1.

Scienza giuridica e tecnologie informatiche: le complessità di un rapporto

ineludibile

Una scienza antica alla prova di tecnologie nuovissime

Vi sono domande cui è ottuso cercare di rispondere nella limitata prospettiva della
disciplina che più ci è familiare. Le diverse discipline giuridiche sono nient’altro che
articolazioni di un unico sapere: questa unità epistemologica può essere rappresentata
con il termine “scienza”. Ci si riferisce alla “scienza” nel senso etimologico di “scientia”
e dunque di sapere, sapere specialistico legato ad una figura apparta per la prima volta
nell’esperienza giuridica romana: il giurista. 

Si tratta di un problema notevole perché una scienza che si chiude su se stessa è
destinata a rimanere muta: il problema è ancora più grave nella caso della scienza
giuridica perché la vitalità di essa è essenzialmente connessa alla capacità di ascolto dei
giuristi. 


Le tecnologie informatiche rappresentano un nodo problematico in ogni campo del

sapere: come è già successo con la scrittura e con la stampa, la digitalizzazione apre
possibilità finora impensabili e, insieme ad esse, problemi che devono essere affrontati.

Questo processo ha già prodotto stravolgimenti che sono sotto gli occhi di tutti, la
scienza giuridica, pertanto, se vuole mantenere un contatto con la società, deve misurarsi
con le nuove tecnologie informatiche. 


Una disciplina giuridica? Il ruolo della filosofia del diritto



Il rapporto tra scienza giuridica e tecnologie informatiche è l’oggetto specifico di un
insegnamento universitario che in Italia è denominato “informatica giuridica”, insegnata
dai filosofi del diritto: perché proprio da questi?

La risposta è che la filosofia del diritto assolve il compito di interrogarsi sui “conflitti” del
giuridico, nel tentativo di cogliere il limite tra ciò che è diritto e ciò che non lo è. 

L’informatica giuridica è posta su di uno degli stretti crinali che separano il giuridico dal
non giuridico e, per questo motivo, rappresenta un’occasione di importante riflessione
per il filosofo del diritto.

L’informatica giuridica è un ambito di ricerca senza dubbio intersecato alla scienza

giuridica, ma di certo non di sua esclusiva pertinenza: essa necessita infatti di essere
indagata da figure diverse da quella del giurista. In questo senso, la filosofia del diritto,
che non è appannaggio esclusivo dei giuristi ma include studiosi di diversa formazione, è
stata la disciplina che meglio si è prestata ad introdurre l’informatica giuridica nel
vestibolo dei giuristi. 


“Informatica giuridica”: il problema di una definizione

Uno dei problemi che più affatica chi si occupa di informatica giuridica è quello di una
puntuale definizione di questa materia. La dottrina ha elaborato molti tentativi di
definizione senza giungere a risultati univoci e condivisi.

Il vero problema è che se partiamo dall’assunto per il quale l’informatica giuridica riguarda
il rapporto tra il diritto e l’informatica, non ci troviamo di fronte né soltanto ad un tipo di
informatica né soltanto ad un tipo di diritto applicato all’informatica, ma alle due cose
insieme. L’unico modo per superare tale difficoltà è il superamento della prospettiva
meramente burocratica del settore scientifico-disciplinare. L’informatica giuridica
potrebbe così prestarsi per quello che è stata ed è tutt’ora: non una disciplina ma una
meta-disciplina complessa che coinvolge discipline diverse.


Breve storia dell’informatica giuridica


Una ricostruzione storica del rapporto tra diritto e tecnologia dovrebbe partire
dall’invenzione stessa del diritto: in questa sede ci interessa invece la dinamica specifica
tra diritto e informatica, cioè la scienza della informazione automatica.

Il momento di questa relazione può essere individuato nell’ultimo scorcio degli anni
Quaranta del Novecento: nel 1948, Norbert Wiener fonda la cibernetica e l’anno
successivo Lee Loevinger concepisce la giurimetria.


Wiener può essere considerato il primo studioso a leggere il rapporto tra uomo e
macchina in una prospettiva che mette insieme ingegneria informatica, neurofisiologia,
scienza della comunicazione e biologia: ciò che oggi chiamiamo intelligenza artificiale
deve moltissimo alle intuizioni del padre della cibernetica. 



Loevinger appartenenza ad un gruppo di studiosi che viene ricordato con il nome di
“legal behavioralist”: l’obiettivo principale di questi autori era l’applicazione della
metodologie delle scienze sociali nell’analisi dei procedimenti giudiziari.

Dal punto di vista teorico, Loevinger era molto vicino alle posizioni del realismo giuridico
statunitense: è proprio l’impostazione teorica “realista” che anima il suo tentativo di
fondare una nuova disciplina capace di indagare i problemi fondamentali della filosofia del
diritto con un metodo propriamente scientifico. 

Mentre la filosofia del diritto si chiede il perché, la giurimetria si pone il diverso problema
del come, mentre la filosofia del diritto si occupa di questioni come natura, fonti, funzioni
e scopo del diritto, la giurimetria si concentra sull’analisi quantitativa del comportamento
dei giudici e sulla possibilità di applicare modelli logici e matematici al diritto.

In perfetta sintonia con una delle tesi fondamentali del realismo giuridico americano, la
giurimetria si pone come obiettivo principale la prevedibilità delle sentenze giudiziarie.

I lavori di Loevinger stimolano l’interesse di un nutrito gruppo di studiosi di diversa

formazione, tra questi si ricordano in particolare Hoffman e Baade. 


1. Il primo coniò, agli inizi degli anni Sessanta, l’espressione “lawtomation” per
indicare una nuova metodologia di indicizzazione di documenti normativi che fosse
in grado di sfruttare le potenzialità di calcolo offerte dai nuovi elaboratori elettronici.


2. Il secondo recuperò il lavoro di Loevinger, cercando di strutturare la giurimetria in

maniera più puntuale. Bale tentò di individuare in maniera sistematica i settori che
dovevano essere oggetto specifico della giurimetria.


I primi tentativi di elaborare una disciplina che avesse l’obiettivo di indagare il rapporto tra
informatica e diritto sono stati dunque compiuti negli Stati Uniti, caratterizzati da un
sistema giuridico di common law. E’ chiaro allora perché l’attenzione di questi studiosi si
sia concentrata sulla sentenza piuttosto che sulle fonti normative di tipo legislativo.

Nello stesso tempo in cui, negli Stati Uniti, Baade e Hoffman svilupparono le proprie
teorie, in Europa si inizia a discutere della applicabilità delle tecnologie informatiche a
sistemi giuridici di civil law. Anche in Italia opportunità e rischi rappresentanti dalle
tecnologie informatiche attirano l’attenzione di alcuni giuristi: il dibattito italiano sia
rapporto tra diritto e informatica è avviato dalle proposte elaborate da due filosofi del
diritto, Vittorio Frosini e Mario Losano.


Nel 1985 Losano tiene a Catania una prolusione al corso di filosofia del diritto che può
essere considerato l’atto inaugurale dell’informatica giuridica italiana.

Frosini pubblica una nutrita serie di articoli sul rapporto tra diritto e tecnologie
informatiche e dà alle stampe, nel 1968, un volume che suscita un ampio dibattito tra i
giuristi e filosofi del diritto italiani e non solo. Frosini avvia così un lungo percorso di studi
che lo porterà, negli anni Settanta, a proporre il termine “giuritecnica”, ad indicare lo
studio scientifico delle metodologie operative risultanti dall’applicazione di strumenti
tecnologici al diritto. 

Prima di molti altri, Frosini colse i tratti fondamentali di quella che percepì come una
rivoluzione: le tecnologie informatiche consentono l’uso di un linguaggio che è totalmente
artificiale; ciò comporta la comprate di una nuova forma di potere, in grado di incidere in
maniera radicale sulla società e di conseguenza sul diritto. 

Frosini non ha mai cessato di richiamare l’attenzione sui possibili esiti dell’uso
dell’informatica: ad egli va riconosciuto il merito di aver favorito l’incontro tra giuristi e
informatici. 

Pochi mesi prima che Frosini tenesse la sua celebre prolusione, Losano aveva già
elaborato il concetto di giuscibernetica, cui dedica, nel 1969, un volume che può essere
considerato la pietra miliare dell’informatica giuridica italiana. 

Uno dei punti su cui insiste Losano è il problema della mancanza di nozioni e concetti
comuni tra giuristi ed informatici: l’obiettivo di questo volume era dunque l’introduzione
dei giuristi in un campo loro ignoto. Per affrontare questa impresa erano necessari nuovi
strumenti: quelli forniti dalla giuscibernetica.

A distanza di quasi mezzo secolo possiamo dire oggi che quel tentativo è ampiamente
riuscito. La tesi fondamentale è che il diritto può essere studiato da punti di vista più o
meno generali: il passaggio da un livello all’altro corrisponde ad un processo di
approfondimento della conoscenza. E’ possibile dunque individuare diversi livelli di
analisi del diritto cui applicare un particolare metodo di ricerca. 



Il modello preso in esame da Losano è quello cibernetico, questa scelta consiste
nell’individuare quattro settori di ricerca:

1. Nel primo il mondo del diritto viene considerato come un sottoinsieme rispetto al
sistema sociale e i rapporti tra questi due vengono studiati secondo un modello
cibernetico.

2. Nel secondo il diritto viene studiato come un sistema normativo autoregolato di

cui si tenta di individuare la struttura cibernetica.

3. Il terzo settore riguarda la norma come sottoinsieme di cui si studiano le singole

parti e le relazioni reciproche: coinvolge pertanto il problema della
formalizzazione del linguaggio giuridico nelle diverse forme della logica formale
applicata al diritto, dell’analisi del linguaggio giuridico, degli studi di teoria generale
del diritto.

4. Il quarto settore riguarda gli aspetti del

diritto e della norma che possono essere I primi due approcci sono di tipo
resi “accessibili” ai computer.
 teorico e costituiscono quella che
l’autore chiama “modellistica
Nella sua prima fase, il rapporto tra diritto e giuscibernetica”. 

tecnologie informatiche venne esaminato quasi
Il terzo e il quarto hanno natura
esclusivamente in termini di applicabilità dei
empirica e rappresentano quella
calcolatori elettronici alla pratica forense o
che Losano chiama espressamente
giurisprudenziale: l’informatica giuridica
“informatica giuridica”.
aveva il compito di individuare i problemi
p r a t i c i c h e p o t e v a n o e s s e re r i s o l t i
dall’applicazione di tecnologie informatiche
al diritto. Col passare degli anni questa iniziale euforia lasciò il posto a una fase di
diffidenza o di pessimismo: la possibilità si applicare le tecniche informatiche al
diritto viene affiancata all’esigenza di individuare misure capaci di disciplinare
giuridicamente l’uso pervasivo delle tecnologie informatiche nella nuova società.

Si giunge così ad un bivio. 


L’informatica giuridica tra diritto dell’informatica e informatica del diritto


Il rapporto tra scienza giuridica e tecnologie informatiche comporta la necessaria

intersezione di competenze e capacità afferenti a discipline estremamente diverse.

Si tratta di un confronto complesso perché richiede al giurista di misurarsi con problemi
che vanno al di là di quelli tradizionali del sapere giuridico: è una sfida che obbliga il
giurista ad impegnarsi su due fronti:


1. Da una parte rimane aperta la questione di come le tecnologie informatiche

possano contribuire a risolvere i problemi della scienza giuridica.

2. Dall’altra parte si presenta il problema di rinnovare le discipline giuridiche classiche

al cospetto dei mutamenti che la rivoluzione informatica sta producendo nella
società.

Unità e complessità possono stare insieme soltanto a patto di rendere permeabili quei
contenitori disciplinari in cui troppo spesso il lavoro di ricerca viene inquadrato: per
questo motivo la dicotomia informatica del diritto/ diritto dell’informatica svolge un
ruolo utilissimo sul piano didattico ma non deve essere scambiata per una suddivisione
sistematica. 


A. Nella prospettiva dell’informatica del diritto, e quindi dello studio dell’applicazione

degli elaboratori elettronici al diritto, i principali contesti applicativi sono
rappresentati dall’informatica legislativa, dall’informatica giudiziaria,
dall’informatica amministrativa e dall’informatica delle professioni giuridiche.
Queste diverse espressioni indicano le applicazioni informatiche che possono
migliorare le attività giuridiche ad ogni livello. 

Uno degli argomenti principali di questo approccio è rappresentato dalle banche
dati giuridiche, che costituiscono un ausilio fondamentale non solo per studiosi e
ricercatori, ma anche per avvocati, notai, magistrati e rappresentati delle forze
dell’ordine. 

Tra i temi che vengono oggi più discussi si trovano invece: il cloud computing, la
crittografia su base biometrica, l’internet of things, la possibilità di utilizzo del
 voto informatico, l’intelligenza artificiale e la robotica.


B. Nella prospettiva del diritto dell’informatica il campo d’indagine è forse più

articolato ma anche più intuitivo, in quanto corrisponde alla ripartizione tra
discipline giuridiche classiche. In altre parole si può parlare di diritto penale
dell’informatica, diritto amministrativo dell’informatica, diritto costituzionale
dell’informatica e così via, per indicare le norme che disciplinando istituiti giuridici
strettamente connessi allo sviluppo delle nuove tecnologie. 

Basti pensare al valore probatorio della firma digitale, alla sanzione della frode
informatica, all’acquisizione della prova digitale, alla tutela del diritto all’oblio.

2. Diritto dell’informatica
Il diritto positivo e le tecnologie informatiche 


L’avvento e lo sviluppo incessante delle tecnologie informatiche hanno mutato

profondamente l’esistenza dell’uomo: le nuove tecnologie, da iniziale strumento di ausilio
delle attività umane, sono arrivate a determinare una rivoluzione, caratterizzata da
mutamenti sociale e dall’emersione di nuovi interessi ed esigenze. 

Dal momento che il diritto regola la vita e l’esistenza contemporanea è caratterizzata
dall’impatto delle tecnologie informatiche, il diritto è chiamato ad occuparsi di questi
fenomeni: si pone la necessità di disciplinare i comportamenti e le attività che
scaturiscono dall’esistenza digitale dell’uomo, parte integrante della vita reale. 



Le tecnologie sono dominate da codici, istruzioni e regole informatiche, capaci di
condizionare il comportamento dell’uomo. Di conseguenza, le regole informatiche, quali
“leggi del ciberspazio”, nel determinare ciò che è tecnologicamente possibile, hanno la
capacità di condizionare ogni altra forma di regolazione e quindi anche quella giuridica. 

Le regole informatiche però sono frutto dell’uomo e, pertanto, l’uomo può intervenire
sulle stesse attraverso il diritto e le regole giuridiche: di conseguenza, il normativamente
lecito sarà una parte del tecnologicamente possibile.



Nello svolgere la sua funzione regolatrice
Il diritto deve riuscire a disciplinare in
nei confronti del ciberspazio, il diritto
modo equilibrato le tecnologie
deve tenere in attenta considerazione
informatiche e il ciberspazio. Laddove il
l’oggetto della regolazione stessa, al fine
diritto perda questa capacità, smarrisce
di riuscire a mantenere un equilibrio che
permetta alla tecnica di non prevalere sul la sua stessa funzione, lasciano che
diritto, ma neppure al diritto di limitale le siano il “possibile tecnologicamente”, il
potenzialità della tecnologia. 
 mercato o la prassi a dettare le regole.

Società, informatica e diritto: la società dell’informazione

L’impatto delle tecnologie informatiche sulla realtà ha determinato l’utilizzo del termine
“società dell’informazione” per definire l’assetto delle società industriali avanzate,
caratterizzato dal ruolo determinante assunto dalle nuove tecnologie e basato sulla
centralità dell’informazione e della conoscenza quali risorse essenziali per lo sviluppo
economico, sociale e culturale.

Dopo la rivoluzione industriale generata dall’impiego delle macchine, le tecnologie
informatiche hanno determinato l’affermarsi della digital age e della società
dell’informazione: si parla al riguardo anche di “società post-industriale” per
sottolineare che la caratteristica predominante è la generazione, l’utilizzo e la condivisione
di byte, informazioni e conoscenza.



Fin dalla seconda metà degli anni ’60 l’informatica ossia la gestione automatica delle
informazioni mediante calcolatore, e dagli anni ’80 la telematica ossia l’elaborazione a
distanza delle informazioni, la loro circolazione automatica e quindi l’offerta e la fruizione
di servizi informatici per mezzo delle reti di telecomunicazione, hanno innescato la
rivoluzione digitale che è esplosa grazie alla diffusione, a partire dagli anni ’90, dei
personal computer, di internet e del web. Una ulteriore evoluzione si è realizzata negli
anni 2000, con il passaggi a quello che viene definito web 2.0.

L’incidenza delle tecnologie informatiche sulla società è potenziata dalla cosiddetta
convergenza tecnologica: sulla stessa interfaccia sono veicolati contenuti, informazione
e servizi appartenenti a strumenti diversi.

L’origine del termine “società dell’informazione” viene attribuita ad un giornalista

giapponese nel 1964. In Europa il termine “società dell’informazione” compare fin dal
1933, nel cosiddetto Rapporto Delors, il Libro Bianco su crescita, competitività e
occupazione.


La società dell’informazione si connota per proprie caratteristiche, nuove esigenze e

problematiche inedite: emerge quale caratteristica determinante della contemporaneità la
centralità dell’informazione, che diventa il principale bene economico.

Internet e il web consentono una crescita esponenziale delle informazioni disponibili: la
crescita delle informazioni, la loro flessibilità e il facile e rapido accesso alle stesse
comporta dei cambiamenti nel modo di avere e creare la conoscenza. 

Dal momento che le nuove tecnologie operano sulle informazioni, che sono parte
determinante di ogni attività umana, l’informatizzazione determina un impatto pervasivo
su ogni aspetto della vita. 

Le tecnologie superano gli ostacoli costituiti dalle barriere del tempo e dello spazio, dal
momento che vengono abbattuti gli ostacoli temporali tipici della realtà fisica: questo
determina la globalizzazione in cui le interazioni si formano non più su base geografica,
ma su nuove forme di radicamento fondate sugli stessi. 

Tali caratteristiche, unite all’economicità e all’efficacia degli strumenti digitali, sono
potenziate oggi dalla multicanalità e dalla possibilità di accesso alla rete tramite diversi
device anche mobili e sono amplificate dal web 2.0, dai social media, dalle applicazioni
online e dal cloud computing.

Le attività giuridiche, private e pubbliche, si spostano dalla realtà fiscale a quella digitale
e le rappresentazioni informatiche acquisiscono valore e producono effetti giuridici. Gli
individui esplicano molte azioni nel nuovo territorio globale della rete: di conseguenze le
tecnologie informatiche incidono nel settore privato, forzano le tradizionali strutture delle
organizzazioni pubbliche e comportando modifiche delle funzioni e dei servizi. 

Il nuovo volto digitali della società mostra però aspetti ambivalenti: accanto ai profili
positivi si pongono problematiche e criticità.

Nella realtà digitale si pone la necessità di utilizzare strumenti idonei a garantire la
certezza del diritto e la validità giuridica delle attività espletate: si configurano nuove
esigenze di sicurezza relative alle infrastrutture, ai sistemi, ai dati e agli stessi individui,
che devono mantenere il controllo della propria rappresentazione informatica ed essere
adeguatamente protetti.

Origini e sviluppo del diritto dell’informatica

Le questioni giuridiche sorte dall’applicazione e dall’impiego delle tecnologie informatiche

costituiscono il “diritto dell’informatica”. L’informatica giuridica è caratterizzata da due
dimensioni scaturenti dall’interazione fra informatica e diritto:


1. Quella dell’informatica del diritto che attiene all’uso dell’informatica nelle attività
giuridiche dove il diritto è oggetto dell’informatica.

2. Quella del diritto dell’informatica che riguarda i problemi giuridici sorti

dall’informatica e dove l’informatica è oggetto del diritto.

Si comincia a parlare di diritto dell’informatica quando iniziano la riflessione giuridica e

la produzione di norme che riguardano le tecnologie informatiche.

Fin dagli anni ’60 emerga la problematica relativa alla tutela giuridica del software
quando diventa oggetto di contratti: l’interesse legislativo per gli elaboratori elettronici,
quali beni economici, risale al 1957 in Giappone, al 1969 nel Land della Baviera e in USA,
negli anni ’60, comincia il dibattito circa la protezione giuridica del software.


Alle problematiche relative alla “tutela del computer” si affianca, negli anni ’70, il tema
della protezione dei dati personali e, la tutela della persona nei confronti dei rischi
dovuti all’elaborazione automatica dei dati: in Italia il tema viene affrontato dalla
dottrina, in particolare da Stefano Rodotà, che diventerà il primo presidente dell’autorità
amministrativa indipendente Garante per la protezione dei dati personali.

Negli anni ’70 anche la dottrina comincia a dedicarsi alle problematiche del diritto
dell’informatica con Vittorio Frosini, Marco Losano e Renato Borruso: negli anni ’80
emergono le prime disposizioni normative.

Solo negli anni ’90 si assiste in Italia ad un netto cambiamento attitudinale e, sotto lo
stimolo del legislatore europeo, vedono la luce numerosi e significativi interventi
normativi.

Nel nuovo millennio, in parallelo con l’evoluzione delle tecnologie informatiche, il diritto
dell’informatica acquista rilevanza centrale. La normativa a riguardo continua
incessante: vengono emanati codici, testi unici e leggi “dedicate” come il testo unico in
materia di documentazione amministrativa, il codice in materia di protezione dei dati
personali, il codice delle comunicazioni elettroniche, la normativa sul commercio
elettronico, il codice dell’amministrazione digitale, il codice del consumo, il codice
della proprietà industriale e la legge 48/2008 sulla criminalità informatica.

A questo impulso dagli anni 2000 si accompagna la produzione di numerosa normativa di

rango secondario e provvedimenti di autorità indipendenti: viene designato un mosaico
legislativo “a strati”, complesso e di difficile interpretazione. 

Diventa sempre più forte l’esigenza di soluzioni condivise a livello sovranazionale a
causa della dimensione globale che connota la società dell’informazione e, di
conseguenza le relative questioni giuridiche.

A riguardo la normativa italiana risulta fra le prime e ancora oggi più avanzate
legislazioni in materia: si pensi, a titolo di esempio, alle norme civilistiche e amministrative
nel codice dell’amministrazione digitale.



Questa evoluzione mostra come il rapporto tra il diritto e la rivoluzione informatica abbia
punti di contatto e di divergenza rispetto alla relazione che lega il diritto alla rivoluzione
industriale. L’impatto sul diritto è analogo in quanto, in entrambi i casi, si configurano
nuove problematiche giuridiche dovute ai grandi cambiamenti e nella modifica delle
norme in settori già noti del diritto: da questo punto di vista l’impatto della rivoluzione
informatica si caratterizza per una grande trasversalità, dal momento che indice sui
diversi rami del diritto. 

La significativa differenza tra le due rivoluzione consiste nel fatto che, mentre a seguito
della rivoluzione industriale gli Stati potevano fornire risposte piuttosto autonome alle
problematiche giuridiche, nell’era digitale la globalizzazione impone la ricerca di soluzioni
giuridiche a livello sovranazionale.

Oggetto della disciplina: le tematiche affrontate nei diversi rami del diritto

La qualificazione, la collocazione e la classificazione del diritto dell’informatica sono

state particolarmente problematiche fin dalle sue origini. Dal momento che il diritto
dell’informatica riguarda le problematiche giuridiche sorte dalle tecnologie
informatiche, necessariamente si caratterizza per un’estrema trasversalità, involgendo
tematiche che afferiscono ai diversi rami del diritto: l’essenza stessa del diritto
dell’informatica comporta che sia una disciplina in continua evoluzione e espansione. 

Possono essere distinte le seguenti tematiche tipiche del diritto dell’informatica:


A. L’IDENTITÀ DIGITALE E LA PROTEZIONE DEI DATI PERSONALI 


L’elaborazione automatica delle informazione e il trattamento dei dati personali
hanno provocato l’esigenza di tutelare la persona, la sua identità digitale e la sua
libertà. Tale necessità si è tradotta in un’articolata regolamentazione giuridica in
materia, che si compone dell’intreccio tra la normativa europea, la disciplina
normativa di rango primario contenuta prevalentemente nel Codice in materia di
protezione dei dati personali e numerosi provvedimenti del Garante privacy e
codici di autoregolamentazione. 

• Tale ambito di disciplina riguarda il diritto costituzionale e il diritto privato. 


B. COSTITUZIONE E TECNOLOGIE INFORMATICHE, I DIRITTI DIGITALI


Le tecnologie informatiche incidono sulle libertà e i diritti degli individui e pongono
opportunità e problematiche di rango costituzionale che riguardano l’uguaglianza
tra gli individui, i diritti civili e politici, i rapporti tra i cittadini e le istituzioni e le nuove
dorme di espressione del potere. 

• Tale ambito di disciplina riguarda il diritto pubblico e, nello specifico, il diritto
costituzionale.


C. IL DOCUMENTO INFORMATICO, LE FIRME ELETTRONICHE E LE COMUNICAZIONI TELEMATICHE


Il passaggio dal mondo analogico a quello digitale ha avuto un grande impatto sui
documenti e sugli atti del mondo privato e pubblico. Nel contesto digitale è
necessario, come in quello analogico, garantire certezza del diritto e validità
giuridica dei documenti e della loro trasmissione anche a fini probatori. 

Oggi la disciplina di riferimento è contenuta in diverse fonti normative di rango
 primario, come il codice dell’amministrazione digitale e di rango secondario.

• tale ambito di disciplina riguarda il diritto privato e il diritto pubblico. 


D. I CONTRATTI TELEMATICI E IL COMMERCIO ELETTRONICO 


L’informatica e la telematica hanno permesso di svolgere in rete attività, scambi e
traffici che necessitano di protezione giuridica.

• Tale ambito di disciplina riguarda il diritto privato. 


E. LA DISCIPLINA DELL’AMMINISTRAZIONE DIGITALE, E-GOVERNMENT E OPER GOVERNMENT


Le tecnologie informatiche permettono di raggiungere obiettivi che informano l’agire
pubblico, dal momento che si atteggiano come efficace strumento atto a realizzare
le finalità delle attività pubbliche. La tematiche di riferimento è costituita, oltre che
dal codice dell’amministrazione digitale, anche da provvedimenti normativi di
rango primario e secondario. 

• Tale ambito di disciplina riguarda il diritto pubblico e, in particolare, il diritto
amministrativo.


F. I NOMI A DOMINIO 

La disciplina dei nomi a dominio riguarda la presenza in rete di individui e
organizzazione e la necessità di protezione che essi devono ricevere anche nel
contesto digitale quali specifici segni distintivi tutelati dalla legge. La normativa è
contenuta nel codice della proprietà industriale.

• Tale ambito di disciplina riguarda il diritto privato e, in particolare, il diritto
industriale.


G. LA TUTELA DEI CONTENUTI DIGITALI E DEI BENI INFORMATICI, IN PARTICOLARE SOFTWARE E

BANCHE DATI; LA C.D PROPRIETÀ INTELLETTUALE INFORMATICA

La problematica relativa al modo con cui offrire tutela ai programmi per elaboratore
deve assolvere alla funzione di conciliare gli interessi dei produttori e dei fruitori.

Nel nostro ordinamento gli interventi normativi in materia hanno modificato e
integrato la legge 633/1941 sulla protezione del diritto d’autore: la rivoluzione
informativa ha ampliato l’oggetto di protezione del diritto d’autore che oggi può
consistere in opere e contenuti digitali. 

• Tale ambito di disciplina riguarda il diritto privato. 


H. LA RESPONSABILITÀ DEL PROVIDER


Gli scambi in rete determinano la problematica giuridica relativa al bilanciamento fra
la libera circolazione dei servizi e il coinvolgimento e la conseguente responsabilità
dei prestatori intermediari: la disciplina è contenuta nel decreto legislativo
70/2003. 

• Tale ambito di disciplina riguarda il diritto civile. 


I. I REATI INFORMATICI, I CYBERCRIMES, IL C.D DIRITTO PENALE DELL’INFORMATICA


Il diritto penale dell’informatica afferisce sia ai reati che riguardano beni immateriali,
sia a reati commessi mediante strumenti informatici: la normativa di riferimento ha
modificato il codice penale.

• Tale ambito di disciplina riguarda il diritto penale.


J. I PROCESSI TELEMATICI E L’INFORMATICA FORENSE


Le tecnologie informatiche hanno inciso sui procedimenti giudiziari e sulla prova
 informatica in giudizio, la digital evidence.

• Tale ambito di disciplina riguarda il diritto processuale civile, penale,
amministrativo, tributario e contabile. 


K. INTERNET GOVERNANCE, IL GOVERNO DELLA RETE


La problematica gestione di internet e del ruolo degli Stati e delle agenzie al
riguardo può forse essere compresa nell’ambito del diritto internazionale. La
trasversalità del diritto dell’informativa, la sua multidisciplinarità e la
caratteristica di incidere nei diversi rami
del diritto sono alcune delle
motivazioni che hanno reso difficile la Questa difficile collocazione del diritto
sua collocazione nell’ordinamento e dell’informatica ha generato conseguenti
hanno generato un dibattito in dottrina problematiche nell’insegnamento della
s u l l a s u a q u a l i fi c a z i o n e e stessa in ambito accademico: il suo
classificazione, con approcci molto insegnamento non ha ancora trovato, in
diversi nei confronti della disciplina.
Italia, uno statuto autonomo e la sua
presenza nelle università dipende
Oltre alla classificazione nell’ordinamento e dall’autonomia didattica dei singoli
all’insegnamento accademico, il diritto ordinamenti accademici.

dell’informatica pone significativi problemi
per il giurista, che deve confrontarsi con la
disciplina e con la sue prospettive future.

La rivoluzione digitale e la sua regolamentazione: problemi e prospettive

Il diritto dell’informatica sorge dalle problematiche giuridiche sollevate dall’impatto e

dalla diffusione delle tecnologie informatiche e si caratterizza per alcune peculiarità:
l’immaterialità dell’oggetto, l’identità digitale dei soggetti, il superamento degli ostacoli e
dei confini territoriali dal punto di vista dello spazio, l’immediatezza e il conseguente
abbattimento delle barriere del tempo, la trasversalità e la globalizzazione dei problemi
oggetto di disciplina. L’assenza di barriere spaziali e la globalizzazione comportano
che le risposte giuridiche debbano assumere una veste sovranazionale per poter essere
pienamente efficaci. Il monopolio statale deve necessariamente rivedere le sue posizioni
nella società globale dell’informazione: il processo è naturalmente lungo e complesso. 

Si collega alla globalizzazione la questione della governance e della disciplina giuridica
della rete, che si caratterizza per la sua delocalizzazione e immaterialità e per il fatto di
non conoscere “proprietari”: mantenendo la sua neutralità la reta ha però bisogno di
essere governata per tutelare i diritti e le libertà degli individui. 



Internet solleva altre problematiche, quelle legate alla criminalità, al cyberterrorismo e
alla cyberwarfare: le sue caratteristiche lo rendono efficace strumento per gestire e
coordinare affari illeciti. L’informatica si presta anche ad essere arma e a consentire
guerre condotte in modo diverso con strumenti come lo spionaggio, l’acquisizione di
informazioni, l’alterazione e la distruzione dei sistemi di comunicazione del nemico. 

Le tecnologie informatiche, inoltre, hanno la caratteristica di ampliare
incessantemente le questioni che il diritto si trova ad affrontare: questo comporta
che il diritto si trovi a mutare la sua stessa essenza, dal momento che la nuova realtà
chiede alla regolazione giuridica un ruolo leggero come le tecnologie informatiche oggetto
di regolamentazione, ma allo stesso tempo efficace e capace di svolgere una funzione
preventiva, evitando l’insorgere di conflitti.

Se le istituzioni falliscono nel regolare la realtà, il rischio è che la rilevanza sul mercato
porti a fare assumere a soggetti privati il ruolo di regolatori del rapporti e delle
relazioni fra soggetti, assurgendo a una funzione pubblica che non è loro propria, dal
momento che sono guidati da logiche diverse cioè quelle del mercato privato. 


La relazione fra diritto e informatica porta a interrogarsi sul ruolo del diritto e del
giurista, chiamati ad indirizzare la regolamentazione giuridica in quella direzione
“positiva” che consente di ampliare le libertà e fortificare i diritti, accrescere le
potenzialità dell’individuo, aumentare la partecipazione e la collaborazione, migliorare le
attività, diffondere e condividere la conoscenza e rendere più eguale e democratica
la società. Allo stesso tempo il diritto deve
cercare di comprimere pericolose fughe
verso la direzione “negativa” che Per riuscire in questo scopo il diritto deve
conduce al controllo sociale, alla perdita di giocare nella società dell’informazione
libertà e all’aggressione della persona, dei una funzione di saggio equilibrio: il
suoi dati e della sua dignità, all’asimmetria diritto non deve sovrastare la tecnologia,
informativa fra chi detiene il potere e chi lo né la tecnica deve imporsi sul diritto con
subisce. 
 la sua forza e il suo rapido sviluppo.







3. Privacy e oblio: la protezione giuridica dei dati personali
La protezione dei dati personali: breve inquadramento normativo

La positivizzazione del diritto alla protezione dei dati personali: dalla Convenzione
108 alla direttiva 95/46/CE

Tra la seconda metà dell’Ottocento e gli inizi del Novecento quasi ogni ordinamento
giuridico ha sancito l’inviolabilità di queste dimensioni in cui si svolge l’esistenza di un
individuo: vita privata, domicilio, corrispondenza. Tuttavia, la crisi del diritto e dei diritti,
culminata con la seconda guerra mondale, non risparmiò né la vita privata, né il
domicilio e tantomeno la corrispondenza.

Conclusa la guerra si tentò di riaffermare i diritti che erano stati negati: il più celebre
momento di questa opera di ricostruzione è rappresentato dall’adozione, da parte
dell’assemblea generale delle nazioni unite, della dichiarazione universale dei diritti
umani, firmata a Parigi il 10 Dicembre 1948. 

La dichiarazione del 1948 ha svolto un ruolo significativo, prevedendo espressamente
che “nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata,
nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della
sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze
o lesioni”: si tratta di un’affermazione espressa in un documento privo di natura
strettamente giuridica che tuttavia ha orientato il successivo sviluppo della riflessione
giuridica intorno a questi temi. 



Basti infatti confrontare la formulazione con quella di cui all’articolo 8 della convenzione
europea per la salvaguardia del diritti dell’uomo e delle libertà fondamentali (CEDU),
siglata il 4 Novembre 1950.

Il debito della formulazione accolta dalla CEDU nei confronti della dichiarazione universale
è evidente ma tra i due documenti vi è una differenza che riguarda la dimensione
dell’effettività della previsione normativa: infatti, la CEDU è un trattato internazionale a
tutti gli effetti e, in quanto tale, offre una concreta possibilità di tutela dei diritti che vi
sono contemplati. 

Questa eventualità è stata rafforzata dalla istituzione, nel 1959, di un organo
giurisdizionale deputato al rispetto della CEDU: la corte europea dei diritti dell’uomo
(corte EDU).



Per quanto riguarda l’ordinamento giuridico italiano vale la pena ricordare che le
cosiddette sentenze “gemelle” della Corte costituzionale (n.348/349 del 2007) hanno
superato la precedente visione del rapporto tra accordi internazionali e leggi di
recepimento: infatti, la nuova formulazione dell’articolo 117 della costituzione, introdotta
del 2001, ha consentito alla consulta di configurare la possibile incostituzionalità di una
legge per contrasto con la norma scaturente dall’accordo internazionale.

Dopo aver chiarito che il rispetto delle disposizioni di cui all’articolo 8 CEDU sono
tutt’altro che indicazioni prive di effettività, vale la pena ricordare anche che la corte EDU
ha stabilito che gli stati aderenti non sono soltanto obbligati ad astenersi da qualsiasi
azione che possa comprimere l’effettiva tutela dei diritti previsti dall’articolo 8, ma sono
anche tenuti a promuovere attivamente il rispetto della vita privata e familiare, del
domicilio e della corrispondenza. 

La corte EDU si è tuttavia trovata in difficoltà nel momento in cui ha dovuto confrontarsi
con un problema: la gestione delle conseguenze della diffusione delle tecnologie
informatiche sull’esercizio dei diritti previsti dall’articolo 8.

È per questa ragione che, introno alla metà degli anni Settanta il consiglio d’Europa istituì
gruppi di ricerca che avevano ad oggetto la tutela della riservatezza delle persone in
relazione all’uso di banche dati e altri strumenti di data processing: ebbe così inizio
un periodo di riflessione politica e giuridica che culmino a Strasburgo, il 28 gennaio 1981,
con l’adozione della convenzione sulla protezione delle persone al trattamento
automatizzato di dati a carattere personale (convenzione 108)


Questo atto è stato il primo a disciplinare il trattamento automatizzato dei dati di

carattere personale e a stabilire regole sul flusso transfrontaliero di quest’ultimi: la
convenzione ha stabilito alcuni principi che ancora oggi sono alla base della normativa
europea sui dati personali.

E’ all’articolo 2 della convenzione che troviamo, per la prima volta, la definizione di dato
personale come “ogni informazione concernente una persona fisica identificata o
identificabile”.

Le regole fondamentali del trattamento e della raccolta dei dati sono espresse negli
articoli 4-11: si trovano qui espressi i principi di correttezza, liceità e finalità del
trattamento dei dati che troviamo oggi in tutte le normative europee sulla privacy. 

Inoltre la convenzione 108, all’articolo 6 ha individuato alcune categorie di dati che
richiedono garanzie particolari come i dati che rivelano l’origine razziale, le opinioni
politiche le convinzioni religiose o altre convinzioni, e quelli relativi alla salute o alla vita
sessuale o a condanne penali: per questi “dati speciale” vige il divieto di elaborazione
automatica, a meno che il diritto interno del singolo Stato preveda garanzie
appropriate.

Infine, il capitolo III della convenzione è dedicato ai flussi transfrontalieri di dati:
secondo quanto previsto dall’articolo 12, una parte non può proibire il flusso di dati a
carattere personale destinati al territorio di un’altra parte, affermandosi così il principio
della circolazione senza necessità di autorizzazioni che non sarà però accolto dalla
direttiva 95/46/CE.



La direttiva del 24 ottobre 1995 è stata, fino ad oggi, il principale documento normativo in
tema di protezione dei dati di carattere personale. 

Oltre a richiamare l’attenzione di tutti gli stati dell’unione sulla materia dei dati personali, la
direttiva ha introdotto la figura del garante, che è il soggetto istituzionale che più ha
favorito la tutela effettiva dei diritti ma anche recitato un ruolo fondamentale
nell’aumentare la sensibilità della società civile su questi temi.

La data privacy nell’ordinamento giuridico italiano (cenni)

In Italia il primo atto normativo con cui si è tentato di fare ordine nella materia nella
protezione dei dati personali e di seguire le indicazioni della direttiva è stata la legge 31
dicembre 1996 n.675 sostituita successivamente dal cosiddetto “Codice privacy”
adottato con decreto legislativo 196/2003. 

La legge 675/1996 ha istituito l’autorità garante che svolge tuttora un ruolo
fondamentale nell’assicurare una tutela effettiva della data privacy.

Il codice privacy detta, all’articolo 4, una vera e propria grammatica essenziale della
privacy, definendo soggetti e oggetti della disciplina. La definizione di “dato personale”
corrisponde in buona misura a quella della convenzione 108, in quanto informazione
relativa a persona fisica identificata o identificabile, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione
personale.

1. I “dati speciali” della convenzione divengono qui invece “dati sensibili” e

comprendono i dati idonei a rivelare l’origine razziale ed etnica, le condizioni
religiosa, le opinioni politiche, l’adesione a partiti, sindacati, associazioni, nonché i
dati personali idonei a rivelare lo stato di salute e la vita sessuale. 


2. Distinti sono i “dati giudiziari”, vale a dire i dati personali idonei a rivelare i
provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità
dell’imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura
penale. 


I dati personali possono essere oggetto di “trattamento”: con questura espressione si

intende qualunque operazione concernente “la raccolta, la registrazione, l’organizzazione, la
conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il
raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la diffusione di dati, anche se non registrati in una banca dati”. I protagonisti
del trattamento sono quattro: 


1. Da una parte si trova l’interessato e cioè la persona fisica cui si riferiscono i dati
personali.

2. Dall’altra si trovano i tre soggetti attivi del trattamento: il primo è il “titolare”

inteso come la persona fisica o giuridica cui spettano le decisioni in ordine alle
finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati.

Il titolare prepone al trattamento un “responsabile”.

Infine si trovano gli “incaricati”: le persone autorizzate a compiere operazioni di
 trattamento dal titolare o dal responsabile. 


Nel titolo II del codice sono stabiliti i diritti dell’interessato: ad egli viene riconosciuto il
diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano,
nonché il diritto di ottenere l’indicazione dell’origine di tali dati, delle finalità e delle
modalità del trattamento, degli estremi identificativi del titolare e degli altri soggetti
coinvolti e così via. 

Inoltre, l’interessato ha diritto di ottenere sempre l’aggiornamento, la rettifica e
l’integrazione dei dati: se i dati sono stati trattati in violazione di legge, egli ha anche il
diritto di ottenerne la cancellazione o la trasformazione in forma anonima. Il codice
prevede inoltre i casi in cui l’interessato ha il diritto di opporsi al trattamento. 


Il Codice, al fine di rendere esercitabili i diritti previsti dalla direttiva, ha previsto una serie
di strumenti, i più rilevanti dei quali possono essere considerati l’informativa e il
consenso al trattamento: per quanto riguarda l’effettività della tutela, sono risultate
fondamentali le previsioni del codice che hanno posto precisi obbligo a carico dei
soggetti del trattamento, nel cui sistema la parte principale è giocata dal garante per la
protezione dei dati personali.

Dalla Carta di Nizza al regolamento UE 2016/679

Un’altra tappa fondamentale è rappresentata dal riconoscimento della protezione dei dati
personali quale diritto fondamentale dall’articolo 8 della carta di Nizza del 2000: è stato
così introdotto il diritto di ogni individuo a vedersi protetti i
dati di carattere personale che lo riguardano.

Tali dati devono essere trattati secondo il principio di
Il rispetto di questa
lealtà, per finalità determinate e in base al consenso disciplina è sottoposto
della persona interessata o a un altro fondamento al controllo di un’autorità
legittimo previsto dalla legge: ogni individuo ha il diritto di indipendente.

accedere ai dati raccolti che lo riguardano e di ottenerne la
rettifica.

Come si può intuire, il diritto di cui all’articolo 8, esprime un

contenuto variegato: ciò deriva dalla ampiezza del concetto di “dato personale”.



La straordinaria importanza di questi dati risiede nel fatto che essi veicolano la nostra
immagine nella rete: è per questa ragione che il diritto alla protezione dei dati personali è
sì un’espressione del diritto alla riservatezza ma è sempre più strettamente connesso
all’identità personale. 

Il diritto alla protezione dei dati personali è distinto dal diritto alla protezione della vita
privata, del domicilio e delle comunicazioni: la protezione dei dati personali non
corrisponde infatti alla mera “libertà negativa” di non subire interferenze nella propria
vita privata e familiare ma trova la sua espressione nel controllo attivo sul flusso dei dati
e delle informazioni che ci riguardano. 



La disciplina stabilita dalla direttiva ormai più di vent’anni fa, sotto alcuni profili, si rivela
oggi inadeguata. Per questo motivo il 27 aprile 2016, l’unione ha simultaneamente
adottato tre atti che sostituiranno, a partire dal 6 maggio 2018, la vecchia disciplina: il
regolamento UE 2016/679 e le direttive 2016/680 e 2016/681.

Il nuovo impianto normativo e la diversa forma giuridica (regolamento, non direttiva)

dovrebbero consentire di superare le divergenze applicative emerse dal 1996 ad oggi, a
livello sia giurisprudenziale sia legislativo tra i diversi Stati.

Inoltre il regolamento si misura con problemi che la vecchia direttiva non poteva scorgere:
dai big data, alla portabilità dei dati, dal social networking al diritto all’oblio.

Divergenze incolmabili? Data privacy tra UE e USA 


Negli ultimi anni Europa e Stati Uniti d’America si sono resi protagonisti di uno scontro sul
tema della data privacy.

L’Europa ha agito per consolidare la sua posizione volta ad affermare il principio che al
trattamento dei dati personali degli europei occorre applicare il diritto europeo: ciò anche
in base alla convinzione che il livello di protezione dei dati personali adottato in Europa è
assai più elevato rispetto agli altri stati.

A questa impostazione gli Stati Uniti hanno risposto con una visione in cui gli interessi
americani hanno un peso maggiore rispetto alle tutele giuridiche europee: del resto, se
nell’ordinamento europeo, il diritto alla protezione dei dati personali è un diritto
fondamentale, negli Stati Uniti esso non trova riconoscimento diretto a livello
costituzionale. Ciò ha comportato il risultato che negli Stati Uniti il diritto alla protezione
dei dati personali configura una posizione giuridica soggettiva “isolata”. 


Mentre in Europa la tutela dei dati personali presenta la molteplicità che accomuna la
protezione di tutti i diritti fondamentali, negli Stati Uniti essa si riduce, nella
maggioranza dei casi, ad azioni di natura meramente risarcitoria.

Questa distanza è andata progressivamente allargandosi dopo l’11 Settembre 2001: nel
quadro della cosiddetta “guerra al terrorismo internazionale” il controllo dei dati
personali è diventato una priorità strategica per il governo statunitense. Le differenze
sono emerse così, sia in sede politica che in sede giurisdizionale:


• Per quanto riguarda il primo aspetto, basti pensare alle vicende di alcuni accordi sullo
scambio di informazione oppure alle numerose riserve espresse a diversi livelli
pubblici, sulla compatibilità del programma di sorveglianza della NSA con i diritti
fondamentali dei cittadini dell’Unione Europea.


• Sul piano giurisdizionale si è assistito ad una seria di pronunce della Corte di Giustizia
mirate ad affermare l’applicabilità della normativa Europa nei confronti dei titolari del
trattamento non europei e anche nel caso che i dati personali siano trattati in territorio
extraeuropeo. La medesima vicenda del Datagate ha creato i presupposti per
l’annullamento, da parte della Corte di Giustizia, di atti che comprimevano in maniera
ingiustificabile i diritti stabiliti dagli articoli 7 e 8 della Carta.

In quanto diritto fondamentale, il diritto alla protezione dei dati personali, sopporta
deroghe soltanto in casi eccezionali. Proprio il carattere eccezionale delle deroghe è stato
al centro del caso Digital Rights Ireland: con tale pronuncia nel 2014, la corta ha stabilito
che una direttiva (nel caso la 2006/24/CE) che comporti una ingerenza nei diritti
fondamentali sanciti dagli articolo 7 e 8 della Carta, senza prevedere regole chiare e
precise che ne limitino la portata, è incompatibile con l’ordinamento europeo e deve
quindi essere annullata. 

La corte ha inoltre dichiarato invalida la decisione 2000/520/CE del 26 Luglio 2000, con
cui la commissione aveva ritenuto che gli Stati Uniti, nel quadro dell’accordo di “approdo
sicuro”, garantissero ai dati personali trasferiti dall’Europa negli USA un livello di
protezione adeguato agli standard europei. Tale decisione comprimeva i poteri delle
autorità nazionale di controllo, privandole della possibilità di esprimersi sulla compatibilità
del trasferimento dei dati verso gli USA con i diritti fondamentali dell’UE.

Il regime di safe harbor era applicabile esclusivamente alle imprese americano che lo
sottoscrivevano e che erano, pertanto, vincolate al rispetto delle norme di tutela invi
previste soldato fino a quando non entrassero in frizione con le esigenze di sicurezza
nazionale, con il pubblico interezze e con l’osservanza delle leggi statunitensi. 

Le autorità pubbliche degli Stati Uniti non erano assoggettate all’accordo e potevano
accese al contenuto delle comunicazioni elettroniche approdate negli Stati Uniti.

La corte ha così accertato che l’approdo dei dati sull’altra sponda dell’Atlantico era
tutt’altro che sicuro. 

Il principio affermato dalla corte è chiaro: le autorità nazionali di controllo devono
sempre poter esaminare in piena indipendenza se il trasferimento di dati verso un
Paese terzo viene effettuato in conformità alla normativa europea.

Caso di studio: il diritto all’oblio nel caso Google Spain


Dimenticare Barbablù

Come dimostrano ormai tanti casi di cronaca (Tiziana Cantone) il dibattito sul “diritto
all’oblio” può offrire un contributo alla riflessione sulla vulnerabilità di donne, uomini e
bambine che, sempre più immersi in un mondo virtuale, rischiano di pagare un prezzo
altissimo a causa di condotte a volte ingenue, a volte lucidissime, altre volte soltanto
idiote oppure violente.



Per chiarire il significato dell’espressione “diritto all’oblio” è necessario ricordare il
momento di emersione.

Siamo nella provincia francese, a pochi mesi dallo scoppio del primo conflitto mondiale.
Un uomo versa in pessime condizioni economiche e per risolvere i suoi guai finanziari
pensa di pubblicare un annuncio sui quotidiani con cui, spacciandosi per un agiato
vedovo, attirare nubili facoltose: una donna abbocca all’amo. I due intessono una
relazione amorosa e dopo qualche tempo l’uomo convince la donna a indicarlo come
unico erede del suo patrimonio. Passa ancora qualche tempo e i due si incontrano in una
isolata villa in campagna: l’uomo strangola la donna, la brucia nel camino e dissemina i
resti nel giardino della villa. La sequenza si ripeterà, nel giro di pochi anni, per almeno
dieci volte.

Si tratta di un episodio di cronaca nera riguardante il “serial killer” francese Henri Landru,
condannato a morte e ghigliottinato nel 1922. 

Nel 1963, il celebre registra francese Claude
Chabrol decide di girare un film sulla vicenda ma
tra i protagonisti rievocati nella sceneggiatura vi è
un’amante di Landru sopravvissuta. La donna,
che aveva cercato di lasciarsi alle spalle quel
periodo della propria vita, si vede catapultata in
una situazione che la costringe a fare
nuovamente i conti con il passato: per questo
motivo intenta causa contro il regista, reo di aver
leso il suo “diritto all’oblio”.
diffusione illecita.

La questione sollevata dal caso
dell’amante di Landru riguarda la
possibilità di comprendere
quando vicende trascorse
possano costituire oggetto di
nuova di nuova divulgazione e
quando invece il semplice
trascorrere del tempo renda tale
 Tra riservatezza e identità personale: vicissitudini giurisprudenziali del diritto
all’oblio

Dunque l’espressione “diritto all’oblio” non è recente: è soltanto negli ultimi vent’anni
però che tale concetto è entrato al centro di un dibattito che ha coinvolto dottrina
giuridica, legislatori e giurisprudenza, sia a livello statale che a livello sovranazionale. 



Questo nuovo diritto all’oblio soltanto in parte ha a che vedere con quello rivendicato
dall’amante di Landru: il problema oggi non è più quello della “ripubblicazione” di una
notizia, ma è la permanenza in rete di una notizia che può essere “indicizzata” in modo
da scavalcare notizie più aggiornate. Quando facciamo una ricerca su Google infatti i
risultati non seguono un ordine cronologico, bensì un ordine di “rilevanza” legato ad una
serie complessa di fattori.

Sul piano della ricostruzione teoria il “diritto all’oblio” è connesso tanto alla riservatezza
quando al diritto di identità personale: la diretta riconducibilità del “diritto all’oblio” alla
tutela della riservatezza debe essere riformulata sulla base della considerazione che
oggetto di tale diritto sono avvenimento che, nel momento in cui si sono verificati, per
loro stessa natura non rientravano nella sfera dalla privacy.

Se il “diritto all’oblio” è stato chiaramente collegato dalla giurisprudenza al diritto alla
riservatezza e al diritto all’identità personale, altrettanto chiaro è che il suo riconoscimento
comporta una tensione tra i principi sanciti dall’articolo 2 e 21 della Costituzione. 

Ciò che è realmente decisivo è chi oggi possa e debba operare un simile
bilanciamento: c’è stato un tempo in cui l’arbitro necessario ed esclusivo dei conflitti tra
principi costituzionali era lo Stato ma esso, oggi, mostra un atteggiamento rinunciatario o
remissivo nei confronti dei protagonisti del mondo digitale. In questa ottica la riservatezza
e l’identità personale sono lasciate nelle mani di attori che sfuggono alla disposizioni
nazionali o sovranazionali che tali diritti dovrebbero tutelare.

In Italia, a partire dall’ultimo scorcio del secolo scorso, la giurisprudenza ha riconosciuto

il giusto interesse di ogni persona a non restare indeterminatamente esposta a
danni ulteriori che arriva al suo onore e alla sua reputazione la reiterata
pubblicazione di una notizia in passato legittimamente divulgata. 

La prima sentenza italiana a riconoscere espressamente il diritto all’oblio può essere
considerata la pronuncia del Tribunale di Roma del 15 maggio 1995.

Un importante quotidiano aveva riproposto, per fini promozionali, la prima pagine
dell’edizione del 6 dicembre 1961, su cui era per visibile la notizia della confessione di un
omicidio, corredata delle generalità e della foto del reo. 

Quest’ultimo lamentò che la riproposizione di quella vicenda, risalente ormai a più di
trent’anni prima, lo esponeva a gravissime ripercussioni sul piano sociale e lavorativo, non
dando conto che l’eccellente tenuta durante l’esecuzione della pena gli era valsa la grazia
del presidente della repubblica. 

La corte ravvisò gli estremi dell’abuso del diritto di cronaca, condannando l’editore del
quotidiano al risarcimento del danno inferto: la corte ritenne illegittima la
ripubblicazione per assenza dell’utilità sociale dell’informazione. 



Ed eccoci al dilemma già accennato: il bilanciamento tra principi di pari rango
costituzionale. Si tratta di un problema estremamente complesso: basti pensare al
requisito che la giurisprudenza considera indispensabile per legittimare la pretesa di
invocare l’oblio e cioè il decorso di un adeguato lasso di tempo dalla prima
pubblicazione della notizia, non essendo semplice individuare dei parametri che
indichino con certezza quando lungo debba essere questo tempo. 

E non basta: qualora tale requisito venga accertato è comunque necessario che la notizia
oggetto di ripubblicazione non condizioni l’esercizio del diritto di cronaca in
riferimento ad un fatto attuale, oppure non limiti il diritto di condurre indagini di
rilevante interesse storico, mortificando altrimenti “l’utilità sociale dell’informazione”. 

Nello stesso tempo, la giurisprudenza si è dovuta misurare con l’eventualità che un fatto,
pur ormai lontano nel tempo, possa essere legittimamente considerato oggetto di un
“nuovo interesse pubblico all’informazione”.

A complicare ulteriormente le cose è intervenuta, negli ultimi vent’anni, la diffusione della

rete: se da una parte essa ha reso possibile una diffusione capillare e rapidissima delle
informazioni, dall’altra ha favorito il “galleggiamento” nel web di notizie poco accurate e
non aggiornate. In questa prospettiva, è interessante ricordare un intervento della
Suprema Corte.

Un politico, arrestato nel 1993 per corruzione, lamenta che una query sui motori di ricerca
con il proprio nome e cognome restituisce, come primo risultato, la notizia del suo arresto
senza alcun riferimento al successivo proscioglimento: propone così ricorso al Garante
per la protezione dei dati personali chiedendo la cancellazione dei dati. Il ricorso non
viene accolto poiché da una parte non era trascorso un lasso di tempo sufficiente ad
affievolire l’interesse pubblico alla conoscenza della notizia e dall’altra parte, la possibilità
di reperire notizie compete e aggiornate sulla vicenda era garantita e dunque sufficiente a
tutelare il ricorrente. 

La decisione del Garante viene ribaltata con la pronuncia della Cassazione: essa ha
stabilito che una notizia vera, se non viene aggiornata, risulta parziale ed inesatta e
dunque non vera. Così stando le cose, l’interessato non potrà chiedere la rettifica (come
potrebbe fare invece in caso di diffamazione) ma potrà invocare il diritto
all’aggiornamento della notizia: solo in virtù di questa opera di contestualizzazione la
notizia può essere considerata vera.

In questo caso l’interessato non pretende di rimanere nell’anonimato o che un fatto

realmente accaduto venga dimenticato. Le notizie vengono diffuse e replicate a ritmi
incontrollabili e, anche se venissero rimosse, sarebbe comunque possibile una loto
successiva “ripubblicazione” da parte di utenti che ne abbiano salvato una copia
offline.

L’unico risultato che sembra realistico raggiungere, allora, è quello di essere
correttamente ricordato.


Google judex in causa sua

Se, dunque, non è possibile essere dimenticati, che cosa è questo “diritto all’oblio” di
cui tanto si parla? Se la cancellazione è impossibile allora rimane un’unica strada:
rendere il più difficoltoso possibile il reperimento di quelle informazioni.

La struttura della rete consente di raggiungere questo risultato, modificando i risultati
dei processi di indicizzazione dei motori di ricerca. In altre parole: un dato può anche
rimanere su qualche server connesso al world wide web, ma se non è indicizzato, e
viene quindi escluso dai risultati dei motori di ricerca, potrà essere raggiunto solo da chi
sa già dove cercarlo.

Il cosiddetto “diritto all’oblio” oggi è il diritto alla deindicizzazione dai motori di

ricerca: in questa direzione di muove il Garante italiano e, nella stessa direzione, si è
orientata la Corte di Giustizia dell’unione europea con la ormai celebre sentenza sul
caso Google Spain del 13 Maggio 2014.


Nel Gennaio 1998 un importante quotidiano spagnolo publica la notizia della vendita
all’asta di alcuni beni dell’avvocato Mario Costeja Gonzalez a seguito di un
pignoramento. Nel Luglio 2010 l’avvocato si accorge che, facendo una ricerca su Google
con il proprio nome, tra i primi risultati della ricerca web appaiono proprio questi articoli.

Per tale motivo l’interessato fa reclamo al garante privacy spagnolo per chiedere un
ordine nei confronti dell’editore del giornale affinché elimini o modifichi quelle pagine e,
nei confronti di Google Spain affinché non le indicizzi più. L’autorità garante spagnola
respinge la richiesta ma ordina a Google Spain di deindicizzare i contenuti in questione. 

Google Spain impugna la decisione davanti al giudice ordinario spagnolo e, nel 2012,
l’Audencia Nacional chiede alla Corte di Giustizia Europea alcuni chiarimenti
interpretativi.

La Corte di Giustizia Europea ha stabilito che l’attività di un motore di ricerca, qualora

coinvolga informazioni contenenti dati perdonali, deve essere qualificata come
“trattamento di dati personali” e che il gestore del motore di ricerca deve essere
considerato “responsabile” del trattamento ai sensi della disciplina Europa sulla privacy.

La Corte ha respinto la tesi difensiva in cui Google ha cercato di sostenere
l’incompetenza della Corte, affermando che si ha trattamento dei dati personali anche nel
caso in cui il gestore di un motore di ricerca apra in uno Stato membro una succursale o
una filiale destinata alla promozione o alla vendita di spazi pubblicitari agli abitanti di detto
Stato membro.

La Corte ha deciso che, ai fini della tutela dei diritti di cui alla direttiva 95/46, la
presentazione dei risultati di una ricerca può costituire una violazione della normativa sulla
protezione dei dati personali, la cui sanzione è l’obbligo a carico del gestore del motore di
ricerca di deindicizzare alcuni risultati.

La sentenza della Corte, pur affermando che “i diritti fondamentali prevalgono, in linea di
principio, sull’interesse economico del gestore del motore di ricerca” ha prodotto effetti
perversi e del tutto contrati alle aspettative. 


Certo, la Corte afferma che i diritti fondamentali derivanti dagli articoli 7 e 8 della Carta
di Nizza consentono all’interessato di chiedere la rimozione di informazioni da un certo
elenco di risultati, ma aggiunge anche che esistono “ragioni particolari, come il ruolo
ricoperto da tale persona nella vita pubblica, per le quali l’ingerenza nei suoi diritti
fondamentali è giustificata dall’interesse preponderante del pubblico ad avere accesso
all’informazione di cui trattasi”: con questo il problema non è risolto.

E dunque, chi decide se debba prevalere il diritto all’identità personale, alla riservatezza,
alla protezione dei dati personali, oppure l’interessa pubblico dell’informazione?

C’è stato un tempo in cui la risposta a queste domande sarebbe dovuta arrivare dallo
Stato, ma quel tempo è passato: considerando che rimangono sostanziali le distanze, in
tema di privacy, tra la prospettiva statunitense e e quella europea, è a livello europeo che
diventa indispensabile agire.

In questa prospettiva importante è il ruolo giocato dalle Autorità europee per la privacy
riunitesi nel Working Party 29 al fine di mettere a punto le linee guida necessarie a
garantire un’attuazione uniforme della sentenza ma anche ad affrontare problemi lasciati
da questa insoluti: le linee-guida hanno ribadito la complessità del bilanciamento dei diritti
coinvolti dalla procedura di deindicizzazione, stabilendo particolari oneri a carico dei
gestori dei motori di ricerca.

Al documento dei garanti ha presto replicato Google con un proprio rapporto con cui ha
stabilito la propria policy sul diritto all’oblio: mentre nel rapporto dei Garanti europei
risulta centrale la tutela dei diritti alla riservatezza e all’identità personale, nel rapporto di
Google lo scenario è dominato dalla libertà di informazione.

Per comprendere questo punto è sufficiente fare una ricerca su Google del tipo
nome+cognome e notare che, in calce alla pagine in cui vengono riportati i risultati, è
riportata la dicitura: “alcuni risultati possono essere stati rimossi nell’ambito della normativa
europea sulla protezione dei dati”. Facendo esplicito riferimento alla sentenza della Corte di
Giustizia, Google afferma che l’esercizio del diritto all’oblio “influisce profondamente sul
funzionamento dei motori di ricerca in Europa”.

Alcuni soggetti possono vedersi riconosciuto il diritto di ottenere la rimozione dei risultati
relativi a ricerche che includano il proprio nome, purché questi risultino essere inadeguati,
irrilevanti o eccessivi: senza alcuna esitazione Google sostiene che si tratta di un
procedimento complesso in questo è necessario “valutare ogni singola richiesta”.
Google, quindi, non soltanto ha definito una dettagliata procedura con cui l’interessato
può presentare, attraverso un apposito modulo, una richiesta nella quale devono essere
indicati alcuni dati essenziali ma ha anche stabilito i parametri che prenderà in
considerazione per valutare la richiesta, specificando che l’interessato potrà adire il
giudice competente o l’Autorità Garante. 

Il risultato è che l’accoglimento di una richiesta di deindicizzazione da parte di Google
non prevede alcun contraddittorio e non oggetto di alcun procedimento pubblico: si
profila il concreto rischio che siano i provider a decidere su quali dati sarà concretamente
possibile esercitare il “diritto all’oblio”.

Il pericolo più grave di questo meccanismo è che Google, onde evitare i costi di una
eventuale soccombenza in giudizio, possa accogliere la maggior parte delle richieste
di deindicizzazione: paradossalmente verrebbe così compromessa proprio quella libertà
di informazione di cui Google pretende di essere paladina. Il colosso ha respinto questa
accusa affermando che molte della richieste fino ad ora presentate non sono state
accettate.

Le soluzioni proposte dal dibattito dottrinario che ha seguito la sentenza della corte
sono state numerose: tra le più interessanti quella di adottare un meccanismo di
notice and take down che prevede l’individuazione di un soggetto preposto alla
mediazione tra portatori di interessi contrapposti, garantisce il contraddittorio, fissa
termini temporali precisi per l’espletamento della procedura e stabilisce deterrenti atti
a scongiurare tanto l’abuso del diritto da parte del richiedente quanto la tentazione di
una qualche forma di censura da parte del provider.

La sentenza della corte ha provocato reazione anche da parte delle istituzioni: sul piano
normativo l’Unione Europea è intervenuta approvando il regolamento 2016/679/UE,
concernete la tutela delle persone fisiche con riguardo al trattamento dei dati personali e
la loro libera circolazione. Con questo atto è stato introdotto, nell’ordinamento
comunitario il “diritto all’oblio”.

L’articolo 17 del regolamento stabilisce infatti che l’interessato ha il diritto di richiedere la

rimozione dei dati personali che lo riguardano se sussiste uno dei seguenti motivi: 


1. I dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o
altrimenti trattati.

2. L’interessato revoca il consenso su cui si fonda il trattamento.

3. L’interessato si oppone al trattamento di dati personali.

4. I dati personali sono stati trattati illecitamente.

5. I dati personali devono essere cancellati per adempiere un obbligo legale previsto dal
diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento.

La cancellazione può essere accordata soltanto a condizione che non impedisca un

trattamento necessario per l’esercizio del diritto alla libertà di espressione e di
informazione, per l’adempimento di un obbligo legale, per l’esecuzione di un compito di
interesse pubblico nel settore della sanità pubblica, per l’esercizio di pubblici poteri di cui
è investito il titolare del trattamento, per fini di archiviazione nel pubblico interesse, di
ricerca scientifica o storica o a fini statistici, per per l’accertamento, l’esercizio o la difesa
di un diritto in sede giudiziaria.

Il “diritto all’oblio” di cui parla l’articolo 17 ha chiaramente un ambito applicativo di

maggiore ampiezza rispetto al diritto alla deindicizzazione di cui tratta la sentenza
della Corte di Giustizia Europea. Nulla il regolamento stabilisce sull’effettiva tutela del
diritto all’oblio, tanto da non evocare neppure una volta il termine “motore di
ricerca”. Questo punto sembra abbastanza grave, se pensiamo che nella società
contemporanea la percezione della nostra identità è affidata sempre più ai motori di
ricerca e ai social network.

4. Diritti digitali: libertà costituzionali e tecnologie informatiche

La rilevanza costituzionale del mondo digitale


Le società sono regolate dall’atto normativo fondamentale della Costituzione che,

ponendosi al vertice nella gerarchia delle fonti del diritto, dispone al più alto grado in
merito ai principi fondamentali, ai diritti e ai doveri dei cittadini e disciplina la divisione dei
poteri e l’ordinamento degli organi statali: di conseguenza è necessario comprendere
come gli assetti costituzionali reagiscano all’impatto delle tecnologie informatiche a
all’approccio della rete.

Pertanto si pone il problema della tenute, del valore e della capacità delle costituzioni di
regolare i diritti, libertà e relazioni che, nella società tecnologica, per essere tutelati hanno
bisogno di soluzioni che superino i confini statali.

Da tale interrogativo derivano le teorie, di matrice americana, che qualificano Internet

come ordinamento giuridico autonomo.



Nelle ricostruzioni di Internet come ordinamento autonomo, la rete viene vista come uno
spazio spontaneo e libertario, con una propria regolazione giuridica cioè la “lex
informatica”, retta dalla self-regulation degli utenti ma anche dalla co-regulation degli
Stati.

In realtà, alla luce della debolezza di una struttura giuridica autonoma di Internet e
dell’incapacità degli atti sovranazionali a regolare, da soli, i diritti e le libertà degli individui
è necessario interrogarsi sul rapporto tra tecnologie informatiche e Costituzioni, dal
momento che oggi queste restano l’atto fondamentale che regola la vita negli Stati. 

La questione è complessa: le tecnologie creano diritti e libertà inedite o sono solo
strumento ed espansione di diritti e libertà esistenti? Da tale interrogativo ne discende
uno immediatamente conseguente, ossia se sia necessario intervenire sulle
Costituzioni meno recenti con nuove norme o se sia sufficiente l’interpretazione
delle garanzie costituzionali esistenti. 



Tali problematiche originano da una nuova forma di libertà generata dall’impatto delle
nuove tecnologie: la tradizionale libertà personale si traduce come protezione della
propria sfera autonoma ma anche come diritto di controllo relativo alle informazioni e ai
dati sulla propria persona. Grazie a Internet e alla rete, tale libertà acquisisce un ulteriore
significato come diritto alla partecipazione alla società tecnologica, parte integrante
della vita reale, esercitando un insieme di diritti diversi. 

L’emersione di questa nuova forma di libertà informatica, frutto delle possibilità inedite
consentite dalle tecnologie e composta da un insieme di diritti legati alle sue diverse
anime, proprio per le sue caratteristiche incide sulle Costituzioni, atti tesi a fornire tutela
ai diritti e alle libertà incontrando soluzioni diverse nei differenti ordinamenti del mondo. 

Il problema si atteggia diversamente a seconda del momento di emanazione delle Carte
costituzionali:


A. Quelle più recenti hanno potuto assorbire l’impatto delle tecnologie e alludere o
prevedere questa nuova libertà.

B. Le costituzioni anteriori devono tutelare la nuova realtà digitale per mezzo

dell’introduzione di nuove norme o per mezzo di un’interpretazione evolutiva di quelle
esistenti.

Nel caso delle Costituzioni recenti troviamo, in alcune di queste, un riferimento esplicito
alla libertà informatica: già alcune costituzioni degli anni ’70, come quella spagnola e
quella portoghese, vi alludevano ma maggiormente esplicite sono le carte costituzionali
dell’America Latina, del Brasile, del Venezuela, del Paraguay, dell’Ecuador, del
Messico. La libertà informatica trova fondamento anche nel combinato disposto delle
norme della costituzione della Federazione di Russia e di quella della Repubblica del
Sudafrica. In Europa, più di recente, è necessario menzionare la revisione
costituzionale del 2001 in Grecia che ha previsto il diritto di accesso alla rete e un
corrispettivo esplicito obbligo a carico dei pubblici poteri di garantirne l’effettiva
realizzazione.

Altri paesi hanno previsto esplicitamente in legge i diritti legati alle nuove tecnologie: è il
caso dell’Estonia che nel 2000 ha disposto il diritto a Internet nella lista dei servizi
universali, da garantire a tutti, a prescindere dalla posizione geografica. 

Da ricordare anche il caso della Francia nel 2009 che con la legge prevede il diritto legale
di accesso ad Internet, ritenendo diritto elementare una connessione a banda larga di alta
qualità ad un prezzo ragionevole e impegnando i fornitori a garantire una velocità di
download di almeno un megabit al secondo. 

Dal 2011 anche la Spagna collega l’accesso ad Internet al concetto di servizio universale
e nel 2014 inserisce in legge la banda larga tra gli obblighi del servizio universale,
garantendo a ogni cittadino una connessione minima da un megabit al secondo.

Accanto a Stati che hanno scelto la via della modifica costituzionale con l’inserimento di
norme che tengono in considerazione le tecnologie, altri hanno offerto tutela alla libertà
informatica per mezzo dell’interpretazione evolutiva delle norme esistenti.

Da questo punto di vista è significativa la sentenza americana della Corte Suprema U.S
del 1997 che ha dichiarato incostituzionale il “Communication Defency Act” del 1996
che vietava i contenuti di carattere indecente su Internet.

La Corte Suprema riconosce Internet “quale mezzo di comunicazione umana a livello
mondiale capace di accrescere le libertà” e ritiene che “l’interesse a stimolare la libertà di
espressione in una società democratica è superiore a qualunque preteso beneficio della
censura”.

Il fondamentale carattere globale della società tecnologica ci porta a guardare altresì agli
atti sovranazionali. 

A livello internazionale si può richiamare l’articolo 19 della Dichiarazione universale dei
diritti umani, adottata dall’Assemblea generale delle Nazioni Unite il 10 Dicembre 1948
che qualifica il diritto di libertà alla manifestazione del pensiero come diritto di “cercare,
ricevere e diffondere informazioni e idee attraverso ogni mezzo e senza riguardo a frontiere”.

In merito rileva l’articolo 19 del Patto internazionale sui diritti civili e politici, adottato
dalle Nazioni Unite il 19 Dicembre 1966 ed entrato in vigore nel 1976, che prevede una
libertà di espressione “senza riguardo a frontiere” attraverso qualsiasi mezzo a scelta
dell’individuo. 

Nello stesso senso, la Convenzione europea per la salvaguardia dei diritti dell’uomo e
delle libertà fondamentali (CEDU) del 4 Novembre 1950 prevede nell’articolo 10 la
libertà di espressione “senza limiti di frontiera” che può essere sottoposta solo alle
limitazioni legali necessarie, in una società democratica, a proteggere una serie di
interessi tutelati.

Inoltre, nella Carta dei diritti fondamentali dell’Unione Europea l’articolo 1 qualifica la
dignità umana come valore inviolabile e quindi fondamentale canone interpretativo,
l’articolo 8 viene dedicato alla protezione dei dati di carattere personale e l’articolo 11 è
dedicato alla libertà di espressione e d’informazione da esercitare “senza limiti di frontiera”.

Il Parlamento Europeo in una risoluzione del 2008 ha riconosciuto l’impatto di

internet sui diritti dell’uomo e ha esplicitato la necessità di un “rafforzamento della
sicurezza e delle libertà fondamentali su Internet”.

Più di recente, il Consiglio d’Europa precisa che gli Stati sono tenuti a garantire a
ogni persona i diritti umani e le libertà fondamentali sancite dalla Convenzione
Europea dei diritti dell’uomo, sottolineando che tale obbligo vale anche nel contesto
di Internet, al quale si applicano le altre convenzioni e gli altri strumenti europei di
tutela dei diritti.

Degli di nota infine gli atti europei relativi alle comunicazioni elettroniche e il regolamento
che stabilisce misure riguardanti “l’accesso a un’Internet aperta”: in particolare il
regolamento tratta il principio di neutralità della rete.

La costituzione repubblicana alla prova dei byte

Anche nei confronti della Costituzione italiana è necessario porre l’interrogativo se

debbano essere elaborati nuovi diritti e libertà e, quindi, nuove norme in conseguenza
dell’impatto della realtà digitale o, al contrario, se sia sufficiente un’interpretazione
evolutiva delle disposizioni?

La costituzione italiana non contiene riferimenti espliciti alle tecnologie informatiche

e a Internet, per il semplice motivo che la sua emanazione si colloca in un momento
antecedente alla rivoluzione digitale e le revisioni costituzionali non hanno toccato tale
profilo. Come già rilevato, però, la società tecnologica incide profondamente sulla vita
dell’uomo, sulle libertà e sui diritti e, di conseguenza, necessita di una tutela di tenore
costituzionale.

Alla luce di tali considerazioni, in Italia è intenso il dibattito dottrinale, accompagnato da

alcuni significativi disegni di riforma costituzionale. La riflessione si concentra in modo
particolare sul diritto di accesso a Internet, presupposto necessario per svolgere in rete
tutti gli altri diritti, anche se non hanno mancato di espandersi anche tutte le altre libertà
che la rete genera.

A sostegno della tesi che ritiene sufficiente l’interpretazione della Carta Costituzionale
e dei diritti ivi previsti per dare fondamento alle nuove libertà, sono richiamate diverse
disposizioni della costituzione. 

il diritto di accesso ad Internet può essere ancorato all’articolo 21 comma 1 che
prevede la libertà di espressione con “ogni mezzo di diffusione” interpretato come libertà
non solo di informare ma anche di informarsi. Sotto tale lente il diritto di accesso si
collega anche all’articolo 15 che si riferisce invece a una comunicazione interpersonale
rivolta a un numero di soggetti determinati.

Ma l’equiparazione delle tecnologie informatiche a mezzo di comunicazione è limitata

rispetto alle reali possibilità offerte che involgono una serie di attività umane che trovano il
collante nell’esercizio della libertà personale, nello sviluppo della persona e nell’effettiva
partecipazione alla vita pubblica, economica e sociale. Pertanto il diritto di accesso si
configura come precondizionamento per l’esercizio degli altri diritti e libertà
costituzionalmente tutelati e Internet si connota come una dimensione nella quale l’uomo
sviluppa la propria personalità.

Di conseguenza, le nuove libertà e i nuovi diritti collegati alle tecnologie informatiche

vengono fondati sui principi fondamentali della nostra Carta Costituzionale quali
l’articolo 2 ai sensi del quale la Repubblica “riconosce e garantisce i diritti inviolabili
dell’uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità, e
richiede l’adempimento dei doveri inderogabili di solidarietà politica, economia e sociale” e
l’articolo 3 che tutela l’uguaglianza non solo formale ma sostanziale.

Attraverso l’interpretazione evolutiva dei principi fondamentali degli articoli 2 e 3 della

Costituzione è possibile includere le molteplici libertà coinvolte dalle tecnologie
informatiche, quali la libertà personale (art.13), la libertà di comunicazione (art.15), la
libertà di riunione (art.17), la libertà di associazione (art.18), la libertà di informazione
(art.21), la libertà di iniziativa economica (art.41), il diritto alla cultura (artt. 9 e 33), il
diritto alla salute (art.32), il diritto all’istruzione (art.34), il diritto al lavoro (art.35), il
principio di democrazia e sovranità popolare (art.1) e le libertà politiche.

Sugli articoli 2 e 3 e sui concetti di dignità umana e sviluppo della persona è possibile
fondare libertà e diritti che emergono nella rete e sono privi di un esplicito riferimento
costituzionale: il diritto all’anonimato, il diritto all’identità personale e alla sua corretta
rappresentazione, il diritto alla protezione dei dati personali e il diritto all’oblio. 

Sull’articolo 3 e il concetto di eguaglianza è possibile trovare il fondamento al principio
di net neutrality e alla qualificazione della rete quale bene comune.
Accanto a chi trova nella nostra Costituzione i margini e gli spazi per una rilettura al fine di
includere anche le tecnologie informatiche non manca chi auspica un riconoscimento
esplicito attraverso un’integrazione della Costituzione stessa. Per chi sostiene la
necessità di un intervento costituzionale, lo sforzo di un’interpretazione evolutiva della
Carta porta ad attribuire un significato nuovo da quello originario che rischia di sfociare in
una forzatura del dettato costituzionale: in ogni caso, l’interpretazione evolutiva, non
riesce pienamente a comprendere i diversi aspetti delle nuove libertà.

Una proposta di revisione costituzionale riguarda l’inserimento di un articolo 21-bis nella

Costituzione o l’integrazione dell’articolo 21: la proposta deriva da quella avanzata da
Rodotà all’Internet Governance Forum a Roma nel 2010 e va nella direzione di ampliare
i principi costituzionali riguardati l’uguaglianza e lo sviluppo della persona. Un’altra
proposta ha previsto l’inserimento di un articolo 34-bis della costituzione.

Ma, proprio alla luce della forza espressa dai canoni interpretativi della dignità umana e
del principio di uguaglianza, di cui agli articoli 2 e 3 comma 2 della costituzione, non
manca in dottrina chi ritiene che l’intervento
costituzionale dovrebbe riguardare queste
norme al fine di non rischiare di rivelarsi In tale dibattito italiano, oggi si inserisce
limitato al momento dell’applicazione e un riconoscimento istituzionale, seppur
coprire, invece, in modo trasversale e non legislativo, delle libertà digitali nella
aperto l’insieme di diritti e libertà protetti dichiarazione dei diritti in Internet,
dalla Carta fondamentale e coinvolti dalla detta anche Internet Bill of Rights
rivoluzione digitale. 
 Italiana.

Diritti umani e nuove tecnologie: la via dell’Internet Bill of Rights

Il riconoscimento del carattere sovranazionale delle questioni poste dalle nuove

tecnologie, l’emersione della libertà informatica e di un ampliamento, mutamento e
rafforzamento dei diritti dell’uomo sono alla base dei tentativi di emanare un Internet Bills
of Rights a livello sovranazionale: nel 2005, in occasione del World Summit on
Information Society organizzato dall’ONU a Tunisi, il professor Rodotà rileva la
necessità di una carta dei diritti digitali, al fine di proteggere le libertà e i diritti umani nella
rete. La ratio si rinviene nella stessa rivoluzione informatica e nei profondi cambiamenti
che hanno portato nell’esistenza dell’uomo e negli assetti del potere.

La dimensione globale dei diritti e del loro esercizio spezza i confini territoriali, indebolisce
le sovranità statuali, ridistribuisce i poteri, ridisegna il rapporto tra pubblico e privato e
sottrae l’effettiva tutela dei diritti ai tradizionali processi giudiziari: si assiste di
conseguenza all’emersione dell’esigenza di nuove regole.

Se a livello sovranazionale non si è ancora giunti all’emanazione di un Internet Bill of

Rights ci sono però movimenti in tal senso.


A. È necessario richiamare il Marco Civil da Internet del Brasile, approvata a seguito di

un’intensa consultazione pubblica, che nei suoi 32 articoli “stabilisce principi, garanzie,
diritti e doveri per l’uso di internet in Brasile”:tale atto ha ispirato anche il nostro paese,
seppur in Italia la scelta non è stata quella di approvare un atto di natura legislativa. 


B. In Italia, il 28 Luglio 2014, la Camera dei Deputati ha nominato una commissione

per i diritti e i doveri di internet, promossa e presieduta dalla presidente Laura
Boldrini e coordinata da Stefano Rodotà col fine di elaborare una Dichiarazione dei
 diritti in Internet.

La bozza di dichiarazione è stata varata dalla commissione l’8 Ottobre 2014 ed è stata
sottoposta a consultazione pubblica, a seguito della quale è stato formulato il testo
definitivo, approvato dalla commissione e pubblicato il 28 Luglio 2015.

La dichiarazione è stata presentata all’Internet Governance Forum 2015 in Brasile, in
coerenza con la mozione “Quintarelli e altri” e la mozione “Caparini e altri”,
approvate dalla Camera dei Deputati e volte ad impegnare il governo ad attivare ogni
iniziativa utile per la promozione e l’adozione dei principi della Dichiarazione a livello
nazionale, europeo e internazionale. 

La Dichiarazione, priva di forza giuridica vincolante, svolge, quale fonte istituzionale,
una funzione di moral suasion anche grazie alle richiamate mozioni che la rendono
un documento di indirizzo per il Governo, dotato di un esplicito valore cultuale e
politico e corredato della necessaria flessibilità per adeguarsi all’evoluzione costante
della realtà digitale: il documento indica principi e direzioni per possibili sviluppi
normativi nei diversi livelli nazionale ed internazionale.

Nella dichiarazione sono trattati i diritti fondamentali della rete che possono essere
distinti in tre macro-aree:



• In primo luogo sono definiti i diritti legati alla possibilità stessa di fruire
liberamente della rete: tra questi si possono far rientrare il diritto di accesso a
Internet e il diritto alla conoscenza e all’educazione in rete. Nella stessa macro-area si
possono collocare il diritto alla neutralità della rete e il governo della rete stessa. 



• In secondo luogo sono definiti e regolati i principi afferenti all’identità e alla tutela
della persona: vi rientrano il diritto all’identità, la protezione dell’anonimato e i diritti
più specificatamente legati alla privacy.



• Infine la Dichiarazione prevede una serie di diritti relativi alla sicurezza e alla
garanzia del soggetto, quali il diritto all’inviolabilità dei sistemi, dei dispositivi e
dimicili informativi, i trattamenti automatizzati, i diritti e le garanzie delle persone sulle
piattaforme e la sicurezza in rete. 


Il diritto di accesso a Internet e la questione del digital divide


Il diritto di accesso a Internet viene fornito di fondamento costituzionale per mezzo

dell’interpretazione evolutiva della carta repubblicana: non manca chi auspica e
propone una revisione costituzionale tesa a rendere esplicito il riferimento a tale diritto.

Il “tenore costituzionale” del diritto di accesso alla rete si coglie anche nella
Dichiarazione dei diritti in Internet che, seppur non sia atto di natura legislativa,
riveste un chiaro valore culturale e politico.

A livello di legislazione ordinaria, nell’ordinamento italiano, sono presenti importanti

riferimenti normativi al diritto di accesso a Internet.


1. È significativa la cosiddetta “legge Stanca” : nella norma il diritto di accesso emerge

nel suo aspetto tecnologico e infrastrutturale, ossia quale possibilità di accedere
tecnicamente alla rete, ma anche nel profilo del contenuto cui si accede, ossia tutte le
fonti di informazione e i relativi servizi.

La disposizione poi configura l’accesso nella sua natura di diritto sociale e lo fa
derivare esplicitamente dal principio di eguaglianza sostanziale di cui all’articolo 3
della Costituzione.

2. Disposizioni significative si trovano nel Codice dell’amministrazione digitale, in

particolare nell’articolo 3 e nell’articolo 8: entrambe le norme sono state oggetto di
recente e profonda modifica da parte del decreto legislativo 26 Agosto 2016 n.179
che ne ha ampliato la portata. 

Il decreto legislativo 179/2016 costituisce attuazione dell’articolo 1 della legge
delega 7 Agosto 2015 n.124, la cosiddetta “Riforma Madia” recante la rubrica
“Carta della cittadinanza digitale” che intende rendere effettivi i diritti digitali dei
cittadini nei confronti delle amministrazioni pubbliche. 


3. L’articolo 3 del decreto legislativo 82/2005 declina il diritto di accesso alla rete
nell’ambito relativo ai rapporti con i soggetti pubblici, trattando più ampiamente di
diritto all’uso degli strumenti tecnologici, che presuppone necessariamente anche il
diritto di accesso a Internet. 

L’articolo 8 del decreto legislativo 82/2005 approfondisce il diritto di accesso a
Internet anche sotto l’aspetto culturale, rilevando la necessità di competenze, al fine
di poter utilizzare l’accesso messo tecnicamente a disposizione e coglierne il valore,
le opportunità e i rischi. Pertanto, lo Stato e i soggetti cui si applica il Codice sono
tenuti a promuovere “iniziative volte a favorire la diffusione della cultura digitale tra i
cittadini”.


4. In tale direzione, il decreto legislativo 179/2016 ha introdotto l’articolo 8-bis che

prevedere favorire la connettività alla rete Internet negli uffici e luoghi pubblici, a
beneficio degli utenti.


5. Più ampiamente il Codice dedica le prime disposizioni ai diritti in rete, declinando il

rapporto con i pubblici potere nei termini della cittadinanza digitale e configurando il
diritto di accesso come precondizione per l’esercizio dei diritti e l’assolvimento
dei doveri. Nel farlo pone posizioni soggettive e diritti in capo ai cittadini e
corrispettivi doveri in capo ai soggetti pubblici: da questo punto di vista rileva anche
l’articolo 2 comma 1 del decreto legislativo 82/2005 che impegna in modo esplicito
le istituzione ad assicurare la possibilità di fruire ed utilizzare le tecnologie
informatiche nei rapporti con i soggetti pubblici. 


6. Nell’ordinamento rilevano poi le norme del Codice delle comunicazioni elettroniche

che danno attuazione alle relative direttive europee, pongono obblighi di servizio
universale, sono volte a garantire i diritti inderogabili di libertà delle persone nell’uso
dei mezzi di comunicazione elettronica e a salvaguardare i diritti costituzionalmente
garantiti di libertà di comunicazione, segretezza delle comunicazioni, libertà di
iniziativa economica e suo esercizio in regime di concorrenza.

La tutela del diritto di accesso a Internet e le norme richiamate evocano il digital device,
ossia il divario tra chi accede, fruisce e utilizza le tecnologie informatiche e chi ne è
escluso. Sono diverse le motivazioni di esclusione; geografiche e infrastrutturali, culturali,
anagrafiche, economiche, inerenti a disabilità. 

La percentuale di famiglie che dispongono della connessione a banda larga è il 67,4% e
la quota di persone che si connettono a Internet si attesta al 63,2%. È importante rilevare
un forte divario di natura anagrafica: i giovani tra i 15 e i 24 anni che utilizzano il web
sono oltre il 91%. La situazione del digital device è ancora più grave nelle famiglie di soli
anziani di 65 anni e più: la percentuale di coloro che dispongono di una connessione a
banda larga è solo il 20,7%.
Il digital device si manifesta in Italia nelle sue diverse dimensioni: accanto a quello
anagrafico, emergono il divario geografico fra Centro-Nord e Sud, le differenze di genere
e il divide dovuto allo status culturale, economico e sociale.

Dal punto di vista della diffusione della banda larga, l’Italia si colloca, a livello europeo,
al 19° posto con un valore del 77%, registrando un gap di 6 punti percentuali rispetto alla
media europea (83%). Le motivazioni dichiarate riguardo al mancato possesso
dell’accesso a Internet in casa sono individuate dal 56,6% delle famiglie nella mancanza
di competenze e dal 23,6% nel fatto di non considerare Internet uno strumento utile
ed interessante.
Se si analizza l’utilizzo della rete, si rileva che è usata come fonte di conoscenza sia per
fruire di contenuti culturali, sia per leggere giornali, informazioni e riviste online: Internet è
utilizzato anche come strumento di interazioni sociale.

Maggiormente confortante l’analisi del rapporto delle imprese italiane con le

tecnologie: per quanto attiene alle imprese di almeno 10 addetti, circa il 98% usa
internet, il 94,2% utilizza connessioni a banda larga fissa o mobile, il 71,3% possiede un
sito web e il 39,2% utilizza un social media per finalità di marketing, l’11% vende online.

L’istantanea del Paese che ci consegna Istat è molto significativa e mostra che esistono
criticità in quelle che sono le condizioni necessarie all’utilizzo delle tecnologie
informatiche: il superamento del digital device.

La condizione prioritaria all’utilizzo delle tecnologie è l’accesso alla rete insieme al
possesso delle competenze che permettano di utilizzare questi strumenti: il male non
curato del digital device già comincia a caratterizzarsi come il “nuovo analfabetismo
digitale” e potrebbe assumere connotati drammatici. 

Riuscire a sanare la frattura causata dal divario digitale comporta la compresenza di
fattori diversi. Senz’altro è necessario garantire a tutti l’accesso alla rete
indipendentemente dalla collocazione geografica, accompagnata da interventi e
azioni concrete di alfabetizzazione informatica.

Ma anche l’alfabetizzazione da sola non basta: un dato significativo è costituito dalla

percentuale del 23,6% di coloro che non hanno accesso alla rete da casa, che
considerano Internet inutile e non interessante. Ciò evidenzia l’urgenza di
un’educazione che permetta non solo di saper usare le tecnologie ma anche di
utilizzarle in modo consapevole, cogliendone il valore e le opportunità così come i
rischi.

E-democracy e voto elettronico



L’evoluzione del diritto di libertà informatica si declina anche nella dimensione sociale e
politica dell’uomo: sotto tale profilo le tecnologie informatiche possono essere
implementate per garantire il coinvolgimento nei processi decisionali, permettere il
controllo democratico e facilitare iniziative dirette ai cittadini per dare sostanza a quella
che viene definita e-democracy.

Con il concetto ampio di e-democracy ci si riferisce all’utilizzo delle tecnologie

informatiche nelle diverse fai del processo democratico, al fine di promuovere il
coinvolgimento nella sfera pubblica e agevolare l’esercizio dei diritti politici e civili.

L’ e-democracy è esplicitamente prevista dalla legislazione ordinaria, in particolare

dall’articolo 9 del decreto legislativo 82/2005 che è stato oggetto di modifica da parte
del decreto legislativo 179/2016.

La norma pone un impegno in capo ai soggetti pubblici, al fine di colmare la distanza fra
cittadini e decisori: la democrazia elettronica si pone garantendo maggiore trasparenza e
favorendo il coinvolgimento nei processi decisionali per mezzo del dialogo con la
collettività, che si sostanzia nella raccolta di proposte, osservazione e feedback.

La democrazia elettronica può concretizzarsi in

strumenti diversi quali la pubblicazione di
informazioni e documentazione sul web, newsletter, Il contrasto tra digital divide e
forum, focus group, sondaggi, consultazioni la inclusione digitale si
pubbliche online fino ad arrivare al voto elettronico.
pongono come precondizione
dei processi di e-democracy.
L’e-voting si configura come uno strumento per
snellire le procedure di espressione del suffragio
grazie alla riduzione dei tempi e l’abbattimento dei costi elettorali, permettendo di
contrastare e ridurre al minimo fenomeni quali errori, brogli o adulterazioni del voto: il
principio ispiratore consiste nel favorire la trasparenza delle operazioni elettorali,
accrescendo la fiducia dei cittadini e l’affluenza alle urne, combattendo così
l’astensionismo. L’automazione del procedimento elettorale può avvenire in due modi:

1. Nel caso dello scrutinio elettronico gli elettori esprimono il voto secondo le modalità
usuali e le tecnologie sono utilizzare nella fase successiva, durante le operazioni di
spoglio.

2. Nel caso del voto elettronico vero e proprio, le tecnologie informatiche si utilizzano
per l’espressione del suffragio

Sono possibili diverse tipologie di voto elettronico: la votazione offline dove i

computer utilizzati non sono in alcun modo collegati in rete oppure online dove i
computer utilizzati sono collegati in una rete chiusa o aperta, quale internet. 


Un esperimento di voto online di grande rilievo si è verificato in Arizona nel 2000: in

occasione delle primarie, il partito democratico dell’Arizona si è affidato al voto online,
lasciando all’elettore la scelta di votare con scheda elettorale cartacea o via Internet.

Alcuni Stati, in un primo tempo, hanno abbracciato soluzioni di voto elettronico ma poi
hanno abbandonato tale modalità a causa delle difficoltà tecniche e dei rischi di
sicurezza: in Estonia la legge elettorale ammette il voto da casa e, anche nel caso della
Svizzera, è previsto il voto online.

In Italia si sono avute sperimentazioni del voto elettronico a livello locale, nonché la
sperimentazione della rilevazione elettronica dello scrutinio nelle elezioni europee del
2004 e in quelle regionali del 2005: tali processi non hanno ottenuto i risultati sperati a
causa di errori e disguidi.

Le problematiche derivanti dall’ e-voting ostacolano un suo concreto impiego in Italia: i

problemi afferiscono al rispetto dell’articolo 48 comma 2 della Costituzionale, ai sensi
del quale “il voto è personale ed eguale, libero e segreto”: il principio di personalità esige
che il diritto/dovere di voto debba essere esercitato personalmente dal titolare, non solo
nel momento dell’identificazione ma anche in quello dell’espressione del suffragio.

Nel caso in cui un soggetto voti al posto di un altro verrebbe inficiato anche il principio di
eguaglianza che consiste nel garantire che i voti abbiano lo stesso valore, peso e
significato. Di conseguenza è necessario garantire che sia chiaramente individuabile il
momento in cui l’elettore finisce di votare e quindi deposita il voto nell’urna e che, a
questo punto non sia più consentito modificare il proprio voto. Inoltre deve essere
garantito il suffragio universale e il sistema di voto deve essere comprensibile, immediato
e configurato in modo tale da essere accessibile alle persone disabili: sotto tale profilo il
digital divide potrebbe comportare difficoltà per alcuni soggetti, creando un’ingiusta
disparità di trattamento.

La libertà di voto richiama la necessità che il ricorso a strumenti elettronici non debba
condizionare l’espressione, ma consentire all’elettore di manifestare la propria scelta
liberamente: l’utilizzo di sistemi online, offrendo una potenziale maggiore autonomia,
permette una teorica espansione della libertà ma questo requisito viene limitato dalle
possibili violazioni nella segretezza.

Di conseguenza, l’insieme di caratteristiche che connotano il voto a livello costituzionale

rendono difficile immaginare l’utilizzo di terminali che non siano situati in luoghi pubblici,
perché ciò mina potenzialmente la segretezza del
voto, che può essere influenzato. Inoltre, l’utilizzo
della rete per le elezioni pubbliche è ritenuto Pertanto i meccanismi di voto
pericoloso, dal momento che pone gravi problemi di elettronico non offrono
identificazione, sicurezza, privacy e controllo: in sufficienti garanzie nel nostro
particolare, nel caso di soluzioni quali l’internet ordinamento costituzionale.
votino diventa difficile prevenire la manipolazione
dei dati, proteggere l’anonimato e garantire il sistema
di corretto conteggio.

Il processo democratico è influenzato dal modo in cui circolano e sono diffuse le

informazioni che possono favorire la capacità di giudizio dei cittadini, il formarsi di una
coscienza civica e politica e la partecipazione consapevole. Seppur alcuni movimenti
politici si siano serviti della rete, l’utilizzo non è stato particolarmente innovativo e
dirompente, mostrando un’incapacità a sfruttare le potenziali digitali in modo strutturato e
organizzato.

Quale “orizzonte giuridico” digitale?

Nella descrizione del rapporto tra il diritto e la rete è frequente il paragone dello spazio di
Internet col mare che, nella difficoltà di individuare il diritto applicabile, ha generato una
specifica regolazione, il “diritto del mare”: non è un caso che per Internet si usi la
metafora del “navigare in rete”. Come nel caso del mare, parallelamente nel caso dei
byte, si infrangono confini e barrire e si indeboliscono la sovranità e la pretesa di potere
degli Stati.

All’origine emergeva l’idea utopica dell’agorà digitale caratterizzata da un’ampia e

inedita libertà, dal ruolo centrale svolto dall’informazione e dalla diffusione del potere e
del controllo: ma la realtà si distanzia facendo emergere nuovi poteri, capaci di controllare
e restringere le presunte sconfinate libertà.

La rete diventa terreno di conquista dei nuovi colossi mondiali, come Google, Apple,
Facebook, Amazon, Alibaba, fuori da ogni legittimazione e controllo istituzionale.

L’individuo deve passare da tali produttori per l’accesso allo svolgimento della propria vita
digitale: gli individui sono pronti a cedere propri dati e informazioni in cambio della
possibilità di avere accesso a beni e servizi.

Emergono i rischi di una società che dall’essere società dell’informazione rischia di

scivolare in una società del controllo e della sorveglianza: una società che se lasciata
all’autoregolazione porta a concentrare il potere nelle mani di pochi potenti detentori di
dati, informazioni e conoscenza.

Qual è, dunque, oggi l’”orizzonte giuridico dell’Internet”? A quale “ordinamento

digitale” siamo indirizzate? L’esigenza prioritaria consiste nel creare un adeguato
contesto istituzionale per evitare che le tecnologie informatiche siano guidate solo da
logiche di mercato: deve essere ristabilita la supremazia delle libertà e dei diritti
fondamentali o prevarrà la logica del più forte e una sorta di privatizzazione della rete. 

A questo fine sono necessarie regole comuni formate da una pluralità di attori a diversi
livelli a cui le istituzioni e gli stati devono contribuire attivamente.

Gli stati non sono gli unici produttori di norme: oltre che dalle leggi nazionali ma anche
sovranazionali, la società tecnologica è regolata dalle regole tecniche del mercato, da
regole sociali e soft law.

Gli stessi “giganti della rete” generano norme la cui violazione produce conseguenze:
tali regole sono accettate più o meno consapevolmente dagli utenti pur di aver accesso
alle piattaforme stesse, senza una reale libertà, dal momento che per accede al servizio
l’individuo è costretto ad accettare le regole unilateralmente poste e che possono
unilateralmente essere modificate.

Da tale intreccio si comprende il nuovo ruolo a cui è chiamato il diritto che deve
recuperare uno spazio giuridico pubblico e mostrarsi capace di incidere nel contesto di
riferimento: per farlo ha bisogno della capacità degli stati che devono fare uso di nuove
forme di cooperazione e collaborazione idonee a generare regole comuni recanti i principi
e i criteri necessari per garantire i diritti e le libertà, messi in pericolo da logiche
esclusivamente di mercato.

La regolamentazione delle tecnologie informatiche passa necessariamente da un

approccio multitasker e dall’integrazione di fonti diverse.

Caso di studio: l’analisi della Dichiarazione dei diritti in Internet

La Dichiarazione dei diritti in Internet è stata approvata il 28 Luglio 2015 dalla

Commissione dei diritti e dei doveri relativi ad Internet, istituita dalla Camera dei
deputati il 28 Luglio 2014. 

La Dichiarazione si concentra sui principi e sui diritti legati più strettamente al
funzionamento e alle dinamiche di Internet, costruendo così un documento coerente da
cui ricavate regole adatte alle diverse situazioni.

L’analisi dei 14 articoli della Dichiarazione viene condotta utilizzando la divisione in tre
macro-aree tematiche: i diritti legati alla possibilità stessa di fruire liberamente delle
rete, i diritti afferenti all’identità e alla tutela della persona e i diritti relativi alla
sicurezza e alla garanzia del soggetto.
1. Preambolo 

Il preambolo è teso a mettere in evidenza l’impatto di Internet sulla vita dell’uomo e
sulla società e a chiarire le finalità di un Internet Bill of Rights. 

Sotto il primo profilo viene rilevato come Internet contribuisca a ridefinire lo spazio
pubblico e privato, strutturare i rapporti tra i soggetti, modificare la produzione,
l’utilizzazione della conoscenza e l’organizzazione del lavoro, consentendo lo sviluppo
di una società più aperta e libera. 

Sotto il secondo profilo viene sottolineato che l’articolo 8 della Carta dei diritti
fondamentali costituisce il “riferimento necessario per una specificazione dei principi
riguardanti il funzionamento di Internet”.

Il preambolo conclude con la ratio di ispirazione e, nel farlo, si collega alla dimensione
sovrastatale “una Dichiarazione dei diritti di Internet è strumento indispensabile per dare
fondamento costituzionale a principi e diritti nella dimensione sovranazionale”.


2. Riconoscimento e garanzia dei diritti


Il primo articolo pone l’accento sulla necessità di riconoscere e di assicurare
l’effettività nella rete dei diritti fondamentali di ogni persona e, a tal fine, richiama i
principali atti nazionali e sovranazionali che li riconoscono. 

Viene evidenziato, poi, il fondamento del riconoscimento dei diritti e del loro
necessario bilanciamento che consiste nel “pieno rispetto della dignità, della libertà,
dell’eguaglianza e della diversità di ogni persona”.


3. Diritti legali alla possibilità stessa di fruire liberamente della rete


Art.2 - Diritto di accesso

Il primo diritto trattato è l’accesso a Internet, che si pone come presupposto per lo
svolgimento degli altri diritti e libertà: viene qualificato come “diritto fondamentale”
collegandolo agli articoli 2 e 3 della Costituzione ed esplicitando la necessità che sia
garantito come diritto sociale. 

L’accesso viene garantito non solo come diritto tecnico di collegamento alla rete
ma anche nei suoi presupposti sostanziali, assicurando la libertà di scelta per quanto
riguarda dispositivi, sistemi operativi e applicazioni anche distribuite. 

La Dichiarazione impegna le istituzioni pubbliche a garantire i necessari interventi per
il superamento di ogni forma di divario digitale. 



Art.3 - Diritto alla conoscenza e all’educazione in rete

Collegati al diritto di accesso ad Internet sono il diritto alla conoscenza,
all’educazione in rete e alla cultura digitale. 

L’articolo 3 non omette di riconoscere la necessaria tutela del diritto d’autore, della
proprietà intellettuale e dei diritti derivanti dal riconoscimento degli interessi
morali e materiali legati alla produzione di conoscenze.

Riguardo all’educazione e alla cultura digitale si esplicita il diritto di ogni persona di
essere posta in condizione di acquisire e aggiornare le capacità necessarie ad
utilizzare Internet in modo consapevole: a tale diritto corrisponde la prestazione
sociale cui sono tenute le istituzioni pubbliche che devono promuovere l’educazione
in rete. 



Art.4 - Neutralità della rete

Un principio fondamentale sul quale Internet deve poggiarsi è costituito dal principio
della neutralità della rete, condizione necessaria per l’effettività dei diritti
fondamentali, declinazione del principio di uguaglianza dell’articolo 3 della
 Costituzione.



Art.14 - Governo della rete 

Un aspetto centrale del presente e del futuro della rete è costituito dalla governance
di Internet. Si esplicita l’esigenza che Internet abbia “regole conformi alla sua
dimensione universale e sovranazionale, volte alla piena attuazione dei principi e diritti”
della Dichiarazione, per “garantire il suo carattere aperto e democratico, impedire ogni
forma di discriminazione ed evitare che la sua disciplina dipenda dal potere esercitato da
soggetti dotati di maggiore forza economica”.

Le regole della rete devono, di conseguenza, tenere conto dei seguenti aspetti: i
diversi livelli territoriali, le opportunità di forme di autoregolamentazione, la necessità
di salvaguardare la capacità di innovazione anche attraverso la concorrenza e un
approccio che tenga conto della molteplicità dei soggetti che operano in rete. 

La gestione della rete deve assicurare il principio di trasparenza, la responsabilità
delle decisioni, l’accessibilità delle informazioni pubbliche, la rappresentanza dei
soggetti interessati, gli open data: per il rispetto di tali criteri è indispensabile la
costituzione di autorità nazionali e sovranazionali. 


4. Diritti afferenti all’identità e alla tutela della persona


Art. 5 - Tutela dei dati personali

Nella società tecnologica è centrale il diritto di ogni persona alla protezione dei dati
che la riguardano per garantire il rispetto della sua dignità, identità e riservatezza. 

L’attenzione è posta sui dati che permettono di identificare una persona: si fa
riferimento al diritto di ogni persona di accedere ai dati raccolti, di ottenerne la rettifica
e la cancellazione per motivi legittimi: condizione necessaria per un legittimo
trattamento è il consenso effettivamente informato dell’interessato o altro
fondamento legittimo. Il consenso è revocabile e la legge può prevedere che debba
essere accompagnato da specifiche autorizzazioni.

È posto il divieto di accesso e trattamento dei dati con finalità anche indirettamente
discriminatorie. 



Art. 6 - Diritto all’autodeterminazione informativa

La libertà informatica e il correlato diritto alla protezione dei dati personali si
traducono anche come diritto di controllo relativo alle informazioni e dai dati sulla
propria persona. Di conseguenza, ogni persona ha il diritto di accedere ai proprio
dati per chiederne integrazione, rettifica e cancellazione secondo le modalità
previste dalla legge, nonché di conoscere le modalità tecniche di trattamento dei
dati. In ogni caso la raccolta e la conservazione dei dati devono essere limitate al
tempo necessario, rispettando i principi di finalità e proporzionalità e il diritto
all’autodeterminazione.



Art. 9 - Diritto all’identità

Il diritto all’identità personale si traduce nel diritto di ogni persona alla
rappresentazione integrale e aggiornata delle proprie identità in rete.

Sotto tale profilo l’uso di algoritmi e tecniche probabilistiche deve essere portato a
conoscenza delle persone interessate che possono opporsi alla costruzione e alla
diffusione di profili che le riguardano. A tale proposito si esplicita il diritto di ogni
persona di fornire solo i dati strettamente necessari per l’adempimento di obblighi
previsti dalla legge, per la forniture di beni e servizi, per l’accesso alle piattaforme. 

Si fa riferimento anche all’attribuzione e alla gestione dell’identità digitale da parte
 delle istituzioni pubbliche, che devono essere accompagnate da adeguate garanzie,
in particolare in termini di sicurezza. 



Art.10 - Protezione dell’anonimato

L’articolo protegge il diritto di ogni persona di “accedere alla rete e comunicare
elettronicamente usando strumenti anche di natura tecnica che proteggano l’anonimato
ed evitino la raccolta di dati personali, in particolare per esercitare le libertà civili e politiche
senza subire discriminazioni o censure”.

È necessario l’equilibrio tra l’anonimato in rete e la tutela da comportamenti illeciti
connessi online: di conseguenza, le limitazioni possono essere previste solo per la
tutela di rilevanti interessi pubblici. L’identificazione dell’autore della
comunicazione può essere disposta dall’autorità giudiziaria, con provvedimento
motivato, nei casi di violazione della dignità e dei diritti fondamentali, nonché negli altri
casi previsti dalla legge.



Art.11 - Diritto all’oblio 

Al diritto all’identità e alla protezione dei dati personali si collega il diritto “a
dimenticare”, alla deindicizzazione e all’oblio.

È necessario un complesso equilibrio fra il diritto all’oblio del singolo e il diritto
all’informazione e alla conoscenza della collettività nell’era della rete, senza “limitare la
libertà di ricerca e il diritto dell’opinione pubblica a essere informata”.

Nel caso di persone note o alle quali sono affidate funzioni pubbliche il diritto può
essere esercitato solo se i dati che le riguardano non hanno alcun rilievo in relazione
all’attività o alle funzioni esercitate. 


5. Diritti relativi alla sicurezza e alla garanzia del soggetto


Art.7 - Diritto all’inviolabilità dei sistemi, dei dispositivi e domicili informatici 

In merito al diritto all’inviolabilità di sistemi e dispositivi informativi di ogni persona e
alla libertà e alla segretezza delle sue informazioni e comunicazioni elettroniche, le
deroghe sono possibili nei soli casi e modi stabiliti dalla legge e con l’autorizzazione
motivata dell’autorità giudiziaria. 



Art.8 - Trattamenti automatizzati 

Nella rete è fondamentale garantire la persona da trattamenti automatizzati che
possano profilarla o definirne la personalità. 



Art.12 - Diritti e garanzie delle persone sulle piattaforme

Per tutelare le persone in rete è necessario definire i loro diritti sulle piattaforme e
porre correlati doveri in capo ai responsabili delle stesse, in considerazioni dello squali
brio e dell’asimmetria nel rapporto e della conseguenze necessità di tutelare
l’individuo che vi accede, quale “soggetto debole”.

Di conseguenza, il comportamento dei responsabili delle piattaforme digitali deve
informarsi a lealtà e correttezza nei confronti di utenti, fornitori e concorrenti.

Ogni persona deve essere informata del mutamento delle condizioni contrattuali,
con il conseguente diritto di interrompere il rapporto, di avere copia dei dati in
forma interoperabile, di ottenere la cancellazione dalla piattaforma dei dati.

Se le piattaforma si presentano come servizi essenziali per la vita e l’attività delle
persone, devono essere assicurate condizioni per un’adeguata interoperabilità, in
presenza di parità di condizioni contrattuali, delle loro principali tecnologie, funzioni e
dati verso altre piattaforme.

 

Art.13 - Sicurezza in rete

La sicurezza in rete è interpretata sia come interesse pubblico sia come interesse
delle singole persone. È necessario il bilanciamento tra sicurezza online e libertà di
manifestazione del pensiero: di conseguenza, la sicurezza non può tradursi in
inammissibili limitazioni della libertà di manifestazione del pensiero ma deve essere
garantita “la tutela della dignità delle persona da abusi connessi a comportamenti quali
l’incitamento all’odio, alla discriminazione e alla violenza”.


5. Documenti e contratti nella società tecnologica

Il documento informatico

Il diritto deve assicurare validità ai documenti formati e trasmessi con modalità

digitale e alle attività giuridiche compiute per mezzo delle tecnologie informatiche. 

Il documento informatico si pone come oggetto privilegiato delle attività giuridiche
digitali ed è assolutamente centrale la rilevanza della relativa disciplina normativa.


La legislazione si è preoccupata di dettare disposizioni idonee ad assicurare la certezza

del diritto grazie alla previsione di norme atte a preservare gli aspetti necessari e
caratterizzanti quali: l’oggetto costituito dal documento e l’identificazione del
soggetto giuridico cui imputare la paternità del documento informatico.

La normativa e le regole tecniche disciplinano l’integrità e l’autenticità del documento e

le firme elettroniche: le norme principali sono oggi contenute prevalentemente nel
Codice dell’amministrazione digitale (CAD), il decreto legislativo n.82 del 7 Marzo
2005. Ai sensi dell’articolo 2 comma 3 del decreto legislativo 82/2005, le disposizioni
del CAD che regolano l’attività documentale in ambito digitale e riguardano il documento
informatico, le firme elettroniche e la trasmissione telematica dei documenti si applicano
non solo nell’ambito pubblico ma anche ai privati e, di conseguenza, ai rapporti di natura
privatistica, integrandosi nell’ordinamento civilistico. 


Le norme conferiscono centralità al documento informatico che contiene la

rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. A riprova della
prevalenza dei byte sulla carta, la definizione di documento analogico è ricavata in
negativo e consiste nella rappresentazione non informatica di atti, fatti o dati
giuridicamente rilevanti. 

Il documento informatico, anche privo di sottoscrizione, ha un proprio valore giuridico
ma la firma elettronica svolge una funzione fondamentale perché costituisce strumento
di identificazione e imputazione del documento informatico e delle dichiarazione in esso
contenute con le connesse conseguenze giuridiche.

Le firme elettroniche

Al passaggio dal documento cartaceo al documento informatico corrisponde il

passaggio dalla firma autografa a quella elettronica che mostrano rilevanti tratti
differenziali. 


1. La firma autografa si presenta come un segno apposto manualmente sul documento

cartaceo e direttamente riconducibile al soggetto: è legata al supporto fisico del
 documento, valutabile in modo diretto e dotata in sé di validità temporale illimitata.


2. La firma elettronica consiste in una sequenza binaria riconducibile al soggetto solo

attraverso una procedura informatica: è legata in modo indissolubile al contenuto del
documento, valutabile solo con mezzi informatici e dotata di una validità temporale
illimitata. 


In merito al valore del documento, vige nell’ordinamento il principio della libertà della
forma nella manifestazione della volontà negoziale ma in molti casi è imposta la
forma scritta ad substantiam (per la validità dell’atto, ossia per la produzione degli
effetti giuridici) o ad probationem (per la prova di un atto o un fatto): è il caso
dell’articolo 1350 del codice civile che impone, in determinate fattispecie, la forma
scritta a pena di nullità. 


Di conseguenza, è essenziale verificare quali soluzioni di firma elettronica

conferiscono al documento informatico l’attitudine a integrare e assolvere il requisito
della forma scritta e il valore probatorio che sono idonee ad attribuire.


In caso di documento informatico, privo di

sottoscrizione, l’idoneità a soddisfare il requisito A un documento elettronico
della forma scritta e il suo valore probatorio sono non possono essere negati gli
liberamente valutabili in giudizio: il commento quindi effetti giuridici e l’ammissibilità
possiede un proprio valore giuridico, in conformità a come prova in procedimenti
quanto previsto dall’articolo 46 del regolamento giudiziari per il solo motivo
eIDAS (electronic IDentification Authentication della sua forma elettronica.
and Signature).


La normativa vigente delinea un sistema di sottoscrizioni a più livelli, con diversa forza
probatoria, in cui il concetto di firma elettronica si riferisce al procedimento informatico
che permette di accertare la paternità di un documento: la conseguente distinzione tra
tipologie di firma si basa sulla diversa capacità di garantire sicurezza e affidabilità a livello
tecnico circa l’identità dei soggetti e l’integrità dei dati. 

Sono quattro le tipologie di firma elettronica previste dalla normativa di riferimento: firma
semplice, firma avanzata, firma qualificata e firma digitale.

In premessa va evidenziato il principio di non discriminazione di cui all’articolo 25 del
regolamento eIDAS, che consiste nel non poter negare a una firma elettronica gli effetti
giuridici e l’ammissibilità come prova in procedimenti giudiziali.

A. La firma elettronica semplice consiste in uno strumento che consente di associare

un insieme di dati elettronici a un identificativo unico, costituito appunto dalla firma
elettronica. Si trarre della firma “debole” o “leggera” nell’ordinamento: il documento
informatico sui cui è apposta soddisfa il requisito della forma scritta, ma sul piano
probatorio è valutabile dal giudice, tenuto conto delle sue caratteristiche di qualità,
sicurezza, integrità e immodificabilità.

Pertanto, sul piano probatorio, ha lo stesso valore del documento informatico non
sottoscritto e non fornisce certezza a priori agli utilizzatori, essendo rimessa la
valutazione al giudice. 

B. La firma elettronica avanzata soddisfa i seguenti requisiti:

1. È connessa unicamente al firmatario;

2. È idonea a identificare il firmatario;

3. È creata mediante dati per la creazione di una firma elettronica che il firmatario può,
con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;

4. È collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva
modifica di tali dati.

Si tratta di una firma “più forte” in quanto prevede da una parte la connessione
univoca al firmatario e, dall’altra, la rilevabilità di eventuali modifiche successive:
non è però caratterizzata dalla presenza di un certificato qualificato, come le firme
qualificate digitali. 

Le regole tecniche in materia di firme elettroniche
riconoscono la possibilità di realizzare soluzioni di La dottrina porta come esempi
firma elettronica avanzata, senza necessità di di firma avanzata la one time
autorizzazione preventiva e senza previsione di password e la firma
vincoli tecnologici, ma rispettando una serie di biometrica o grafometrica,
requisiti minimi oggettivi e soggettivi. L’utilizzabilità laddove rispettino quanto
delle firma elettronica avanzata è possibile previsto dalle regole tecniche.
limitatamente ai rapporti giuridici intercorrenti
tra il sottoscrittore e il soggetto che eroga
soluzioni di firma elettronica avanzata al fine di utilizzarle nei rapporti intrattenuti
per motivi istituzionali, societari o commerciali.



Inoltre, nei rapporti con le pubbliche amministrazioni l’invio tramite PEC, effettuato
richiedendo la ricevuta completa, sostituisce, nei confronti della pubblica
amministrazione, la firma elettronica avanzata: anche l’utilizzo della carta d’identità
elettronica, della carta nazionale dei servizi, del documento d’identità dei pubblici
dipendenti, del passaporto elettronico e degli altri strumenti ad essi conformi
sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata
per i servizi e le attività di cui agli articoli 64 e 65 del CAD.



In merito al valore giuridico della firma avanzata e alla soddisfazione del requisito
di forma scritta, per gli atti di cui all’articolo 1350 comma 1, nn. 1-12 del codice
civile (atti di costituzione e trasferimento di diritti reali immobiliari, locazioni ultranovennali
ecc.) la norma pone la necessità della sottoscrizione con firma qualificata o
digitale a pena di nullità. Diversamente gli atti di cui all’articolo 1350 comma 1 n.13
del codice civile sono sottoscritti, a pena di nullità, con firma elettronica avanzata,
qualificata o digitale e soddisfano comunque il requisito della forma scritta anche se
sottoscritti con firma elettronica avanzata. 

Sotto il profilo probatorio il documento sottoscritto con firma avanzata fa piena
prova fino a querela di falso.


C. La firma qualificata si atteggia con un rapporto di species a genus nei confronti della
firma avanzata e la firma digitale, a sua volta, con rapporto di species a genus rispetto
alla firma qualificata: questo rende evidente la gradualità del sistema delle firme
elettroniche, dove la maggiore forza di basa sulla maggiore capacità di garantire
sicurezza. 

Le firme qualificate e le firme digitali sono firme che, oltre ad una maggiore garanzia
a livello tecnologico, offrono maggiore sicurezza per il fatto che, in entrambi i casi, è
prevista la presenza di un certificato qualificato e, di conseguenza, emerge l’attività
 di certificazione dell’identità del firmatario svolta da un soggetto terzo garante,
previsto e disciplinato dalle disposizioni europee e nazionali: il prestatore di servizi
fiduciari qualificato.

Al momento della sottoscrizione il certificato qualificato non deve risultare scaduto di
validità, revocato o sospeso dal momento che l’apposizione di una firma digitale o di
altro tipo di firma qualificata equivale e mancata sottoscrizione. 



Per quanto attiene al valore delle firme nel tempo è opportuno richiamare la
rilevanza dell’individuazione temporale e della data certa, dal momento che “le firme
elettroniche qualificate e digitali, ancorché sia scaduto, revocato o sospeso il relativo
certificato qualificato del sottoscrittore, sono valide se alle stesse è associabile un
riferimento temporale opponibile ai terzi che collochi la generazione di dette firme
rispettivamente in un momento precedente alla scadenza, revoca o sospensione del
suddetto certificato”.

In merito al valore giuridico, il documento informatico, sottoscritto con firma
qualificata o firma digitale, equivale a sottoscrizione autografa e soddisfa il
requisito della forma scritta, a pena di nullità, ai sensi dell’articolo 1350 del codice
civile anche nei casi di cui ai numeri da 1 a 12 del comma 1.

L’efficacia probatoria del documento sottoscritto con firma qualificata o digitale,
formato nel rispetto delle regole tecniche, è quella della scrittura privata ai sensi
dell’articolo 2702 del codice civile, ossia fa piena prova, fino a querela di falso, della
provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la
scrittura è prodotta ne riconosce la sottoscrizione ovvero se questa è legalmente
considerata come riconosciuta. 


D. Accanto alle diverse tipologie esaminate, si parla poi di firma autenticata nel caso in
cui la firma elettronica o qualsiasi altro tipo di firma elettronica avanzata sia
riconosciuta, ai sensi dell’articolo 2703 del codice civile, ossia autenticata dal notaio
o da altro pubblico ufficiale a ciò autorizzato.

L’autenticazione consiste nell’attestazione da parte del pubblico ufficiale del fatto
che la sottoscrizione è stata apposta in sua presenza dal titolare, previo accertamento
della sua identità personale, della validità dell’eventuale certificato elettronico
utilizzato e del fatto che il documento non è in contrasto con l’ordinamento giuridico.

Tale tipologia ha quindi maggiore valore probatorio, in quanto viene attestata non
solo la certezza dell’identità ma anche l’utilizzo della firma da parte del legittimo
titolare e l’effettiva volontà. 


E. Infine, va menzionato l’atto pubblico informatico redatto dal notaio, regolato dal
decreto legislativo 110/2010, che equivale e produce i medesimi effetti del
corrispondente cartaceo, in quanto anche in tal caso si è in presenza dell’intervento
del pubblico ufficiale che fornisce piena certezza.

Le comunicazioni telematiche: e-mail e posta elettronica certificata

Le comunicazioni telematiche hanno affiancato le tradizionali comunicazioni cartacee

fino a prevalere: le comunicazioni diventando semplici, economiche e sostanzialmente
immediate, prescindendo dalle distanze geografiche. 

Come nel caso dei documenti informatici, la normativa si è preoccupata di assicurare i
profili idonei a conferire certezza e validità e, in particolare, l’autenticità e l’integrità dei
documenti informatici trasmessi, l’identificazione certe del soggetto giuridico che effettua
la trasmissione e l’individuazione temporale certa dei momenti di invio e consegna della
comunicazione. La normativa italiana di riferimento è costituita dal decreto legislativo
82/2005 ma anche da ulteriori disposizioni, come la normativa dedicata alla PEC, oltre
alla normazione secondaria e alle regole tecniche.

Nelle comunicazioni interpersonali, uno strumento ha avuto estrema diffusione per le sue
caratteristiche di semplicità, immediatezza, economicità ed efficacia: la posta elettronica
o email, definita dalla normativa come “un sistema elettronico di trasmissione di documenti
informatici”. A questi punti di forza si affiancano ulteriori caratteristiche che ne
determinano la “debolezza”, ossia la mancata verifica della provenienza con
conseguente possibilità di falsificazione del mittente, la mancata verifica dell’integrità del
messaggio e la mancata certezza sui momenti di invio e consegna della comunicazione. 


La necessità di assicurare la certezza del diritto nelle trasmissioni telematiche ha portato

l’ordinamento italiano a istituire uno strumento idoneo a superare le debolezze della posta
elettronica semplice: la posta elettronica certificata, cosiddetta PEC. 

La posta elettronica certificata è un “sistema di comunicazione in grado di attestare l’invio
e l’avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai
terzi”. Nel caso della PEC la garanzia viene fornita dalla presenza di un soggetto terzo
che offre il servizio ossia il gestore di posta elettronica certificata, che risponde a
determinati requisiti professionali, garantisce il processo ed è sottoposto a vigilanza e
responsabilità nello svolgimento delle proprie attività. 

La posta elettronica certificata è rilasciata al richiedente dal parte del gestore previa
verifica dell’identità: ogni trasmissione di posta viene presidiata e tracciata dal gestore
che garantisce l’integrità del messaggio trasmesso, assicura la qualità e continuità del
servizio, controlla e archivia gli eventi associati a invio e ricezione e rilascia ricevute di
invio e di avvenuta consegna opponibili ai terzi. 


La trasmissione del documento informatico per via telematica effettuata in tal modo
equivale, salvo che la legge disponga diversamente, alla notificazione per mezzo della
posta: la data e l’ora di trasmissione e di ricezione di un documento informatico così
trasmesso sono opponibili ai terzi, se conformi alle disposizioni e alle regole tecniche. 

Il documento informatico trasmesso per via telematica si intende spedito dal
mittente se inviato al proprio gestore e si intende consegnato al destinatario se reso
disponibile all’indirizzo elettronico da questi dichiarato, nella casella di posta elettronica
del destinatario messa a disposizione del gestore. 

Affinché si verifichino gli effetti della posta elettronica certificata necessario che
mittente e destinatario comunichino con posta certificata e quindi che entrambi gli
indirizzi siano indirizzi di PEC: questo evidenzia uno degli aspetti di debolezza della
strumento, ossia il fatto di essere un sistema chiuso che garantisce valore probatorio
solo se entrambi i soggetti lo utilizzano, oltre il fatto di essere un sistema italiano
applicabile solo all’interno del territorio nazionale e caratterizzato da limiti relativi alla
dimensione del messaggio.


La PEC è stata abbracciata dal legislatore italiano: accanto alla natura originaria di
strumento di trasmissione, ha finito per sommare la qualità di strumento di identificazione
del soggetto e per permettere la valide presentazione di istanze e dichiarazioni per via
telematica alla pubblica amministrazione. 

Questa funzione è svolta da una particolare tipologia di PEC, la PEC-ID che si
caratterizza per la previa identificazione del titolare, compiuta dal gestore anche per via
telematica secondo modalità definite con regole tecniche e per il fatto che ciò è attestato
dal gestore del sistema nel messaggio o in un suo allegato. 


Il passaggio da rapporti analogici a “rapporti

digitali” comporta la necessità che le parti siano Accanto alle pubbliche
munite di strumenti telematici per comunicare: alla amministrazioni, le imprese
luce di tale obiettivo il legislatore ha previsto costituite in forma societaria
specifici obblighi di possesso di un indirizzo PEC e le imprese individuali hanno
a carico di determinati soggetti, in particolare l’obbligo di adottare un
pubbliche amministrazioni, imprese e professionisti.
 indirizzo PEC, così come i
Essi hanno l’obbligo di istituire e pubblicare professionisti iscritti in albi
nell’indice delle Pubbliche Amministrazioni ed elenchi istituiti con legge
almeno una casella di posta elettronica certificata dello Stato.
per ciascun registro di protocollo e, altresì, di
pubblicare nei propri siti almeno un indirizzo
istituzionale di PEC.

Per quanto riguarda i cittadini, al fine di facilitare le comunicazioni telematiche con le
pubbliche amministrazioni, il legislatore ha previsto la facoltà di indicare al Comune di
residenza un proprio domicilio digitale: esso è l’indirizzo di porta elettronica certificata o
altro servizio elettronico di recapito che consenta la prova del momento di ricezione di
una comunicazione tra i soggetti cui si applica il CAD e i soggetti giuridici. 


Al fine di agevolare le comunicazioni telematiche e permettere di reperite con facilità e

sicurezza i “recapiti digitali” la normativa ha previsto tre indici di indirizzi PEC che
coprono le tipologie di soggetti coinvolti nelle comunicazioni:

1. IPA per le amministrazioni pubbliche.

2. INI-PEC per imprese e professionisti

3. ANPR per i cittadini 


Al fine di assicurare la pubblicità dei relativi riferimenti telematici, l’articolo 6-ter del
CAD istituisce e disciplina il pubblico elenco di fiducia denominato “indice degli indirizzi
della pubblica amministrazione e dei gestori di pubblici servizi” detto anche Indice PA o IPA,
nel quale sono indicati gli indirizzi di posta elettronica certificata dei soggetti pubblici da
utilizzare per le comunicazioni tra le pubbliche amministrazioni, i gestori di pubblici servizi
e i privati. 

Accanto all’IPA, l’articolo 6-bis del CAD ha previsto
l’istituzione del pubblico elenco denominato “indice Gli indirizzi PEC inseriti in tale
nazionale degli indirizzi di PEC (INI-PEC) delle imprese e Indice costituiscono mezzo
dei professionisti” presso il ministero dello sviluppo esclusivo di comunicazione
economico: l’indice è realizzato a partire dagli e notificazione con i soggetti
elenchi di indirizzi PEC costituiti presso il registro cui si applica il CAD.
delle imprese e gli ordini o collegi professionali e
l’accesso è consentito alle pubbliche amministrazioni,
ai professionisti, alle imprese, ai gestori o esercenti di pubblici servizi e a tutti i cittadini. 

Infine viete istituita l’anagrafe nazionale della popolazione residente (ANPR): al suo
interno si prevede che vengano inseriti i domicili digitali dei cittadini, che sono resi
disponibili a tutte le pubbliche amministrazioni e ai gestori o esercenti di pubblici servizi.

 La conclusione del contratto nella digital age

L’era digitale consente ai soggetti di poter affidare le proprie manifestazioni di volontà alle
tecnologie informatiche: il contratto si forma e si conclude nel mondo dei byte e il
commercio diventa elettronico. Lo strumento delle tecnologie informatiche, utilizzato
per concludere l’accordo, incide in modo rilevante sotto vari aspetti e genera diverse
possibili attività, riconducibili alla locuzione “e-commerce” o “commercio elettronico”
che la normativa ha compreso nella più vasta denominazione “servizi della società
informatica”. Sono diverse le distinzioni comunemente operate, sotto il profilo
soggettivo si distingue tra commercio elettronico e relativi contratti:

1. Business to business (B2B) tra operatori professionali

2. Business to consumer (B2C) tra operatore professionale e consumatore

3. Consumer to consumer (C2C) tra consumatori

4. Business to administration (B2A) tra operatore professionale e pubblica

amministrazione

5. Consumer to administration (C2A) tra consumatore e pubblica amministrazione 


Sotto il profilo delle attività si parla di “commercio elettronico diretto e contratti

digitali in senso stretto” per indicare le transazioni che si svolgono completamente
online e di “commercio elettronico indiretto e contratti digitali in senso ampio” per
designare i casi in cui soltanto alcune fasi si svolgono online.

Le distinzioni riguardano anche più specificamente l’accordo: si distingue tra contratti

telematici conclusi a distanza per mezzo delle nuove tecnologie tra soggetti in luoghi
diversi e contratti digitali che sono conclusi per mezzo di tecnologie informatiche, ma
non si formano necessariamente a distanza.

Le questioni poste dai contratti telematici sono

diverse e più ampie rispetto ai contratti a distanza, Il contratto è coinvolto
proprio per la tipologia di strumento utilizzato, dall’utilizzo della rete, dal
ossia la rete Internet. L’utilizzo di internet momento che devono essere
permette l’instaurarsi di rapporti tra soggetti che preservate la consapevolezza e
fanno parte di ordinamenti giuridici diversi e la conseguente autonoma
questo determina la necessità per il diritto di manifestazione di volontà.
individuare la disciplina applicabile nei diversi casi.
Il mezzo si caratterizza altresì per l’assenza di
dimensione fisica, per la decentralizzazione e la delocalizzazione e provoca quella
che viene definita come “spersonalizzazione” del contratto e oggettivizzazione dello
scambio. La spersonalizzazione genera nuovi pericoli per l’utente: per questo vengono
affinate continuamente le tecniche di sicurezza, per esempio nei pagamenti elettronici e
nell’identificazione dei soggetti.

Sotto lo stimolo europeo, la normativa italiana ha dedicato particolare attenzione al

commercio elettronico e ai contratti telematici, fin dagli anni ’90.

Il corpus normativo è articolato e complesso e si compone di norme europee e norme
nazionali in particolare il codice civile, il CAD, il decreto legislativo n.70 del 9 Aprile
2003, il decreto legislativo n.206 del 6 Settembre 2005 che si applica laddove il
contratto sia tra un operatore professionale e un consumatore e il decreto legislativo n.
21 del 21 Febbraio 2014 che ha apportato significative modifiche al Codice del
consumo.

In materia rilevano altresì fonti e documentazioni internazionale ed europee, come la

Convenzione delle Nazioni Unite sui contratti di compravendita internazionale di
merci, il regolamento (CE) 593/2008 sulla legge applicabile alle obbligazioni contrattuali,
il regolamento (UE) 1215/2012 concernete la competenza giurisdizionale, il
riconoscimento e l’esecuzione delle decisioni in materia civile e commerciale, la Model
Law on Electronic Commerce dell’UNCITRAL (commissione delle nazioni unite per il
diritto commerciale internazionale), la Declaration on Global Electronic Commerce della
WTO (organizzazione mondiale del commercio) e la United Nations Convention on the
Use of Electronic Communications in International Contracts di UNCITRAL. 

In merito risulta significativa la comunicazione della Commissione Europea presentata
nel Maggio 2015 “A Digital Single Market Strategy for Europe”: in linea con tale strategia di
riferimento l’Unione Europea ha presentato un pacchetto di misure legislative in materia di
commercio elettronico, al fine di promuoverlo, rendendolo più semplice e più sicuro.

Le esigenze che emergono nella conclusione dei contratti telematici mostrano

affinità rispetto a quelle trattate per il documento, le firme e le comunicazioni, la cui
disciplina viene in gioco anche nel momento dell’accordo e trovano motivazione nella
necessità di individuare, anche nel contesto digitale, quegli elementi atti a conferire
validità e certezza al rapporto giuridico instaurato.

Svolgendo l’analisi in base ai requisiti e agli aspetti che caratterizzano il contratto, nel
caso del contratto telematico non creano particolari problemi gli aspetti inerenti a causa
e oggetto dal momento che il mezzo telematico non incide su tali profili ai quali si
applicano norme civilistiche: risultano molto più problematici gli aspetti relativi
all’individuazione dei contraenti, alla forma, al tempo, al luogo e al momento
dell’esecuzione.

A. In primo luogo si pone il problema dell’individuazione dei contraenti, che nei

contratti telematici agiscono a distanza, e della conseguente imputabilità delle
manifestazioni di volontà e degli effetti del contratto: da questo punto di vista
soccorre la disciplina delle firme elettroniche e della diversa validità giuridica e
probatoria a seconda della tipologia di firma utilizzata. Tuttavia, i contratti telematici
non sono sempre conclusi con l’apposizione di firma elettronica.

In rete è frequente la conclusione per mezzo di accesso a una piattaforma online
di e-commerce premendo il tasto negoziale o digitando i numeri della propria
carta di credito.


B. La questione dell’identificazione dei soggetti contenti si lega al problema della forma

del contratto. Il nostro ordinamento prevede i principi di autonomia contrattuale e
di libertà della forma, tranne nei casi in cui sia prescritta la forma “ad substantiam”
per la validità dell’atto o “ad probationem” per la prova di un atto o un fatto. 

Nell’evoluzione tecnologica in generale e nel commercio elettronico in particolare, si
assiste ad un aformalismo negoziale. 


C. Può risultare problematica anche l’individuazione del tempo e del luogo, aspetti
rilevanti per stabilire il momento di perfezionamento del contratto e la legge
 applicabile. Inoltre, al momento di conclusione del contratto è legata la possibilità di
revoca, dato che l’articolo 1328 del codice civile stabilisce che la proposta può
essere revocata finché il contratto non sia concluso e l’accettazione può essere
revocata purché la revoca giunga a conoscenza del proponente prima
dell’accettazione. 


D. Sul luogo di conclusione le norme non forniscono particolari indicazioni ma

l’importanza di tale aspetto è limitata, dal momento che il criterio che rileva è quello
scelto dalle parti e, in assenza, la legge del Paese con cui il contratto presenta il
collegamento più stretto. 


E. Il momento dell’esecuzione rileva soprattutto laddove il contratto sia concluso

digitano i numeri della propria carta di credito e, quindi, eseguendo il pagamento.

Le problematiche esaminate si atteggiano diversamente a seconda delle diverse ipotesi

che si configurano nel momento della formazione del contratto e del
perfezionamento dell’accordo, che possono avvenire con scambio di comunicazioni di
posta elettronica oppure con accesso a un sito web: al riguardo si parla, nel primo caso,
di contratti in cui le tecnologie informatiche si pongono come semplice mezzo di
comunicazione (contratti conclusi via Internet) e, nel secondo caso, di contratti
telematici automatici (contratti conclusi in Internet).

In entrambe le ipotesi si applicherà la disciplina civilistica come espressamente previsto
dall’articolo 13 comma 1 del decreto legislativo 70/2003: “le norme sulla conclusione del
contratti si applicano anche nei casi in cui il destinatario di un bene o di un servizio della
società dell’informazione inoltri il proprio ordine per via telematica”.

Il contratto telematico potrà essere perfezionato a distanza servendosi di un mezzo di

trasmissione telematica, come l’email o la posta elettronica certificata, con differente
certezza circa i momenti di invio e di avvenuta consegna a seconda dello strumento
utilizzato. Inoltre, ci saranno differenze relative alla validità giuridica e probatoria a
seconda dell’utilizzo o meno delle firme elettroniche e in considerazione del fatto che sia
richiesta o meno una forma scritta per la conclusione.

In conseguenza dell’applicazione delle norme civilistiche sulla conclusione del contratto,

il principio di riferimento è contenuto nell’articolo 1326 del codice civile ai sensi del
quale “il contratto è concluso nel momento in cui ci ha fatto la proposta ha conoscenza
dell’accettazione dell’altra parte”. Al riguardo, l’articolo 1335 del codice civile pone una
presunzione di conoscenza, per la quale proposta, accettazione e revoca e qualsiasi
dichiarazione diretta a una determinata persona si reputano conosciute “nel momento in
cui giungono all’indirizzo del destinatario, se questi non prova di essere stato, senza sua
colpa, nell’impossibilità di riceverne notizia”: laddove l’accettazione non sia conforme alla
proposta varrà come nuova proposta. 

Rileva altresì la regola, in parte coincidente all’articolo 45 comma 2 del decreto
legislativo 82/2005 in merito alle trasmissioni telematiche: il messaggio si intende
consegnato al destinatario se reso disponibile all’indirizzo elettronico da questi
dichiarato, nella casella di posta elettronica del destinatario messa a disposizione
del gestore. Quindi, in tal caso, le disposizioni permettono di individuare anche il tempo
del contratto: l’accettazione si riterrà conosciuta nel momento in cui giunge alle casella di
posta elettronica presso il server del provider, indipendentemente dall’effettiva
conoscenza da parte del destinatario e dal fatto che abbia controllato e scaricato la posta
elettronica.

La revoca dell’accettazione, dovendo giungere a destinazione prima dell’accettazione,

in considerazione dell’immediatezza del mezzo telematico, sarà in concreto pressoché
impossibile da realizzare.

Seppur non ci sia una disposizione specifica, in considerazione dell’articolo 1326 del
codice civile, anche il luogo di conclusione del contratto viene posto nel luogo in cui il
proponente ha conoscenza dell’accettazione: c’è chi individua come tale il luogo in cui è
ubicato il server utilizzato dal proponente ma sembra preferibile individuarlo nella sede
o domicilio del proponente.

Nel caso di perfezionamento del contratto telematico via web potranno configurarsi due
ipotesi non facilmente distinguibili:

1. Laddove il sito web non contenga tutti gli elementi essenziali del contratto, alla
cui conclusione è diretto, si tratterà di invito ad offrire: si applicheranno la disciplina
precontrattuale dell’articolo 1337 del codice civile e i principi delle comunicazioni
pubblicitarie. La risposta all’invito non sarà in tal caso un’accettazione ma varrà
come proposta. 


2. Laddove il sito web riporti tutti gli elementi essenziali del contratto, alla cui
conclusione è diretto, si tratterà come offerta al pubblico ai sensi dell’articolo 1336
del codice civile. In tal caso il prestatore dovrà fornire una serie di informazioni
necessarie a proteggere l’utente-consumatore: le clausole e le condizioni generali del
contratto devono essere messe a sua disposizione in modo che gli sia garantita la
memorizzazione e la riproduzione. In tal caso si configurano due fattispecie:



• L’accettazione espressa attraverso la pressione del cosiddetto “tasto negoziale
virtuale” cui viene assegnata la manifestazione di volontà.

La generale validità dei contratti telematici conclusi perdiate forma atipica del “tasto
negoziale virtuale” troverà ostacoli laddove, per la forma del contratto, sia richiesta
la forma scritta ma anche laddove venga in rilievo l’aspetto soggettivo dei contraenti,
in particolare quando è prese un’asimmetria tra gli stessi, dal momento che le
condizioni generali sono poste da un solo contraente senza alcuna trattative e il
contratto prevede clausole vessatorie. 



• Il pagamento attraverso la digitazione dei numeri della carta di credito. 

Dal punto di vista del tempo e del luogo, in tal caso il contratto sarà concluso nel
momento in cui l’impulso elettronico dell’accettazione inviato con “point and click”
sarà registrato nel server del provider: al riguardo rileva l’articolo 1327 del codice
civile secondo cui “qualora, su richiesta del proponente o per la natura dell’affare i
secondo gli usi, la prestazione debba eseguirsi senza una preventiva risposta, il contratto
è concluso nel tempo e nel luogo in cui ha avuto inizio l’esecuzione”.



Per quanto attiene al luogo, la normativa individua un luogo di conclusione del
contratto diverso da quello desumibile attraverso l’ordinario scambio di proposta e
accettazione: dovrebbe rilevare il luogo in cui è installato il sistema informatico
del soggetto che dà esecuzione ma in realtà il parametro spaziale non è decisivo al
fine di definire il diritto applicabile ai contratti internazionali, né per individuare il foro
competente nei contratti dei consumatori, che è stabilito a tutela del consumatore.





 La validità dei contratti telematici conclusi
Nel caso, poi, che il soggetto sia
mediante la forma atipica del “tasto negoziale
un consumatore, si applicherà
virtuale” troverà ostacoli laddove per la forma
la disciplina specifica delle
del contratto sia richiesta la forma scritta ma
clausole vessatorie di cui
anche laddove venga in rilievo l’aspetto
all’articolo 33 e seguenti del
soggettivo dei contraenti, in particolare quando
è presente un’asimmetria tra gli stessi, dal decreto legislativo 206/2005.
momento che le condizioni generali sono poste
da un solo contraente senza alcuna trattativa e
il contratto prevede clausole vessatorie: in tal caso è necessaria un’approvazione
scritta, altrimenti le clausole non hanno effetto. 


L’eventuale asimmetria che si viene a generale nel contesto digitale può arrivare ad
incidere sulla consapevole valutazione del negozio giuridico e sulla manifestazione
della conseguente volontà contrattuale. Per tali motivi il diritto regola il fenomeno,
ponendo una serie di strumenti atti ad evitare che ci siano abusi di posizioni di
supremazia e squilibri nei rapporti negoziali, tutelando il soggetto debole del rapporto: è il
caso degli obblighi informativi posti a carico della parte forte del rapporto rispetto a
quella debole, il consumatore. Sempre a tali fini il prestatore dovrà anche accusare una
ricevuta dell’ordine recante una serie di informazioni e, inoltre, disposizione
fondamentale a tutela del consumatore è quella dello “ius poenitendi”, ossia del diritto
di recesso. 

La necessità di riequilibrare le asimmetrie emerge anche in altre disposizioni, come quelle
relative alla legge applicabile e al foro competente: i contratti sono sottoposti alla legge
del Paese nel quale il consumatore ha residenza abituale e la competenza è del giudice
del luogo di residenza o domicilio del consumatore, se ubicati nel territorio dello Stato. 


Caso di studio: la sentenza del Tribunale di Milano n.11402 del 2016

La sentenza del Tribunale di Milano, V sezione, n.11402 del 2016 risulta interessante
per il fatto che tratta del valore dell’email alla luce delle disposizioni vigenti contenute nel
regolamento eIDAS e nel decreto legislativo 82/2005, come modificato dal decreto
legislativo 179/2016 che ha recepito anche le disposizioni europee.



Nella fattispecie si tratta dell’opposizione a decreto ingiuntivo emesso per il pagamento di
fatture per compensi di un contratto di collaborazioni in materia di grafica e informatica
da parte di una società contro un collaboratore.

La società eccepisce che spetti al collaboratore provare le sue prestazioni e che l’email
di un socio accomandatario della società, che riconosce l’esistenza del debito e le relative
difficoltà a pagarlo, non si possa considerare documento valido in quanto non è
sottoscritto. Il Tribunale di Milano esamina il valore giuridico dell’email che, per i
contenuti recati, chiaramente conferma l’esistenza di un debito a carico della società e la
difficoltà a pagarlo. Il Tribunale, che respinge l’opposizione, dichiara che “è ammissibile
come prova il documento elettronico anche in assenza di firma elettronica qualificata” e
motiva l’affermazione alla luce del quadro giuridico di riferimento. 



In particolare sono richiamati l’articolo 25 e l’articolo 46 del regolamento e IDAS: esiste
un principio di non discriminazione degli strumenti digitali rispetto a quelli analogici, che si
traduce per le firme (art.25) nel non poter negare a una firma elettronica “gli effetti giuridici
e l’ammissibilità come prova in procedimenti giudiziari per il solo motivo della sua forma
elettronica o perché non soddisfa i requisiti delle firme elettroniche qualificate” e, per i
documenti (art.46) nel non poter negare a un documento informatico “gli effetti giuridici e
l’ammissibilità come prova in procedimenti giudiziari per il solo motivo della sua forma
elettronica”. Inoltre viene richiamato l’articolo 21 del decreto legislativo 82/2005 come
modificato dal decreto legislativo 179/2016 ai sensi del quale “il documento informatico,
cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano
probatorio e liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive
di qualità, sicurezza, integrità e modificabilità”.


Il combinato disposto delle norme porta quindi il Tribunale di Milano a ritenere

ammissibile come prova il documento elettronico, anche in assenza di firma elettronica
qualificata.

Il Tribunale di Milano afferma come nel caso dell’email si configuri un’ipotesi di firma
elettronica, dal momento che ai sensi dell’articolo 3 comma 1 n.10 del regolamento
eIDAS la firma elettronica è l’insieme dei “dati in forma elettronica, acclusi oppure
connessi tramite associazione logica ad altri dati elettronici utilizzati dal firmatario per firmare”.
Di conseguenza, per il Tribunale di Milano la spedizione da un indirizzo riferibile ad una
certa società d’azienda deve essere ritenuta firma elettronica.

Giova ricordare che nel caso dell’email si utilizzano le credenziali di accesso alla
relativa casella. L’utilizzo di una casella di posta elettronica recante chiaramente il
riferimento alla persona, unitariamente al contenuto, indicano che quelle parole
contenute nell’email “sono riferibili all’accomandatario”.

In merito, il Tribunale di Milano è ben consapevole che nel caso dell’email si tratti di
“caratteri facilmente modificabili” ma rileva come la società non abbia presentato uno
specifico disconoscimento, ipotizzando l’intervenuta modifica: pertanto l’email risulta
pienamente confermata.

6. L’amministrazione digitale e aperta

L’amministrazione digitale e l’evoluzione verso l’open government

Le nuove tecnologie incidono profondamente sulla vita degli individui e delle istituzioni,
consentendo la digitalizzazione delle attività giuridiche private e pubbliche. Nella
società tecnologica il diritto è chiamato a regolare l’innovazione: nel caso
dell’amministrazione pubblica si pongono esigenze più stringenti di garantire la certezza
del diritto e la validità giuridica della attività espletate e dei documenti formati.

Di conseguenza, il diritto si è occupato di disciplinare principi, finalità e strumenti di quella
che viene definita come amministrazione digitale: con il termine amministrazione
digitale o e-government si intente l’organizzazione delle attività della pubblica
amministrazione fondata sull’adozione delle tecnologie informatiche nello svolgimento
delle funzioni e nell’erogazione dei servizi. 


Realizzare la pubblica amministrazione digitale non significa una semplice automazione

dei procedimenti per mezzo della mera introduzione delle nuove tecnologie nell’azione
amministrativa preesistente, ma implica un’accurata riorganizzazione della struttura
interna, la razionalizzazione delle attività, la reingegnerizzazione dei processi e la
configurazione di un nuovo rapporto con l’utenza: pertanto, l’amministrazione
pubblica digitale si traduce in un profondo e ampio ripensamento di relazioni, attività e
procedimenti. Le motivazioni e gli obiettivi principali dell’attenzione alla costruzione della
pubblica amministrazione digitale sono costituiti proprio dalle finalità cui è diretta:


1. L’aumento di efficacia ed efficienza nello svolgimento

Tra i principi fondanti che
delle funzioni e nell’erogazione dei servizi.

2. La migliore qualità dei servizi e la maggiore ispirano la pubblica

soddisfazione degli utenti.
amministrazione digitale
3. La semplificazione idonea a snellire e rendere più emergono proprio la
tempestiva l’azione amministrativa.
trasparenza, l’ascolto, la
4. La riduzione degli oneri burocratici e dei tempi.
partecipazione e la
5. La maggior trasparenza e la partecipazione dei collaborazione della
cittadini. 
 collettività.

Per il raggiungimento degli obiettivi dell’amministrazione

digitale è imprescindibile un ulteriore principio ossia la previsione della responsabilità
della dirigenza pubblica nel perseguimento degli stessi, al fine di garantirne
l’effettività.

In Italia da anni sono state intraprese strategie e sono stati approvati interventi normativi
tesi a dare volto e a disciplinare la pubblica amministrazione digitale. Le norme in
materia di amministrazione digitale trovano diretta fonte costituzionale nell’articolo 97
comma 1 della Costituzione ai sensi del quale “i pubblici uffici sono organizzati secondo
disposizioni di legge, in modo che siano assicurati il buon andamento e l’imparzialità
dell’amministrazione”. Gli interventi normativi che si sono succeduti negli anni hanno
trovato assetto organico nel 2005 con il Codice dell’amministrazione digitale (CAD) e il
decreto legislativo 82/2005 oggetto di ripetute modifiche e integrazioni: le numerose
modifiche, fino a giungere al recente decreto legislativo 179/2016, trovano motivazione
nella volontà di superare le criticità emerse nella disciplina, nella necessità di adeguare il
testo alla rapida ed incessante evoluzione tecnologica e nell’intento di rendere effettive e
cogenti le disposizioni, fornendo impulso alla loro attuazione e corredando gli obblighi di
responsabilità e sanzioni a carico delle amministrazioni. 

Il decreto legislativo 179/2016 ha recato una profonda riforma del Codice
dell’amministrazione digitale, denotando un evidente mutamento di prospettiva e
l’intenzione del legislatore di rafforzare e rendere effettivi i diritti digitali dei cittadini nei
confronti delle pubbliche amministrazioni. Proprio al fine di realizzare questi obiettivi, la
legge delega 124/2015 e il conseguente decreto legislativo 179/2016 incidono sulle
diverse dimensioni che caratterizzano l’agere pubblico afferenti alle competenze alla
cultura digitale, alla governance e all’organizzazione, ai procedimenti, ai servizi e
all’effettività da garantire all’insieme delle misure previste. 

Accanto al Codice dell’amministrazione digitale (CAD), parlare di amministrazione
digitale significa confrontarsi con una serie di ulteriori disposizioni: la disciplina della
pubblica amministrazione è inoltre contenuta nella normazione secondaria e nelle
regole tecniche, atti fondamentali per l’attuazione delle disposizioni di rango primario.

Il complesso insieme di norme che disciplinano la pubblica amministrazione digitale si

accompagna alle strategie politiche in materia che hanno trovato forma nei piani
d’azione per l’e-government e nell’Agenda Digitale Italiana: atti che hanno la funzione
di indicare le azioni necessarie per conseguire gli obiettivi previsti dalle norme,
aggiungendo la necessaria coperture economica. 

Dopo la prima fase iniziata nel 2000, caratterizzata dal piano d’azione nazionale per
l’e-government, è seguita dal 2003 la seconda fase, caratterizzata dalla strategia
comune tra Stato, Regioni e autonomie locali per poi arrivare al Dicembre 2008,
quando viene presentato il piano e-gov2012.

Negli ultimi anni si parla di Agenda Digitale Italiana, che si muove nel quadro
dell’Agenda digitale Europea, una delle sette iniziative “faro” individuate nella più ampia
Strategia Europea 2020, che mira a realizzare una crescite intelligente, sostenibile e
inclusiva mediante la previsione di obiettivi in materia di occupazione, produttività e
coesione sociale da raggiungere entro il 2020.

Rileva altresì il Piano d’azione dell’UE per l’eGovernment 2016-2020, che si pone la
finalità di accelerare la trasformazione digitale delle pubblica amministrazione, a tal fine,
prevede di modernizzare la pubblica amministrazione con le tecnologie digitali, agevolare
la mobilità con servizi pubblici interoperabili e favorire l’integrazione digitale fra
amministrazione e cittadini/imprese per servizi pubblici di qualità.

Nel quadro delle indicazioni europee, l’Agenda Digitale Italiana persegue l’obiettivo
di modernizzare i rapporti tra pubbliche amministrazioni, cittadini e imprese,
potenziare l’offerta di connettività a banda larga, incentivare cittadini e imprese
all’utilizzo dei sistemi digitali e promuovere la crescita di capacità industriali adeguate
a sostenere lo sviluppo di prodotti e servizi innovativi. 

Per il perseguimento degli obiettivi dell’Agenda Digitale Italiana, la Presidenza del
Consiglio insieme al Ministero dello sviluppo economico, all’Agenzia per l’Italia
digitale e all’Agenzia per la coesione, ha predisposto nel 2015 la “Strategia Italiana
per la banda ultralarga” e la “Stategia per la crescita digitale 2014-2020”.

Il filo conduttore di questo percorso normativo e strategico è caratterizzato dalla finalità di

implementare e rendere effettiva l’amministrazione digitale italiana. 

In questa evoluzione, si è assistiti al passaggio da un concetto di e-government riferito
all’assetto istituzionale delle attività di governo, ad una maturazione verso il “governo
a rete”, più attento alla governance, alla modalità e agli effetti dell’attività di governo.

Lo sviluppo della società tecnologica, che si contraddistingue oggi per il principio di

openness, è all’origine dell’evoluzione dell’amministrazione pubblica: negli ultimi anni, di
conseguenza, l’amministrazione digitale è mutata verso l’open government, modello
secondo cui i governi e le amministrazioni devono essere trasparenti a tutti i livelli e le loro
attività aperte e disponibili per favorire azioni maggiormente efficaci e garantire un
controllo pubblico del proprio operato mediante le nuove tecnologie. 

L’open government si caratterizza per alcuni specifici tratti distintivi che possono
essere individuati nell’utilizzo esteso e integrato delle tecnologie informatiche e nella
centralità attribuita ai cittadini, cui devono essere garantiti pieno accesso al
patrimonio informatico pubblico e la partecipazione consapevole e informata. I
pilasti dell’open government sono costituiti dai trinci su cui il modello si fonda:

1. La trasparenza, che favorisce e promuove l’accountability delle amministrazioni.

2. La partecipazione, che consente a chiunque di fornire il proprio apporto di

conoscenze, idee ed esperienze per il miglioramento delle politiche pubbliche.

3. La collaborazione, da intendersi come cooperazione tra i diversi livelli di governo e

gli attori privati.

Il modello di governo aperto permette di diminuire le asimmetrie informative,

aumentare efficacia ed efficienza dell’azione pubblica e rafforzare la fiducia verso le
amministrazioni, incidendo favorevolmente sulla qualità dei servizi e della stessa
democrazia.

Il modello di open government trova origine in America nel 2009: al riguardo sono
significativi il “Memorandum on Transparency and Open Government” e l’“Open
Government Directive”, entrambi del 2009. Con tali atti il Presidente degli Stati Uniti
d’America Barack Obama ha impegnato le proprie istituzioni a dar vita a un significativo
grado di apertura: a tal fine egli ha prescritto alle istituzioni i principi della filosofia open e
ha individuato negli open data uno strumento di partecipazione di cittadini e imprese.

Il percorso europeo si è aperto nel 2009 grazie alla dichiarazione aperta sui servizi
pubblici europei, promossa da un insieme di cittadini e associazioni: la dichiarazione ha
posto all’attenzione degli organi europei l’importanza dei principi di trasparenza,
partecipazione ed empowerment. I contenuti del documento sono stati considerati degli
della massima attenzione e fatti proprio dalla dichiarazione di Malmö 2009 che fissava
tra gli obiettivi per il 2015 lo sviluppo di servizi user-centric, il coinvolgimento della
società civile e degli stakeholders, l’aumento della disponibilità di informazioni e dati
pubblici per il riuso degli stessi, la trasparenza dei processi amministrativi e la promozione
della partecipazione attiva.

La cornice strategica attuale è fornita dall’Agenda Digitale Europea: in particolare, il

piano d’azione europeo per l’e-government 2011-2015 rifletteva le priorità della
dichiarazione di Malmö e nello stesso senso si muove l’attuale piano d’azione dell’UE
per l’eGovernment 2016-2020.

Nella direzione dell’openness l’Italia ha aderito all’iniziativa internazionale “Open

Government Partnership (OGP)” promossa nel 2011 e tesa a favorire trasparenza e
apertura dei governi attraverso l’accountability e la partecipazione attiva di cittadini,
associazioni e imprese: nel 2012 l’Italia ha previsto il suo primo action plan. Attualmente
è stato presentato il terzo piano d’azione 2016-2018: per elaborarlo è stato costituti
l’Open Government Forum, formato da rappresentati della società civile, del mondo
universitario, delle imprese e delle associazioni di tutela dei consumatori, al fine di
garantire un confronto ampio e partecipato sui temi dell’open government.

Finalità e ambito di applicazione del Codice dell’amministrazione digitale

L’e-government italiano trova la principale fonte di riferimento nel Codice

dell’amministrazione digitale il decreto legislativo 82/2005.

Lo Stato, le Regioni e le autonomie locali sono tenute, ai sensi del Codice, ad

assicurare la disponibilità, la gestione, l’accesso, la trasmissione, la conservazione, la
fruibilità dell’informazione in modalità digitale e ad organizzarsi e agire a tal fine,
utilizzando le tecnologie informatiche nel modo più adeguato al soddisfacimento degli
interessi degli utenti.

La riorganizzazione strutturale e gestionale volta al perseguimento di tali obiettivi

avviene nell’ambito di una coordinata strategia che garantisca il coerente sviluppo del
processo di digitalizzazione. Le norme, pertanto, identificano esplicitamente nelle
tecnologie informatiche uno strumento atto a realizzare gli obiettivi fondamentali
dell’agire pubblico ed esplicitano l’autonomia delle amministrazioni al riguardo: non viene
normativamente imposta alcuna soluzione tecnologica determinata, ponendo il
criterio di libertà nella scelta e il principio di non discriminazione tra tecnologie. 

In tale direzione, il CAD configura come scopo prioritario per le amministrazioni
pubbliche il fatto che provvedano a razionalizzare e semplificare i procedimenti
amministrativi e, altresì, che gestiscano i procedimenti amministrativi utilizzando
tecnologie informatiche.

La normativa in materia di amministrazione digitale ha un ampio ambito oggettivo e

soggettivo di applicazione, delineato nell’articolo 2 del decreto legislativo 82/2005.

A. Da un punto di vista oggettivo, sono circoscritti gli ambiti esclusi dall’applicazione

normativa, dal momento che le disposizioni del Codice non si applicano
limitatamente all’esercizio delle attività e funzioni ispettive e di controllo fiscale, di
ordine e sicurezza pubblica, difesa e sicurezza nazionale, polizia giudiziaria, polizia
economico-finanziaria e alle consultazioni elettorali. 

Le modifiche apportate dalle riforma del decreto legislativo 179/2016 vanno nel
senso di garantire piena esplicazione alle disposizioni del CAD e viene precisata
l’applicazione in materia processuale: le disposizioni del Codice “si applicano altresì
al processo civile, penale, amministrativo, contabile e tributario, in quanto compatibili e
salvo che non sia diversamente disposto dalle disposizioni in materia di processo
telematico”.
B. Anche da un punto di vista soggettivo, l’ambito di applicazione è molto ampio ed è
stato ulteriormente esteso dalla recente riforma del 2016.

Le disposizioni del Codice si applicano innanzitutto alle pubbliche amministrazioni di
cui all’articolo 1 comma 2 del decreto legislativo 165/2001, nel rispetto del riparto
di competenza di cui all’articolo 117 della Costituzione: di conseguenza di
applicano a tutte le pubbliche amministrazioni nazionali, regionali e locali. 

Le norme si applicano anche alle società a controllo pubblico, escluse le società
quotate. 

La disposizione trova fondamento nelle attività di natura pubblicistica svolte dai
soggetti provati controllati: la natura delle funzioni svolte e la necessità di una
digitalizzazione delle stesse comporta un’opportuna estensione dell’applicazione
anche a questi soggetti.

Il raggio d’azione delle norme in materia di amministrazione digitale si estende

anche ai privati: le disposizioni del Codice che regolano l’attività documentale in
ambito digitale e riguardano il documento informatico, le firme elettroniche e le
comunicazioni telematiche si applicano anche ai privati.
 

La cittadinanza digitale: i diritti dei cittadini e le responsabilità delle amministrazioni

La pubblica amministrazione assume connotazione “digitale” e deve essere capace di

relazionarsi, per mezzo dei nuovi strumenti, con cittadini e imprese, titolari a loro volta di
identità e diritti “digitali”: al riguardo si parla di cittadinanza digitale per identificare la
configurazione dei diritti dei cittadini nei confronti delle istituzioni.

Da un punto di vista normativo, è il CAD a disciplinare i diritti digitali di cittadini e

imprese nei confronti delle pubbliche amministrazioni, in particolare nell’articolo 3 e
seguenti. La recente riforma recata dal decreto legislativo 179/2016 ha ulteriormente
rafforzato la centralità dei cittadini: la riforma riconosce la centralità delle tecnologie
digitali nei rapporti tra cittadini, imprese e pubbliche amministrazioni, quale strumento
per un processo di innovazione dell’amministrazione italiana e, al fine di superare le
criticità attuali, l’ottica si sposta dal processo di digitalizzazione delle amministrazioni alla
cittadinanza digitale.

I diritti che compongono la cittadinanza digitale hanno come presupposti necessari il

diritto di accesso ad Internet e il diritto all’alfabetizzazione informatica dei cittadini.

La cittadinanza digitale si fonda sul diritto all’uso delle
tecnologie, espressamente disposto dall’articolo 3 del
decreto legislativo 82/2005, profondamente modificato Il diritto risulta
dal decreto legislativo 179/2016: chiunque ha il diritto di immediatamente
usare le soluzioni e gli strumenti del CAD nei rapporti con applicabile: in caso di
i soggetti cui il Codice si applica, anche ai fini della violazione è infatti munito
partecipazione al procedimento amministrativo. La della relativa tutela
disposizione è ampia, riguarda ogni fase del rapporto tra giurisdizionale davanti al
istituzioni e collettività ed è particolarmente significativa, giudice amministrativo.
dal momento che per garantire ai cittadini di poter agire
effettivamente il diritto ivi previsto, non è sufficiente la
mera introduzione delle tecnologie, ma sono necessarie la riorganizzazione e la
reingegnerizzazione dei processi della macchina pubblica.

Il diritto all’uso delle tecnologie si pone come norma chiave e diritto centrale in capo ai
privati, affiancato nel CAD da una serie di diritti “derivati” relativi alle comunicazioni,
afferenti a determinate tipologie di soggetti, quali il diritto al domicilio digitali delle
persone fisiche e il diritto delle imprese alle comunicazioni telematiche con le
istituzioni, o a specifici strumenti di esercizio del più generale diritto, come la posta
elettronica certificata o i pubblici elenchi contenenti gli indirizzi telematici. 


Accanto ai diritti digitali relativi alle comunicazioni, la normativa prevede diritti “derivati”
afferenti al procedimento, come il diritto all’effettuazione di pagamenti online, che
allo stesso modo trovano il proprio riferimento nella disposizione generale dell’articolo 3.

Per quanto attiene ai diritti legati al procedimento, è previsto il diritto di trovare online,
per ogni tipologia di procedimento a istanza di parte, gli atti e i documenti da
allegare all’istanza e la modulistica necessaria, nonchè gli uffici ai quali rivolgersi per
le informazioni, gli orari e le modalità d’accesso con indicazione degli indirizzi, dei
recapiti telefonici e delle caselle di posta elettronica istituzionale.
 La cittadinanza digitale si esplica poi in una serie di diritti come il diritto alle qualità
dei servizi e alla misura della soddisfazione e il diritto alla partecipazione
democratica elettronica.

Alla previsione dei diritti digitali corrisponde il dovere di renderli effettivi da parte
dell’amministrazione pubblica.

Il rispetto delle norme in materia di amministrazione digitale è tutelato dalla previsione di

specifiche responsabilità a carico delle amministrazioni pubbliche: i dirigenti rispondono
dell’osservanza ed attuazione delle disposizioni del CAD ai sensi e nei limito degli articoli
21 (responsabilità dirigenziale) e 55 (responsabilità disciplinare) del decreto legislativo
165/2001, ferme restando le eventuali responsabilità penali, civili e contabili previste dalle
norme. Inoltre, l’attuazione delle disposizioni è comunque rilevante ai fini della
misurazione e valutazione della performance organizzativa e individuale dei dirigenti.

All’individuazione di specifiche responsabilità, l’articolo 60 del decreto legislativo

179/2016, ha aggiunto la previsione secondo cui con decreto legislativo devono essere
disciplinati gli incentivi relativi all’attuazione delle disposizioni del CAD, il suo rilievo ai fini
della valutazione dei risultati e la rilevanza della violazione delle disposizioni e del
mancato o adeguato utilizzo delle tecnologie disciplinate.

A livello di governance va letta la recente introduzione del “difensore civico per il

digitale” che deve essere individuato in ogni amministrazione ed essere in possesso di
adeguati requisiti di terzietà, autonomia e imparzialità. A tale soggetto chiunque può
inviare segnalazioni e reclami relativi ad ogni presunta violazione del CAD e di ogni altra
norma in materia di digitalizzazione e innovazione della pubblica amministrazione: se le
segnalazioni sono fondate il difensore civico invita l’ufficio responsabile della presunta
violazione a porvi rimedio nel termine di trenta giorni.

Si pone altresì la previsione di un unico ufficio dirigenziale generale all’interno di

ciascuna amministrazione cui viene affidata “la transizione alla modalità operativa digitale e i
conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione
digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza
ed economicità”.
A livello di governance e strategie nazionali è
particolarmente significativo il ruolo assegnato
all’Agenzia per l’Italia Digitale (AgID), preposta alla All’AgID spetta la redazione e
realizzazione degli obiettivi dell’Agenda Digitale la verifica di attuazione del
italiana e alla promozione dell’innovazione digitale Piano triennale per
nel paese: sono attribuite funzioni di l’informatica nella pubblica
programmazione, coordinamento e monitoraggio, amministrazione.
l’emozione di regole e standard, la vigilanza e il
controllo sul rispetto delle norme, la realizzazione di
progetti e lo svolgimento di compiti di natura tecnica.

Inoltre, la riforma del decreto legislativo 179/2016 ha previsto la nomina di un

“Commissario straordinario per l’attuazione dell’Agenda Digitale” che svolge un ruolo
di coordinamento, allo scopo di disegnare il “sistema operativo” del Paese: a tali fini al
commissario è assegnata una struttura di supporto e sono attribuiti poteri di impulso e di
coordinamento nei confronti dei soggetti pubblici.

 Attività documentale e nuove tecnologie

La realizzazione di un effettivo e-government passa necessariamente dalla

digitalizzazione dell’attività documentale delle amministrazioni pubbliche: per tale
motivo l’ordinamento reca disposizioni a riguardo.

La normativa è esplicita: le pubbliche amministrazioni sono tenute a formare gli originali

dei propri documenti con mezzi informatici, secondo le disposizioni del Codice e le
regole tecniche e sono tenute a gestire i procedimenti amministrativi utilizzando le
tecnologie informatiche.

In tale direzione, il decreto Crescita 2.0 ha previsto, a pena di nullità, la sottoscrizione

digitale degli accordi fra pubbliche amministrazioni e ha disposto anche, a pena di nullità,
modalità elettroniche per la stipula dei contratti pubblici relativi a lavori, servizi e forniture.

Gli atti normativi più recenti, modificando il Codice, hanno fortificato gli obblighi di
comunicazione telematica, corredandoli di responsabilità a carico delle amministrazioni.

Oltre a prevedere il possesso di “recapiti digitali” e istituire pubblici elenchi dedicati a

contenerli, la normativa ha previsto disposizioni specifiche per disciplinare le
comunicazioni telematiche che interessano le amministrazioni pubbliche, tracciando
differenze a seconda dei soggetti coinvolti: ha distinto tra soggetti pubblici e privati e ha
posto ulteriori distinzioni a seconda che si tratti di imprese, professionisti o cittadini, dal
momento che risultano peculiari le diverse esigenze.

A. All’interno del sistema pubblico, la normativa prevede l’utilizzo di comunicazioni

telematiche nei rapporti tra pubbliche amministrazioni, ai sensi dell’articolo 47 del
decreto legislativo 82/2005: l’inosservanza comporta responsabilità dirigenziale e
disciplinare.

B. Nel rapporti tra amministrazioni pubbliche e soggetti privati, l’obbligatorietà del

canale digitale varia a seconda del soggetto privato con cui si dialoga.

C. Nel caso del cittadino, laddove abbia indicato un domicilio digitale, questo
costituisce mezzo esclusivo di comunicazione e notifica da parte dei soggetti cui si
applica il CAD.

D. Nel caso dell’impresa e del professionista l’obbligo di possedere “recapiti digitali”

grava su tali soggetti e le comunicazioni possono essere invitate attraverso la PEC,
senza che il destinatario debba indicare la propria disponibilità ad accettarne l’utilizzo.

Inoltre, nelle comunicazioni tra imprese e pubbliche amministrazioni è prevista
l’esclusiva modalità digitale.

Allo scopo di garantire e promuovere “dialoghi digitali”, specifiche disposizioni sono

dedicate alla presentazione di istanze e dichiarazioni per via telematica ai soggetti
pubblici.

Identità digitale e servizi online: presente e futuro

Nella normativa si delinea un nuovo agire pubblico digitale, dove i procedimenti

amministrativi sono telematici: la modalità digitale diventa la regola dell’azione pubblica. 

Per disegnare il presente e il futuro dell’amministrazione digitale in linea con tali finalità,
alcuni principi delineati dalle disposizioni sono particolarmente significativi, in particolare il
principio “innanzitutto digitale”, cui garantire realizzazione tramite la ridefinizione e la
semplificazione dei procedimenti amministrativi, in relazione alle esigenze di celerità,
certezze dei tempi e trasparenza nei confronti dei cittadini e delle imprese, mediante una
disciplina basata sulla loro digitalizzazione. Per rendere effettivo questo principio, tra i
criteri che muovono la riforma emergono lo sviluppo e il rafforzamento di una serie di
strumenti concreti che le amministrazioni devono garantire: oltre al documento
informatico, firme elettroniche e comunicazioni telematiche, sono previsti
l’identificazione tramite il Sistema Pubblico per la gestione dell’Identità Digitale e i
servizi online.

Al fine di favorire la diffusione di servizi online e agevolare l’accesso agli stessi è istituito il
Sistema Pubblico per la gestione dell’Identità Digitale di cittadini e imprese (SPID).
SPID è costituito come un insieme aperto di soggetti pubblici e privati che identificano gli
utenti per consentire loro l’accesso ai servizi online: di conseguenza, le amministrazioni
consentono l’accesso ai servizi erogati in rete che richiedono identificazione informatica
mediante SPID oppure mediante la carta d’identità elettronica o la carta nazionale dei
servizi. SPID si configura come un sistema di login che permette a cittadini e imprese di
accedere con un’unica identità digitale ai servizi online di pubbliche amministrazioni e
imprese aderenti. L’identità SPID è costituita da credenziali
con caratteristiche differenti in base al livello di sicurezza
richiesto per l’accesso: si tratta di tre livelli di sicurezza cui Ciascun cittadino può
corrispondono tre livelli di identità.
scegliere il gestore
L’identità SPID è rilasciata, a domanda dell’interessato, dai che preferisce.
gestori dell’identità digitale, persone giuridiche accreditate
da AgID che assegnano le identità digitali e gestiscono
l’autenticazione informatica per gli utenti. Per ottenere un’identità SPID l’utente deve
farne richiesta al gestore, il quale, dopo aver verificato l’identità del richiedente, emette
l’identità digitale consegnando in modalità sicura le credenziali.

Nelle intenzioni del legislatore, SPID dovrebbe divenire modalità ordinaria di accesso ai
servizi: si prevede infatti che un atto giuridico possa essere posto in essere da un
soggetto identificato mediante SPID, nell’ambito di un sistema informatico avente i
requisiti fissati nelle regole tecniche, attraverso processi idonei a garantire l’acquisizione
della sua volontà.

Il sistema SPID si collega al profilo dei servizi online: la riforma del decreto legislativo
179/2016 accompagna le previsioni relative al sistema SPID con la costruzione di
“ItaliaLogin”, unica piattaforma, che vuole atteggiarsi come vera e propria “casa online”
dei cittadini, tesa a superare le complessità e le difformità attuali. 


Nella direzione di un sistema pubblico, per quanto possibile unitario, il legislatore è

esplicito nell’articolo 64-bis del decreto legislativo 82/2005, introdotto dal decreto
legislativo 179/2016, ai sensi del quale i soggetti cui si applica il CAD rendono fruibili i

Le pubbliche amministrazioni sono tenute a collaborare al fine di agevolare gli

adempimenti degli utenti e rendere più efficienti i procedimenti che interessano più
amministrazioni. 

propri servizi in rete, in conformità alla regole tecniche, tramite il punto unico di accesso
telematico attivato presso la Presidenza del Consiglio dei Ministri.

Nell’ottica di assicurare piena centralità alla cittadinanza digitale la normativa delinea

alcuni principi cui le amministrazioni devono attenersi.

Tra i principi cardine si trova l’individuazione di strumenti per definire il livello minimo
di sicurezza, qualità, fruibilità, accessibilità e tempestività dei servizi online delle
amministrazioni pubbliche: in specifico, i servizi online devono essere costituti
servendosi di strumenti idonei a realizzare un rapporto costante con gli utenti in ottica di
open government.

La centralità dell’utente è esplicita nelle norme del CAD, in particolare negli articoli 7 e
63. Il codice pone particolare attenzione proprio alla qualità dei servizi resi e alla
“customer satisfaction” nell’articolo 7: i soggetti cui si applica il CAD devono
provvedere alla riorganizzazione e
all’aggiornamento dei servizi resi e
devono rendere disponibili i propri Al fine di garantire effettività alla
servizi per via telematica nel rispetto disposizione gli interessati possono agire in
delle disposizioni del Codice, degli giudizio con la cosiddetta “class
standard e dei livelli di qualità anche in action” (un’azione legale condotta da uno o
termini di fruibilità, accessibilità, più soggetti che, membri di una determinata
usabilità e tempestività, stabiliti con le categoria di soggetti, chiedono che la
regole tecniche, consentendo agli utenti soluzione di una questione comune di fatto o
di esprimere la soddisfazione rispetto di diritto avvenga con effetti ultra partes per
alla qualità del servizio reso e tutti i componenti presenti e futuri della
provvedendo alla pubblicazione sui categoria).
propri siti dei dati risultanti, ivi incluse la
statistiche di utilizzo. .

La normativa delinea i criteri in base ai quali i soggetti cui si applica il CAD sono tenuti a
individuare le modalità di erogazione dei servizi in rete: si tratta di criteri di valutazione di
efficacia, economicità ed utilità e rispetto dei principi di uguaglianza e non
discriminazione, tenendo comunque presenti le dimensioni dell’utenza, la frequenza
dell’uso e l’eventuale destinazione all’utilizzazione da parte di categorie in situazioni di
disagio.

Pertanto, le istituzioni devono costruire un dialogo costante con gli utenti nella
progettazione del servizio online, durante la sua erogazione e, successivamente,
permettendo un feedback continuo durante tutto il “ciclo di vita” del servizio.

Open data: caratteristiche e disciplina

In linea con un approccio basato sulla trasparenza, sulla

partecipazione e sulla collaborazione tra mondo pubblico
Gli open data possono
e privato, si pone uno strumento cardine dei modelli di
essere prodotti da
open government: gli “open data”. Il paradigma è quello
soggetti privati o
di restituire i dati alla collettività e lasciare che l’intelligenza
pubblici.
collettiva ne faccia uso, potendoli trasformare in leve di
nuove e inedite potenzialità economiche e sociali.

Secondo la Open Knowledge Foundation un contenuto o un dato si definisce “aperto”

se chiunque è in grado di utilizzarlo, riutilizzarlo e ridistribuirlo, con la limitazione, al
massimo, della richiesta di attribuzione e condivisione allo stesso modo. 


L’ordinamento giuridico italiano fornisce una definizione normativa degli open data
nell’articolo 68 comma 3 lett. b) del decreto legislativo 82/2005: la disposizione
individua gli open data nella dimensione giuridica, tecnologica ed economica che li
caratterizzano. I dati di tipo aperto, sono i dati che presentano le seguenti caratteristiche:

A. Dimensione giuridica: “sono disponibili secondo i termini di una licenza che ne

permetta l’utilizzo da parte di chiunque, anche per finalità commerciali, in formato
disaggregato”. I dati hanno un titolare e l’uso legittimo del dato avviene per mezzo di
apposita licenza: le licenze aperte maggiormente utilizzate sono le “creative
commons” e la licenza italiana IODL 2.0.

B. Dimensione tecnologica: “sono accessibili attraverso le tecnologie dell’informazione e

della comunicazione, ivi comprese le reti telematiche pubbliche e private, in formati aperti,
sono adatti all’utilizzo automatico da parte di programmi per elaboratori e sono provvisti
dei relativi metadati”


C. Dimensione economica: “sono resi disponibili gratuitamente attraverso le tecnologie

dell’informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e
private, oppure sono resi disponibili ai costi marginali sostenuti per la loro riproduzione e
divulgazione, salvo i casi previsti dall’articolo 7 del decreto legislativo 24 Gennaio 2006, n.
36, e secondo le tariffe determinate con le modalità di cui al medesimo articolo”.

Gli open data sono strumento di trasparenza e controllo democratico e, da tale punto
di vista, contribuiscono a garantire maggiore efficienza pubblica e costituiscono efficace
mezzo di previsione e lotta alla corruzione: questo permette di generare una maggiore
fiducia nella istituzioni da parte dei cittadini,
garantendo partecipazione e coinvolgimento. I
dati aperti contribuiscono poi al miglioramento In considerazione delle finalità che
della qualità della vita delle persone che possono permettono di realizzare, i dati da
utilizzarli, condividerli e incrociarli: allo stesso “aprire” sono un elenco
tempo concorrono al miglioramento delle necessariamente non definibile,
politiche pubbliche, permettendo valutazioni di perché non ne sono
impatto, analisi e misurazioni. Gli open data predeterminatili gli usi e, di
permettono di dare sostegno allo sviluppo conseguenza, tutti i dati possono
economico, dato il grande valore dei dati detenuti risultare preziosi e interessanti.
dalle istituzioni e la possibilità di essere riutilizzati
per nuovi prodotti e servizi.

Il decreto legislativo 82/2005 è attento al principio di disponibilità dei dati pubblici e

nell’articolo 50 prevede espressamente che i dati delle pubbliche amministrazioni
siano formati, raccolti, conservati, resi disponibili e accessibili con l’uso delle tecnologie
informatiche da parte delle altre pubbliche amministrazioni e dai privati: vengono fatti
salvi i limiti alla conoscibilità dei dati previsti dalle leggi e dai regolamenti, le norme in
materia di protezione dei dati personali e il rispetto della normativa comunitaria in materia
di riutilizzo delle informazioni del settore pubblico.

Negli ultimi anni la normativa italiana ha promosso gli open data sotto lo stimolo del
panorama internazionale e dell’Unione Europea.

Già il decreto legislativo 36/2006 interpretava i dati pubblici come importante “materia
prima” per prodotti e servizi digitali, da riutilizzare per contribuire alla crescita economica
e sociale, ma non imponeva l’obbligo di consentirne il riutilizzo.

Di recente il decreto legislativo 102/2015 ha rafforzato gli obblighi delle istituzioni in
materia di dati aperti, prevedendo che le amministrazioni provvedano affinché i
documenti siano riutilizzabili a fini commerciali o non commerciali secondo le modalità
previste. Il decreto legislativo 82/2005 prevede l’esaminata definizione degli “open
data” e disposizioni generali con la finalità di razionalizzare il processo di valorizzazione
del patrimonio informativo pubblico nazionale. In specifico, le pubbliche amministrazioni
sono tenute a pubblicare il catalogo dei dati e dei metadati definitivi, nonché delle
relative banche dati in loro possesso e i regolamenti che disciplinano l’esercizio della
facoltà di accesso telematico e il riutilizzo di tali dati e metadati.

Il favor verso gli open data è evidente nel significativo

principio “open data by default”: i dati e i documenti L’eventuale adozione
pubblicati dalle amministrazioni con qualsiasi modalità, senza di una licenza deve
l’espressa adozione di una licenza standard per il riutilizzo, si essere motivata ai
intendono rilasciati come dati di tipo aperto, ad eccezione dei sensi delle linee
casi in cui la pubblicazione riguardi i dati personali. 
 guida nazionali
L’articolo 52 del CAD si preoccupa di assicurare l’effettività a definite dall’AgID.
quanto previsto e collega espressamente le attività volte a
garantire l’accesso telematico e il riutilizzo dei dati delle
pubbliche amministrazioni ai parametri di valutazione della performance dirigenziale.

In questo percorso normativo si è inserito il decreto legislativo 33/2013, da ultimo

modificato dal decreto legislativo 97/2016. Ai sensi dell’articolo 3 del decreto
legislativo 33/2013 tutti i documenti, le informazioni e i dati oggetto di accesso civico,
compresi quelli oggetto di pubblicazione obbligatoria, sono pubblici e chiunque ha diritto
a conoscerli, di fruirne gratuitamente, utilizzarli e riutilizzarli senza ulteriori restrizioni
diverse dall’obbligo di citare la fonte e di rispettarne l’integrità.

Al favor delle norme l’Italia ha accompagnato specifici impegni a livello internazionale:

oltre all’adesione all’Open Government Partnership (OGP), nel 2013 ha aderito
all’iniziativa del G8 Open Data Charter e nel 2015 all’International Open Data Charter.

Nel 2011 il Governo italiano ha lanciato il portale nazionale di open data che ospita il
catalogo dei dati aperti pubblicati dalle amministrazioni italiane.

Molto attive, sotto tale profilo, le Regioni: la regione Piemonte è stata la prima rilasciare
le sue informazioni pubbliche in open data, a creare un portale dedicare e ad emanare
una legge regionale anticipando anche lo Stato.

Molte regioni hanno seguito l’esempio piemontese, come il Lazio, la Provincia
autonoma di Trento, il Friuli Venezia Giulia e la Toscana: anche Comuni ed enti locali
hanno realizzato strategie in materia di open data.

Anche gli utenti italiani hanno realizzati progetti di grande utilità quali “Monithon” cioè
una piattaforma di monitoraggio civico dei progetti finanziati dalle politiche di coesione
che si basa sui dati del portale “Open Coesione” e la piattaforma “ConfiscatiBene”,
progetto partecipativo per la raccolta, l’analisi dei dati e il monitoraggio dei beni confiscati
alla criminalità organizzata.

L’apertura del patrimonio informativo pubblico deve fare i conti con esclusioni e limiti
previsti a tutela di altri interessi protetti dall’ordinamento, quali il segreto di stato, il
segreto statistico, il diritto d’autore e la sicurezza pubblica.

Il profilo è oggetto di norme specifiche nel decreto legislativo 33/2013 e la difficoltà

emerge nelle linee guida del Garante Privacy del 2014, secondo cui i dati pubblicati
online non sono liberamente utilizzabili da chiunque per qualunque finalità: i dati personali
sono riutilizzabili solo in termini compatibili con gli scopi per i quali sono raccolti e nel
rispetto delle norme sulla privacy. Secondo il Garante, di conseguenza, l’obbligo di
pubblicare i dati in “formato aperto” non comporta che tali dati siano anche “dati
aperti” cioè liberamente utilizzabili.

Accanto a questi limiti è opportuno rilevare la criticità costituito dalla mancanza di

uniformità e omogeneità nell’apertura del patrimonio informativo pubblico: non tutti i
dati potenzialmente utili sono rilasciati in modo aperto o non lo sono in modo uniforme su
tutto il territorio nazionale, traducendosi in un potenziale danno per chi vi faccia
affidamento e riutilizzi i dati anche per finalità commerciali.

La miniera dei big data: opportunità e rischi

A differenza degli open data, non c’è una definizione dei “big data” nell’ordinamento
giuridico. I big data possono essere definiti come enormi volumi di dati detenuti da
grandi organizzazioni, quali governi e multinazionali, provenienti da diverse fonti e
analizzati per mezzo di algoritmi informatici, tecnologie specifiche e tecniche di “data
mining”. I big data si connotano per peculiari caratteristiche:

1. Il volume ossia la capacità di acquisire, memorizzare e accedere a enorme quantità di

dati.

2. La velocità ossia la capacità di acquisizione e analisi in tempo reale o ad “alta

velocità”.

3. La varietà ossia l’eterogeneità nella tipologia di dati, provenienti da fonti diverse.

Nei biga data si possono trovare, pertanto, eterogenee “tracce digitali” derivanti dalle
interazioni in rete: dati forniti su base volontaria, dati “scambiati” o “comprati a fronte di
utilità conseguibili, dati forniti dai soggetti in modo più o meno consapevole, dati registrati
automaticamente (cookies), dati ricavati da altri dati, dati raccolti dallo Stato e dai
soggetti pubblici: il fenomeno è destinato a crescere con l’Internet of Things.

L’interesse per i big data deriva dell’enorme valore

Sicuramente una prima
economico che possiedono, desumibile già dalle loro
finalità è costituita
caratteristiche, dalle molteplici finalità e dai diversi
utilizzi cui possono essere destinati. Al riguardo una dall’informazione aggiuntiva
che permettono di generare e
premessa è doverosa: nelle strategie relative ai big
dalla conseguente ulteriore
data, le finalità raggiungibili non sono sempre
conoscenza che consentono
prevedibili al momento della raccolti dei dati e
di ottenere.
l’oggetto di indagine non è necessariamente definito a
priori. Oltre a questo, i big data permettono di
interpretare bisogni ed esigenze, profilare gli utenti,
monitorare i consumi, supportare le istituzioni nelle scelte. Tra le motivazioni principali
della grande attenzione riservata a questi dati si pone la capacità predittiva dei big data
che si traduce nella possibilità di effettuare previsioni politiche, predizioni sugli andamenti
di mercato e sugli ambiti presi come oggetto di osservazione.

In considerazione del valore che rivestono, l’Italia ha intrapreso e preso parte a progetti
interessanti che si basano sui big data, come “SoBigData” cioè un progetto europeo
avviato nel 2015 con la mission di creare un ecosistema integrato di dati, strumenti e
competenze che renda possibili scoperte scientifiche e nuove applicazioni su tutte le
dimensioni della vita sociale ed economica, partendo dai big data disseminati nella vita
quotidiana. Significativo anche il progetto europeo “Big Data Europe”, finalizzato a
costruire una società della conoscenza basata sull’innovazione e sul rafforzamento della
competitività dell’economia europea, permettendo alle imprese europee di realizzare
prodotti e servizi innovativi grazie a una piattaforma tesa a tali finalità.

Istat ha costituito nel 2013 una Commissione di studio e nel 2016 il “Big Data
Commitee” con il compito, entro il 2020, di definire policy a supporto dell’uso dei big
data per la statistica ufficiale e per monitorare e orientare le scelte sul tema. 


Grandi sono le problematiche giuridiche sollevate

e le implicazioni etiche e sociali dell’utilizzo dei big Al riguardo il quadro normativo
data: anche in questo casi i profili maggiormente non è coerente con il nuovo
problematici si individuano nella relazione con la contesto tecnologico: neanche
normativa in materia di protezione dei dati personali.
 il nuovo regolamento europeo in
In specifico, l’utilizzo dei big data, laddove siano materia di privacy 679/2016
presenti dati personali, rende problematico il rispetto tratta esplicitamente i big data.

del principio di finalità previsto dalla normativa, dal
momento che spesso nelle strategie relative ai big
data non si conosce il risultato finale: questo comporta anche difficoltà a garantire
l’informativa e il consenso, elementi fondamentali su cui ruota la normativa a livello
europeo e nazionale.

Inoltre, l’analisi tecnica dei big data, consistendo in un processo di approssimazione,

genera il rischio di trarre conclusioni imprecise e discriminatorie e può produrre il
cosiddetto “effetto mosaico” che consente di rivelare l’identità di una persona e il
comportamento collegato. Un rilevate profilo problematico è costituito proprio
dall’illusione della capacità descrittiva dei big data: l’overdose informativa generata
dalla quantità dei dati non necessariamente si traduce in conoscenza, perché ciò avvenga
c’è necessità di contestualizzazione, analisi e interpretazione dei dati.

Di conseguenza, l’analisi dei big data, implica la definizione di obiettivi, la necessità

di policy e di una specifica regolamentazione di accompagnamento: da questo punto
di vista la possibilità di regolamentazione sconta delle criticità geopolitiche per la
differenza fra le normative applicabili e la conseguente diversità nella tutela dei dati.

Un altro aspetto problematico può essere quello relativo alla “proprietà” dei dati che
formano i volumi dei big data sotto il profilo del diritto d’autore: la questione emerge
laddove le grandi aziende si atteggino a “proprietarie” due nuovi dati prodotti dalla
combinazione di dati di cui siano titolari soggetti terzi.

Implicazione si significativo interesse è infine l’asimmetria di potere informativo che i

big data possono generare rispetto alla collettività, ai cittadini e alle piccole/medie
imprese: in concreto, pochi soggetti detengono i big data e questo provoca una forbice
nel potere informativo.

A questo squilibrio si somma un ulteriore e conseguente profilo: per gli obiettivi esaminati,
i soggetti pubblici possono decidere di servirsi delle banchi dati private e, seppur non
direttamente, possono arrivare a monitorare la collettività di riferimento tramite soggetti
privati che hanno informazioni acquisite su base contrattuale: di fatto si realizza un
controllo indiretto e questo può tradursi in una forma di controllo sociale e di
sorveglianza che allontana governanti e governati, in direzione opposta rispetto alla
filosofia di open government.

In conclusione, il quadro giuridico idoneo per un mondo di small data non risulta del
tutto allineato con lo strumento tecnologico oggetto di regolazione, i big data. 

In considerazione della funzione stessa del diritto le problematiche che emergono
stimolano l’opportunità di un nuovo sistema di tutele, principi e regole sulla base di una
“nuova etica digitale” che minimizza i rischi di distorsioni, discriminazioni e asimmetrie.

Alla luce dell’evoluzione delle amministrazioni pubbliche verso l’open government si

può immaginare un ampio utilizzo sinergico di open data e big data per favorire la
crescita e generare un nuovo rapporto tra governi e mercati, tra soggetti pubblici e privati.
In tal senso è possibile pensare a una “sanatoria” al momento della diffusione,
rilasciando i big data come open data e abbandonando una gestione spesso chiusa
degli stessi, proteggendo così le libertà dei cittadini, tutelando la sovranità dei dati,
garantendo un accesso equo e la libera concorrenza.

Caso di studio: la sentenza del TAR Basilicata n.478 del 2011

In materia di amministrazione digitale risulta di particolare rilevanza la sentenza del

TAR Basilicata, 23 Settembre 2011, n.478 che chiarisce la cogenza del diritto all’uso
delle tecnologie e degli altri diritti digitali disciplinati dalla normativa, cui corrispondono
correlati doveri a carico della pubblica amministrazione.

Nella fattispecie, il Movimento Radicali Italiani, l’associazione Agorà Digitale e alcune

persone fisiche hanno proposto ricorso per l’accertamento della violazione da parte della
Regione Basilicata dell’obbligo di adottare gli atti amministrativi necessari a consentire
ai cittadini e agli utenti di comunicare con l’ente stesso mediante la posta elettronica
certificata, garantendo idonea pubblicità al proprio indirizzo di PEC. 

Il ricorso mirava a condannare la regione ad assicurare l’effettività delle disposizioni,
mediante l’adozione degli atti amministrativi obbligatori per legge, nonché di ogni altro
atto idoneo e necessario a consentire ai cittadini e agli utenti della regione di poter
individuare agevolmente il recapito di PEC attraverso la pubblicazione sulla pagine iniziale
del sito.

La sentenza, esclusa la legittimazione del Movimento Radicali Italiani e ritenuto carente

l’interesse al ricorso delle persone fisiche, ha riconosciuto la legittimazione e
l’interesse al ricorso dell’associazione Agorà Digitale, in quanto ente esponenziale
rappresentativo dell’interesse di cui è chiesta tutela, dal momento che negli scopi statuari
prevede la difesa delle libertà digitali: in specifico, i ricorrenti lamentavano la mancata
pubblicazione sulla home page del sito web da parte della Regione dell’indirizzo
PEC. Premettendo di essere cittadini italiani intenzionati ad utilizzare le tecnologie
telematiche, in particolare la PEC, i ricorrenti avevano invitato la Regione Basilicata a
provvedere alla pubblicazione dell’indirizzo di PEC, così come previsto dalle norme, e ad
adottare tutti gli atti amministrativi necessari a garantire l’effettiva possibilità per gli utenti
di comunicare con la Regione attraverso la PEC.

Trascorso il termine di 90 giorni previsto dal decreto legislativo 198/2009 senza che
l’amministrazione avesse provveduto, gli istanti hanno proposto ricorso per l’efficienza
delle amministrazioni, ai sensi del decreto legislativo 198/2009.

Il TAR accoglie il ricorso per l’inefficienza delle amministrazioni ai sensi del decreto
legislativo 198/2009 basandosi sul CAD e, in particolare, sul combinato disposto
dell’articolo 2 (che pone una prima imposizione a comunicare in via digitale) dell’articolo 3
(che pone in diretta correlazione l’obbligo della pubblica amministrazione di comunicare in via
digitale con il riconoscimento agli utenti del diritto) e dell’articolo 6 (che prevede tra le
modalità di comunicazione tra privato e pubblica amministrazione l’utilizzo della PEC).

Inoltre il TAR richiama l’articolo 11 comma 5 del decreto legislativo 150/2009 che
permette di qualificare gli adempimenti relativi alla PEC quali strumenti per rendere
effettivi i principi di trasparenza e le previsioni delle “Linee guida per i siti web della PA-
anno 2011” emanate in attuazione della direttiva 8/2009 del Dipartimento della
funzione pubblica.

Tali atti impongono che l’elenco delle caselle di PEC debba essere “costantemente
disponibile all’interno della testata” e collocato in posizione privilegiata in modo da
essere visibile nella home page del sito.

Il TAR sottolinea come le modifiche apportate al CAD dal decreto legislativo 235/2010
confermino la cogenza dell’obbligo di pubblicazione dell’indirizzo PEC in home page e
la necessità di rendere effettiva la possibilità per l’utente di comunicare con lo strumento. 

Per il TAR il quadro normativo “delinea l’obbligo di soddisfare la richiesta di ogni interessato
a comunicare in via informatica tramite posta elettronica certificata e quindi l’obbligo di
adottare gli atti finalizzati alla pubblicazione sulla pagina iniziale del sito degli indirizzi di posta
elettronica certificata e a consentirne l’effettiva possibilità di interagire con l’ente”.

La mancata individuazione di almeno un indirizzo di PEC sul sito “determina un

disservizio, costringendo gli interessati a recarsi personalmente presso gli uffici e ad utilizzare
lo strumento cartaceo”. Tale disservizio “estende i suoi riflessi negativi anche sulle modalità
di esercizio del diritto del privato di partecipare al procedimento amministrativo” dal momento
che il CAD consente di esercitare tali diritti anche attraverso strumenti telematici di
comunicazione.

Alla luce di tali motivazioni il TAR riconosce la violazione da parte della Regione
Basilicata dell’obbligo previsto e conclude che “la Regione Basilicata, è tenuta a
consentire agli utenti di interloquire tramite posta elettronica certificata e a rendere visibile
nella home page del sito l’elenco degli indirizzi di posta elettronica certificata” con relativa
soccombenza delle spese processuali. Di conseguenza ordina alla regione di porre in
essere gli adempimenti necessari alla pubblicazione dell’indirizzo PEC e a rendere
effettivo il diritto degli utenti di comunicare tramite PEC entro 60 giorni dalla
comunicazione o notificazione della sentenza.

7. Digital age e diritto dei privati

I nomi a dominio

Nel mondo analogico i segni distintivi tutelano il nome di un soggetto, permettendo di

individuarlo con certezza e gli offrono protezione dal punto vista della concorrenza. Le
stesse esigenze si pongono nel mondo dei byte con la disciplina dei nomi a dominio,
segni distintivi su Internet, che pongono rilevanti problematiche giuridiche anche in
considerazione della mancanza, nel mondo digitale, di due caratteristiche significative
della tutela giuridica, ossia la materialità e la territorialità.

Internet si configura come una rete di reti che permette ai diversi computer di collegarsi
tra loro. Al fine di comunicare è necessario poter identificare e raggiungere il dispositivo,
esattamente come per rintracciare un soggetto nella realtà fisica è necessario il suo
indirizzo. Dal punto di vista tecnico, per identificare e poter contattare un dispositivo sulla
rete esistono gli indirizzi IP: ad ogni computer connesso in rete risponderà un solo
indirizzo IP, diverso da ogni altro. L’indirizzo IP è costituito da quattro byte rappresentati
da una sequenza di quattro blocchi di numeri decimali, separati da punti che possono
assumere un valore da 0 a 255.

La difficile memorizzazione degli indirizzi IP, l’esigenza di agevolare il sistema di ricerca e

renderlo più semplice e rapido ha portato a elaborare, nei primi anni ’80, il Domain Name
System (DNS) che permette di tradurre l’indirizzo numerico in nomi e parole scelti dai
richiedenti: il domain name o nome a dominio. In sostanza il nome a dominio indica la
denominazione di un “luogo digitale”, è l’indirizzo alfanumerico di identificazione di un
dispositivo collegato ad Internet, cui corrisponde, di norma, uno specifico sito web.

L’organizzazione degli indirizzi IP e dei relativi nomi a dominio è gerarchica e si legge

da destra verso sinistra. 


1. Il primo livello, detto Top Level Domain indica la nazionalità del dominio o la
categoria di appartenenza: è il caso dei suffissi nazionali o geografici come .it per
l’Italia, .uk nel Regno Unito oppure dei suffissi “generici” per categoria quali .com per
l’attività commerciale o .gov per gli enti statali.

2. Il secondo livello, detto Second Level Domain è liberamente scelto dall’utente. È un

nome unico ed esclusivo in tutta la rete Internet e può indicare un soggetto, un
prodotto, un servizio, un nome di fantasia.

3. Il terzo livello, ed eventuali livelli inferiori se presenti, indicano sottodomini ossia parti
di un dominio già ampio, come dislocazioni geografiche, divisioni di organizzazioni o
dipartimenti.

4. La parte finale si riferisce al protocollo di trasmissione al servizio utilizzato per

raggiunger il nome a dominio nella rete.

L’assegnazione dei nomi a dominio a livello internazionale, la funzione di sovrintende alla

loro gestione e l’identificazione di criteri uniformi per la risoluzione della relative
controversie sono demandate oggi a ICANN (Internet Corporation of Assigned Names
and Numbers) che per svolgere la sue funzioni delega i compiti ad autori territoriali, le
Registration Authorities: i generi top level domain (gTLD) sono attribuiti da organismi
accreditati da ICANN, gli Accredited Registrars.
In Italia la Registration Authority è “Registro del ccTLD.it” o “Registro.it” che fa parte
dell’Istituto per l’Informatica e la Telematica del Centro Nazionale delle Ricerche.

Le regole tecniche di naming sono contenute nel regolamento

della Registration Authority, di natura pattizia. I principi La registrazione
fondamentali, oltre alla necessità da parte di qualunque soggetto dura un anno ed è
di registrare il nome a dominio per poterlo utilizzare su Internet, automaticamente
sono i seguenti: il principio di unicità del nome a dominio e rinnovata.
l’assegnazione in ordine di priorità cronologica a chi per primo
ne ha fatto richiesta.

 È vietato l’utilizzo dei cosiddetti nomi riservati, assegnati o assegnabili solo a soggetti
predeterminati, come i nomi a dominio corrispondenti all’Italia e agli enti territoriali.

In origine i nomi a dominio possedevano una funzione sostanzialmente tecnica ma la

diffusione della rete ha evidenziato una vera e propria funzione distintiva dei nomi a
dominio: il valore distintivo deriva dalla riconducibilità del nome a dominio a un’attività,
un prodotto, un servizio, un nome.

La funzione distintiva ha provocato la conseguente forte attenzione del diritto ai nomi a

dominio, che si è tradotta nella necessità di fornirli di una qualificazione giuridica,
risolvere le problematiche legate alla specificità dello strumento e indicare come sanare le
controversie. Già prima della previsione normativa, la dottrina e la giurisprudenza
avevano cominciato a qualificarli quali segni distintivi nella consapevolezza del pregiudizio
recato nel momento in cui la clientela sia attratta da uno specifico domain name nella
convinzione dell’appartenenza dello stesso a un determinato soggetto. L’interesse ad
ottenere un nome a dominio coincidente con il proprio segno distintivo è bene
giuridicamente tutelabile, in quanto alla valutabilità economica si aggiunge l’idoneità a
soddisfare interessi meritevoli di tutela: in specifico la funzione di identificazione e
l’esigenza di evitare la confusione a tutela del pubblico, che può sfociare nella
concorrenza sleale.

Oggi la normativa, in specifico il Codice della proprietà industriale, il decreto

legislativo 30/2005, tutela il nome a dominio come segno distintivo, lo equipara agli altri
e applica il principio di unitarietà dei segni distintivi, che rende non più fondamentale
distinguere l’appartenete a una tipologia piuttosto che un’altra. 

La normativa, pertanto, pone come aspetti determinanti da esaminare per la risoluzione di
eventuali controversie l’identità o affinità ad altrui marchio, che generi confusione nel
pubblico a causa di un’associazione tra i due segni e la rinomanza anche in assenza di
affinità, dal momento che può causare un indebito vantaggio. 

La stessa normativa prevede l’ipotesi inversa, ossia che non possano costituire oggetto
di registrazione come marchio d’impresa i segni che siano indettici o simili a segni
distintivi già noti tra i quali il nome a dominio usato nell’attività economica, se possa
determinarsi il rischio di confusione per il pubblico.

1. In caso di attività uguale o affine e, quindi, medesimo settore merceologico,

l’ordinamento mira a evitarne la coesistenza per scongiurare il rischio di confusione ed
evitare la concorrenza sleale.

2. In caso di marchio dotato di rilevanza vi è una tutela ultramerceologica dovuta

all’indebito vantaggio di unire il proprio nome a quello dotato di rinomanza,
sfruttandone la notorietà, e di arrecare pregiudizio al titolare del marchio rinomato
sviando la clientela e danneggiando l’immagine. Anche la mera registrazione priva di
utilizzo può danneggiare il titolare, che è impedito in modo assoluto dalla possibilità di
usare quel nome a dominio: si parla di passive domain holding.

Nel caso in cui i nomi a dominio siano utilizzati in ambito imprenditoriale o

economico, sono soggetti alla disciplina della proprietà industriale e ne seguono le
norme, alle quali si sommano quelle in materia di concorrenza sleale laddove ne
ricorrano i requisiti.
Tra le condotte illecite che riguardano i nomi a dominio va richiamato il “cybersquatting
o domain grabbing” che consiste nella pratica di accaparrare nomi a dominio
corrispondenti a marchi o nomi altrui non ancora registrati, solitamente noti, con due
finalità tipiche: poterli rivendere a maggior costo a chi ne ha interesse o porre in essere
atti di concorrenza sleale, traendo in tal caso un indebito vantaggio dalla confusione fra
segni distintivi e dallo sviamento della clientela. 

Una forma evoluta di cybersquatting è il typosquatting che consiste nel registrate nomi
a dominio molto simboli a marchi o nomi altrui sfruttando gli errori di digitazione degli
utenti e il reindirizzamento dai motori di ricerca con correttore automatico. Ulteriore
fattispecie consolidata nella prassi è il pornosquatting che consiste nell’utilizzo del nome
a dominio altrui al fine di attirare e reindirizzare gli utenti su siti pornografici del tutto
estranei. Altra condotte illecite è quella che impiega nei metatag di un sito il marchio di
un altro soggetto, al fine si sfruttarne in modo parassitario i vantaggi.

I rimedi previsti sono eterogenei e possono condurre a risultati diversi: oltre alla
composizione pacifica frutto di accorso a seguito di trattativa, è possibile il ricorso
all’autorità giudiziaria ordinaria oppure alla procedure arbitrale.

Altrimenti è possibile affidarsi alla procedura di rassegnazione per i nomi a dominio nel
ccTLD.it che ha natura meramente amministrativa e, di conseguenza, non preclude la
possibilità di ricorso successivo alla magistratura o all’arbitrato.

Al riguardo, l’articolo 118 comma 6 del decreto legislativo 30/2005 prevede che la
registrazione di nome a dominio aziendale concessa in violazione dell’articolo 22 o
richiesta in malafede, può essere, du domanda dell’avente diritto, revocata oppure a lui
trasferita da parte dell’autorità di registrazione.

Inoltre, il decreto legislativo 131/2010 prevede la possibilità per l’autorità giudiziaria di

disporre, in via cautelare, oltre all’inibitoria dell’uso nell’attività economica del nome a
dominio illegittimamente registrato, il suo trasferimento provvisorio che può essere
subordinato alla presentazione di idonea cauzione da parte del beneficiario.

Il diritto d’autore nell’era informatica, i contenuti digitali e le licenze Creative

Commons

La rivoluzione informatica permette nuove forme di creazione, utilizzazione e

riproduzione di opere e incrementa in modo esponenziale le modalità di circolazione e
fruizione dei contenuti, incidendo profondamente sulla conoscenza e, di conseguenza,
sulla proprietà intellettuale: il nuovo mondo digitale si trova così a fare i conti con il diritto
d’autore che è disciplinato in Italia, oltre che dal codice civile anche dalla legge
633/1941.

Il diritto d’autore protegge le opere dell’ingegno di carattere creativo che appartengono

alle scienze, alla letteratura, alla musica, alle arti figurative, all’architettura, al teatro, alla
cinematografia e i beni informatici, qualunque ne sia il modo o
la forma di espressione.

Nel nostro ordinamento la creazione dell’opera, quale Anche i contenuti, i

particolare espressione del lavoro intellettuale, è titolo materiali e le opere
originario all’acquisto del diritto d’autore e, di conseguenza, digitali cadono
comporta l’acquisizione automatica dei diritti, lo sfruttamento sotto la protezione
delle prerogative e dei diritti collegati e la connessa tutela: la del diritto d’autore.
protezione giuridica è automatica e non è richiesta alcuna
formalità.

Il diritto d’autore si compone di diritti quale il diritto alla paternità dell’opera e di diritti
patrimoniale o di utilizzazione economica: l’autore ha il diritto esclusivo di pubblica
l’opera e di utilizzarle economicamente in ogni forma e modo, originale o derivato, nei
limiti e per gli effetti fissati dalla legge. I diritti patrimoniali comportano, di conseguenza,
l’esclusività, dal momento che le utilizzazioni possono essere precluse a soggetti diversi
dal titolare, se non autorizzate nei limiti e nei modi che la legge stabilisce.

Nelle sue componenti morali e patrimoniali, il diritto d’autore trova fondamento in in

complesso combinato di norme costituzionali, che vanno dall’articolo 2 (diritti inviolabili)
e dall’articolo 4 (progresso materiale e spirituale della società), passando dall’articolo 9
(cultura e ricerca scientifica e tecnica) e dall’articolo 21 (libera manifestazione del pensiero)
fino all’articolo 33 (libertà dell’arte e della scienza), all’articolo 35 (tutela del lavoro in tutte le
sue forme e applicazioni) e all’articolo 42 (diritto di proprietà).

Nell’era dei byte la disciplina del diritto d’autore si trova di

fronte a un necessario e complesso adeguamento: la rete Nel web 2.0 può essere
rende globale la fruizione di contenuti, diventa agevole trarre particolarmente difficile
infinite copie di un’opera con la stessa qualità dell’originale proteggere il diritto
a costo zero e, di conseguenza, è difficile controllare e d’autore.
limitare la circolazione dei contenuti. A questo va aggiunta
una difficoltà ulteriore: nella rete spesso i contenuti digitali
non sono pubblicati dall’autore, ma sono riutilizzati e ridistribuiti e, pertanto, diventa
difficile risalire all’autore per ottenerne l’autorizzazione per l’utilizzo. 

Per questo, oltre a strumenti di ordine legale si ricorre a misure tecnologiche di
protezione a presidio delle opere digitali, in modo che alcune operazioni non solo siano
giuridicamente illecite, ma anche inibite tecnicamente. La normativa fornisce anche la
possibilità di applicare le cosiddette informazioni elettroniche sul regime dei diritti, che
semplificano la gestione dei diritti stessi e della tutela giuridica: ma tali strumenti possono
avere l’effetto di limitare la diffusione e la circolazione delle opere.

Da un punto di vista legale l’utilizzo dell’opera digitale protetta dalla legge 633/1941
avviene legittimamente con l’autorizzazione da parte dell’autore per mezzo di una
licenza che stabilisce le utilizzazioni consentite giuridicamente. Anche per quanto
riguarda i contenuti digitali si distingue tra sistemi di tutela giurisdizionali, con le
relative licenze “proprietarie” e sistemi con “licenze aperte”, in relazione ai diversi
diritti concessi a chi fruisce dell’oggetto tutelato dal diritto d’autore.

La tutela giurisdizionale consiste nel riservare tutti i diritti al titolare: nella prassi si usa
l’espressione “all rights reserved” o il simbolo © per indicare il titolare del copyright
anche se tali indicazioni possono essere superflue, dal momento che si acquisiscono i
diritti semplicemente con la creazione dell’opera: l’utente, in tali casi, potrà limitarsi a
fruirne nei limiti previsti ma senza il consenso di colui che detiene i relativi diritti non potrà
copiare, pubblicare o modificare i contenuti protetti.

Diverse sono le licenze di tipo open che, invece di stabilire i limiti di utilizzabilità delle
opere, tendono a garantire una serie di diritti a chi ne entra in possesso. La caratteristica
principale è la possibilità di pubblicare o riutilizzare secondo il modello “some rights
reserved”: al riguardo di parla di copyleft e di permesso d’autore, l’unico vincolo sempre
presente è l’attribuzione di paternità, il diritto morale d’autore.

Sono licenze di tipo aperto le “Creative Commons Public Licenses” sorte negli Stati
Uniti nel 2001 e poi diffuse in tutto il mondo per agevolare la libera circolazione delle
opere dell’ingegno e della cultura. Tali licenze indicano quali sono le libertà che l’autore
vuole concedere e a quali condizioni è possibile utilizzare le opere: questo sistema
consente all’autore di scegliere tra i diversi tipi di licenza standard e specificare a quali
esclusive intenda rinunciare. Le licenze standard sono sei, gratuite e valide senza
limitazioni di tempo e territorio, frutto della combinazione tra quattro diverse clausole:

A. “ATTRIBUZIONE” (BY), ossia il riconoscimento della paternità dell’opera: tale

clausola risponde al diritto morale d’autore, componente essenziale, inalienabile e non
rinunciabile della licenza.

B. “NON COMMERCIALE” (NC), non si autorizzano utilizzi a scopi commerciali.

C. “NON OPERE DERIVATE” (ND), non si autorizza la creazione di opere derivate, ossia
la possibilità di modificare, elaborare, alterare o trasformare i contenuti originari e
crearne altri.

D. “CONDIVIDI ALLO STESSO MODO” (SA), se viene modificata, alterata o trasformata

l’opera o ne viene creata un’altra, quella risultate deve essere distribuita sotto lo
stesso regime giuridico aperto, ossia con la stessa licenza o una equivalente.

Le sei licenze che ne derivano sono le seguenti:

1. CC BY: “attribuzione”.

2. CC BY-SA: “attribuzione-condividi allo stesso modo”.

3. CC BY-ND: “attribuzione-opere non derivate”.

4. CC BY-NC: “attribuzione-non commerciale”.

5. CC BY-NC-SA: “attribuzione-non commerciale-condividi allo stesso modo”

6. CC BY-NC-ND: “attribuzione-non commerciale-non opere derivate”.

Le licenze sono espresse in diverse forme:

E. “LEGAL CODE”, ossia il testo legale che ne esprime l’intero contenuto ed è la vera e
propria licenza da un punto di vista giuridico.

F. “COMMONS DEED”, ossia il contenuto essenziale della licenza reso in forma

semplificata e identificato con la sigla e l’icona relativa alla licenza.

G. “DIGITAL CODE O MACHINE READABLE CODE”, ossia il formato digitale, l’insieme

di metadati che permette di interfacciare la licenza con i sistemi informatici.

Le licenze redatte sulla base del diritto statunitense o su modelli neutri sono
tradotte e adattate ai diversi ordinamenti dai gruppi di lavoro nazionali.

Le licenze sono costantemente adattate, modificate, revisionate e aggiornate per
adattarsi alle evoluzioni e ciò si traduce nelle diverse “versioni”: 4.0 nella versione
internazionale e 3.0 in quella italiana.

Sotto il profilo del diritto d’autore viene anche in gioco il modello peer-to-peer: la rete
stessa ha previsto accanto al modello client (utente) - server (fornitore di servizio), il
modello peer-to-peer (P2P) dove ogni nodo della rete svolge entrambe le funzioni
(server e client), mettendo a disposizione una parte delle proprie risorse e utilizzando
risorse messe a disposizione da altri.

 Tale modello ha diverse esplicazioni, che vanno dalla condivisione della potenza di
calcolo, alla condivisione delle connessioni Internet fino alla realizzazione più
significativa che consiste nella condivisione di file: esempio celebre è il sistema
“Napster” per la condivisione di file musicali.

Il peer-to-peer e il file sharing possono generare fenomeni di “pirateria digitale”

mettendo a rischio i diritti del titolare: già queste osservazioni denotano come la tutela del
diritto d’autore possa essere complessa nell’era digitale. Il diritto d’autore è infatti
regolato da norme che nascono e sono adeguate a un diverso contesto di riferimento, il
mondo analogico, e devono essere faticosamente adattate alla diversa realtà digitale.

Proprio in considerazione di queste difficoltà, un ruolo incisivo è stato assunto da
un’autorità amministrativa indipendente, l’Autorità per le Garanzie nelle
Comunicazioni che il 12 Dicembre 2013 ha approvato, con delibera il “Regolamento in
materia di tutela del diritto d’autore sulle reti di comunicazione elettronica e procedure
attuative ai sensi del decreto legislativo 70/2003” di seguito detto regolamento Agcom.

Il regolamento Agcom disciplina le procedure a

tutela del diritto d’autore online, prevedendo che il Il regolamento Agcom
soggetto legittimato, ossia il titolare o il licenziatario disciplina le attività
del diritto d’autore o le associazioni di gestione dell’Autorità in materia di tutela
collettiva o di categoria con mandato conferito dal del diritto d’autore online e mira
titolare o dal licenziatario del diritto, qualora ritenga a promuovere lo sviluppo
che un’opera digitale sia stata resa disponibile su dell’offerta legale di opere
una pagina Internet in violazione della legge sul digitali e l’educazione alla
diritto d’autore, possa presentare un’istanza corretta fruizione delle stesse.
all’Autorità, chiedendone la rimozione: l’istanza è
trasmessa utilizzando e compilando, in ogni sua
parte, il modello reso disponibile sul sito web dell’autorità e allegando ogni
documentazione utile comprovare la titolarità del diritto. Entro sette giorni dalla ricezione
dell’istanza, l’Autorità avvia il procedimento istruttorio e comunica l’avvio ai prestatori di
servizi all’uopo individuati, nonché, ove rintracciabili, all’uploader e ai gestori della
pagina e del sito che possono adeguarsi spontaneamente: in tal caso l’istanza viene
archiviata. Se, invece, i i prestatori di servizi, nonché l’uploader e i gestori della pagina e
dei sito ritengano di controdedurre in merito alla violazione contestata, trasmettono ogni
elemento utile ai fini del relativo accertamento, entro il termine di cinque giorni dalla
ricezione della comunicazione.

In assenza di adeguamento spontaneo l’Autorità, con provvedimento adottato entro

trentacinque giorni dalla ricezione dell’istanza, esige che i prestatori di servizi destinatari
della comunicazione impediscano la violazione medesima o vi pongano fine, entro tre
giorni dalla notifica, di norma attraverso la rimozione selettiva delle opere digitali o con la
disabilitazione dell’accesso alle opere o al sito: in caso di inottemperanza, l’Autorità
applica le sanzioni amministrative previste.

Attraverso i provvedimenti dell’Agcom è ammesso il ricorso davanti al giudice

amministrativo e il procedimento dinanzi all’Autorità non può essere promosso
qualora per il medesimo oggetto e tra le stesse parti sia pendente un procedimento
dinanzi all’autorità giudiziaria.
L’incisività dei poteri che il regolamento riconosce a un’autorità amministrativa ha
sollevato forti reazioni in considerazione del fatto che sono disposti provvedimenti di
cancellazione dei contenuti pubblicati online in mancanza di una norma di legge che
espressamente li preveda, al di fuori di un processo davanti all’autorità giudiziaria.

Le perplessità sono sfociate nel ricorso al TAR Lazio presentato dal alcune associazioni:
con due ordinanze il TAR Lazio ha dichiarato rilevante e non manifestamente infondata la
questione, ha sospeso il giudizio e ha rimesso alla Corte costituzionale il giudizio di
legittimità costituzionale delle norme, sulla cui base l’Agcom ha approvato il regolamento.

La Corte costituzionale, però, ha ritenuto inammissibili le ordinanze per i “molteplici
profilo di contraddittorietà, ambiguità e oscurità nella formulazione della motivazione”.
Nonostante l’inammissibilità, la Corte ha avuto modo di affermare che le disposizioni non
attribuiscono espressamente ad Agcom un potere regolamentare in materia di tutela del
diritto d’autore sulle reti di comunicazione elettronica, quale quello esercitato:
successivamente, il Tar Lazio ha respinto i due ricorsi.

La tutela dei beni informatici: software proprietario, software open source e banche
dati

L’avvento delle nuove tecnologie e la rivoluzione digitale

hanno inciso profondamente sulla protezione delle opere Per la tutela di tali beni
dell’ingegno, provocando la necessità di revisioni normative: immateriali, il diritto ha
scelto la disciplina del
hanno determinato, altresì, la nascita dei cosiddetti “beni
diritto d’autore.
informatici”, dei programmi per elaborate (software) e le
banche dati, che hanno cominciato ad interessare il diritto
fin dagli anni ’60.

Il software consiste in un insieme di istruzioni espresse in qualsiasi linguaggio o codice,

atte a fare eseguire all’elaboratore una funzione e ottenere determinati risultati. Esso è
una realtà astratta: è composto da una serie di istruzioni che possono essere espresse in
un linguaggio comprensibile all’uomo (codice sorgente) oppure solo alla macchina che le
elabora (codice oggetto). Affinché l’hardware esegua il codice è necessaria la sua
traduzione in istruzioni del linguaggio macchina tramite la compilazione che trasforma
il codice sorgente in un programma equivalente in linguaggio macchina: il codice
oggetto o eseguibile. Il software possiede due qualità che lo distinguono dai beni
materiali e lo assimilano alle opere artistiche:

1. Più individui possono utilizzare lo stesso software senza che l’utilizzo degli uni
diminuisca l’utilità degli altri.
2. Non si può impedire ad altri di utilizzare un software una volta che vi abbiano accesso,
se non adottando misure che ne limitino l’accesso.

Le misure tecnologiche di protezione permettono di

impedirne usi non autorizzati. In concreto, una misura è Le misure giuridiche di
proprio la compilazione, dal momento che la distribuzione tutela consistono nella
del solo software complicato impedisce all’utente la protezione offerta dalla
modifica del programma. Un’altra misura consiste nel disciplina della
collegamento del software ad Internet, che attiva un proprietà intellettuale.
controllo di verifica della validità della licenza.

Il modello giuridico di tutela del software consiste nella protezione quale opera
dell’ingegno grazie alla normativa del diritto d’autore di cui alla legge 633/1941, come
modificata dal decreto legislativo 518/1992, oggi abrogata e sostituita dalla direttiva
24/2009/CE. In specifico, sono oggetto di tutela “i programmi per elaborare, in qualsiasi
forma espressi purché originali quale risultato di creazione intellettuale dell’autore” mentre
restano esclusi dalla tutela “le idee e i principi che stanno alla base di qualsiasi elemento di
un programma, compresi quelli alla base delle sue interfacce”.

Il diritto del titolare si compone di diritti quale il diritto alla paternità (esserne
riconosciuto l’autore) e di diritti patrimoniali (esclusivi del titolare, le utilizzazioni sono
precluse a soggetti diversi se non autorizzati nei limiti e nei modi che il titolare stabilisce).

A. I diritti esclusivi patrimoniali comprendono la stessa riproduzione del programma

permanente o temporanea, totale o parziale, con qualsiasi mezzo o in qualsiasi forma,
la traduzione, l’adattamento, la trasformazione e ogni altra modifica e qualsiasi forma
di distribuzione al pubblico, compresa la locazione.

B. È previsto anche il principio di esaurimento del diritto: la prima vendita di una copia
del programma nell’Unione Europea da parte del titolare dei diritti esaurisce il diritto di
distribuzione di detta copia all’interno dell’Unione, ad accezione del diritto di
controllare l’ulteriore locazione del programma o di una copia dello stesso.

L’autorizzazione a usare il software con certi limiti e in certe forme avviene per mezzo
del contratto di licenza d’uso, che stabilisce le utilizzazioni consentite giuridicamente
agli utenti. Nel caso del software la disciplina normativa prevede alcuni diritti inderogabili,
non soggetti all’autorizzazione del titolare:

1. Effettuare una copia di riserva (backup) quando necessaria per l’uso.

2. Tentare la decompilazione per realizzare nuovi prodotti che con il software

interoperino.

3. Riprodurre, tradurre, adattare, trasformare ed effettuare ogni altra modifica necessaria

per l’uso del programma, allo scopo di determinare le idee e i principi su cui è basato.

Le diverse possibilità concesse all’utente e le relative licenze portano alla tra software
proprietari o closed source e software a codice sorgente aperto o open source.


Mentre nel caso del software proprietario il codice sorgente non è reso disponibile, nel
software open source è reso disponibile con le connesse possibilità di accesso, studio,
utilizzo e modifica: le licenze open source si caratterizzano per la concessione di un
diritto di utilizzare, riprodurre, modificare, ridistribuire a terzi il programma.

Nel caso del software proprietario l’uso è ristretto da misure giuridiche e misure
tecnologiche: di regola è trasferita solo la copia del software compilato e l’autorizzazione
consiste nella facoltà di istallarlo, è closed perché è preclusa all’utente la possibilità di
accedere al codice sorgente. L’accesso è impedito giuridicamente dal momento che
interviene il diritto d’autore: la licenza limita la libertà dell’utente e l’attività di
decompilazione è vietata. Il software proprietario afferisce a un metodo di produzione e
distribuzione economica top down con uno sviluppo pianificato finalizzato a garantire un
vantaggio economico al titolare.

Gli aspetti problematici di questo modello sono diversi:

1. L’impossibilità o la difficoltà di uso per sviluppare altri prodotti.

2. La frequente limitazione dell’uso a chi paga il corrispettivo economico.

3. La perdita di libertà e democraticità insita nel fatto che si privano i soggetti della
libertà di conoscere e di poter dare il proprio contributo.

4. La perdita nella diffusione della conoscenza e nell’utilità sociale.

Tali problematiche hanno portato Richard M. Stallman a creare il software libero o open
source. Nel caso del software open source, l’uso è concesso con una licenza che
conferisce la piena libertà di eseguire, studiare, adattare, modificare, migliorare, distribuire
il software. Sono quattro le libertà di cui devono godere gli utenti del programma e che
caratterizzano il modello e la filosofia del software libero, secondo Stallman:

A. Libertà di eseguire il programma, per qualsiasi scopo.

B. Libertà di studiate come funziona il programma e adattarlo alle proprie esigenze.

C. Libertà di ridistribuire copie in modo da aiutare il prossimo.

D. Libertà di migliorare il programma e ridistribuire pubblicamente i miglioramenti

apportati.

La libertà di distribuire può essere soggetta solo al

copyleft che consiste nell’obbligo di modificare e La licenza open source più
distribuire il software con lo stesso regime giuridico, nota, ossia la licenza GPL
ossia con licenza open source. Il metodo di (General Public License)
distribuzione in tal caso è bottom-up con uno consiste in un’autorizzazione
sviluppo incrementale-evolutivo nella convinzione di che conferisce le libertà di
contribuire così all’evoluzione scientifica, informatica, eseguire, studiare, modificare,
culturale e sociale della collettività. 
 distribuire il software, cui si
Il software open source è soggetto al vincolo del unisce il permesso d’autore
copyleft e al riconoscimento della paternità.
copyleft, ossia la possibilità di
ridistribuzione ad altri solo con
la stessa licenza.

Il modello proprietario e quello open source non necessariamente sono in conflitto, ma

possono svolgere ruoli complementari: è il caso delle imprese che sviluppano software
con doppia licenza, una versione libera per funzioni di base e una versione proprietaria,
arricchita di funzionalità ulteriori, disponibile al pagamento.

La normativa sul diritto d’autore protegge anche le banche dati ossia raccolte di opere,
dati o altri elementi indipendenti sistematicamente o metodicamente disposti e
individualmente accessibili mediante mezzi elettronici o in altro modo: la tutela delle
banche dati non si estende al loro contenuto e lascia impregiudicati i diritti esistenti su
tale contenuto. La definizione normativa fa emerger come oggetto di tutela due tipologie
di banche dati:
1. Quelle selettive dove i contenuti sono selezionati in modo originale.
2. Quelle dispositive dove, seppure la selezione non sia creativa, è originale la
disposizione del materiale.

Anche nel caso della banca dati, il titolare vanta diritti morali e diritti patrimoniali, che
consistono nel diritto escluso dell’autore di eseguire o autorizzare la riproduzione, la
traduzione, l’adattamento, una diversa disposizione e ogni altra modifica, qualsiasi forma
di distribuzione al pubblico dell’originale o di copie e di qualsiasi presentazione,
dimostrazione o comunicazione in pubblico.

Il principio di esaurimento è presente ed è limitato alla prima vendita di una copia nel
territorio dell’Unione Europea da parte del titolare del diritto o con il suo consenso, che
esaurisce il diritto di controllare, all’interno dell’Unione stessa, le vendite successive della
copia.

Le banche dati possono caratterizzarsi per lo sforzo

necessario a reperire e predisporre i contenuti per La normativa identifica il
l’investimento economico e professionale: l’esigenza costitutore nel soggetto che
di fornire tutela anche a tali aspetti ha portato alla effettua investimenti rilevanti
previsione europea e italiana del cosiddetto “diritto la la costituzione o la verifica o
sui generis” o diritto del costitutore che, tutela il la presentazione di una banca
costitutore, assegnandogli il diritto di vietare le dati, impegnando, a tal fine,
operazioni di estrazione o reimpiego della totalità o mezzi finanziari, tempo o
di parti sostanziali della banca dati.
lavoro.

Il diritto del costitutore sorge al momento del

completamento della banca dati e si estingue trascorsi
quindici anni dal primo Gennaio dell’anno successivo alla data del completamento dello
stesso: anche al diritto del costitutore si applica il principio dell’esaurimento.

L’utente legittimo della banca dati messa a disposizione del pubblico non può arrecare
pregiudizio al titolare del diritto d’autore o di un altro diritto connesso relativo ad opere o
prestazioni contenute nella banca dati e non può eseguire operazioni che siano in
contrasto con la normale gestione della banca dati o che arrechino un ingiustificato
pregiudizio al costitutore della stessa.

La responsabilità del provider

L’intensa circolazione di contenuti in rete pone la questione relativa alla responsabilità

del prestatore e del cosiddetto “Internet service provider” (ISP), in relazione ai
contenuti immessi dagli utenti. 

Il prestatore è la persona fisica o giuridica che presta un servizio della società
dell’informazione, ossia un’attività economica svolta online, nonché qualsiasi servizio
prestato dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un
destinatario di servizi: più specificatamente il provider è il soggetto che esercita
un’attività imprenditoriale di prestatore di servizi della società dell’informazione, offrendo
in particolare servizi di connessione, trasmissione e memorizzazione dei dati, anche
potendo ospitare un sito.

Dopo un acceso dibattito che ha visto orientamenti contrapposti, la risposta da parte del
diritto sulla responsabilità del provider arriva con la direttiva 2000/31/CE e il decreto
legislativo n.70 del 9 Aprile 2003: si sancisce l’assenza di un generico obbligo di
controllo e ricerca attiva a carico del provider. 

Il principio di declina nella normativa in tre diverse fattispecie che corrispondono alle
distinte attività che il provider può compiere: in tutti questi casi l’assenza dell’obbligo
generale di sorveglianza e la limitazione della
responsabilità si giustificano con il ruolo svolto dal
La responsabilità insorge
prestatore quale provider passivo, ossia come
solo in caso di effettiva
soggetto che si limita ad un’attività “di ordine meramente
conoscenza dell’illiceità dei
tecnico, automatico e passivo” rispetto alle informazioni e
contenuti da parte del
ai contenuti trasmessi e, di conseguenza, non conosce,
prestatore.

non controlla e risulta estraneo rispetto ai contenuti

delle informazioni trasmesse o memorizzate.

A. La prima fattispecie riguarda l’attività di mero trasporto o mere conduit, che

consiste nel trasmettere, su una rete di comunicazione, informazioni fornite da un
destinatario del servizio o semplicemente nel fornire accesso alla rete di
comunicazione. É il caso del fornitore di servizi di posta elettronica e del fornitore
di servizi di connessione ad Internet: in tale ipotesi il prestatore si trova in posizione
neutra rispetto alle informazioni trasmesse.

Il prestatore non è responsabile delle informazioni trasmesse a condizione che non
dia origine alla trasmissione, non selezioni il destinatario della trasmissione e non
selezioni né modifichi le informazioni. 


B. La seconda fattispecie attiene all’attività di memorizzazione temporanea o caching,

che consiste nel trasmettere, su una rete di comunicazione, informazioni fornite da
una destinatario del servizio, effettuando la memorizzazione automatica, intermedia e
temporanea di tali informazioni da parte del provider, al solo scopo di rendere più
efficace il successivo inoltro ad altri destinatari a loro richiesta.

Esempi tipici di soggetti che svolgono tale attività sono i cosiddetti proxy server e i
motori di ricerca: anche in questo caso il prestatore non è responsabile, a condizione
che a) non modifichi le informazioni; si conformi alle condizioni di accesso alle
informazioni; c) si conformi alle norme di aggiornamento delle informazioni; d) agisca
prontamente per rimuovere le informazioni che ha memorizzato.


C. La terza fattispecie prevista è l’attività di memorizzazione di informazioni o

hosting, che consiste nella memorizzazione di informazioni fornite da un destinatario
del servizio e su sua richiesta.

É il caso, ad esempio, della messa a disposizione di uno spazio del server per la
condivisione di contenuti, siti o pagine web e, di conseguenza, di una memorizzazione
a carattere duraturo. Anche in tale ipotesi il prestatore non è responsabile delle
informazioni memorizzate, a condizione che a) non sia a conoscenza del fatto che
l’attività o l’informazione è illecita; b) non appena sia a conoscenza di tali fatti agisca
immediatamente per rimuovere le informazioni.

Al riguardo, però, tali disposizioni relative alla limitazione di responsabilità in caso di

hosting “non si applicano se il destinatario del servizio agisce sotto l’autorità o il controllo del
prestatore”: la norma si riferisce al caso del content provider che offre contenuti di cui è
autore o che ha selezionato e che, di conseguenza, va identificato come provider attivo,
per il quale la normativa esclude la cause di esonero di responsabilità che spettano al
provider passivo: in tal caso viene ad applicarsi la disciplina ordinaria di responsabilità.

Il provider è comunque tenuto, qualora sia a conoscenza di presunte attività o

informazioni illecite riguardanti un suo destinatario del servizio, a informare senza indugio
l’autorità giudiziaria o quella amministrativa avente funzione di vigilanza e, a fornire
senza indugio le informazioni in suo possesso che consentano l’identificazione del
destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di
individuare e prevenire attività illecite.

Nelle tre fattispecie, mere conduit, caching e hosting, l’autorità giudiziaria o quella
amministrativa competente, può esigere che il prestatore impedisca o ponga fine alle
violazioni commesse. La responsabilità civile del prestatore si configura nel caso in cui,
richiesto dall’autorità giudiziaria o amministrava avete funzioni di vigilanza, non agisca
prontamente per impedire l’accesso al contenuto ovvero se non abbia provveduto ad
informarne l’autorità competente. Pertanto, la disciplina contenuta nell’articolo 14 e
seguenti del decreto legislativo 70/2003 prevede un favor per il prestatore e la
limitazione della responsabilità in ragione delle attività tecniche, passive a automatiche
compiute dal prestatore, che non conosce né controlla le informazioni memorizzate e
trasmesse. Di conseguenza, deve essere distinto da tali casi quello del provider attivo,
ossia il soggetto che commette illeciti come qualsiasi altro soggetto di diritto con la
peculiarità di servirsi del mezzo della rete: il comportamento di tale soggetto sarà valutato
in base alle ordinarie regole di responsabilità civile come tutti gli altri soggetti, senza
alcun esonero o regime di favor. 

La difficoltà consiste nell’individuare le circostanze in base alle quali si possa parlare di
provare attivo rispetto ai contenuti.

Nel corso degli anni si assiste da orientamenti diversi, talvolta la giurisprudenza ha
individuato l’host provider attivo in un soggetto che si
differenzia dal content provider, in quanto non compie
Al riguardo, va rilevato
una selezione di contenuti, e dal provider passivo, dal
come in realtà gli algoritmi
momento che non svolge mero deposito e non esercita
analizzano la descrizione
un ruolo completamente passivo e neutro rispetto
fornita dall’utente e non i
all’organizzazione e alla gestione dei contenuti immessi
contenuti e, di
dagli utenti: compie una selezione automatica dei
conseguenza, non
contenuti, offrendo servizi aggiuntivi e traendone anche
permettono di conoscere
un sostegno finanziario, in ragione dello sfruttamento
contenuti illegittimi.
pubblicitario connesso alla presentazione organizzata
dei contenuti, come nel caso di Youtube.

Nella disciplina relativa alla responsabilità del provider deve essere tenuta in debita
considerazione anche la protezione dei dati personali degli utenti, che non mancano di
venire in gioco in contrapposizione alla tutela della proprietà intellettuale.

Caso di studio: la vicenda Vivi Down

L’associazione Vivi Down aveva avviato un procedimento penale in relazione al contenuto

di un video, caricato all’insaputa del soggetto, apparso su Google video, servizio di
Internet Hosting, in cui compariva un minorenne, affetto dalla sindrome di Down,
vessato e umiliato dai compagni con frasi ingiuriose nei suoi confronti e nei confronti
dell’associazione Vivi Down: aveva sporto querela anche il padre del ragazzo vessato nel
video. Alcuni utenti avevano segnalato la presenza del video chiedendone la rimozione
che successivamente veniva chiesta dalla Polizia Postale: in quello stesso giorno il
provider aveva avviato la procedura di rimozione del video.

Il procedimento ha visto come imputati i responsabili di Google Italia s.r.l accusati, fra
l’altro, di violazione della normativa in materia di protezione dei dati personali perché
avevano proceduto al trattamento di dati personali in violazione degli articoli 23, 17 e 26
del decreto legislativo 196/2003 con danno della persona interessata e per l’omissione,
da parte dell’internet provider, dell’informativa sulla privacy in sede di attivazione
dell’account necessario per eseguire l’upload dei contenuti.

In primo grado il Tribunale di Milano, IV sezione penale ha ritenuto responsabili gli

imputati dei reati loro contestati, in quanto avevano omesso “un obbligo di corretta
informazione agli utenti dei conseguenti obblighi agli stessi imposti dalla legge, del necessario
rispetto degli stessi, dei rischi che si corrono non ottemperandoli”.

Il Tribunale, pur ritenendo inesistente un obbligo di controllo preventivo delle informazioni

da parte del provider, ha ritenuto che esista un dovere di corretta informazione in
relazione agli obblighi previsti dalla legge.

In secondo grado la Corte d’Appello di Milano, I sezione penale ha riformato la

sentenza e ha assoluto i vertici di Google Italia dal trattamento illecito dei dati. La
pronuncia, pur riconoscendo al provider la qualifica di host attivo non ritiene si possa far
derivare da questo un obbligo di controllo preventivo in capo al provare del materiale
immesso, obbligo inesigibile per l’enorme mole di dati e la complessità tecnica di
predisporre una tecnologia efficace in grado di filtrare le informazioni illegali e nocive,
senza bloccare informazioni perfettamente legali e rischiando di alterare anche la stessa
funzione della rete.

Secondo la Corte, a differenza del primo grado, nessuna delle disposizioni impone
all’Internet Provider “di rendere edotto l’utente circa l’esistenza ed i contenuti della legge
della privacy, pertanto quanto sostenuto in sequenza, anche se di “buon senso”, non si ritiene
possa essere condiviso”.

La Corte di Cassazione, III sezione penale ha confermato l’assoluzione dei manager di

Google, negando l’esistenza di un obbligo generale di sorveglianza dei dati immessi da
terzi sulla piattaforma e di un dovere di informare costoro circa il necessario rispetto della
normativa in materia di protezione dei dati personali. 

Tra i motivi di impugnazione del ricorso per Cassazione viene sollevata l’erronea
applicazione della normativa sul commercio elettronico, ritenendo che la qualificazione
come host attivo di Google Video avrebbe dovuto comportare l’esclusione della
limitazione di responsabilità. Nella loro difesa gli imputati avevano eccepito che all’epoca
dei fatti non esisteva una tecnologia di filtraggio preventivo atta ad identificare in modo
automatico i contenuti eventualmente illeciti di un video e una vigilanza al riguardo
risultava inesigibile: inoltre, si rileva da parte degli imputati la mancata conoscenza
dell’esistenza di dati personali in uno dei molteplici video caricati e, di conseguenza,
viene sostenuta l’applicabilità della normativa sul commercio elettronico. 


La Corte di Cassazione, dopo aver ricostruito le normative in materia di protezione dei

dati personali, in materia di commercio elettronico e dopo aver richiamato gli articoli 16 e
17 del decreto legislativo 70/2003, conclude che “nessuna di esse prevede che vi sia in
capo al provider, sia esso anche un hosting provider, un obbligo generale di sorveglianza dei
dati immessi da terzi sul sito da lui gestito. Nè sussiste in capo al provider alcun obbligo
sanzionato penalmente di informare il soggetto che ha immesso i dati dell’esistenza e della
necessità di fare applicazione della normativa relativa al trattamento dei dati stessi”. 

Secondo la Cassazione “il gestore del servizio di hosting non ha alcun controllo sui dati
memorizzati, né contribuisce alla loro scelta, alla loro ricerca o alla formazione del file che li
contiene, essendo tali dati interamente ascrivibili all’utente destinatario del servizio che li
carica sulla piattaforma messa a sua disposizione”.

L’articolo 16 del decreto legislativo 70/2003 prevede che l’hosting provider non sia
responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, alla
condizioni imposte dalla norma: la responsabilità viene basata sull’effettiva conoscenza
dei dati immessi e sull’eventuale inerzia nella rimozione delle informazioni conosciute
come illecite. Tale interpretazione trova conferma nel tenore letterale dell’articolo 17 del
decreto legislativo 70/2003 che “esclude la configurabilità di un obbligo generale di
sorveglianza sulle informazioni trasmesse o memorizzare e di un obbligo generale di ricercare
attivamente eventuali illeciti”.

Inoltre, secondo la Cassazione sono “gli utenti ad essere titolari del trattamento dei dati
personali di terzi ospitati nei servizi di hosting e non i gestori che si limitano a fornire tali
servizi” e, di conseguenza, “la persona che può essere chiamata a rispondere delle violazioni
delle norme sulla protezione dei dati personali è sempre il titolare del trattamento e non il
mero hosting provider in quanto, finché il dato illecito è sconosciuto al service provider,
questo non può essere considerato titolare del trattamento. Quando il provider sia a
conoscenza del dato illecito e non si attivi per la sua rimozione o per renderlo inaccessibile,
esso assume a pieno titolo la qualifica di titolare del trattamento ed è destinatario dei precetti
e delle sanzioni penali del Codice Privacy”.

La Cassazione ricostruisce la posizione di Google Italia s.r.l e dei suoi responsabili,

imputati, quale mero Internet host provider, soggetto che si limita a fornire una
piattaforma sulla quale gli utenti possono liberamente caricare i loro video, del cui
contenuto restano gli esclusivi responsabili.

8. Il crimine al tempo della rete: reati informatici e cybercrimes

Tecnologie informatiche e diritto penale

Come tutte le tecnologie, anche le tecnologie informatiche sono neutrali: gli strumenti
informatici possono essere impiegati per affermare così come per negare l’esercizio di un
diritto. Ovviamente, maggiore è il potenziale di una certa tecnologia, maggiori sono i
vantaggi che essa offre, e maggiori sono le conseguenze negative che possono risultare
dal suo impiego. É innegabile che i moderni dispositivi digitali offrano enormi vantaggi:
per loro stessa natura, questi strumenti offrono inaudite opportunità anche per chi voglia
impiegarli per finalità criminose.

Per fronteggiare il fenomeno della criminalità informatica, la scienza penalistica ha la

possibilità di ricondurre le nuove modalità criminali nell’alveo delle fattispecie incriminate
“classiche”, ma tale opzione non è sempre possibile: in alcuni casi, infatti, condotte che
comunemente non avremmo esitazione a considerare illecite non possono essere
considerate personalmente rilevanti.

Essendo dunque esclusa la possibilità diretta di determinare condotte, in alcuni casi si è

reso necessario l’intervento del legislatore che ha così introdotto nuove fattispecie
incriminatrici: queste ultime corrispondono a ciò che viene indicato con l’espressione di
cybercrimes. Diverse sono state le modalità con cui nei diversi paesi si è intervenuti a
livello legislativo:


A. In alcuni casi si è scelto un metodo “organico” in cui i nuovi reati sono stati inseriti in
atti normativi autonomi.
B. In altri casi il criterio scelto è stato invece “evolutivo”, secondo cui i cybercrimes
sono stati inseriti in un corpus normativo già esistente, integrato con le nuove
disposizioni incriminatrici: questa seconda strada è quella che ha percorso il
legislatore italiano.
Il fenomeno della criminalità informatica ha attirato l’attenzione della dottrina già introno
al 1970. Tuttavia, occorre aspettare gli anni Ottanta per assistere a una effettiva
emersione di pratiche illecite legate all’uso di tecnologie informatiche e al conseguente
interessamento della dottrina penalistica: in quel periodo si verificarono infatti le prime
azioni di hacking e alcuni esperti di programmazione diedero avvio alla creazione di virus
e di malware di ogni genere. 

Alla fine degli anni Ottanta, il Consiglio d’Europa avvertì l’esigenza di affrontare Loa
questione della criminalità informatica, arrivando ad approvare la raccomandazione 89/9
del Comitato Direttore per i Problemi Criminali (CDPC). Tale atto riportava la
cosiddetta “lista minima”: un elenco di fattispecie criminose che il Consiglio indicava ai
Paesi membri come urgentemente bisognose di un riconoscimento giuridico. Più
precisamente, la raccomandazione 89/9 proponeva l’introduzione in tutti i Paesi membri
di alcuni reati quali la frode informatica, il falso informatico, il danneggiamento dei
dati e dei programmi informatici, l’accesso abusivo, la riproduzione non autorizzata
di software, il sabotaggio informatico.

Il legislatore italiano ha accolto l’indicazione con la legge

547/1993 con cui sono state previste nell’ordinamento giuridico È solo con questo
italiano alcune nuove figure criminose, introdotte dagli articoli intervento
normativo che i
615-ter, quater e quinquies / 617-quater, quinquies e sexies /
reati informatici
635-bis / 640-ter del codice penale. Inoltre, la legge 547/1993
sono entrati di fatto
in alcuni casi ha riadattato, aggiornato o integrato in vario modo
nell’ordinamento
fattispecie penali già esistenti.

giuridico italiano.
Le disposizioni del 1993 sono state successivamente oggetto
di intervento di aggiornamento da parte della legge 48/2008
con cui l’Italia ha ratificato un accordo internazionale: la Convenzione sulla criminalità
informatica, firmata a Budapest il 23 Novembre 2001.

I reati informatici previsti dall’ordinamento giuridico italiano

Elementi fondamentali di alcuni dei reati introdotti dalla legge 547/1993 e poi dalla legge
48/2008.

A. ARTICOLO 615-TER DEL CODICE PENALE


Uno dei punti centrali dell’intervento del 1993 è il reato di “accesso abusivo ad un
sistema informatico o telematico” di cui all’articolo 615-ter. 

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa
(“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da
misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il
diritto di escluderlo, è punito con la reclusione fino a tre anni”), si procede invece
d’ufficio negli altri casi previsti. 

Il legislatore ha inoltre posto particolare attenzione ai casi in cui oggetto della
condotta illecita siano sistemi informatici di interesse militare oppure relativi
all’ordine pubblico, alla sicurezza pubblica, alla sanità, alla protezione civile o
comunque di interesse pubblico: in tali casi la pena è la reclusione da uno a cinque
anni e da tre ad otto anni. 

L’articolo 615-ter prevede un reato di mera condotta configurato da due forme
tipiche: l’introduzione abusiva in un sistema protetto da misure di sicurezza e la
permanenza in esso senza autorizzazione dell’avente diritto. Per quanto riguarda
 l’elemento soggettivo, è richiesto il dolo generico, non rilevando gli scopi e le
finalità che abbiano motivato l’ingresso o la permanenza non autorizzata nel sistema. 



Tanto la collocazione dell’articolo all’interno del Codice quando la costruzione
sintattica e semantica delle norma, denunciano la connessione di questa fattispecie
con la violazione di domicilio (articoli 614 e 615 del Codice Penale): l’articolo 615-
ter può essere infatti considerato un delitto contro l’inviolabilità di quel “domicilio
informatico” che sarebbe rappresentato dai sistemi informatici intesi come
espansione ideale del bene protetto dall’articolo 14 della Costituzione.

• Commette dunque reato chi, per esempio, accede alla casella di posta elettronica altrui
senza il consenso del titolare. Il reato è configurabile anche nel caso in cui il soggetto sia
abilitato ad accedere al sistema e tuttavia abbia violato le prescrizioni impartite dal titolare
del sistema per delimitarne l’accesso. 




B. ARTICOLO 615-QUATER DEL CODICE PENALE 


L’articolo 615-quater prevede il reato di “detenzione e diffusione abusiva di codici
di accesso a sistemi informatici o telematici”.

Anche in questo caso la norma punisce la mera condotta, senza riguardo al
verificarsi di un determinato eventi. Per quanto riguarda l’elemento soggettivo, il
reato sussiste in caso di dolo specifico, vale a dire in presenza di una precisa volontà
di procurare a sé o ad altri un profitto, oppure di arrecare ad altri un danno: come per
il 615-ter anche qui il sistema informatico deve essere protetto da misure di
sicurezza, la cui assenza esclude la punibilità. 

• Esempio di una condotta punibile è quella di chi, ricevuti i codici di carte di credito
abusivamente scaricati da un sistema informatico, li inserisce in carte di credito clonate al
fine di prelevare successivamente senato contate attraverso il sistema bancomat. 


C. ARTICOLO 615-QUINQUIES DEL CODICE PENALE 


L’articolo 615- quinquies rubricato “diffusione di apparecchiature, dispositivi o
programmi informatici diretti a danneggiare o interrompere un sistema
informatico o telematico” punisce la creazione, la detenzione e la diffusione di
programmi rientrati sotto la categoria di virus informatici o di malware in generale,
nonchè di componenti hardware in grado di danneggiare sistemi informatici o
telematici. Il testo attualmente vigente è stato modificato con la legge 48/2008: in
precedenza il reato si configurava esclusivamente mediante la diffusione dei suddetti
prodotti informatici dannosi. Inoltre, il nuovo testo non ritiene sufficiente il dolo
generico e quindi il fatto è punibile soltanto se commesso col preciso scopo di
danneggiare illecitamente un sistema, le informazioni, i dati o i programmi in
esso contenuti.

• Rientra nella fattispecie punita la condotta di chi manipoli un software in maniera tale
che compia azioni non volute dall’utente, contro la volontà dell’utilizzatore e con lo scopo
di danneggiare il sistema. Tale era “Vierika”, un malware che veniva allegato a messaggi di
posta e, se seguito, interveniva sulla configurazione del sistema operativo Windows,
riducendo al minimo il livello di protezione del browser Internet Explorer e inserendovi una
home page predefinita diversa da quella impostata dall’utente: nel momento in cui
l’utente si collegava ad internet e apriva il browser veniva lanciato uno script che creava
un file che veniva inviato agli indirizzi email contenuti nella rubrica del client di posta
elettronica del sistema operativo infettato”.

D. ARTICOLO 617-QUATER DEL CODICE PENALE

L’articolo 617-quater prevede il reato di “intercettazione, impedimento o
interruzione illecita di comunicazioni informatiche o telematiche”: esso tutela
dunque le comunicazioni relative ad un sistema oppure intercorrenti tra più sistemi. 

La condotta punita si sostanza nella intercettazione fraudolenta di dette
comunicazioni, oppure nel loro impedimento o interruzione: per quando riguarda
l’elemento soggettivo è richiesto il dolo generico.

• Quale esempio del reato si può individuare la condotta dell’amministratore di sistema
che predisponga un software appositamente finalizzato alla intercettazione delle
comunicazioni di posta elettronica tra gli utenti del sistema. 


E. ARTICOLO 617-QUINQUIES DEL CODICE PENALE


L’articolo 617- quinquies prevede la “installazione di apparecchiature atte ad
intercettare, impedire o interrompere comunicazioni informatiche o
telematiche”: la condotta qui si limita alla installazione degli apparecchi atti ad
intercettare, impedire o interrompere le comunicazione relative a un sistema o tra più
sistemi. Il legislatore ha voluto dunque punire anche la semplice istallazione di tali
apparecchi: qualora questa condotta si concretizzasse nella fattispecie di cui
all’articolo 617-quater non si avrebbe dunque concorso tra i due reati ma
assorbimento nella fattispecie più grave.

• Per esempio, integra il reato di cui all’articolo 617-quinquies del codice penale, la
condotta di chi, al posto del pannello originario, installi su uno sportello bancomat
un’apparecchiatura capace di memorizzare i codici digitati, quando non vi sia prova certa
dev’intercettazione di almeno un codice identificativo. 

• Oppure, pensiamo al caso in cui venga installato uno “skimmer” che consenta di
intercettare i dati della banda magnetica della carta di credito utilizzata presso uno
sportello bancomat, mentre una microtelecamera nascosta registra la digitazione del
codice segreto sulla tastiera. Qualora questi dati, astrattamente idonei a ottenere carte
clonate abilitate al pagamento o al prelievo di denaro contante, non vengano utilizzati, si
configura il reato di cui all’articolo 617-quinquies, in caso contrario si avrà il reato ex
articolo 617-quater. 


F. ARTICOLO 617-SEXIES DEL CODICE PENALE 


L’articolo 617-sexies disciplina la “falsificazione, alterazione o soppressione del
contenuto di comunicazioni informatiche o telematiche”: in delitto qui sanzionato
ha affinità con il falso materiale, concernente in questo caso un documento
informatico ma la fattispecie qui configurata è diversa in quanto disciplina il caso
speciale di un documento oggetto di comunicazione.

Per quanto riguarda l’elemento soggettivo il testo indica chiaramente il dolo
specifico.

• Questo reato è configurabile in una delle tipiche condotte con cui si realizza il “pishing”
e, in particolare, nella falsificazione di comunicazioni di istituti di credito che mirano a
carpire i codici relativi a servizi finanziari online. 


G. ARTICOLO 635-BIS DEL CODICE PENALE 


L’articolo, il cui testo originario è stato modificato dalla legge 48/2008 è rubricato
“Danneggiamento di informazioni, dati e programmi informatici”: il bene tutelato
coincide non col sistema informatico ma con le informazioni, i dati e i programmi ivi
contenuti. L’elemento materiale è costituito dal mero danneggiamento del sistema,
da una condotta dunque finalizzata ad impedire che il sistema funzioni: l’articolo 635-
 bis dispone la procedibilità a querela della persona offesa, sostituita da quella
d’ufficio in caso di ricorrenza delle circostanze aggravanti. 

Nel testo si fa riferimento tanto alla distruzione quando alla cancellazione di dati: in
un altro contesto i due termini potrebbero indicare due condotte sostanzialmente
indistinguibili. In riferimento ai dati informatici la cancellazione è distinta dalla
distruzione in quanto quest’ultima indica un’eliminazione definitiva dei dati.

Il legislatore ha voluto dunque punire anche la condotta che comporta la sola perdita
temporale di dati che possono essere in seguito ripristinati. 


H. ARTICOLO 635-TER DEL CODICE PENALE


L’articolo 635-ter prevede un caso aggravato rispetto al precedente, il
“danneggiamento di informazioni, dati e programmi informatici utilizzati dallo
Stato o da altro ente pubblico e comunque di pubblica utilità”: la norma, introdotta
dalla legge 48/2008 tutela l’ordine pubblico rispetto ad atti diretti contro sistemi
informatici di pubblica utilità e contro dati, informazioni e programmi in essi contenuti.

Il reato è perseguibile d’ufficio e, per quanto riguarda l’elemento soggettivo,
richiede il dolo generico.

Il bene che qui viene difeso è l’interesse collettivo all’integrità dei dati di rilievo
pubblico: in quanto tali, ad essi viene accordata una tutela rafforzata rispetto a quella
di cui all’articolo 635-bis. Infatti, non viene punito qui soltanto chi distrugge, cancella
o altera i dati ma anche chi commette un fatto diretti a distruggere, cancellare o
alterare i dati.

La pena è aumentata se il fatto viene commesso con violenza alla persona o con
minaccia ovvero si sia realizzato con abuso della qualità di operatore del sistema.


I. ARTICOLO 635-QUATER DEL CODICE PENALE


L’articolo 635-quater prevede il “danneggiamento di sistemi informatici o
telematici” e costituisce una autonoma fattispecie costruita a partire dall’articolo
635-bis. La norma è stata introdotta dalla legge 48/2008, mentre il comma due è
stato novellato dall’articolo 2 della legge 7/2016: il reato è procedibile d’ufficio e per
quanto riguarda l’elemento soggettivo è richiesto il dolo generico.

Il delitto che viene qui configurato è inquadrabile come reato a forma vincolata, il cui
obiettivo è la distruzione o il danneggiamento non di dati e informazioni ma di sistemi
informatici nel loro complesso: l’oggetto del delitto è infatti costruito dal complesso
di apparecchiature interconnesse o collegate tra loto, in cui una o più di esse effettui il
trattamento automatico di dati mediante un programma.

È interessante notare come il legislatore abbia dato coperture tanto ai casi in cui in
sistema viene danneggiato o reso irreversibile quando ai casi in cui di questi venga
ostacolato gravemente il funzionamento.

• La formulazione adottata può quindi punire anche un attacco attuato per mezzo di una
botnet, ad esempio un DDoS (Distributed Denial of Service) capace di fare esaurire le
risorse di un sistema a cause di un numero di richieste talmente elevato da renderlo
incapace di erogare i servizi richiesti. 


J. ARTICOLO 635-QUINQUIES DEL CODICE PENALE 


L’articolo 635-quinquies prevede il “danneggiamento di sistemi informatici o
telematici di pubblica utilità” e rappresenta un’ipotesi aggravata rispetto al reato ex
articolo 635-quater, in confronto del quale assicura, di conseguenza, una tutela
rafforzata che si manifesta nella punibilità anticipata alla fase del tentativo. 

 La condotta consiste nel compimento di atti diretti al danneggiamento di un sistema
informatico o telematico di pubblica utilità: anche in questo caso si ha un reato a
consumazione anticipata, che viene perfezionato con il compimento dell’azione. 

Per quanto riguarda l’elemento soggettivo è richiesto il dolo generico.

Analogamente a quanto previsto a proposito dell’articolo 635-ter, il comma 2
sanziona il caso in cui si verifichi l’esito lesivo, mentre un aggravamento della pena è
previsto dal comma 3 qualora il fatto sia commesso con violenza alla persona o con
minaccia ovvero con l’abuso della qualità di operatore del sistema. 


K. ARTICOLO 640-TER DEL CODICE PENALE 


L’articolo 640-ter del codice penale prevede la “frode informatica”, la cui lettura
indica due condotte alternative:

a) Da una parte si ha l’alterazione del funzionamento di un sistema.

b) Dall’altra si ha l’intervento sui dati, informazioni e programmi contenuti in un
sistema: in questo secondo caso è da sottolineare come l’intervento debba essere
“senza diritto”, espressione che comprende sia l’assenza del consenso del titolare
dei dati, sia di ogni modalità non consentita da norme giuridiche. 



Uno dei problemi interpretativi sorti a proposito dell’articolo 640-ter riguarda la sua
correlazione con la truffa: rispetto all’articolo 640, il 640-ter non richiede l’induzione
in errore di un soggetto attraverso artifizi o raggiri. 

Dottrina e giurisprudenza si sono indirizzate verso un’interpretazione che non
considera rilevante, ai fini della configurabilità del reato, la cooperazione del soggetto
tratto in inganno: la frode informatica si caratterizzerebbe dunque rispetto alla truffa
in quanto le condotte ad essa riferibili investono un sistema informatico. 



La formulazione adottata dal legislatore risulta ancora ambigua sotto alcuni profili. 

Per riflettere sulla difficoltà di distinguere tra truffa e frode informatica basti citare la
sentenza con cui il Tribunale di Roma ha ravvisato la sussistenza del reato di frode
informatica nel caso di un soggetto che aveva sottratto le credenziali di una carta di
credito al fine di effettuare delle scommesse online, citando, a conforto della propria
decisione, la Corte di Cassazione secondo cui “integra il reato di frode informatica ex
articolo 640-ter del codice penale, la condotta di introduzione nel sistema informatico
delle Poste italiane s.p.a mediante l’abusiva utilizzazione dei codici di accesso personale
di un correntista e di trasferimento fraudolento, in proprio favore, di somme di denaro,
depositate sul conto corrente del predetto”. In casi come questo il discrimine è davvero
incerto: non si sarebbe potuta infatti sostenere la sussistenza del reato di truffa, dal
momento che in questo caso ad essere raggirato è ben più il titolare della carta di
credito piuttosto che il sistema informatico?

Ad aggravare ulteriormente la problematicità applicativa della disposizione sono i casi
che riguardano la clonazione di carte di credito: intorno a questi esiste un vero e
proprio contrasto giurisprudenziale registrato dalla stessa Corte di Cassazione che
ha preso atto della difficoltà di qualificare in maniera univoca l’utilizzo indebito di
supporti magnetici clonati, potendo essere con validi motivi ricondotto tanto
all’articolo 55 del decreto legislativo 231/2007 (indebito utilizzo di carte di
pagamento clonate) quanto all’articolo 640-ter del codice penale.

 Al di là dei reati informatici strettamente intesi

Come abbiamo visto, la legge 547/1993 e la legge 48/2008 hanno introdotto alcune
importanti fattispecie di reato, che possiamo ricondurre sotto la comune etichetta di reati
informatici. Il legislatore italiano non poteva tuttavia preventivare l’emersione di
fenomeni criminosi resi possibili dal successivo sviluppo tecnologico: pertanto, se in
alcuni casi era possibile reprimere le condotte direttamente previste dal nostro
ordinamento come reati informatici e in altri casi era ammissibile il ricorso a “fattispecie
classiche”, in altri casi ancora gli strumenti di tutela esperibili erano pressoché
evanescenti. Per ovviare a questo problema il legislatore ha fatto ricorso all’introduzione
di specifiche norme incriminatrici, in alcuni casi situate al di fuori del Codice Penale.

Non sembrano esserci controindicazioni nell’adoperare il termine cybercrimes o “crimini

cibernetici” per individuare una più ampia ed elastica concezione che possa includere gli
illeciti connessi all’uso delle tecnologie informatiche anche al di la dei reati informatici
propriamente detti, che rappresentano elementi di tipizzazione descrittivi di modalità,
oggetti, attività caratterizzati dalla o frutto della tecnologia informatica, vale a dire
implicanti, connesso o relativi a procedimenti di elaborazione automatizzata di dati,
secondo programmi informatici.

La duplicazione abusiva del software è sanzionata ancora nel quadro della legge
633/1941: tuttavia il legislatore ha introdotto un aggiornamento indispensabile con il
decreto legislativo 518/1992, successivamente modificato con la legge 248/2000.

Analogamente, norme penali riferibili a condotte correlate all’uso delle tecnologie
informatiche sono state introdotte dal decreto legislativo 196/2003: pur non essendo
direttamente configurabili come reati informatici, esse disciplinano violazioni delle regole
sul trattamento dei dati personali che nell’assoluta maggioranza dei casi hanno esclusiva
natura informatica.


Sono state invece inserite direttamente all’interno del Codice Penale alcune norme che,
se da un punto di vista formale non rientrano tra i reati informatici, da un punto di vista
sostanziale sono inquadrabili come cybercrimes. In questa prospettiva si può pensare
all’introduzione, nel Codice Penale, degli articolo 600-ter e 600-quater avvenuta con la
legge 269/1998: si tratta di norme che sanzionano rispettivamente la realizzazione,
distribuzione e cessione di materiale pedopornografico e la mera detenzione di detto
materiale. Vengono qui sanzionate anche le condotte aventi ad oggetti immagini
“pseudopornografiche”, realizzate cioè attraverso elaborazioni grafiche e che
prescindono dall’effettivo abuso sessuale di minori.

Caso parzialmente diverso è quello dell’intervento con cui il legislatore ha introdotto nel
nostro ordinamento il reato di “atti persecutori”: la disposizione non allude qui
direttamente all’uso di tecnologie informatiche, che devono essere tuttavia considerate
uno degli strumenti principali con cui lo stalker perseguita le proprie vittime, tanto che è
ben possibile parlare di cyberstalking per individuare la particolare modalità in cui il
delitto di atti persecutori viene commesso con l’impiego di tecnologie informatiche. 

Risulta problematico far rientrare nell’ambito applicativo della norma in oggetto tutta
quella serie di atti che, pur non indirizzati direttamente contro la vittima, costituiscono
“misure di accerchiamento” che pur potendo indurre uno stato di gravissimo disagio
non sempre possono essere sanzionati: per questi motivi è stata la giurisprudenza a
tentare di chiarire i criteri di configurabilità delle condotte di cyberstalking quali
espressioni del reato ex articolo 612-bis, senza riuscire in maniera convincente.

All’interno del Codice Penale ha trovato poi accoglienza l’articolo 270-ter inserito dalla
legge 438/2001: si sono volute così sanzionare le forme di assistenza a gruppi terroristici
predisposte attraverso la fornitura di strumenti di comunicazione di qualsiasi tipo e,
quindi, anche informatici e telematici.

Rimane invece attualmente sprovvisto di una specifica previsione normativa il

fenomeno del cosiddetto cyberbullismo: attualmente infatti in Italia non esiste una
autonoma fattispecie di reato che punisca il bullismo, neppure nella sua forma classica.

Il termine “cyberbullismo” indica una serie di comportamenti accomunati dalla volontà di

prevaricazione, ripetuta nel tempo e attuata mediante strumenti informatici, perpetrata
contro un singolo o un gruppo. Le forme in cui si può esplicare sono moltissime:

A. Il flaming in cui si assiste allo scambio di messaggi elettronici violenti al fine di istigare
una battaglia verbale.

B. L’harassment dove messaggi pesantemente offensivi sono ripetuti a intervalli anche

brevissimi ed emerge una chiara asimmetria di potere tra il cyberbullo e la vittima.

C. La exclusion in cui un soggetto viene espulso da una comunità virtuale pur non
avendo commesso alcuna azione meritevole di essere “bannata”.

D. L’happy slapping in cui si registrano tramite smartphone le percosse a danno di

adolescenti allo scopo di esibire quanto accaduto mediante la condivisione del
filmato.

Ad oggi gli strumenti messi a disposizione della vittima sono ancorati a fattispecie non
adeguate a perseguire efficacemente il contrasto del fenomeno. Il primo promotore della
legge è il padre di Carolina Picchio, una ragazza di 14 anni che si è suicidata nel 2013 a
causa dei continui insulti e delle umiliazioni ricevute a seguito della condivisione su social
network di un video che la ritraeva in stato di semi-incoscienza durante un atto sessuale.

Caso di studio: il phishing

Nel novero degli illeciti che attualmente possono essere sanzionati soltanto attraverso il
ricorso a reati “classici”, il più frequente è quello che viene usualmente chiamato
phishing. Il termine origina probabilmente dalla crasi dei termini “phreaking” che è una
tecnica fraudolente che serviva ad effettuare telefonate gratuitamente e fishing, con
allusione all’attività con cui il phiser tramite un’apposita “esca elettronica” tenta di far
abboccare il malcapitato al fine di fargli rivelare informazioni di vario genere.

La finalità più comune di un phishing è infatti l’aggressione alla sfera patrimoniale altrui
mediante lo sfruttamento di tecniche informatiche e di social engineering.

In questa prospettiva, la fattispecie del phishing potrebbe essere riportate a quella della
truffa o della frode informatica: questa operazione è resa ulteriormente complicata dalle
connotazioni del tutto peculiari di questo illecito. Parte di queste criticità sono legate alla
struttura dell’illecito, che è caratterizzato da due fasi distinte: in un primo momento il
phisher si procura i dati della vittima e, in un secondo momento, utilizza gli stessi per
realizzare un profitto.

1. Comunemente, la prima fase del phishing consiste nell’invio di una comunicazione

contenente un messaggio formulato in modo tale da indurre il destinatario di aprire
un link a una pagine web in cui inserire i propri dati riservati: il mittente fittizio è
 solitamente un istituto di credito, oppure l’Agenzia
delle Entrare, e la pagina che viene aperta è del In un caso come quello
tutto simile a quella “ufficiale” di tali enti. 
 appena descritto, il primo
reato che si perfeziona è
La richiesta di inserimento delle credenziali
quello di sostituzione di
riservate è quasi sempre esplicita e motivata nei
modi più diverse: l’ignaro utente è dunque invitato persona ex articolo 494 del
a digitare le proprie credenziali che, invece di Codice Penale: ciò
percorrere una strada protetta dai protocolli di naturalmente a patto che
sicurezza, imbocca una trasmissione in chiaro che vengano utilizzati gli estremi
viene immediatamente registrata dal phisher.
 identificativi di un mittente
reale, non potendosi
altrimenti configurare l’ipotesi
2. Nella seconda fase di solito il phisher utilizza i dati
di sostituzione illegittima di
fraudolentemente carpiti per introdursi in un’area
persona.
riservata dell’istituto di credito , da cui tenterà di
autorizzare operazioni bancarie a favore di carte
prepagate o conti correnti da lui controllati. 

È del tutto evidente come queste condotte possano configurare non soltanto i già
richiamati reati di cui agli articoli 640 e 640-ter, ma tutta una serie di illeciti presenti
nel nostro ordinamento: l’articolo 491-bis (sui documenti informatici in relazione alla
falsità in scrittura privata) l’articolo 615-ter (accesso abusivo ad un sistema informatico),
l’articolo 617-sexies (falsificazione del contenuto di comunicazione informatica), fino ad
arrivare ai reati comuni come l’articolo 624 (furto), 635 (danneggiamento di
informazioni), 646 (appropriazione indebita) e articolo 167 del Codice Privacy sul
trattamento illecito di dati.

La natura complessa dell’illecito genera una serie di difficoltà applicative notevoli. Un

errore abbastanza frequente, ad esempio, è l’immediata riconduzione del phishing alla
frode informatica: ma nel caso del phishing è tutto da dimostrare che la condotta del
reo si sostanzi in un intervento senza diritto o in un’alterazione del funzionamento del
sistema. Allo stesso modo, la configurabilità del reato nel quadro della truffa “classica” è
tutt’altro che scontata, dal momento che se è il phisher stesso ad entrare nel sistema ed
eseguire operazioni a proprio favore manca quella cooperazione da parte della vittima,
indotta in errore dalla falsa rappresentazione della realtà, che si ritiene invece necessaria
per la sussistenza del reato di cui all’articolo 640 del Codice Penale.

Allo stato attuale, dunque, la qualificazione giuridica di un atto di phishing richiede un
esame dettagliatissimo della condotta del phisher. Occorre inoltre registrare come il
fenomeno sia in continua evoluzione: se inizialmente il phishing mirava quasi
esclusivamente a violare l’area riservata di un istituto di credito, negli ultimi anni si sono
verificati casi di sottrazione di credenziali anche di altra natura.


Inoltre, il phishing può ibridarsi con altre tecniche fraudolente, dando luogo a una fitta
schiera di cybercrimes derivati:

A. Tra le più note di queste varianti si trova il “pharming” che frutta la corruzione del
Domain Name System (DNS) facendo si che l’indirizzo correttamente digitato
dall’utente non venga risolto come dovrebbe, ma conduca all’apertura di una pagina
gestita e controllata dal phisher.


B. Si pensi poi al “tabnabbing”, in cui il phiser sfrutta l’abitudine dell’utente di navigare

aprendo più schede all’interno di un browser, tanto da non ricordare di aver aperto il
sito del proprio istituto di credito ed essere così invogliato ad accedervi.

C. Si hanno varianti assai meno tecnologiche, come il “trashing” in cui la prima fase del
phishing non si svolge sul web ma tramite l’attento setaccio della spazzatura della
vittima prescelta. Esistono inoltre casi in cui, la prima fase del phishing non è attuata
tramite mail ma con una telefonata, di cui si simula l’origine da un call center
autorizzato a chiedere determinate informazioni.


D. Alla famiglia del phishing possono essere riportati anche i casi di Social Network
Poisoning, in cui vengono sfruttati profili falsi per varie finalità: l’obiettivo attualmente
più diffuso è probabilmente quello di “drogare” le recensioni di un prodotto, di un
albergo o di un ristorante, condizionando così chi si avvale di recensioni lasciate da
altri utenti, credendole nature o imparziali. 


E. Infine, può essere considerato una variante del phishing anche il fenomeno in cui sui
impiegati particolari tipi di malware che, installati fraudolentemente sul sistema
operativo della vittima, ne criptano tutti i file richiedendo poi il pagamento di una
somma di denaro a titolo di “riscatto”: peraltro al pagamento non sempre segue una
effettiva operazione di decifrazione dei file.

9. Procedimenti giudiziari e procedure informatiche

Processi e processori

Se il giudice dev’essere terzo e imparziale per poter decidere in maniera giusta non si
può pensare di sostituirlo con un’automa, primo vi passioni e quindi incorruttibile e
infallibile? Avremmo allora un giudice-automa la cui decisone non potrebbe essere
impugnata per la semplice ragione che essendo l’elaboratore più sicuro mai creato,
rispondere all’appellante che nessun giudice-automa ha mai commesso un errore o
alterato un informazione.

Molti sono stati i tentativi di realizzare una “bocca automatica della legge” e più avanza
il progresso tecnologico maggiori sono le aspettative sulla effettiva realizzazione di queste
creature: del resto, se le prime applicazioni informatiche al diritto riguardavano funzioni
ausiliarie, col passare del tempo l’uso dei calcolatori in campo giuridico è diventato
suscettibile di funzioni sempre più sofisticate. Questo discorso ci porterebbe, ovviamente,
a parlare di intelligenza artificiale e diritto ma ci fermeremo al livello “ausiliario” che ha
conosciuto sviluppi notevoli negli ultimi anni.

I processi telematici in Italia

I processi telematici stanno diventando ormai una realtà dell’ordinamento giuridico

italiano. Se è vero che l’unico rito che ha già completato la propria “mutazione
informatica” è il processo civile telematico, non si può negare che il processo
amministrato, tributario e penale telematico abbiano già imboccato, in maniera decisa,
la medesima strada.

Il processo civile telematico (PCT)

Il processo civile telematico (PCT) rappresenta uno dei momenti fondamentali in cui si è
articolato un complesso piano di e-Government con cui lo stato italiano ha promosso la
realizzazione e la diffusione di sistemi di gestione digitalizzata del proprio apparato: con
specifico riferimento all’amministrazione della giustizia, l’uso innovativo delle tecnologie
informatiche viene più propriamente chiamato e-Justice.

La spinta decisiva che consentisse di svolgere una “attività giudiziale telematica” va

individuata nell’esigenza di porre un argine all’annoso problema della “lentezza” che
affligge il contenzioso civile.

È possibile individuare due momenti fondamentali di questa rivoluzione digitale:

1. Il primo è il decreto presidenziale 123/2001 che ha dettato le coordinate essenziali

per la digitalizzazione del processo civile.

2. Il secondo è rappresentato dal decreto legge 193/2009 e dal decreto ministeriale

44/2011: tali atti normativi si sono inseriti in un quadro assai più complesso, che ha
preso le mosse dalla cosiddetta legge Bassanini per arrivare, attraverso il CAD, fino
alle più recenti disposizioni in tema di regole tecniche, norme di trasmissione degli atti
informatici, indicazioni in materia di pagamenti telematici e così via.

Nel contesto così delineato sono state quindi gradualmente sviluppate le infrastrutture del
processo civile telematico (PCT) che, dopo una prima serie di sperimentazioni, hanno
trovato un assetto definitivo a conclusione dell’iter disposto dalla legge 221/2012.

Il 30 Giungo 2014, il PCT ha esaurito la sua fase sperimentale, ponendo l’obbligo del
deposito telematico dei ricorso per decreto ingiuntivo e di tutti gli altri atti civili depositati
dal legale successivamente alla costituzione in giudizio: prima di tale data il processo
civile telematico era facoltativo e concretamente attuabile soltanto presso alcuni uffici
giudiziari specificatamente individuati.

Nella prima fase sperimentale si era proceduto con un sistema a “doppio binario”, in
cui il deposito cartaceo con valore legale era affiancato da un deposito telematico
privo del medesimo valore. L’ufficio giudiziario che ne faceva richiesta poteva essere
ammesso anche al sistema delle comunicazione e notificazioni telematiche con
valore legale da parte della cancellerie ai soggetti abilitati esterni, in particolare agli
avvocati. Successivamente si è passati ad un “binario unico”, attribuendo valore legale
al deposito telematico degli atti di parte e dei provvedimenti del giudice: la procedura
telematica è stata poi estesa al contenzioso di lavoro, alla volontaria giurisdizione, alle
esecuzione e alle procedure concorsuali.

L’obbligatorietà del PCT è stata però disposta solo con la legge 221/2012, con effetti a
partire dal 30 Giugno 2014. Da tale data il PCT è diventato obbligatorio riguardo agli atti
endoprocessuali, anche per quanto riguarda i procedimenti civili contenziosi, di
volontaria giurisdizione, esecutivi e concorsuali di fronte ai Tribunali.

Con il successivo decreto legge 90/2014 è stato chiarito che l’obbligatorietà del PCT era
limitata agli atti endoprocessuali dei procedimenti iniziati di fronte ai Tribunali ordinari dal
30 Giugno 2014 in poi. Per quanto riguarda gli atti endoprocessuali dei procedimenti
iniziati prima di tale, il PCT è stato reso obbligatorio a partire dal 31 Dicembre 2014.

Il nuovo sistema comprende un’ampia gamma di attività:

A. La prima e la più elementare è la consultazione online di documenti, dati e

fascicoli dei procedimenti in svolgimento presso gli uffici giudiziari da parte dei
soggetti abilitati.

B. Il PCT consente anche il cosiddetto “deposito telematico”, avente valore legale di
atti giudiziari firmati digitalmente e inviati d’ufficio giudiziario col mezzo della
“busta telematica”: si tratta di una busta cifrata con cui vengono trasmessi atti e
documenti che vengono conservati nei registri della cancellerei in un “fascicolo
informatico” che potrà essere consultato dalle parti.

Il sistema include la possibilità di inviare comunicazioni e notificazioni in corso di
causa da parte degli uffici giudiziari e indirizzate ad avvocati e consulenti tecnici. Di
tale invio viene generata una ricevuta informatica che è inserita e conservata nel
fascicolo.

C. Vi è inoltre la possibilità di effettuare il pagamento telematico dei diritti di

cancelleria e del contributo unificato.

Per sviluppare l’apparato necessario a gestire questi

servizi si è resa necessaria la creazione di enti e figure la La figura di riferimento è il
cui organizzazione è disposta dal decreto ministeriale Responsabile per i
44/2001: questo atto ha disposto che i sistemi sistemi informativi
informatici del “dominio giustizia” siano strutturati in automatizzati (S.I.A) del
conformità al CAD, al Codice Privacy e a specifiche Ministero della Giustizia.
disposizioni tecniche in materia di sicurezza dei dati. 

I dati sono custoditi in infrastrutture informatiche
interconnesse con un sistema gestito direttamente dal Ministero della Giustizia: ogni
attività viene svolta dai soli soggetti autorizzati, che si autenticano attraverso “punti di
accesso” gestiti dagli enti appositamente individuati (Consigli degli ordini professionali,
Consiglio nazionale forense, Consiglio nazionale del notariato, Avvocatura dello Stato etc.)

Non sono ovviamente mancati problemi applicativi, tecnici e giuridici: basti pensare al
caso in cui una parte è stata condannata a una sanzione di dodicimila euro per non aver
depositato una “copia di cortesia” in formato cartaceo di un atto depositato
telematicamente, violando il Protocollo d’Intesa tra il Tribunale di Milano e l’Ordine degli
Avvocati di Milano, così “rendendo più gravoso per il Collegio esaminarne le difese”.

Il processo amministrativo telematico (PAT)

Questo indirizzo è stato proseguito dal legislatore con la previsione dell’esercizio

telematico della giurisdizione amministrativa: è soltanto negli ultimi anni che, per il
tramite del Codice del procedo amministrativo, l’iter di attuazione del PAT è stato
finalmente definito.

Tra gli atti normativi di riferimento è opportuno ricordare il decreto

legislativo 104/2010, il fondamentale decreto del presidente del Un punto di forza
consiglio dei ministri 40/2016, il decreto legge 117/2016, il del PAT è l’aver
decreto legge 168/2016 e infine il decreto 106/2016 del esteso
Segretario Generale della Giustizia amministrativa. l’obbligatorietà del
In breve il decreto del presidente del consiglio dei ministri deposito telematico
40/2016 ha varato le regole tecnico-operative indispensabili per di tutti gli atti da
parte di tutte le parti
l’attuazione del PAT, il cui avvio è stato posticipato dal decreto
del processo.
legge 117/2016 al 1 Gennaio 2017, in modo da consentire
un’adeguata sperimentazione: il PAT è diventato dunque obbligatorio per tutti i
procedimenti iscritti a ruolo prima di tale data mentre per quanto riguarda i processi
incardinati prima dell’1 Gennaio 2017 si proseguirà con i depositi cartacei.

L’informatica forense e la digital evidence

L’uso delle tecnologie informatiche nei procedimenti giudiziari riveste un interesse del
tutto particolare in riferimento all’acquisizione delle “prove digitali”: tali elementi
probatori rilevano ai fini dell’accertamento non soltanto di un reato informatico, ma di
qualunque tipologia di reato.

Ad occuparsi di questo problema è una disciplina individuata dapprima col nome di

“computer forensics” e che attualmente si preferisce chiamare “digital forensics”:
oggetto principale di questa informatica forense è la digital evidence. Con quest’ultimo
termine si individua una qualsiasi informazione generata, memorizzare e trasmessa in
formato digitale e dotata di valore probatorio in un procedimento giudiziario.

I termini electronic evidence e digital evidence sono spesso usati come sinonimi: tale
uso non è del tutto corretto, dal momento che la electronic evidence comprende anche i
dati in formato analogico ed ha una portata più ampia rispetto alla digital evidence.

Nella dottrina anglosassone è inoltre frequente la distinzione tra prova digitale human to
human (ad esempio una mail indiziata da un individuo ad un altro), human to pc (un file
composto con un programma di videoscrittura e salvato su un disco rigido) e pc to pc (i file
di log di un sistema operativo): esistono tuttavia anche “prove miste” create in parte
attraverso un intervento umano e in parte da un calcolatore (un foglio di calcolo in cui i dati
vengono inseriti da un essere umano ma che produce risultati elaborati automaticamente dal
computer). Rilevante è anche la distinzione tra prove digitali consistenti in dati volatili
che sono facilmente alterabili e prove digitali consistenti in dati non volatili, che sono
invece conservati in memorie di massa e pertanto non vengono perduti in caso di
spegnimento del dispositivo che li ospita.

Tra le caratteristiche della prova digitale viene ricordata la sua “immaterialità” ma

anche la sua promiscuità, in quanto le prove digitali possono essere frammiste a dati del
tutto irrilevanti ai fini processuali. La prova digitale ha inoltre una natura “modificabile”,
come dimostra la facilità con cui può essere corrotta o manipolata: a tal proposito è
necessario garantirne l’autenticità anche attraverso l’impiego di specifiche metodologie di
individuazione e di acquisizione.

L’acquisizione della prova informatica deve pertanto essere condotta in modo da

assicurare la massima coerenza fra originale e copia: lo stato in cui viene trovato il
sistema al momento dell’acquisizione determina varie opportunità di azione.

A. L’ipotesi migliore è che il sistema sia spento o scollegato: la relativa modalità di

acquisizione, denominata post-mortem, è quindi orientata all’acquisizione di dati non
volatili.

B. Se invece il sistema dovesse essere trovato attivo o in stand-by, ogni operazione

effettua potrebbe compromettere l’integrità dei tali volatili: in tali casi si dovrà
procedere pertanto ad attività di Live Forensics Analysis. La fase di individuazione e
di acquisizione dovrà essere poi naturalmente seguita da una fase di conservazione e
poi da una fase di analisi.

A dare impulso fondamentale all’inquadramento normativo dei molti problemi legati alla
digital evidence è stato il Consiglio d’Europa, che ha promosso l’adozione della
Convenzione sulla criminalità informatica. La Convenzione, oltre ad individuare
numerosi cybercrimes, detta una lunga serie di disposizioni sull’acquisizione, raccolta e
conservazione dei dati digitali: in particolare, essa impone alle parti aderenti di adottare
dei provvedimenti volti a garantire la conservazione rapida dei dati informatici e di
traffico, anche se detenuti presso terzi, con relativo obbligo in capo al soggetto terzo di
proteggere e mantenere l’integrità dei dati per il periodo di tempo necessario alle autorità
competenti ad ottenere la loro acquisizione. 


La Convenzione di Budapest è stata ratificata dall’Italia con la legge 48/2008 che ha

introdotto l’impiego di tecniche proprie della digital forensics nell’acquisizione della
prova in ambiente informatico o telematico.

Con riferimento alla materia delle ispezioni, per esempio, la legge 48/2008 ha previsto un
allargamento delle attività ispettive previste dall’articolo 244 del codice di procedure
penale, stabilendo che l’autorità giudiziaria possa disporre rilievi segnaletici, descrittivi e
fotografici e ogni altra operazione tecnica “anche in relazione a sistemi informatici o
telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali
e ad impedirne l’alterazione”: si è così introdotta una diversa tipologia di ispezione, avente
ad oggetto i sistemi informatici, che sembra presentare caratteristiche differenti rispetto
alle ispezioni tipiche disciplinate all’interno del codice di procedura penale.

Il nuovo disposto dell’articolo 244 del codice di procedura penale stabilisce infatti la
necessità di adottare misure tecniche dirette ad assicurare la conservazione dei dati
originali, con l’obiettivo di limitare il rischio che una attività invasiva provochi
un’alterazione del sistema o una modifica dei file o del loro contenuto: l’attività che viene
posta in essere sembra qui andare oltre il semplice “sguardo” tipico dell’ispezione, per
arrivare ad un’attività più vicina a quella tipica della perquisizione.

Proprio in materia di perquisizione, la legge 48/2008 ha introdotto all’interno

dell’articolo 247 del codice di procedura penale un nuovo comma in base al quale
“quando vi è fondato motivo di ritenere che dati pertinenti al reato si trovino in un sistema
informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la
perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati
originali e ad impedirne l’alterazione”

La fragilità del dato informatico impone che venga salvaguardata la sua integrità: a tale
scopo le misure tecniche all’uopo finalizzare sono individuabili in strumenti che
impediscono la sovrascrittura dei dati, modalità bit to bit per la clonazione degli
stessi, funzioni crittografiche per verificare la conformità dei dati clonati con quelli
originali.

Il legislatore, attraverso la modifica all’articolo 354 del codice di procedura penale, ha

inoltre previsto in tema di accertamenti urgenti della polizia giudiziaria, che prima
dell’intervento del publico ministero, la polizia giudiziaria sia tenuta alla conservazione
dello stato, dei luoghi e delle cose pertinenti al reato in relazione ai dati, informazioni,
programmi, sistemi informatici o telematici, sia all’adozione di misure tecniche o
prescrizioni necessarie ad assicurarne la conservazione, impedendone l’alterazione e
l’accesso e provvedendo alla loro duplicazione su adeguati supporti.

 Caso di studio: il delitto di Garlasco

Il 13 Agosto 2007, a seguito della segnalazione di Alberto Stati, dure carabinieri in

servizio presso la stazione di Garlasco entrano nell’abitazione della famiglia Poggi e
trovano delle chiazze di sangue in prossimità della scala che conduce alla cantina: in
fondo ai gradini si trova il corpo senza vita di Chiara Poggi.

Fin dai primi momenti viene scartata l’ipotesi che si tratti di una rapina finita male: in casa
non manca nulla e non ci sono segni di effrazione. Nel mirino degli inquirenti finisce subito
il fidanzato di Chiara, Alberto Stasi anche se questi sostiene di essere rimasto a casa
quella mattina per scrivere la tesi di laurea. L’orario del decesso di Chiara è collocato tra
le 10:30 e le 12:00 e la perizia condotta sul computer di Stati sostiene che tra le 9:35 e le
12:20 Alberto è rimasto davanti al computer a lavorare alla tesi: il 17 Dicembre 2009,
Stasi viene assolto. L’8 Novembre 2011 il caso torna in aula per il processo di appello:
l’accusa sostiene che l’omicidio possa essere stato compiuto tra le 9:12 e le 9:35, ovvero
nel lasso di tempo in cui Alberto non era al computer ma il 6 Dicembre 2011 Stati è
assolto anche dalla Corte d’Assise d’Appello di Milano. La Corte di Cassazione ribalta
tutto: la sentenza di secondo grado viene annullata e il processo rimandato alla Corte
d’Assise d’Appello di Milano. È proprio questa corte che ha dichiarato Alberto Stasi
colpevole dell’omicidio di Chiara e viene condannato alla pena di 16 anni di reclusione.

Il pubblico ministero e l’imputato ricorrono nuovamente in Cassazione ma per due motivi

diversi:

A. Il pubblico ministero perché vuole sia riconosciuta l’aggravante della crudeltà.

B. L’imputato per la riconferma dell’assoluzione avuta nei primi due gradi di giudizio.

Il 12 Dicembre 2015 la Corte di Cassazione ha condannato in via definitiva Alberto

Stasi.

Uno degli elementi decisi del processo è l’alibi di Alberto, la cui ricostruzione è affidata
all’analisi del suo computer. Secondo il medico legale la morte di Chiara è avvenuta tra le
10:30 e le 12:00. Alberto Stasi consegna spontaneamente il suo computer, ma solo nel
verbale di sommarie informazioni riferisce di averlo utilizzato per scrivere la tesi di laurea
dalle 10:45 alle 12:20, modificando l’orario in sede di spontanee dichiarazioni,
anticipando di un’ora l’inizio della scrittura. 


Dal momenti in cui Stati ha consegnato il suo computer alla polizia giudiziaria vengono
effettuati ripetuti e scorretti accessi a tutto il contenuto del computer: l’analisi dei
consulenti del pubblico ministero individua infatti molteplici violazioni di regole elementari
della digital forensics. Rilevate queste scorrettezze, i consulenti affermano che dalle
10:17 in poi non vi sono tracce informatiche che possano dimostrare una presenza
umana attiva. Il consulente tecnico di parte afferma invece che il file della tesi è stato
aperto proprio alle 10:17 e che Stati ha lavorato al documento per tutta la mattinata, ma a
causa delle attività non idonee compiute dai carabinieri sul personal computer questa tesi
non è pienamente documentabile.

È certo che gli operatori di polizia giudiziaria avrebbero dovuto operare in presenza di
esperti capaci di suggerire loro le tecniche giuste per la salvaguardia della prova digitale.
Il mancato rispetto dei protocolli già noti, anche se non ancora codificati, dimostra come
sua stato possibile compiere errori di metodo in buona fede.

Durate il primo grado si ritenne necessario nominare un collegio peritale: esso appurò
che gli accessi e gli altri interventi dei carabinieri sul computer di Stasi erano stati
devastanti. Un intervento così invasivo da parte si soggetti non esperti aveva reso
impossibile determinare non solo l’alibi di Stati in maniera incontrovertibile, ma anche
stabilire con certezza il movente addotto dalla pubblica accusa: infatti era diventato
impossibile verificare se la sera prima dell’omicidio fossero state aperte, e quindi
visionate da Chiara, le immagini pedopornografiche che secondo l’accusa erano alla
base del litigio tra i due fidanzati che si è concluso con la morte di Chiara.

I periti sostennero che Stati aveva utilizzato il suo computer anche la sera del 12 Agosto
per scrivere la tesi: mediante l’analisi dei metadati contenuti nel pc, il collegio ha
sostenuto poi la presenza di una attività umana ininterrotta sul computer di Stasi fra le
10:17 e le 12:20 del 13 Agosto.

Il giudice aveva posto al collegio peritale anche un secondo quesito, ovvero se l’imputato
potesse non trovarsi invasa mentre stava lavorando alla tesi: la limitata autonomia del
portatile ha portati ad escludere tale ipotesi. Le ridotte capacità informatiche di stati
hanno inoltre convinto il giudice che non vi fosse stata una astuta falsificazione degli orari.

Quindi è stato confermato l’alibi dell’imitato per un periodo più lungo di quello
inizialmente stabilito: dalle 9:35, ora di accensione del pc, alle 12:20, ora di messa in
stand-by dello stesso

Dopo questa perizia rimanevano senza alibi due periodi di tempo cioè prima delle 9:35 e
tra le 12:46 e le 13:26: intervalli troppo brevi perché Stasi potesse compiere l’omicidio e
percorrere il tragitto tra le due abitazioni.

Il caso di Garlasco dimostra come la digital evidence possa essere di grande aiuto
nella ricostruzione della verità processuale ma anche come sia importante il rispetto di
precisi standard: qualunque sia la verità, l’alibi dell’imputato poteva essere dimostrato
o smentito dai dati contenuti su un supporto informatico che, anche se non
intenzionalmente sono stati irrimediabilmente corrotti.

10. Le grandi sfide attuali e del prossimo futuro

Internet governance: chi governa la rete?

I dati elaborati da un calcolatore e fatti viaggiare nel web sono tutt’altro che
“immateriali”: il mattone su cui tutto si fonda è il bit che, nella sua elementarità, esprime
tutto ciò che è necessario a un processore e cioè una logica binaria con cui
rappresentare la presenza o l’assenza di una carica elettrica.
Ciò che chiamiamo “rete” è uno straordinaria agglomerato di elementi fisici su cui
scorrono bit: anche quando vengono utilizzate comunicazioni wireless, queste sono
trasmesse e ricevute da elementi fisici. Allo stesso modo, il termine cloud altro non indica
che un disco remoto su cui sono salvati i nostri dati e le applicazioni che usiamo: ogni
cloud si riferisce ad un server e ogni server ha un indirizzo ben preciso.

Tutti questi sono elementi spazialmente delfini e, in quanto tali sono collocati sul
territorio di uno Stato.
L’origine di Internet è collocabile storicamente intorno agli anni cinquanta del
Novecento, quando la Guerra Fredda tra Stati Uniti ed Unione Sovietica sollecitò non
soltanto l’ideazione di strumenti d’offesa, ma anche lo sviluppo di nuovi sistemi difensivi:
è in questo contesto che gli Stati Uniti cercano di rendere più sicura la rete telematica
del proprio Dipartimento di Difesa. La rete prevedeva l’uso di unità periferiche collegate
ad un unico centro di elaborazione: un attacco contro l’unità centrale avrebbe quindi
comportato il blocco di tutte le diramazioni del sistema.

Alla vulnerabilità di questa struttura si cercò di sopperire con l’istituzione nel 1958 di un
organismo deputato allo sviluppo di nuove tecnologie per scopi militari: la Advanced
Research Projects Agency che ideò una struttura telematica priva di un’unità centrale e
sviluppata, invece, in nodi interconnessi dotati individualmente di una propria unità di
calcolo e memoria. Questa “rete distribuita” consentiva di minimizzare i danni di un
attacco al sistema, in quanto le sue conseguenze venivano
circoscritte al singolo nodo colpito: venne così realizzata nel
1968 una rete di nuovo tipo denominata Arpanet. Prendeva così vita la
Inizialmente, Arpanet metteva in collegamento quattro sedi prima espressione della
universitarie: per consentire un allargamento della struttura “rete delle reti” che
originaria ed altre reti che nel frattempo erano state formate, successivamente
intorno alle metà degli anni settanta, venne adottato un sarebbe stata l’Internet
particolare protocollo di trasmissione capace di consentire che oggi conosciamo.
lo scambio di dati tra reti diverse attraverso l’attribuzione a
ciascuna macchina di un indirizzo (l’indirizzo IP, appunto).

Per migliorare la gestione delle comunicazioni, venne introdotto il sistema dei “nomi a
dominio”. Si tratta di uno standard che consente di associare ad ogni indirizzo IP una
denominazione in linguaggio naturale: il sistema che converte automaticamente questa
stringa di caratteri in un indirizzo IP prende il nome di Domain Name System (DNS).
Qualora il registro DNS non sia aggiornato o sia corrotto, la richiesta di una determinata
risorsa non potrà essere risolta e quindi un determinato sito non potrà essere aperto: per
questo motivo la gestione del DNS ha natura non esclusivamente tecnica, ma politica.

Allo stesso modo, politicamente rilevante è il sistema multilivello che distingue tra Top
Level Domains, domini di secondo livello o terzo livello.

Com’è facile intuire, questo sistema non può funzionare senza una qualche forma di
coordinamento: il problema è dunque chi gestisce il DNS?


In una prima fase questo compito è stato svolto dalla stessa ARPA, attraverso l’Internet
Assignation Numbers Authority. 

Successivamente si è avvertita l’esigenza di sganciare l’ente che gestiva il DNS da
un’organizzazione direttamente ricollegabile a uno Stato: nacque così nel 1998, l’Internet
Corporation for Assigned Names and Numbers. Questa soluzione ha sollevato sin dal
primo momento la perplessità di diversi attori, convinti che sarebbe stato preferibile
optare per l’istituzione di una agenzia specializzata delle Nazioni Unite: pur non
essendo un’emanazione diretta del governo statunitense, infatti, l’ICANN è assoggettata
al diritto californiano, legata da un contratto di consulenza al Dipartimento del
Commercio degli Stati Uniti d’America.

Il governo statunitense ha sempre sostenuto che questo regime fosse idoneo a garantire
un’adeguata apertura della gestione del DNS a livello internazionale: in questa stessa
direzione sono andati gli interpreti che hanno visto nell’ICANN una delle più limpide
espressioni del Global Administration Law, in cui un ente privato svolge una funzione
pubblica di rilevanza globale.
Peraltro, sembra innegabile che l’influenza governativa sull’ente sia ancora
notevolissima. A confermare questa considerazione può essere utile ricordare la
composizione del Board of Directors dell’ente: nonostante una fase sperimentale in cui
quest’organismo era comporto da membri in larga parte scelti dalla comunità degli utenti
di Internet, il peso di quest’ultima è stato decisamente ridimensionato a favore di attori
non istituzionali ma estremamente rilevanti sul piano economico per l’economia
statunitense. A questo si aggiunga la dipendenza economia dal Dipartimento del
Commercio e la competenza giurisdizionale californiana sull’ente.

Nel contesto della conferenza mondiale dell’International Telecommunication Union

che si è tenuto a Dubai nel 2012, sono risultati due schieramenti opposti:

1. Da una parte i paesi che hanno rimarcato l’esigenza di attribuire le competenze di

gestione del DNS a un organismo realmente internazionale come l’ITU.
2. Dall’altra gli Stati Uniti che hanno sostenuto come l’ICANN sia già un ente universale
capace di svolgere un ruolo di garanzia rispetto alle tendenze di alcuni Paesi di voler
comprimete lo spazio di libertà assicurato attualmente dalla rete.

Cyberwarfare: un altro modo di fare la guerra

La guerra ha subito trasformazioni notevolissime nell’ultimo secolo: ciò non può

sorprendere, se si considera che i mutamenti della guerra sono sempre stati connessi
all’evoluzione delle tecnologie applicate alle esigenze belliche.

Le tecnologie informatiche non hanno soltanto innovato profondamente gli strumenti

“classici” della guerra ma costituiscono esse stesse nello stesso tempo strumento e
obiettivo della guerra. È in quest’ultimo senso che la guerra contemporanea in alcuni casi
diventa una guerra talmente diversa dalle forme precedenti da meritarsi un appellativo
nuovo: cyberwarfare.
Lo spazio cibernetico è diventato uno dei campo di
battaglia su cii si misurano le piccole e grandi potenze. Come ogni guerra,
Dopo la guerra terrestre, quella marina, quella aerea e anche la guerra
sottomarina, arriva dunque il momento di una guerra cibernetica ha lo scopo
combattuta in uno spazio virtuale? A qualcuno l’idea può di colpire obiettivi
forse sollecitare l’immagine di un teatro di guerra ritenuti fondamentali per
immacolato: il grande problema della cyberwarfare sta assicurarsi la vittoria sul
proprio in questa rappresentazione illusoria di una guerra nemico.
meno violente e brutale rispetto allo scontro diretto.

A partire dalla fine della Guerra Fredda, e ancora più dopo l’11 Settembre 2001, la
guerra al terrorismo è diventato l’archetipo di un nuovo tipo di guerra: termini come “uso
della forza”, “guerra al terrorismo”, “intervento umanitario” sono diventati sempre più spesso
ipocriti camuffamenti di un fenomeno che coinvolge le vite di milioni di persone.

Non deve ingannare la circostanza che l’espressione “guerra” sia ormai bandiera dal
lessico giuridico e politico contemporaneo. Le conseguenze di questa rimozione sono
evidenti: la possibilità di non usare apertamente il termine guerra è una risorsa per chi è
in grado di servirsi della guerra stessa.

La guerra negli ultimi vent’anni è così diventata una guerra “globale”: globale perché
despazializzata in senso geopolitico, indefinita a livello temporale e illimitata sul piano
giuridico.

Di questa nuova guerra la cyberwar è l’espressione forse più inquietante.

Le infrastrutture informatiche di ogni Paese sono ormai essenziali tanto per il

funzionamento dello Stato quanto per i servizi erogati a favore della popolazione: in
quanto tali sono obiettivi privilegiati di un attacco cibernetico.

Un esempio che può chiarire questo punto è il caso Stuxnet: questo termine indica un
malware sviluppato al fine di causare un danno finisco a sistemi di controllo di processi
industriali, tipici di grandi impianti come fabbriche, raffineria e così via. Nel 2010 la
centrale nucleare siriana Nataz è stata colpita da un attacco cibernetico tramite
Stuxnet: il “missile informatico” ha provocato la distruzione della sezione centrale adibita
all’arricchimento dell’uranio attraverso l’invio di comandi anomali a più di mille centrifughe
che hanno subito in questo modo un’accelerazione talmente alta da comportarne la
distruzione. Contemporaneamente Stuxnet ha consentito di camuffare i dati di controllo
del sistema, impedendo che il problema venisse avvertito in tempo utile per mettere in
sicurezza l’impianto. Complesso è risalire al soggetto che ha ideato e condotto l’attacco:
secondo le dichiarazioni rilasciate da Edward Snowden nell’ambito del cosiddetto
datagate, il malware è frutto della collaborazione tra intelligence israeliana e l’NSA
statunitense. Altre fonti invece indicano la Cina come responsabile della creazione di
Stuxnet. Sta di fatto che la cyberwar non soltanto non viene dichiarata ma soprattuto
non rende riconoscibile chi sta attaccando.


Dal punto di vista giuridico, centrale è la questione se alla cyberwarfare si applicabile o

meno il diritto internazionale dei conflitti armati. A tentare di rispondere a questo quesito è
stato un gruppo di esperti con la pubblicazione di quello che viene comunemente definito
“Manuale di Tallinn”. Nel 2007, l’Estonia è stata protagonista di quella che viene
ricordata come “Web War One”: per almeno tre settimane i sistemi informatici delle
massime istituzioni politiche, degli istituti finanziari e dei mezzi di comunicazione del
paese baltico sono stati oggetto di un massiccio attacco informatico che ne ha impedito il
regolare funzionamento. L’anno successivo, la NATO ha voluto inviare un segnale dal
chiaro valore simbolico istituendo nella capitale estone il suo quartier generale per la
difesa delle infrastrutture occidentali, il Cooperative Cyber Defence Centre of
Excellence.

Nell’ambito delle attività di questo gruppo di esperti è stata promossa la redazione di un

documento che inquadrasse il problema dell’applicabilità del diritto internazionale alle
operazioni di cyberwarfare: il gruppo di esperti incaricato della ricerca ha individuato 95
regole applicabili alla guerra cibernetica. Secondo le intenzioni degli autori il manuale
deve essere interpretato come un tentativo di limitare il potenziale distruttivo delle
operazioni di cyberwarfare attraverso il loro inquadramento nell’ambito del diritto
internazionale dei conflitti armati vigente.

Queste definizioni non risolvono il problema centrale: quando l’attacco cibernetico

raggiunge un’intensità tale da poter essere considerato uso della forza?
Nel manuale viene proposta una lista di parametri che dovrebbero essere presi in
considerazione per giungere ad una soluzione. Inoltre, considerare un attacco
cibernetico alla stregue di un attacco militare “classico” comporta conseguenze
giuridiche precise: tra queste, una delle più rilevanti, è il riconoscimento allo Stato
aggredito del diritto di reagire con la forza quando l’attacco cibernetico raggiunge il livello
di conflitto armato.

Il Manuale del 2013 è stato aggiornato e ampliato nel 2017: la nuova versione si integra
la precedente con sezioni dedicate specificatamente alla responsabilità degli Stati, al
diritto del mare e al diritto internazionale delle telecomunicazioni.

Per quanto possa essere davvero disinteressato il lavoro degli esperti che hanno lavorato
alle due versioni del Manuale, rimane il fatto che il risultato del loro sforzi è avvertibile
come “NATO-centrico”, non esprimendo le diverse interpretazioni e sensibilità di attori
internazionali fondamentali come Cina e Russia. Questa problematicità è senz’altro
acuita dalla consonanza del Manuale con gli obiettivi fissati dalla Cyber Strategy
elaborata dal Dipartimento di difesa Statunitense negli ultimi i anni: NATO e Stati Uniti
infatti sostengono unanimemente non soltanto che il diritto internazionale si applichi al
cyberspace ma anche che la difesa di quest’ultimo sia inclusa tra i doveri di difesa
collettiva per i quali è stata istituita l’alleanza.

E se dietro la maggioranza di attacchi cibernetici ci sono ancora gli Stati Nazionali,

numerosi sono i casi di operazioni ricollegabili a entità non statuali e, in particolare, a
organizzazioni terroristiche. In questo senso si parla ormai da alcuni anni di
“cyberterrorism” ad indicare gli attacchi che sfruttano le tecnologie informatiche al fine
di generare paura o intimidire una società ritenuta nemica sulla base di un giudizio
ispirato a una precisa ideologia.

Dietro alle difficoltà di qualificazione giuridica di queste operazioni si trova il valore

politico che simili scelte rivestono: includere un determinato soggetto o un ente
collettivo nell’elenco dei “nemici cibernetici dell’umanità” o nella lista nera degli “hacker-
canaglia” è un atto che non rientra nella competenza della scienza giuridica.

Hostis (post)humani generis? Una riflessione sulla pirateria informatica

La storia del diritto è attraversata da un’ampia schiera di personaggi poco

raccomandabili: ad ognuno di questi personaggi il diritto ha riservato un particolare
trattamento, stabilendo determinate conseguenze come punizione della loro condotta. 


“A ciascuno il suo”: una lettura mite potrebbe limitarsi ad interpretare l’espressione

come una giustizia che ricompensa chi bene si è comportato, chi il “suo” lo ha fatto e
merita di tenerselo, chi ha vissuto “onestamente”. Ma è possibile anche una diversa
scelta interpretativa: dare “a ciascuno il suo” può riflettersi anche nel togliere a qualcuno
ciò che non si merita, nel togliere la libertà a chi ha dimostrato di non meritarla
commettendo un crimine. Il massimo livello di negatività del principio “a ciascuno il suo”
è traducibile con le parole di un altro principio che troviamo nel Digesto Giustinianeo e
cioè “vim vi repellere licet”: alla violenza si risponde con la violenza.

Nella lingua del diritto, la violenza di chi punisce non si può chiamare violenza bensì
forza. Sul piano materiale non vi è alcuna differenza qualitativa dei due tipi di violenza,
ma il diritto è lì a dire il contrario qualificando come “forza” la violenza esercitata da chi
detiene la “potestat puniendi”. Al fine di dare “a ciascuno il suo”, ogni ordinamento
giuridico assegna una determinata punizione al criminale in base ad una precisa
tassonomia: maggiore sarà l’inimicizia e maggiora sarà l’esigenza di repressione e quindi
la pena comminata. La storia del diritto conferma che il punto massimo dell’inimicizia è
stato costantemente assegnato a chi, con le proprie azioni o anche solo con il proprio
pensiero, minacciava il potere costituito alle sue fondamenta: si tratta di un “nemico
assoluto”, irrimediabile, non rieducabile, imperdonabile: un nemico che può essere
neutralizzato soltanto attraverso l’esclusione definitiva dalla società umana.

Nella storia del diritto, alla massima figura dell’inimicizia è stata costantemente associata
l’immagine del pirata. Come ha affermato Carl Schmitt è infatti possibile sostenete che
nel mare aperto il pirata rivolgeva le proprie intenzioni predatrici indifferentemente contro
ogni potere costituito: per questa ragione si riteneva che fosse compito comune
dell’umanità combattere la pirateria.

La figura dell’inimicizia assoluta sera attraversando una dilatazione senza precedenti.

Le cause di questa espansione sono molte e complesse, ma hanno in comune un
vettore principale: il costante processo di de-spazializzazione che segna il mondo
contemporaneo.

1. PIRATI DI IERI, PIRATI DI OGGI




Se, quando pensiamo ai pirati, ci vengono in ,ente arrembaggi temerari ed enormi tesori
potremmo non essere poi così delusi dalla pirateria contemporanea: la vecchia pirateria
esiste ancora. Una conferma dell’attualità della pirateria marittima ci è data dalle
numerose incursioni subite da bastimenti commerciali e imbarcazioni provare di ogni
bandiera al largo delle coste somale o indonesiane. La pericolosità di questi fenomeni è
registrata anche dal diritto internazionale: basti pensare alla Convention on the Law of
the Sea, firmata nel 1982 a Montego Bay, che all’articolo 10 definisce questo tipo di
pirateria in termini di atti di violenza, rapimento e depredazione commessi in mare aperto
per fini privati dall’equipaggio di una nave.

A ulteriore conferma è possibile ricordare le Policy for the Repression of Piracy and
Other Criminal Acts of Violence at Sea, emanata dal presidente degli Stati Uniti Gorge
W. Bush nel 2007.

La pirateria colpisce persone e beni che si trovano in mare aperto ma, più in generale “any
other place outside the jurisdiction of any state”. La pirateria marittima è tale perché
colpisce al di là di ogni giurisdizione statuale, al di là del territorio e delle acque territoriali:
per questo motivo la pirateria è un crimine universale e quindi è compito di tutti
reprimerla. 

La Policy statunitense propone un accostamento tra la pirateria e attività come la pesca
illegale, il contrabbando e infine il terrorismo: con il richiamo al terrorismo il cerchio
dell’inamicizia assoluta di chiude.







2. SE IL MARE DIVENTA DI SILICIO



Esiste una sicura continuità della pirateria marittima ma il pirata del XXI secolo, a causa
della scomparsa della chiara distinzione tra terra e mare, condivide con il terrorista
l’appartenenza alla massima figura dell’inimicizia. 

Esiste oggi anche un nuovo tipo di pirateria: alla pirateria marittima si affianca, da alcuni
decenni, quella che viene definita “pirateria informatica”.

Ma se di “pirateria” si parla, in questo caso, non è soltanto perché “pirata” è un termine
che esprime particolare disprezzo ma poichè vi sono dei nessi individuabili partendo dalle
seguenti questioni: dove agiscono? Cosa fanno? Chi sono i pirati informatici?



Dove agiscono i pirati informatici? La risposta è il world wide web: il web è una rete ma
soprattutto un oceano dai contorni indefiniti. Sulla superficie è possibile fare web-
surfing: in rete si naviga e i più temerari non si accontentano e cercano di esplorare le
vastità sommerse della rete (deep-web) facendo web-diving. E, ancora, la liquidità della
rete è richiamata dallo streaming dei dati, dal rischio di flooding (inondazione) di server,
dalla diffusione dei blog, dagli avvertimenti degli istituti di credito sul pericolo del
phishing. A livello iconografico, basti aggiungere che i loghi di due dei più diffusi browser
per la navigazione in Internet richiamano simboli della marineria: il timone di Netscape
Navigator e la bussola di Safari. 



È del tutto ovvio che la diffusione delle nuove tecnologie digitali abbia rappresentato una
grande opportunità per i criminali: che cosa fa il pirata informatico?

Come abbiamo visto, la pirateria marittima è considerata la massima minaccia della
libertà dei mari e, quindi, della libertà di commercio. Un discorso non dissimile riguarda la
pirateria informatica: in questa prospettiva è interessante riflettere sull’origine del
termine inglese piracy. Contrariamente a quanto si potrebbe pensare, il significato
originario della parola non riguardava direttamente la pirateria marittima: il termine fu
coniato nel Seicento da John Fell, vescovo di Oxfrod, che usò il termine per indicare
l’attività di questi stampatori che riproducevano libri senza l’autorizzazione prevista. 

Ancora prima che l’Inghilterra adottasse una specifica
tutela del copyright esisteva infatti un corpus di regole
sviluppate dalla comunità degli editori, stampatori e librai La pirateria come attività
che riguardava i diritti di riproduzione delle opere che lede gli interessi
dell’intelletto. 
 economici connessi alla
Il termine piracy si diffusa rapidamente, e altrettanto proprietà intellettuale ha
rapidamente si consolidò il suo significato di “copyright conosciuto un crescendo:
le tecnologie digitali hanno
infringement”: questa espressione trovò conferma
consentito una diffusione
anche a livello giurisprudenziale. 

capillare degli atti di


pirateria informatica.

Chi sono e che cosa vogliono i pirati informatici? Il
pirata non merita il rango di nemico assoluto, soltanto
perché agisce sul mare e lede gli interessi commerciali:
sono queste le condizioni necessarie ma non sufficienti a integrare la figura suprema
dell’inimicizia. 

Il pirata è tale perché vuole sovvertire l’ordine costituito, vuole colpire gli interessi
commerciali di chi detiene il potere: ma questo è il fine o il mezzo del suo agire? Come
spiega l’etimologia greca del termine, prima di essere il predone del mare, il pirata è “colui
che tenta”, che assalta in maniera rischiosa.

Non stupisce, dunque, che l’obiettivo delle legislazioni contemporanee sia soltanto in
apparenza la tutela della libertà di commercio. 

L’obiettivo della repressione non è tanto quello di scoraggiare le attività di infringement
del diritto d’autore, quanto piuttosto quello di neutralizzare i soggetti più pericolosi, quelli
che predicano il vangelo del copyleft mossi da una insofferenza assoluta verso l’assetto
intellettuale della diffusione della conoscenza.

Gli interessi economici, naturalmente, contano ma qui si tratta di altro. 




Per la prima volta nella storia un cittadino comune può attaccare o paralizzare il sistema
informatico di uno Stato. Gli hackers sono stati così accostati ai pirati e trattati di
conseguenza come soggetti estremamente pericolosi, inseriti in liste diffuse dall’Interpol a
livello planetario, puniti con leggi ad hoc e pene esemplari.

L’offensiva contro i pirati è realmente globale: dagli Stati Uniti arriva fino all’Iran e Cina e
Turchia naturalmente non sono da meno. Fuori concorso è la Corea del Nord, dove
internet praticamente non esiste. Non si è sottratta alla caccia al pirata neppure l’Europa,
naturalmente.

The Pirate Bay è una delle più importanti piattaforme P2P del mondo, i cui server erano
ubicati in Svezia. Nel 2008 i tre gestori della piattaforma sono stati fortemente accusati di
aver violati la normativa svedese sul copyright. Il processo si è concluso in primo e in
secondo grado a un anno di prigione e 5 milioni di euro di risarcimento a favore delle
società danneggiate. Nel 2013, la Corte Europea dei diritti dell’uomo di Strasburgo ha
rigettato il ricorso presentato da due dei fondatori del sito, affermando che i tribunali
svedesi hanno correttamente esercitato il bilanciamento tra il diritto dei ricorrenti di
ricevere e trasmettere informazioni e la necessità di proteggerete i copyright delle società.


È interessante notare che dopo la prima sentenza di condanna più di 25.000 persone
abbiano aderito al Piratpartiet (il Partito Pirata svedese), che sarebbe così diventato il
quarto partito più grande della Svezia, ottenendo così anche un seggio al Parlamento
Europeo.

La figura del “pirata informatico” mostra così la portai ambiguità:

A. da una parte, il pirata viola la legge, sottraendo beni che appartengono ad altri, con o
senza l’intenzione di trarne un arricchimento personale.

B. Dall’altra, il pirata rivendica il ruolo di “partigiano”, di resistente contro l’industria

culturale, contro la visione mercantile della scienza e dell’arte, proponendo una
visione eretica della libertà di informazione e della circolazione della conoscenza. 

Questo secondo lato della pirateria informatica emerge non soltanto nel movimento
dell’open source e del copyleft, ma anche negli atti di sabotaggio digitale e di
diffusione di documenti riservati: dalla pubblicazione dei dossier sulle guerre in medio-
oriente da parte di Wikileaks, fino alla diffusione dei brevetti di farmaci anti-Aids.