TripAdvisor e la responsabilità degli Internet Service Provider
di Paolo Palmieri
Premessa
L’evoluzione della rete ha fatto sì che il dibattito sulla responsabilità degli Internet Service Provider per i contenuti diffusi in rete dagli utenti ottenesse un ruolo ancora più centrale rispetto al passato. Questo perché gli ISP, col tempo, hanno acquisito un ruolo dirimente nelle scelte e nelle attività quotidiane delle persone.
Uno degli esempi più importanti, da cui partirò per questa breve disamina, è senza dubbio TripAdvisor. Questo, come molti altri portali di recensioni (si pensi a Google Maps, Airbnb, Booking), consente agli utenti di esprimere dei giudizi sui servizi offerti dalle strutture ricettive; e, in casi estremi, può contribuire a decidere le sorti delle stesse. Per tale motivo questi portali sono spesso oggetto di critica da parte dei gestori e delle associazioni di categoria; critiche che celano, ovviamente, problematiche giuridiche di non facile soluzione.
La questione della responsabilità giuridica degli ISP, per i contenuti immessi dagli utenti, è ben lungi dall’essere risolta. Com’è noto, siamo ancorati alla direttiva sul commercio elettronico, dir. 2000/31/CE, attuata in Italia con il d.lgs. n. 70/2003. Questa ha configurato una responsabilità del provider di natura colposa, sussidiaria a quella dell’autore dell’illecito. In altri termini, all’ISP non si contesta il fatto materiale commesso dall’utente, ma la mancata prevenzione o adozione di misure repressive. La direttiva, poi, distingue le figure del mere conduit e del caching provider: il primo effettua un’attività di trasporto e memorizzazione temporanea delle informazioni; l’hosting provider svolge un’attività di memorizzazione dei contenuti e delle informazioni. Solo a quest’ultimo può essere imputata una eventuale responsabilità, e solo se, non appena al corrente di tali fatti, non agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso.
Il sistema così delineato dal legislatore comunitario, però, col tempo ha iniziato a deteriorarsi, non riuscendo più a stare al passo con le necessità di tutela sorte a seguito dell’immenso sviluppo degli ISP. Ci si è chiesti, dunque, se il provider non sia soltanto una figura neutra, ma se sia un vero e proprio “giudice” del servizio offerto; ci si è chiesti se, con le nuove possibilità informatiche, sia davvero così difficile imporgli un obbligo generale di sorveglianza.
Come detto, la soluzione è tutt’altro che scontata. Occorre sottolineare, però, che le recenti pronunce della Corte di Giustizia UE vanno verso il riconoscimento sugli ISP di una responsabilità più pregnante, diversa da quella della direttiva sul commercio elettronico, soprattutto quando sul piatto della bilancia si trova la protezione del diritto d’autore.
L’intervento sanzionatorio dell’AGCM del dicembre 2014 ribaltato dal TAR Lazio
Il profilo della tutela del consumatore
Oltre alla questione della responsabilità degli ISP, occorre indagare anche il profilo della tutela del consumatore relativamente alle informazioni immesse sulla piattaforma del provider.
Sempre usando come esempio TripAdivisor, l’Autorità Garante della Concorrenza e del Mercato, con provvedimento del 19 dicembre 2014, ha condannato TripAdvisor LLC e TripAdvisor Italy S.r.l. al pagamento di una sanzione amministrativa pecuniaria di € 500.000,00, ritenendo l’attività offerta dalla stessa una “pratica commerciale scorretta in violazione degli artt. 20, 21 e 22 del Codice del Consumo”. In altre parole, a seguito delle numerose segnalazioni pervenutegli, l’Autorità ha ritenuto che TripAdvisor, con le frasi promozionali del proprio sito, ingenerasse negli utenti la convinzione della veridicità assoluta delle recensioni, anche tenendo conto della facilità di creazione di falsi profili e della mancanza del personale necessario al controllo di tutte le recensioni immesse nel portale.
E’ palese la portata rivoluzionaria di questo provvedimento: il servizio così come offerto da TripAdvisor configura una pratica commerciale scorretta, con la necessità per l’azienda di adeguare i propri servizi alle indicazioni del Garante. Però tale provvedimento è stato annullato dal TAR Lazio con la sentenza n. 9355 del 13 luglio 2015, che, diversamente dall’Autorità, ha ritenuto che il messaggio veicolato da TripAdvisor fosse congruo e rispettoso del consumatore; quest’ultimo, messo in grado di avere un quadro informativo chiaro, completo e veritiero in relazione allo specifico servizio offerto. A dire del TAR Lazio, gli utenti della piattaforma sono tutelati in quanto TripAdvisor afferma che “tante” recensioni sono veritiere, e non “tutte”; e, poi, che ad indirizzare l’utente non è la sola recensione negativa (magari di una persona di fantasia) ma l’insieme delle valutazioni complessive.
Avverso tale sentenza l’Autorità ha proposto appello e la questione è ancora pendente presso il Consiglio di Stato.
Il profilo della responsabilità per i contenuti lesivi immessi dagli utenti
Come anticipato, il problema delle recensioni lesive dell’immagine della struttura ricettiva ospitate sulla piattaforma si interseca con la responsabilità degli ISP per i contenuti immessi dagli utenti e veicolati tramite il sito. La domanda è se TripAdvisor possa essere ritenuta responsabile, ad esempio, per delle recensioni diffamatorie ospitate sul proprio sito, e se dunque possa essere condannata al risarcimento del danno da esse prodotto.
A tale domanda, la giurisprudenza ha risposto con pronunce altalenanti.
Il Tribunale di Venezia, con l’ordinanza del 24 febbraio 2015 a seguito di ricorso cautelare d’urgenza ex art. 700 c.p.c. finalizzato alla rimozione di una recensione diffamatoria, “non operando TripAdvisor quale mero intermediario di dati ed informazioni bensì esso agendo quale erogatore di un servizio integrato e, in particolare, quale soggetto che, anche per il tramite delle informazioni offerte dai recensori e di rielaborazione delle stesse offre consigli affidabili di veri viaggiatori e una vasta gamma di opzioni di viaggio e funzioni di pianificazione…”, ha ritenuto che, pertanto,“… sul convenuto TripAdvisor sussista, in ragione di quanto stabilito in via generale dall’art. 2043 c.c., l’obbligo, prim’ancora di risarcire il danno, di prevenirlo e, quantomeno, di vagliare le recensioni postate dagli utenti ed escludere quelle apertamente diffamatorie (che fanno uso di forme oggettivamente incivili) ovvero quelle che non appaiono essere state postate da “veri viaggiatori”.
In altre parole, il Tribunale di Venezia ha configurato TripAdvisor come host provider attivo, per il quale non opera l’art. 17 del d.lgs. 70/2003, che esonera il provider da un obbligo generale di sorveglianza sui contenuti immessi sul portale; non è un intermediario, ma un vero e proprio erogatore di un servizio che offre consigli affidabili ed opzioni di viaggio, e che come tale risponde nel caso in cui venga accertata la falsità della recensione (come nel caso di specie).
Di diverso avviso il Tribunale di Grosseto, che con la sentenza n. 46 del 2016 ha qualificato TripAdvisor come mero hosting provider, in quanto tale non responsabile degli illeciti commessi dai propri utenti. Il caso riguardava sempre la pubblicazione di una recensione negativa, ritenuta falsa e diffamatoria da una struttura alberghiera. A differenza del Tribunale di Venezia, il Tribunale di Grosseto ha ritenuto dirimente il fatto che TripAdvisor non interferisse con il contenuto delle recensioni, a prescindere dall’adozione di filtri automatizzati di prevenzione contro recensioni false o diffamatorie. TripAdvisor non è un content provider: “… l’hosting provider, a differenza di quanto avviene per il content provider (che fornisce agli utenti contenuti che vengono pubblicati sotto la responsabilità editoriale dello stesso titolare/gestore del sito, come avviene ad esempio per le testate giornalistiche), si pone in posizione neutra rispetto al contenuto delle informazioni inserite dagli utenti”.
La questione della responsabilità del provider ha risvolti pratici molto rilevanti. Il motivo per cui i soggetti danneggiati cercano di ottenere il risarcimento dagli ISP è lampante: è possibile iscriversi alle piattaforme digitali come TripAdvisor anche in forma anonima, essendo assente qualsiasi meccanismo di autenticazione (basti pensare ai servizi di creazione temporanea di indirizzi mail come https://10minutemail.com/); ed è dunque difficile, nella maggior parte dei casi, individuare il responsabile. Tale circostanza è stata palesata di recente dal GIP del Tribunale di Milano, che con l’ordinanza del 28.1.2016 si è visto costretto ad archiviare (per la terza volta) le indagini relative a delle recensioni postate su TripAdvisor relativamente ad un ristorante di Milano, per le quali non si è riusciti ad individuarne l’autore. Questo nonostante il P.M. avesse provveduto all’emissione di un decreto di acquisizione dei files di log, notificato ripetutamente a TripAdvisor LLC ad opera della polizia postale, ma mai riscontrato dalla società americana. Secondo il GIP di Milano sarebbe stato inutile anche procedere ad una rogatoria internazionale (avendo Tripadvisor LLC sede legale negli Stati Uniti, in Massachusetts), vuoi perché preferibile “… la strada della collaborazione con TripAdvisor”, vuoi perché non sarebbe stato scontato l’ottenimento del risultato sperato. Negli USA, infatti, la diffamazione non costituisce reato federale, la cui legislazione è storicamente più attenta della nostra in materia di libertà di parola. Inoltre, nonostante il sistema penale del Massachusetts preveda la diffamazione per iscritto e, nello specifico, via internet (“libel”), affinché la fattispecie sia integrata, l’affermazione compiuta deve essere assolutamente falsa e sorretta da un intento malevolo.
L’ampliamento della responsabilità degli ISP nella giurisprudenza della Corte di Giustizia UE
La rapida evoluzione informatica degli ultimi anni ha portato la Corte di Giustizia UE a nuove riflessioni sul tema, soprattutto in relazione ai contenuti immessi in rete in violazione del diritto d’autore. Con la sentenza C-610/15 del 14 giugno 2017, la Corte di Giustizia UE si è pronunciata proprio su una vicenda inerente la diffusione di contenuti illeciti in violazione del diritto d’autore online: la controversia vedeva la Stitching Brein, fondazione di diritto olandese per la tutela dei diritti d’autore, e due società, la Ziggo e la XS4ALL, fornitori di accesso a internet. Per sommi capi, gran parte degli utenti della Ziggo e della XS4ALL utilizzavano la famosa piattaforma di condivisione on line The Pirate Bay, che consente di condividere e di scaricare in frammenti (torrents) opere ospitate sui propri server. Nel caso in esame, la Corte di Giustizia UE ha riconosciuto la presenza di una comunicazione al pubblico non autorizzata ai sensi dell’art. 3, par. 1, dir. 2001/29/CE e, pertanto, ha accertato la violazione del diritto d’autore. Questa pronuncia, sebbene si riferisca alla responsabilità dei provider per la violazione della normativa autorale, ha dei risvolti pratici più ampi. I provider, a dire della Corte, non svolgono soltanto una funzione di intermediazione, ma spesso svolgono un’attività di gestione ed amministrazione della piattaforma, ed ulteriori attività, non meramente automatiche e passive, come per esempio l’indicizzazione ed il filtraggio dei contenuti. Così qualche autore ha iniziato a ritenere che per il provider non valga più la classificazione operata dalla direttiva, essendo il dovere di controllo sui contenuti immessi dagli utenti in re ipsa.
Si potrebbe pensare, a questo punto, che la strada sia tracciata; ma non è propriamente vero.
Una recente sentenza della Corte d’Appello di Roma, la n. 1065/2018, ha affrontato e risolto (positivamente per il provider) una controversia in materia di risarcimento danni. Il caso riguardava la richiesta di inibitoria e condanna al risarcimento avanzata dall’Avv. Cesare Previti relativamente a presunti contenuti falsi e denigratori ospitati nella pagina web della sua bibliografia dalla nota enciclopedia on line Wikipedia. Proposto appello avverso la sentenza di rigetto del Tribunale di Roma, la Corte ha ritenuto che, tenuto conto dei disclaimer di Wikipedia e dei sistemi di correzione dei contenuti offerti agli interessati, Wikipedia sia mero hosting provider, “… ossia quale fornitrice di un servizio della società dell’informazione consistente nella «memorizzazione di informazioni fornite da un destinatario del servizio», sul quale non grava alcun obbligo di sorveglianza; ed il quale può essere ritenuto responsabile solo ove, informato dei contenuti illeciti, non sia intervenuto prontamente per rimuoverli.
Sostituzione di persona e prospettive future
Finora si è posto l’accento sulla responsabilità degli ISP per i contenuti immessi dagli utenti sulle loro piattaforme. Come detto, la rilevanza del tema è legata alla vantaggiosità dell’azione avverso il provider piuttosto che nei confronti dell’autore. Ma non è l’unica chiave interpretativa.
Ha fatto scalpore una recentissima sentenza penale del Tribunale di Lecce, ripresa e pubblicizzata proprio da TripAdvisor e poi diffusa dalle principali testate giornalistiche, con la quale è stato condannato il titolare dell’azienda PromoSalento, colpevole di aver utilizzato false identità per la pubblicazione di recensioni fasulle sul portale, integrando così il delitto di sostituzione di persona ai sensi dell’art. 494 c.p. In sostanza, le strutture ricettive che si avvalevano della sua attività potevano usufruire di pacchetti di recensioni false, e così migliorare il loro profilo su TripAdvisor. Nel procedimento penale l’azienda statunitense si è costituita parte civile ed ha fornito agli inquirenti le prove raccolte dalle proprie autonome investigazioni. È stata così certificata l’esistenza (peraltro già abbondantemente conosciuta) di un vero e proprio mercato nero delle recensioni false. Nel caso di specie l’intervento di TripAdvisor è stato dirimente: non solo ha partecipato alle indagini, ma ha anche diffidato e declassato dalle proprie classifiche le strutture ricettive che avevano usufruito dei servizi di PromoSalento.
A prescindere da tutto, questa vicenda è esemplificativa del fatto che, nonostante le piattaforme come TripAdvisor siano tutt’ora qualificate come meri hosting provider, possano effettivamente incidere sull’inserimento dei contenuti anche tramite nuovi sistemi e suite di tecnologie avanzate in grado di valutare centinaia di attributi dei contenuti immessi in rete, come gli indirizzi IP, il tipo di browser e persino la risoluzione dello schermo del dispositivo utilizzato, e così prevenire eventuali effetti lesivi.
Insomma, quel che è certo è che il confine tra hosting provider e content provider è sempre più labile, e che il tema della responsabilità del provider per i contenuti immessi dagli utenti è lungi dall’essere risolto.
Articoli citati
«Identità digitale d’impresa: il caso TripAdvisor», Luciano Barbuto, https://www.filodiritto.com/articoli/2017/08/identita-digitale-dimpresa-il-caso-tripadvisor.html.
«La responsabilità dell’internet service provider alla luce della giurisprudenza della Corte di Giustizia Europea (causa c-610/15, 14 giugno 2017)», Simona Scuderi, https://www.dimt.it/index.php/it/la-rivista/17055-la-responsabilita-dell-internet-service-provider-alla-luce-della-giurisprudenza-della-corte-di-giustizia-europea-causa-c-610-15-14-giugno-2018.
«Diffamazione su Tripadvisor e simili: quando è responsabile il gestore?», Davide Longo, http://www.altalex.com/documents/news/2018/03/15/diffamazione-su-tripadvisor.
Provvedimenti citati
Autorità Garante della Concorrenza e del Mercato, provvedimento del 19 dicembre 2014.
TAR Lazio, sentenza n. 9355 del 13 luglio 2015.
Tribunale di Venezia, ordinanza del 24 febbraio 2015.
Tribunale di Grosseto, sentenza n. 46 del 2016.
GIP del Tribunale di Milano, ordinanza del 28.1.2016.
Corte di Giustizia UE, sentenza C-610/15 del 14 giugno 2017.
Corte d’Appello di Roma, sentenza n. 1065/2018.
Tribunale di Lecce 2018.
Autore