Nel decreto Omnibus è prevista anche la responsabilità penale per le aziende di telecomunicazione, che devono monitorare e notificare gli illeciti. Un lavoro enorme, per cui è facile incappare nell’errore. A spiegare la loro posizione a Formiche.net è l’avvocato Maddalena Valli, partner di Grimaldi Alliance
Fa discutere il decreto Omnibus, talmente tanto che le maggiori società Telco si sono rivolte a Palazzo Chigi per chiedere una revisione di alcune misure previste tra le norme antipirateria. La lettera chiede espressamente di compiere una marcia indietro, specialmente per quanto riguarda la responsabilità penale da cui sembrerebbe difficile non incappare. A spiegare la loro posizione a Formiche.net è Maddalena Valli, partner di Grimaldi Alliance.
Tim, Vodafone Italia, Wind-Tre, Iliad e Fastweb: ci sono tutti i grandi attori del settore Tlc tra i firmatari della lettera indirizzata al governo per chiedere la rimozione della responsabilità penale nel decreto Omnibus sulle norme antipirateria. Che cosa prevede questa responsabilità e cosa chiedono in concreto le Telco?
Il c.d. decreto Omnibus introduce una fattispecie di reato per i rappresentanti legali delle società di Tlc e, più in generale, delle società che in virtù dei servizi prestati si pongono tra i visitatori di un sito e gli hosting provider come reverse proxy server per siti web. Nelle reti informatiche, un reverse proxy è un tipo di proxy che recupera i contenuti per conto di un client da uno o più server. Questi contenuti vengono poi trasferiti al client come se provenissero dallo stesso proxy, che quindi appare al client come server. In sostanza, nel contesto delle norme anti-pirateria, il decreto Ominbus prevede per queste società un obbligo di monitoraggio attivo sui contenuti in transito e, quindi, di segnalazione all’autorità giudiziaria o alla polizia giudiziaria di condotte in corso, compiute o tentate, penalmente rilevanti ai sensi della legge 22 aprile 1941, n. 633, dell’articolo 615-ter (Accesso abusivo ad un sistema informatico o telematico) o dell’articolo 640-ter (Frode informatica) del Codice penale. I soggetti in questione devono inoltre designare e notificare all’Autorità per le garanzie nelle comunicazioni un punto di contatto che faciliti le comunicazioni con l’Autorità medesima.
Cosa succede in caso di mancata segnalazione?
È prevista la reclusione fino ad 1 anno per il legale rappresentante, salva l’applicazione dell’art. 24-bis del decreto legislativo 8 giugno 2001, n. 231.
Le Telco italiane hanno domandato al governo l’eliminazione di tale fattispecie di reato, non ritenendo che debba gravare su di loro un obbligo di controllo attivo e continuo su tutti i contenuti in transito, considerata la loro finalità di fornitori di servizi infrastrutturali e non di monitoraggio di contenuti illegali, funzione che non può che essere attribuita all’autorità giudiziaria o a enti specializzati nella lotta alla pirateria.
C’è effettivamente una sproporzione tra obiettivo da raggiungere e mezzi utilizzati?
Sì, a mio parere. È innegabile l’importanza degli obiettivi che il governo intende perseguire per contrastare la pirateria e proteggere i diritti d’autore su tali contenuti, ma ciò non può sostanziarsi in un obbligo di controllo e segnalazione a carico di soggetti che non sono pubblici ufficiali e che non sono chiamati a perseguire finalità di interesse pubblico. Una profilazione su larga scala di tali condotte, attuate o solo potenziali, è chiaramente distorsiva rispetto alle finalità di azione delle Telco e delle altre società interessate dalla norma. A mio avviso, vi è quindi anche un problema di trattamento dei dati personali che non può essere trascurato.
Non si verificherebbe anche un peso schiacciante sull’autorità giudiziaria?
Come indicato in un post sul LinkedIn Diego Ciulli, Head of Government Affairs and Public Policy di Google Italy, sono 9.756.931.770 le segnalazioni che la sola Google, al momento, dovrebbe segnalare all’Autorità Giudiziaria onde evitare il verificarsi di fattispecie di reato in caso di mancata notifica. È chiaro che l’Autorità Giudiziaria verrebbe sommersa da una mole di segnalazioni di difficile accertamento in concreto al fine di definire effettivamente quali di questi accessi siano qualificabili come fraudolenti e quali invece siano solo dei falsi positivi.
In che modo le Telco collaborano già con le autorità?
Lo hanno fatto spesso nella lotta contro la pirateria. Con riguardo al “piracy shield”, ad esempio, le Telco hanno fattivamente contribuito per l’avvio della omonima piattaforma gestita da Agcom mettendo a disposizione la loro esperienza nel settore e le competenze di progettazione. In aggiunta, le Telco operano proattivamente con l’Autorità Giudiziaria nel fornire le informazioni necessarie alle indagini e anche nell’intervenire tecnicamente al fine di bloccare contenuti pirata, ove richiesto dalla stessa.
Quale potrebbe essere una norma equa?
Una norma equa dovrebbe, a mio avviso, prevedere forme di collaborazione tecnica compatibili con le possibilità concrete delle Telco e dalle altre società fornitrici dei servizi previsti dal decreto Omnibus di collaborare, senza tuttavia imporre obblighi di segnalazione da cui possano discendere fattispecie di reato a carico delle stesse. Inoltre ritengo che una norma equa non debba introdurre meccanismi di controllo a carico di società private che presuppongono valutazioni sistematiche su larga scala di condotte illecite (effettive o solo tentate).
In che modo l’intelligenza artificiale può venrie in aiuto?
Non escludo che un algoritmo possa essere tecnicamente allenato a riconoscere condotte illecite anche solo tentate in questo ambito. Tuttavia, per le ragioni che ho già esposto, ritengo che il trattamento dei dati personali processati da un tale algoritmo (come ad esempio i dati e metadati dei flussi di traffico, i dati di autenticazione utente, i dati associati relativi alla georeferenziazione ecc.) potrebbe essere effettuato dai soli titolari che perseguono compiti di interesse pubblico e non da società private. L’impiego di un tale sistema di IA dovrebbe, inoltre, necessariamente fondarsi sul diritto dell’Unione o degli Stati membri, essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
