Da "Micro & Personal Computer" febbraio 1995 [File originale consegnato alla redazione]


Responsabilità dei gestori di sistemi telematici e riservatezza della posta elettronica. Facciamo il punto.

di Fabrizio Ruggeri

Sulla responsabilità degli operatori di sistemi telematici per i reati commessi attraverso i sistemi e sul rispetto della segretezza della posta elettronica anche da parte degli operatori di sistema è in corso un dibattito causato da un parziale vuoto legislativo.

Il problema della responsabilità degli operatori di sistemi telematici nasce appena si consideri quanti reati (dalla diffamazione e ingiuria alla violazione dei diritti d'autore allo scambio di informazioni riservate quali numeri di carte di credito, e via di seguito) sia possibile commettere attraverso i sistemi telematici (come d'altronde attraverso qualsiasi altro mezzo di comunicazione personale o di massa).

Distinguiamo i reati commessi nelle aree pubbliche del sistema (aree programmi e aree di dibattito pubblico) dai reati commessi attraverso le aree private (la posta elettronica (PE) cioè ogni comunicazione avente destinatari determinati).

REATI IN AREE PUBBLICHE

Ipotizziamo che l'utente Pinco Pallino scrivendo sul sistema diffami Mario Rossi.

Se la diffamazione fosse avvenuta a mezzo stampa Mario Rossi avrebbe potuto aggredire in giudizio non solo Pinco Pallino ma anche il direttore della pubblicazione, il quale garantisce che attraverso la stessa non vengano commessi reati.

Ma può il gestore di un sistema telematico essere equiparato a un direttore di giornale? Sicuramente no per quanto riguarda gli aspetti penali (in mancanza di una norma specifica, e non essendo applicabile nel campo penale l'analogia) mentre potrebbe esserlo per quanto riguarda gli aspetti civili (risarcimento danni).

Prendiamo allora un'altra ipotesi: in una trasmissione TV in diretta Pinco Pallino diffama Mario Rossi. In questo caso la legge 223/90 ("Mammì") non attribuisce le responsabilità del direttore di giornale in quanto non è materialmente esercitabile un controllo preventivo sulla liceità di quanto trasmesso.

Persino nel caso di pubblicazioni a stampa sono stati assolti direttori di giornali per la pubblicazioni di annunci pubblicitari che celavano, di fatto, attività di prostituzione (la cui pubblicità è vietata dalla legge). (1)

I giudici hanno cioè ritenuto che la responsabilità del direttore non potesse spingersi fino al controllo, per ogni annuncio pubblicato, che la massaggiatrice effettivamente svolgesse attività di massaggiatrice, e non di "massaggiatrice". Non si è certo ritenuto che in quel caso il direttore dovesse rinunciare alla pubblicazione dell'inserto pubblicitario, come del resto in sede legislativa non si è ritenuto che le TV dovessero rinunciare alle trasmissioni in diretta.

Visto quanto sopra si ritiene da più parti (2) che l'operatore di sistema non possa essere equiparato a un direttore di pubblicazione a stampa, non possa cioè essere ritenuto colpevole di non aver operato un controllo che, di fatto, non era possibile operare.

I messaggi pubblici possono infatti essere anche centinaia al giorno, e non si può pretendere che il gestore di un'attività spesso amatoriale come un sistema telematico possa sobbarcarsi l'onere di leggerli e vagliarli tutti prima di renderli pubblici. Ciò non solo ucciderebbe i sistemi amatoriali, ma anche snaturerebbe le conferenze pubbliche privandole della loro caratteristica immediatezza.

Non sbaglia Carlo Sarzana di Sant'Ippolito (3) (uno dei padri della Legge 547/93 sui crimini informatici) quando dice che tale controllo è "possibile", ma ciò che è tecnicamente possibile (e anche facile) può essere, ed è questo il caso, economicamente improponibile. Il sistema dovrebbe pagare persone per vagliare le centinaia o migliaia di messaggi al giorno, e per giunta comporterebbe la trasformazione delle conferenze in una cosa diversa da ciò che comunemente si intende con questo termine.

E' sicuramente più logico invece aspettarsi un controllo preventivo dei programmi inviati al sistema (in genere attuato spontaneamente anche per timore dei virus).

ANONIMATO E IDENTIFICAZIONE

Sembra dunque ai più che un operatore di sistema non sia equiparabile a un direttore responsabile di pubblicazione a stampa, ma a condizione che l'OS renda nota l'identità di chi interviene nelle aree pubbliche. Se il gestore permettesse l'acceso al sistema ad utenti anonimi e uno di questi diffamasse Mario Rossi quest'ultimo potrebbe legittimamente denunciare il gestore per diffamazione.

Sorge qui un problema molto delicato: quali procedure debba attuare il sysop per potersi discolpare di fronte a Mario Rossi. Le attuali procedure abitualmente in uso presso le BBS al momento dell'iscrizione (telefonata di controllo a casa dell'utente, ricezione di fotocopia di un documento di identità) non garantiscono una identificazione certa.

La certezza sarebbe data da una fotocopia autenticata (di un documento di identità o di una dichiarazione di iscrizione al sistema) ma è noto come gli utenti vadano e vengano dalle BBS, e se possono considerare giustificata la spesa dell'autenticazione della fotocopia per iscriversi a uno dei pochi sistemi a pagamento in Italia, possono benissimo non voler sostenere quella spesa per ogni BBS amatoriale con la quale vogliano avere contatti saltuari. (Chi non ha contattato almeno una trentina di BBS? Fa mezzo milione!).

Si sottolinea anche da più parti la necessità, da parte dei gestori, di tenere dei registri delle connessioni attraverso i quali sia possibile risalire alle azioni degli utenti all'interno del sistema. Si può osservare da un lato che tali registri sono facilissimamente falsificabili (e il divieto ex art. 491-bis CP rimarrebbe facilmente lettera morta, visto che un "log" è falsificabile con la stessa facilità con cui io modifico questo articolo sul mio elaboratore, ed è impossibile rilevare l'avvenuta modifica) dall'altro è pur vero che non è pensabile allo stato attuale della tecnologia imporre a un sistema amatoriale l'uso di costosi supporti non riscrivibili (o meglio pensarlo significherebbe decretare la fine dei sistemi amatoriali, che sono il 99% del totale).

E' dunque necessaria una legge che faccia chiarezza in materia specificando quali procedure (di identificazione e di registrazione degli accessi) debba attuare il gestore per non essere ritenuto responsabile dei reati commessi tramite il sistema, procedure che siano però compatibili con la natura amatoriale dell'attività.

REATI IN AREE PRIVATE

La risposta a questo problema è intrinsecamente connessa al problema della riservatezza della PE, ovvero alla questione se il sysop possa o meno leggere la posta privata degli utenti.

Appare infatti evidente che se la PE è coperta dal segreto epistolare il gestore non può essere ritenuto in alcun modo responsabile dei reati commessi attraverso di essa. Se invece il gestore può leggerla allora si potrebbe anche ipotizzare un suo dovere di leggerla qualora abbia motivo di sospettare che si stia commettendo un reato attraverso il sistema, e addirittura una sua responsabilità qualora si considerasse che abbia il dovere di controllarla. (Le considerazioni svolte precedentemente rimarrebbero però in quest'ultimo caso egualmente fattibili).

La Costituzione all' art. 15 stabilisce che "La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltato per atto motivato dell'autorità giudiziaria con le garanzie stabilite dalla legge".

E' pacifico in dottrina che siano coperte dal segreto epistolare anche le comunicazioni facilmente intercettabili (quali le comunicazione telefoniche trasmesse via radio dagli aerei), essendo ciò che le rende segrete la mera intenzione da parte di mittente e destinatari di non divulgarle a terzi usando un canale di comunicazione che raggiunge destinatari determinati.

Esistono però casi (Fidonet il più eminente) in cui l'utente "accetta" le condizioni "di contratto" con la rete, fra le quali la non segretezza della corrispondenza privata (c.d. "Netmail" o "Matrix"). I sysop Fidonet possono secondo il loro regolamento leggere la corrispondenza privata per accertarsi che non abbia carattere commerciale. Il costo di Fidonet è infatti sostenuto dai sysop che non vogliono, offrendo gratuitamente il servizio agli utenti, veicolare traffico commerciale, cioè pagare la bolletta Telecom a professionisti e imprese.

L'art. 616 del codice penale, che punisce (pesantemente) la "Violazione, sottrazione e soppressione di corrispondenza" dice all'ultimo comma che "agli effetti delle disposizioni di questa sezione per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica, ovvero effettuata con ogni altra forma di comunicazione a distanza", e l'art. 623-bis (Altre comunicazioni e conversazioni) dice che "Le disposizioni contenute nella presente sezione, relative alle comunicazioni e conversazioni telegrafiche, telefoniche, informatiche o telematiche, si applicano a qualunque altra trasmissione a distanza di suoni, immagini od altri dati".

I due articoli quindi estendono la tutela penale della corrispondenza (616) e delle altre forme di comunicazione (623-bis) non solo alle comunicazioni via telefono, fax, modem, ma a qualsiasi altro mezzo il presente o il futuro possano offrire, attuando pienamente il dettato costituzionale.

Sorge spontaneo il quesito se Fidonet, offrendo all'utente un servizio (Matrix) che non può considerarsi altrimenti che di corrispondenza privata e come tale tutelato dall'art. 15 Cost. e dal CP, possa poi "per contratto" limitarne (come abbiamo visto) la segretezza, contro il dettato costituzionale e penale, e la risposta è no.

Se la "matrix" è "corrispondenza", allora è sicuramente coperta dal segreto epistolare. è corrispondenza perché è comunicazione da persona determinata a persona/e determinata/e, e d'altro canto è chiaramente ricompresa tra le forme di corrispondenza tutelate dall'art. 616. Pareri questi confortati da quelli ben più autorevoli di Vincenzo Zeno-Zencovich (avv. e professore dell'Università di Sassari) (2) e di Carlo Sarzana di Sant'Ippolito (illustrato nel seguito).

Tornando alla responsabilità dei gestori, Carlo Sarzana di Sant'Ippolito sostiene (4) che "il sysop, al fine di esercitare il suo legittimo controllo sulla regolarità del servizio, deve riservarsi esplicitamente il diritto di penetrare, nei casi sospetti, nell'interno delle singole caselle e controllare quindi il contenuto dei messaggi esistenti avvalendosi della disposizione di cui all'art. 51 del Codice Penale [l'esercizio di un diritto o l'adempimento di un dovere escludono la punibilità]". E più oltre: "Il sysop dovrebbe avere il diritto di controllare, in casi dubbi, anche la posta elettronica. Questo diritto, peraltro, potrebbe già nel sistema vigente essergli concesso, mediante accordo contrattuale tra BBS e utenti."

Tali considerazioni sembrano in netto contrasto con quanto espresso dallo stesso Sarzana nella stessa relazione, dove correttamente sostiene che "Le "caselle postali elettroniche" sono quelle gestite nell'ambito delle reti BBS; questo tipo di corrispondenza telematica deve, a mio avviso, considerarsi chiusa, nel senso di cui all'art. 616 del Codice Penale, perché la zona in cui è contenuto il messaggio può essere normalmente raggiunta solo dal titolare della casella".

E' banale osservare che, se la corrispondenza è "chiusa", allora sicuramente beneficia della tutela penale e costituzionale e può essere aperta solo con atto motivato del magistrato, non dunque per iniziativa autonoma delle forze di polizia, meno che meno del sysop!

CONCLUSIONE: Nonostante il vuoto legislativo sembra potersi dire che il gestore non sia responsabile di reati commessi nelle conferenze pubbliche, per impossibilità ad effettuare un controllo, purché identifichi gli utenti. è invece probabilmente responsabile in caso di programmi protetti da diritti di copia presenti nel suo sistema (questi sono in genere facilmente identificabili), o di reati commessi da utenti anonimi. Non è responsabile in alcun caso per reati commessi tramite la posta privata, che anzi non è autorizzato a leggere. Rimane da stabilire il grado di accuratezza della procedura di identificazione degli utenti e della registrazione degli accessi.


(1) Avv. Giovanna Corrias Lucente, intervento alla "tavola rotonda" organizzata da Agorà Telematica a Roma il 27 giugno 1994 e avente per tema SISTEMI TELEMATICI E DIRITTO. Un resoconto sommario è disponibile su Agorà Telematica (06/69920412-69200112-6990851-6990532, Telnet su agora.stm.it, o LUR http://www.agora.stm.it), in conferenza Community Network, testo n. 508.

(2) Si vedano ad esempio gli interventi dell'avv. Giovanna Corrias Lucente e del magistrato Giovanni Buttarelli (uno dei padri della Legge 547/93) alla tavola rotonda di cui alla nota 1. Buttarelli ha ribadito questa opinione nell'intervento radiofonico al programma DUEMILA in onda su RaiTre il 13 dicembre 1994.

(3) Intervento alla tavola rotonda di cui alla nota 1.

(4) Intervento al convegno annuale del Club sul Computer Crime svoltosi a Roma il 28 e 29 novembre 1994.


[Indice rassegna]