A volte, il troppo – come si cube – stroppia. Brevemente, i fatti. Con delibera 333/2025, il 29 dicembre l’Agcom ha sanzionato la società Cloudflare, 14 milioni di euro, per non aver ottemperato all’ordine di blocco di domini e indirizzi Ip collegati a siti pirata nell’ambito del sistema “Piracy Defend”. È un cambio di paradigma: per la prima volta non viene colpito il gestore del sito illecito o l’Isp che fornisce l’accesso alla rete, ma un operatore di infrastrutture globali (Dns pubblici, Cdn, reverse proxy, servizi di sicurezza). Si sposta così il baricentro della responsabilità da chi diffonde contenuti illeciti a chi fornisce strumenti tecnologici, di per sé neutrali. Cloudflare spiega che i suoi servizi non generano contenuti, non li selezionano e non li modificano; non determinano la messa on-line di un sito e non ne controllano l’internet hosting. Insomma è un intermediario di rete che eroga servizi (in parte gratuiti) necessari per l’efficienza e la sicurezza. Eppure, richiamando alcune pronunce civili in cui si ipotizza un “concorso nell’illecito” per il semplice ruolo di reverse proxy, per l’Agcom questo non conta: Cloudflare è comunque responsabile della diffusione di contenuti illeciti. Si tratta, invero, di una scelta giuridica scivolosa. Perché l’uso strumentale di un’infrastruttura non equivale, di per sé, a un apporto causale consapevole all’illecito, specie quando il servizio è offerto indistintamente a milioni di clienti leciti. In iperbole, se questo criterio fosse generalizzato, ogni operatore di rete, Dns o Vpn, diventa corresponsabile degli abusi degli utenti, prescindendo dalla struttura di Web. Sarebbe come ritenere le società di trasporto responsabili dei reati commessi sugli autobus: insostenibile.
Il caso
Cloudflare: “La multa Agcom è come la censura. Niente cybersicurezza alle Olimpiadi Milano-Cortina”
FABRIZIO GORIA E GIOVANNI TURI
L’Autorità fonda la sanzione sull’assunto che i Dns pubblici e i servizi Vpn permetterebbero di aggirare i blocchi del Piracy Defend, rendendo meno efficaci le misure degli Isp italiani. Ma chi deve combattere la pirateria? Gli Isp o ciascun soggetto che contribuisce alla esistenza dell’infrastruttura? La delibera afferma che Cloudflare rientra tra i soggetti obbligati dalla legge antipirateria perché offre servizi Dns, Vpn e di accesso. E dunque l’Agcom, di fatto, supera la distinzione sull’attribuzione di responsabilità, anche in merito alla sorveglianza – tema centrale nel diritto europeo, confermata dalla direttiva e-commerce e ribadita pure dal recente Digital Providers Act – tra chi diffonde contenuti illeciti e chi fornisce invece strumenti tecnologici generici, neutrali, di sistema. L’effetto? Che, in modo molto problematico sotto il profilo tecnico, si finirebbe per avere gravi rallentamenti, disservizi e fenomeni di overblocking; con effetti sistemici enormi, qualora questi soggetti infrastrutturali – che sostengono i nodi portanti dell’architettura di Web – venissero sottoposti, in questa ottica, all’obbligo di filtraggi massivi. Certo, si tratta di temi delicati che vanno tenuti esenti dal rischio di valutazioni additional giuridiche, ancorando saldamente le questioni alla regolazione e al “legislation enforcement” del quadro europeo. Eppure rimane il fatto oggettivo che una cosa è colpire chi organizza piattaforme illegali, altra è assumere determinazioni che possono scatenare effetti distorsivi e filtri generalizzati della rete, non distinguendo, e facendo di tutta un’erba un fascio. Con il rischio peraltro di creare un doppio paradosso: da un lato, dopo aver sancito con Regolamento europeo il valore della “web neutrality”, si nega quel principio, attuando il blocco preventivo di Dns, Vpn o CDN. Dall’altro, dopo aver riconosciuto dei soggetti infrastrutturali chiamati a garanzia di quel principio, non li si riconosce in quel ruolo ma li si sanziona, suscitando inevitabilmente reazioni del tutto fuori scala, chiaramente istintive, come quelle del Ceo di Cloudflare.
Serve dunque distinguere, non da ultimo per contribuire a ridefinire meglio quel bilanciamento necessario che, a soli trenta mesi dalla legge 93/2023 contro la diffusione illecita di contenuti in rete, è già necessario. Insomma, se il contrasto alla pirateria è sacrosanto e urgente, farlo senza compromettere l’intero ecosistema di Web di certo è più complicato del previsto. Colpire l’infrastruttura per colpire l’illecito rischia di essere invece una scorciatoia pericolosa, che apre più problemi di quanti ne risolva. A maggior ragione, si licet, in tempi di fragili diritti e libertà.
*Ex Segretario generale Agcom
** Ordinario di diritto pubblico italiano e comparato – Università “La Sapienza” di Roma
