La attività di reverse proxy, il mascheramento del relativo nome a dominio, e la responsabilità ex art. 2055 cc. Il caso del provider intermediario responsabile [Tribunale di Roma, sezione imprese, 3 giugno 2024 ]

di Giuseppe Cassano

Con l’esaminanda ordinanza, la Sezione XVII Civile del Tribunale di Roma, specializzata in materia di impresa, pronunciando definitivamente sul ricorso proposto dal RTI, ha accolto integralmente le istanze della ricorrente, ordinando alla resistente Cloudflare, fra l’altro, di cessare immediatamente la fornitura dei servizi erogati a favore di una serie di “portali” indicati nel ricorso o comunque riconducibili agli stessi gestori, nonché il blocco della risoluzione dei nomi di dominio e/o degli alias riconducibili al portale web “Guardaserie”.

I fatti di causa

Con ricorso ex artt. 126, 156 L.d.A. e 700, 669 bis c.p.c., in data 4.4.2024, RTI agiva in giudizio avverso Cloudflare Inc., società di diritto statunitense, chiedendo di ordinare alla controparte la cessazione della fornitura di ogni servizio che contribuisca alla violazione dei diritti d’autore della stessa ricorrente, nonché di comunicarle i dati identificativi degli account e dei gestori dei portali che abusivamente pongono a disposizione del pubblico i brani audiovisivi estratti dai propri programmi, con condanna della resistente al pagamento di una penale per ogni violazione e per ogni giorno di ritardo nell’esecuzione dell’ordinanza. Parte ricorrente deduceva, in particolare, di essere titolare di diritti su celebri programmi televisivi e che soggetti terzi non identificati avessero creato una attività economica organizzata principalmente attraverso il sito “Guardaserie”. Tali soggetti, trovandosi nella necessità di cambiare spesso la propria sede virtuale per aggirare i provvedimenti di blocco già emessi dall’AGCOM, adottavano la soluzione di cambiare parzialmente nome di dominio, variando declinazioni proprio sulla base “Guardaserie”. In tale quadro, i servizi offerti da Cloudflare avrebbero fornito supporto logistico diretto alla attività illecita dei terzi anonimi attraverso diverse modalità:

  1. fornendo e garantendo il servizio gratuito di anonimato;
  2. assicurando la possibilità di gestire contestualmente uno o più nomi a dominio, “traghettando” gli utenti dai nomi di dominio bloccati a quelli non bloccati.

Profili giurisdizionali

Trattandosi nel caso in oggetto di un resistente non domiciliato né residente in Italia, il Tribunale di Roma ha adottato il criterio del forum commissi delicti stabilito dalla Convenzione di Bruxelles del 27.9.1968, che opera anche per i Paesi non firmatari della Convenzione (e quindi anche per gli Stati Uniti d’America), in quanto criterio recepito dalla legge n. 218/1995. Tale principio è stato più volte affermato dalle Sezioni Unite (Cass., SS. UU. Sent. 13 ottobre 2009, n. 21661; Cass., SS. UU. Ord. 6 luglio 2022, n. 21351). Costituisce ormai ius receptum che, in tali casi, in relazione al foro ex art. 20 c.p.c., la competenza per territorio si radichi nel “luogo in cui si realizzano le ricadute negative della lesione”, dunque il luogo in cui il danno materialmente si consuma con la diffusione dei dati digitali nell’area di mercato ove la parte danneggiata risiede o esercita la sua attività di impresa (Cfr. anche Corte di Giustizia UE, Sent. 22.01.2015 nella causa C-441/13).

Il concorso di Cloudflare nella attività illecita

Nel provvedimento in esame si afferma di poter prescindere dalla qualificazione di Cloudflare come hosting provider, “e, quindi, dalla questione della responsabilità degli internet service providers anche alla luce della recente giurisprudenza comunitaria”, ravvisando una fattispecie di responsabilità in concorso con gli autori dell’illecito. Infatti, sulla base dei fatti dedotti in istanza, si configurerebbe “un’attività di concorso nella realizzazione degli illeciti compiuti da terzi inquadrabile nell’ambito della fattispecie di cui all’art. 2055 c.c.”. Più in particolare, l’attività della società resistente concorrerebbe con i portali perché, fornendo attività di reverse proxy per il nome a dominio, Cloudflare arriva a mascherare il relativo hosting provider, sicché l’attività di concorso nell’illecito appare svolgersi sotto forma di contributo agevolatore alla trasmissione dei programmi protetti. Nelle parole dell’ordinanza, la resistente avrebbe agito “come un intermediario che aiuta a ottimizzare la consegna di questi contenuti agli utenti, nasconde il dominio di provenienza e lo protegge nel caso di blocco traghettando gli utenti al nome di dominio non ancora bloccato e dall’altro si preoccupa di come questi dati arrivano ai visitatori in modo veloce e sicuro, rendendo più efficiente la trasmissione e velocizzando lo scaricamento dei dati”.

Ancora: “Rispetto a tali violazioni appare prima facie sussistere la qualità di intermediario  responsabile ex art. 156 L.d.A. della società Cloudflare inc., che ha prestato servizi volti ad  impedire l’identificazione dei portali e del luogo in cui operano i server dei proprietari di questi  ultimi, nonché servizi di supporto tecnico ai portali senza peraltro attivarsi per far cessare tali  attività nonostante la diffida inviatale dalla controparte”. Dunque, è “configurabile la responsabilità della resistente per il concorso nell’attività illecita di diffusione di programmi audiovisivi su cui la ricorrente è esclusiva titolare dei diritti di sfruttamento economico”.

Dunque, l’ordinanza offre una descrizione accurata delle condotte illecite integrate da un intermediario come Cloudflare che svolge un ruolo determinante nell’infrastruttura del mondo di internet, individuando le ragioni della esclusione dello stesso dalle limitazioni di responsabilità, quantomeno rispetto ai “servizi di protezione” e alla gestione del DNS. Riconduce l’apporto della società resistente, qualificato come causale e consapevole, nell’alveo della responsabilità solidale ex art. 2055 c.c., in un concorso configurabile, peraltro, come attivo e successivo, prescindendo dalla qualificazione dello stesso come hosting provider e quindi esente dal regime del safe harbor.

Gli ordini alla resistente

Venendo al dispositivo dell’ordinanza, il Tribunale:

  1. «ordina alla società Cloudflare Inc. di cessare immediatamente la fornitura dei servizi erogati a favore dei portali di cui al ricorso e di quelli che, pur avendo denominazione in parte diversa, siano riconducibili agli stessi soggetti gestori, e l’accesso agli stessi, per quanto contribuiscano alla violazione del diritto d’autore della ricorrente»;
  1. «ordina il blocco della risoluzione dei nomi di dominio e/o degli alias riconducibili al sito web Guardaserie»;
  1. «ordina il blocco dei suddetti nomi a dominio che associno diverso top level domain al medesimo second level domain, onerando Cloudflare Inc. di comunicare a RTI gli eventuali ulteriori nomi attivati da account Cloudflare».

Di questi, b. e c. costituiscono quelli maggiormente innovativi.

Inoltre, l’accoglimento dell’istanza della società ricorrente di ordinare alla controparte di comunicare i dati identificativi richiesti e nella disponibilità della resistente, ai fini della identificazione degli account e dei gestori dei portali indicati, consente di rimandare a CGUE 30 aprile 2024, C-470/21, sul rapporto tra privacy e diritto d’autore.

Il Tribunale di Parigi

Da ultimo, in prospettiva comparatistica, si segnalano due recenti pronunce del Tribunale di Parigi (Tribunal Judiciaire de Paris, Décision du 16 mai 2024, N° RG 23/14722 N° Portalis 352J-W-B7H-C3JQE; Tribunal Judiciaire de Paris, Décision du 16 mai 2024, N° RG 23/14726 N° Portalis 352J-W-B7H-C3JQE), su procedimento promosso da Canal+, dai contenuti sostanzialmente identici, in cui, analogamente al caso in esame, è stato ordinato a Google, Cloudflare e Cisco di adottare “qualsivoglia misura atta a” impedire l’accesso degli utenti a siti pirata, nonché di informare Canal+ dell’attuazione di tali misure, delle eventuali difficoltà tecniche riscontrate o dei rischi di overblocking.