La responsabilità del provider in caso di attacco hacker

Nel 2014 alcuni hacker hanno rubato i dati personali di mezzo milione di utenti del portale Yahoo.

Qualche settimana fa il portale statunitense Yahoo ha ammesso di essere stato vittima del peggior attacco informatico di sempre. Gli hacker, infatti, dopo aver trovato un'apertura nel sistema di sicurezza, sono riusciti a rubare i dati personali appartenenti a circa mezzo milione di utenti. Questo comportamento illegale, avvenuto nel 2014, potrebbe aver causato il furto di numeri di telefono, password, mail e altri dati. Yahoo assicura che non sono stati rubati i dati finanziari. Ad essere colpiti non sono stati solamente utenti privati ma anche imprese.

In generale, il portale ha consigliato di cambiare la password dei propri account e ha affermato che i colpevoli potrebbero essere stati ingaggiati da un altro Stato. Questo e molti altri casi sono solo alcuni degli illeciti commessi via internet, come furti di dati, del diritto d'autore, etc.

La popolazione italiana è sempre più connessa: secondo dati del 2013, infatti, circa il 70% ha accesso a internet. In questa situazione, il diritto ha la necessità di essere flessibile e di cambiare a un ritmo molto rapido, di pari passo con le nuove tecnologie. In quest'ottica, che responsabilità hanno i cosiddetti Internet Service Provider?

Gli Internet Service Provider (ISP), o semplicemente provider, sono aziende, società e organizzazioni che offrono dei servizi internet di connessione, trasmissione e memorizzazione di informazioni attraverso piattaforme informatiche. Il provider, dunque, non è altro che una sorta di intermediario che fornisce, ad esempio, servizi quali l'e-mail e l'accesso a internet.

Le responsabilità

La giurisprudenza italiana si sta adeguando alla diffusione di internet. Per quanto riguarda la questione dei provider, la giustizia si basa sugli articoli 14, 15, 16, e 17 del D.lgs 70/2003 che, a sua volta, è stata promulgato in attuazione della direttiva 2000/31/CE. Questi articoli sottolineano l'assenza di un obbligo generale di controllo o sorveglianza su eventuali attività illecite (art.17) per gli Internet Service Provider. Nonostante ciò, la mancanza di responsabilità sussiste solo se il provider non ha partecipato alla realizzazione dell'illecito e se, non appena ne è venuto a conoscenza, ha comunicato l'illecito alle autorità competenti.

I primi tre articoli del D.lgs 70/2003 distinguono fra tre tipi di attività del provider e le eventuali responsabilità ad esse connesse.

• Art.14: quest'articolo prende in considerazione l'attività di "mere conduit" (semplice trasporto). Il provider non è responsabile delle informazioni trasmesse se non da origine alla trasmissione, non seleziona il destinatario della trasmissione, non seleziona né modifica le informazioni trasmesse.
• Art.15: nel caso della memorizzazione temporanea, il cosiddetto "caching", il provider non è responsabile nel caso in cui, ad esempio, non modifichi le informazioni o si conformi alle norme di aggiornamento delle informazioni.
• Art.16: in caso di memorizzazione durevole o "hosting", la responsabilità del provider è esclusa se non è "effettivamente a conoscenza del fatto che l'attività o l'informazione è illecita e, per quanto attiene ad azioni risarcitorie, se non è al corrente di fatti o di circostanze che rendono manifesta l'illiceità dell'attività o dell' informazione" e se "non appena a conoscenza di tali fatti, su comunicazione delle autorità competenti, agisce immediatamente per rimuovere le informazioni o per disabilitarne l'accesso".

Se vuoi ricevere maggiori informazioni sul tema, puoi consultare il nostro elenco di professionisti esperti in diritto dell'informatica.