I

da parte di due aziende, non solo ha disposto nei confronti di queste ultime la sospensione della commercializzazione di tali oggetti, ma ha anche ordinato all’ host provider Aruba di impedire a chiunque la visibilità e l’accesso a tali siti nonché di trasferire i loro nomi a dominio a favore di Rolex Italia. In sede cautelare, le valutazioni del caso che hanno condotto il giudice a tale provvedimento hanno tenuto conto esclusivamente del profilo oggettivo della condotta, posto che la previsione della limitazione di responsabilità dell’host provider - dettata dal d.lgs. n. 70/2003- da indagare in sede eventualmente di merito deputata al trattamento risarcitorio, non ha impedito comunque all’autorità giudiziaria di adottare misure inibitorie finalizzate a far cessare violazioni in corso e impedirne la reiterazione in futuro.

Il caso

La società Rolex Italia S.p.A., distributrice in Italia in via esclusiva di noti prodotti di orologeria, nel procedimento cautelare innanzi al Tribunale ordinario di Milano iscritto al n.r.g. 4186/07 ha lamentato condotte contraffattorie nonché sleali da parte di una società slovena e di una svizzera, in violazione dei diritti di privativa in quanto titolari di siti web di commercializzazione di orologi contraffati. Tali siti erano visibili in Italia.

Azionando, dunque, nei confronti delle succitate società i marchi generali ed altri marchi particolari di sua titolarità che contraddistinguono i singoli modelli di orologi oggetto di imitazione e commercializzazione online, Rolex Italia ha altresì esteso il contraddittorio anche ad Aruba –in qualità di host provider– per violazione degli artt. 16 e 17 del d.lgs. n. 70/2003.

Nel particolare, il ricorrente ha prospettato l’inapplicabilità dell’esonero da responsabilità disciplinato nel succitato decreto asserendo che Aruba era venuto in concreto a conoscenza dell’illecito a seguito di una diffida ricevuta dalla Rolex Italia, e chiedendo pertanto che nei suoi confronti venisse disposta la disattivazione totale dell’accesso di uno dei due siti deputati alla commercializzazione degli orologi falsi e la rimozione selettiva del materiale illecito caricato sull’altro sito poiché entrambi ospitati sui suoi server.

Aruba, costituitasi in giudizio ha resistito dichiarando di aver invece adempiuto agli obblighi di cui agli artt. 16 e 17 del d.lgs. 70/2003 ed eccependo l’inesistenza del periculum in mora. Il provider si è difeso evidenziando di essersi immediatamente attivato a seguito delle diffide di Rolex Italia, avendo intimato al suo cliente di adempiere a quanto richiesto da ROLEX e avendo informato la competente Autorità Giudiziaria in conformità con il dettato dell’art. 17 del reg. 70/2003. Ha eccepito inoltre l’impossibilità di procedere all’oscuramento degli indirizzi IP, in quanto allo stato non univoci, dunque assegnati anche a siti web di terzi estranei alla lite e dai contenuti leciti.

La disciplina della responsabilità del provider

È bene ricordare preliminarmente che la figura del “provider” va inquadrata nella più generale categoria definitoria del prestatore di servizi prevista dal D.lgs. 70/2003 (artt. 2-14-15-16) che ha recepito in Italia la direttiva 2000/31/CE. Tale categoria definisce “le persone fisiche o giuridiche che prestino un servizio della società dell'informazione” e, più in particolare tra i servizi da queste offerti rientrano quelli di “connessione, trasmissione e memorizzazione” dei dati di chi ne faccia richiesta.

Tra le varie tipologie di servizi resi dal prestatore, quello che rileva ai fini della nostra riflessione è il servizio di hosting che consiste nella messa a disposizione da parte di una società (nel caso di specie Aruba) di uno spazio del disco rigido del proprio server per memorizzare il complesso di informazioni costituenti un sito e fornite da chi che ne fa richiesta (cd “destinatario del servizio”) o poichè non dispone delle necessarie tecnologie o poiché opera in tal senso una valutazione di convenienza economica.

La succitata disciplina europea, recepita nel nostro paese dal d.lgs. 70/2003, ha inteso armonizzare la regolamentazione del delicato tema della responsabilità dei provider mirando al superamento delle divergenze tra le normative e le giurisprudenze nazionali. La ratio della scelta di tale intervento nell’ambito di questa materia è riconducibile soprattutto alla volontà di superare una frammentazione che impedisse il buon funzionamento del mercato interno, soprattutto ostacolando lo sviluppo dei servizi transnazionali e introducendo distorsioni della concorrenza.

Per raggiungere questo obiettivo, a livello di diritto sostanziale si è quindi provveduto a statuire in capo provider “un generale dovere di agire condizionato” o, che dir si voglia, “l’assenza di un dovere generale di agire se non a determinate condizioni” per agevolare la cessazione di eventuali attività illegali. Ed è proprio su tal aspetto che emergono le maggiori criticità di tipo interpretativo.

Stando agli artt. 16 e 17 del D.lgs. 70/2003si prevede che nella prestazione del servizio di memorizzazione di informazioni fornite da chi ne faccia richiesta, il provider non e' responsabile delle informazioni memorizzate a condizione che detto provider:

- non sia effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita o di fatti o di circostanze che rendono manifesta l'illiceità dell'attività o dell'informazione e che

- non appena a conoscenza di tali fatti su comunicazione delle autorità competenti agisca immediatamente per rimuovere le informazioni o per disabilitarne l'accesso.

Vige altresì il principio di assenza dell'obbligo generale di sorveglianza nella prestazione dei servizi, tra gli altri, di hosting ma rimane comunque l’obbligo per l’host provider, al fine di agevolare l’individuazione e prevenzione di attività illecite, di informare senza indugio l'autorità competente qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio nonché a fornire senza indugio, a richiesta delle autorità le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati.

Sotto il profilo dell’inquadramento giurisprudenziale della questione della responsabilità dei provider, è utile richiamare il caso Google France/Louis Vuitton (2010) e il caso l’Oreal/Ebay (2011) in materia di collegamenti dei motori di ricerca a siti che vendevano prodotti contraffatti: in entrambi i casi la Corte di giustizia ha affermato che i prestatori di servizi non possono essere responsabili se non hanno alcuna conoscenzadella illeciti in quanto non hanno l'obbligo di sorvegliare.

Altresì si richiama il noto caso Google/Vividown in merito al quale il Giudice di legittimità nel 2014 ha fissato i confini di responsabilità dell'host provider non solo in ordine alle questioni di tutela della privacy, ma, più in generale, in ordine ai illeciti realizzabili dagli utenti della rete avvalendosi degli strumenti offerti dal provider stesso. La Terza sezione penale della Corte di Cassazione, infatti, nelle le motivazioni della sentenza di assoluzione dei dirigenti di Google che erano stati condannati in seguito alla diffusione su Google video di un filmato in cui un minorenne disabile veniva vessato, ha ritenuto che non è configurabile una responsabilità penale di un Internet host provider nel caso di violazione della privacy realizzata con un video diffuso sul web posto che “il gestore del servizio di hosting non ha alcun controllo sui dati memorizzati né contribuisce in alcun modo alla loro scelta, alla loro ricerca o alla formazione del file che li contiene, essendo tali dati interamente ascrivibili all’utente destinatario del servizio che li carica sulla piattaforma messa a sua disposizione”(Cass. pen. n. 5107/2014).

Se pare pacifico che il compito di attivazione per allertare chi di competenza o per rimuovere l’illecito fonda una posizione di garanzia del provider per quel che accade dopo aver ricevuto la notizia del possibile illecito, quello che appare assai più intricato è capire quando nasce tale posizione di garanzia, posto che la formulazione normativa è molto ampia da lasciare rilevanti margini di interpretazione. In particolare, il dettame “avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo” previsto dall’art. 17 del d.lgs. 70/2003può lasciare ricomprendere, o al contrario escludere se interpretato in modo restrittivo, una semplice email di segnalazione, una diffida o altra simile formalità, o ancora una presa visione random.

Sullo specifico punto si richiama, da un lato, la giurisprudenza di merito (Trib. Roma 11/02/2010 Google, Youtube /RTI, Trib. Milano 09/09/2011 RTI/Yahoo! Italia s.r.l.) che ha ritenuto responsabile l’host–provider che non si sia attivato per rimuovere immediatamente contenuti illeciti nonostante le diffide dell’interessato, dall’altro lato si ripensi al succitato ragionamento condotto dalla giurisprudenza di legittimità nel caso Google/Vividown,

La decisione

Tutto ciò premesso, stante il carattere cautelare del procedimento in esame, giova evidenziare che l’analisi del profilo dell’eventuale esonero della responsabilità dell’host provider Aruba, che tenga conto delle condizioni esimenti previste dal d.lgs. n. 70/2003, nel caso di specie è stata rinviata dal giudice alla sede eventualmente di merito deputata al trattamento risarcitorio. Soffermandosi quindi sul mero profilo oggettivo della condotta, il Tribunale di Milano ha ritenuto di dover adottare misure inibitorie finalizzate a far cessare violazioni in corso e impedirne la reiterazione in futuro (sul punto si è fatto richiamo nella ordinanza al CG 27 marzo 2014, Telekabel, p. 37, direttiva 2001/29).

Il giudice, muovendo altresì dal presupposto che i gestori di mercati on line e di mera trasmissione in qualità di intermediari (art. 156 l. aut. e art. 11 direttiva Enforcement) sono legittimati passivamente all’azione inibitoria (CG 12 luglio 2011 in C-324/09 Oreal Bay, CG 27.3.2014 C-314/2012 Telekabel) per impedire la reiterazione dell’illecito, ha ordinato ad Aruba:

- di impedire, attraverso modifica delle chiavi d’accesso, che i siti di vendita online di prodotti di orologeria contraffatti siano visibili ed accessibili a chiunque e da qualsiasi postazione remota;

- di trasferire i nomi a dominio di riferimento, tramite rilascio dell’authinfo code, a favore di Rolex Italia S.p.A.

Tribunale di Milano, ordinanza 13 giugno 2017