Responsabilità provider e hosting service provider: chi risponde per i contenuti illeciti online
Quando qualcuno carica un video piratato su YouTube, pubblica un commento diffamatorio su Facebook o condivide un’opera protetta su TikTok, la prima domanda è sempre la stessa: chi è responsabile legalmente? Solo l’utente che ha caricato il contenuto — o anche la piattaforma che lo ospita?
La risposta non è mai stata semplice, e negli ultimi anni è cambiata in modo significativo. Il quadro normativo sulla responsabilità dei fornitori di servizi hosting si è evoluto su tre fronti: le regole originarie del D.Lgs. 70/2003, ancora in vigore per i provider tecnici; l’evoluzione giurisprudenziale sulla distinzione tra hosting passivo e attivo; e il nuovo regime del Digital Services Act, applicabile in tutta l’UE dal febbraio 2024.
Questa guida ricostruisce il quadro completo sulla responsabilità legale degli hosting service provider — utile sia per chi ha subito una violazione su una piattaforma e vuole sapere come agire, sia per le piattaforme che devono verificare la propria conformità normativa.
Il sistema originario: D.Lgs. 70/2003 e la tripartizione dei provider
Il punto di partenza della responsabilità legale dei provider in Italia è il D.Lgs. 9 aprile 2003, n. 70, che ha recepito la Direttiva europea sul commercio elettronico (2000/31/CE). La norma ha costruito un sistema di esonero dalla responsabilità per i fornitori di servizi basato su tre categorie di attività, ciascuna con un regime diverso.
La logica sottostante era chiara: non si può chiedere a un provider di rispondere per tutto ciò che transitano sulla propria infrastruttura — sarebbe come ritenere responsabile La Posta per il contenuto delle lettere che consegna. Ma questa neutralità ha limiti precisi, e la giurisprudenza degli anni successivi li ha disegnati con sempre maggiore nitidezza.
Mere conduit: il semplice trasporto (art. 14)
Il provider che si limita a trasmettere informazioni su una rete di comunicazione — senza dare origine alla trasmissione, senza selezionare il destinatario, senza selezionare né modificare le informazioni — non è responsabile per i contenuti trasmessi.
È il caso dell’operatore telefonico o dell’internet service provider che fornisce connettività: la sua attività è puramente tecnica, automatica e passiva. La condizione è l’assoluta neutralità rispetto al contenuto.
Un provider che gerarchizza i flussi di dati — concedendo banda maggiore ad alcuni servizi rispetto ad altri — perde questa neutralità e con essa l’esonero. Il principio della net neutrality è strettamente connesso a questo regime di esonero.
Caching: la memorizzazione temporanea (art. 15)
Il provider che memorizza temporaneamente informazioni per rendere più efficiente la trasmissione verso altri destinatari non è responsabile a condizione che:
- non modifichi le informazioni
- rispetti le condizioni di accesso alle informazioni
- aggiorni le copie cache secondo le regole del settore
- rimuova le informazioni dalla cache quando vengano eliminate dalla fonte originale su ordine dell’autorità
Il caching è una funzione tecnica fondamentale per l’efficienza di internet — le CDN (Content Delivery Network) si basano su questo principio — e il suo esonero dalla responsabilità è sostanzialmente indiscusso.
Hosting: la memorizzazione su richiesta (art. 16)
È il regime più rilevante per la responsabilità degli hosting service provider: riguarda YouTube, Facebook, Instagram, TikTok, i siti di file sharing, i forum, i marketplace online, qualsiasi piattaforma che memorizza contenuti caricati dagli utenti.
Il provider che memorizza informazioni fornite da un utente non è responsabile a condizione che:
- non sia a conoscenza dell’illiceità delle informazioni memorizzate
- una volta venuto a conoscenza dell’illiceità, agisca immediatamente per rimuovere le informazioni o disabilitarne l’accesso
La conoscenza dell’illiceità — il cosiddetto “actual knowledge” — è la chiave del sistema. Come si determina? La giurisprudenza ha elaborato una serie di criteri: la segnalazione formale del titolare dei diritti, la citazione in giudizio, l’ordine dell’autorità. Ma anche segnali “costruttivi” — informazioni tali che un provider diligente avrebbe dovuto rendersi conto dell’illiceità — possono integrare la conoscenza.
Nessun obbligo generale di sorveglianza (art. 17)
Il D.Lgs. 70/2003 stabilisce esplicitamente che i provider non hanno un obbligo generale di sorvegliare le informazioni che trasmettono o memorizzano, né di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.
Questo principio — che riflette la scelta di non caricare i provider di oneri di controllo preventivo che avrebbero soffocato lo sviluppo di internet — rimane formalmente in vigore ed è stato confermato anche dal Digital Services Act. Le piattaforme non sono obbligate a controllare tutti i contenuti prima della pubblicazione.
Ma il principio ha subito significative erosioni nella giurisprudenza — soprattutto per le piattaforme che svolgono un ruolo attivo sui contenuti, come vedremo.
L’evoluzione: hosting passivo vs. hosting attivo
La distinzione più rilevante sviluppata dalla giurisprudenza — europea e italiana — è quella tra hosting provider passivo e hosting provider attivo. È qui che si concentra la maggior parte del contenzioso sulla responsabilità dei fornitori di servizi hosting.
L’hosting provider passivo
Si limita a fornire spazio di memorizzazione in modo neutro, automatico e tecnico, senza alcuna elaborazione dei contenuti. Rientra nell’esonero dell’art. 16 D.Lgs. 70/2003: è responsabile solo se, dopo aver ricevuto la notifica dell’illiceità, non rimuove il contenuto. La sua posizione è quella del magazzino neutro — non del curatore dei contenuti.
L’hosting provider attivo
Non si limita alla memorizzazione tecnica, ma svolge un ruolo che gli conferisce conoscenza o controllo sui contenuti:
- organizza i contenuti per categorie, tag, playlist, sezioni tematiche
- promuove alcuni contenuti rispetto ad altri — mettendoli in evidenza, inserendoli in raccomandazioni algoritmiche
- monetizza i contenuti tramite sistemi pubblicitari targettizzati
- dispone di team editoriali che selezionano i contenuti in evidenza o che stabiliscono policy sui contenuti ammessi
In questo caso la piattaforma perde la qualifica di hosting provider neutro e la sua responsabilità legale ricade nelle regole ordinarie della responsabilità civile — non più nell’esonero del D.Lgs. 70/2003.
La distinzione non è sempre netta. Piattaforme come YouTube o Instagram svolgono contemporaneamente funzioni di hosting passivo (memorizzano miliardi di video caricati dagli utenti senza esaminarli) e funzioni di hosting attivo (dispongono di sistemi di raccomandazione algoritmica, di monetizzazione pubblicitaria, di policy editoriali sui contenuti). La giurisprudenza valuta caso per caso il grado di “attività” del provider rispetto allo specifico contenuto contestato.
Il caso YouTube/Delta TV: la responsabilità degli hosting service provider in pratica
Il Tribunale di Torino, nella sentenza del 7 aprile 2017 (caso YouTube/Delta TV Programs), ha applicato questi principi condannando Google e YouTube al risarcimento di 250.000 euro per violazione dei diritti di sfruttamento economico su alcune telenovelas caricate sulla piattaforma.
Il Tribunale ha qualificato YouTube come hosting provider — non come editore — ma ha ritenuto che, una volta ricevuta la notifica dell’illiceità tramite la citazione in giudizio, le convenute avessero l’obbligo di:
- rimuovere immediatamente i contenuti segnalati
- impedire il futuro caricamento di contenuti equivalenti
YouTube non aveva adempiuto a nessuno dei due obblighi — e questa omissione è stata la base della condanna. Il caso ha chiarito che la responsabilità legale del provider non richiede che la piattaforma abbia “scelto” di ospitare il contenuto illecito: è sufficiente che, a conoscenza dell’illiceità, non abbia agito.
La Cassazione 2021: danno in re ipsa e prezzo del consenso
La Corte di Cassazione, con l’ordinanza n. 39763 del 13 dicembre 2021, ha consolidato due principi fondamentali per la responsabilità legale in materia di violazioni del diritto d’autore online.
Il danno in re ipsa
La violazione di un diritto di esclusiva — come il copyright su un’opera audiovisiva — costituisce danno in re ipsa: la prova della violazione è sufficiente per il risarcimento minimo, senza che il titolare dei diritti debba fornire prova specifica del danno economico subito. Non è necessario dimostrare quante visualizzazioni ha ottenuto il video non autorizzato né quale sia stato l’impatto commerciale della violazione.
Il prezzo del consenso come soglia minima
La soglia minima di risarcimento è il “prezzo del consenso”: il compenso che il responsabile avrebbe dovuto pagare per ottenere un uso autorizzato del contenuto. Se un’etichetta avrebbe licenziato i diritti di distribuzione di una telenovela per 50.000 euro, quello è il minimo risarcibile — anche se il danno effettivo fosse stato maggiore o minore.
Questi principi si applicano non solo alle piattaforme, ma a chiunque utilizzi opere protette senza autorizzazione — siti web, blog, marketplace, applicazioni mobile. → Approfondimento: Violazione copyright: conseguenze e come difendersi
Il caso Facebook alla Corte di Giustizia UE: la rimozione dei contenuti equivalenti
Un tassello fondamentale viene dalla Corte di Giustizia dell’Unione Europea, sentenza del 3 ottobre 2019 nel caso Eva Glawischnig-Piesczek vs. Facebook Ireland (C-18/18).
I fatti
Una politica austriaca aveva ottenuto da un giudice nazionale l’ordine di rimozione di un commento diffamatorio pubblicato su Facebook. La questione posta alla CGUE era: Facebook deve limitarsi a rimuovere esattamente quel commento, o deve anche ricercare e rimuovere i commenti identici o equivalenti — anche al di fuori del territorio austriaco?
La risposta della Corte
La Corte ha risposto affermativamente su entrambi i punti. Un giudice nazionale può ordinare a un hosting service provider di:
- rimuovere le informazioni dichiarate illecite
- bloccare l’accesso a tali informazioni
- rimuovere le informazioni equivalenti — contenuti con un identico significato lesivo, anche se formulati in modo diverso
La ricerca delle informazioni equivalenti non può essere generalizzata — non si può imporre alla piattaforma di sorvegliare tutti i contenuti — ma può essere circoscritta ai contenuti con lo stesso specifico significato lesivo di quello dichiarato illecito. L’ordine può avere portata globale, non solo territoriale.
Cosa cambia in pratica
Prima di questa sentenza, le piattaforme rimuovevano solo il contenuto specifico segnalato. Dopo, un’ingiunzione giudiziaria può imporre la rimozione proattiva di tutti i contenuti equivalenti — trasformando l’obbligo di rimozione da reattivo a proattivo, almeno nell’ambito del contenuto dichiarato illecito.
Per i titolari di diritti che subiscono violazioni sistematiche su una piattaforma — non un singolo video piratato, ma decine o centinaia di caricamenti equivalenti — questa sentenza apre la strada a un’ingiunzione giudiziaria che imponga alla piattaforma di bloccare tutti i contenuti equivalenti in una sola mossa.
Il Digital Services Act: il nuovo regime dal febbraio 2024
Il quadro normativo sulla responsabilità dei fornitori di servizi hosting è stato profondamente ridisegnato dal Regolamento UE 2022/2065 — Digital Services Act (DSA), applicabile in tutti i paesi UE dal 17 febbraio 2024.
Il DSA non ha eliminato il sistema del D.Lgs. 70/2003 per i provider tecnici tradizionali, ma ha introdotto un regime specifico e molto più stringente per le piattaforme online — i servizi che memorizzano e diffondono contenuti al pubblico.
Le novità principali per tutte le piattaforme
Meccanismi di segnalazione accessibili. Le piattaforme devono predisporre sistemi di segnalazione dei contenuti illeciti chiari, accessibili e facili da usare. Le segnalazioni devono essere trattate con tempestività e non possono essere ignorate.
Obbligo di motivazione. Quando una piattaforma rimuove un contenuto, sospende un account o applica qualsiasi restrizione, deve fornire una motivazione chiara all’utente interessato e informarlo dei mezzi di ricorso disponibili. Prima del DSA, le piattaforme potevano rimuovere contenuti senza spiegazioni.
Sistema di reclami interno. Le piattaforme devono disporre di un meccanismo interno di reclamo che permetta agli utenti di contestare le decisioni di moderazione. I reclami devono essere gestiti in modo non automatico almeno per le decisioni significative.
Risoluzione extragiudiziale delle controversie. Gli utenti possono rivolgersi a organismi di risoluzione extragiudiziale certificati dalle autorità nazionali competenti — in Italia l’AGCOM come Coordinatore dei Servizi Digitali.
Trasparenza sulla moderazione. Le piattaforme devono pubblicare report periodici sulle proprie attività di moderazione — quanti contenuti rimossi, per quali motivi, con quale tasso di errore.
Cosa non cambia con il DSA
Il DSA non introduce un obbligo generale di sorveglianza preventiva dei contenuti: principio che rimane fermo. Le piattaforme non sono obbligate a controllare tutti i contenuti prima della pubblicazione. Rimangono responsabili per i contenuti di cui siano venute a conoscenza e che non abbiano rimosso con la dovuta diligenza.
Le Very Large Online Platforms: obblighi aggiuntivi
Il DSA introduce obblighi particolarmente stringenti per le Very Large Online Platforms (VLOP) — piattaforme con più di 45 milioni di utenti mensili nell’UE. Rientrano in questa categoria: YouTube, Facebook, Instagram, TikTok, X (ex Twitter), Amazon Marketplace, Pinterest, LinkedIn e altre.
| Obbligo | Tutte le piattaforme | Solo VLOP |
|---|---|---|
| Meccanismi di segnalazione accessibili | ✓ | ✓ (con requisiti rafforzati) |
| Obbligo di motivazione delle rimozioni | ✓ | ✓ |
| Sistema interno di reclami | ✓ | ✓ |
| Risoluzione extragiudiziale | ✓ | ✓ |
| Valutazione annuale dei rischi sistemici | ✗ | ✓ |
| Trasparenza algoritmica | ✗ | ✓ (opzione non profilata obbligatoria) |
| Audit indipendente annuale | ✗ | ✓ |
| Accesso ai dati per i ricercatori | ✗ | ✓ |
| Supervisione diretta dalla Commissione UE | ✗ | ✓ |
Le sanzioni
Le sanzioni per la violazione del DSA sono significative: fino al 6% del fatturato mondiale annuo per le violazioni ordinarie. Per le VLOP che violano sistematicamente gli obblighi, la Commissione UE può imporre misure comportamentali — inclusa la sospensione temporanea del servizio nell’UE nei casi più gravi.
In Italia, l’AGCOM è designata come Coordinatore dei Servizi Digitali con poteri di vigilanza e sanzione nei confronti delle piattaforme che operano nel territorio nazionale. → Approfondimento: Direttiva copyright e DSA: cosa cambia per le piattaforme e gli autori
Come agire se il tuo contenuto viene usato illegalmente su una piattaforma
Il quadro normativo delineato sopra non è solo teorico: ha conseguenze pratiche concrete per chi subisce una violazione su una piattaforma online. Il percorso corretto si articola in fasi progressive.
1. Documenta la violazione
Prima di qualsiasi azione: screenshot con data e URL visibili, annotazione del profilo e dell’username del responsabile, download del contenuto violante se possibile. Una volta rimosso, la prova scompare. → Approfondimento: Violazione copyright: come documentare e come agire
2. Diffida all’utente
Il primo passo è una comunicazione formale a chi ha caricato il contenuto, che intima la rimozione immediata e il risarcimento del danno. In molti casi la diffida è sufficiente per risolvere la situazione senza ricorrere al giudice — soprattutto per violazioni non intenzionali.
3. Segnalazione alla piattaforma (takedown)
Tutte le principali piattaforme hanno sistemi di segnalazione delle violazioni di copyright e dei contenuti illeciti. Il DSA ora impone che queste procedure siano accessibili, rapide e motivate. La segnalazione porta alla rimozione del contenuto in tempi relativamente brevi. Attenzione: le segnalazioni false o pretestuose generano responsabilità in capo a chi le fa.
4. Procedura AGCOM
Per violazioni sistematiche — siti pirata, piattaforme che diffondono contenuti illeciti in modo organizzato — l’AGCOM ha competenza per ordinare la rimozione di contenuti o il blocco di siti interi. La procedura è disciplinata dalla Delibera 490/18/CONS e successive modifiche. È uno strumento più formale del takedown diretto ma molto efficace contro i siti pirata strutturati.
5. Ingiunzione giudiziaria per i contenuti equivalenti
Per ottenere la rimozione di tutti i contenuti equivalenti a quello dichiarato illecito — sulla base della sentenza CGUE nel caso Facebook — è necessaria un’ingiunzione del giudice nazionale. È lo strumento più potente per chi subisce violazioni sistematiche e ripetute, ma richiede un procedimento giudiziario.
6. Azione risarcitoria civile
Se la violazione ha causato un danno economico, l’azione civile permette di ottenere il risarcimento. Come stabilito dalla Cassazione 2021, la violazione di un diritto di esclusiva costituisce danno in re ipsa: la prova della violazione è sufficiente per il risarcimento minimo, calcolato sul prezzo del consenso.
7. Querela penale per le violazioni più gravi
Le violazioni su scala commerciale — pirateria organizzata, distribuzione sistematica di contenuti non autorizzati — configurano reati ai sensi degli artt. 171 e ss. della L. 633/1941. La querela attiva il procedimento penale.
Domande frequenti
Quando è responsabile un hosting service provider per i contenuti degli utenti?
Quando era a conoscenza dell’illiceità e non ha rimosso prontamente il contenuto; quando svolge un ruolo attivo sui contenuti che lo rende più di un semplice contenitore neutro; quando per le VLOP non rispetta gli obblighi del DSA.
Qual è la differenza tra hosting passivo e hosting attivo?
L’hosting passivo memorizza contenuti in modo neutro e automatico: beneficia dell’esonero dell’art. 16 D.Lgs. 70/2003. L’hosting attivo organizza, promuove e monetizza i contenuti: perde il beneficio dell’esonero e la sua responsabilità legale ricade nelle regole ordinarie della responsabilità civile.
Cos’è il Digital Services Act e come cambia la responsabilità delle piattaforme?
È il Reg. UE 2022/2065, applicabile dal 17 febbraio 2024. Introduce obblighi stringenti per tutte le piattaforme online — meccanismi di segnalazione, obbligo di motivazione, sistema di reclami — e obblighi aggiuntivi per le Very Large Online Platforms con più di 45 milioni di utenti UE. Non introduce un obbligo generale di sorveglianza preventiva.
Un giudice può ordinare a Facebook di rimuovere contenuti equivalenti?
Sì. La CGUE, nella sentenza del 3 ottobre 2019 (C-18/18), ha stabilito che un’ingiunzione giudiziaria può imporre la rimozione di tutti i contenuti identici o equivalenti a quello dichiarato illecito, anche su scala globale, purché la ricerca non costituisca sorveglianza generalizzata.
La violazione del copyright su una piattaforma dà diritto al risarcimento anche senza provare il danno specifico?
Sì. La Cassazione (ordinanza n. 39763/2021) ha stabilito che la violazione di un diritto di esclusiva costituisce danno in re ipsa. Il risarcimento minimo equivale al prezzo del consenso — il compenso che sarebbe stato pagato per un uso autorizzato.
Come si segnala un contenuto illecito su una piattaforma online?
Usa il sistema di segnalazione interno della piattaforma (il DSA impone che sia accessibile e rapido). Se la piattaforma non risponde, rivolgiti all’AGCOM. Per la rimozione di contenuti equivalenti serve un’ingiunzione giudiziaria.
I fornitori di servizi hosting hanno l’obbligo di sorvegliare i contenuti degli utenti?
No. Il D.Lgs. 70/2003 e il DSA confermano che non esiste un obbligo generale di sorveglianza preventiva. Le piattaforme non sono obbligate a controllare tutti i contenuti prima della pubblicazione, ma devono agire prontamente una volta a conoscenza di contenuti illeciti.
Link utili
| Risorsa | Descrizione |
|---|---|
| Violazione copyright | Conseguenze, come documentare, come difendersi |
| Diritto d’autore su internet | Copyright online, takedown, responsabilità dopo il D.Lgs. 177/2021 |
| Direttiva copyright e responsabilità fornitori servizi hosting | Come il DSM ha ridisegnato le regole per piattaforme e autori |
| Durata del copyright | Quando un’opera è protetta e quando entra nel pubblico dominio |
| D.Lgs. 70/2003 – Commercio elettronico | Testo ufficiale con la tripartizione dei provider su Normattiva |
| Digital Services Act – Reg. UE 2022/2065 | Testo ufficiale su EUR-Lex |
| CGUE C-18/18 – Glawischnig-Piesczek vs. Facebook | Sentenza sulla rimozione dei contenuti equivalenti |
| AGCOM – Diritto d’autore online | Procedura per la rimozione di contenuti illeciti e blocco siti pirata |
| Artt. 171 e ss. L. 633/1941 – Sanzioni penali | Fattispecie penali per le violazioni più gravi del diritto d’autore |
| Direttiva 2000/31/CE – Commercio elettronico | La direttiva originaria recepita dal D.Lgs. 70/2003 |
Hai trovato contenuti che violano i tuoi diritti su una piattaforma online e vuoi sapere come agire? Sei una piattaforma o un fornitore di servizi hosting che vuole verificare la propria conformità al DSA? Contattaci: assistiamo titolari di diritti e operatori digitali nella tutela delle proprie posizioni e nella gestione della conformità normativa.
Leggi anche: Violazione copyright · Diritto d’autore su internet e legale responsabilità provider · Direttiva copyright · Durata del copyright
Lo Studio Legale Dandi fornisce assistenza legale in Diritto d'autore. Dai un'occhiata ai nostri servizi oppure contattaci!
