Alla fine del secolo scorso, quando sono state progettate le norme della direttiva 2000/31/CE sul perimetro di responsabilità degli ISP (Internet Service Providers), il cloud computing non esisteva.
La formulazione delle tre fattispecie in cui era configurabile una responsabilità degli ISP (cioè mere conduit o semplice trasporto, caching o memorizzazione temporanea, hosting o memorizzazione di informazioni) non imponeva di considerare i Cloud Infrastructure Services Providers come ISP né come destinatari delle relative norme. Inevitabilmente, un’identica assenza di riferimenti al cloud computing è riscontrabile nel decreto legislativo 70/2003, approvato in Italia tre anni dopo per recepire la direttiva 2000/31/CE.
Invece, il Regolamento UE 2065/2022 sui servizi digitali (Digital Services Act, o “DSA”) – che sarà esecutivo dal 17 febbraio 2024 – ha incluso i Cloud Infrastructure Services Providers fra i destinatari di obblighi di diligenza.
Digital Services Act, ecco chi verifica che venga rispettato
Fra la direttiva 2000/31/CE e il DSA c’è un elemento di continuità. Sia l’una che l’altro preferiscono non porre l’accento sulla responsabilità degli ISP, bensì sulle esenzioni dalla responsabilità per gli ISP. L’art. 8 del DSA afferma che «non è imposto alcun obbligo generale di sorveglianza sulle informazioni che tali prestatori trasmettono o memorizzano, né di accertare attivamente fatti o circostanze che indichino la presenza di attività illegali». Un’evoluzione, tuttavia, la troviamo –nel DSA, all’art. 2, lettera a) – nella qualifica di questa esenzione dalla responsabilità come «condizionata».
La prospettiva del legislatore è agli antipodi di quella degli ISP. Questi tenderebbero a non ritenersi mai responsabili di illeciti compiuti dai loro clienti nell’uso dei servizi di trasporto o di memorizzazione di informazioni da essi offerti. Sarebbero indotti a pensare: “io offro un servizio di natura tecnica, non posso e non voglio entrare nel merito di come i miei singoli clienti lo usano”. All’opposto, il legislatore ragiona così: “sarebbe ovvio ritenere gli ISP responsabili di tutto ciò che i loro clienti fanno grazie ai servizi da loro offerti; occorre, però, porre dei limiti a questa responsabilità, per non farla diventare una responsabilità oggettiva”. Quello stesso dovere di diligenza “in alcuni casi e ad alcune condizioni” posto dal DSA e vissuto dagli ISP come un peso, per il legislatore è una concessione agli ISP, lo sgravio da un obbligo generale di sorveglianza. A patto che, quando sono in grado di intervenire, agiscano.
La novità del Digital Services Act
Per i Cloud Infrastructure Services Providers la novità sostanziale del DSA si manifesta sottotraccia, dietro le spoglie di una continuità formale. Nei “considerando” (13) e (28) del DSA, il cloud computing è espressamente indicato come un servizio intermediario incluso nella disciplina. A seconda del concreto funzionamento del servizio di cloud computing, le norme sulle esenzioni dalla responsabilità per i Cloud Infrastructure Services Providers sono le stesse che valgono per i fornitori di servizi di mere conduit, di caching o di hosting, che a loro volta sono pressoché identiche a quelle dettate dalla direttiva 2000/31/CE. Apparentemente, l’unico vero cambiamento che il DSA introduce per il mondo del cloud computing sarebbe nell’avere reso incontrovertibile che un Cloud Infrastructure Services Provider è esonerato da responsabilità per ciò che fanno i destinatari dei servizi (i suoi clienti) alle medesime condizioni e con le medesime eccezioni che già valevano e continueranno a valere, a seconda dei casi, per i fornitori di servizi di semplice trasporto, di memorizzazione temporanea, o di memorizzazione di informazioni. Di queste condizioni ed eccezioni parleremo fra poco. I Cloud Infrastructure Services Provider dovranno attrezzarsi a fare ciò che prima facevano gli intermediari già qualificabili come ISP. Inoltre, come tutti, dovranno gestire alcuni obblighi di diligenza e soggiacere al regime sanzionatorio del DSA, ben più severo di quello della direttiva 2000/31/CE.
Quali sono i servizi di nuvola informatica? Nell’art. 3 del DSA (dedicato alle definizioni) non sono definiti. Riportiamo, qui, la descrizione di Massimo Farina nel “Dizionario Legal Tech” a cura di Giovanni Ziccardi e Pierluigi Perri, edito da Giuffrè: “un sistema di servizi offerti on demand – attraverso la rete internet – da un fornitore (cloud provider) a uno o più utenti finali, volto all’archiviazione, all’elaborazione e all’uso di dati su computer remoti. […]. Da un punto di vista architetturale, il cloud computing prevede uno o più server reali, fisicamente collocati presso il data center del fornitore del servizio. […]. Quanto all’organizzazione del servizio, le risorse computazionali sono assegnate rapidamente attraverso procedure automatizzate, a partire da un insieme di risorse condivise con altri utenti come, ad esempio, lo spazio di archiviazione […]. La maggior parte dei servizi di cloud computing rientra nelle seguenti categorie: infrastruttura distribuita come servizio (IaaS), piattaforma distribuita come servizio (PaaS), elaborazione server-ess e software come un servizio (SaaS)”.
È evidente che l’universo dei servizi di infrastrutture cloud è molto ampio e variegato. Lo IaaS include servizi di hardware “virtuale”, sul quale il cliente può installare il suo server e i suoi sistemi informatici. Il PaaS comprende soluzioni di piattaforma come servizio, che permettono agli sviluppatori di software di usare un ambiente di test per implementare prototipi e fare verifiche o realizzare applicazioni. Il SaaS comprende infinite varianti di servizi per gli utenti finali: piattaforme per il CRM, tool per la gestione dei documenti, ecc.
Il nodo dei servizi di infrastruttura cloud
Come spesso accade alle discipline europee, il DSA è stato varato dopo una consultazione pubblica in cui sono state ascoltate le voci dei settori impattati. Per il settore del cloud, ha partecipato alla consultazione il CISPE (Cloud Infrastructure Services Providers in Europe), precisando che i servizi di infrastrutture cloud supportano un numero virtualmente illimitato di casi d’uso, ed insistendo sul concetto che sono i clienti del cloud o gli utenti finali a decidere come usare i servizi di infrastrutture cloud quando creano le proprie applicazioni, i propri ambienti o siti web, e che lo fanno mantenendo un pieno controllo sui propri contenuti e ambienti. Ad esempio, sono i clienti a decidere se cifrare le informazioni non destinate al pubblico: non possono essere i Cloud Infrastructure Services Providers a prendere questa decisione. Spesso, i clienti chiedono che i fornitori di infrastrutture cloud non possano accedere ai loro dati e che non abbiano nessun monitoraggio e nessun possibile controllo sui loro contenuti. Perciò, i Cloud Infrastructure Services Providers non avrebbero la possibilità di usare tecnologie di filtraggio per monitorare i contenuti. In conclusione, il CISPE ha esortato la Commissione UE a far sì che il regime di responsabilità dei Cloud Infrastructure Services Providers tenga conto delle differenze tra i servizi di infrastruttura cloud e altri servizi (come le piattaforme online) che sono offerti, sì, sul cloud, ma da terze parti e che una visibilità e un controllo sui contenuti ce l’hanno.
Le richieste del CISPE hanno trovato accoglimento solo parziale. È vero che il DSA non ha imposto ai Cloud Infrastructure Services Providers un obbligo generale di sorveglianza su ciò che fanno i loro clienti o utenti, né un obbligo generale di accertamento attivo dei fatti, né un obbligo generale di adottare misure proattive in relazione ai contenuti illegali. Tuttavia, il DSA ha ritenuto adeguati al tipo, alle dimensioni e alla natura del servizio intermediario da essi erogato anche obblighi di diligenza legati alle informazioni che ospitano.
Il considerando (28) del DSA afferma che «i prestatori di servizi che stabiliscono e agevolano l’architettura logica di base e il corretto funzionamento di internet, comprese le funzioni tecniche ausiliarie, possono beneficiare delle esenzioni dalla responsabilità stabilite nel presente regolamento, nella misura in cui i loro servizi si qualificano come semplice trasporto, memorizzazione temporanea o memorizzazione di informazioni. Tali servizi comprendono, a seconda dei casi, […] servizi di infrastrutture cloud».
Sulla medesima lunghezza d’onda, ma ancora più esplicito, è il considerando (13) del DSA: «al fine di evitare l’imposizione di obblighi eccessivamente ampi, i prestatori di servizi di memorizzazione di informazioni non dovrebbero […] essere considerati piattaforme online quando la diffusione al pubblico è solo una caratteristica minore o meramente accessoria connessa intrinsecamente a un altro servizio o una funzionalità minore del servizio principale e, per ragioni tecniche oggettive, tale caratteristica o funzionalità non può essere utilizzata senza tale altro servizio o servizio principale e l’integrazione di tale caratteristica o funzionalità non è un mezzo per eludere l’applicabilità delle norme del presente regolamento applicabili alle piattaforme online. […]. Ai fini del presente regolamento, i servizi di nuvola informatica (cloud computing) […] non dovrebbero essere considerati una piattaforma online ove la diffusione di contenuti specifici al pubblico costituisca una caratteristica minore e accessoria o una funzionalità minore di tali servizi». Vale a dire: quanto a regime di responsabilità degli ISP, i servizi di infrastrutture cloud devono essere equiparati alle piattaforme online. D’altra parte, lo stesso considerando chiarisce che «i servizi di nuvola informatica […], quando fungono da infrastruttura, come ad esempio i servizi di memorizzazione e di calcolo infrastrutturali sottostanti di un’applicazione basata su internet, di un sito web o di una piattaforma online, non dovrebbero essere considerati di per sé una diffusione al pubblico di informazioni memorizzate o trattate su richiesta di un destinatario di un’applicazione, di un sito web o di una piattaforma online che ospitano». Il non implicare diffusione di informazioni esonera i servizi di infrastrutture cloud dagli specifici obblighi di diligenza a carico dei motori di ricerca online e delle piattaforme che intermediano fra operatori commerciali e consumatori.
Gli impatti per i Cloud Infrastructure Services Provider
Per tutti gli ISP, il DSA detta obblighi di collaborazione con le autorità competenti qualora queste emettano ordini di contrastare i contenuti illegali (art. 9) oppure ordini di contrastare i contenuti illegali (art. 10). Dopo di che, gli obblighi di diligenza variano leggermente al variare del tipo di servizio erogato dall’ISP.
Astrattamente, un servizio cloud potrebbe essere a seconda dei casi di mere conduit, di caching o di hosting a seconda della sua architettura e di come funziona. Tuttavia, delle tre tipologie indicate, quella che appare più affine al cloud computing è la memorizzazione di informazioni (hosting). Basandoci su questa ragionevole chiave di lettura, possiamo dire che una sintesi efficace degli impatti del DSA per i Cloud Infrastructure Services Providers è nel considerando (50) del DSA, secondo cui «è importante che tutti i prestatori di servizi di memorizzazione di informazioni, indipendentemente dalle loro dimensioni, predispongano meccanismi di segnalazione e azione di facile accesso e di facile uso che agevolino la notifica al prestatore di servizi di memorizzazione di informazioni interessato di informazioni specifiche che la parte notificante ritiene costituiscano contenuti illegali («segnalazione»), in base alla quale il prestatore può decidere se condivide o no tale valutazione e se intende rimuovere detti contenuti o disabilitare l’accesso agli stessi («azione»). Tali meccanismi dovrebbero essere chiaramente identificabili, situati vicino alle informazioni in questione e facili da reperire e da utilizzare almeno quanto i meccanismi di notifica per i contenuti che violano le condizioni generali del prestatore di servizi di memorizzazione di informazioni. A condizione che siano rispettate le prescrizioni relative alle segnalazioni, le persone o gli enti dovrebbero poter notificare più contenuti specifici presunti illegali mediante un’unica segnalazione al fine di assicurare l’effettivo funzionamento dei meccanismi di segnalazione e azione. Il meccanismo di segnalazione dovrebbe consentire, ma non richiedere, l’identificazione della persona o dell’ente che presenta la segnalazione. Per alcuni tipi di informazioni notificate, l’identità della persona o dell’ente che presenta la effettua la segnalazione potrebbe essere necessaria per determinare se tali informazioni costituiscano contenuti illegali, come asserito».
Non a caso, il cuore della disciplina sull’esenzione di responsabilità per i Cloud Infrastructure Services Providers rimane, nell’art. 6 del DSA, il medesimo valido oggi per i fornitori di servizi di hosting ai sensi dell’art. 14 della direttiva 2000/31/CE. La responsabilità dell’ISP è esclusa se l’ISP non è effettivamente al corrente del fatto che l’attività del cliente o utente (o l’informazione) è illecita e, per quanto attiene ad azioni risarcitorie, non è al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione (non conoscenza) e se – non appena al corrente di tali fatti – l’ISP agisce immediatamente per rimuovere le informazioni o per disabilitarne l’accesso (rimozione tempestiva). In concreto, per godere della limitazione della responsabilità, un Cloud Infrastructure Services Providers dovrà agire immediatamente per rimuovere le informazioni o per disabilitare l’accesso alle medesime non appena sia informato o si renda conto delle attività illecite. Inoltre, dovrà adottare misure organizzative e tecniche idonee ad accorgersi di essere stati informati, o di rendersi conto se ne hanno evidenza, delle attività illecite.
L’articolo 16 del DSA impone agli ISP (compresi, quindi, i Cloud Infrastructure Services Providers) di creare meccanismi che consentano agli utenti di notificare la presenza nel loro servizio di contenuti illegali, e di fornire spiegazioni sufficientemente precise e adeguatamente motivate sul motivo per cui li ritengono illegali, una chiara indicazione di dove si trovano, i propri dati identificativi e le conferma della propria convinzione in buona fede circa l’esattezza e la completezza delle informazioni e dichiarazioni rese. Inoltre, tutti gli ISP devono notificare alla persona o all’ente segnalante la propria decisione in merito alle informazioni cui si riferisce la segnalazione, fornendo informazioni sulle possibilità di ricorso.
L’art. 17 disciplina l’obbligo di motivazione. Se gli ISP decidono di rimuovere contenuti o di sospendere o di terminare la fornitura dei servizi devono spiegarne i motivi all’utente che ne è impattato. Questa motivazione deve essere chiara e specifica. La norma elenca il contenuto minimo di tale dichiarazione, che deve includere i fatti che hanno dato origine alla decisione, la norma o la clausola contrattuale violata e i meccanismi di ricorso disponibili. Infine, ai sensi dell’art. 18 del DSA, nella misura in cui è qualificabile come fornitore di hosting, anche un Cloud Infrastructure Services Provider, qualora venga a conoscenza di informazioni che fanno sospettare che sia stato commesso, si stia commettendo o probabilmente sarà commesso un reato che comporta una minaccia per la vita o la sicurezza di una o più persone, deve informare senza indugio le autorità giudiziarie o di contrasto, fornendo le informazioni disponibili. Sommando l’onere di fronteggiare il meccanismo di segnalazione e azione disciplinato dall’art. 16 e la notifica di sospetti reati prevista dall’art. 18, appare chiaro che l’unico modo che un ISP ha di essere conforme è attrezzarsi con idonee procedure, che definiscano ruoli e responsabilità.
Obblighi di diligenza e sanzioni
Per concludere, un cenno agli obblighi di diligenza. Essi sono:
- l’obbligo di istituire un punto di contatto unico che consenta loro di comunicare direttamente con le autorità, la Commissione e il comitato delle autorità (art. 11);
- l’obbligo di designare un punto di contatto unico che consenta ai destinatari del servizio di comunicare direttamente e rapidamente con loro, per via elettronica e in modo facilmente fruibile (art. 12);
- l’obbligo di integrare le condizioni contrattuali e di servizio con una serie di clausole prescritte dal DSA stesso (art. 14);
- l’obbligo di redigere su base annuale una relazione in cui dare conto degli ordini ricevuti dalle autorità durante l’anno e del numero delle segnalazioni ricevute ai sensi dell’art. 16 citato.
Quanto appena descritto implica per i Cloud Infrastructure Services Provider un impatto ben più lieve di quello previsto per le piattaforme online di dimensioni molto grandi e per i motori di ricerca online di dimensioni molto grandi, che dovranno rivedere profondamente i loro modelli organizzativi e di business.
Secondo il DSA, le norme sulle sanzioni dovranno essere definite dagli Stati membri. Però, le sanzioni potranno scattare per la violazione di uno qualsiasi fra gli obblighi indicati. E l’importo massimo delle sanzioni pecuniarie che potranno essere irrogate è molto elevato, in quanto pari al 6 % del fatturato annuo mondiale del fornitore di servizi intermediari interessato nell’esercizio finanziario precedente. Una sfida non banale per un mercato come quello del cloud computing, che è in netta in crescita, ma che sarà impattato in modo importante dalla nuova normativa sulla cybersecurity (Direttiva 2022/2555/UE, o “NIS 2”, che dovrà essere recepita da tutti gli Stati membri entro il 17 ottobre 2024).
