenza

18/05/2012

Giuristando



1

MENU DEGLI ARGOMENTI

LA PERSONA FISICA –

1) I diritti della personalità

Rif. Indice generale delle questioni N.R.G. 5/2011

Furto di indentità informatica

Indice dei documenti del libretto:

Parte comune ai vari casi:

Prospettazione di un caso tratto dalla giurisprudenza italiana;

Documento allegato n. 1 (Articolo di Flaminia Merla tratto dainternet);

Documento allegato n. 2 (Normativa di riferimento);

Documento allegato n. 3 (articolo dell‟Avv. Hermans JosephIezzoni tratto dal sito ABC del Diritto e testo completo disentenza della Corte di Cassazione n. 46674/2007).

Documento allegato n. 4 (Articolo di Angelo Greco,pubblicato in Laleggepertutti.it) dal titolo “Internet e gli illeciti:responsabilità e tutele. Convegno a Latina”

Documento allegato n. 5 (Sentenza della Corte di Giustiziadell‟UE (terza sezione) del 24 novembre 2011)

Documento allegato n. 6 (Sentenza della Corte di Giustizia UE(Terza Sezione) del 19 aprile 2012)

Documento allegato n. 7 Articolo di Gabriella Tesoro

pubblicato sul web in Puntoinformatico dal titolo La passwordcome pegno d'amore

Documento allegato n. 8(Dalla rete, articolo di D.F. pubblicato in “Dura

lex sed lex” dal titolo Phishing: il furto d'identità)

Documento n. 9 (Alcune massime in argomento tratte da

Cassazione.it)

http://punto-informatico.it/cerca.aspx?s=%22Gabriella+Tesoro%22&t=4




2

Documento allegato n. 10 (Articolo di Angelo Grecopubblicato in “laleggepertutti.it”

“Copyright, nessun dietrofront: l‟Internet Service Provider, laCorte di Giustizia e il sangue blu”

Documento allegato n. 11 (Scritti di simulazione) Parte relativa alla simulazione (Aldo Fregatucci contro/ Dominions S.p.a.):

Memoria dei difensori di tesi Ufficioal e Avv.P

Memoria di replica di Avv.P

Primo Parere di Giuristando

Atto di impugnazione nel caso /



3

Identity Thefth in aumento: breve analisi del fenomeno

IL CASO. Un hacker , ricorrendo alle tecniche informatiche, del Key-logging e dello Screen

grabbing, si impadronisce delle credenziali email del Sig. Fregatucci Aldo e li utilizza per fare

prenotazioni on line di servizi di vario genere.

Il Sig. Fregatucci viene reso oggetto di richieste di pagamento per i servizi erogati, tra i quali una

iscrizione a siti che promuovono incontri osé.

Egli denuncia il fatto alle autorità di pubblica sicurezza e chiede al server presso il quale è registrata

la sua posizione informatica (DOMINIONS.COM S.p.A.) il risarcimento del danno economico e morale

ritenendo che esso ne sia responsabile penalmente e civilmente per non aver impedito il fatto.

COME PROCEDERE:

dopo aver consultato i documenti a disposizione, redigi il tuo parere (memoria)

osservando il seguente schema di massima:

i. riassumi la fattispecie (situazione di fatto),

ii. formula le tue valutazioni sul fatto (ovviamente a sostegno della tua tesi),

iii. e poi le tue valutazioni sul diritto applicabile alla fattispecie.

Al termine produrrai altro elaborato dalle stesse caratteristiche del precedente

contenente le osservazioni critiche sullo scritto del tuo compagno avversario di tesi(memoria di replica).



4

Documento allegato n. 1

Articolo di Flaminia Merla

(fonte: da internet)

L'identity thefth - furto d'identità digitale - è il crimine che si sta diffondendo inmaniera esponenziale in Italia e in tutto il mondo.

Negli Usa pare che il fenomeno sia in avanzato stato di repressione soprattutto inconsiderazione di un articolo apparso su Punto Informatico del 1.9.09, di AlfonsoMaruccia, il quale afferma che due tra i più grandi “ladri di identità”, Clyde AustinGray Jr. anche noto come "Big Head" e Albert Gonzalez – ex hacker ora assunto daiservizi segreti -, hanno cessato la loro folgorante carriera grazie alle tecniche poste inessere per reprimere il dilagante uso del mezzo tecnologico attraverso il quale, unavolto effettuato il furto d'identità, veniva realizzato anche il susseguente furtoeconomico a discapito del malcapitato.

Nel 2004 il governo americano aveva però stimato che le perdite subite dalleistituzioni finanziarie e dalle aziende erano pari a oltre 48 miliardi di dollari, e i quasi10 milioni di utenti coinvolti hanno subito danni economici per oltre 5 miliardi didollari.

In Europa la situazione è stata analizzata nel 2008 da Dynamics Market il quale haevidenziato che sono ben 6,5 milioni in Gran Bretagna, Irlanda, Germania,Belgio e Olanda le vittime di furto d‟identità.

L‟Italia è al secondo posto in Europa per numero di frodi commesso attraverso l‟usodi dati rubati. Nel 2006 sono stati accertati ben oltre 17.000 casi di frode attuatamediante sci ppo d‟identità con perdite (aumentata del 55% in un solo anno) per circa80 milioni di euro.

La Commissione Europea, in il "Forum on the prevention of organised crime" , ha

analizzato la legislazione e le attività di indagine in questo specifico settoreall'interno degli Stati membri ed è emerso che, ad oggi, solo 8 stati, su 19 interpellatirisultano avere una normativa sul furto d'identità ed, in alcuni casi, tali furti vengonoanche indicati dalla Costituzione. Undici paesi, invece, considerano l'ID theft comeparte dell'azione per commettere altri crimini o come una circostanza aggravante diquesti ultimi.

Nella legislazione Italiana è previsto, in caso di Identy Theth, il reato di

sostituzione di persona, disciplinato dall'art. 494 del Codice Penale, o altro ben piùgrave reato quale quello di frode informatica ex art 640 ter del Codice Penale.

Non può poi prescindersi dalla previsione di cui al d.lgs. 196/03, codice in materiadi protezione dati personali, che all'art. 169 prevede un illecito penale nel caso di

http://www.altalex.com/index.php?idstr=85&idu=138535






5

omissione nell'adozione delle misure di sicurezza o, nel caso, della successivamancata regolarizzazione delle stesse.

Nel marzo 2009, in seguito ad una ricerca a campione effettuata da Adiconsum, èemerso che il 55% della popolazione italiana non ha ricevuto informazioni relative ai

pericoli nascenti dall'uso delle nuove tecnologie e, sembrerebbe, che il bisogno diinformazione sia sentito da più del 60% della popolazione di cui il 53% si ritieneestremamente preoccupato riguardo alla problematica.

Dati alquanto allarmanti soprattutto in considerazione del fatto che fin dall'aprile2006 è stato pubblicato il “rapporto ABI CIPA CNIPA sul furto di identitàelettronica tramite internet” il quale analizza la modalità della commissionedell'illecito nonchè la metodologia per reprimere il fenomeno.

Cerchiamo ora di comprendere attraverso quali modalità si verifica detto illecito; perattacchi informatici all’identità elettronica devono intendersi gli attacchi portati,

tramite software eseguito da remoto, alle infrastrutture informatiche della banca, delcliente o della rete telematica che li connette, finalizzati a carpire le credenzialidigitali dell‟utente dei servizi on-line.

Tra le forme di attacco all‟identità elettronica dell‟utente di servizi on-line, quelloche sta assumendo maggiore rilevanza è il c.d. social engineering; questa è unaparticolare tecnica psicologica che sfrutta l‟inesperienza e la buona fede degli utentiper carpire informazioni utili a portare successivi attacchi ai sistemi.

Altra forma molto diffusa di Identity Theth è il phishing , da considerarsi una formaparticolare di social engineering, che consiste nella creazione e nell‟uso di e-mail esiti web ideati in modo da ingenerare confusione con quelli di istituzioni finanziariee/o governative, con lo scopo di raggirare gli utenti e carpire loro informazionipersonali (account e password) per accedere a servizi di home banking o al proprionumero di carta di credito. Queste informazioni vengono catturate dai phishers per

poi essere riutilizzate per frodi finanziarie e/o furti di identità.

Altra tecnica molto diffusa è quella che viene attuata attraverso la diffusione di“malware” e “ MMC (Malicious Mobile Code)”, nelle forme di virus, worm , trojan

horse , mass mailing e mixed mmc, che sono in grado di autoinstallarsi,autoriprodursi, diffondersi in modo da provocare alterazioni al funzionamento del

sistema permettendo sia di esportare i dati, sia di prendere il controllo del sistemastesso; in particolare ci sono principalmente quattro procedimenti:

Spyware: programmi spia, in grado di raccogliere informazioni dal computerinfettato e di inviarle anche tramite un proprio motore SMTP al destinatariofraudolento;

Key-logging: programmi in grado di attivarsi quando l‟utente si connette al sitodi una banca o instaura una connessione protetta, scritti in modo che venganoregistrati i tasti digitati dall‟utente che successivamente vengono inviati all'autoredella sottrazione;



6

Redirector: codice malevolo scritto in modo da reindirizzare il traffico Internetdel computer infetto verso indirizzi IP differenti da quelli che si intendevanoraggiungere;

Screen grabbing: programmi simili ai key-logger , in grado di effettuare foto

istantanee dello schermo dell‟utente in modo che quando egli scrive le informazionisensibili sui siti di homebanking esse vengano direttamente reinviate all'autoretramite motore SMTP interno.

Vi è poi lo spoofing che è una tecnica complementare a quelle finora analizzateche consiste nel falsificare l‟origine della connessione in modo da far credere diessere un soggetto diverso da quello reale; tale tecnica prevede diversi tipi diutilizzazione:

User account spoofing: che consiste nell‟utilizzo della userid e password dialtro inconsapevole utente e viene attuato utilizzando lo sniffing e password

crackers;

DNS spoofing: che viene attuata con la sostituizione al server DNS3 lecito e siutilizza per reindirizzare il traffico da un sito web istituzionale verso siti contraffattiatti a “rubare” i dati digitali al navigatore.

IP Address spoofing: che confida nel fatto che la maggior parte dei routers diuna rete utilizzano indirizzi IP di destinazione e non di origine; conseguentementel'attaccante può inviare dei pacchetti dati a un bersaglio utilizzando source IP fittizicosì che le risposte siano inviate al falso IP.

Altra metodologia di attacco è il Connection hijacking che si realizzamediante l'intercettazione di flussi di dati in transito; l‟intruso, dopo averneanalizzato il flusso, si inserisce nella transazione alterandone il contenuto e opera conle credenziali di chi legittimamente aveva iniziato la sessione.

Vi è poi il man in the middle che consiste nel dirottare il traffico generatodurante la comunicazione tra due host connessi alla stessa rete verso un terzo host; ilterzo host si frappone alla comunicazione tra i due end-point, intercetta il flusso didati scambiati riuscendo a farsi confondere con il legittimo interlocutore.

Lo sniffing invece consiste invece in un‟ operazione di intercettazione dellecomunicazioni mediante cattura di dati ( password , posta elettronica, ecc.); questistrumenti di intercettazione sono gli sniffer e sono, in sostanza , hardware, software,analizzatori legali in grado di intercettare, selezionare per protocollo, tradurre,visualizzare e memorizzare tutti i tipi di pacchetti in transito sulla rete.

I Password cracking sono programmi che a ripetizione tentano di accedere adaree riservate, attraverso password generate secondo algoritmi interni predefiniti.

Vi è poi l' Exploit di vulnerabilità di sistema o di applicazioni che sfruttandovulnerabilità note dei sistemi operativi di banche o di piattaforme, esse vengono poi

utilizzate dall‟hacker per accedere e assumere ,in alcuni casi, anche il controllocompleto del sistema attaccato. In tali casi l ID thether garantisce l‟autorizzazioneall‟accesso all‟archivio del sistema.



7

L' Information gathering (network and port scanning) è il tentativo di rilevareindirizzi IP o porte TCP per individuare i servizi e i sistemi presenti e attivi, per potersuccessivamente tentare l'intrusione.

Per tutte queste metodologie, attraverso le quali può essere attuato l'ID theth,

non sono mancate sia contro-misure legali sia codici di autoregolamentazione atti, seeseguiti pedissequamente, a reprimere il dilagante fenomeno.

Anche il nostro Codice Privacy si è infatti preoccupato di arginare questeinvasive tecniche attraverso le quali si verifica il furto di identità digitale, infatti essonon solo ha previsto la mancata adozione di misure di sicurezza come illecito ma loha elevato a rango di reato penale.

Non bisogna però dimenticare che, nonostante le varie forme di repressionedell'Identity Theth, è sempre e solo l'utente (inteso come privato e come azienda) chesi deve preoccupare di adempiere a quanto a lui prescritto dalla legge ma, sopratutto,

di usare la normale diligenza derivante dall'uso dei mezzi tecnologici che se da unaparte facilitano in modo esponenziale il lavoro e la comunicazione, dall'altra dannovita a nuovi modi di ledere la persona sia nella sfera giuridica sia in quellaeconomica.



8


Dalla Costituzione

Art. 2

La Re pubblica riconosce e garantisce i diritti inviolabili dell‟uomo, sia comesingolo sia nelle formazioni sociali ove si svolge la sua personalità, e richiedel‟adempimento dei doveri inderogabili di solidarietà politica, economica e sociale.

Dal Codice civile

Art. 7 Tutela del diritto al nome

La persona, alla quale si contesti il dritto all‟uso del proprio nome o che possarisentire pregiudiziodell‟uso che altri indebitamente ne faccia, può chiederegiudizialmente la cessazione del fatto lesivo, salvo il risarcimento dei danni.

L‟autorità giudiziaria può ordinare che la sentenza si pubblicata in uno o piùgiornali.

Art. 2043 Risarcimento per fatto illecito

Qualunque fatto doloso o colposo, che cagiona ad altri un danno ingiusto, obbligacolui che ha commesso il fatto a risarcire il danno.

Dal Codice penale

Capo IVDella falsità personale

Art. 494.Sostituzione di persona.

Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri undanno, induce taluno in errore, sostituendo illegittimamente la propria all'altruipersona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero unaqualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisceun altro delitto contro la fede pubblica con la reclusione fino a un anno.



9

Art.640-ter.Frode informatica.

Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico otelematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o

programmi contenuti in un sistema informatico o telematico o ad esso pertinenti,procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusioneda sei mesi a tre anni e con la multa da euro 51 a euro 1.032.

La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro1.549 se il fatto è commesso a danno dello stato o di un altro ente pubblico o col

pretesto di far esonerare taluno dal servizio militare, ovvero se il fatto è commessocon abuso della qualità di operatore del sistema.

Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna dellecircostanze di cui al secondo comma o un'altra circostanza aggravante.

Dalla legge ordinaria

DECRETO LEGISLATIVO 30 giugno 2003, n. 196

Codice in materia di protezione dei dati personali. (GU n.174 del 29-7-2003 - Suppl.

Ordinario n. 123 )

Art. 169

Misure di sicurezza

1. Chiunque, essendovi tenuto, omette di adottare le misure minime stabilite e

periodicamente aggiornate con decreto del Presidente del Consiglio dei ministri, conl'osservanza delle norme che regolano la materia (..) e' punito con l'arresto sino adue anni

2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche consuccessivo atto del Garante, e' impartita una prescrizione fissando un termine per laregolarizzazione non eccedente il periodo di tempo tecnicamente necessario,prorogabile in caso di particolare complessita' o per l'oggettivadifficolta'dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giornisuccessivi allo scadere del termine, se risulta l'adempimento alla prescrizione,

l'autore del reato e' ammesso dal Garante a pagare una somma pari al (( quarto del massimo della sanzione stabilita per la violazione amministrativa)).L'adempimento e il pagamento estinguono il reato. (..)



10


(dalla rete: sito ABC del Diritto)

Articolo dell’ Avv. Hermans Joseph Iezzoni sulla sentenza della Cassazione:

Cassazione 46674/2007: Sostituzione di persona attraverso una e-mail

Con la sentenza, che si offre ai lettori di ABCDiritto, la quinta sezione dellaCassazione conferma la condanna, ex articolo 494 del Codice Penale, nei confronti dichi utilizzava le generalità di un‟altra persona per accedere a servizi e comunicarecon altri utenti.

La norma in questione recita:“Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un

danno, induce taluno in errore, sostituendo illegittimamente la propria persona

all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato,

ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non

costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno“

L‟oggetto giuridico è costituito da tutti quei comportamenti in grado di offendere lapubblica fede ad esempio alterando i dati identificativi di un soggetto o le propriequalità con quelli corrispondenti ad un altro (nome o titoli di studio). I termini

vantaggio e danno vanno intesi in modo ampio tanto da ricomprendere una utilitàmorale, economica od anche sessuale.

L‟elemento oggettivo del reato è costituito dalla induzione in errore che però devefondarsi su una condotta attiva e non omissiva. Per questo motivo la giurisprudenzanon considera rilevante una situazione dipesa dal fatto di altri. Non è necessarionemmeno che sia raggiunto il vantaggio od il danno poiché il reato si consumaappena indotto l‟errore.

Segue il testo completo della sentenza:

Cassazione V Sezione Penale n. 46674 del 14 dicembre 2007

SVOLGIMENTO

Con l‟impugnata sentenza è stata confermata la dichiarazione di colpevolezza diA.M.A. in ordine al reato p. e p. dagli artt. 81, 494 c.p., contestatogli “perché, al finedi procurarsi un vantaggio e di recare un danno ad A.T., creava un account di postaelettronica, ********@libero.it., apparentemente intestato a costei, esuccessivamente, utilizzandolo, allacciava rapporti con utenti della rete internet alnome della A.T., e così induceva in errore sia il gestore del sito sia gli utenti,attribuendosi il falso nome della A.T.”.

http://abcdiritto.it/cassazione-466742007-sostituzione-di-persona-attraverso-una-e-mail/





11

Ricorre per cassazione il difensore deducendo violazione di legge per l‟erroneaapplicazione dell‟art. 494 c.p. e per la mancata applicazione dell‟art. 129 c.p.p.

Lamenta che non siano state confutate dalla corte fiorentina le critiche rivolte alconvincimento di colpevolezza espresso dal primo giudice siccome basato sulla

duplice errata considerazione, inerente la prima alla tutela di stampo civilistico alnome e allo pseudonimo, l‟altra, più propriamente tecnico-informatica, alla sostenutanecessità di fornire all‟ente gestore del servizio telefonico l‟esatta indicazioneanagrafica al momento della richiesta di fornitura della prestazione telematica.

Tali doglianze non possono essere condivise.

Oggetto della tutela penale, in relazione al delitto preveduto nell‟art. 494 c.p.,èl‟interesse riguardante la pubblica fede, in quanto questa può essere sorpresa dainganni relativi alla vera essenza di una persona o alla sua identità o ai suoi attributisociali. E siccome si tratta di inganni che possono superare la ristretta cerchia d‟un

determinato destinatario, così il legislatore ha ravvisato in essi una costante insidiaalla fede pubblica, e non soltanto alla fede privata e alla tutela civilistica del diritto alnome.

In questa prospettiva, è evidente la configurazione, nel caso concreto, di tutti glielementi costitutivi della contestata fattispecie delittuosa.

Il ricorrente disserta in ordine alla possibilità per chiunque di attivare un “account” diposta elettronica recante un nominativo diverso dal proprio, anche di fantasia. Ciò èvero, pacificamente. Ma deve ritenersi che il punto del processo che ne occupa siatutt‟altro.

Infatti il ricorso non considera adeguatamente che, consumandosi il reato “de quo”con la produzione dell‟evento conseguente all‟uso dei mezzi indicati nelladisposizione incriminatrice, vale a dire con l‟induzione di taluno in errore, nel caso inesame il soggetto indotto in errore non è tanto l‟ente fornitore del servizio di postaelettronica, quanto piuttosto gli utenti della rete, i quali, ritenendo di interloquire conuna determinata persona (la A.T.), in realtà inconsapevolmente si sono trovati adavere a che fare con una persona diversa.

E non vale obiettare che “il contatto non avviene sull‟intuitus personae, ma con

riferimento alle prospettate attitudini dell‟inserzionista”, dal momento che non èaffatto indifferente, per l‟interlocutore, che “il rapporto descritto nel messaggio” siaofferto da un soggetto diverso da quello che appare offrirlo, per di più di sessodiverso.

È appena il caso di aggiungere, per rispondere ad altra, peraltro fugace, contestazionedifensiva, che l‟imputazione ex art. 494 c.p.p. debitamente menziona pure il fine direcare – con la sostituzione di persona – un danno al soggetto leso: danno poi ineffetti, in tutta evidenza concretizzato, nella specie, come il capo B) della rubrica(relativo al reato di diffamazione, peraltro poi estinto per remissione della querela)nitidamente delinea nella subdola inclusione della persona offesa in una

corrispondenza idonea a ledere l‟immagine o la dignità (sottolinea la sentenzaimpugnata che la A.T., a seguito dell‟iniziativa assunta dall‟imputato, “si ricevettetelefonate da uomini che le chiedevano incontri a scopo sessuale”).



12

Il ricorso va pertanto respinto, con le conseguenze di legge.

P.Q.M.

La Corte rigetta il ricorso e condanna il ricorrente al pagamento delle spese del

procedimento.



13


Articolo di Angelo Greco (pubblicato in Laleggepertutti.it)

“Internet e gli illeciti: responsabilità e tutele. Convegno a Latina”

http://www.laleggepertutti.it/11426_internet-e-gli-illeciti-responsabilita-e-

tutele-convegno-a-latina

Quando si parla di illeciti su internet mi piace usare questa metafora.

Ai bambini che fanno i primi passi fuori casa si raccomanda di non accettare caramelle

dagli sconosciuti. Il che è anche un monito di portata più generale, perché lecaramelle sono anche tutte le seduzioni che imbrigliano l’uomo. E la vita è semprepiena di caramelle.

Senonché, ad un certo punto della storia umana, la realtà si è improvvisamenteduplicata. Le strade e le piazze sono diventate quelle virtuali della rete. E unagenerazione – la nostra – si è trovata a fare i conti con un mondo sul quale non aveva

mai ricevuto istruzioni. Così esposti ai pericoli, eravamo come bambini in mezzo a una

giungla nuova.

Nessuno però poteva metterci in guardia dalle “caramelle” fatte di bit, perché nessuno,prima di noi, sapeva cosa fosse il web. Così non abbiamo avuto, questa volta, i genitoriad impartirci consigli e rimproveri. Solo qualche giorno fa le nostre madri hanno

imparato a usare Google e siamo piuttosto noi ad insegnar loro cosa fare e cosa no.Dall’altro lato, stiamo istruendo le nuove generazioni, sulla scorta di una esperienza“fatta in casa”: inseriamo meccanismi di protezione nei software, sistemi di controllo adistanza dei minori, abilitazioni e disabilitazioni.

Ma la nostra è rimasta una “generazione di mezzo”, che ha dovuto imparare tutto a

proprie spese.

Abbandonati dagli “anziani” del villaggio e dalle istituzioni, anch’esse impreparate ainuovi illeciti, abbiamo consentito agli illeciti su internet una facile proliferazione.

Ma qualcosa sta cambiando. Nuovi e più incisivi mezzi di tutela sono ogni giornostudiati dalle leggi e nelle aule dei tribunali: così il recente potere dell’Autorità Garanteper le Comunicazioni (AgCm) di oscurare i siti sospettati di pratiche commercialiscorrette (ricordiamo il caso di “Private Outlet“) o di intervenire in caso di clausolevessatorie contrarie ai principi del diritto, dichiarandole nulle.

Anche i giudici della Comunità Europea si sono mossi in modo fermo. Da ultimo, laCorte di Giustizia [1] ha chiarito che chi ha subito un danno alla persona attraversointernet ha la possibilità di scegliere tra tre diversi Tribunali:

a) quello del luogo ove ha sede o residenza colui che ha immesso in rete i contenuti

lesivi;

http://www.laleggepertutti.it/11426_internet-e-gli-illeciti-responsabilita-e-tutele-convegno-a-latina



http://www.laleggepertutti.it/10333_agcm-ordina-ai-provider-i-filtri-contro-le-truffe-meglio-liberi-o-protetti





http://www.laleggepertutti.it/10487_private-outlet-bloccato-da-antitrust-primo-e-storico-provvedimento-contro-le-truffe-online



http://www.laleggepertutti.it/1904_illeciti-online-da-oggi-piu-tutela














14

b) quello ove il danneggiato stesso ha la propria residenza (in questo caso, però, ilgestore del sito Internet non potrà essere assoggettato, dalla legge dello Stato di

residenza della vittima, a prescrizioni più severe di quelle già previste dal proprio Stato

membro);

c) quello di ciascuno degli Stati ove sia avvenuta la diffusione dei contenuti lesivi (intale ipotesi, però, si può agire solo pro quota, ossia limitatamente alla fetta di dannoprodottasi in quello specifico Paese).

Dall’altro lato, però, c’è l’esigenza di tutelare il commercio elettronico e la circolazionedei contenuti: in altre parole, gli interessi degli ISP (come Google, i social network,ecc.), evitando di imporre restrizioni eccessivamente onerose, come filtri e altri sistemidi monitoraggio del traffico. Paradigmatico è l’orientamento dei giudici di Lussemburgo [2] in tema di neutralità dell’intermediario.

Di tutto questo si dibatterà a Latina, il prossimo 3 maggio, alle ore 15,00, nel corso delConvegno “Internet e fatti illeciti: responsabilità civile e mezzi di tutela”, cui farà da

relatore l’avv. prof. Francesco Di Ciommo (associato di diritto privato pressol’Università di Tor Vergata e Luiss Guido Carli di Roma) e, molto più indegnamente, ilsottoscritto.

Il Convegno, organizzato dall’Ordine degli Avvocati di Latina e dal Centro StudiGiuridici “Michele Pierro”, si terrà all’Hotel “Villa dei Principi”, Fondi. I lavori inizierannoalle ore 15.30.

La partecipazione all’incontro darà diritto all’acquisizione di tre cr editi formativi.L’iscrizione potrà essere fatta online dal sito www.ordineavvocatilatina.it.

Io parteciperò più in veste di interessato al dibattito che da relatore. Mi piacerebbevedervi numerosi.

[1] Sent. relative alle cause riunite C-509/09 e C-161/10.

[2] Terza Sez. Corte Giust. U.E., causa C-70/10.

(“La Legge per Tutti” è un portale che spiega e traduce, in gergo non tecnico, la leggee le ultime sentenze, affinché ogni cittadino possa comprenderle. I contenuti di questepagine sono liberamente utilizzabili, purché venga riportato anche il link e il nomedell’autore).

Sito amministrato dallo Studio Legale Avv. Angelo Greco (www.avvangelogreco.it ).Nell’ambito del diritto civile, svolge consulenza alle imprese, diritto della rete e diritto

d’autore, diritto dei consumatori, privacy, procedure espropriative.

http://www.laleggepertutti.it/2844_la-rete-rimane-neutrale-nella-lotta-contro-la-pirateria



http://www.ordineavvocatilatina.it/



http://www.avvangelogreco.it/








15

Documento allegato n. 5 Dalla rete pubblicato in “Infocuria - Giurisprudenza della Corte di giustizia”

(http://curia.europa.eu/juris/document/document.jsf?text=&docid=115202&pageIndex=0&do

clang=IT&mode=lst&dir=&occ=first&part=1&cid=956907)

SENTENZA DELLA CORTE (Terza Sezione)

24 novembre 2011

«Società dell‟informazione – Diritto d‟autore – Internet – Programmi “peer -to- peer” – Fornitoridi accesso a Internet – Predisposizione di un sistema di filtraggio delle comunicazioni

elettroniche al fine di impedire gli scambi dei file che ledono i diritti d‟autore – Assenza di unobbligo generale di sorvegliare le informazioni trasmesse»

Nel procedimento C-70/10,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell‟art.267 TFUE, dalla cour d‟appel de Bruxelles (Belgio), con decisione 28 gennaio 2010, pervenutain cancelleria il 5 febbraio 2010, nella causa

Scarlet Extended SA

contro

Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM),

con l‟intervento di:

Belgian Entertainment Association Video ASBL (BEA Video),

Belgian Entertainment Association Music ASBL (BEA Music),

Internet Service Provider Association ASBL (ISPA),

LA CORTE (Terza Sezione),

composta dal sig. K. Lenaerts, presidente di sezione, dal sig. J. Malenovský (relatore), dallasig.ra R. Silva de Lapuerta, dai sigg. E. Juhász e G. Arestis, giudici,

avvocato generale: sig. P. Cruz Villalón

cancelliere: sig.ra C. Strömholm, amministratore

vista la fase scritta del procedimento e in seguito all‟udienza del 13 gennaio 2011,

considerate le osservazioni presentate:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=115202&pageIndex=0&doclang=IT&mode=lst&dir=&occ=first&part=1&cid=956907








16

– per la Scarlet Extended SA, dagli avv.ti T. De Meese e B. Van Asbroeck, avocats;

– per la Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), la BelgianEntertainment Association Video ASBL (BEA Video) e la Belgian EntertainmentAssociation Music ASBL (BEA Music), dagli avv.ti F. de Visscher, B. Michaux e F.Brison, avocats;

– per la Internet Service Provider Association ASBL (ISPA), dall‟avv. G. Somers, avocat;

– per il governo belga, dai sigg. T. Materne e J.-C. Halleux, nonché dalla sig.ra C. Pochet, inqualità di agenti;

– per il governo ceco, dal sig. M. Smolek e dalla sig.ra K. Havlíčková, in qualità di agenti;

– per il governo italiano, dalla sig.ra G. Palmieri, in qualità di agente, assistita dal sig. S.Fiorentino, avvocato dello Stato;

– per il governo olandese, dalle sig.re C. Wissels e B. Koopman, in qualità di agenti;

– per il governo polacco, dai sigg. M. Szpunar, M. Drwięcki e J. Goliński, in qualità di agenti;

– per il governo finlandese, dalla sig.ra M. Pere, in qualità di agente;

– per la Commissione europea, dalle sig.re J. Samnadda e C. Vrignon, in qualità di agenti,

sentite le conclusioni dell‟avvocato generale, presentate all‟udienza del 14 aprile 2011,

ha pronunciato la seguente

Sentenza

1 La domanda di pronuncia pregiudiziale verte sull‟interpretazione delle seguenti direttive:

– direttiva del Parlamento europeo e del Consiglio 8 giugno 2000, 2000/31/CE, relativa a taluniaspetti giuridici dei servizi della società dell‟informazione, in particolare il commercioelettronico, nel mercato interno («Direttiva sul commercio elettronico») (GU L 178, pag.1);

– direttiva del Parlamento europeo e del Consiglio 22 maggio 2001, 2001/29/CE,sull‟armonizzazione di taluni aspetti del diritto d‟autore e dei diritti connessi nella societàdell‟informazione (GU L 167, pag. 10);

– direttiva del Parlamento europeo e del Consiglio 29 aprile 2004, 2004/48/CE, sul rispetto deidiritti di proprietà intellettuale (GU L 157, pag. 45; rettifiche nella GU 2004, L 195, pag.16);

– direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa allatutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché allalibera circolazione di tali dati (GU L 281, pag. 31), e

– direttiva del Parlamento europeo e del Consiglio 12 luglio 2002, 2002/58/CE, relativa altrattamento dei dati personali e alla tutela della vita privata nel settore delle



17

comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazionielettroniche) (GU L 201, pag. 37).

2 Questa domanda è stata presentata nel contesto di una controversia tra la Scarlet Extended SA (inprosieguo: la «Scarlet») e la Société belge des auteurs, compositeurs et éditeurs SCRL(SABAM) (in prosieguo: la «SABAM») vertente sul rifiuto della Scarlet di predisporre unsistema di filtraggio delle comunicazioni elettroniche realizzate tramite programmi per loscambio di archivi (detti «peer-to-peer»), onde impedire gli scambi dei file che ledono i dirittid‟autore.

Contesto normativo

Il diritto dell’Unione

La direttiva 2000/31

3 Ai sensi del quarantacinquesimo e del quarantasettesimo „considerando‟ della direttiva 2000/31: «(45) Le limitazioni alla responsabilità dei prestatori intermedi previste nella presente direttiva

lasciano impregiudicata la possibilità di azioni inibitorie di altro tipo. Siffatte azioniinibitorie possono, in particolare, essere ordinanze di organi giurisdizionali o autoritàamministrative che obbligano a porre fine a una violazione o impedirla, anche con larimozione dell‟informazione illecita o la disabilitazione dell‟accesso alla medesima.

(...)

(47) Gli Stati membri non possono imporre ai prestatori un obbligo di sorveglianza di caratteregenerale. Tale disposizione non riguarda gli obblighi di sorveglianza in casi specifici e, in

particolare, lascia impregiudicate le ordinanze emesse dalle autorità nazionali secondo lerispettive legislazioni».

4 L‟art. 1 di questa direttiva così recita:

«1. La presente direttiva mira a contribuire al buon funzionamento del mercato internogarantendo la libera circolazione dei servizi della società dell‟informazione tra Stati membri.

2. La presente direttiva ravvicina, nella misura necessaria alla realizzazione dell‟obiettivo di cuial paragrafo 1, talune norme nazionali sui servizi della società dell‟informazione che interessanoil mercato interno, lo stabilimento dei prestatori, le comunicazioni commerciali, i contratti pervia elettronica, la responsabilità degli intermediari, i codici di condotta, la composizione

extragiudiziaria delle controversie, i ricorsi giurisdizionali e la cooperazione tra Stati membri.

(...)».

5 L‟art. 12 di detta direttiva, che figura nella Sezione 4 del Capo II della stessa ed è intitolato«Responsabilità dei prestatori intermediari», dispone quanto segue:

«1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della societàdell‟informazione consistente nel trasmettere, su una rete di comunicazione, informazionifornite da un destinatario del servizio, o nel fornire un accesso alla rete di comunicazione, ilprestatore non sia responsabile delle informazioni trasmesse a condizione che egli:

a) non dia origine alla trasmissione;

b) non selezioni il destinatario della trasmissione; e



18

c) non selezioni né modifichi le informazioni trasmesse.

(...)

3. Il presente articolo lascia impregiudicata la possibilità, secondo gli ordinamenti degli Statimembri, che un organo giurisdizionale o un‟autorità amministrativa esiga che il prestatore

impedisca o ponga fine ad una violazione».

6 Ai sensi dell‟art. 15 della direttiva 2000/31, anch‟esso incluso nella sua Sezione 4 del Capo II:

«1. Nella prestazione dei servizi di cui agli articoli 12, 13 e 14, gli Stati membri non impongonoai prestatori un obbligo generale di sorveglianza sulle informazioni che trasmettono omemorizzano né un obbligo generale di ricercare attivamente fatti o circostanze che indichino lapresenza di attività illecite.

2. Gli Stati membri possono stabilire che i prestatori di servizi della società dell‟informazionesiano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o

informazioni illecite dei destinatari dei loro servizi o a comunicare alle autorità competenti, aloro richiesta, informazioni che consentano l‟identificazione dei destinatari dei loro servizi concui hanno accordi di memorizzazione dei dati».


7 A norma del sedicesimo e del cinquantanovesimo „considerando‟ della direttiva 2001/29:

«(16)(...) La presente direttiva dovrebbe essere attuata in tempi analoghi a quelli previsti per [ladirettiva 2000/31], in quanto tale direttiva fornisce un quadro armonizzato di principi eregole che riguardano tra l‟altro alcune parti importanti della presente direttiva. Questadirettiva lascia impregiudicate le regole relative alla responsabilità della direttiva

suddetta.

(...)

(59) In particolare in ambito digitale, i servizi degli intermediari possono essere sempre piùutilizzati da terzi per attività illecite. In molti casi siffatti intermediari sono i più idonei aporre fine a dette attività illecite. Pertanto fatte salve le altre sanzioni e i mezzi di tutela adisposizione, i titolari dei diritti dovrebbero avere la possibilità di chiedere unprovvedimento inibitorio contro un intermediario che consenta violazioni in rete da partedi un terzo contro opere o altri materiali protetti. Questa possibilità dovrebbe esseredisponibile anche ove gli atti svolti dall‟intermediario siano soggetti a eccezione ai sensidell‟articolo 5. Le condizioni e modalità relative a tale provvedimento ingiuntivo

dovrebbero essere stabilite dal diritto nazionale degli Stati membri».

8 L‟art. 8 della direttiva 2001/29 stabilisce quanto segue:

«1. Gli Stati membri prevedono adeguate sanzioni e mezzi di ricorso contro le violazioni deidiritti e degli obblighi contemplati nella presente direttiva e adottano tutte le misure necessarie agarantire l‟applicazione delle sanzioni e l‟utilizzazione dei mezzi di ricorso. Le sanzioni previstedevono essere efficaci, proporzionate e dissuasive.

(...)

3. Gli Stati membri si assicurano che i titolari dei diritti possano chiedere un provvedimentoinibitorio nei confronti degli intermediari i cui servizi siano utilizzati da terzi per violare undiritto d‟autore o diritti connessi».



19


9 Il ventitreesimo „considerando‟ della direttiva 2004/48 così recita:

«[Senza pregiudizio di] eventuali altre misure, procedure e mezzi di ricorso disponibili, i titolaridei diritti dovrebbero avere la possibilità di richiedere un provvedimento inibitorio contro unintermediario i cui servizi sono utilizzati da terzi per violare il diritto di proprietà industriale deltitolare. Le condizioni e modalità relative a tale provvedimento inibitorio dovrebbero esserestabilite dal diritto nazionale degli Stati membri. Per quanto riguarda le violazioni del dirittod‟autore e dei diritti connessi, la direttiva [2001/29] prevede già un ampio livello diarmonizzazione. Pertanto l‟articolo 8, paragrafo 3, della direttiva [2001/29] non dovrebbe esserepregiudicato dalla presente direttiva».

10 Ai termini dell‟art. 2, n. 3, della direttiva 2004/48:

«La presente direttiva fa salve:

a) le disposizioni comunitarie che disciplinano il diritto sostanziale di proprietà intellettuale(…), la direttiva [2000/31] in generale e le disposizioni degli articoli da 12 a 15 [diquest‟ultima] in particolare;

(...)».

11 L‟art. 3 della direttiva 2004/48 così recita:

«1. Gli Stati membri definiscono le misure, le procedure e i mezzi di ricorso necessari adassicurare il rispetto dei diritti di proprietà intellettuale di cui alla presente direttiva. Tali misure,procedure e mezzi di ricorso sono leali ed equi, non inutilmente complessi o costosi e noncomportano termini irragionevoli né ritardi ingiustificati.

2. Le misure, le procedure e i mezzi di ricorso sono effettivi, proporzionati e dissuasivi e sonoapplicati in modo da evitare la creazione di ostacoli al commercio legittimo e da prevederesalvaguardie contro gli abusi».

12 L‟art. 11 della direttiva 2004/48 così dispose:

«Gli Stati membri assicurano che, in presenza di una decisione giudiziaria che ha accertato unaviolazione di un diritto di proprietà intellettuale, le autorità giudiziarie possano emettere neiconfronti dell‟autore della violazione un‟ingiunzione diretta a vietare il proseguimento dellaviolazione. Se previsto dalla legislazione nazionale, il mancato rispetto di un‟ingiunzione èoggetto, ove opportuno, del pagamento di una pena pecuniaria suscettibile di essere reiterata, alfine di assicurarne l‟esecuzione. Gli Stati membri assicurano che i titolari possano chiedere unprovvedimento ingiuntivo nei confronti di intermediari i cui servizi sono utilizzati da terzi perviolare un diritto di proprietà intellettuale, senza pregiudizio dell‟articolo 8, paragrafo 3, delladirettiva [2001/29]».

Il diritto nazionale

13 L‟art. 87, n. 1, primo e secondo comma, della legge 30 giugno 1994, sul diritto d‟autore e sui diritticonnessi ( Moniteur belge del 27 luglio 1994, pag. 19297) prevede quanto segue:

«Il presidente del tribunal de première instance (…) consta[ta] l‟esistenza e [ordina] la

cessazione di qualsiasi violazione del diritto d‟autore o di un diritto connesso.[Può] altresì emanare un provvedimento inibitorio contro intermediari i cui servizi sianoutilizzati da un terzo per violare il diritto d‟autore o un diritto connesso».



20

14 Gli artt. 18 e 21 della legge 11 marzo 2003, su taluni aspetti giuridici dei servizi della societàdell‟informazione ( Moniteur belge del 17 marzo 2003, pag. 12962), recepiscono nel dirittonazionale gli artt. 12 e 15 della direttiva 2000/31.

Causa principale e questioni pregiudiziali

15 La SABAM è una società di gestione che rappresenta gli autori, i compositori e gli editori di operemusicali ed autorizza l‟utilizzo delle loro opere tutelate da parte di terzi.

16 La Scarlet è un fornitore di accesso ad Internet (in prosieguo: «FAI») che procura ai propri clientitale accesso, senza proporre altri servizi come lo scaricamento o la condivisione dei file.

17 Nel corso del 2004, la SABAM perveniva alla conclusione che gli utenti di Internet che siavvalevano dei servizi della Scarlet scaricavano da Internet, senza autorizzazione e senzapagarne i diritti, opere contenute nel suo catalogo utilizzando reti «peer-to-peer», checostituiscono uno strumento aperto per la condivisione di contenuti, indipendente,

decentralizzato e dotato di avanzate funzioni di ricerca e di scaricamento di file.

18 Con atto di ricorso del 24 giugno 2004 essa citava pertanto la Scarlet dinanzi al presidente deltribunal de première instance de Bruxelles, sostenendo che, nella sua qualità di FAI, tale societàsi trovava nella situazione ideale per adottare misure volte a far cessare le violazioni del dirittod‟autore commesse dai suoi clienti.

19 LA SABAM chiedeva, anzitutto, che venisse riconosciuta la violazione dei diritti d‟autore sulleopere musicali appartenenti al suo repertorio, in particolare dei diritti di riproduzione e dicomunicazione al pubblico, dovuta allo scambio non autorizzato di file musicali realizzatograzie a software «peer to peer». Tali violazioni sarebbero state commesse avvalendosi deiservizi della Scarlet.

20 Essa domandava inoltre che la Scarlet fosse condannata, a pena di ammenda, a far cessare taliviolazioni rendendo impossibile o bloccando qualsiasi forma di invio o di ricezione da parte deisuoi clienti, mediante programmi «peer to peer», senza autorizzazione dei titolari dei diritti, difile contenenti un‟opera musicale, pretendendo infine che la Scarlet le comunicasse ladescrizione delle misure che intendeva applicare per ottemperare all‟emananda sentenza, a penadi ammenda.

21 Con sentenza 26 novembre 2004, il presidente del tribunal de première instance de Bruxellesaccertava l‟esistenza delle violazioni del diritto d‟autore denunciate dalla SABAM. Tuttavia, prima di statuire sull‟istanza di provvedimenti inibitori, esso incaricava un perito di verificare se

le soluzioni tecniche proposte dalla SABAM fossero tecnicamente realizzabili, se esseconsentissero di filtrare unicamente gli scambi illeciti di file e se esistessero altri dispositiviidonei a controllare l‟utilizzo di programmi «peer to peer», nonché di quantificare il costo deidispositivi considerati.

22 Nella sua relazione, il perito designato traeva la conclusione che, nonostante la presenza dinumerosi ostacoli tecnici, non si poteva escludere completamente che il filtraggio ed il bloccodegli scambi illeciti di file fosse realizzabile.

23 Con sentenza 29 giugno 2007, il presidente del tribunal de première instance de Bruxellescondannava pertanto la Scarlet a far cessare le violazioni del diritto d‟autore accertate con lasentenza 26 novembre 2004, rendendo impossibile qualsiasi forma, realizzata mediante unprogramma «peer to peer», di invio o di ricezione, da parte dei suoi clienti, di file checontenessero un‟opera musicale appartenente al repertorio della Sabam, a pena di ammenda.



21

24 La Scarlet interponeva appello contro tale sentenza dinanzi al giudice del rinvio, affermando,anzitutto, che le risultava impossibile ottemperare a tale ingiunzione poiché l‟efficacia e ladurata nel tempo dei dispositivi di blocco o di filtraggio non erano dimostrate e l‟attuazione ditali dispositivi era ostacolata da diversi fattori pratici, quali problemi di capacità della rete e diimpatto sulla stessa. Inoltre, qualsiasi tentativo di bloccare i file incriminati, a suo avviso,sarebbe stato destinato al fallimento a breve termine, stante l‟esistenza di numerosi programmi«peer-to-peer» che avrebbero reso impossibile la verifica del loro contenuto da parte di terzi.

25 La Scarlet sosteneva poi che detta ingiunzione non era conforme all‟art. 21 della legge 11 marzo2003, su taluni aspetti giuridici dei servizi della società dell‟informazione, che recepisce neldiritto nazionale l‟art. 15 della direttiva 2000/31, in quanto imponeva, de facto, un obbligo generale di sorveglianza sulle comunicazioni veicolate dalla sua rete, posto che qualsiasidispositivo di blocco o di filtraggio del traffico «peer to peer» presuppone una sorveglianzageneralizzata su tutte le comunicazioni che passano per tale rete.

26 Infine, la Scarlet spiegava che la predisposizione di un sistema di filtraggio avrebbe leso ledisposizioni del diritto dell‟Unione in materia di tutela dei dati personali e di segreto delle

comunicazioni, in quanto tale filtraggio implica il trattamento degli indirizzi IP, che sono datipersonali.

27 In tale contesto il giudice del rinvio ha ritenuto che, prima di verificare se un meccanismo difiltraggio e di blocco dei file «peer-to-peer» esista e possa essere efficace, occorre assicurarsiche gli obblighi da porre eventualmente a carico della Scarlet siano conformi al dirittodell‟Unione.

28 In tale contesto, la cour d‟appel de Bruxelles ha deciso di sospendere il procedimento e disottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se le direttive 2001/29 e 2004/48, lette in combinato disposto con le direttive 95/46,2000/31 e 2002/58, interpretate, in particolare, alla luce degli artt. 8 e 10 dellaConvenzione europea per la salvaguardia dei diritti dell‟uomo e delle libertàfondamentali, consentano agli Stati membri di autorizzare un giudice nazionale, aditonell‟ambito di un procedimento nel merito e in base alla sola disposizione di legge che prevede che “[i giudici nazionali] possono altresì emettere un‟ingiunzione recante unprovvedimento inibitorio nei confronti di intermediari i cui servizi siano utilizzati da unterzo per violare il diritto d‟autore o un diritto connesso”, ad ordinare ad un [FAI] dipredisporre, nei confronti della sua intera clientela, in abstracto e a titolo preventivo,esclusivamente a spese di tale FAI e senza limitazioni nel tempo, un sistema di filtraggiodi tutte le comunicazioni elettroniche, sia entranti che uscenti, che transitano per i suoiservizi, in particolare mediante l‟impiego di software “peer to peer”, al fine di

individuare, nella sua rete, la circolazione di file contenenti un‟opera musicale,cinematografica o audiovisiva sulla quale il richiedente affermi di vantare diritti, e inseguito di bloccare il trasferimento di questi, al momento della richiesta o in occasionedell‟invio.

2) In caso di risposta affermativa alla [prima] questione (…), se tali direttive obblighino ilgiudice nazionale, adito per statuire su una richiesta di ingiunzione nei confronti di unintermediario dei cui servizi si avvalgano terzi per violare il diritto d‟autore, ad applicareil principio della proporzionalità quando è chiamato a pronunciarsi sull‟efficacia esull‟effetto dissuasivo della misura richiesta».

Sulle questioni pregiudiziali

29 Con le sue questioni il giudice del rinvio chiede, in sostanza, se le direttive 2000/31, 2001/29,2004/48, 95/46 e 2002/58, lette nel loro combinato disposto ed interpretate alla luce delle



22

condizioni che la tutela dei diritti fondamentali applicabili implica, debbano essere interpretatenel senso che ostano all‟ingiunzione rivolta ad un FAI di predisporre un sistema di filtraggio:

– di tutte le comunicazioni elettroniche che transitano per i suoi servizi, in particolare medianteprogrammi «peer-to-peer»;

– che si applichi indistintamente a tutta la sua clientela;

– a titolo preventivo;

– a sue spese esclusive, e

– senza limiti nel tempo,

idoneo ad identificare nella rete di tale fornitore la circolazione di file contenenti un‟operamusicale, cinematografica o audiovisiva rispetto alla quale il richiedente affermi di vantarediritti di proprietà intellettuale, onde bloccare il trasferimento di file il cui scambio pregiudichi il

diritto d‟autore (in prosieguo: il «sistema di filtraggio controverso»).

30 In proposito, occorre anzitutto ricordare che, ai sensi degli artt. 8, n. 3, della direttiva 2001/29 e 11,terza frase, della direttiva 2004/48, i titolari di diritti di proprietà intellettuale possono chiedereun provvedimento inibitorio nei confronti degli intermediari, come i FAI, i cui servizi sianoutilizzati da terzi per violare i loro diritti.

31 Dalla giurisprudenza della Corte risulta poi che la competenza attribuita, a norma di talidisposizioni, agli organi giurisdizionali nazionali deve consentire a questi ultimi di ingiungere adetti intermediari di adottare provvedimenti che contribuiscano in modo effettivo, non solo aporre fine alle violazioni già inferte ai diritti di proprietà intellettuale mediante i loro servizi

della società dell‟informazione, ma anche a prevenire nuove violazioni (v., in questo senso,sentenza 12 luglio 2011, causa C-324/09, L‟Oréal e a., non ancora pubblicata nella Raccolta,punto 131).

32 Infine, dalla medesima giurisprudenza si evince che le modalità delle ingiunzioni che gli Statimembri devono prevedere ai sensi di detti artt. 8, n. 3, e 11, terza frase, quali quelle relative allecondizioni che devono essere soddisfatte e alla procedura da seguire, devono essere stabilite daldiritto nazionale (v., mutatis mutandis, sentenza L‟Oréal e a., cit., punto 135).

33 Pertanto, tali norme nazionali, al pari della loro applicazione da parte degli organi giurisdizionalinazionali, devono rispettare i limiti derivanti dalle direttive 2001/29 e 2004/48, nonché dallefonti del diritto alle quali tali direttive fanno riferimento (v., in questo senso, sentenza L‟Oréal e

a., cit., punto 138).

34 Di conseguenza, in conformità al sedicesimo „considerando‟ della direttiva 2001/29 e all‟art. 2, n.3, lett. a), della direttiva 2004/48, dette norme, emanate dagli Stati membri, non possonointaccare le disposizioni della direttiva 2000/31 e, più precisamente, i suoi artt. 12-15.

35 Tali norme devono quindi rispettare l‟art. 15, n. 1, della direttiva 2000/31, che vieta alle autoritànazionali di adottare misure che impongano ad un FAI di procedere ad una sorveglianzageneralizzata sulle informazioni che esso trasmette sulla propria rete.

36 A questo riguardo, la Corte ha già statuito che siffatto divieto abbraccia in particolare le misure

nazionali che obbligherebbero un prestatore intermedio, come un FAI, a realizzare una vigilanzaattiva su tutti i dati di ciascuno dei suoi clienti per prevenire qualsiasi futura violazione di dirittidi proprietà intellettuale. Peraltro, un obbligo siffatto di vigilanza generale sarebbeincompatibile con l‟art. 3 della direttiva 2004/48, il quale enuncia che le misure contemplate da



23

detta direttiva devono essere eque e proporzionate e non eccessivamente costose (v. sentenzaL‟Oréal e a., cit., punto 139).

37 Ciò considerato, occorre verificare se l‟ingiunzione oggetto della causa principale, che impone alFAI di predisporre il sistema di filtraggio controverso, implichi in tale circostanza l‟obbligo diprocedere ad una sorveglianza attiva su tutti i dati di ciascuno dei suoi clienti per prevenirequalsiasi futura violazione di diritti di proprietà intellettuale.

38 A questo proposito, è pacifico che l‟attuazione di tale sistema di filtraggio presuppone:

– che il FAI identifichi, in primo luogo, nell‟insieme delle comunicazioni elettroniche di tutti isuoi clienti, i file che appartengono al traffico «peer-to-peer»;

– che esso identifichi, in secondo luogo, nell‟ambito di tale traffico, i file che contengono operesulle quali i titolari dei diritti di proprietà intellettuale affermino di vantare diritti;

– in terzo luogo, che esso determini quali tra questi file sono scambiati in modo illecito e,

– in quarto luogo, che proceda al blocco degli scambi di file che esso stesso qualifica comeilleciti.

39 Siffatta sorveglianza preventiva richiederebbe così un‟osservazione attiva sulla totalità dellecomunicazioni elettroniche realizzate sulla rete del FAI coinvolto e, pertanto, includerebbe tuttele informazioni da trasmettere e ciascun cliente che si avvale di tale rete.

40 Alla luce di quanto precede, occorre dichiarare che l‟ingiunzione rivolta al FAI in questione dipredisporre il sistema di filtraggio controverso lo obbligherebbe a procedere ad una sorveglianzaattiva su tutti i dati di ciascuno dei suoi clienti per prevenire qualsiasi futura violazione di diritti

di proprietà intellettuale. Da ciò si evince che tale ingiunzione imporrebbe a detto FAI unasorveglianza generalizzata, che è vietata dall‟art. 15, n. 1, della direttiva 2000/31.

41 Per vagliare la conformità di tale ingiunzione al diritto dell‟Unione, occorre inoltre tenere contodelle condizioni che discendono dalla tutela dei diritti fondamentali applicabili, come quellimenzionati dal giudice del rinvio.

42 In proposito va ricordato che l‟ingiunzione oggetto della causa principale è volta a garantire latutela dei diritti d‟autore, che appartengono alla sfera del diritto di proprietà intellett uale e chepossono essere lesi dalla natura e dal contenuto di talune comunicazioni elettroniche realizzateper il tramite della rete del FAI in questione.

43 Sebbene la tutela del diritto di proprietà intellettuale sia sancita dall‟art. 17, n. 2, della Carta deidiritti fondamentali dell‟Unione europea (in prosieguo: la «Carta»), non può desumersi né datale disposizione né dalla giurisprudenza della Corte che tale diritto sia intangibile e che la suatutela debba essere garantita in modo assoluto.

44 Come emerge, infatti, dai punti 62-68 della sentenza 29 gennaio 2008, causa C-275/06, Promusicae(Racc. pag. I-271), la tutela del diritto fondamentale di proprietà, di cui fanno parte i diritti diproprietà intellettuale, deve essere bilanciata con quella di altri diritti fondamentali.

45 Più precisamente, dal punto 68 di tale sentenza emerge che è compito delle autorità e dei giudicinazionali, nel contesto delle misure adottate per proteggere i titolari di diritti d‟autore, garantire

un giusto equilibrio tra la tutela di tali diritti e quella dei diritti fondamentali delle persone su cuiincidono dette misure.



24

46 Pertanto, in circostanze come quelle della causa principale, le autorità ed i giudici nazionali devonoin particolare garantire un giusto equilibrio tra la tutela del diritto di proprietà intellettuale, dicui godono i titolari di diritti d‟autore, e quella della libertà d‟impresa, appannaggio di operatoricome i FAI in forza dell‟art. 16 della Carta.

47 Orbene, nella presente fattispecie, l‟ingiunzione di predisporre il sistema di filtraggio controversoimplica una sorveglianza, nell‟interesse di tali titolari, su tutte le comunicazioni elettronicherealizzate sulla rete del FAI coinvolto. Tale sorveglianza è inoltre illimitata nel tempo, riguardaqualsiasi futura violazione e postula che si debbano tutelare non solo opere esistenti, bensìanche opere future, che non sono state ancora create nel momento in cui viene predisposto dettosistema.

48 Pertanto, un‟ingiunzione di questo genere causerebbe una grave violazione della libertà di impresadel FAI in questione, poiché l‟obbligherebbe a predisporre un sistema informatico complesso,costoso, permanente e unicamente a suo carico, il che risulterebbe peraltro contrario allecondizioni stabilite dall‟art. 3, n. 1, della direttiva 2004/48, il quale richiede che le misureadottate per assicurare il rispetto dei diritti di proprietà intellettuale non siano inutilmente

complesse o costose.

49 Ciò premesso, occorre dichiarare che l‟ingiunzione di predispor re il sistema di filtraggiocontroverso non rispetta l‟esigenza di garantire un giusto equilibrio tra, da un lato, la tutela deldiritto di proprietà intellettuale, di cui godono i titolari dei diritti d‟autore, e, dall‟altro, quelladella libertà d‟impresa, appannaggio di operatori come i FAI.

50 Per di più, gli effetti di detta ingiunzione non si limiterebbero al FAI coinvolto, poiché il sistema difiltraggio controverso è idoneo a ledere anche i diritti fondamentali dei clienti di tale FAI, ossiai loro diritti alla tutela dei dati personali e alla libertà di ricevere o di comunicare informazioni,diritti, questi ultimi, tutelati dagli artt. 8 e 11 della Carta.

51 Da un lato, infatti, è pacifico che l‟ingiunzione di predisporre il sistema di filtraggio controversoimplicherebbe un‟analisi sistematica di tutti i contenuti, nonché la raccolta e l‟identificazionedegli indirizzi IP degli utenti all‟origine dell‟invio dei contenuti illeciti sulla rete, indirizzi checostituiscono dati personali protetti, in quanto consentono di identificare in modo precisosuddetti utenti.

52 Dall‟altro, detta ingiunzione rischierebbe di ledere la libertà di informazione, poiché tale sistemapotrebbe non essere in grado di distinguere adeguatamente tra un contenuto lecito ed uncontenuto illecito, sicché il suo impiego potrebbe produrre il risultato di bloccare comunicazioniaventi un contenuto lecito. Infatti, è indiscusso che la questione della liceità di una trasmissionedipende anche dall‟applicazione di eccezioni di legge al diritto di autore che variano da uno

Stato membro all‟altro. Inoltre, in certi Stati membri talune opere possono rientrare nel pubblicodominio o possono essere state messe in linea gratuitamente da parte dei relativi autori.

53 Pertanto, occorre dichiarare che, adottando l‟ingiunzione che costringe il FAI a predisporre ilsistema di filtraggio controverso, il giudice nazionale in questione non rispetterebbe l‟obbligo digarantire un giusto equilibrio tra, da un lato, il diritto di proprietà intellettuale e, dall‟altro, lalibertà di impresa, il diritto alla tutela dei dati personali e la libertà di ricevere o di comunicareinformazioni.

54 Alla luce di quanto precede, occorre risolvere le questioni sottoposte dichiarando che le direttive2000/31, 2001/29, 2004/48, 95/46 e 2002/58, lette in combinato disposto e interpretate tenendopresenti le condizioni derivanti dalla tutela dei diritti fondamentali applicabili, devono essereinterpretate nel senso che ostano all‟ingiunzione ad un FAI di predisporre il sistema di filtraggiocontroverso.



25

Sulle spese

55 Nei confronti delle parti nella causa principale il presente procedimento costituisce un incidentesollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenuteda altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Terza Sezione) dichiara:

Le direttive:

– del Parlamento europeo e del Consiglio 8 giugno 2000, 2000/31/CE, relativa a taluni aspetti

giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nelmercato interno («Direttiva sul commercio elettronico»);

– del Parlamento europeo e del Consiglio 22 maggio 2001, 2001/29/CE, sull’armonizzazione di

taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione;

– del Parlamento europeo e del Consiglio 29 aprile 2004, 2004/48/CE, sul rispetto dei diritti diproprietà intellettuale;

– del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle

persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione ditali dati, e

– del Parlamento europeo e del Consiglio 12 luglio 2002, 2002/58/CE, relativa al trattamento dei

dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche(direttiva relativa alla vita privata e alle comunicazioni elettroniche),

lette in combinato disposto e interpretate tenendo presenti le condizioni derivanti dalla tutela deidiritti fondamentali applicabili, devono essere interpretate nel senso che ostano all’ingiunzione

ad un fornitore di accesso ad Internet di predisporre un sistema di filtraggio:

– di tutte le comunicazioni elettroniche che transitano per i suoi servizi, in particolare mediante

programmi «peer-to-peer»;

– che si applica indistintamente a tutta la sua clientela;

– a titolo preventivo;

– a sue spese esclusive, e

– senza limiti nel tempo,

idoneo ad identificare nella rete di tale fornitore la circolazione di file contenenti un’opera

musicale, cinematografica o audiovisiva rispetto alla quale il richiedente affermi di vantare

diritti di proprietà intellettuale, onde bloccare il trasferimento di file il cui scambio pregiudichi ildiritto d’autore.

Firme



26


Dalla rete, pubblicato in “Infocuria - Giurisprudenza della Corte di giustizia”

SENTENZA DELLA CORTE (Terza Sezione)

19 aprile 2012

«Diritto d‟autore e diritti connessi – Trattamento di dati via Internet – Lesione di undiritto esclusivo – Audiolibri resi accessibili per mezzo di un server FTP via Internet

tramite un recapito IP fornito dall‟operatore Internet – Ingiunzione rivolta all‟operatoreInternet di fornire il nominativo ed il recapito dell‟utilizzatore dell‟indirizzo IP»

Nella causa C-461/10,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensidell‟art. 267 TFUE, dallo Högsta domstolen (Svezia), con decisione del 25 agosto 2010,pervenuta in cancelleria il 20 settembre 2010, nella causa

Bonnier Audio AB,

Earbooks AB,

Norstedts Förlagsgrupp AB,

Piratförlaget AB,

Storyside AB

contro

Perfect Communication Sweden AB,

LA CORTE (Terza Sezione),

composta dal sig. K. Lenaerts, presidente di sezione, dal sig. J. Malenovský (relatore),dalla sig.ra R. Silva de Lapuerta, dai sigg. E. Juhász e D. Šváby, giudici,

avvocato generale: sig. N. Jääskinen

cancelliere: sig.ra K. Sztranc-Sławiczek, amministratore

vista la fase scritta del procedimento e in seguito all‟udienza del 30 giugno 2011,

considerate le osservazioni presentate:

– per la Bonnier Audio AB, la Earbooks AB, la Norstedts Förlagsgrupp AB, laPiratförlaget AB e la Storyside AB, da P. Danowsky e O. Roos, advokater;



27

– per la Perfect Communication Sweden AB, da P. Helle e M. Moström, advokater;

– per il governo svedese, da A. Falk e C. Meyer-Seitz, in qualità di agenti;

– per il governo ceco, da M. Smolek e K. Havlíčková, in qualità di agenti;

– per il governo italiano, da G. Palmieri e C. Colelli, in qualità di agenti, assistite da S.Fiorentino, avvocato dello Stato;

– per il governo lettone, da M. Borkoveca e K. Krasovska, in qualità di agenti;

– per la Commissione europea, da R. Troosters e K. Simonsson, in qualità di agenti,

sentite le conclusioni dell‟avvocato generale, presentate all‟udienza del 17 novembre2011,

ha pronunciato la seguente

Sentenza

1 La domanda di pronuncia pregiudiziale verte sull‟interpretazione degli articoli 3-5 e11 della direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo2006, riguardante la conservazione di dati generati o trattati nell‟ambito della fornituradi servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche dicomunicazione e che modifica la direttiva 2002/58/CE (GU L 105, pag. 54), nonché

dell‟articolo 8 della direttiva 2004/48/CE del Parlamento europeo e del Consiglio, del29 aprile 2004, sul rispetto dei diritti di proprietà intellettuale (GU L 157, pag. 45, e – rettifica – GU L 195, pag. 16).

2 Tale domanda è stata proposta nell‟ambito di una controversia tra la Bonnier AudioAB, la Earbooks AB, la Norstedts Förlagsgrupp AB, la Piratförlaget AB e la StorysideAB (in prosieguo, congiuntamente: la «Bonnier Audio e a.»), da un lato, e la PerfectCommunication Sweden AB (in prosieguo: la «ePhone»), dall‟altro, in meritoall‟opposizione di quest‟ultima ad una domanda di ingiunzione di comunicazione di datiproposta dai ricorrenti principali.

Contesto normativo

Il diritto dell’Unione

Le disposizioni relative alla tutela della proprietà intellettuale

3 L‟art. 8 della direttiva 2004/48 così recita:

«1. Gli Stati membri assicurano che, nel contesto di procedimenti riguardanti laviolazione di un diritto di proprietà intellettuale e in risposta a una richiesta giustificata

e proporzionata del richiedente, l‟autorità giudiziaria competente possa ordinare che leinformazioni sull‟origine e sulle reti di distribuzione di merci o di prestazione di serviziche violano un diritto di proprietà intellettuale siano fornite dall‟autore della violazionee/o da ogni altra persona che:



28

a) sia stata trovata in possesso di merci oggetto di violazione di un diritto, su scalacommerciale;

b) sia stata sorpresa a utilizzare servizi oggetto di violazione di un diritto, su scalacommerciale;

c) sia stata sorpresa a fornire su scala commerciale servizi utilizzati in attività diviolazione di un diritto,

oppure

d) sia stata indicata dai soggetti di cui alle lettere a), b) o c) come persona implicatanella produzione, fabbricazione o distribuzione di tali prodotti o nella fornitura di taliservizi.

2. Le informazioni di cui al paragrafo 1 comprendono, ove opportuno, quanto segue:

a) nome e indirizzo dei produttori, dei fabbricanti, dei distributori, dei fornitori e deglialtri precedenti detentori dei prodotti o dei servizi, nonché dei grossisti e deidettaglianti;

b) informazioni sulle quantità prodotte, fabbricate, consegnate, ricevute o ordinate,nonché sul prezzo spuntato per i prodotti o i servizi in questione.

3. I paragrafi 1 e 2 si applicano fatte salve le altre disposizioni [legislative e]regolamentari che:

a) accordano al titolare diritti d‟informazione più ampi;

b) disciplinano l‟uso in sede civile o penale delle informazioni comunicate in virtù delpresente articolo;

c) disciplinano la responsabilità per abuso del diritto d‟informazione;

d) accordano la possibilità di rifiutarsi di fornire informazioni che costringerebbero isoggetti di cui al paragrafo 1 ad ammettere la [loro] partecipazione personale o quella diparenti stretti ad una violazione di un diritto di proprietà intellettuale;

oppure

e) disciplinano la protezione o la riservatezza delle fonti informative o il trattamento didati personali».

Le disposizioni relative alla protezione dei dati di carattere personale

– La direttiva 95/46/CE

4 La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali,nonché alla libera circolazione di tali dati (GU L 281, pag. 31), stabilisce norme relative

al trattamento dei dati personali al fine di tutelare i diritti delle persone fisiche a taleriguardo, assicurando al contempo la libera circolazione dei dati medesimi nell‟Unioneeuropea.



29

5 L‟articolo 2, lettere a) e b), della direttiva 95/46 così dispone:

«Ai fini della presente direttiva si intende per:

a) “dati personali”: qualsiasi informazione concernente una persona fisica identificata o

identificabile (“persona interessata”); si considera identificabile la persona che puòessere identificata, direttamente o indirettamente, in particolare mediante riferimento adun numero di identificazione o ad uno o più elementi specifici caratteristici della suaidentità fisica, fisiologica, psichica, economica, culturale o sociale;

b) “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme dioperazioni compiute con o senza l‟ausilio di processi automatizzati e applicate a dati

personali, come la raccolta, la registrazione, l‟organizzazione, la conservazione,l‟elaborazione o la modifica, l‟estrazione, la consultazione, l‟impiego, la comunicazionemediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, ilraffronto o l‟interconnessione, nonché il congelamento, la cancellazione o la

distruzione».

6 L‟ar ticolo 13 di tale direttiva, intitolato «Deroghe e restrizioni», dispone, al suoparagrafo 1, quanto segue:

«Gli Stati membri possono adottare disposizioni legislative intese a limitare la portatadegli obblighi e dei diritti previsti dalle disposizioni dell‟articolo 6, paragrafo 1,dell‟articolo 10, dell‟articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora talerestrizione costituisca una misura necessaria alla salvaguardia:

a) della sicurezza dello Stato;

b) della difesa;

c) della pubblica sicurezza;

d) della prevenzione, della ricerca, dell‟accertamento e del perseguimento di infrazionipenali o di violazioni della deontologia delle professioni regolamentate;

e) di un rilevante interesse economico o finanziario di uno Stato membro o dell‟Unioneeuropea, anche in materia monetaria, di bilancio e tributaria;

f) di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente,con l‟esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e);

g) della protezione della persona interessata o dei diritti e delle libertà altrui».

– La direttiva 2002/58/CE

7 A termini dell‟articolo 2 della direttiva 2002/58/CE del Parlamento europeo e delConsiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela dellavita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vitaprivata e alle comunicazioni elettroniche) (GU L 201, pag. 37):

«Salvo diversa disposizione, ai fini della presente direttiva si applicano le definizioni dicui alla direttiva 95/46/CE e alla direttiva 2002/21/CE del Parlamento europeo e del



30

Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e iservizi di comunicazione elettronica (direttiva “quadro”) [GU L 108, pag. 33].

Si applicano inoltre le seguenti definizioni:

(...) b) “dati relativi al traffico”: qualsiasi dato sottoposto a trattamento ai fini dellatrasmissione di una comunicazione su una rete di comunicazione elettronica o dellarelativa fatturazione;

(...)

d) “comunicazione”: ogni informazione scambiata o trasmessa tra un numero finito disoggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sonoescluse le informazioni trasmesse, come parte di un servizio di radiodiffusione, alpubblico tramite una rete di comunicazione elettronica salvo quando le informazioni

possono essere collegate all‟abbonato o utente che riceve le informazioni [e] che puòessere identificato;

(...)».

8 L‟articolo 5, paragrafo 1, della direttiva 2002/58 così dispone:

«Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezzadelle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi dicomunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In

particolare essi vietano l‟ascolto, la captazione, la memorizzazione e altre forme diintercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, adopera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando siaautorizzato legalmente a norma dell‟articolo 15, paragrafo 1. Questo paragrafo nonimpedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione,fatto salvo il principio della riservatezza».

9 Il successivo articolo 6 così recita:

«1. I dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dalfornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica,

devono essere cancellati o resi anonimi quando non sono più necessari ai fini dellatrasmissione di una comunicazione, fatti salvi i paragrafi 2, 3 e 5 del presente articolo el‟articolo 15, paragrafo 1.

2. I dati relativi al traffico che risultano necessari ai fini della fatturazione perl‟abbonato e dei pagamenti di interconnessione possono essere sottoposti a trattamento.Tale trattamento è consentito solo sino alla fine del periodo durante il quale può esserelegalmente contestata la fattura o preteso il pagamento.

3. Ai fini della commercializzazione dei servizi di comunicazione elettronica o per lafornitura di servizi a valore aggiunto, il fornitore di un servizio di comunicazione

elettronica accessibile al pubblico ha facoltà di sottoporre a trattamento i dati di cui alparagrafo 1 nella misura e per la durata necessaria per siffatti servizi, o per lacommercializzazione, sempre che l‟abbonato o l‟utente a cui i dati si riferiscono abbia



31

dato il proprio consenso. Gli abbonati o utenti hanno la possibilità di ritirare il loroconsenso al trattamento dei dati relativi al traffico in qualsiasi momento.

(…)

5. Il trattamento dei dati relativi al traffico ai sensi dei paragrafi da 1 a 4 deve esserelimitato alle persone che agiscono sotto l‟autorità dei fornitori della rete pubblica dicomunicazione elettronica e dei servizi di comunicazione elettronica accessibili alpubblico che si occupano della fatturazione o della gestione del traffico, delle indagini

per conto dei clienti, dell‟accertamento delle frodi, della commercializzazione deiservizi di comunicazione elettronica o della prestazione di servizi a valore aggiunto. Iltrattamento deve essere limitato a quanto è strettamente necessario per lo svolgimento ditali attività.

6. I paragrafi 1, 2, 3 e 5 non pregiudicano la facoltà degli organismi competenti diottenere i dati relativi al traffico in base alla normativa applicabile al fine della

risoluzione delle controversie, in particolare di quelle attinenti all‟interconnessione ealla fatturazione».

10 A termini dell‟articolo 15, paragrafo 1, della direttiva medesima:

«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gliobblighi di cui agli articoli 5 e 6, all‟articolo 8, paragrafi da 1 a 4, e all‟articolo 9 dellapresente direttiva, qualora tale restrizione costituisca, ai sensi dell‟articolo 13, paragrafo1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all‟internodi una società democratica per la salvaguardia della sicurezza nazionale (cioè dellasicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca,

accertamento e perseguimento dei reati, ovvero dell‟uso non autorizzato del sistema dicomunicazione elettronica. A tal fine gli Stati membri possono tra l‟altro adottaremisure legislative le quali prevedano che i dati siano conservati per un periodo di tempolimitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presenteparagrafo sono conformi ai principi generali del diritto comunitario, compresi quelli dicui all‟articolo 6, paragrafi 1 e 2, del Trattato sull‟Unione europea».

– La direttiva 2006/24

11 Ai sensi del dodicesimo considerando della direttiva 2006/24/CE:

«L‟articolo 15, paragrafo 1, della direttiva 2002/58/CE continua ad applicarsi ai dati,compresi quelli connessi ai tentativi di chiamata non riusciti, di cui non èspecificamente richiesta la conservazione a norma della presente direttiva e che pertantonon rientrano nel campo di applicazione della stessa, e alla conservazione dei dati perscopi, anche giudiziari, diversi da quelli contemplati dalla presente direttiva».

12 L‟articolo 1, paragrafo 1, della direttiva 2006/24 così dispone:

«La presente direttiva ha l‟obiettivo di armonizzare le disposizioni degli Stati membrirelative agli obblighi, per i fornitori di servizi di comunicazione elettronica accessibili alpubblico o di una rete pubblica di comunicazione, relativi alla conservazione di

determinati dati da essi generati o trattati, allo scopo di garantirne la disponibilità a finidi indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Statomembro nella propria legislazione nazionale».



32

13 Il successivo articolo 3, paragrafo 1, così recita:

«In deroga agli articoli 5, 6 e 9 della direttiva 2002/58/CE, gli Stati membri adottanomisure per garantire che i dati di cui all‟articolo 5 della presente direttiva, qualora sianogenerati o trattati nel quadro della fornitura dei servizi di comunicazione interessati, da

fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione nell‟ambito della loro giurisdizione, siano conservaticonformemente alle disposizioni della presente direttiva».

14 Il successivo articolo 4 precisa quanto segue:

«Gli Stati membri adottano misure per garantire che i dati conservati ai sensi dellapresente direttiva siano trasmessi solo alle autorità nazionali competenti, in casispecifici e conformemente alle normative nazionali. Le procedure da seguire e lecondizioni da rispettare per avere accesso ai dati conservati in conformità dei criteri dinecessità e di proporzionalità sono definite da ogni Stato membro nella legislazione

nazionale, con riserva delle disposizioni in materia del diritto dell‟Unione europea o deldiritto pubblico internazionale e in particolare della [Convenzione europea per lasalvaguardia dei diritti dell‟Uomo e delle libertà fondamentali, firmata a Roma il 4novembre 1950,] secondo l‟interpretazione della Corte europea dei diritti dell‟uomo».

15 Il successivo articolo 5 così recita:

«1. Gli Stati membri provvedono affinché in applicazione della presente direttiva sianoconservate le seguenti categorie di dati:

a) i dati necessari per rintracciare e identificare la fonte di una comunicazione:

1) per la telefonia di rete fissa e la telefonia mobile:

i) numero telefonico chiamante;

ii) nome e indirizzo dell‟abbonato o dell‟utente registrato;

2) per l‟accesso Internet, posta elettronica su Internet e telefonia via Internet:

i) identificativo/i dell‟utente;

ii) identificativo dell‟utente e numero telefonico assegnati a ogni comunicazione sullarete telefonica pubblica;

iii) nome e indirizzo dell‟abbonato o dell‟utente registrato a cui al momento dellacomunicazione sono stati assegnati l‟indirizzo di protocollo Internet (IP), unidentificativo di utente o un numero telefonico;

b) i dati necessari per rintracciare e identificare la destinazione di una comunicazione:

(...)

c) i dati necessari per determinare la data, l‟ora e la durata di una comunicazione:

(...)



33

d) i dati necessari per determinare il tipo di comunicazione:

(...)

e) i dati necessari per determinare le attrezzature di comunicazione degli utenti o quello

che si presume essere le loro attrezzature:(...)

f) i dati necessari per determinare l‟ubicazione delle apparecchiature di comunicazionemobile:

(...)

A norma della presente direttiva, non può essere conservato alcun dato relativo alcontenuto della comunicazione».

16 Il successivo articolo 6, relativo ai periodi di conservazione, prevede quanto segue:

«Gli Stati membri provvedono affinché le categorie di dati di cui all‟articolo 5 sianoconservate per periodi non inferiori a sei mesi e non superiori a due anni dalla data dellacomunicazione».

17 L‟articolo 11 della direttiva medesima così dispone:

«All‟articolo 15 della direttiva 2002/58/CE è inserito il seguente paragrafo:

“1 bis. Il paragrafo 1 non si applica ai dati la cui conservazione è specificamente

prevista dalla direttiva [2006/24], ai fini di cui all‟articolo 1, paragrafo 1, di taledirettiva”».

La normativa nazionale

Il diritto d‟autore

18 Le disposizioni della direttiva 2004/48 sono state recepite nel diritto svedese conl‟introduzione di nuove disposizioni nella legge 1960:729 relativa alla proprietàletteraria e artistica [lagen (1960:729) om upphovsrätt till litterära och konstnärligaverk], per mezzo della legge 2009:109, recante modifica della legge 1960:729 [Lag(2009:109) om ändring i lagen (1960:729)], del 26 febbraio 2009 (in prosieguo: la«legge sul diritto d‟autore»). Tale novella è entrata in vigore il 1° aprile 2009.

19 L‟articolo 53 quater della legge sul diritto d‟autore così dispone:

«Se il ricorrente può dimostrare la fondatezza dell‟avvenuta violazione del dirittod‟autore di un‟opera, previsto all‟articolo 53, il giudice può intimare, a pena diammende, alla/e persona/e indicata/e supra nel secondo comma di fornire informazionisull‟origine e sulle reti di distribuzione delle merci o di prestazione di servizi chearrechino pregiudizio o costituiscano violazione di un diritto (ingiunzione di fornireinformazioni). Una siffatta misura può essere disposta su domanda del titolare deldiritto, del suo avente causa o di chiunque goda di un diritto legittimo di sfruttamentodell‟opera. Essa può essere disposta solo a condizione che le informazioni richieste



34

possano agevolare le indagini sulla violazione del diritto o sul pregiudizio allo stesso,derivante dalle suddette merci o dai suddetti servizi.

L‟obbligo di fornire informazioni grava su ogni persona:

1) autore o complice della violazione del diritto o del pregiudizio ad esso arrecato;2) che abbia disposto su scala commerciale di una merce arrecante pregiudizio a undiritto o costituente violazione dello stesso;

3) che abbia utilizzato su scala commerciale un servizio arrecante pregiudizio a undiritto o costituente violazione dello stesso;

4) che abbia fornito su scala commerciale un servizio di comunicazione elettronica o dialtra natura utilizzato per commettere atti arrecanti pregiudizio al diritto o la violazionedello stesso,

o

5) [che] sia stata identificata da un soggetto indicato ai punti 2)-4) supra come colui cheha partecipato alla produzione o alla distribuzione di una merce o alla fornitura di unservizio costituente violazione di un diritto o recante pregiudizio allo stesso.

Le informazioni sull‟origine e sulle reti di distribuzione delle merci o di prestazione disevizi comprendono in particolare:

1) nome e indirizzo dei produttori, dei distributori, dei fornitori e degli altri precedentidetentori dei prodotti o dei servizi;

2°) nome e indirizzo dei grossisti e dei dettaglianti,

e

3) informazioni sulle quantità prodotte, fabbricate, consegnate, ricevute o ordinate,nonché sul prezzo spuntato per i prodotti o i servizi in questione.

Le dette disposizioni sono applicabili al tentativo o alla preparazione della violazione odel pregiudizio previsti all‟articolo 53».

20 L‟articolo 53 quinquies della legge medesima così recita:

«L‟ingiunzione di fornire informazioni può essere disposta solo se i motivi chegiustificano tale misura prevalgono sui pregiudizi o su altri svantaggi che possanoderivarne per il destinatario o su ogni altro interesse contrapposto.

L‟obbligo di fornire informazioni di cui all‟articolo 53, quater non comprende leinformazioni la cui comunicazione costringa la persona interessata ad ammettere la

partecipazione propria o di parenti prossimi, ai sensi dell‟articolo 3 del capitolo 36 delcodice di procedura giudiziaria, alla perpetrazione di un reato.

La legge 1998:204 relativa ai dati personali [personuppgiftslagen (1998:204)] imponerestrizioni al trattamento di tali informazioni».



35

La tutela dei dati a carattere personale

21 La direttiva 2002/58 è stata recepita nel diritto svedese, in particolare, per mezzodella legge 2003:389 sulle comunicazioni elettroniche [lagen (2003:389) om elektroniskkommunikation].

22 L‟articolo 20, primo comma, del capitolo 6 di detta legge vieta a chiunque didiffondere o di utilizzare, se non autorizzato, informazioni relative ad abbonati che glisiano state comunicate o alle quali egli abbia avuto accesso nell‟ambito della fornituradi una rete di comunicazione elettronica oppure di un servizio di comunicazioneelettronica.

23 Il giudice del rinvio osserva, a tal riguardo, che l‟obbligo di riservatezza al qualesono tenuti, in particolare, i fornitori di accesso Internet è stato quindi concepito pervietare unicamente la divulgazione o l‟utilizzo non autorizzato di taluni dati. Tuttavia,tale obbligo di riservatezza è relativo, tenuto conto che altre disposizioni prevedono

l‟obbligo di comunicazione di tali dati, con la conseguenza che tale diffusione divieneautorizzata. A parere dello Högsta domstolen, si è ritenuto che il diritto all‟informazioneistituito dall‟articolo 53 quater della legge sul diritto d‟autore, parimenti applicabile aglioperatori Internet, non debba necessitare di particolari adattamenti legislativi affinchétali nuove disposizioni sulla divulgazione di dati di carattere personale prevalganosull‟obbligo di riservatezza. L‟obbligo di riservatezza verrebbe quindi meno per effettodella decisione del giudice di disporre l‟ingiunzione di comunicare tali dati.

24 Per quanto attiene alla direttiva 2006/24, essa non è stata recepita nel diritto svedeseentro il termine a tal fine stabilito.

Causa principale e questioni pregiudiziali

25 La Bonnier Audio e a. sono case editrici, titolari, segnatamente, di diritti esclusivi diriproduzione, di edizione e di messa a disposizione del pubblico di ventisette operepresentate in forma di audiolibro.

26 A parere della Bonnier Audio e a., i diritti esclusivi di cui essi sono titolari sarebberostati violati a causa della diffusione al pubblico delle ventisette opere senza il loroconsenso a mezzo di un server FTP («file transfer protocol»), che consente lacondivisione di file e il trasferimento di dati tra computer connessi a Internet.

27 L‟operatore Internet tramite il quale è avvenuto il presunto scambio illecito di file èla ePhone.

28 La Bonnier Audio e a. hanno proposto dinanzi al Solna tingsrätt (Tribunale di primogrado di Solna) domanda di ingiunzione al fine di ottenere la comunicazione del nome edel recapito della persona facente uso dell‟indirizzo IP dal quale si presume siano statitrasmessi i file in questione nel periodo compreso tra le ore 3.28 e le ore 5.45 del 1°aprile 2009.

29 Detto operatore, ePhone, si è opposto a tale domanda sostenendo, segnatamente, chel‟ingiunzione richiesta risulterebbe contraria alla direttiva 2006/24.



36

30 In primo grado, il Solna tingsrätt ha accolto la domanda di ingiunzione ai fini dellacomunicazione dei dati di cui trattasi.

31 L‟operatore Internet, ePhone, ha proposto appello dinanzi allo Svea hovrätt (Corted‟appello di Svea), chiedendo il rigetto della domanda di ingiunzione. Detta società ha

parimenti chiesto di adire in via pregiudiziale la Corte affinché venga precisato se ladirettiva 2006/24 osti alla comunicazione di informazioni relative ad un abbonato, alquale sia stato assegnato un indirizzo IP, a soggetti diversi dalle autorità indicate nelladirettiva medesima.

32 Lo Svea hovrätt ha ritenuto che nessuna disposizione della direttiva 2006/24 escludeche venga ingiunto ad una parte in un procedimento civile di comunicare, a soggettidiversi da una pubblica autorità, dati relativi ad un determinato abbonato. Il giudicemedesimo ha inoltre respinto la domanda di rinvio pregiudiziale alla Corte.

33 Lo Svea hovrätt ha parimenti rilevato che le case editrici di audiolibri non avevano

dimostrato l‟esistenza di indizi effettivi dell‟avvenuta violazione del diritto di proprietàintellettuale e ha quindi deciso di annullare l‟ingiunzione di fornire informazionidisposta dal Solna tingsrätt. La Bonnier Audio e a. ha quindi proposto ricorso percassazione dinanzi allo Högsta domstolen.

34 Il giudice del rinvio ritiene che, pur alla luce della sentenza del 29 gennaio 2008,Promusicae (C-275/06, Racc. pag. I-271), nonché dell‟ordinanza del 19 febbraio 2009,LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten (C-557/07, Racc. pag.I-1227), sussistano dubbi sulla questione se il diritto dell‟Unione osti all‟applicazionedell‟articolo 53 quater della legge sul diritto d‟autore, considerato che né tale sentenzané tale ordinanza fanno riferimento alla direttiva 2006/24.

35 Ciò premesso, le Högsta domstolen ha deciso di sospendere il procedimento e disottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se la direttiva 2006/24 (…), con particolare riguardo agli articoli 3[-]5 e 11, ostiall‟applicazione di una disposizione nazionale, introdotta in forza dell‟articolo 8 delladirettiva 2004/48 (…), ai sensi della quale, in un procedimento civile e allo scopo diidentificare un determinato abbonato, il giudice ingiunga ad un operatore Internet difornire al titolare di diritti d‟autore o al suo avente causa informazioni sull‟abbonato alquale l‟operatore Internet abbia assegnato l‟indirizzo IP utilizzato ai fini del la

violazione. Si presume, da un lato, che il ricorrente abbia dimostrato la sussistenza diindizi effettivi dell‟avvenuta violazione del diritto d‟autore e, dall‟altro, che la misurarisulti proporzionata.

2) Se sia rilevante, ai fini della risposta alla prima questione, il fatto che lo Statomembro non abbia dato ancora attuazione alla direttiva 2006/24, nonostante il relativotermine sia scaduto».

Sulle questioni pregiudiziali

36 Con le due questioni pregiudiziali, che appare opportuno esaminare congiuntamente,il giudice del rinvio chiede, sostanzialmente, se la direttiva 2006/24 debba essereinterpretata nel senso che osta all‟applicazione di una normativa nazionale, istituita sulla

base dell‟articolo 8 della direttiva 2004/48, la quale consenta, ai fini dell‟identificazione



37

di un abbonato a Internet o di un utente Internet, di ingiungere ad un operatore Internetdi comunicare al titolare di un diritto d‟autore ovvero ad un suo avente causa l‟identitàdi un abbonato al quale sia stato attribuito un indirizzo IP utilizzato ai fini dellaviolazione del diritto di autore stesso e se il fatto che lo Stato membro interessato nonabbia ancora provveduto alla trasposizione della direttiva 2006/24, malgrado la

scadenza del termine all‟uopo previsto, incida sulla soluzione di tale questione.

37 In limine, si deve rilevare, da un lato, che la Corte si fonda sulla premessa secondocui i dati di cui trattasi nella causa principale sono stati conservati conformemente allanormativa nazionale, nel rispetto dei requisiti fissati dall‟articolo 15, paragrafo 1, delladirettiva 2002/58, circostanza che spetta al giudice del rinvio verificare.

38 Dall‟altro, la direttiva 2006/24 è volta, a termini dell‟articolo 1, paragrafo 1, adarmonizzare le disposizioni di diritto interno degli Stati membri relative agli obblighi,per i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di unarete pubblica di comunicazione, di trattamento e di conservazione di determinati dati da

essi generati o trattati, allo scopo di garantirne la disponibilità a fini di indagine,accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membronella propria normativa nazionale.

39 Peraltro, come emerge dall‟articolo 4 della direttiva 2006/24, i dati conservati anorma di tale direttiva non possono essere trasmessi se non alle competenti autoritànazionali, in casi precisi e conformemente alla normativa interna dello Stato membrointeressato.

40 In tal senso, la direttiva 2006/24 riguarda esclusivamente il trattamento e laconservazione di dati generati o trattati dai fornitori di servizi di comunicazioneelettronica accessibili al pubblico o di reti pubbliche di comunicazione, a fini diindagine, di accertamento e perseguimento di reati gravi, nonché la loro trasmissionealle competenti autorità nazionali.

41 La sfera di applicazione ratione materiae della direttiva 2006/24 così precisata èconfermata dall‟articolo 11 della medesima, a termini del quale, nel caso in cui tali datisiano stati conservati specificamente ai fini previsti dall‟articolo 1, paragrafo 1, di dettadirettiva, l‟articolo 15, par agrafo 1, della direttiva 2002/58 risulta ad essi inapplicabile.

42 Per contro, come emerge dal dodicesimo considerando della direttiva 2006/24,

l‟articolo 15, paragrafo 1, della direttiva 2002/58 continua a trovare applicazione ai daticonservati a fini diversi da quelli specificamente contemplati dall‟articolo 1, paragrafo1, della direttiva 2006/24, segnatamente a fini giudiziari.

43 In tal senso, dalla lettura del combinato disposto dell‟articolo 11 e del dodicesimoconsiderando della direttiva 2006/24 emerge che tale direttiva costituisce una normativaspeciale e ben circoscritta, che deroga e si sostituisce alla direttiva 2002/58 di portatagenerale e, in particolare, all‟articolo 15, paragrafo 1, di quest‟ultima.

44 Quanto alla causa principale, si deve rilevare che la normativa in questione persegueun obiettivo differente da quello della direttiva 2006/24. Essa riguarda, infatti, la

comunicazione di dati nell‟ambito di un procedimento civile, ai fini dell‟accertamentodi lesioni di diritti di proprietà intellettuale.



38

45 Tale normativa non ricade, quindi, nella sfera di applicazione ratione materiae delladirettiva 2006/24.

46 Resta pertanto irrilevante nella causa principale la circostanza che lo Stato membrointeressato non abbia ancora provveduto alla trasposizione della direttiva 2006/24,

malgrado la scadenza del termine a tal fine previsto.

47 Ciò premesso, la Corte, al fine di fornire una soluzione utile al giudice che le hasottoposto una questione pregiudiziale, può essere indotta a prendere in considerazionenorme di diritto comunitario alle quali il giudice nazionale non ha fatto riferimento nelformulare la questione (v., segnatamente, sentenze del 18 novembre 1999, Teckal,C-107/98, Racc. pag. I-8121, punto 39, nonché del 28 febbraio 2008, Abraham e a.,C-2/07, Racc. pag. I-1197, punto 24).

48 Orbene, si deve rilevare che le circostanze della causa principale si prestano a chevengano prese in considerazione altre norme del diritto dell‟Unione.

49 Infatti, il riferimento operato dal giudice del rinvio, nella prima questionepregiudiziale, al rispetto delle esigenze relative alla sussistenza di indizi reali diviolazione di un diritto d‟autore ed alla proporzionalità dell‟emanando provvedimentoingiuntivo sulla base della legge di trasposizione di cui trattasi nella causa principalenonché, come risulta dal punto 34 supra, alla citata sentenza Promusicae, lasciaintendere che il giudice del rinvio si interroga parimenti sulla questione se ledisposizioni in questione della legge di trasposizione possano garantire il giustoequilibrio tra i vari diritti fondamentali applicabili, come postulato dalla menzionatasentenza riguardante l‟interpretazione e l‟applicazione di varie disposizione delledirettive 2002/58 e 2004/48.

50 La risposta a tale questione implicita può quindi risultare pertinente ai fini dellasoluzione della causa principale.

51 Al fine di fornire tale soluzione utile si deve, in limine, ricordare che, nella causaprincipale, la Bonnier Audio e a. chiedono che vengano loro comunicati, ai fini dellasua identificazione, il nome ed il recapito di un abbonato ad Internet ovvero di un utenteInternet che si avvale dell‟indirizzo IP a partire dal quale si ritiene che siano statiillecitamente scambiati file contenenti opere protette.

52 Si deve rilevare che la comunicazione richiesta dalla Bonnier Audio e a. costituisceun trattamento di dati di carattere personale ai sensi dell‟articolo 2, primo comma, delladirettiva 2002/58, in combinato disposto con l‟articolo 2, lettera b), della direttiva 95/46.Tale comunicazione ricade, quindi, nella sfera di applicazione della direttiva 2002/58(v., in tal senso, sentenza Promusicae, cit. supra, punto 45).

53 Va parimenti osservato che, nella causa principale, la comunicazione di tali dativiene richiesta nell‟ambito di un procedimento civile, a favore del titolare di un dirittod‟autore o del suo avente causa, vale a dire di un soggetto privato, e non a favore di unacompetente autorità nazionale.

54 A tal riguardo si deve anzitutto rilevare che la richiesta di comunicazione di dati dicarattere personale, al fine di garantire la tutela effettiva del diritto d‟autore, rientra, in



39

considerazione del suo oggetto, nella sfera di applicazione della direttiva 2004/48 (v., intal senso, sentenza Promusicae, cit. supra, punto 58).

55 Orbene, la Corte ha già avuto modo di affermare che l‟articolo 8, paragrafo 3, delladirettiva 2004/48, in combinato disposto con l‟articolo 15, paragrafo 1, della direttiva

2002/58, non osta a che gli Stati membri prevedano l‟obbligo di trasmissione a soggetti privati di dati di carattere personale per consentire l‟avvio, dinanzi ai giudici nazionali,di procedimenti nei confronti delle violazioni del diritto d‟autore, senza peraltroobbligare gli Stati medesimi a disporre tale obbligo (v. sentenza Promusicae, cit. supra,punti 54 e 55, nonché ordinanza LSG-Gesellschaft zur Wahrnehmung vonLeistungsschutzrechten, cit. supra, punto 29).

56 La Corte ha tuttavia aggiunto che, nella trasposizione, segnatamente, delle direttive2002/58 e 2004/48, gli Stati membri devono avere cura di fondarsi su un‟interpretazionedelle direttive medesime tale da garantire un giusto equilibrio tra i diversi dirittifondamentali tutelati dall‟ordinamento giuridico dell‟Unione. Inoltre, in sede di

attuazione delle misure di recepimento di tali direttive, le autorità e i giudici degli Statimembri devono non solo interpretare il loro diritto nazionale in modo conforme a dettedirettive, bensì anche provvedere a non fondarsi su un‟interpretazione di esse che entriin conflitto con i summenzionati diritti fondamentali o con gli altri principi generali deldiritto dell‟Unione, quale, ad esempio, il principio di proporzionalità (v., in tal senso,sentenza Promusicae, cit. supra, punto 68, e ordinanza LSG-Gesellschaft zurWahrnehmung von Leistungsschutzrechten, cit. supra, punto 28).

57 Nella specie, lo Stato membro interessato ha deciso di avvalersi della facoltà, qualeindicata al punto 55 supra, ad esso offerta, di prevedere l‟obbligo di trasmissione di datia carattere personale a soggetti privati nell‟ambito di un provvedimento civile.

58 Orbene, si deve rilevare che la normativa nazionale in esame esige, segnatamente,che, affinché possa essere disposta l‟ingiunzione di comunicazione dei dati in questione,sussistano indizi reali di violazione di un diritto di proprietà intellettuale su un‟opera,che le informazioni richieste siano tali da facilitare le indagini sulla violazione o sullaminaccia di violazione del diritto d‟autore e che i motivi alla base di tale ingiunzione siricolleghino ad un interesse superiore agli inconvenienti o agli altri pregiudizi che nepossano derivare per il destinatario o a qualsivoglia altro contrapposto interesse.

59 Tale normativa consente così al giudice nazionale al quale sia stata proposta la

domanda di ingiunzione di comunicazione dei dati di carattere personale, da parte di unsoggetto legittimato ad agire, di ponderare, in funzione delle circostanze della specie etenendo in debita considerazione le esigenze risultanti dal principio di proporzionalità,gli opposti interessi in gioco.

60 Ciò premesso, una siffatta normativa dev‟essere ritenuta tale da garantire, in linea diprincipio, un giusto equilibrio tra la tutela del diritto di proprietà intellettuale, di cuigodono i titolari del diritto d‟autore, e la tutela dei dati di carattere personale, di cuibeneficia un abbonato Internet o un utente Internet.

61 Alla luce delle suesposte considerazioni, le questioni pregiudiziali devono essere

risolte dichiarando che:



40

– la direttiva 2006/24 dev‟essere interpretata nel senso che non osta all‟applicazione diuna normativa nazionale, istituita sulla base dell‟articolo 8 della direttiva 2004/48, laquale, ai fini dell‟identificazione di un abbonato a Internet o di un utente Internet,consenta di ingiungere ad un operatore Internet di comunicare al titolare di un diritto diautore ovvero al suo avente causa l‟identità dell‟abbonato al quale sia stato attribuito un

indirizzo IP che sia servito ai fini della violazione di tale diritto, atteso che talenormativa non ricade nella sfera di applicazione ratione materiae della direttiva2006/24;

– resta irrilevante, nella causa principale, la circostanza che lo Stato membro interessatonon abbia ancora provveduto alla trasposizione della direttiva 2006/24 malgrado lascadenza del termine a tal fine previsto;

– le direttive 2002/58 e 2004/48 devono essere interpretate nel senso che non ostano aduna normativa nazionale, come quella oggetto della causa principale, nella parte in cuitale normativa consente al giudice nazionale, dinanzi al quale sia stata proposta, da parte

di un soggetto legittimato ad agire, domanda di ingiunzione di comunicare dati dicarattere personale, di ponderare, in funzione delle circostanze della specie e tenutodebitamente conto delle esigenze risultanti dal principio di proporzionalità, icontrapposti interessi in gioco.

Sulle spese

62 Nei confronti delle parti nella causa principale il presente procedimento costituisceun incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese.Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono

dar luogo a rifusione.

Per questi motivi, la Corte (Terza Sezione) dichiara:

La direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo2006, riguardante la conservazione di dati generati o trattati nell’ambito della

fornitura di servizi di comunicazione elettronica accessibili al pubblico o di retipubbliche di comunicazione e che modifica la direttiva 2002/58/CE, dev’essere

interpretata nel senso che non osta all’applicazione di una normativa nazionale,

istituita sulla base dell’articolo 8 della direttiva 2004/48/CE del Parlamento

europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di proprietàintellettuale, la quale, ai fini dell’identificazione di un abbonato a Internet o di un

utente Internet, consenta di ingiungere ad un operatore Internet di comunicare al

titolare di un diritto di autore ovvero al suo avente causa l’identità dell’abbonato

al quale sia stato attribuito un indirizzo IP (protocollo Internet) che sia servito aifini della violazione di tale diritto, atteso che tale normativa non ricade nella sfera

di applicazione ratione materiae della direttiva 2006/24.

Resta irrilevante, nella causa principale, la circostanza che lo Stato membrointeressato non abbia ancora provveduto alla trasposizione della direttiva 2006/24

malgrado la scadenza del termine a tal fine previsto.

Le direttive 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002,relativa al trattamento dei dati personali e alla tutela della vita privata nel settore



41

delle comunicazioni elettroniche (direttiva relativa alla vita privata e allecomunicazioni elettroniche), e 2004/48 devono essere interpretate nel senso che non

ostano ad una normativa nazionale, come quella oggetto della causa principale,nella parte in cui tale normativa consente al giudice nazionale, dinanzi al quale sia

stata proposta, da parte di un soggetto legittimato ad agire, domanda di

ingiunzione di comunicare dati di carattere personale, di ponderare, in funzionedelle circostanze della specie e tenuto debitamente conto delle esigenze risultanti

dal principio di proporzionalità, i contrapposti interessi in gioco.

Firme



42


Dalla rete

Articolo di Gabriella Tesoro

Pubblicato in Puntoinformatico

(http://punto-informatico.it/3405802/PI/News/password-come-pegno-

amore.aspx)

La password come pegno d'amore

Uno studio rivela: gli adolescenti si scambiano i dati di accesso a

email e social network. Un gesto romantico. Che rischia di avere

conseguenze gravi se e quando l'amore finisce

Roma - Un tempo si controllavano le lettere. Poi, andate in pensione carta e penna,arrivò il controllo dei messaggi sul cellulare. Oggi, nell'epoca dell'esplosione

digitale, dei social media e delle email, i giovani fidanzatini, per non perdere

d'occhio il proprio partner, controllano tutto. Ma proprio tutto: posta elettronica,

Facebook, Messenger... E, per non farsi mancare nulla nella propria strategia di

, si scambiano pure le password dei rispettivi account.

Secondo la ricerca effettuata da Pew Internet and American Life Project e riportata

dal New York Times i giovani adolescenti statunitensi condividono, e anche con

piacere, la propria password con il partner. L'analisi ha preso in considerazione

. Il 30 per cento del campione

rivela la propria password agli amici, alla fidanzata o al fidanzato. Le ragazze

confessano la propria password più facilmente dei ragazzi (38 per cento contro 23

per cento), mentre i giovanissimi (12-13 anni) sono più restii rispetto ai fratelli

maggiori (14-17 anni). Infine, la "moda" di condividere la password con il proprio

partner sembra essere particolarmente diffusa tra gli utenti dei social network.

Molto spesso i fidanzatini scelgono addirittura una password identica,appositamente per loro, e permettono alla propria anima gemella di leggere email,

commenti, messaggi e chi più ne ha più ne metta. "È un segno di " ha

affermato Tiffany Carandang, una liceale di San Francisco che ha deciso di svelare

al suo ragazzo le password della posta elettronica e di Facebook: "Non ho nulla da

nasconde a lui, così come lui non ha nulla da nascondere a me".

Sembra però che questa "abitudine" non sia così popolare solo perché alla base c'è

una questione di fiducia. Difatti, molti adolescenti hanno dichiarato di aver svelato

la propria password di Facebook al partner per

. Il partner in questione cambia la passwordimpedendo di fatto all'altro o all'altra di accedere al social network. Terminati gli

esami il "legittimo proprietario" si riappropria del suo account. Questi ragazzi non




http://punto-informatico.it/3405802/PI/News/password-come-pegno-amore.aspx




http://www.nytimes.com/2012/01/18/us/teenagers-sharing-passwords-as-show-of-affection.html?_r=2&pagewanted=all


http://pewinternet.org/Reports/2011/Teens-and-social-media/Part-3/Sharing-passwords.aspx









43

sembrano tuttavia

: dopo una rottura, il fidanzatino ferito può appropriarsi

dell'identità del partner, svelarne i segreti o, peggio, tentare di rovinargli la

reputazione (seppure digitale). Come dire: gli amori passano, le password (spesso)

restano.

In questo esasperante clima di fiducia arriva un'altra ricerca che mette in evidenza

la diffusione dei propri dati personali, che in teoria dovrebbero rimanere, per

l'appunto "personali", ma che sembra siano rivelati a chiunque. Stavolta i

protagonisti non sono i fidanzatini, bensì i genitori. Secondo i dati dell'analisi

condotta da Lab42 , un'azienda che si occupa di ricerche di mercato, il 72 per cento

dei genitori sarebbe a conoscenza della password di Facebook dei propri figli.

http://www.zdnet.com/blog/facebook/72-of-parents-have-their-childs-facebook-password-infographic/7619?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+ZDNetBlogs+%28ZDNet+All+Blogs%29






44


Dalla rete, articolo di D.F. pubblicato in “Dura lex sed lex”

Phishing: il furto d'identità

Il phishing: la frode informatica che mira a rubare l'identità informatica degli

utenti sfruttando la loro buona fede

Il phishing è un fenomeno in Italia relativamente recente. Si tratta di una frode

informatica che ha lo scopo di rubare dati sensibili dell’utente, allettandolo con

falsi pretesti. I dati sensibili possono essere il numero di carta di credito,

password o altre informazioni personali che costituiscono l’identità informatica

dell’utente.

Il termine phishing deriva dall’inglese “fishing” (pescare, allettare con un’esca).

In questo caso l’esca è costituita tipicamente da un’email costruita ad arte, che

simula una richiesta di informazioni da parte di un sito/organismo ufficiale ed

invoglia l’utente ad inserire i propri dati sensibili.

Come funziona il phishing?

Il phisher (colui che attua il phishing) spedisce ai malcapitati utenti un’email

che sembra provenire da un sito ufficiale (per esempio il web banking di una

banca, ebay, poste, etc..). Spesso la grafica e i contenuti dell’email riproducono

fedelmente quelli originali, allo scopo di dare ufficialità all’email.

Solitamente nell’email è presente un link spacciato per un collegamento al sito

ufficiale. In realtà si tratta di un link ad un sito web che riproduce fedelmente

nella grafica e nei contenuti il sito web ufficiale (e in questo caso si parla di sito

“spoofed”). Nei phishing più attuali, non solo il falso sito è una copia esatta di

quello vero, ma anche il link stesso sembra essere corretto: l’indirizzo riportato

è simile o addirittura uguale a quello del sito ufficiale. Questo per evitare che

l’utente, passando sopra il link col mouse, si accorga che in realtà il

collegamento è ad un sito web diverso da quello ufficiale.



45

Attirato dal contenuto della mail, che di solito descrive fantomatici problemi

verificatisi sul sito ufficiale a causa dei quali è richiesto il reinserimento dei dati,

l'ignaro utente clicca sul link, accede alla copia fittizia del sito ufficiale ed

inserisce i propri dati sensibili, che saranno poi utilizzati dal phisher per i proprireconditi scopi.

Come difendersi dal phishing?

Non rispondere a richieste di informazioni personali e sensibili fatte via mail e

non cliccare sull’eventuale link contenuto in esse. Ebay, le banche e gli altri

organismi ufficiali non usano questo sistema per richiedere i dati personali

Accedere al sito ufficiale sempre digitandone l’URL nella barra degli indirizzi del

browser

Verificare che la procedura di inserimento dei dati sensibili del sito web sia

protetta mediante connessione sicura. In particolare l’URL deve iniziare con

https e non con un semplice http

Tenere sotto controllo i propri conti online, siano essi bancari o di altro tipo.



46


Dalla rete Cassazione.it

Massime in argomento

Sul furto di identità informatica

Aprire un account di posta elettronica a nome di un altro integra il reato di

sostituzione di persona

Va condannato ex articolo 494 Cp chi si attribuisce false generalità per

partecipare ad aste online senza pagare CASSAZIONE PENALE - MARTEDI' 03 APRILE 2012

Sull'accesso abusivo al sistema informatico (da Cassazione.it)Post n°522 pubblicato il 02 Maggio 2012 da giuristando Tag: Massime di diritto penale

CASSAZIONE PENALE

Non commette accesso abusivo al sistema informatico l’impiegato che usa la

password di servizio per finalità estranee al lavoro

La titolarità della chiave di accesso prevale sull'uso che ne viene fattoGIOVEDI' 19 APRILE 2012

CASSAZIONE PENALE

È reato entrare nel server con password e pc del collega

Irrilevante la mancata duplicazione dei dati

MARTEDI' 24 APRILE 2012

http://www.cassazione.net/aprire-un-account-di-posta-elettronica-a-nome-di-un-altro-integra-il-reato-di-sostituzione-di-persona-p6141.html



http://digiland.libero.it/profilo.phtml?nick=giuristando



http://arianna.libero.it/blog/searchtaglibero/Massime%20di%20diritto%20penale?qry=Massime+di+diritto+penale









47


Articolo di Angelo Greco pubblicato in “laleggepertutti.it”

“Copyright, nessun dietrofront: l’Internet Service Provider, la Corte diGiustizia e il sangue blu”

(http://www.laleggepertutti.it/11688_copyright-nessun-dietrofrontinternetservice-provider-la-corte-di-giustizia-e-il-

sangue-blu)

Quando nel medioevo i contadini, resi scuri dal sole sui campi, vedevano la pellebianca dei nobili e le vene blu che su di essa si scorgevano facilmente,pensavano che anche il sangue di quella gente fosse dello stesso colore. Per

questo ancor oggi si dice che i reali hanno “sangue blu”.

C’è chi si ferma all’apparenza delle cose e, sulla base dell’apparenza, pretendedi trarne regole per tutti.

Così, c’è chi sta leggendo la recentissima sentenza dello scorso 19 aprile dellaCorte di Giustizia [1] come un dietrofront, da parte della Comunità Europea, suiprincipi sinora affermati della net neutrality e della non responsabilità dell’ISP:una rinuncia insomma alla difesa di internet e dei suoi capisaldi.

Sappiamo che, invece, così non è; la rete ha sempre trovato, almeno nelleistituzioni comunitarie (sappiamo infatti quanto gli Stati Membri amino

discostarsi dalle istruzioni dei giudici di Lussemburgo, primo tra tutti l’Italia), degliirriducibili sostenitori. Infatti, tanto la direttiva europea sul commercio elettronico[2], tanto la Corte di Giustizia (prima con riferimento all’ISP, poi con riferimentoal fornitore di hosting) [3], quanto il Parlamento Europeo hanno sempre ribaditoil principio di neutralità dell’intermediario: colui che fornisce servizi su Internet(si tratti di una connessione alla rete, un servizio di hosting o ancora unsistema di motore di ricerca) non può essere chiamato a rispondere dellecondotte illecite poste dai propri utenti (per esempio il download di un film pirata,di un cd, la vendita su un sito d’asta di materiale illecito).

L’illogica conseguenza di una diversa impostazione sarebbe come ritenereresponsabile la compagnia telefonica per gli scherzi alla cornetta fatti dagli

abbonati.

La difesa della neutralità dell’intermediario evita inoltre – come ho detto più voltedetto – lesioni della privacy degli utenti (che altrimenti dovrebbero esserecontrollati “a vista” dagli ISP), costosi meccanismi anticoncorrenziali (peraltroaggirabili) e, in definitiva, garantisce la libertà di espressione sul web.

Ed eccoci a oggi, quando la Corte di Giustizia è stata chiamata a decidere sel’ISP sia tenuto a comunicare l’identità (ossia, l’indirizzo IP) dell’utentescoperto a violare l’altrui copyright sulla rete (nel caso specifico: scaricare unaudiolibro). I giudici comunitari hanno affermato che un ordine di tale tipo, rivolto

all’intermediario, non è contrario alla normativa europea.

E qui l’equivoco di chi vorrebbe vedere, in ciò, un’inversione di tendenza nellarotta segnata dalla giurisprudenza di Lussemburgo.

http://www.laleggepertutti.it/11688_copyright-nessun-dietrofrontinternetservice-provider-la-corte-di-giustizia-e-il-sangue-blu







http://www.laleggepertutti.it/7301_social-network-e-diritto-d%E2%80%99autore-nessun-filtro-alla-liberta-in-nome-del-copyright



http://www.laleggepertutti.it/2863_il-parlamento-ue-ribadisce-il-principio-di-neutralita-dell%E2%80%99intermediario










48

Innanzitutto la Corte specifica che un’ingiunzione di tale tipo può essere fornitasolo da un giudice. Il che non fa che confermare proprio quello che sino ad oggisi è sempre detto in materia: ossia che l’intermediario non può agire solo suintimazione del titolare del contenuto, senza alcuna garanzia dell’intervento di unprocedimento giudiziario, terzo e imparziale, fondato sul contraddittorio e sullaparità delle armi nel giudizio. L’ISP deve comunicare l’IP del pirata non aun’Authority garante (leggi AgCom) o a una società intermediaria qualsiasi (leggiSabam).

Inoltre la sentenza fissa due importanti condizioni affinché il giudice possaemettere l’ingiunzione di comunicazione dei dati in questione:

a) innanzitutto devono sussistere indizi reali di violazione di un diritto diproprietà intellettuale su un’opera;

b) in secondo luogo, i motivi alla base di tale ingiunzione si devono ricollegare aun interesse superiore agli inconvenienti o agli altri pregiudizi che ne possano

derivare per il destinatario o a qualsivoglia altro contrapposto interesse.

Questo vuol dire che il giudice nazionale, cui il titolare del copyright leso abbia

chiesto di ingiungere all’ISP i dati del netizen pirata, deve prima ponderare (“infunzione delle circostanze della specie e tenendo in debita considerazione leesigenze risultanti dal principio di proporzionalità”), gli opposti interessi ingioco. In definitiva – sottolinea la Corte – non si può ledere i diritti della rete solper tutelare un interesse privato quale l’altrui copyright. Al contrario, bisognasempre garantire un giusto equilibrio tra la tutela del diritto di proprietà

intellettuale, di cui godono i titolari del diritto d’autore, e la tutela dei datipersonali, di cui beneficia un utente di Internet.

Nulla di nuovo, dunque. Anzi, la riaffermazione di quanto sempre detto: Internete i suoi operatori non si toccano solo per tutelare gli interessi di qualche

multinazionale del cinema o della musica. Multinazionali dal sangue blu, masolo perché non lavorano sui campi e sotto il sole.

Chi vuol comprendere…

[1] C. Giust. Sent. 19 aprile 2012.

[2] Direttiva 2000/31 art. 15.

[3] C. Giustizia U.E. sent. 24.11.2012 causa C-70/10; C. Giustizia U.E. sent.16.02.2012 causa C-360/10.

(“La Legge per Tutti” è un portale che spiega e traduce, in gergo non tecnico, lalegge e le ultime sentenze, affinché ogni cittadino possa comprenderle. I contenuti di queste pagine sono liberamente utilizzabili, purché venga riportato anche il link e il nome dell’autore).

Sito amministrato dallo Studio Legale Avv. Angelo Greco ( www.avvangelogreco.it ). Nell’ambito del diritto civile, svolge consulenza alle imprese, diritto della rete e diritto d’autore, diritto dei consumatori, privacy,

procedure espropriative.







49


SCRITTI DI SIMULAZIONE


LA PERSONA FISICA - I diritti della personalità

Rif. Indice generale N.R.G. 5/2011

MEMORIE DEL CASO:

ALDO FREGATUCCI/ DOMINIONS S.P.A.

DIFENSORI: Avv.P (Memoria a favore di A. FREGATUCCI)

http://blog.libero.it/GIURISTANDO/11280985.html

Ufficioal (Menoria a favore di DOMINIONS S.P.A.)


Avv.P (Memoria di replica a favore di Dominions spa)


PRIMO PARERISTA: Giuristando
















50

Di seguito per esteso le 3 memorie:

Difesa Avv.P (Dominions spa):

IL FATTO

Un hacker, ricorrendo alle tecniche informatiche, del Key-logging e dello Screengrabbing,si impadronisce delle credenziali email del Sig. Fregatucci Aldo e le utilizza per fareprenotazioni on line di servizi di vario genere.

Il Sig. Fregatucci viene reso oggetto di richieste di pagamento per i servizi erogati, tra iquali una iscrizione a siti che promuovono incontri osé.

Egli denuncia il fatto alle autorità di pubblica sicurezza e chiede al server presso il qualeè registrata la sua posizione informatica (DOMINIONS.COM S.p.A.) il risarcimento deldanno economico e morale ritenendo che esso ne sia responsabile penalmente ecivilmente per non aver impedito il fatto.

*****

Dalla versione dei fatti appena illustrata risulta che tutti i dati sottratti al Fregatucci

derivano verosimilmente da una inidonea protezione del proprio pc. Infatti la condottaantigiuridica posta in essere dall‟hacker, consistita nei c.d. keylogging e soprattutto

screengrabbing, sarebbe stata posta in essere sottraendo/copiando dati del Fregatuccinell‟esatto momento in cui questi digitava sul suo p.c.

Quindi al di fuori della sfera giuridica del server.

IN OGNI CASO il reato penale ex art. 640 ter c.p. concorre solo formalmente conquello di cui all‟art. 494 c.p.: “ Il reato di sostituzione di persona può concorrere

formalmente con quello di truffa, stante la diversità dei beni giuridici protetti,consistenti rispettivamente nella fede pubblica e nella tutela del patrimonio.” (Cfr.

Cassazione penale, sez. VI, 05/11/2009, n. 9470)

La fattispecie di cui al 640 ter c.p. ricalcando il tradizionale concetto di truffa presentauna sola peculiarità: il raggirato è il computer soggetto alla alterazione ad opera del reo.

Infatti “il reato di frode informatica ha la medesima struttura e i medesimi elementi

costitutivi della truffa dalla quale si differenzia solamente perché l’attività fraudolenta

dell’agente investe non la persona, di cui difetta l’induzione in errore, bensì il sistema

informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema.

Anche la frode informatica si consuma nel momento in cui l’agente consegue l’ingiusto

profitto con correlativo danno patrimoniale altrui” (CASS. 3065/99).

Fermo restando quanto appena esposto è il caso di evidenziare che nessun risarcimentoper danno morale potrà essere richiesto al titolare del server. Infatti, qualora dovesse



51

essere ravvisato qualche comportamento penalmente rilevante esso obbligherebbe il reo,e non la Dominions.Com S.p.A., a risarcire il danno morale derivante da tale preteso

reato.

Infine va aggiunto che il Sig. Fregatucci in sede penale potrà eventualmente ottenere lacondanna del responsabile di tale comportamento. Mentre dovrà agire civilmente perottenere il risarcimento in sede civile da tale soggetto e semmai dalla S.p.A.

Ma è il caso di aggiungere che, in sede civile, incomberà sul Fregatucci l‟onere di

provare sia di aver agito con ogni diligenza per evitare quanto accaduto sia di provare equantificare i danni di cui ora chiede il risarcimento.



52

Difesa Ufficioal (Aldo Fregatucci)

Situazione di fatto

Il Sig. Fregatucci si rivolge allo studio in intestazione per vedersi tutelato invia giudiziale poiché risulta essere stato vittima del reato di furto di identitàinformatica.

Allo stesso venivano richiesti pagamenti per incontri particolari senzanessuna consapevolezza o volontà di dar seguito alle suddette richieste.

Richieste per servizi che non si avvicinano allo stile di vita del Sig.Fregatucci, stile di vita sano e fondato sui valori della famiglia.

Il Sig. Fregatucci lamenta di essere stato vittima del reato testé citato,poiché del suo nome è stato fatto un uso illecito ed illegale nello specifico,con conseguenze sia dal punto di vista economico che morale.

La DOMINIONS S.P.A. deve ritenersi responsabile dei danni cagionati al

Sig. Fregatucci in quanto nulla ha posto in essere per tutelare la posizionedel soggetto leso, al contrario di quanto gli veniva invece imposto in vialegislativa.

Valutazioni a sostegno della tesi difensiva

La posizione della DOMINIONS S.P.A. ad avviso della difesa è la medesimadi quella di un Ente che per legge è tenuto a vigilare sull’operato dei propri

dipendenti.

Certamente nel caso di specie non può essere riscontrato un rapporto didipendenza tra l’autore del reato ed il Server, ma di sicuro siamo di fronte

ad un palese esempio di responsabilità oggettiva.



53

Primo parere

di Giuristando

A) La fattispecie

La questione che si pone riguarda la malefatta di un hacker che siimpadronisce dell’email (id) di Aldo Fregatucci e mette quest’ultimo, con

raggiro e truffa, in comunicazione con un sito osè al fine di far richiedere anome del malcapitato servizi di particolare natura, diciamo di dubbiacondivisibilità etica, concernente prestazioni sessuali. Avvedutosi dellamacchinazione a suo danno e preoccupato per le richieste economiche che

gli sono avanzate da questo sito e per le ritorsioni sulla sua reputazione inambito sociale e nel suo ambiente di vita, il Fregatucci si rivolge all’autorità

di pubblica sicurezza per denunciare il fatto e ritiene di poter inoltreaccampare il diritto al risarcimento del danno economico e moraledirettamente verso il server di cui è cliente, Dominions spa.

B) Valutazioni in fatto

Vi è da notare che la condotta criminosa viene posta in essere con artifici

informatici consistenti nel kee logging e nello screen grabbing, grosso modosimili per il fatto di consentire all’hacker di carpire i dati del Fregatucci (dal

server cui è connesso) attraverso applicativi esterni che entrano in funzionenel momento in cui il cliente (Fregatucci) si collega al server medesimo (inquesto caso; potrebbe anche trattarsi una banca, nelle pagine di homebanking per esempio); in che modo? nel primo caso registrando i tasti che ilFregatucci digita sulla tastiera (presumibilmente la password) e nel secondo “scattando una foto” della videata contenente i dati del Fregatucci, sempre

al momento della connessione al suo server.

Difficile stabilire se in quel momento la condotta sia esterna o interna allasfera del server. In ogni caso l’evento produttivo del danno è posto in

essere da un terzo, l’hacker. Pare condivisibile, inoltre, che la possibilità di

escludere la pre-esistente acquisizione dei dati del Fregatucci da partedell’hacker, magari avendo avuto accesso per altra porta al di lui computer,non si dia per certa. Né è pacifico che il server possa controllare gli accessiall’id del cliente Fregatucci, un po’ per motivi tecnici, un po’ per motivi legali

di tutela della riservatezza dei suoi clienti.

I clienti sono destinatari dei servizi del server, che non necessariamentecomprendono l’installazione di applicativi di sicurezza sul pc del cliente

(antivirus, antispyware, programmi contro il phishing e quant’altro), che



54

semmai potrebbe farne autonoma e separata richiesta, con pagamento aparte. Cosa che il Fregatucci non si è premurato di fare.

Il Fregatucci, come molti di noi, ha avuto accesso e fruito dei servizi delserver riservando scarsa attenzione alle precauzioni necessarie, a

prescindere da quello che siano il suo stile di vita o le sue conoscenzeinformatiche. E’ vero forse che da questo punto di vista siamo tutti non

sufficientemente edotti su una tecnologia che cambia ogni giorno, per cuiun’alea di rischio vi è comunque (rientrante nel cosiddetto caso f ortuito),così come vi è anche a frequentare i sicurissimi Jumbo Jet.

Dunque il Fregatucci è un fruitore dei servizi del server, non un suodipendente o datore di lavoro o committente. Il rapporto, pur connesso aprestazione continuativa, non implica un vincolo di qualsiasi genere tra i duesoggetti, una volta liberato il servizio (l’accesso al server appunto). Ciò che

conta è la continuità e efficienza dell’erogazione non la protezione dei dati,che è affare di chi tali dati eventualmente produce (in questo caso ilFregatucci).

La questione è stata posta in diverse sentenze della Corte di Giustiziaeuropea anche con riguardo alla tutela del copyright, da un lato, e dellariservatezza dei dati personali e degli id dei clienti del server, dall’altra. Se il

server fosse sempre chiamato ad attivarsi preventivamente, per il controllodegli accesi e dei contenuti, non potrebbe più essere assicurata quellaessenziale riservatezza dei fruitori dei servizi del server stesso, con grave

lesione dei diritti fondamentali della personalità e di libertà.

C) Valutazioni in diritto

Prescindendo dagli aspetti procedurali, che non pertengono al tipo di analisisvolta da Forum dei diritti Tesi a confronto, almeno in questa fase, larichiesta del Fregatucci non pare condivisibile, innanzitutto per un primo edassorbente motivo, che l’evento produttivo del danno è posto in essere da

un terzo soggetto (rispetto al server Dominions spa) e il server non eratenuto né poteva evidentemente evitare la di lui azione criminosa, a menodi violare il principio di neutralità degli intermediari in questo genere diservizi internet (FAI) affermato dalla Corte di Giustizia dell’Unione Europea,

terza sezione, nelle sentenze del 24 novembre 2011, nel procedimentoC70/10 e 19 aprile 2012, nella causa C461/10 (cfr. note e commenti a talisentenze in Laleggepertutti.it), pronunce suffragate dalle Corti nazionali (inmancanza di normative interne di potenziamento degli obblighi dei server intal senso), in particolare dalla Cassazione penale.

Le figure di reato che si richiamano, pur in concorso formale stante laduplicità della offesa che si concretizza con questa condotta e punisce condue distinti reati, con rispettivo riguardo alla fede pubblica e al patrimonioprivato, sono quelle di cui all’art. 494 c.p. (sostituzione di persona), per cui



55

è punito chiunque induca i terzi in errore sulla propria identità per ottenerevantaggi per sé o per altri, dove il dolo è generico e il reato si consuma conl’induzione in errore, a prescindere dal fatto che il vantaggio effettivamentesi concretizzi (come chiarito dalla sentenza, paradigmatica in argomento,della Cassazione penale n. 46674 del 2007), e dell’art. 640ter (frode

informatica), per cui è punito chiunque interagisca con sistemi informatici dialtri per carpire dati, programmi e informazioni e li utilizzi effettivamenteprocurando danni a terzi e vantaggi per sé od altri, dove il dolo è specificorichiedendo anche l’eventus damni e l’ingiusto profitto (reato strumentale

anche rispetto al distinto reato di insider trading).

Nel caso in esame il problema della prova dell’effettività del danno non si

pone (immaginiamo per assurdo che il Fregatucci in realtà sia unimpenitente frequentatore di “bordelli clandestini” e locali a luci rosse) inquanto in ogni caso la figura di cui all’art. 494 c.p. consente di punire anche

la sola induzione in errore di terzi, dei fruitori della rete in genere, e non deiservizi dello specifico server Dominions spa. Semmai il problema si porrebbesul computo della pena, valendo il criterio della pena stabilita per il reatopiù grave aumentata sino al triplo (art. 81 c.p.).

Questa ultima considerazione si pone con efficacia, invece, per i risvolticivilistici, con particolare riguardo al danno morale evocato dal Fregatucci,dato che per il profilo economico egli non dovrebbe aver problemi adimostrare il danno patito consistente nelle documentabili richieste dipagamento avanzate dal server ed eventualmente adempiute dalmedesimo. Anche se la presenza, in ogni caso, di un reato dovrebberendere automatica anche la liquidazione del danno morale, rimanendol’argomentazione sopra addotta, però, per il quantum di tale risarcimento.

Come si diceva sopra, dunque la Cassazione penale ha suffragato la tesidella impermeabilità del server a tali contestazioni in numerose pronunce,come in Massima segnalata in newsletter Cassazione.it del 3 aprile 2012,dove si legge che “va condannato ex art. 494 chi si attribuisce false

generalità per partecipare ad aste on line senza pagare”, oppure in Massima

della medesima corte, medesima fonte del 2 maggio 2012, ove si legge che “è reato entrare nel server con password e pc del collega. Irrilevante la

duplicazione di dati”, con i necessari (e contraddittori) temperamenti come riportati in Massima (medesima fonte) del 19 aprile 2012, ove si chiarisceche “non commette accesso abusivo al sistema informatico l’impiegato che

usa la password di servizio per finalità estranee al lavoro”, essendo il

titolare della chiave il pilastro della normativa e non la tipologia di uso chedel mezzo si faccia.

La normativa e la giurisprudenza comunitaria dunque contengono il principiodella neutralità del server, lasciando libertà agli stati membri di porremotivate eccezioni al principio stesso con fonti interne. In Italia ciò nonavviene, salvo che con riguardo all’art. 169 del codice in materia di



56

protezione dei dati personali (d.lgs. n. 196/2003), che da la possibilità algoverno di prescrivere e revisionare annualmente gli obblighi di sicurezza eprevenzione posti a carico dei server, solo se espressamente tenuti a certemisure di sicurezza (letteralmente, “chiunque, essendovi tenuto, omette di

adottare le misure minime” stabilite dal governo va incontro a gravesanzione).

L’impianto valoriale della inviolabilità dei diritti della persona, di cui parlal’art. 2 della Costituzione, si dipana ulteriormente negli articoli del codice

civile a tutela del diritto al nome e all’immagine (art. 7, con riguardo in

questo caso alla tutela della fede privata, mentre quella pubblica è tutelatadai reati penali), e in quelli che sanzionano la responsabilità civile (art.2043) di chiunque cagioni ad altri un danno ingiusto con colpa o dolo (dolonel caso in esame) e finisca, se pone in essere anche un reato, con ilprocurare un danno morale sempre risarcibile (art. 2059).

Per tutti i detti motivi, sussistono tutte le ragioni per il Fregatucci a farvalere ed invocare la pena per i reati penali che gli hanno recato offesa e arichiedere il risarcimento dei danni economici e morali sofferti inconseguenza della condotta lesiva dell’hacker, ma ciò potrà fare solo

agendo contro quest’ultimo soggetto e, strumentalmente, potendo ottenere

dall’autorità giudiziaria un provvedimento specifico che, a norma delle citatesentenze della Corte di Giustizia europea, costringa il server a disvelare,ove in suo potere, l’id del soggetto reo di tali condotte al fine di poter avere

soddisfazione delle proprie ragioni.

D) Conclusioni

In conclusione, la pretesa del Fregatucci, così come avanzata nei confrontidella Dominions spa, non può essere condivisa da questo parerista, inquanto la condotta lesiva è posta in essere da altro soggetto, né si configurala responsabilità oggettiva del medesimo server Dominions spa perinapplicabilità al presente caso, neanche in via estensiva o analogica, di

nessuno dei seguenti articoli del codice civile concernenti per l’appunto taletipo di responsabilità: 2048 (Responsabilità dei genitori, dei tutori, deiprecettori e dei maestri d’arte); 2049 (Responsabilità dei padroni e

committenti); 2050 (Responsabilità per l’esercizio di attività pericolose);

2051 (Danno cagionato da cose in custodia).



57


LA PERSONA FISICA - I diritti della personalità

Rif. Indice generale delle questioni N.R.G. 5/2011

ATTO DI IMPUGNAZIONE NEL CASO:

FREGATUCCI ALDO / DOMINIONS S.P.A.

DIFENSORI: Ufficioal (per A. FREGATUCCI)

Avv.P (per DOMINIONS S.P.A.)

PRIMO PARERISTA Giuristando

SECONDO PARERISTA……………………………………………………………………….



58

Furto di identità informatica - Un caso dalla giurisprudenza italiana

Documents

Transcript of Furto di identità informatica - Un caso dalla giurisprudenza italiana