La delibera Agcom 333/25/CONS del 29 dicembre 2025 pubblicata ieri segna un passaggio rilevante nella strategia italiana contro la pirateria online.
Agcom ha irrogato la sanzione più alta mai comminata in materia di diritto d’autore, colpendo Cloudflare Inc. con una multa superiore a 14 milioni di euro. Al di là dell’impatto mediatico, la decisione è un indicatore della direzione presa dall’enforcement: l’Autorità non guarda più soltanto ai siti pirata o agli access provider tradizionali, ma alla filiera tecnica che rende quei contenuti raggiungibili.
Cloudflare, società statunitense nota per servizi come CDN, reverse proxy, DNS pubblici e soluzioni affini, è finita al centro del procedimento perché, secondo AGCOM, non avrebbe dato esecuzione a specifici ordini di blocco. Il punto, quindi, non è “se” la pirateria esista, ma “come” la regolazione stia ridefinendo le responsabilità dei soggetti che, anche indirettamente, possono agevolare l’accesso a contenuti illeciti. È in questa cornice che va letto il record della sanzione.
Indice degli argomenti
Perché la sanzione Cloudflare record chiarisce gli obblighi degli intermediari
Per comprendere la portata del provvedimento bisogna partire dal percorso normativo che ha progressivamente ampliato strumenti e destinatari degli ordini di blocco. Dal 2014, con l’entrata in vigore del regolamento collegato alla delibera 680/13/CONS, AGCOM può ordinare agli Internet Service Provider la disabilitazione dell’accesso a siti responsabili di violazioni massive del diritto d’autore. Il meccanismo, in origine, si fondava su procedimenti amministrativi con tempi variabili, in grado di produrre blocchi efficaci ma non sempre tempestivi.
Con l’evoluzione dei consumi, soprattutto legati agli eventi live, la rapidità è diventata un requisito centrale. Il legislatore ha quindi spinto verso un modello di intervento che riducesse drasticamente il tempo tra segnalazione e blocco, perché nel mondo dello streaming illecito la differenza tra ore e minuti equivale, spesso, alla differenza tra efficacia e irrilevanza. La sanzione a Cloudflare si colloca esattamente in questa transizione.
Agcom sanziona Cloudflare: Piracy Shield e ingiunzioni dinamiche
Con la legge 93/2023 (nota come legge antipirateria) i tempi del procedimento si sono accelerati in modo radicale grazie alle ingiunzioni dinamiche gestite tramite la piattaforma Piracy Shield. In questo schema, l’ordine di blocco può essere attuato in circa 30 minuti dalla segnalazione del titolare dei diritti, una tempistica progettata per colpire la pirateria che sfrutta la diretta e la simultaneità dell’evento. Il procedimento è oggi in larga parte automatizzato e punta a ridurre i margini operativi di chi cambia domini e instradamenti per eludere gli oscuramenti.
Il quadro si è poi consolidato con le modifiche introdotte dal DL 113/2024 (Decreto Omnibus), che hanno inciso anche sulla platea dei soggetti obbligati. L’obiettivo dichiarato è evitare che i blocchi si fermino al perimetro delle telco, lasciando spazi tecnici attraverso cui il traffico può continuare a raggiungere i servizi illegali. È qui che la posizione di Cloudflare diventa centrale nella lettura di AGCOM.
Chi deve eseguire i blocchi dopo la legge antipirateria
La riforma ha chiarito che gli ordini non riguardano più soltanto i prestatori di accesso in senso tradizionale. Sono chiamati a cooperare anche soggetti come VPN, fornitori di DNS pubblici, motori di ricerca e, più in generale, i fornitori di servizi della società dell’informazione coinvolti nell’accessibilità di siti o servizi illegali. In altre parole, la norma prova a “seguire” l’architettura di Internet contemporanea, dove l’accesso non è un singolo passaggio, ma una catena di componenti tecniche che possono rendere un blocco più o meno efficace.
In questa cornice Cloudflare rientra tra i soggetti che, secondo AGCOM, possono incidere concretamente sulla possibilità per l’utente finale di raggiungere il contenuto. Non si tratta soltanto di un tema di hosting: servizi come reverse proxy e distribuzione dei contenuti possono mascherare l’origine, aumentare la resilienza dell’infrastruttura e facilitare la migrazione verso domini alternativi. È questo il tipo di contributo che l’Autorità interpreta come rilevante ai fini dell’obbligo di esecuzione.
Il ruolo del reverse proxy secondo il Tribunale di Roma
Un passaggio richiamato nel dossier è l’ordinanza del Tribunale di Roma (sezione imprese) che descrive l’attività di Cloudflare come un contributo agevolatore alla trasmissione di contenuti protetti, evidenziando la capacità di ottimizzare la consegna, nascondere l’hosting provider e favorire il passaggio verso domini non ancora bloccati. Il punto, per l’impianto argomentativo, è che alcuni servizi tecnici non sono neutrali rispetto all’efficacia del blocco e possono incidere in modo sostanziale sulla fruibilità del contenuto illecito.
AGCOM sanziona Cloudflare: dagli avvisi all’ordine specifico
Il provvedimento non arriva “a sorpresa”. Già a ottobre 2024, con la delibera 401/24/CONS, AGCOM aveva richiamato queste categorie di fornitori al rispetto della legge antipirateria, anche in relazione alla mancata partecipazione al tavolo tecnico per l’implementazione di Piracy Shield. Successivamente, Cloudflare è stata destinataria di un ordine specifico con la delibera 49/25/CONS, in cui l’Autorità avrebbe rilevato che una quota molto ampia dei siti segnalati dai titolari dei diritti utilizzava servizi riconducibili alla società.
Nel provvedimento, AGCOM avrebbe quindi indicato una serie di risorse — inclusi indirizzi FQDN e risorse IP — chiedendo di disabilitare risoluzione e instradamento o di adottare misure equivalenti per impedire la fruizione dei contenuti abusivi. La sanzione scatta perché, secondo l’Autorità, quell’ordine non sarebbe stato eseguito. Il nesso tra ordine puntuale e inadempienza è il fulcro tecnico-giuridico dell’intera vicenda.
La base giuridica della multa e il richiamo al Digital Services Act
Per l’inadempimento viene applicato l’art. 1, comma 31, della legge 249/97, che consente ad AGCOM di irrogare una sanzione fino al 2% del fatturato per i soggetti che non ottemperano agli ordini in materia di diritto d’autore. Nel caso specifico, la percentuale applicata è stata dell’1%, da cui deriva l’importo superiore a 14 milioni. L’elemento chiave, quindi, non è la “pirateria in astratto”, ma la mancata cooperazione rispetto a un ordine dell’Autorità in un quadro normativo ormai esplicitamente orientato alla rapidità.
Nella motivazione, l’Autorità sottolinea inoltre l’assenza di collaborazione nell’implementazione della disciplina, richiamando anche il Digital Services Act sul tema della responsabilità dei prestatori di servizi della società dell’informazione in caso di mancata ottemperanza agli ordini delle autorità competenti. Il messaggio regolatorio è chiaro: la compliance non è più un tema opzionale o negoziabile, soprattutto quando la tecnologia viene percepita come fattore che rende inefficaci i blocchi.
Cosa cambia ora per pirateria, piattaforme e compliance
AGCOM ribadisce che l’obiettivo non è sanzionare per “fare cassa”, ma creare un ambiente online più sicuro in cui i contenuti circolino nel rispetto della proprietà intellettuale, preservando le risorse economiche necessarie alla produzione culturale e sportiva. Nello stesso quadro viene citata la collaborazione avviata con altri grandi attori, come la sperimentazione con Google per bloccare alcuni open DNS legati ai siti pirata, indicata come esempio di un approccio più cooperativo.
La sanzione a Cloudflare, in questo senso, funziona da precedente e da avvertimento: la lotta alla pirateria non si gioca più solo sull’individuazione del sito illecito, ma sulla capacità di rendere davvero efficaci gli ordini, intervenendo sui punti della rete dove l’accesso può essere riabilitato. La prossima fase, plausibilmente, sarà una pressione crescente perché gli intermediari adottino misure strutturali e partecipino ai meccanismi tecnici di blocco, riducendo le aree grigie tra responsabilità giuridica e architettura della rete.
