Sei sulla pagina 1di 59

qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx cvbnmqwertyuiopasdfghjklzxcvbnmq Giuristudiando Forum dei diritti Furto di identit informatica.

. Un caso dalla wertyuiopasdfghjklzxcvbnmqwertyui giurisprudenza opasdfghjklzxcvbnmqwertyuiopasdfg hjklzxcvbnmqwertyuiopasdfghjklzxc vbnmqwertyuiopasdfghjklzxcvbnmq wertyuiopasdfghjklzxcvbnmqwertyui opasdfghjklzxcvbnmqwertyuiopasdfg hjklzxcvbnmqwertyuiopasdfghjklzxc vbnmqwertyuiopasdfghjklzxcvbnmq wertyuiopasdfghjklzxcvbnmqwertyui opasdfghjklzxcvbnmqwertyuiopasdfg hjklzxcvbnmrtyuiopasdfghjklzxcvbn mqwertyuiopasdfghjklzxcvbnmqwert yuiopasdfghjklzxcvbnmqwertyuiopas
18/05/2012 Giuristando

1
MENU DEGLI ARGOMENTI LA PERSONA FISICA 1) I diritti della personalit Rif. Indice generale delle questioni N.R.G. 5/2011

Furto di indentit informatica Indice dei documenti del libretto:

Parte comune ai vari casi: Prospettazione di un caso tratto dalla giurisprudenza italiana; Documento allegato n. 1 (Articolo di Flaminia Merla tratto da internet); Documento allegato n. 2 (Normativa di riferimento); Documento allegato n. 3 (articolo dellAvv. Hermans Joseph Iezzoni tratto dal sito ABC del Diritto e testo completo di sentenza della Corte di Cassazione n. 46674/2007). Documento allegato n. 4 (Articolo di Angelo Greco, pubblicato in Laleggepertutti.it) dal titolo Internet e gli illeciti: responsabilit e tutele. Convegno a Latina Documento allegato n. 5 (Sentenza della Corte di Giustizia
dellUE (terza sezione) del 24 novembre 2011)

Documento allegato n. 6 (Sentenza della Corte di Giustizia UE (Terza Sezione) del 19 aprile 2012) Documento allegato n. 7 Articolo di Gabriella Tesoro pubblicato sul web in Puntoinformatico dal titolo La password come pegno d'amore Documento allegato n. 8
(Dalla rete, articolo di D.F. pubblicato in Dura

lex sed lex dal titolo Phishing: il furto d'identit)

Documento n. 9 (Alcune massime in argomento tratte da Cassazione.it)

Documento allegato n. 10 (Articolo di Angelo Greco pubblicato in laleggepertutti.it Copyright, nessun dietrofront: lInternet Service Provider, la Corte di Giustizia e il sangue blu Documento allegato n. 11 (Scritti di simulazione)
Parte relativa alla simulazione (Aldo Fregatucci contro/ Dominions S.p.a.): Memoria dei difensori di tesi Ufficioal e Avv.P Memoria di replica di Avv.P Primo Parere di Giuristando Atto di impugnazione nel caso /

Identity Thefth in aumento: breve analisi del fenomeno

IL CASO. Un hacker, ricorrendo alle tecniche informatiche, del Key-logging e dello Screen grabbing, si impadronisce delle credenziali email del Sig. Fregatucci Aldo e li utilizza per fare prenotazioni on line di servizi di vario genere. Il Sig. Fregatucci viene reso oggetto di richieste di pagamento per i servizi erogati, tra i quali una iscrizione a siti che promuovono incontri os. Egli denuncia il fatto alle autorit di pubblica sicurezza e chiede al server presso il quale registrata la sua posizione informatica (DOMINIONS.COM S.p.A.) il risarcimento del danno economico e morale ritenendo che esso ne sia responsabile penalmente e civilmente per non aver impedito il fatto.

COME PROCEDERE:

dopo aver consultato i documenti a disposizione, redigi il tuo parere (memoria) osservando il seguente schema di massima: i. riassumi la fattispecie (situazione di fatto), ii. formula le tue valutazioni sul fatto (ovviamente a sostegno della tua tesi), iii. e poi le tue valutazioni sul diritto applicabile alla fattispecie. Al termine produrrai altro elaborato dalle stesse caratteristiche del precedente contenente le osservazioni critiche sullo scritto del tuo compagno avversario di tesi (memoria di replica).

Documento allegato n. 1 Articolo di Flaminia Merla (fonte: da internet) L'identity thefth - furto d'identit digitale - il crimine che si sta diffondendo in maniera esponenziale in Italia e in tutto il mondo. Negli Usa pare che il fenomeno sia in avanzato stato di repressione soprattutto in considerazione di un articolo apparso su Punto Informatico del 1.9.09, di Alfonso Maruccia, il quale afferma che due tra i pi grandi ladri di identit, Clyde Austin Gray Jr. anche noto come "Big Head" e Albert Gonzalez ex hacker ora assunto dai servizi segreti -, hanno cessato la loro folgorante carriera grazie alle tecniche poste in essere per reprimere il dilagante uso del mezzo tecnologico attraverso il quale, una volto effettuato il furto d'identit, veniva realizzato anche il susseguente furto economico a discapito del malcapitato. Nel 2004 il governo americano aveva per stimato che le perdite subite dalle istituzioni finanziarie e dalle aziende erano pari a oltre 48 miliardi di dollari, e i quasi 10 milioni di utenti coinvolti hanno subito danni economici per oltre 5 miliardi di dollari. In Europa la situazione stata analizzata nel 2008 da Dynamics Market il quale ha evidenziato che sono ben 6,5 milioni in Gran Bretagna, Irlanda, Germania, Belgio e Olanda le vittime di furto didentit. LItalia al secondo posto in Europa per numero di frodi commesso attraverso luso di dati rubati. Nel 2006 sono stati accertati ben oltre 17.000 casi di frode attuata mediante scippo didentit con perdite (aumentata del 55% in un solo anno) per circa 80 milioni di euro. La Commissione Europea, in il "Forum on the prevention of organised crime" , ha analizzato la legislazione e le attivit di indagine in questo specifico settore all'interno degli Stati membri ed emerso che, ad oggi, solo 8 stati, su 19 interpellati risultano avere una normativa sul furto d'identit ed, in alcuni casi, tali furti vengono anche indicati dalla Costituzione. Undici paesi, invece, considerano l'ID theft come parte dell'azione per commettere altri crimini o come una circostanza aggravante di questi ultimi. Nella legislazione Italiana previsto, in caso di Identy Theth, il reato di sostituzione di persona, disciplinato dall'art. 494 del Codice Penale, o altro ben pi grave reato quale quello di frode informatica ex art 640 ter del Codice Penale. Non pu poi prescindersi dalla previsione di cui al d.lgs. 196/03, codice in materia di protezione dati personali, che all'art. 169 prevede un illecito penale nel caso di

5
omissione nell'adozione delle misure di sicurezza o, nel caso, della successiva mancata regolarizzazione delle stesse. Nel marzo 2009, in seguito ad una ricerca a campione effettuata da Adiconsum, emerso che il 55% della popolazione italiana non ha ricevuto informazioni relative ai pericoli nascenti dall'uso delle nuove tecnologie e, sembrerebbe, che il bisogno di informazione sia sentito da pi del 60% della popolazione di cui il 53% si ritiene estremamente preoccupato riguardo alla problematica. Dati alquanto allarmanti soprattutto in considerazione del fatto che fin dall'aprile 2006 stato pubblicato il rapporto ABI CIPA CNIPA sul furto di identit elettronica tramite internet il quale analizza la modalit della commissione dell'illecito nonch la metodologia per reprimere il fenomeno. Cerchiamo ora di comprendere attraverso quali modalit si verifica detto illecito; per attacchi informatici allidentit elettronica devono intendersi gli attacchi portati, tramite software eseguito da remoto, alle infrastrutture informatiche della banca, del cliente o della rete telematica che li connette, finalizzati a carpire le credenziali digitali dellutente dei servizi on-line. Tra le forme di attacco allidentit elettronica dellutente di servizi on-line, quello che sta assumendo maggiore rilevanza il c.d. social engineering; questa una particolare tecnica psicologica che sfrutta linesperienza e la buona fede degli utenti per carpire informazioni utili a portare successivi attacchi ai sistemi. Altra forma molto diffusa di Identity Theth il phishing, da considerarsi una forma particolare di social engineering, che consiste nella creazione e nelluso di e-mail e siti web ideati in modo da ingenerare confusione con quelli di istituzioni finanziarie e/o governative, con lo scopo di raggirare gli utenti e carpire loro informazioni personali (account e password) per accedere a servizi di home banking o al proprio numero di carta di credito. Queste informazioni vengono catturate dai phishers per poi essere riutilizzate per frodi finanziarie e/o furti di identit. Altra tecnica molto diffusa quella che viene attuata attraverso la diffusione di malware e MMC (Malicious Mobile Code), nelle forme di virus, worm, trojan horse, mass mailing e mixed mmc, che sono in grado di autoinstallarsi, autoriprodursi, diffondersi in modo da provocare alterazioni al funzionamento del sistema permettendo sia di esportare i dati, sia di prendere il controllo del sistema stesso; in particolare ci sono principalmente quattro procedimenti: Spyware: programmi spia, in grado di raccogliere informazioni dal computer infettato e di inviarle anche tramite un proprio motore SMTP al destinatario fraudolento; Key-logging: programmi in grado di attivarsi quando lutente si connette al sito di una banca o instaura una connessione protetta, scritti in modo che vengano registrati i tasti digitati dallutente che successivamente vengono inviati all'autore della sottrazione;

6
Redirector: codice malevolo scritto in modo da reindirizzare il traffico Internet del computer infetto verso indirizzi IP differenti da quelli che si intendevano raggiungere; Screen grabbing: programmi simili ai key-logger, in grado di effettuare foto istantanee dello schermo dellutente in modo che quando egli scrive le informazioni sensibili sui siti di homebanking esse vengano direttamente reinviate all'autore tramite motore SMTP interno. Vi poi lo spoofing che una tecnica complementare a quelle finora analizzate che consiste nel falsificare lorigine della connessione in modo da far credere di essere un soggetto diverso da quello reale; tale tecnica prevede diversi tipi di utilizzazione: User account spoofing: che consiste nellutilizzo della userid e password di altro inconsapevole utente e viene attuato utilizzando lo sniffing e password crackers; DNS spoofing: che viene attuata con la sostituizione al server DNS3 lecito e si utilizza per reindirizzare il traffico da un sito web istituzionale verso siti contraffatti atti a rubare i dati digitali al navigatore. IP Address spoofing: che confida nel fatto che la maggior parte dei routers di una rete utilizzano indirizzi IP di destinazione e non di origine; conseguentemente l'attaccante pu inviare dei pacchetti dati a un bersaglio utilizzando source IP fittizi cos che le risposte siano inviate al falso IP. Altra metodologia di attacco il Connection hijacking che si realizza mediante l'intercettazione di flussi di dati in transito; lintruso, dopo averne analizzato il flusso, si inserisce nella transazione alterandone il contenuto e opera con le credenziali di chi legittimamente aveva iniziato la sessione. Vi poi il man in the middle che consiste nel dirottare il traffico generato durante la comunicazione tra due host connessi alla stessa rete verso un terzo host; il terzo host si frappone alla comunicazione tra i due end-point, intercetta il flusso di dati scambiati riuscendo a farsi confondere con il legittimo interlocutore. Lo sniffing invece consiste invece in un operazione di intercettazione delle comunicazioni mediante cattura di dati (password, posta elettronica, ecc.); questi strumenti di intercettazione sono gli sniffer e sono, in sostanza, hardware, software, analizzatori legali in grado di intercettare, selezionare per protocollo, tradurre, visualizzare e memorizzare tutti i tipi di pacchetti in transito sulla rete. I Password cracking sono programmi che a ripetizione tentano di accedere ad aree riservate, attraverso password generate secondo algoritmi interni predefiniti. Vi poi l'Exploit di vulnerabilit di sistema o di applicazioni che sfruttando vulnerabilit note dei sistemi operativi di banche o di piattaforme, esse vengono poi utilizzate dallhacker per accedere e assumere ,in alcuni casi, anche il controllo completo del sistema attaccato. In tali casi l ID thether garantisce lautorizzazione allaccesso allarchivio del sistema.

7
L'Information gathering (network and port scanning) il tentativo di rilevare indirizzi IP o porte TCP per individuare i servizi e i sistemi presenti e attivi, per poter successivamente tentare l'intrusione. Per tutte queste metodologie, attraverso le quali pu essere attuato l'ID theth, non sono mancate sia contro-misure legali sia codici di autoregolamentazione atti, se eseguiti pedissequamente, a reprimere il dilagante fenomeno. Anche il nostro Codice Privacy si infatti preoccupato di arginare queste invasive tecniche attraverso le quali si verifica il furto di identit digitale, infatti esso non solo ha previsto la mancata adozione di misure di sicurezza come illecito ma lo ha elevato a rango di reato penale. Non bisogna per dimenticare che, nonostante le varie forme di repressione dell'Identity Theth, sempre e solo l'utente (inteso come privato e come azienda) che si deve preoccupare di adempiere a quanto a lui prescritto dalla legge ma, sopratutto, di usare la normale diligenza derivante dall'uso dei mezzi tecnologici che se da una parte facilitano in modo esponenziale il lavoro e la comunicazione, dall'altra danno vita a nuovi modi di ledere la persona sia nella sfera giuridica sia in quella economica.

Documento allegato n. 2 Dalla Costituzione Art. 2 La Repubblica riconosce e garantisce i diritti inviolabili delluomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalit, e richiede ladempimento dei doveri inderogabili di solidariet politica, economica e sociale.

Dal Codice civile Art. 7 Tutela del diritto al nome La persona, alla quale si contesti il dritto alluso del proprio nome o che possa risentire pregiudiziodelluso che altri indebitamente ne faccia, pu chiedere giudizialmente la cessazione del fatto lesivo, salvo il risarcimento dei danni. Lautorit giudiziaria pu ordinare che la sentenza si pubblicata in uno o pi giornali.

Art. 2043 Risarcimento per fatto illecito Qualunque fatto doloso o colposo, che cagiona ad altri un danno ingiusto, obbliga colui che ha commesso il fatto a risarcire il danno.

Dal Codice penale Capo IV Della falsit personale Art. 494. Sostituzione di persona. Chiunque, al fine di procurare a s o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, o attribuendo a s o ad altri un falso nome, o un falso stato, ovvero una qualit a cui la legge attribuisce effetti giuridici, punito, se il fatto non costituisce un altro delitto contro la fede pubblica con la reclusione fino a un anno.

9
Art.640-ter. Frode informatica. Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalit su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a s o ad altri un ingiusto profitto con altrui danno, punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.

La pena della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se il fatto commesso a danno dello stato o di un altro ente pubblico o col pretesto di far esonerare taluno dal servizio militare, ovvero se il fatto commesso con abuso della qualit di operatore del sistema.

Il delitto punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un'altra circostanza aggravante.

Dalla legge ordinaria DECRETO LEGISLATIVO 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali. (GU n.174 del 29-7-2003 - Suppl. Ordinario n. 123 ) Art. 169 Misure di sicurezza

1. Chiunque, essendovi tenuto, omette di adottare le misure minime stabilite e periodicamente aggiornate con decreto del Presidente del Consiglio dei ministri, con l'osservanza delle norme che regolano la materia (..) e' punito con l'arresto sino a due anni 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, e' impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessita' o per l'oggettiva difficolta'dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato e' ammesso dal Garante a pagare una somma pari al (( quarto del massimo della sanzione stabilita per la violazione amministrativa)). L'adempimento e il pagamento estinguono il reato. (..)

10

Documento allegato n. 3 (dalla rete: sito ABC del Diritto)


Articolo dellAvv. Hermans Joseph Iezzoni sulla sentenza della Cassazione:

Cassazione 46674/2007: Sostituzione di persona attraverso una e-mail Con la sentenza, che si offre ai lettori di ABCDiritto, la quinta sezione della Cassazione conferma la condanna, ex articolo 494 del Codice Penale, nei confronti di chi utilizzava le generalit di unaltra persona per accedere a servizi e comunicare con altri utenti. La norma in questione recita: Chiunque, al fine di procurare a s o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria persona allaltrui persona, o attribuendo a s o ad altri un falso nome, o un falso stato, ovvero una qualit a cui la legge attribuisce effetti giuridici, punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno Loggetto giuridico costituito da tutti quei comportamenti in grado di offendere la pubblica fede ad esempio alterando i dati identificativi di un soggetto o le proprie qualit con quelli corrispondenti ad un altro (nome o titoli di studio). I termini vantaggio e danno vanno intesi in modo ampio tanto da ricomprendere una utilit morale, economica od anche sessuale. Lelemento oggettivo del reato costituito dalla induzione in errore che per deve fondarsi su una condotta attiva e non omissiva. Per questo motivo la giurisprudenza non considera rilevante una situazione dipesa dal fatto di altri. Non necessario nemmeno che sia raggiunto il vantaggio od il danno poich il reato si consuma appena indotto lerrore. Segue il testo completo della sentenza:

Cassazione V Sezione Penale n. 46674 del 14 dicembre 2007 SVOLGIMENTO

Con limpugnata sentenza stata confermata la dichiarazione di colpevolezza di A.M.A. in ordine al reato p. e p. dagli artt. 81, 494 c.p., contestatogli perch, al fine di procurarsi un vantaggio e di recare un danno ad A.T., creava un account di posta elettronica, ********@libero.it., apparentemente intestato a costei, e successivamente, utilizzandolo, allacciava rapporti con utenti della rete internet al nome della A.T., e cos induceva in errore sia il gestore del sito sia gli utenti, attribuendosi il falso nome della A.T..

11
Ricorre per cassazione il difensore deducendo violazione di legge per lerronea applicazione dellart. 494 c.p. e per la mancata applicazione dellart. 129 c.p.p. Lamenta che non siano state confutate dalla corte fiorentina le critiche rivolte al convincimento di colpevolezza espresso dal primo giudice siccome basato sulla duplice errata considerazione, inerente la prima alla tutela di stampo civilistico al nome e allo pseudonimo, laltra, pi propriamente tecnico-informatica, alla sostenuta necessit di fornire allente gestore del servizio telefonico lesatta indicazione anagrafica al momento della richiesta di fornitura della prestazione telematica. Tali doglianze non possono essere condivise. Oggetto della tutela penale, in relazione al delitto preveduto nellart. 494 c.p., linteresse riguardante la pubblica fede, in quanto questa pu essere sorpresa da inganni relativi alla vera essenza di una persona o alla sua identit o ai suoi attributi sociali. E siccome si tratta di inganni che possono superare la ristretta cerchia dun determinato destinatario, cos il legislatore ha ravvisato in essi una costante insidia alla fede pubblica, e non soltanto alla fede privata e alla tutela civilistica del diritto al nome. In questa prospettiva, evidente la configurazione, nel caso concreto, di tutti gli elementi costitutivi della contestata fattispecie delittuosa. Il ricorrente disserta in ordine alla possibilit per chiunque di attivare un account di posta elettronica recante un nominativo diverso dal proprio, anche di fantasia. Ci vero, pacificamente. Ma deve ritenersi che il punto del processo che ne occupa sia tuttaltro. Infatti il ricorso non considera adeguatamente che, consumandosi il reato de quo con la produzione dellevento conseguente alluso dei mezzi indicati nella disposizione incriminatrice, vale a dire con linduzione di taluno in errore, nel caso in esame il soggetto indotto in errore non tanto lente fornitore del servizio di posta elettronica, quanto piuttosto gli utenti della rete, i quali, ritenendo di interloquire con una determinata persona (la A.T.), in realt inconsapevolmente si sono trovati ad avere a che fare con una persona diversa. E non vale obiettare che il contatto non avviene sullintuitus personae, ma con riferimento alle prospettate attitudini dellinserzionista, dal momento che non affatto indifferente, per linterlocutore, che il rapporto descritto nel messaggio sia offerto da un soggetto diverso da quello che appare offrirlo, per di pi di sesso diverso. appena il caso di aggiungere, per rispondere ad altra, peraltro fugace, contestazione difensiva, che limputazione ex art. 494 c.p.p. debitamente menziona pure il fine di recare con la sostituzione di persona un danno al soggetto leso: danno poi in effetti, in tutta evidenza concretizzato, nella specie, come il capo B) della rubrica (relativo al reato di diffamazione, peraltro poi estinto per remissione della querela) nitidamente delinea nella subdola inclusione della persona offesa in una corrispondenza idonea a ledere limmagine o la dignit (sottolinea la sentenza impugnata che la A.T., a seguito delliniziativa assunta dallimputato, si ricevette telefonate da uomini che le chiedevano incontri a scopo sessuale).

12
Il ricorso va pertanto respinto, con le conseguenze di legge. P.Q.M. La Corte rigetta il ricorso e condanna il ricorrente al pagamento delle spese del procedimento.

13

Documento allegato n. 4
Articolo di Angelo Greco (pubblicato in Laleggepertutti.it) Internet e gli illeciti: responsabilit e tutele. Convegno a Latina http://www.laleggepertutti.it/11426_internet-e-gli-illeciti-responsabilita-etutele-convegno-a-latina

Quando si parla di illeciti su internet mi piace usare questa metafora. Ai bambini che fanno i primi passi fuori casa si raccomanda di non accettare caramelle dagli sconosciuti. Il che anche un monito di portata pi generale, perch le caramelle sono anche tutte le seduzioni che imbrigliano luomo. E la vita sempre piena di caramelle. Senonch, ad un certo punto della storia umana, la realt si improvvisamente duplicata. Le strade e le piazze sono diventate quelle virtuali della rete. E una generazione la nostra si trovata a fare i conti con un mondo sul quale non aveva mai ricevuto istruzioni. Cos esposti ai pericoli, eravamo come bambini in mezzo a una giungla nuova. Nessuno per poteva metterci in guardia dalle caramelle fatte di bit, perch nessuno, prima di noi, sapeva cosa fosse il web. Cos non abbiamo avuto, questa volta, i genitori ad impartirci consigli e rimproveri. Solo qualche giorno fa le nostre madri hanno imparato a usare Google e siamo piuttosto noi ad insegnar loro cosa fare e cosa no. Dallaltro lato, stiamo istruendo le nuove generazioni, sulla scorta di una esperienza fatta in casa: inseriamo meccanismi di protezione nei software, sistemi di controllo a distanza dei minori, abilitazioni e disabilitazioni. Ma la nostra rimasta una generazione di mezzo, che ha dovuto imparare tutto a proprie spese. Abbandonati dagli anziani del villaggio e dalle istituzioni, anchesse impreparate ai nuovi illeciti, abbiamo consentito agli illeciti su internet una facile proliferazione. Ma qualcosa sta cambiando. Nuovi e pi incisivi mezzi di tutela sono ogni giorno studiati dalle leggi e nelle aule dei tribunali: cos il recente potere dellAutorit Garante per le Comunicazioni (AgCm) di oscurare i siti sospettati di pratiche commerciali scorrette (ricordiamo il caso di Private Outlet) o di intervenire in caso di clausole vessatorie contrarie ai principi del diritto, dichiarandole nulle. Anche i giudici della Comunit Europea si sono mossi in modo fermo. Da ultimo, la Corte di Giustizia [1] ha chiarito che chi ha subito un danno alla persona attraverso internet ha la possibilit di scegliere tra tre diversi Tribunali: a) quello del luogo ove ha sede o residenza colui che ha immesso in rete i contenuti lesivi;

14
b) quello ove il danneggiato stesso ha la propria residenza (in questo caso, per, il gestore del sito Internet non potr essere assoggettato, dalla legge dello Stato di residenza della vittima, a prescrizioni pi severe di quelle gi previste dal proprio Stato membro); c) quello di ciascuno degli Stati ove sia avvenuta la diffusione dei contenuti lesivi (in tale ipotesi, per, si pu agire solo pro quota, ossia limitatamente alla fetta di danno prodottasi in quello specifico Paese). Dallaltro lato, per, c lesigenza di tutelare il commercio elettronico e la circolazione dei contenuti: in altre parole, gli interessi degli ISP (come Google, i social network, ecc.), evitando di imporre restrizioni eccessivamente onerose, come filtri e altri sistemi di monitoraggio del traffico. Paradigmatico lorientamento dei giudici di Lussemburgo [2] in tema di neutralit dellintermediario. Di tutto questo si dibatter a Latina, il prossimo 3 maggio, alle ore 15,00, nel corso del Convegno Internet e fatti illeciti: responsabilit civile e mezzi di tutela, cui far da relatore lavv. prof. Francesco Di Ciommo (associato di diritto privato presso lUniversit di Tor Vergata e Luiss Guido Carli di Roma) e, molto pi indegnamente, il sottoscritto. Il Convegno, organizzato dallOrdine degli Avvocati di Latina e dal Centro Studi Giuridici Michele Pierro, si terr allHotel Villa dei Principi, Fondi. I lavori inizieranno alle ore 15.30. La partecipazione allincontro dar diritto allacquisizione di tre crediti formativi. Liscrizione potr essere fatta online dal sito www.ordineavvocatilatina.it. Io parteciper pi in veste di interessato al dibattito che da relatore. Mi piacerebbe vedervi numerosi. [1] Sent. relative alle cause riunite C-509/09 e C-161/10. [2] Terza Sez. Corte Giust. U.E., causa C-70/10. (La Legge per Tutti un portale che spiega e traduce, in gergo non tecnico, la legge e le ultime sentenze, affinch ogni cittadino possa comprenderle. I contenuti di queste pagine sono liberamente utilizzabili, purch venga riportato anche il link e il nome dellautore). Sito amministrato dallo Studio Legale Avv. Angelo Greco (www.avvangelogreco.it). Nellambito del diritto civile, svolge consulenza alle imprese, diritto della rete e diritto dautore, diritto dei consumatori, privacy, procedure espropriative.

15

Documento allegato n. 5
Dalla rete pubblicato in Infocuria - Giurisprudenza della Corte di giustizia (http://curia.europa.eu/juris/document/document.jsf?text=&docid=115202&pageIndex=0&do clang=IT&mode=lst&dir=&occ=first&part=1&cid=956907)

SENTENZA DELLA CORTE (Terza Sezione) 24 novembre 2011

Societ dellinformazione Diritto dautore Internet Programmi peer-to-peer Fornitori di accesso a Internet Predisposizione di un sistema di filtraggio delle comunicazioni elettroniche al fine di impedire gli scambi dei file che ledono i diritti dautore Assenza di un obbligo generale di sorvegliare le informazioni trasmesse

Nel procedimento C-70/10, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dellart. 267 TFUE, dalla cour dappel de Bruxelles (Belgio), con decisione 28 gennaio 2010, pervenuta in cancelleria il 5 febbraio 2010, nella causa Scarlet Extended SA contro Socit belge des auteurs, compositeurs et diteurs SCRL (SABAM), con lintervento di: Belgian Entertainment Association Video ASBL (BEA Video), Belgian Entertainment Association Music ASBL (BEA Music), Internet Service Provider Association ASBL (ISPA), LA CORTE (Terza Sezione), composta dal sig. K. Lenaerts, presidente di sezione, dal sig. J. Malenovsk (relatore), dalla sig.ra R. Silva de Lapuerta, dai sigg. E. Juhsz e G. Arestis, giudici, avvocato generale: sig. P. Cruz Villaln cancelliere: sig.ra C. Strmholm, amministratore vista la fase scritta del procedimento e in seguito alludienza del 13 gennaio 2011, considerate le osservazioni presentate:

16
per la Scarlet Extended SA, dagli avv.ti T. De Meese e B. Van Asbroeck, avocats; per la Socit belge des auteurs, compositeurs et diteurs SCRL (SABAM), la Belgian Entertainment Association Video ASBL (BEA Video) e la Belgian Entertainment Association Music ASBL (BEA Music), dagli avv.ti F. de Visscher, B. Michaux e F. Brison, avocats; per la Internet Service Provider Association ASBL (ISPA), dallavv. G. Somers, avocat; per il governo belga, dai sigg. T. Materne e J.-C. Halleux, nonch dalla sig.ra C. Pochet, in qualit di agenti; per il governo ceco, dal sig. M. Smolek e dalla sig.ra K. Havlkov, in qualit di agenti; per il governo italiano, dalla sig.ra G. Palmieri, in qualit di agente, assistita dal sig. S. Fiorentino, avvocato dello Stato; per il governo olandese, dalle sig.re C. Wissels e B. Koopman, in qualit di agenti; per il governo polacco, dai sigg. M. Szpunar, M. Drwicki e J. Goliski, in qualit di agenti; per il governo finlandese, dalla sig.ra M. Pere, in qualit di agente; per la Commissione europea, dalle sig.re J. Samnadda e C. Vrignon, in qualit di agenti, sentite le conclusioni dellavvocato generale, presentate alludienza del 14 aprile 2011, ha pronunciato la seguente Sentenza 1 La domanda di pronuncia pregiudiziale verte sullinterpretazione delle seguenti direttive: direttiva del Parlamento europeo e del Consiglio 8 giugno 2000, 2000/31/CE, relativa a taluni aspetti giuridici dei servizi della societ dellinformazione, in particolare il commercio elettronico, nel mercato interno (Direttiva sul commercio elettronico) (GU L 178, pag. 1); direttiva del Parlamento europeo e del Consiglio 22 maggio 2001, 2001/29/CE, sullarmonizzazione di taluni aspetti del diritto dautore e dei diritti connessi nella societ dellinformazione (GU L 167, pag. 10); direttiva del Parlamento europeo e del Consiglio 29 aprile 2004, 2004/48/CE, sul rispetto dei diritti di propriet intellettuale (GU L 157, pag. 45; rettifiche nella GU 2004, L 195, pag. 16); direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati (GU L 281, pag. 31), e direttiva del Parlamento europeo e del Consiglio 12 luglio 2002, 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle

17
comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201, pag. 37). 2 Questa domanda stata presentata nel contesto di una controversia tra la Scarlet Extended SA (in prosieguo: la Scarlet) e la Socit belge des auteurs, compositeurs et diteurs SCRL (SABAM) (in prosieguo: la SABAM) vertente sul rifiuto della Scarlet di predisporre un sistema di filtraggio delle comunicazioni elettroniche realizzate tramite programmi per lo scambio di archivi (detti peer-to-peer), onde impedire gli scambi dei file che ledono i diritti dautore. Contesto normativo Il diritto dellUnione La direttiva 2000/31 3 Ai sensi del quarantacinquesimo e del quarantasettesimo considerando della direttiva 2000/31: (45) Le limitazioni alla responsabilit dei prestatori intermedi previste nella presente direttiva lasciano impregiudicata la possibilit di azioni inibitorie di altro tipo. Siffatte azioni inibitorie possono, in particolare, essere ordinanze di organi giurisdizionali o autorit amministrative che obbligano a porre fine a una violazione o impedirla, anche con la rimozione dellinformazione illecita o la disabilitazione dellaccesso alla medesima. (...) (47) Gli Stati membri non possono imporre ai prestatori un obbligo di sorveglianza di carattere generale. Tale disposizione non riguarda gli obblighi di sorveglianza in casi specifici e, in particolare, lascia impregiudicate le ordinanze emesse dalle autorit nazionali secondo le rispettive legislazioni. 4 Lart. 1 di questa direttiva cos recita: 1. La presente direttiva mira a contribuire al buon funzionamento del mercato interno garantendo la libera circolazione dei servizi della societ dellinformazione tra Stati membri. 2. La presente direttiva ravvicina, nella misura necessaria alla realizzazione dellobiettivo di cui al paragrafo 1, talune norme nazionali sui servizi della societ dellinformazione che interessano il mercato interno, lo stabilimento dei prestatori, le comunicazioni commerciali, i contratti per via elettronica, la responsabilit degli intermediari, i codici di condotta, la composizione extragiudiziaria delle controversie, i ricorsi giurisdizionali e la cooperazione tra Stati membri. (...). 5 Lart. 12 di detta direttiva, che figura nella Sezione 4 del Capo II della stessa ed intitolato Responsabilit dei prestatori intermediari, dispone quanto segue: 1. Gli Stati membri provvedono affinch, nella prestazione di un servizio della societ dellinformazione consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, o nel fornire un accesso alla rete di comunicazione, il prestatore non sia responsabile delle informazioni trasmesse a condizione che egli: a) non dia origine alla trasmissione; b) non selezioni il destinatario della trasmissione; e

18
c) non selezioni n modifichi le informazioni trasmesse. (...) 3. Il presente articolo lascia impregiudicata la possibilit, secondo gli ordinamenti degli Stati membri, che un organo giurisdizionale o unautorit amministrativa esiga che il prestatore impedisca o ponga fine ad una violazione. 6 Ai sensi dellart. 15 della direttiva 2000/31, anchesso incluso nella sua Sezione 4 del Capo II: 1. Nella prestazione dei servizi di cui agli articoli 12, 13 e 14, gli Stati membri non impongono ai prestatori un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano n un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attivit illecite. 2. Gli Stati membri possono stabilire che i prestatori di servizi della societ dellinformazione siano tenuti ad informare senza indugio la pubblica autorit competente di presunte attivit o informazioni illecite dei destinatari dei loro servizi o a comunicare alle autorit competenti, a loro richiesta, informazioni che consentano lidentificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati. La direttiva 2001/29 7 A norma del sedicesimo e del cinquantanovesimo considerando della direttiva 2001/29: (16)(...) La presente direttiva dovrebbe essere attuata in tempi analoghi a quelli previsti per [la direttiva 2000/31], in quanto tale direttiva fornisce un quadro armonizzato di principi e regole che riguardano tra laltro alcune parti importanti della presente direttiva. Questa direttiva lascia impregiudicate le regole relative alla responsabilit della direttiva suddetta. (...) (59) In particolare in ambito digitale, i servizi degli intermediari possono essere sempre pi utilizzati da terzi per attivit illecite. In molti casi siffatti intermediari sono i pi idonei a porre fine a dette attivit illecite. Pertanto fatte salve le altre sanzioni e i mezzi di tutela a disposizione, i titolari dei diritti dovrebbero avere la possibilit di chiedere un provvedimento inibitorio contro un intermediario che consenta violazioni in rete da parte di un terzo contro opere o altri materiali protetti. Questa possibilit dovrebbe essere disponibile anche ove gli atti svolti dallintermediario siano soggetti a eccezione ai sensi dellarticolo 5. Le condizioni e modalit relative a tale provvedimento ingiuntivo dovrebbero essere stabilite dal diritto nazionale degli Stati membri. 8 Lart. 8 della direttiva 2001/29 stabilisce quanto segue: 1. Gli Stati membri prevedono adeguate sanzioni e mezzi di ricorso contro le violazioni dei diritti e degli obblighi contemplati nella presente direttiva e adottano tutte le misure necessarie a garantire lapplicazione delle sanzioni e lutilizzazione dei mezzi di ricorso. Le sanzioni previste devono essere efficaci, proporzionate e dissuasive. (...) 3. Gli Stati membri si assicurano che i titolari dei diritti possano chiedere un provvedimento inibitorio nei confronti degli intermediari i cui servizi siano utilizzati da terzi per violare un diritto dautore o diritti connessi.

19
La direttiva 2004/48 9 Il ventitreesimo considerando della direttiva 2004/48 cos recita: [Senza pregiudizio di] eventuali altre misure, procedure e mezzi di ricorso disponibili, i titolari dei diritti dovrebbero avere la possibilit di richiedere un provvedimento inibitorio contro un intermediario i cui servizi sono utilizzati da terzi per violare il diritto di propriet industriale del titolare. Le condizioni e modalit relative a tale provvedimento inibitorio dovrebbero essere stabilite dal diritto nazionale degli Stati membri. Per quanto riguarda le violazioni del diritto dautore e dei diritti connessi, la direttiva [2001/29] prevede gi un ampio livello di armonizzazione. Pertanto larticolo 8, paragrafo 3, della direttiva [2001/29] non dovrebbe essere pregiudicato dalla presente direttiva. 10 Ai termini dellart. 2, n. 3, della direttiva 2004/48: La presente direttiva fa salve: a) le disposizioni comunitarie che disciplinano il diritto sostanziale di propriet intellettuale (), la direttiva [2000/31] in generale e le disposizioni degli articoli da 12 a 15 [di questultima] in particolare; (...). 11 Lart. 3 della direttiva 2004/48 cos recita: 1. Gli Stati membri definiscono le misure, le procedure e i mezzi di ricorso necessari ad assicurare il rispetto dei diritti di propriet intellettuale di cui alla presente direttiva. Tali misure, procedure e mezzi di ricorso sono leali ed equi, non inutilmente complessi o costosi e non comportano termini irragionevoli n ritardi ingiustificati. 2. Le misure, le procedure e i mezzi di ricorso sono effettivi, proporzionati e dissuasivi e sono applicati in modo da evitare la creazione di ostacoli al commercio legittimo e da prevedere salvaguardie contro gli abusi. 12 Lart. 11 della direttiva 2004/48 cos dispose: Gli Stati membri assicurano che, in presenza di una decisione giudiziaria che ha accertato una violazione di un diritto di propriet intellettuale, le autorit giudiziarie possano emettere nei confronti dellautore della violazione uningiunzione diretta a vietare il proseguimento della violazione. Se previsto dalla legislazione nazionale, il mancato rispetto di uningiunzione oggetto, ove opportuno, del pagamento di una pena pecuniaria suscettibile di essere reiterata, al fine di assicurarne lesecuzione. Gli Stati membri assicurano che i titolari possano chiedere un provvedimento ingiuntivo nei confronti di intermediari i cui servizi sono utilizzati da terzi per violare un diritto di propriet intellettuale, senza pregiudizio dellarticolo 8, paragrafo 3, della direttiva [2001/29]. Il diritto nazionale 13 Lart. 87, n. 1, primo e secondo comma, della legge 30 giugno 1994, sul diritto dautore e sui diritti connessi (Moniteur belge del 27 luglio 1994, pag. 19297) prevede quanto segue: Il presidente del tribunal de premire instance () consta[ta] lesistenza e [ordina] la cessazione di qualsiasi violazione del diritto dautore o di un diritto connesso. [Pu] altres emanare un provvedimento inibitorio contro intermediari i cui servizi siano utilizzati da un terzo per violare il diritto dautore o un diritto connesso.

20
14 Gli artt. 18 e 21 della legge 11 marzo 2003, su taluni aspetti giuridici dei servizi della societ dellinformazione (Moniteur belge del 17 marzo 2003, pag. 12962), recepiscono nel diritto nazionale gli artt. 12 e 15 della direttiva 2000/31. Causa principale e questioni pregiudiziali 15 La SABAM una societ di gestione che rappresenta gli autori, i compositori e gli editori di opere musicali ed autorizza lutilizzo delle loro opere tutelate da parte di terzi. 16 La Scarlet un fornitore di accesso ad Internet (in prosieguo: FAI) che procura ai propri clienti tale accesso, senza proporre altri servizi come lo scaricamento o la condivisione dei file. 17 Nel corso del 2004, la SABAM perveniva alla conclusione che gli utenti di Internet che si avvalevano dei servizi della Scarlet scaricavano da Internet, senza autorizzazione e senza pagarne i diritti, opere contenute nel suo catalogo utilizzando reti peer-to-peer, che costituiscono uno strumento aperto per la condivisione di contenuti, indipendente, decentralizzato e dotato di avanzate funzioni di ricerca e di scaricamento di file. 18 Con atto di ricorso del 24 giugno 2004 essa citava pertanto la Scarlet dinanzi al presidente del tribunal de premire instance de Bruxelles, sostenendo che, nella sua qualit di FAI, tale societ si trovava nella situazione ideale per adottare misure volte a far cessare le violazioni del diritto dautore commesse dai suoi clienti. 19 LA SABAM chiedeva, anzitutto, che venisse riconosciuta la violazione dei diritti dautore sulle opere musicali appartenenti al suo repertorio, in particolare dei diritti di riproduzione e di comunicazione al pubblico, dovuta allo scambio non autorizzato di file musicali realizzato grazie a software peer to peer. Tali violazioni sarebbero state commesse avvalendosi dei servizi della Scarlet. 20 Essa domandava inoltre che la Scarlet fosse condannata, a pena di ammenda, a far cessare tali violazioni rendendo impossibile o bloccando qualsiasi forma di invio o di ricezione da parte dei suoi clienti, mediante programmi peer to peer, senza autorizzazione dei titolari dei diritti, di file contenenti unopera musicale, pretendendo infine che la Scarlet le comunicasse la descrizione delle misure che intendeva applicare per ottemperare allemananda sentenza, a pena di ammenda. 21 Con sentenza 26 novembre 2004, il presidente del tribunal de premire instance de Bruxelles accertava lesistenza delle violazioni del diritto dautore denunciate dalla SABAM. Tuttavia, prima di statuire sullistanza di provvedimenti inibitori, esso incaricava un perito di verificare se le soluzioni tecniche proposte dalla SABAM fossero tecnicamente realizzabili, se esse consentissero di filtrare unicamente gli scambi illeciti di file e se esistessero altri dispositivi idonei a controllare lutilizzo di programmi peer to peer, nonch di quantificare il costo dei dispositivi considerati. 22 Nella sua relazione, il perito designato traeva la conclusione che, nonostante la presenza di numerosi ostacoli tecnici, non si poteva escludere completamente che il filtraggio ed il blocco degli scambi illeciti di file fosse realizzabile. 23 Con sentenza 29 giugno 2007, il presidente del tribunal de premire instance de Bruxelles condannava pertanto la Scarlet a far cessare le violazioni del diritto dautore accertate con la sentenza 26 novembre 2004, rendendo impossibile qualsiasi forma, realizzata mediante un programma peer to peer, di invio o di ricezione, da parte dei suoi clienti, di file che contenessero unopera musicale appartenente al repertorio della Sabam, a pena di ammenda.

21
24 La Scarlet interponeva appello contro tale sentenza dinanzi al giudice del rinvio, affermando, anzitutto, che le risultava impossibile ottemperare a tale ingiunzione poich lefficacia e la durata nel tempo dei dispositivi di blocco o di filtraggio non erano dimostrate e lattuazione di tali dispositivi era ostacolata da diversi fattori pratici, quali problemi di capacit della rete e di impatto sulla stessa. Inoltre, qualsiasi tentativo di bloccare i file incriminati, a suo avviso, sarebbe stato destinato al fallimento a breve termine, stante lesistenza di numerosi programmi peer-to-peer che avrebbero reso impossibile la verifica del loro contenuto da parte di terzi. 25 La Scarlet sosteneva poi che detta ingiunzione non era conforme allart. 21 della legge 11 marzo 2003, su taluni aspetti giuridici dei servizi della societ dellinformazione, che recepisce nel diritto nazionale lart. 15 della direttiva 2000/31, in quanto imponeva, de facto, un obbligo generale di sorveglianza sulle comunicazioni veicolate dalla sua rete, posto che qualsiasi dispositivo di blocco o di filtraggio del traffico peer to peer presuppone una sorveglianza generalizzata su tutte le comunicazioni che passano per tale rete. 26 Infine, la Scarlet spiegava che la predisposizione di un sistema di filtraggio avrebbe leso le disposizioni del diritto dellUnione in materia di tutela dei dati personali e di segreto delle comunicazioni, in quanto tale filtraggio implica il trattamento degli indirizzi IP, che sono dati personali. 27 In tale contesto il giudice del rinvio ha ritenuto che, prima di verificare se un meccanismo di filtraggio e di blocco dei file peer-to-peer esista e possa essere efficace, occorre assicurarsi che gli obblighi da porre eventualmente a carico della Scarlet siano conformi al diritto dellUnione. 28 In tale contesto, la cour dappel de Bruxelles ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali: 1) Se le direttive 2001/29 e 2004/48, lette in combinato disposto con le direttive 95/46, 2000/31 e 2002/58, interpretate, in particolare, alla luce degli artt. 8 e 10 della Convenzione europea per la salvaguardia dei diritti delluomo e delle libert fondamentali, consentano agli Stati membri di autorizzare un giudice nazionale, adito nellambito di un procedimento nel merito e in base alla sola disposizione di legge che prevede che [i giudici nazionali] possono altres emettere uningiunzione recante un provvedimento inibitorio nei confronti di intermediari i cui servizi siano utilizzati da un terzo per violare il diritto dautore o un diritto connesso, ad ordinare ad un [FAI] di predisporre, nei confronti della sua intera clientela, in abstracto e a titolo preventivo, esclusivamente a spese di tale FAI e senza limitazioni nel tempo, un sistema di filtraggio di tutte le comunicazioni elettroniche, sia entranti che uscenti, che transitano per i suoi servizi, in particolare mediante limpiego di software peer to peer, al fine di individuare, nella sua rete, la circolazione di file contenenti unopera musicale, cinematografica o audiovisiva sulla quale il richiedente affermi di vantare diritti, e in seguito di bloccare il trasferimento di questi, al momento della richiesta o in occasione dellinvio. 2) In caso di risposta affermativa alla [prima] questione (), se tali direttive obblighino il giudice nazionale, adito per statuire su una richiesta di ingiunzione nei confronti di un intermediario dei cui servizi si avvalgano terzi per violare il diritto dautore, ad applicare il principio della proporzionalit quando chiamato a pronunciarsi sullefficacia e sulleffetto dissuasivo della misura richiesta. Sulle questioni pregiudiziali 29 Con le sue questioni il giudice del rinvio chiede, in sostanza, se le direttive 2000/31, 2001/29, 2004/48, 95/46 e 2002/58, lette nel loro combinato disposto ed interpretate alla luce delle

22
condizioni che la tutela dei diritti fondamentali applicabili implica, debbano essere interpretate nel senso che ostano allingiunzione rivolta ad un FAI di predisporre un sistema di filtraggio: di tutte le comunicazioni elettroniche che transitano per i suoi servizi, in particolare mediante programmi peer-to-peer; che si applichi indistintamente a tutta la sua clientela; a titolo preventivo; a sue spese esclusive, e senza limiti nel tempo, idoneo ad identificare nella rete di tale fornitore la circolazione di file contenenti unopera musicale, cinematografica o audiovisiva rispetto alla quale il richiedente affermi di vantare diritti di propriet intellettuale, onde bloccare il trasferimento di file il cui scambio pregiudichi il diritto dautore (in prosieguo: il sistema di filtraggio controverso). 30 In proposito, occorre anzitutto ricordare che, ai sensi degli artt. 8, n. 3, della direttiva 2001/29 e 11, terza frase, della direttiva 2004/48, i titolari di diritti di propriet intellettuale possono chiedere un provvedimento inibitorio nei confronti degli intermediari, come i FAI, i cui servizi siano utilizzati da terzi per violare i loro diritti. 31 Dalla giurisprudenza della Corte risulta poi che la competenza attribuita, a norma di tali disposizioni, agli organi giurisdizionali nazionali deve consentire a questi ultimi di ingiungere a detti intermediari di adottare provvedimenti che contribuiscano in modo effettivo, non solo a porre fine alle violazioni gi inferte ai diritti di propriet intellettuale mediante i loro servizi della societ dellinformazione, ma anche a prevenire nuove violazioni (v., in questo senso, sentenza 12 luglio 2011, causa C-324/09, LOral e a., non ancora pubblicata nella Raccolta, punto 131). 32 Infine, dalla medesima giurisprudenza si evince che le modalit delle ingiunzioni che gli Stati membri devono prevedere ai sensi di detti artt. 8, n. 3, e 11, terza frase, quali quelle relative alle condizioni che devono essere soddisfatte e alla procedura da seguire, devono essere stabilite dal diritto nazionale (v., mutatis mutandis, sentenza LOral e a., cit., punto 135). 33 Pertanto, tali norme nazionali, al pari della loro applicazione da parte degli organi giurisdizionali nazionali, devono rispettare i limiti derivanti dalle direttive 2001/29 e 2004/48, nonch dalle fonti del diritto alle quali tali direttive fanno riferimento (v., in questo senso, sentenza LOral e a., cit., punto 138). 34 Di conseguenza, in conformit al sedicesimo considerando della direttiva 2001/29 e allart. 2, n. 3, lett. a), della direttiva 2004/48, dette norme, emanate dagli Stati membri, non possono intaccare le disposizioni della direttiva 2000/31 e, pi precisamente, i suoi artt. 12-15. 35 Tali norme devono quindi rispettare lart. 15, n. 1, della direttiva 2000/31, che vieta alle autorit nazionali di adottare misure che impongano ad un FAI di procedere ad una sorveglianza generalizzata sulle informazioni che esso trasmette sulla propria rete. 36 A questo riguardo, la Corte ha gi statuito che siffatto divieto abbraccia in particolare le misure nazionali che obbligherebbero un prestatore intermedio, come un FAI, a realizzare una vigilanza attiva su tutti i dati di ciascuno dei suoi clienti per prevenire qualsiasi futura violazione di diritti di propriet intellettuale. Peraltro, un obbligo siffatto di vigilanza generale sarebbe incompatibile con lart. 3 della direttiva 2004/48, il quale enuncia che le misure contemplate da

23
detta direttiva devono essere eque e proporzionate e non eccessivamente costose (v. sentenza LOral e a., cit., punto 139). 37 Ci considerato, occorre verificare se lingiunzione oggetto della causa principale, che impone al FAI di predisporre il sistema di filtraggio controverso, implichi in tale circostanza lobbligo di procedere ad una sorveglianza attiva su tutti i dati di ciascuno dei suoi clienti per prevenire qualsiasi futura violazione di diritti di propriet intellettuale. 38 A questo proposito, pacifico che lattuazione di tale sistema di filtraggio presuppone: che il FAI identifichi, in primo luogo, nellinsieme delle comunicazioni elettroniche di tutti i suoi clienti, i file che appartengono al traffico peer-to-peer; che esso identifichi, in secondo luogo, nellambito di tale traffico, i file che contengono opere sulle quali i titolari dei diritti di propriet intellettuale affermino di vantare diritti; in terzo luogo, che esso determini quali tra questi file sono scambiati in modo illecito e, in quarto luogo, che proceda al blocco degli scambi di file che esso stesso qualifica come illeciti. 39 Siffatta sorveglianza preventiva richiederebbe cos unosservazione attiva sulla totalit delle comunicazioni elettroniche realizzate sulla rete del FAI coinvolto e, pertanto, includerebbe tutte le informazioni da trasmettere e ciascun cliente che si avvale di tale rete. 40 Alla luce di quanto precede, occorre dichiarare che lingiunzione rivolta al FAI in questione di predisporre il sistema di filtraggio controverso lo obbligherebbe a procedere ad una sorveglianza attiva su tutti i dati di ciascuno dei suoi clienti per prevenire qualsiasi futura violazione di diritti di propriet intellettuale. Da ci si evince che tale ingiunzione imporrebbe a detto FAI una sorveglianza generalizzata, che vietata dallart. 15, n. 1, della direttiva 2000/31. 41 Per vagliare la conformit di tale ingiunzione al diritto dellUnione, occorre inoltre tenere conto delle condizioni che discendono dalla tutela dei diritti fondamentali applicabili, come quelli menzionati dal giudice del rinvio. 42 In proposito va ricordato che lingiunzione oggetto della causa principale volta a garantire la tutela dei diritti dautore, che appartengono alla sfera del diritto di propriet intellettuale e che possono essere lesi dalla natura e dal contenuto di talune comunicazioni elettroniche realizzate per il tramite della rete del FAI in questione. 43 Sebbene la tutela del diritto di propriet intellettuale sia sancita dallart. 17, n. 2, della Carta dei diritti fondamentali dellUnione europea (in prosieguo: la Carta), non pu desumersi n da tale disposizione n dalla giurisprudenza della Corte che tale diritto sia intangibile e che la sua tutela debba essere garantita in modo assoluto. 44 Come emerge, infatti, dai punti 62-68 della sentenza 29 gennaio 2008, causa C-275/06, Promusicae (Racc. pag. I-271), la tutela del diritto fondamentale di propriet, di cui fanno parte i diritti di propriet intellettuale, deve essere bilanciata con quella di altri diritti fondamentali. 45 Pi precisamente, dal punto 68 di tale sentenza emerge che compito delle autorit e dei giudici nazionali, nel contesto delle misure adottate per proteggere i titolari di diritti dautore, garantire un giusto equilibrio tra la tutela di tali diritti e quella dei diritti fondamentali delle persone su cui incidono dette misure.

24
46 Pertanto, in circostanze come quelle della causa principale, le autorit ed i giudici nazionali devono in particolare garantire un giusto equilibrio tra la tutela del diritto di propriet intellettuale, di cui godono i titolari di diritti dautore, e quella della libert dimpresa, appannaggio di operatori come i FAI in forza dellart. 16 della Carta. 47 Orbene, nella presente fattispecie, lingiunzione di predisporre il sistema di filtraggio controverso implica una sorveglianza, nellinteresse di tali titolari, su tutte le comunicazioni elettroniche realizzate sulla rete del FAI coinvolto. Tale sorveglianza inoltre illimitata nel tempo, riguarda qualsiasi futura violazione e postula che si debbano tutelare non solo opere esistenti, bens anche opere future, che non sono state ancora create nel momento in cui viene predisposto detto sistema. 48 Pertanto, uningiunzione di questo genere causerebbe una grave violazione della libert di impresa del FAI in questione, poich lobbligherebbe a predisporre un sistema informatico complesso, costoso, permanente e unicamente a suo carico, il che risulterebbe peraltro contrario alle condizioni stabilite dallart. 3, n. 1, della direttiva 2004/48, il quale richiede che le misure adottate per assicurare il rispetto dei diritti di propriet intellettuale non siano inutilmente complesse o costose. 49 Ci premesso, occorre dichiarare che lingiunzione di predisporre il sistema di filtraggio controverso non rispetta lesigenza di garantire un giusto equilibrio tra, da un lato, la tutela del diritto di propriet intellettuale, di cui godono i titolari dei diritti dautore, e, dallaltro, quella della libert dimpresa, appannaggio di operatori come i FAI. 50 Per di pi, gli effetti di detta ingiunzione non si limiterebbero al FAI coinvolto, poich il sistema di filtraggio controverso idoneo a ledere anche i diritti fondamentali dei clienti di tale FAI, ossia i loro diritti alla tutela dei dati personali e alla libert di ricevere o di comunicare informazioni, diritti, questi ultimi, tutelati dagli artt. 8 e 11 della Carta. 51 Da un lato, infatti, pacifico che lingiunzione di predisporre il sistema di filtraggio controverso implicherebbe unanalisi sistematica di tutti i contenuti, nonch la raccolta e lidentificazione degli indirizzi IP degli utenti allorigine dellinvio dei contenuti illeciti sulla rete, indirizzi che costituiscono dati personali protetti, in quanto consentono di identificare in modo preciso suddetti utenti. 52 Dallaltro, detta ingiunzione rischierebbe di ledere la libert di informazione, poich tale sistema potrebbe non essere in grado di distinguere adeguatamente tra un contenuto lecito ed un contenuto illecito, sicch il suo impiego potrebbe produrre il risultato di bloccare comunicazioni aventi un contenuto lecito. Infatti, indiscusso che la questione della liceit di una trasmissione dipende anche dallapplicazione di eccezioni di legge al diritto di autore che variano da uno Stato membro allaltro. Inoltre, in certi Stati membri talune opere possono rientrare nel pubblico dominio o possono essere state messe in linea gratuitamente da parte dei relativi autori. 53 Pertanto, occorre dichiarare che, adottando lingiunzione che costringe il FAI a predisporre il sistema di filtraggio controverso, il giudice nazionale in questione non rispetterebbe lobbligo di garantire un giusto equilibrio tra, da un lato, il diritto di propriet intellettuale e, dallaltro, la libert di impresa, il diritto alla tutela dei dati personali e la libert di ricevere o di comunicare informazioni. 54 Alla luce di quanto precede, occorre risolvere le questioni sottoposte dichiarando che le direttive 2000/31, 2001/29, 2004/48, 95/46 e 2002/58, lette in combinato disposto e interpretate tenendo presenti le condizioni derivanti dalla tutela dei diritti fondamentali applicabili, devono essere interpretate nel senso che ostano allingiunzione ad un FAI di predisporre il sistema di filtraggio controverso.

25
Sulle spese 55 Nei confronti delle parti nella causa principale il presente procedimento costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. Per questi motivi, la Corte (Terza Sezione) dichiara: Le direttive: del Parlamento europeo e del Consiglio 8 giugno 2000, 2000/31/CE, relativa a taluni aspetti giuridici dei servizi della societ dellinformazione, in particolare il commercio elettronico, nel mercato interno (Direttiva sul commercio elettronico); del Parlamento europeo e del Consiglio 22 maggio 2001, 2001/29/CE, sullarmonizzazione di taluni aspetti del diritto dautore e dei diritti connessi nella societ dellinformazione; del Parlamento europeo e del Consiglio 29 aprile 2004, 2004/48/CE, sul rispetto dei diritti di propriet intellettuale; del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati, e del Parlamento europeo e del Consiglio 12 luglio 2002, 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), lette in combinato disposto e interpretate tenendo presenti le condizioni derivanti dalla tutela dei diritti fondamentali applicabili, devono essere interpretate nel senso che ostano allingiunzione ad un fornitore di accesso ad Internet di predisporre un sistema di filtraggio: di tutte le comunicazioni elettroniche che transitano per i suoi servizi, in particolare mediante programmi peer-to-peer; che si applica indistintamente a tutta la sua clientela; a titolo preventivo; a sue spese esclusive, e senza limiti nel tempo, idoneo ad identificare nella rete di tale fornitore la circolazione di file contenenti unopera musicale, cinematografica o audiovisiva rispetto alla quale il richiedente affermi di vantare diritti di propriet intellettuale, onde bloccare il trasferimento di file il cui scambio pregiudichi il diritto dautore. Firme

26

Documento allegato n. 6
Dalla rete, pubblicato in Infocuria - Giurisprudenza della Corte di giustizia

SENTENZA DELLA CORTE (Terza Sezione) 19 aprile 2012

Diritto dautore e diritti connessi Trattamento di dati via Internet Lesione di un diritto esclusivo Audiolibri resi accessibili per mezzo di un server FTP via Internet tramite un recapito IP fornito dalloperatore Internet Ingiunzione rivolta alloperatore Internet di fornire il nominativo ed il recapito dellutilizzatore dellindirizzo IP

Nella causa C-461/10, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dellart. 267 TFUE, dallo Hgsta domstolen (Svezia), con decisione del 25 agosto 2010, pervenuta in cancelleria il 20 settembre 2010, nella causa Bonnier Audio AB, Earbooks AB, Norstedts Frlagsgrupp AB, Piratfrlaget AB, Storyside AB contro Perfect Communication Sweden AB, LA CORTE (Terza Sezione), composta dal sig. K. Lenaerts, presidente di sezione, dal sig. J. Malenovsk (relatore), dalla sig.ra R. Silva de Lapuerta, dai sigg. E. Juhsz e D. vby, giudici, avvocato generale: sig. N. Jskinen cancelliere: sig.ra K. Sztranc-Sawiczek, amministratore vista la fase scritta del procedimento e in seguito alludienza del 30 giugno 2011, considerate le osservazioni presentate: per la Bonnier Audio AB, la Earbooks AB, la Norstedts Frlagsgrupp AB, la Piratfrlaget AB e la Storyside AB, da P. Danowsky e O. Roos, advokater;

27
per la Perfect Communication Sweden AB, da P. Helle e M. Mostrm, advokater; per il governo svedese, da A. Falk e C. Meyer-Seitz, in qualit di agenti; per il governo ceco, da M. Smolek e K. Havlkov, in qualit di agenti; per il governo italiano, da G. Palmieri e C. Colelli, in qualit di agenti, assistite da S. Fiorentino, avvocato dello Stato; per il governo lettone, da M. Borkoveca e K. Krasovska, in qualit di agenti; per la Commissione europea, da R. Troosters e K. Simonsson, in qualit di agenti, sentite le conclusioni dellavvocato generale, presentate alludienza del 17 novembre 2011, ha pronunciato la seguente Sentenza 1 La domanda di pronuncia pregiudiziale verte sullinterpretazione degli articoli 3-5 e 11 della direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nellambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU L 105, pag. 54), nonch dellarticolo 8 della direttiva 2004/48/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di propriet intellettuale (GU L 157, pag. 45, e rettifica GU L 195, pag. 16). 2 Tale domanda stata proposta nellambito di una controversia tra la Bonnier Audio AB, la Earbooks AB, la Norstedts Frlagsgrupp AB, la Piratfrlaget AB e la Storyside AB (in prosieguo, congiuntamente: la Bonnier Audio e a.), da un lato, e la Perfect Communication Sweden AB (in prosieguo: la ePhone), dallaltro, in merito allopposizione di questultima ad una domanda di ingiunzione di comunicazione di dati proposta dai ricorrenti principali. Contesto normativo Il diritto dellUnione Le disposizioni relative alla tutela della propriet intellettuale 3 Lart. 8 della direttiva 2004/48 cos recita: 1. Gli Stati membri assicurano che, nel contesto di procedimenti riguardanti la violazione di un diritto di propriet intellettuale e in risposta a una richiesta giustificata e proporzionata del richiedente, lautorit giudiziaria competente possa ordinare che le informazioni sullorigine e sulle reti di distribuzione di merci o di prestazione di servizi che violano un diritto di propriet intellettuale siano fornite dallautore della violazione e/o da ogni altra persona che:

28
a) sia stata trovata in possesso di merci oggetto di violazione di un diritto, su scala commerciale; b) sia stata sorpresa a utilizzare servizi oggetto di violazione di un diritto, su scala commerciale; c) sia stata sorpresa a fornire su scala commerciale servizi utilizzati in attivit di violazione di un diritto, oppure d) sia stata indicata dai soggetti di cui alle lettere a), b) o c) come persona implicata nella produzione, fabbricazione o distribuzione di tali prodotti o nella fornitura di tali servizi. 2. Le informazioni di cui al paragrafo 1 comprendono, ove opportuno, quanto segue: a) nome e indirizzo dei produttori, dei fabbricanti, dei distributori, dei fornitori e degli altri precedenti detentori dei prodotti o dei servizi, nonch dei grossisti e dei dettaglianti; b) informazioni sulle quantit prodotte, fabbricate, consegnate, ricevute o ordinate, nonch sul prezzo spuntato per i prodotti o i servizi in questione. 3. I paragrafi 1 e 2 si applicano fatte salve le altre disposizioni [legislative e] regolamentari che: a) accordano al titolare diritti dinformazione pi ampi; b) disciplinano luso in sede civile o penale delle informazioni comunicate in virt del presente articolo; c) disciplinano la responsabilit per abuso del diritto dinformazione; d) accordano la possibilit di rifiutarsi di fornire informazioni che costringerebbero i soggetti di cui al paragrafo 1 ad ammettere la [loro] partecipazione personale o quella di parenti stretti ad una violazione di un diritto di propriet intellettuale; oppure e) disciplinano la protezione o la riservatezza delle fonti informative o il trattamento di dati personali. Le disposizioni relative alla protezione dei dati di carattere personale La direttiva 95/46/CE 4 La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati (GU L 281, pag. 31), stabilisce norme relative al trattamento dei dati personali al fine di tutelare i diritti delle persone fisiche a tale riguardo, assicurando al contempo la libera circolazione dei dati medesimi nellUnione europea.

29
5 Larticolo 2, lettere a) e b), della direttiva 95/46 cos dispone: Ai fini della presente direttiva si intende per: a) dati personali: qualsiasi informazione concernente una persona fisica identificata o identificabile (persona interessata); si considera identificabile la persona che pu essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o pi elementi specifici caratteristici della sua identit fisica, fisiologica, psichica, economica, culturale o sociale; b) trattamento di dati personali (trattamento): qualsiasi operazione o insieme di operazioni compiute con o senza lausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, lorganizzazione, la conservazione, lelaborazione o la modifica, lestrazione, la consultazione, limpiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o linterconnessione, nonch il congelamento, la cancellazione o la distruzione. 6 Larticolo 13 di tale direttiva, intitolato Deroghe e restrizioni, dispone, al suo paragrafo 1, quanto segue: Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dellarticolo 6, paragrafo 1, dellarticolo 10, dellarticolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia: a) della sicurezza dello Stato; b) della difesa; c) della pubblica sicurezza; d) della prevenzione, della ricerca, dellaccertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate; e) di un rilevante interesse economico o finanziario di uno Stato membro o dellUnione europea, anche in materia monetaria, di bilancio e tributaria; f) di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con lesercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e); g) della protezione della persona interessata o dei diritti e delle libert altrui. La direttiva 2002/58/CE 7 A termini dellarticolo 2 della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201, pag. 37): Salvo diversa disposizione, ai fini della presente direttiva si applicano le definizioni di cui alla direttiva 95/46/CE e alla direttiva 2002/21/CE del Parlamento europeo e del

30
Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (direttiva quadro) [GU L 108, pag. 33]. Si applicano inoltre le seguenti definizioni: (...) b) dati relativi al traffico: qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione; (...) d) comunicazione: ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse, come parte di un servizio di radiodiffusione, al pubblico tramite una rete di comunicazione elettronica salvo quando le informazioni possono essere collegate allabbonato o utente che riceve le informazioni [e] che pu essere identificato; (...). 8 Larticolo 5, paragrafo 1, della direttiva 2002/58 cos dispone: Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonch dei relativi dati sul traffico. In particolare essi vietano lascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dellarticolo 15, paragrafo 1. Questo paragrafo non impedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione, fatto salvo il principio della riservatezza. 9 Il successivo articolo 6 cos recita: 1. I dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica, devono essere cancellati o resi anonimi quando non sono pi necessari ai fini della trasmissione di una comunicazione, fatti salvi i paragrafi 2, 3 e 5 del presente articolo e larticolo 15, paragrafo 1. 2. I dati relativi al traffico che risultano necessari ai fini della fatturazione per labbonato e dei pagamenti di interconnessione possono essere sottoposti a trattamento. Tale trattamento consentito solo sino alla fine del periodo durante il quale pu essere legalmente contestata la fattura o preteso il pagamento. 3. Ai fini della commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico ha facolt di sottoporre a trattamento i dati di cui al paragrafo 1 nella misura e per la durata necessaria per siffatti servizi, o per la commercializzazione, sempre che labbonato o lutente a cui i dati si riferiscono abbia

31
dato il proprio consenso. Gli abbonati o utenti hanno la possibilit di ritirare il loro consenso al trattamento dei dati relativi al traffico in qualsiasi momento. () 5. Il trattamento dei dati relativi al traffico ai sensi dei paragrafi da 1 a 4 deve essere limitato alle persone che agiscono sotto lautorit dei fornitori della rete pubblica di comunicazione elettronica e dei servizi di comunicazione elettronica accessibili al pubblico che si occupano della fatturazione o della gestione del traffico, delle indagini per conto dei clienti, dellaccertamento delle frodi, della commercializzazione dei servizi di comunicazione elettronica o della prestazione di servizi a valore aggiunto. Il trattamento deve essere limitato a quanto strettamente necessario per lo svolgimento di tali attivit. 6. I paragrafi 1, 2, 3 e 5 non pregiudicano la facolt degli organismi competenti di ottenere i dati relativi al traffico in base alla normativa applicabile al fine della risoluzione delle controversie, in particolare di quelle attinenti allinterconnessione e alla fatturazione. 10 A termini dellarticolo 15, paragrafo 1, della direttiva medesima: Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, allarticolo 8, paragrafi da 1 a 4, e allarticolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dellarticolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata allinterno di una societ democratica per la salvaguardia della sicurezza nazionale (cio della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero delluso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra laltro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui allarticolo 6, paragrafi 1 e 2, del Trattato sullUnione europea. La direttiva 2006/24 11 Ai sensi del dodicesimo considerando della direttiva 2006/24/CE: Larticolo 15, paragrafo 1, della direttiva 2002/58/CE continua ad applicarsi ai dati, compresi quelli connessi ai tentativi di chiamata non riusciti, di cui non specificamente richiesta la conservazione a norma della presente direttiva e che pertanto non rientrano nel campo di applicazione della stessa, e alla conservazione dei dati per scopi, anche giudiziari, diversi da quelli contemplati dalla presente direttiva. 12 Larticolo 1, paragrafo 1, della direttiva 2006/24 cos dispone: La presente direttiva ha lobiettivo di armonizzare le disposizioni degli Stati membri relative agli obblighi, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione, relativi alla conservazione di determinati dati da essi generati o trattati, allo scopo di garantirne la disponibilit a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale.

32
13 Il successivo articolo 3, paragrafo 1, cos recita: In deroga agli articoli 5, 6 e 9 della direttiva 2002/58/CE, gli Stati membri adottano misure per garantire che i dati di cui allarticolo 5 della presente direttiva, qualora siano generati o trattati nel quadro della fornitura dei servizi di comunicazione interessati, da fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione nellambito della loro giurisdizione, siano conservati conformemente alle disposizioni della presente direttiva. 14 Il successivo articolo 4 precisa quanto segue: Gli Stati membri adottano misure per garantire che i dati conservati ai sensi della presente direttiva siano trasmessi solo alle autorit nazionali competenti, in casi specifici e conformemente alle normative nazionali. Le procedure da seguire e le condizioni da rispettare per avere accesso ai dati conservati in conformit dei criteri di necessit e di proporzionalit sono definite da ogni Stato membro nella legislazione nazionale, con riserva delle disposizioni in materia del diritto dellUnione europea o del diritto pubblico internazionale e in particolare della [Convenzione europea per la salvaguardia dei diritti dellUomo e delle libert fondamentali, firmata a Roma il 4 novembre 1950,] secondo linterpretazione della Corte europea dei diritti delluomo. 15 Il successivo articolo 5 cos recita: 1. Gli Stati membri provvedono affinch in applicazione della presente direttiva siano conservate le seguenti categorie di dati: a) i dati necessari per rintracciare e identificare la fonte di una comunicazione: 1) per la telefonia di rete fissa e la telefonia mobile: i) numero telefonico chiamante; ii) nome e indirizzo dellabbonato o dellutente registrato; 2) per laccesso Internet, posta elettronica su Internet e telefonia via Internet: i) identificativo/i dellutente; ii) identificativo dellutente e numero telefonico assegnati a ogni comunicazione sulla rete telefonica pubblica; iii) nome e indirizzo dellabbonato o dellutente registrato a cui al momento della comunicazione sono stati assegnati lindirizzo di protocollo Internet (IP), un identificativo di utente o un numero telefonico; b) i dati necessari per rintracciare e identificare la destinazione di una comunicazione: (...) c) i dati necessari per determinare la data, lora e la durata di una comunicazione: (...)

33
d) i dati necessari per determinare il tipo di comunicazione: (...) e) i dati necessari per determinare le attrezzature di comunicazione degli utenti o quello che si presume essere le loro attrezzature: (...) f) i dati necessari per determinare lubicazione delle apparecchiature di comunicazione mobile: (...) A norma della presente direttiva, non pu essere conservato alcun dato relativo al contenuto della comunicazione. 16 Il successivo articolo 6, relativo ai periodi di conservazione, prevede quanto segue: Gli Stati membri provvedono affinch le categorie di dati di cui allarticolo 5 siano conservate per periodi non inferiori a sei mesi e non superiori a due anni dalla data della comunicazione. 17 Larticolo 11 della direttiva medesima cos dispone: Allarticolo 15 della direttiva 2002/58/CE inserito il seguente paragrafo: 1 bis. Il paragrafo 1 non si applica ai dati la cui conservazione specificamente prevista dalla direttiva [2006/24], ai fini di cui allarticolo 1, paragrafo 1, di tale direttiva. La normativa nazionale Il diritto dautore 18 Le disposizioni della direttiva 2004/48 sono state recepite nel diritto svedese con lintroduzione di nuove disposizioni nella legge 1960:729 relativa alla propriet letteraria e artistica [lagen (1960:729) om upphovsrtt till litterra och konstnrliga verk], per mezzo della legge 2009:109, recante modifica della legge 1960:729 [Lag (2009:109) om ndring i lagen (1960:729)], del 26 febbraio 2009 (in prosieguo: la legge sul diritto dautore). Tale novella entrata in vigore il 1 aprile 2009. 19 Larticolo 53 quater della legge sul diritto dautore cos dispone: Se il ricorrente pu dimostrare la fondatezza dellavvenuta violazione del diritto dautore di unopera, previsto allarticolo 53, il giudice pu intimare, a pena di ammende, alla/e persona/e indicata/e supra nel secondo comma di fornire informazioni sullorigine e sulle reti di distribuzione delle merci o di prestazione di servizi che arrechino pregiudizio o costituiscano violazione di un diritto (ingiunzione di fornire informazioni). Una siffatta misura pu essere disposta su domanda del titolare del diritto, del suo avente causa o di chiunque goda di un diritto legittimo di sfruttamento dellopera. Essa pu essere disposta solo a condizione che le informazioni richieste

34
possano agevolare le indagini sulla violazione del diritto o sul pregiudizio allo stesso, derivante dalle suddette merci o dai suddetti servizi. Lobbligo di fornire informazioni grava su ogni persona: 1) autore o complice della violazione del diritto o del pregiudizio ad esso arrecato; 2) che abbia disposto su scala commerciale di una merce arrecante pregiudizio a un diritto o costituente violazione dello stesso; 3) che abbia utilizzato su scala commerciale un servizio arrecante pregiudizio a un diritto o costituente violazione dello stesso; 4) che abbia fornito su scala commerciale un servizio di comunicazione elettronica o di altra natura utilizzato per commettere atti arrecanti pregiudizio al diritto o la violazione dello stesso, o 5) [che] sia stata identificata da un soggetto indicato ai punti 2)-4) supra come colui che ha partecipato alla produzione o alla distribuzione di una merce o alla fornitura di un servizio costituente violazione di un diritto o recante pregiudizio allo stesso. Le informazioni sullorigine e sulle reti di distribuzione delle merci o di prestazione di sevizi comprendono in particolare: 1) nome e indirizzo dei produttori, dei distributori, dei fornitori e degli altri precedenti detentori dei prodotti o dei servizi; 2) nome e indirizzo dei grossisti e dei dettaglianti, e 3) informazioni sulle quantit prodotte, fabbricate, consegnate, ricevute o ordinate, nonch sul prezzo spuntato per i prodotti o i servizi in questione. Le dette disposizioni sono applicabili al tentativo o alla preparazione della violazione o del pregiudizio previsti allarticolo 53. 20 Larticolo 53 quinquies della legge medesima cos recita: Lingiunzione di fornire informazioni pu essere disposta solo se i motivi che giustificano tale misura prevalgono sui pregiudizi o su altri svantaggi che possano derivarne per il destinatario o su ogni altro interesse contrapposto. Lobbligo di fornire informazioni di cui allarticolo 53, quater non comprende le informazioni la cui comunicazione costringa la persona interessata ad ammettere la partecipazione propria o di parenti prossimi, ai sensi dellarticolo 3 del capitolo 36 del codice di procedura giudiziaria, alla perpetrazione di un reato. La legge 1998:204 relativa ai dati personali [personuppgiftslagen (1998:204)] impone restrizioni al trattamento di tali informazioni.

35
La tutela dei dati a carattere personale 21 La direttiva 2002/58 stata recepita nel diritto svedese, in particolare, per mezzo della legge 2003:389 sulle comunicazioni elettroniche [lagen (2003:389) om elektronisk kommunikation]. 22 Larticolo 20, primo comma, del capitolo 6 di detta legge vieta a chiunque di diffondere o di utilizzare, se non autorizzato, informazioni relative ad abbonati che gli siano state comunicate o alle quali egli abbia avuto accesso nellambito della fornitura di una rete di comunicazione elettronica oppure di un servizio di comunicazione elettronica. 23 Il giudice del rinvio osserva, a tal riguardo, che lobbligo di riservatezza al quale sono tenuti, in particolare, i fornitori di accesso Internet stato quindi concepito per vietare unicamente la divulgazione o lutilizzo non autorizzato di taluni dati. Tuttavia, tale obbligo di riservatezza relativo, tenuto conto che altre disposizioni prevedono lobbligo di comunicazione di tali dati, con la conseguenza che tale diffusione diviene autorizzata. A parere dello Hgsta domstolen, si ritenuto che il diritto allinformazione istituito dallarticolo 53 quater della legge sul diritto dautore, parimenti applicabile agli operatori Internet, non debba necessitare di particolari adattamenti legislativi affinch tali nuove disposizioni sulla divulgazione di dati di carattere personale prevalgano sullobbligo di riservatezza. Lobbligo di riservatezza verrebbe quindi meno per effetto della decisione del giudice di disporre lingiunzione di comunicare tali dati. 24 Per quanto attiene alla direttiva 2006/24, essa non stata recepita nel diritto svedese entro il termine a tal fine stabilito. Causa principale e questioni pregiudiziali 25 La Bonnier Audio e a. sono case editrici, titolari, segnatamente, di diritti esclusivi di riproduzione, di edizione e di messa a disposizione del pubblico di ventisette opere presentate in forma di audiolibro. 26 A parere della Bonnier Audio e a., i diritti esclusivi di cui essi sono titolari sarebbero stati violati a causa della diffusione al pubblico delle ventisette opere senza il loro consenso a mezzo di un server FTP (file transfer protocol), che consente la condivisione di file e il trasferimento di dati tra computer connessi a Internet. 27 Loperatore Internet tramite il quale avvenuto il presunto scambio illecito di file la ePhone. 28 La Bonnier Audio e a. hanno proposto dinanzi al Solna tingsrtt (Tribunale di primo grado di Solna) domanda di ingiunzione al fine di ottenere la comunicazione del nome e del recapito della persona facente uso dellindirizzo IP dal quale si presume siano stati trasmessi i file in questione nel periodo compreso tra le ore 3.28 e le ore 5.45 del 1 aprile 2009. 29 Detto operatore, ePhone, si opposto a tale domanda sostenendo, segnatamente, che lingiunzione richiesta risulterebbe contraria alla direttiva 2006/24.

36
30 In primo grado, il Solna tingsrtt ha accolto la domanda di ingiunzione ai fini della comunicazione dei dati di cui trattasi. 31 Loperatore Internet, ePhone, ha proposto appello dinanzi allo Svea hovrtt (Corte dappello di Svea), chiedendo il rigetto della domanda di ingiunzione. Detta societ ha parimenti chiesto di adire in via pregiudiziale la Corte affinch venga precisato se la direttiva 2006/24 osti alla comunicazione di informazioni relative ad un abbonato, al quale sia stato assegnato un indirizzo IP, a soggetti diversi dalle autorit indicate nella direttiva medesima. 32 Lo Svea hovrtt ha ritenuto che nessuna disposizione della direttiva 2006/24 esclude che venga ingiunto ad una parte in un procedimento civile di comunicare, a soggetti diversi da una pubblica autorit, dati relativi ad un determinato abbonato. Il giudice medesimo ha inoltre respinto la domanda di rinvio pregiudiziale alla Corte. 33 Lo Svea hovrtt ha parimenti rilevato che le case editrici di audiolibri non avevano dimostrato lesistenza di indizi effettivi dellavvenuta violazione del diritto di propriet intellettuale e ha quindi deciso di annullare lingiunzione di fornire informazioni disposta dal Solna tingsrtt. La Bonnier Audio e a. ha quindi proposto ricorso per cassazione dinanzi allo Hgsta domstolen. 34 Il giudice del rinvio ritiene che, pur alla luce della sentenza del 29 gennaio 2008, Promusicae (C-275/06, Racc. pag. I-271), nonch dellordinanza del 19 febbraio 2009, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten (C-557/07, Racc. pag. I-1227), sussistano dubbi sulla questione se il diritto dellUnione osti allapplicazione dellarticolo 53 quater della legge sul diritto dautore, considerato che n tale sentenza n tale ordinanza fanno riferimento alla direttiva 2006/24. 35 Ci premesso, le Hgsta domstolen ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali: 1) Se la direttiva 2006/24 (), con particolare riguardo agli articoli 3[-]5 e 11, osti allapplicazione di una disposizione nazionale, introdotta in forza dellarticolo 8 della direttiva 2004/48 (), ai sensi della quale, in un procedimento civile e allo scopo di identificare un determinato abbonato, il giudice ingiunga ad un operatore Internet di fornire al titolare di diritti dautore o al suo avente causa informazioni sullabbonato al quale loperatore Internet abbia assegnato lindirizzo IP utilizzato ai fini della violazione. Si presume, da un lato, che il ricorrente abbia dimostrato la sussistenza di indizi effettivi dellavvenuta violazione del diritto dautore e, dallaltro, che la misura risulti proporzionata. 2) Se sia rilevante, ai fini della risposta alla prima questione, il fatto che lo Stato membro non abbia dato ancora attuazione alla direttiva 2006/24, nonostante il relativo termine sia scaduto. Sulle questioni pregiudiziali 36 Con le due questioni pregiudiziali, che appare opportuno esaminare congiuntamente, il giudice del rinvio chiede, sostanzialmente, se la direttiva 2006/24 debba essere interpretata nel senso che osta allapplicazione di una normativa nazionale, istituita sulla base dellarticolo 8 della direttiva 2004/48, la quale consenta, ai fini dellidentificazione

37
di un abbonato a Internet o di un utente Internet, di ingiungere ad un operatore Internet di comunicare al titolare di un diritto dautore ovvero ad un suo avente causa lidentit di un abbonato al quale sia stato attribuito un indirizzo IP utilizzato ai fini della violazione del diritto di autore stesso e se il fatto che lo Stato membro interessato non abbia ancora provveduto alla trasposizione della direttiva 2006/24, malgrado la scadenza del termine alluopo previsto, incida sulla soluzione di tale questione. 37 In limine, si deve rilevare, da un lato, che la Corte si fonda sulla premessa secondo cui i dati di cui trattasi nella causa principale sono stati conservati conformemente alla normativa nazionale, nel rispetto dei requisiti fissati dallarticolo 15, paragrafo 1, della direttiva 2002/58, circostanza che spetta al giudice del rinvio verificare. 38 Dallaltro, la direttiva 2006/24 volta, a termini dellarticolo 1, paragrafo 1, ad armonizzare le disposizioni di diritto interno degli Stati membri relative agli obblighi, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione, di trattamento e di conservazione di determinati dati da essi generati o trattati, allo scopo di garantirne la disponibilit a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria normativa nazionale. 39 Peraltro, come emerge dallarticolo 4 della direttiva 2006/24, i dati conservati a norma di tale direttiva non possono essere trasmessi se non alle competenti autorit nazionali, in casi precisi e conformemente alla normativa interna dello Stato membro interessato. 40 In tal senso, la direttiva 2006/24 riguarda esclusivamente il trattamento e la conservazione di dati generati o trattati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, a fini di indagine, di accertamento e perseguimento di reati gravi, nonch la loro trasmissione alle competenti autorit nazionali. 41 La sfera di applicazione ratione materiae della direttiva 2006/24 cos precisata confermata dallarticolo 11 della medesima, a termini del quale, nel caso in cui tali dati siano stati conservati specificamente ai fini previsti dallarticolo 1, paragrafo 1, di detta direttiva, larticolo 15, paragrafo 1, della direttiva 2002/58 risulta ad essi inapplicabile. 42 Per contro, come emerge dal dodicesimo considerando della direttiva 2006/24, larticolo 15, paragrafo 1, della direttiva 2002/58 continua a trovare applicazione ai dati conservati a fini diversi da quelli specificamente contemplati dallarticolo 1, paragrafo 1, della direttiva 2006/24, segnatamente a fini giudiziari. 43 In tal senso, dalla lettura del combinato disposto dellarticolo 11 e del dodicesimo considerando della direttiva 2006/24 emerge che tale direttiva costituisce una normativa speciale e ben circoscritta, che deroga e si sostituisce alla direttiva 2002/58 di portata generale e, in particolare, allarticolo 15, paragrafo 1, di questultima. 44 Quanto alla causa principale, si deve rilevare che la normativa in questione persegue un obiettivo differente da quello della direttiva 2006/24. Essa riguarda, infatti, la comunicazione di dati nellambito di un procedimento civile, ai fini dellaccertamento di lesioni di diritti di propriet intellettuale.

38
45 Tale normativa non ricade, quindi, nella sfera di applicazione ratione materiae della direttiva 2006/24. 46 Resta pertanto irrilevante nella causa principale la circostanza che lo Stato membro interessato non abbia ancora provveduto alla trasposizione della direttiva 2006/24, malgrado la scadenza del termine a tal fine previsto. 47 Ci premesso, la Corte, al fine di fornire una soluzione utile al giudice che le ha sottoposto una questione pregiudiziale, pu essere indotta a prendere in considerazione norme di diritto comunitario alle quali il giudice nazionale non ha fatto riferimento nel formulare la questione (v., segnatamente, sentenze del 18 novembre 1999, Teckal, C-107/98, Racc. pag. I-8121, punto 39, nonch del 28 febbraio 2008, Abraham e a., C-2/07, Racc. pag. I-1197, punto 24). 48 Orbene, si deve rilevare che le circostanze della causa principale si prestano a che vengano prese in considerazione altre norme del diritto dellUnione. 49 Infatti, il riferimento operato dal giudice del rinvio, nella prima questione pregiudiziale, al rispetto delle esigenze relative alla sussistenza di indizi reali di violazione di un diritto dautore ed alla proporzionalit dellemanando provvedimento ingiuntivo sulla base della legge di trasposizione di cui trattasi nella causa principale nonch, come risulta dal punto 34 supra, alla citata sentenza Promusicae, lascia intendere che il giudice del rinvio si interroga parimenti sulla questione se le disposizioni in questione della legge di trasposizione possano garantire il giusto equilibrio tra i vari diritti fondamentali applicabili, come postulato dalla menzionata sentenza riguardante linterpretazione e lapplicazione di varie disposizione delle direttive 2002/58 e 2004/48. 50 La risposta a tale questione implicita pu quindi risultare pertinente ai fini della soluzione della causa principale. 51 Al fine di fornire tale soluzione utile si deve, in limine, ricordare che, nella causa principale, la Bonnier Audio e a. chiedono che vengano loro comunicati, ai fini della sua identificazione, il nome ed il recapito di un abbonato ad Internet ovvero di un utente Internet che si avvale dellindirizzo IP a partire dal quale si ritiene che siano stati illecitamente scambiati file contenenti opere protette. 52 Si deve rilevare che la comunicazione richiesta dalla Bonnier Audio e a. costituisce un trattamento di dati di carattere personale ai sensi dellarticolo 2, primo comma, della direttiva 2002/58, in combinato disposto con larticolo 2, lettera b), della direttiva 95/46. Tale comunicazione ricade, quindi, nella sfera di applicazione della direttiva 2002/58 (v., in tal senso, sentenza Promusicae, cit. supra, punto 45). 53 Va parimenti osservato che, nella causa principale, la comunicazione di tali dati viene richiesta nellambito di un procedimento civile, a favore del titolare di un diritto dautore o del suo avente causa, vale a dire di un soggetto privato, e non a favore di una competente autorit nazionale. 54 A tal riguardo si deve anzitutto rilevare che la richiesta di comunicazione di dati di carattere personale, al fine di garantire la tutela effettiva del diritto dautore, rientra, in

39
considerazione del suo oggetto, nella sfera di applicazione della direttiva 2004/48 (v., in tal senso, sentenza Promusicae, cit. supra, punto 58). 55 Orbene, la Corte ha gi avuto modo di affermare che larticolo 8, paragrafo 3, della direttiva 2004/48, in combinato disposto con larticolo 15, paragrafo 1, della direttiva 2002/58, non osta a che gli Stati membri prevedano lobbligo di trasmissione a soggetti privati di dati di carattere personale per consentire lavvio, dinanzi ai giudici nazionali, di procedimenti nei confronti delle violazioni del diritto dautore, senza peraltro obbligare gli Stati medesimi a disporre tale obbligo (v. sentenza Promusicae, cit. supra, punti 54 e 55, nonch ordinanza LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten, cit. supra, punto 29). 56 La Corte ha tuttavia aggiunto che, nella trasposizione, segnatamente, delle direttive 2002/58 e 2004/48, gli Stati membri devono avere cura di fondarsi su uninterpretazione delle direttive medesime tale da garantire un giusto equilibrio tra i diversi diritti fondamentali tutelati dallordinamento giuridico dellUnione. Inoltre, in sede di attuazione delle misure di recepimento di tali direttive, le autorit e i giudici degli Stati membri devono non solo interpretare il loro diritto nazionale in modo conforme a dette direttive, bens anche provvedere a non fondarsi su uninterpretazione di esse che entri in conflitto con i summenzionati diritti fondamentali o con gli altri principi generali del diritto dellUnione, quale, ad esempio, il principio di proporzionalit (v., in tal senso, sentenza Promusicae, cit. supra, punto 68, e ordinanza LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten, cit. supra, punto 28). 57 Nella specie, lo Stato membro interessato ha deciso di avvalersi della facolt, quale indicata al punto 55 supra, ad esso offerta, di prevedere lobbligo di trasmissione di dati a carattere personale a soggetti privati nellambito di un provvedimento civile. 58 Orbene, si deve rilevare che la normativa nazionale in esame esige, segnatamente, che, affinch possa essere disposta lingiunzione di comunicazione dei dati in questione, sussistano indizi reali di violazione di un diritto di propriet intellettuale su unopera, che le informazioni richieste siano tali da facilitare le indagini sulla violazione o sulla minaccia di violazione del diritto dautore e che i motivi alla base di tale ingiunzione si ricolleghino ad un interesse superiore agli inconvenienti o agli altri pregiudizi che ne possano derivare per il destinatario o a qualsivoglia altro contrapposto interesse. 59 Tale normativa consente cos al giudice nazionale al quale sia stata proposta la domanda di ingiunzione di comunicazione dei dati di carattere personale, da parte di un soggetto legittimato ad agire, di ponderare, in funzione delle circostanze della specie e tenendo in debita considerazione le esigenze risultanti dal principio di proporzionalit, gli opposti interessi in gioco. 60 Ci premesso, una siffatta normativa devessere ritenuta tale da garantire, in linea di principio, un giusto equilibrio tra la tutela del diritto di propriet intellettuale, di cui godono i titolari del diritto dautore, e la tutela dei dati di carattere personale, di cui beneficia un abbonato Internet o un utente Internet. 61 Alla luce delle suesposte considerazioni, le questioni pregiudiziali devono essere risolte dichiarando che:

40
la direttiva 2006/24 devessere interpretata nel senso che non osta allapplicazione di una normativa nazionale, istituita sulla base dellarticolo 8 della direttiva 2004/48, la quale, ai fini dellidentificazione di un abbonato a Internet o di un utente Internet, consenta di ingiungere ad un operatore Internet di comunicare al titolare di un diritto di autore ovvero al suo avente causa lidentit dellabbonato al quale sia stato attribuito un indirizzo IP che sia servito ai fini della violazione di tale diritto, atteso che tale normativa non ricade nella sfera di applicazione ratione materiae della direttiva 2006/24; resta irrilevante, nella causa principale, la circostanza che lo Stato membro interessato non abbia ancora provveduto alla trasposizione della direttiva 2006/24 malgrado la scadenza del termine a tal fine previsto; le direttive 2002/58 e 2004/48 devono essere interpretate nel senso che non ostano ad una normativa nazionale, come quella oggetto della causa principale, nella parte in cui tale normativa consente al giudice nazionale, dinanzi al quale sia stata proposta, da parte di un soggetto legittimato ad agire, domanda di ingiunzione di comunicare dati di carattere personale, di ponderare, in funzione delle circostanze della specie e tenuto debitamente conto delle esigenze risultanti dal principio di proporzionalit, i contrapposti interessi in gioco. Sulle spese 62 Nei confronti delle parti nella causa principale il presente procedimento costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. Per questi motivi, la Corte (Terza Sezione) dichiara: La direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nellambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, devessere interpretata nel senso che non osta allapplicazione di una normativa nazionale, istituita sulla base dellarticolo 8 della direttiva 2004/48/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di propriet intellettuale, la quale, ai fini dellidentificazione di un abbonato a Internet o di un utente Internet, consenta di ingiungere ad un operatore Internet di comunicare al titolare di un diritto di autore ovvero al suo avente causa lidentit dellabbonato al quale sia stato attribuito un indirizzo IP (protocollo Internet) che sia servito ai fini della violazione di tale diritto, atteso che tale normativa non ricade nella sfera di applicazione ratione materiae della direttiva 2006/24. Resta irrilevante, nella causa principale, la circostanza che lo Stato membro interessato non abbia ancora provveduto alla trasposizione della direttiva 2006/24 malgrado la scadenza del termine a tal fine previsto. Le direttive 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore

41
delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), e 2004/48 devono essere interpretate nel senso che non ostano ad una normativa nazionale, come quella oggetto della causa principale, nella parte in cui tale normativa consente al giudice nazionale, dinanzi al quale sia stata proposta, da parte di un soggetto legittimato ad agire, domanda di ingiunzione di comunicare dati di carattere personale, di ponderare, in funzione delle circostanze della specie e tenuto debitamente conto delle esigenze risultanti dal principio di proporzionalit, i contrapposti interessi in gioco. Firme

42
Documento allegato n. 7
Dalla

rete

Articolo di Gabriella Tesoro

Pubblicato in Puntoinformatico (http://punto-informatico.it/3405802/PI/News/password-come-pegnoamore.aspx) La password come pegno d'amore

Uno studio rivela: gli adolescenti si scambiano i dati di accesso a email e social network. Un gesto romantico. Che rischia di avere conseguenze gravi se e quando l'amore finisce
Roma - Un tempo si controllavano le lettere. Poi, andate in pensione carta e penna, arriv il controllo dei messaggi sul cellulare. Oggi, nell'epoca dell'esplosione digitale, dei social media e delle email, i giovani fidanzatini, per non perdere d'occhio il proprio partner, controllano tutto. Ma proprio tutto: posta elettronica, Facebook, Messenger... E, per non farsi mancare nulla nella propria strategia di sorveglianza, si scambiano pure le password dei rispettivi account.

Secondo la ricerca effettuata da Pew Internet and American Life Project e riportata dal New York Times i giovani adolescenti statunitensi condividono, e anche con piacere, la propria password con il partner. L'analisi ha preso in considerazione 770 teenegers di et compresa tra i 12 e i 17 anni. Il 30 per cento del campione rivela la propria password agli amici, alla fidanzata o al fidanzato. Le ragazze confessano la propria password pi facilmente dei ragazzi (38 per cento contro 23 per cento), mentre i giovanissimi (12-13 anni) sono pi restii rispetto ai fratelli maggiori (14-17 anni). Infine, la "moda" di condividere la password con il proprio partner sembra essere particolarmente diffusa tra gli utenti dei social network. Molto spesso i fidanzatini scelgono addirittura una password identica,

appositamente per loro, e permettono alla propria anima gemella di leggere email, commenti, messaggi e chi pi ne ha pi ne metta. " un segno di fiducia" ha affermato Tiffany Carandang, una liceale di San Francisco che ha deciso di svelare al suo ragazzo le password della posta elettronica e di Facebook: "Non ho nulla da nasconde a lui, cos come lui non ha nulla da nascondere a me". Sembra per che questa "abitudine" non sia cos popolare solo perch alla base c' una questione di fiducia. Difatti, molti adolescenti hanno dichiarato di aver svelato la propria password di Facebook al partner per studiare con la massima concentrazione per gli esami. Il partner in questione cambia la password impedendo di fatto all'altro o all'altra di accedere al social network. Terminati gli esami il "legittimo proprietario" si riappropria del suo account. Questi ragazzi non

43
sembrano tuttavia consapevoli dei rischi che corrono rivelando i propri dati personali di accesso: dopo una rottura, il fidanzatino ferito pu appropriarsi dell'identit del partner, svelarne i segreti o, peggio, tentare di rovinargli la reputazione (seppure digitale). Come dire: gli amori passano, le password (spesso) restano. In questo esasperante clima di fiducia arriva un'altra ricerca che mette in evidenza la diffusione dei propri dati personali, che in teoria dovrebbero rimanere, per l'appunto "personali", ma che sembra siano rivelati a chiunque. Stavolta i protagonisti non sono i fidanzatini, bens i genitori. Secondo i dati dell'analisi condotta da Lab42, un'azienda che si occupa di ricerche di mercato, il 72 per cento dei genitori sarebbe a conoscenza della password di Facebook dei propri figli.

44
Documento allegato n. 8
Dalla rete, articolo di D.F. pubblicato in Dura lex sed lex
Phishing: il furto d'identit Il phishing: la frode informatica che mira a rubare l'identit informatica degli utenti sfruttando la loro buona fede Il phishing un fenomeno in Italia relativamente recente. Si tratta di una frode informatica che ha lo scopo di rubare dati sensibili dellutente, allettandolo con falsi pretesti. I dati sensibili possono essere il numero di carta di credito, password o altre informazioni personali che costituiscono lidentit informatica dellutente. Il termine phishing deriva dallinglese fishing (pescare, allettare con unesca). In questo caso lesca costituita tipicamente da unemail costruita ad arte, che simula una richiesta di informazioni da parte di un sito/organismo ufficiale ed invoglia lutente ad inserire i propri dati sensibili. Come funziona il phishing? Il phisher (colui che attua il phishing) spedisce ai malcapitati utenti unemail che sembra provenire da un sito ufficiale (per esempio il web banking di una banca, ebay, poste, etc..). Spesso la grafica e i contenuti dellemail riproducono fedelmente quelli originali, allo scopo di dare ufficialit allemail. Solitamente nellemail presente un link spacciato per un collegamento al sito ufficiale. In realt si tratta di un link ad un sito web che riproduce fedelmente nella grafica e nei contenuti il sito web ufficiale (e in questo caso si parla di sito spoofed). Nei phishing pi attuali, non solo il falso sito una copia esatta di quello vero, ma anche il link stesso sembra essere corretto: lindirizzo riportato simile o addirittura uguale a quello del sito ufficiale. Questo per evitare che lutente, passando sopra il link col mouse, si accorga che in realt il collegamento ad un sito web diverso da quello ufficiale.

45
Attirato dal contenuto della mail, che di solito descrive fantomatici problemi verificatisi sul sito ufficiale a causa dei quali richiesto il reinserimento dei dati, l'ignaro utente clicca sul link, accede alla copia fittizia del sito ufficiale ed inserisce i propri dati sensibili, che saranno poi utilizzati dal phisher per i propri reconditi scopi. Come difendersi dal phishing? Non rispondere a richieste di informazioni personali e sensibili fatte via mail e non cliccare sulleventuale link contenuto in esse. Ebay, le banche e gli altri organismi ufficiali non usano questo sistema per richiedere i dati personali Accedere al sito ufficiale sempre digitandone lURL nella barra degli indirizzi del browser Verificare che la procedura di inserimento dei dati sensibili del sito web sia protetta mediante connessione sicura. In particolare lURL deve iniziare con https e non con un semplice http Tenere sotto controllo i propri conti online, siano essi bancari o di altro tipo.

46
Documento allegato n. 9
Dalla rete Cassazione.it Massime in argomento Sul furto di identit informatica Aprire un account di posta elettronica a nome di un altro integra il reato di sostituzione di persona Va condannato ex articolo 494 Cp chi si attribuisce false generalit per partecipare ad aste online senza pagare CASSAZIONE PENALE - MARTEDI' 03 APRILE 2012

Sull'accesso abusivo al sistema informatico (da Cassazione.it) Post n522 pubblicato il 02 Maggio 2012 da giuristando Tag: Massime di diritto penale CASSAZIONE PENALE Non commette accesso abusivo al sistema informatico limpiegato che usa la password di servizio per finalit estranee al lavoro La titolarit della chiave di accesso prevale sull'uso che ne viene fatto GIOVEDI' 19 APRILE 2012

CASSAZIONE PENALE reato entrare nel server con password e pc del collega Irrilevante la mancata duplicazione dei dati MARTEDI' 24 APRILE 2012

47
Documento allegato n. 10
Articolo di Angelo Greco pubblicato in laleggepertutti.it Copyright, nessun dietrofront: lInternet Service Provider, la Corte di Giustizia e il sangue blu
(http://www.laleggepertutti.it/11688_copyright-nessun-dietrofrontinternetservice-provider-la-corte-di-giustizia-e-ilsangue-blu)

Quando nel medioevo i contadini, resi scuri dal sole sui campi, vedevano la pelle bianca dei nobili e le vene blu che su di essa si scorgevano facilmente, pensavano che anche il sangue di quella gente fosse dello stesso colore. Per questo ancor oggi si dice che i reali hanno sangue blu. C chi si ferma allapparenza delle cose e, sulla base dellapparenza, pretende di trarne regole per tutti. Cos, c chi sta leggendo la recentissima sentenza dello scorso 19 aprile della Corte di Giustizia [1] come un dietrofront, da parte della Comunit Europea, sui principi sinora affermati della net neutrality e della non responsabilit dellISP: una rinuncia insomma alla difesa di internet e dei suoi capisaldi. Sappiamo che, invece, cos non ; la rete ha sempre trovato, almeno nelle istituzioni comunitarie (sappiamo infatti quanto gli Stati Membri amino discostarsi dalle istruzioni dei giudici di Lussemburgo, primo tra tutti lItalia), degli irriducibili sostenitori. Infatti, tanto la direttiva europea sul commercio elettronico [2], tanto la Corte di Giustizia (prima con riferimento allISP, poi con riferimento al fornitore di hosting) [3], quanto il Parlamento Europeo hanno sempre ribadito il principio di neutralit dellintermediario: colui che fornisce servizi su Internet (si tratti di una connessione alla rete, un servizio di hosting o ancora un sistema di motore di ricerca) non pu essere chiamato a rispondere delle condotte illecite poste dai propri utenti (per esempio il download di un film pirata, di un cd, la vendita su un sito dasta di materiale illecito). Lillogica conseguenza di una diversa impostazione sarebbe come ritenere responsabile la compagnia telefonica per gli scherzi alla cornetta fatti dagli abbonati. La difesa della neutralit dellintermediario evita inoltre come ho detto pi volte detto lesioni della privacy degli utenti (che altrimenti dovrebbero essere controllati a vista dagli ISP), costosi meccanismi anticoncorrenziali (peraltro aggirabili) e, in definitiva, garantisce la libert di espressione sul web. Ed eccoci a oggi, quando la Corte di Giustizia stata chiamata a decidere se lISP sia tenuto a comunicare lidentit (ossia, lindirizzo IP) dellutente scoperto a violare laltrui copyright sulla rete (nel caso specifico: scaricare un audiolibro). I giudici comunitari hanno affermato che un ordine di tale tipo, rivolto allintermediario, non contrario alla normativa europea. E qui lequivoco di chi vorrebbe vedere, in ci, uninversione di tendenza nella rotta segnata dalla giurisprudenza di Lussemburgo.

48
Innanzitutto la Corte specifica che uningiunzione di tale tipo pu essere fornita solo da un giudice. Il che non fa che confermare proprio quello che sino ad oggi si sempre detto in materia: ossia che lintermediario non pu agire solo su intimazione del titolare del contenuto, senza alcuna garanzia dellintervento di un procedimento giudiziario, terzo e imparziale, fondato sul contraddittorio e sulla parit delle armi nel giudizio. LISP deve comunicare lIP del pirata non a unAuthority garante (leggi AgCom) o a una societ intermediaria qualsiasi (leggi Sabam). Inoltre la sentenza fissa due importanti condizioni affinch il giudice possa emettere lingiunzione di comunicazione dei dati in questione: a) innanzitutto devono sussistere indizi reali di violazione di un diritto di propriet intellettuale su unopera; b) in secondo luogo, i motivi alla base di tale ingiunzione si devono ricollegare a un interesse superiore agli inconvenienti o agli altri pregiudizi che ne possano derivare per il destinatario o a qualsivoglia altro contrapposto interesse. Questo vuol dire che il giudice nazionale, cui il titolare del copyright leso abbia chiesto di ingiungere allISP i dati del netizen pirata, deve prima ponderare (in funzione delle circostanze della specie e tenendo in debita considerazione le esigenze risultanti dal principio di proporzionalit), gli opposti interessi in gioco. In definitiva sottolinea la Corte non si pu ledere i diritti della rete sol per tutelare un interesse privato quale laltrui copyright. Al contrario, bisogna sempre garantire un giusto equilibrio tra la tutela del diritto di propriet intellettuale, di cui godono i titolari del diritto dautore, e la tutela dei dati personali, di cui beneficia un utente di Internet. Nulla di nuovo, dunque. Anzi, la riaffermazione di quanto sempre detto: Internet e i suoi operatori non si toccano solo per tutelare gli interessi di qualche multinazionale del cinema o della musica. Multinazionali dal sangue blu, ma solo perch non lavorano sui campi e sotto il sole. Chi vuol comprendere [1] C. Giust. Sent. 19 aprile 2012. [2] Direttiva 2000/31 art. 15. [3] C. Giustizia U.E. sent. 24.11.2012 causa C-70/10; C. Giustizia U.E. sent. 16.02.2012 causa C-360/10. (La Legge per Tutti un portale che spiega e traduce, in gergo non tecnico, la legge e le ultime sentenze, affinch ogni cittadino possa comprenderle. I contenuti di queste pagine sono liberamente utilizzabili, purch venga riportato anche il link e il nome dellautore). Sito amministrato dallo Studio Legale Avv. Angelo Greco (www.avvangelogreco.it). Nellambito del diritto civile, svolge consulenza alle imprese, diritto della rete e diritto dautore, diritto dei consumatori, privacy, procedure espropriative.

49

Documento allegato n. 11
SCRITTI DI SIMULAZIONE
MENU DEGLI ARGOMENTI LA PERSONA FISICA - I diritti della personalit

Rif. Indice generale N.R.G. 5/2011

MEMORIE DEL CASO:

ALDO FREGATUCCI/ DOMINIONS S.P.A.

DIFENSORI:

Avv.P (Memoria a favore di A. FREGATUCCI) http://blog.libero.it/GIURISTANDO/11280985.html

Ufficioal (Menoria a favore di DOMINIONS S.P.A.) http://blog.libero.it/GIURISTANDO/11275472.html

Avv.P (Memoria di replica a favore di Dominions spa) http://blog.libero.it/GIURISTANDO/11308780.html

PRIMO PARERISTA: Giuristando http://blog.libero.it/GIURISTANDO/11309186.html

50

Di seguito per esteso le 3 memorie:

Difesa Avv.P (Dominions spa): IL FATTO Un hacker, ricorrendo alle tecniche informatiche, del Key-logging e dello Screengrabbing, si impadronisce delle credenziali email del Sig. Fregatucci Aldo e le utilizza per fare prenotazioni on line di servizi di vario genere. Il Sig. Fregatucci viene reso oggetto di richieste di pagamento per i servizi erogati, tra i quali una iscrizione a siti che promuovono incontri os. Egli denuncia il fatto alle autorit di pubblica sicurezza e chiede al server presso il quale registrata la sua posizione informatica (DOMINIONS.COM S.p.A.) il risarcimento del danno economico e morale ritenendo che esso ne sia responsabile penalmente e civilmente per non aver impedito il fatto. ***** Dalla versione dei fatti appena illustrata risulta che tutti i dati sottratti al Fregatucci derivano verosimilmente da una inidonea protezione del proprio pc. Infatti la condotta antigiuridica posta in essere dallhacker, consistita nei c.d. keylogging e soprattutto screengrabbing, sarebbe stata posta in essere sottraendo/copiando dati del Fregatucci nellesatto momento in cui questi digitava sul suo p.c. Quindi al di fuori della sfera giuridica del server. IN OGNI CASO il reato penale ex art. 640 ter c.p. concorre solo formalmente con quello di cui allart. 494 c.p.: Il reato di sostituzione di persona pu concorrere formalmente con quello di truffa, stante la diversit dei beni giuridici protetti, consistenti rispettivamente nella fede pubblica e nella tutela del patrimonio. (Cfr. Cassazione penale, sez. VI, 05/11/2009, n. 9470) La fattispecie di cui al 640 ter c.p. ricalcando il tradizionale concetto di truffa presenta una sola peculiarit: il raggirato il computer soggetto alla alterazione ad opera del reo. Infatti il reato di frode informatica ha la medesima struttura e i medesimi elementi costitutivi della truffa dalla quale si differenzia solamente perch lattivit fraudolenta dellagente investe non la persona, di cui difetta linduzione in errore, bens il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema. Anche la frode informatica si consuma nel momento in cui lagente consegue lingiusto profitto con correlativo danno patrimoniale altrui (CASS. 3065/99). Fermo restando quanto appena esposto il caso di evidenziare che nessun risarcimento per danno morale potr essere richiesto al titolare del server. Infatti, qualora dovesse

51
essere ravvisato qualche comportamento penalmente rilevante esso obbligherebbe il reo, e non la Dominions.Com S.p.A., a risarcire il danno morale derivante da tale preteso reato. Infine va aggiunto che il Sig. Fregatucci in sede penale potr eventualmente ottenere la condanna del responsabile di tale comportamento. Mentre dovr agire civilmente per ottenere il risarcimento in sede civile da tale soggetto e semmai dalla S.p.A. Ma il caso di aggiungere che, in sede civile, incomber sul Fregatucci lonere di provare sia di aver agito con ogni diligenza per evitare quanto accaduto sia di provare e quantificare i danni di cui ora chiede il risarcimento.

52

Difesa Ufficioal (Aldo Fregatucci) Situazione di fatto Il Sig. Fregatucci si rivolge allo studio in intestazione per vedersi tutelato in via giudiziale poich risulta essere stato vittima del reato di furto di identit informatica. Allo stesso venivano richiesti pagamenti per incontri particolari senza nessuna consapevolezza o volont di dar seguito alle suddette richieste. Richieste per servizi che non si avvicinano allo stile di vita del Sig. Fregatucci, stile di vita sano e fondato sui valori della famiglia. Il Sig. Fregatucci lamenta di essere stato vittima del reato test citato, poich del suo nome stato fatto un uso illecito ed illegale nello specifico, con conseguenze sia dal punto di vista economico che morale. La DOMINIONS S.P.A. deve ritenersi responsabile dei danni cagionati al Sig. Fregatucci in quanto nulla ha posto in essere per tutelare la posizione del soggetto leso, al contrario di quanto gli veniva invece imposto in via legislativa. Valutazioni a sostegno della tesi difensiva La posizione della DOMINIONS S.P.A. ad avviso della difesa la medesima di quella di un Ente che per legge tenuto a vigilare sulloperato dei propri dipendenti. Certamente nel caso di specie non pu essere riscontrato un rapporto di dipendenza tra lautore del reato ed il Server, ma di sicuro siamo di fronte ad un palese esempio di responsabilit oggettiva.

53

Primo parere di Giuristando

A) La fattispecie La questione che si pone riguarda la malefatta di un hacker che si impadronisce dellemail (id) di Aldo Fregatucci e mette questultimo, con raggiro e truffa, in comunicazione con un sito os al fine di far richiedere a nome del malcapitato servizi di particolare natura, diciamo di dubbia condivisibilit etica, concernente prestazioni sessuali. Avvedutosi della macchinazione a suo danno e preoccupato per le richieste economiche che gli sono avanzate da questo sito e per le ritorsioni sulla sua reputazione in ambito sociale e nel suo ambiente di vita, il Fregatucci si rivolge allautorit di pubblica sicurezza per denunciare il fatto e ritiene di poter inoltre accampare il diritto al risarcimento del danno economico e morale direttamente verso il server di cui cliente, Dominions spa.

B) Valutazioni in fatto Vi da notare che la condotta criminosa viene posta in essere con artifici informatici consistenti nel kee logging e nello screen grabbing, grosso modo simili per il fatto di consentire allhacker di carpire i dati del Fregatucci (dal server cui connesso) attraverso applicativi esterni che entrano in funzione nel momento in cui il cliente (Fregatucci) si collega al server medesimo (in questo caso; potrebbe anche trattarsi una banca, nelle pagine di home banking per esempio); in che modo? nel primo caso registrando i tasti che il Fregatucci digita sulla tastiera (presumibilmente la password) e nel secondo scattando una foto della videata contenente i dati del Fregatucci, sempre al momento della connessione al suo server. Difficile stabilire se in quel momento la condotta sia esterna o interna alla sfera del server. In ogni caso levento produttivo del danno posto in essere da un terzo, lhacker. Pare condivisibile, inoltre, che la possibilit di escludere la pre-esistente acquisizione dei dati del Fregatucci da parte dellhacker, magari avendo avuto accesso per altra porta al di lui computer, non si dia per certa. N pacifico che il server possa controllare gli accessi allid del cliente Fregatucci, un po per motivi tecnici, un po per motivi legali di tutela della riservatezza dei suoi clienti. I clienti sono destinatari dei servizi del server, che non necessariamente comprendono linstallazione di applicativi di sicurezza sul pc del cliente (antivirus, antispyware, programmi contro il phishing e quantaltro), che

54
semmai potrebbe farne autonoma e separata richiesta, con pagamento a parte. Cosa che il Fregatucci non si premurato di fare. Il Fregatucci, come molti di noi, ha avuto accesso e fruito dei servizi del server riservando scarsa attenzione alle precauzioni necessarie, a prescindere da quello che siano il suo stile di vita o le sue conoscenze informatiche. E vero forse che da questo punto di vista siamo tutti non sufficientemente edotti su una tecnologia che cambia ogni giorno, per cui unalea di rischio vi comunque (rientrante nel cosiddetto caso fortuito), cos come vi anche a frequentare i sicurissimi Jumbo Jet. Dunque il Fregatucci un fruitore dei servizi del server, non un suo dipendente o datore di lavoro o committente. Il rapporto, pur connesso a prestazione continuativa, non implica un vincolo di qualsiasi genere tra i due soggetti, una volta liberato il servizio (laccesso al server appunto). Ci che conta la continuit e efficienza dellerogazione non la protezione dei dati, che affare di chi tali dati eventualmente produce (in questo caso il Fregatucci). La questione stata posta in diverse sentenze della Corte di Giustizia europea anche con riguardo alla tutela del copyright, da un lato, e della riservatezza dei dati personali e degli id dei clienti del server, dallaltra. Se il server fosse sempre chiamato ad attivarsi preventivamente, per il controllo degli accesi e dei contenuti, non potrebbe pi essere assicurata quella essenziale riservatezza dei fruitori dei servizi del server stesso, con grave lesione dei diritti fondamentali della personalit e di libert.

C) Valutazioni in diritto Prescindendo dagli aspetti procedurali, che non pertengono al tipo di analisi svolta da Forum dei diritti Tesi a confronto, almeno in questa fase, la richiesta del Fregatucci non pare condivisibile, innanzitutto per un primo ed assorbente motivo, che levento produttivo del danno posto in essere da un terzo soggetto (rispetto al server Dominions spa) e il server non era tenuto n poteva evidentemente evitare la di lui azione criminosa, a meno di violare il principio di neutralit degli intermediari in questo genere di servizi internet (FAI) affermato dalla Corte di Giustizia dellUnione Europea, terza sezione, nelle sentenze del 24 novembre 2011, nel procedimento C70/10 e 19 aprile 2012, nella causa C461/10 (cfr. note e commenti a tali sentenze in Laleggepertutti.it), pronunce suffragate dalle Corti nazionali (in mancanza di normative interne di potenziamento degli obblighi dei server in tal senso), in particolare dalla Cassazione penale. Le figure di reato che si richiamano, pur in concorso formale stante la duplicit della offesa che si concretizza con questa condotta e punisce con due distinti reati, con rispettivo riguardo alla fede pubblica e al patrimonio privato, sono quelle di cui allart. 494 c.p. (sostituzione di persona), per cui

55
punito chiunque induca i terzi in errore sulla propria identit per ottenere vantaggi per s o per altri, dove il dolo generico e il reato si consuma con linduzione in errore, a prescindere dal fatto che il vantaggio effettivamente si concretizzi (come chiarito dalla sentenza, paradigmatica in argomento, della Cassazione penale n. 46674 del 2007), e dellart. 640ter (frode informatica), per cui punito chiunque interagisca con sistemi informatici di altri per carpire dati, programmi e informazioni e li utilizzi effettivamente procurando danni a terzi e vantaggi per s od altri, dove il dolo specifico richiedendo anche leventus damni e lingiusto profitto (reato strumentale anche rispetto al distinto reato di insider trading). Nel caso in esame il problema della prova delleffettivit del danno non si pone (immaginiamo per assurdo che il Fregatucci in realt sia un impenitente frequentatore di bordelli clandestini e locali a luci rosse) in quanto in ogni caso la figura di cui allart. 494 c.p. consente di punire anche la sola induzione in errore di terzi, dei fruitori della rete in genere, e non dei servizi dello specifico server Dominions spa. Semmai il problema si porrebbe sul computo della pena, valendo il criterio della pena stabilita per il reato pi grave aumentata sino al triplo (art. 81 c.p.). Questa ultima considerazione si pone con efficacia, invece, per i risvolti civilistici, con particolare riguardo al danno morale evocato dal Fregatucci, dato che per il profilo economico egli non dovrebbe aver problemi a dimostrare il danno patito consistente nelle documentabili richieste di pagamento avanzate dal server ed eventualmente adempiute dal medesimo. Anche se la presenza, in ogni caso, di un reato dovrebbe rendere automatica anche la liquidazione del danno morale, rimanendo largomentazione sopra addotta, per, per il quantum di tale risarcimento. Come si diceva sopra, dunque la Cassazione penale ha suffragato la tesi della impermeabilit del server a tali contestazioni in numerose pronunce, come in Massima segnalata in newsletter Cassazione.it del 3 aprile 2012, dove si legge che va condannato ex art. 494 chi si attribuisce false generalit per partecipare ad aste on line senza pagare, oppure in Massima della medesima corte, medesima fonte del 2 maggio 2012, ove si legge che reato entrare nel server con password e pc del collega. Irrilevante la duplicazione di dati, con i necessari (e contraddittori) temperamenti come riportati in Massima (medesima fonte) del 19 aprile 2012, ove si chiarisce che non commette accesso abusivo al sistema informatico limpiegato che usa la password di servizio per finalit estranee al lavoro, essendo il titolare della chiave il pilastro della normativa e non la tipologia di uso che del mezzo si faccia. La normativa e la giurisprudenza comunitaria dunque contengono il principio della neutralit del server, lasciando libert agli stati membri di porre motivate eccezioni al principio stesso con fonti interne. In Italia ci non avviene, salvo che con riguardo allart. 169 del codice in materia di

56
protezione dei dati personali (d.lgs. n. 196/2003), che da la possibilit al governo di prescrivere e revisionare annualmente gli obblighi di sicurezza e prevenzione posti a carico dei server, solo se espressamente tenuti a certe misure di sicurezza (letteralmente, chiunque, essendovi tenuto, omette di adottare le misure minime stabilite dal governo va incontro a grave sanzione). Limpianto valoriale della inviolabilit dei diritti della persona, di cui parla lart. 2 della Costituzione, si dipana ulteriormente negli articoli del codice civile a tutela del diritto al nome e allimmagine (art. 7, con riguardo in questo caso alla tutela della fede privata, mentre quella pubblica tutelata dai reati penali), e in quelli che sanzionano la responsabilit civile (art. 2043) di chiunque cagioni ad altri un danno ingiusto con colpa o dolo (dolo nel caso in esame) e finisca, se pone in essere anche un reato, con il procurare un danno morale sempre risarcibile (art. 2059). Per tutti i detti motivi, sussistono tutte le ragioni per il Fregatucci a far valere ed invocare la pena per i reati penali che gli hanno recato offesa e a richiedere il risarcimento dei danni economici e morali sofferti in conseguenza della condotta lesiva dellhacker, ma ci potr fare solo agendo contro questultimo soggetto e, strumentalmente, potendo ottenere dallautorit giudiziaria un provvedimento specifico che, a norma delle citate sentenze della Corte di Giustizia europea, costringa il server a disvelare, ove in suo potere, lid del soggetto reo di tali condotte al fine di poter avere soddisfazione delle proprie ragioni.

D) Conclusioni In conclusione, la pretesa del Fregatucci, cos come avanzata nei confronti della Dominions spa, non pu essere condivisa da questo parerista, in quanto la condotta lesiva posta in essere da altro soggetto, n si configura la responsabilit oggettiva del medesimo server Dominions spa per inapplicabilit al presente caso, neanche in via estensiva o analogica, di nessuno dei seguenti articoli del codice civile concernenti per lappunto tale tipo di responsabilit: 2048 (Responsabilit dei genitori, dei tutori, dei precettori e dei maestri darte); 2049 (Responsabilit dei padroni e committenti); 2050 (Responsabilit per lesercizio di attivit pericolose); 2051 (Danno cagionato da cose in custodia).

57

MENU DEGLI ARGOMENTI LA PERSONA FISICA - I diritti della personalit

Rif. Indice generale delle questioni N.R.G. 5/2011

ATTO DI IMPUGNAZIONE NEL CASO:

FREGATUCCI ALDO / DOMINIONS S.P.A.

DIFENSORI:

Ufficioal

(per A. FREGATUCCI)

Avv.P

(per DOMINIONS S.P.A.)

PRIMO PARERISTA

Giuristando

SECONDO PARERISTA.

58