Penale
di Cisterna Alberto Magistrato, Presidente di sezione al Tribunale di Roma
Il D.Lgs. 24 luglio 2023, n. 107 pubblicato nella G.U. n. 187 dell’8 agosto 2023 introduce nuove disposizioni per il contrasto alla diffusione on line di contenuti che possano avere una correlazione con le attività di proselitismo e di propaganda terroristica. È la frontiera avanzata della lotta ai reati commessi sulla rete e probabilmente un modello capace di adattarsi anche a tutte le gravi condotte illecite che si consumano ogni giorno su internet.
D.Lgs. 24 luglio 2023, n. 107 – G.U. n. 187 dell’8 agosto 2023
Il D.Lgs. n. 107/2023 reca l’adeguamento dell’ordinamento interno alle disposizioni contenute nel Regolamento (UE) 2021/784 sul contrasto della diffusione di contenuti terroristici on-line. L’attività di prevenzione e repressione del terrorismo, soprattutto, internazionale sconta, da qualche tempo, le medesime difficoltà che connotano il contrasto alla criminalità organizzata: la dematerializzazione delle condotte illecite, le amplissime opportunità offerte dalla rete favoriscono fenomeni di penetrazione e diffusione che è molto difficile individuare. Sui social, negli scambi informatici, nelle reti chiuse dedicate si realizzano scambi di utilità e di informazioni rispetto alle quali le agenzie di contrasto non dispongono, al momento, di sufficienti mezzi tecnologici.
È stato il procuratore nazionale antimafia e antiterrorismo a lanciare, di recente, un allarme su questo versante segnalando una rinnovata capacità di adattamento del crimine organizzato che «si concretizza anche nel continuo perfezionamento di dispositivi e software sfruttati per i traffici illeciti»; una ricerca «quasi ossessiva» con il risultato è che «ora la maggior parte delle attività criminali si svolge ricorrendo a tecnologie che è difficile controllare dal punto di vista investigativo». Uno scenario inquietante, indubbiamente, alla luce del fatto che «Le mafie si servono di soggetti con competenze informatiche, che sono ormai diventati parte integrante delle organizzazioni e hanno il compito di garantirne l’impunità, tutelandole dalle indagini. Per riuscirci, proteggono e bonificano i dispositivi usati dai suoi componenti. Si dotano di sistemi il più possibile impenetrabili per immagazzinare i dati relativi agli affari illeciti e alle connesse attività di riciclaggio».
Il decreto in commento trae origine dalla delega di cui all’art. 15 della L. 4 agosto 2022, n. 127 («Legge di delegazione europea 2021») con cui, ovviamente, si sono dettati i principi e i criteri direttivi per l’esercizio dell’attività legislativa di Governo.
Il primo strumento di contrasto è rappresentato dall’emissione degli ordini di rimozione (o.d.r.) in conformità di quanto imposto agli Stati membri dall’articolo 12, paragrafo 1, lettere a) e b), del Regolamento (UE) 2021/784.
La disciplina della materia si può compendiare come segue:
- a) l’autorità competente di ogni Stato membro ha facoltà di emettere un ordine di rimozioneimponendo ai prestatori di servizi di rimuovere contenuti terroristici o di disabilitare l’accesso a contenuti terroristici in tutti gli Stati membri; per dare modo al prestatore di servizi di hosting di attivarsi tempestivamente prima dell’adozione dell’o.d.r. è previsto che tale autorità dia informazioni sulle procedure e sui termini applicabili almeno 12 ore prima;
- b) i prestatori di servizi di hosting rimuovono i contenuti terroristici o disabilitano l’accesso ai contenuti terroristici in tutti gli Stati membri il prima possibile e in ogni caso entro un’ora dal ricevimento dell’ordine di rimozione.
Una volta emesso l’o.d.r. il prestatore di servizi di hosting è tenuto a informare immediatamente l’autorità competente circa la rimozione dei contenuti terroristici o della disabilitazione dell’accesso ai contenuti terroristici in tutti gli Stati membri, indicando, in particolare, la data e l’ora della rimozione o disabilitazione; parimenti procede allorquando «per cause di forza maggiore o di impossibilità di fatto a lui non imputabile, compreso per motivi tecnici o operativi obiettivamente giustificabili» non possa dare esecuzione all’ordine.
L’articolo 3 del decreto legislativo in commento reca una specificazione che potrebbe, tuttavia, prestarsi a incertezze. Si è stabilito, infatti, che l’o.d.r. possa essere adottato «quando i contenuti terroristici di cui all’articolo 2, punto 7) del regolamento sono riconducibili a un delitto con finalità di terrorismo» con una clausola di doppio rinvio alla normativa regolamentare e alla legge penale nazionale che non è di così agevole applicazione.
Innanzitutto, il citato articolo 2 punto 7) del Regolamento detta una descrizione dei «contenuti terroristici» particolarmente ampia, se non lasca prevedendo che vi rientrino quei «materiali» che:
- a) istigano alla commissione di uno dei reati di cui all’articolo 3, paragrafo 1, lettere da a) a i), della direttiva (UE) 2017/541, se tali materiali, direttamente o indirettamente, ad esempio mediante l’apologia di atti terroristici, incitano a compiere reati di terrorismo, generando in tal modo il pericolo che uno o più di tali reati siano commessi;
- b) sollecitano una persona o un gruppo di persone a commettere o a contribuire a commettere uno dei reati di cui all’articolo 3, paragrafo 1, lettere da a) a i), della direttiva (UE) 2017/541;
- c) sollecitano una persona o un gruppo di persone a partecipare alle attività di un gruppo terroristico, ai sensi dell’articolo 4, lettera b), della direttiva (UE) 2017/541;
- d) impartiscano istruzioni per la fabbricazione o l’uso di esplosivi, armi da fuoco o altre armi o sostanze nocive o pericolose, ovvero altri metodi o tecniche specifici allo scopo di commettere o contribuire alla commissione di uno dei reati di terrorismo di cui all’articolo 3, paragrafo 1, lettere da a) a i), della direttiva (UE) 2017/541;
- e) costituiscano una minaccia di commissione di uno dei reati di cui all’articolo 3, paragrafo 1, lettere da a) a i), della direttiva (UE) 2017/541
Mentre per alcune fattispecie (v. lettera a ovvero d) la legislazione nazionale prevede espressa ipotesi di reato, la nozione di «minaccia di commissione» (lettera e) rinvia a qualcosa di molto meno degli atti preparatori ex art. 56 c.p. e si colloca in un perimetro di estrema imprecisione e ampiezza. Se per altri Paesi la questione può assumere un rilievo neutro, la circostanza che in Italia sia coinvolta l’autorità giudiziaria nell’applicazione di categoria di tale ampiezza, ai limiti dei poteri di sicurezza pubblica pone problemi di non lieve momento. La riserva di giurisdizione opera, infatti, anche quale limite esterno all’attribuzione al potere giudiziario di poteri eccentrici o estranei al suo controllo che rischiano di coinvolgerlo in compiti securitari che non gli appartengono.
L’articolo 3 del D.Lgs. n. 107/2023 prevede che competente all’emissione dell’o.d.r. sia il «pubblico ministero competente in base alle disposizioni del codice di procedura penale» ovvero del luogo di commissione delle condotte illecite previste dall’articolo 2 del Regolamento. Il comma 3 rafforza e codifica i poteri di coordinamento del Procuratore nazionale antimafia e antiterrorismo stabilendo che l’ufficio distrettuale debba informarlo immediatamente della notizia acquisita sui citati materiali e, al comma 7, che analoga informazione debba trasmettere prima di adottare i decreti indicati ai commi 5 e 6.
Non è chiaro, e la soluzione non può che essere orientata da un principio di netta separazione dei poteri, se il PM «ai fini della emissione dell’ordine di rimozione» debba o possa acquisire «ogni necessario elemento informativo e valutativo, anche presso il C.A.S.A.» ossia il Comitato di Analisi Strategica Antiterrorismo costituito presso il ministero dell’Interno. Se il protocollo debba intendersi come obbligatorio, si sarebbe in presenza di un significativo vulnus all’autonomia del pubblico ministero, con il rischio di subordinare le decisioni in materia alla valutazione di un organo tecnico della prevenzione e sicurezza di matrice governativa. Il coefficiente di elasticità e, quindi, di indeterminatezza delle condotte indicate dall’articolo 3 del Regolamento (v. sopra) impone adeguate forme di tutela per il rischio che si colpiscano aree di dissenso sociale e politico che, talvolta, presentano elementi di contiguità con fatti di violenza, seppure se ne distinguano.
Il comma 9 prevede che «i prestatori di servizi di hosting che hanno ricevuto l’ordine di rimozione e i fornitori dei contenuti che, in conseguenza dell’ordine, sono stati rimossi o resi inaccessibili, nei dieci giorni successivi alla conoscenza del provvedimento, possono presentare opposizione innanzi al giudice per le indagini preliminari, che provvede con ordinanza in camera di consiglio a norma dell’articolo 127 c.p.p.
L’articolo 5, paragrafo 4, del Regolamento prevede che un prestatore di servizi di hosting è esposto a contenuti terroristici se l’autorità competente dello Stato membro in cui ha lo stabilimento principale o in cui il suo rappresentante legale risiede o è stabilito:
- a) ha adottato una decisione basata su fattori oggettivi, come il ricevimento da parte del prestatore di servizi di hosting di due o più ordini di rimozione definitivi nei 12 mesi precedenti, che ha stabilito che il prestatore di servizi di hosting è esposto a contenuti terroristici;
- b) ha notificato la decisione di cui alla lettera a) al prestatore di servizi di hosting.
L’articolo 5 del D.Lgs. n. 107/2023 dispone che sia l’Organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione l’autorità competente a emettere questa decisione, a sorvegliare l’attuazione delle misure specifiche adottate dai prestatori di servizi di hosting esposti a contenuti terroristici e a emettere le ulteriori decisioni di cui ai paragrafi 6 e 7 del medesimo articolo 5 del Regolamento. Per cui se, sulla base delle relazioni di cui al paragrafo 5 e, se del caso, di altri fattori oggettivi, l’autorità competente ritiene che le misure specifiche adottate non soddisfino le prescrizioni imposte, l’autorità competente indirizza al prestatore di servizi di hosting una decisione che gli impone di adottare le misure necessarie, affidando al solo prestatore di servizi di hosting la scelta circa la tipologia di misure specifiche da adottare.
Ogni decisione assunta dal citato Organo del Ministero dell’interno possono essere impugnate dal prestatore di servizi di hosting innanzi al competente tribunale amministrativo regionale entro sessanta giorni dalla notifica.
Il regime delle sanzioni amministrative è particolarmente severo, giacché si prevede che, salvo che il fatto costituisca reato, è prevista la pena pecuniaria da 25.000 a 100.000 euro a carico del prestatore di servizi di hosting che:
- a) non informa tempestivamente, l’autorità che ha emesso l’ordine di rimozione dell’avvenuta esecuzione dell’ordine, indicandone in particolare la data e l’ora;
- b) rimuove i contenuti terroristici o disabilita l’accesso ai contenuti terroristici ai sensi dell’articolo 3, paragrafo 3, del regolamento, omettendo di adottare le misure necessarie per ripristinare i contenuti o riabilitare l’accesso agli stessi, in conformità dell’articolo 4, paragrafo 7, del regolamento ossia in caso di decisione di accoglimento del reclamo;
- c) dopo aver ricevuto una decisione emessa dall’autorità competente omette di ripristinare immediatamente i contenuti o l’accesso agli stessi, fatta salva la possibilità di applicare le proprie condizioni contrattuali conformemente al diritto dell’Unione e nazionale;
- d) nella conservazione dei contenuti terroristici rimossi o il cui accesso è stato disabilitato, ovvero nella conservazione dei relativi dati, non osserva le disposizioni di cui all’articolo 6 del regolamento; questa disposizione, in sintesi, prevede che i prestatori di servizi di hosting debbano conservare i contenuti terroristici rimossi o il cui accesso è stato disabilitato a seguito di un ordine di rimozione o di misure specifiche in conformità dell’articolo 3 o 5, come pure i relativi dati rimossi in conseguenza della rimozione di tali contenuti terroristici quando siano necessari per: 1) i procedimenti di ricorso amministrativo o giurisdizionale, la gestione dei reclami ai sensi dell’articolo 10 contro una decisione di rimuovere o di disabilitare l’accesso ai contenuti terroristici e i relativi dati; 2) la prevenzione, l’accertamento, l’indagine o il perseguimento di reati di terrorismo;
- e) non rispetta gli obblighi di trasparenza di cui all’articolo 7 del Regolamento;
- f) non predispone il meccanismo di reclamo di cui all’articolo 10, paragrafo 1, del regolamento o, nell’esame, nella decisione e nella gestione dei reclami, non rispetta le disposizioni di cui al paragrafo 2 del medesimo articolo 10;
- g) fuori dei casi di cui all’articolo 11, paragrafo 3, del regolamento ossia di assicurare il segreto sulle investigazioni in corso («L’obbligo previsto ai paragrafi 1 e 2 non si applica se l’autorità competente che emette l’ordine di rimozione decide che è necessario e proporzionato, che la motivazione non sia divulgata per motivi di pubblica sicurezza, quali la prevenzione, l’indagine, l’accertamento e il perseguimento di reati di terrorismo, per il tempo necessario, ma non superiore a sei settimane dalla suddetta decisione. In tal caso, il prestatore di servizi di hosting si astiene dal divulgare qualsiasi informazione concernente la rimozione o la disabilitazione dell’accesso a contenuti terroristici. Tale autorità competente può prorogare tale termine di ulteriori sei settimane, ove tale non divulgazione continui a essere giustificata»), omette di comunicare al fornitore di contenuti le informazioni di cui ai paragrafi 1 e 2 del medesimo articolo 11 («1. Quando rimuove o disabilita l’accesso a contenuti terroristici, il prestatore di servizi di hosting mette a disposizione del fornitore di contenuti informazioni concernenti tale rimozione o disabilitazione. 2. Su richiesta del fornitore di contenuti, il prestatore di servizi di hosting comunica i motivi della rimozione o della disabilitazione al fornitore di contenuti e lo informa dei diritti di ricorso contro l’ordine di rimozione o gli fornisce copia dell’ordine di rimozione»);
- h) omette di informare l’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione e la competente Direzione Generale del Ministero delle imprese e del Made in Italy della designazione del rappresentante legale, comunicando la relativa accettazione, o di rendere pubbliche le informazioni relative al rappresentante legale designato.
Inoltre, si applica la sanzione amministrativa pecuniaria da 50.000 a 200.000 euro, al prestatore di servizi di hosting esposto a contenuti terroristici che:
- a) non include nelle sue condizioni contrattuali o non applica disposizioni volte a contrastare l’uso improprio dei suoi servizi per la diffusione al pubblico di contenuti terroristici;
- b) fuori dei casi di cui alla lettera a), non osserva taluno degli obblighi di condotta di cui all’articolo 5, paragrafo 1, del Regolamento ossia «Un prestatore di servizi di hosting esposto a contenuti terroristici di cui al paragrafo 4, include, ove applicabile, nelle sue condizioni contrattuali e applica disposizioni volte a contrastare l’uso improprio dei suoi servizi per la diffusione al pubblico di contenuti terroristici. Esso agisce in modo diligente, proporzionato e non discriminatorio, presta debito rispetto, in tutte le circostanze, ai diritti fondamentali degli utilizzatori e tenendo conto, in particolare, della fondamentale importanza che riveste la libertà di espressione e di informazione in una società aperta e democratica, al fine di evitare la rimozione di contenuti che non siano di natura terroristica»;
- c) adotta misure specifiche prive di taluno dei requisiti di cui all’articolo 5, paragrafo 3, del regolamento, volte essenzialmente a mitigare il livello di esposizione dei servizi di un prestatore di servizi di hosting a contenuti terroristici;
- d) dopo aver ricevuto una decisione di cui all’articolo 5, paragrafi 4 o 6, del regolamento, omette di comunicare all’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione, nei tre mesi successivi al ricevimento della decisione o ad una delle successive cadenze annuali, le misure specifiche che ha adottato e che intende adottare per conformarsi alle disposizioni di cui ai paragrafi 2 e 3 del medesimo articolo 5.
Infine, è irrogata la sanzione amministrativa pecuniaria da 75.000 a 300.000 euro, al prestatore di servizi di hosting esposto a contenuti terroristici che:
- a) omette di adottare misure specifiche per proteggere i propri servizi dalla diffusione al pubblico di contenuti terroristici ai sensi dell’articolo 5, paragrafo 2, del Regolamento;
- b) dopo aver ricevuto una decisione di cui all’articolo 5, paragrafo 6, omette di adottare le misure imposte dalla decisione per garantire il rispetto delle disposizioni di cui ai paragrafi 2 e 3 del medesimo articolo 5.
La competenza a irrogare queste sanzioni spetta agli Ispettorati territoriali della competente Direzione Generale del Ministero delle imprese e del made in Italy, a seguito delle comunicazioni da parte dell’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione. Nella graduazione della sanzione l’Ispettorato si attiene ai parametri di cui al comma 5 del citato articolo 6 del decreto 107/2023.
Il regime sanzionatorio penale (articolo 7). La natura contravvenzionale dei reati specificamente approntati dal decreto in commento muove dalla consueta clausola di salvaguardia per cui «Salvo che il fatto costituisca più grave reato, è punito con l’arresto fino a sei mesi o con l’ammenda da 100.000 a 400.000 euro il prestatore di servizi di hosting che:
- a) in violazione dell’articolo 15, paragrafo 1, del Regolamento (secondo cui «ciascun prestatore di servizi di hosting designa o istituisce un punto di contatto per la ricezione degli ordini di rimozione per via elettronica e per il rapido trattamento ai sensi degli articoli 3 e 4. Il prestatore di servizi di hosting provvede affinché le informazioni relative al punto di contatto siano disponibili al pubblico»). omette di designare o istituire un punto di contatto per la ricezione degli ordini di rimozione in via telematica e per l’immediata esecuzione dei medesimi ai sensi degli articoli 3 e 4 del regolamento, oppure omette di rendere disponibili al pubblico le informazioni relative al punto di contatto designato o istituito;
- b) non avendo lo stabilimento principale nell’Unione europea, omette di designare, per iscritto, una persona fisica o giuridica quale suo rappresentante legale nell’Unione ai fini del ricevimento, dell’attuazione e dell’esecuzione degli ordini di rimozione e delle decisioni emesse dalle autorità competenti, oppure designa un rappresentante legale che non risiede o non è stabilito in uno degli Stati membri in cui il prestatore di servizi di hosting offre i propri servizi, oppure omette di conferire al rappresentante legale i poteri e le risorse necessari per ottemperare agli ordini di esecuzione e per cooperare con le autorità competenti. È del tutto evidente il valore meramente simbolico della disposizione che muove dalla sostanziale irrintracciabilità del prestatore.
Mentre sono puniti con l’arresto fino a sei mesi e con l’ammenda da 100.000 a 400.000 euro il prestatore di servizi di hosting e il rappresentante legale designato ai sensi dell’articolo 17 del regolamento i quali:
- a) omettono di rimuovere i contenuti terroristici entro un’ora dal ricevimento dell’ordine di rimozione o di disabilitare l’accesso ad essi entro il medesimo termine;
- b) nel caso di cui all’articolo 11, paragrafo 3, del regolamento, forniscono informazioni riguardanti la rimozione o la disabilitazione dell’accesso a contenuti terroristici;
- c) nel caso di cui all’articolo 14, paragrafo 5, del regolamento, non informano immediatamente della presenza dei contenuti terroristici l’autorità giudiziaria o altra autorità che a quella abbia l’obbligo di riferire.
Il comma 3 dell’articolo 7, infine, dispone che quando l’omissione di cui al comma 2, lettera a), è «sistematica o persistente», il prestatore di servizi di hosting e il rappresentante legale di cui all’articolo 17 del regolamento siano puniti con l’arresto fino a un anno e con l’ammenda da euro 250.000 sino ad euro 1.000.000 o, laddove superiore, sino ad un importo pari al 4 per cento del fatturato realizzato a livello mondiale dal prestatore di servizi di hosting nell’ultimo esercizio chiuso anteriormente all’accertamento della violazione.
In questo perimetro, non si può negare che il contrasto al terrorismo, per la diffusa e comune percezione della sua estrema pericolosità in ogni paese, costituisca come sempre una sorta di soglia avanzata, di open range in cui si sperimentano nuove strategie investigative e si affinano i mezzi di contrasto. Una soglia di attenzione e di punizione che potrebbe probabilmente ispirare in un prossimo futuro la gestione di condotte illecite diverse da quelle terroristiche, ma che pure affliggono pesantemente la rete.
Riferimenti normativi: