Il Tribunale Amministrativo Regionale per il Lazio (Sezione Quarta) ha accolto – tramite sentenza – il ricorso presentato da Meta Platforms Ireland Ltd (Facebook) contro l’Autorità per le Garanzie nelle Comunicazioni, in cui si chiedeva l’annullamento della delibera n. 422/22/CONS del 14 dicembre 2022, adottata da AGCOM a conclusione del procedimento avviato con atto di contestazione n. 6/22/DSDI – PROC. N. 8/FDG, con cui è stata accertata una “presunta violazione dell’articolo 9 del decreto legge n. 87 del 2018, convertito con modificazioni dalla legge 9 agosto 2018, n. 96” (decreto dignità, ndr) e, in forza della quale, è stata irrogata una sanzione amministrativa pecuniaria pari a 750.000,00 euro.
Di seguito il testo della sentenza: “1. La società ricorrente con delibera n. 422/22/CONS del 14 dicembre 2022 è stata sanzionata (per la somma di euro 750.000) dall’Autorità resistente per la violazione del divieto di pubblicità del gioco d’azzardo previsto dall’art. 9, comma 1, del decreto-legge 12 luglio 2018, n. 87 convertito con legge 9 agosto 2018, n. 96 (Decreto Dignità), in ragione della presenza, riscontrata nelle date del 2, 3, 12 e 23 maggio 2022, di contenuti (video e immagini, collegamenti ipertestuali etc.) “sponsorizzati a pagamento” sulla piattaforma Facebook idonei a promuovere e pubblicizzare attività di gioco e scommesse on line con vincite in denaro.
2. Con il presente ricorso la parte ricorrente ha impugnato l’ordinanza-ingiunzione articolando le seguenti censure:
– VIOLAZIONE E FALSA APPLICAZIONE DELL’ART. 9 DEL DECRETO DIGNITÀ, DEGLI ARTT. 14 E 15 DELLA DIRETTIVA E-COMMERCE E DEGLI ARTT. 16 E 17 DEL DECRETO E-COMMERCE.
Secondo la ricorrente, l’accertamento della responsabilità da parte dell’Autorità si fonda sull’errata qualificazione, nel caso di specie, di Meta Platforms Ireland come hosting provider attivo in relazione ai contenuti sponsorizzati generati dagli utenti, laddove, viceversa la ricorrente non manipola tali contenuti ed è quindi un hosting providerpassivo.
In ogni caso, non potrebbe configurarsi alcuna forma di responsabilità in capo alla ricorrente in quanto quest’ultima non era a conoscenza del fatto che le inserzioni contestate violassero l’art. 9 del Decreto Dignità.
– VIOLAZIONE E FALSA APPLICAZIONE DELL’ART. 15 DELLA DIRETTIVA E-COMMERCE E DELL’ART. 17 DEL DECRETO E-COMMERCE. VIOLAZIONE DEL PRINCIPIO DI PROPORZIONALITÀ.
L’Autorità avrebbe introdotto a carico della ricorrente un obbligo di monitoraggio preventivo del servizio Facebook allo scopo di impedire agli utenti di violare l’art. 9 del Decreto Dignità, in violazione di quanto previsto dall’art. 15 della direttiva E-Commerce.
– VIOLAZIONE E FALSA APPLICAZIONE DELL’ART. 3 DELLA L. N. 241 DEL 1990. ECCESSO DI POTERE NELLA FIGURA SINTOMATICA DELLA VIOLAZIONE DI UNA CIRCOLARE EMANATA DALLA STESSA AUTORITÀ.
L’ordinanza-ingiunzione difetterebbe di idonea motivazione non avendo l’Autorità esplicitato i presupposti di fatto e le ragioni giuridiche che l’hanno portata a disattendere le proprie linee guida del Decreto Dignità.
– VIOLAZIONE E FALSA APPLICAZIONE DEGLI ARTT. 8, 8-BIS E 11 DELLA L. N. 689 DEL 1981. VIOLAZIONE DEI PRINCIPI DI PROPORZIONALITÀ, RAGIONEVOLEZZA E CERTEZZA DELLE SANZIONI AMMINISTRATIVE.
L’Autorità avrebbe erroneamente calcolato la sanzione mediante l’applicazione del cumulo materiale anziché del cumulo giuridico e omettendo di considerare i criteri di calcolo delle sanzioni contemplati all’art. 11 della legge 24 novembre 1981, n. 689.
3. Si è costituita l’Autorità intimata per resistere all’accoglimento del ricorso.
4. Con ordinanza n. 1946 del 6 aprile 2023, il Collegio ha respinto la domanda cautelare ritenendo insussistente il requisito del periculum in mora.
5. All’udienza del 17 gennaio 2024 il ricorso è stato trattenuto per la decisione.
6. È in primo luogo opportuno premettere una breve ricostruzione del quadro normativo concernente il regime della responsabilità degli hosting providers in relazione ai contenuti immessi da terzi sulla rete internet tramite le proprie piattaforme.
A tale riguardo, va innanzitutto richiamata la disposizione di cui all’art. 14, comma 1, della direttiva sul commercio elettronico (direttiva 2000/31/CE), che ha introdotto un’esenzione da responsabilità – in relazione ai contenuti memorizzati da terzi sulla rete – per i fornitori di servizi di hosting che non siano a conoscenza delle attività illecite che avvengono tramite i propri servizi ed a condizione che, avutane conoscenza, agiscano immediatamente per rimuovere i contenuti illeciti: “1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’ informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non sia responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore:
a) non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’ illegalità dell’attività o dell’ informazione, o
b) non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o per disabilitarne l’accesso“.
Il successivo art. 15 completa la disciplina dell’esenzione escludendo che i providers siano soggetti a un obbligo generale di sorveglianza sulle informazioni trasmesse o memorizzate dai destinatari dei servizi offerti: “Nella prestazione dei servizi di cui agli articoli 12, 13 e 14, gli Stati membri non impongono ai prestatori un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite“.
Un consolidato orientamento giurisprudenziale (sia unionale che nazionale), nell’interpretare tali norme, ha circoscritto la portata applicativa della esenzione in questione introducendo la distinzione tra la figura dell’hosting provider attivo (responsabile per le violazioni commesse dagli utenti che fruiscono dei servizi) e quella dell’hosting provider passivo (che, invece, beneficia dell’esenzione da responsabilità).
Si è, in particolare, ritenuto che l’immunità riconosciuta ai gestori delle piattaforme di hostingdalla direttiva possa valere nella sole ipotesi in cui l’hosting provider rimanga neutrale rispetto ai contenuti immessi nella rete da parte del terzo, potendo viceversa essere chiamato a rispondere qualora sia ravvisabile una qualche forma di compartecipazione nella gestione dei medesimi, svolgendo il provider un’attività che esula da un servizio di ordine meramente tecnico, automatico e passivo: “la giurisprudenza unionale distingue due figure di hosting provider:
a) quella dell’hosting provider “passivo”, il quale pone in essere un’attività di prestazione di servizi di ordine meramente tecnico e automatico, con la conseguenza che detti prestatori non conoscono né controllano le informazioni trasmesse o memorizzate dalle persone alle quali forniscono i loro servizi;
b) quella di hosting provider “attivo”, che si ha quando, tra l’altro, l’attività non è limitata a quanto sopra indicato ma ha ad oggetto anche i contenuti della prestazione resa (cfr. Corte giust. UE, 7 agosto 2018, cit. nonché, in ambito nazionale, Cass. civ., Sez. I, n. 7708/2019)” (cft. Cons. Stato, Sez. VI, 13/09/2022, n. 7949).
Alla figura dell’hosting provider attivo fa oggi riferimento il considerando n. 18 del regolamento UE 2022/2065 (regolamento sui servizi digitali, che si applicherà a decorrere dal 17 febbraio 2024): “Le esenzioni dalla responsabilità stabilite nel presente regolamento non dovrebbero applicarsi allorché, anziché limitarsi a una fornitura neutra dei servizi mediante un trattamento puramente tecnico e automatico delle informazioni fornite dal destinatario del servizio, il prestatore di servizi intermediari svolga un ruolo attivo atto a conferirgli la conoscenza o il controllo di tali informazioni”.
Inoltre, il nuovo regolamento sui servizi digitali, nel ribadire l’esonero dalla responsabilità degli hostingper i contenuti “caricati” dai terzi (art. 6), contiene una disposizione (art. 7, rubricata «Indagini volontarie promosse di propria iniziativa e rispetto degli obblighi normativi») che, innovando il quadro normativo precedente, estende l’esenzione di responsabilità all’ipotesi in cui i providers svolgano di propria iniziativa – come nel caso di Meta Platforms Ireland – attività volte a individuare e a rimuovere contenuti illegali memorizzati dagli utenti: “I prestatori di servizi intermediari non sono considerati inammissibili all’esenzione dalla responsabilità prevista agli articoli 3, 4 e 5 per il solo fatto di svolgere indagini volontarie o altre attività di propria iniziativa volte ad individuare, identificare e rimuovere contenuti illegali o a disabilitare l’accesso agli stessi, o di adottare le misure necessarie per conformarsi alle prescrizioni del diritto dell’Unione, comprese quelle stabilite nel presente regolamento”.
La norma chiarisce che l’adozione di tali sistemi di controllo non è sufficiente di per sé a rendere il provider un “hosting attivo” (responsabile per i contenuti stessi) e a determinare l’inapplicabilità dell’esenzione da responsabilità di tali soggetti per i contenuti memorizzati.
Il fine perseguito è quello di evitare che il providervenga considerato attivo per il solo fatto di attuare di propria iniziativa delle forme di controllo dei contenuti memorizzati dagli utenti e che possa, conseguentemente, essere indotto a non adottare alcun sistema diretto a prevenire l’immissione di contenuti illegali nella rete.
7. Va, inoltre, premesso che, come già affermato da questo Tribunale, i principi generali che regolano il regime di responsabilità proprio dei providers, come si evincono dalla disciplina sul commercio elettronico, sono applicabili anche nelle ipotesi in cui l’operatore venga chiamato a rispondere per la violazione del divieto di effettuare pubblicità di giochi o scommesse con vincite di denaro di cui all’art. 9 del Decreto Dignità (cft. T.A.R. Roma sez. III, 28/10/2021, n. 11036; T.A.R. Roma, sez. IV-bis, 08/09/2023, n. 13676).
In particolare, con riferimento al citato art. 14 della direttiva, si è osservato che “tali disposizioni – sebbene la direttiva non trovi applicazione al gioco d’azzardo [art. 1, comma 5, della direttiva] – costituiscono espressione di principi generali applicabili anche al caso di specie, in quanto delineano il modello della responsabilità dei diversi operatori che agiscono nella società dell’informazione attualmente vigente a livello unionale e nazionale”.
8. Alla luce di tali premesse, ai fini dello scrutinio del primo motivo di impugnazione, occorre verificare se il sistema di controllo preventivo delle inserzioni pubblicitarie adottato da Meta Platforms Ireland sia sufficiente a conferirgli la veste di hosting provider attivo, escludendolo dall’ambito applicativo dell’esenzione di cui all’art. 14 della direttiva sul commercio elettronico.
Si tratta dunque di “esaminare se il ruolo svolto da tale gestore sia neutro, vale a dire se il suo comportamento sia meramente tecnico, automatico e passivo, che implica la mancanza di conoscenza o di controllo dei contenuti che memorizza, o se, al contrario, detto gestore svolga un ruolo attivo idoneo a conferirgli una conoscenza o un controllo dei suddetti contenuti” (cft. Corte giustizia UE grande sezione, 22/06/2021, n.682)
A tal fine va osservato come sia pacifico che il sistema di controllo di cui si è munita la società ricorrente per determinare se l’inserzione contenga un contenuto illecito ha carattere principalmente automatizzato e che la verifica “manuale” da parte di una persona fisica interviene in ipotesi residuali e per un numero molto limitato di casi (se rapportato all’enorme mole di inserzioni pubblicitarie immesse nella piattaforma).
Nella stessa delibera impugnata si evidenzia che “L’inserzione pubblicitaria non è immediata ma viene resa pubblica solo dopo almeno 24 ore, tempo necessario a Meta per effettuare un controllo della stessa per assicurarsi che rispetti le Normative pubblicitarie della piattaforma … Il sistema di analisi delle inserzioni è basato su una tecnologia automatizzata che applica le Normative pubblicitarie ai milioni di inserzioni pubblicate sulla piattaforma. Inoltre, è previsto anche il controllo da parte di persone fisiche, sia addette all’analisi finalizzata a migliorare i sopradetti sistemi automatizzati, sia direttamente incaricate, in alcuni casi, dell’analisi manuale delle inserzioni … In base ai risultati dell’analisi, un’inserzione viene rifiutata o autorizzata alla pubblicazione”.
Inoltre, come precisato dalla ricorrente, è il software di controllo automatizzato che può sottoporre una singola inserzione all’intervento manuale da parte di una persona fisica: “In un numero limitato di casi, la verifica automatizzata potrebbe risultare nella sottoposizione dell’inserzione alla revisione umana, sia ai fini della verifica manuale che ai fini del miglioramento e dell’addestramento del sistema automatizzato”.
Tale essendo la modalità di monitoraggio preventivo predisposta dalla ricorrente, deve escludersi che, nella vicenda in esame, tale attività possa qualificare in termini di hosting provider attivo la parte ricorrente posto che:
– il sistema di controllo delle inserzioni non ha comportato, nel caso di specie, alcuna manipolazione dei dati memorizzati;
– l’unica manipolazione che può derivare dall’attivarsi dello strumento automatico di controllo adottato dalla ricorrente è il “rifiuto” dell’inserzione da parte del sistema, sicché l’eventuale ruolo attivo svolto dalla ricorrente è volto ad impedire – e non ad agevolare, come nel caso dell’hosting provider attivo – la fruizione dei contenuti da parte della generalità degli utenti.
Del resto questo Tribunale, nella menzionata sentenza n. 10036/2021, ha già ritenuto che quando l’attività del gestore del servizio abbia natura automatizzata, non comportando la manipolazione dei messaggi, viene a mancare il “ruolo attivo” sul quale si fonda la responsabilità del gestore medesimo: “è incontestato che l’attività de qua abbia natura automatizzata, non comportando la manipolazione dei messaggi, così che viene nella fattispecie a mancare il sopra delineato “ruolo attivo” sul quale si fonda la responsabilità del gestore medesimo. Il servizio in questione … prevede infatti che gli annunci vengono creati in piena autonomia dall’inserzionista, il quale ne determina il contenuto tramite un processo automatizzato …; l’annuncio viene, così, sottoposto all’esame di un software che, con modalità come detto automatiche, ne verifica la rispondenza ai termini e condizioni contrattuali” e che “consente di “bloccare”, sempre tramite tecniche automatizzate, i messaggi che rechino un contenuto illecito”.
9. Inoltre, va osservato che, sul tema in esame, è intervenuto, come prima detto, l’art. 7 del nuovo regolamento sui servizi digitali, ai sensi del quale “I prestatori di servizi intermediari non sono considerati inammissibili all’esenzione dalla responsabilità … per il solo fatto di svolgere indagini volontarie o altre attività di propria iniziativa volte ad individuare, identificare e rimuovere contenuti illegali o a disabilitare l’accesso agli stessi”.
La disposizione estende l’esenzione di responsabilità all’ipotesi in cui i prestatori di servizi svolgano di propria iniziativa attività dirette a intercettare e a rimuovere contenuti illegali memorizzati dagli utenti, come nel caso della odierna ricorrente.
La norma – escludendo che l’adozione di misure dirette a rilevare attività illegali possano essere considerate come il sintomo di un ruolo attivo rispetto al contenuto immesso in rete dagli utenti – mira a evitare che i providers possano essere esposti al rischio di essere esclusi dall’applicazione della clausola di esenzione da responsabilità per il solo fatto di essersi muniti di un sistema di controllo dei contenuti “caricati” dagli utenti del servizio.
10. Va aggiunto che, nel caso di specie, venendo in rilievo una attività del provider consistente nella mera elaborazione tecnica e automatica delle informazioni fornite dal destinatario del servizio, deve escludersi che la ricorrente avesse una conoscenza effettiva dei contenuti illegali memorizzati dagli utenti sulla piattaforma e che, conseguentemente, avesse la possibilità di attivarsi utilmente per rimuovere i suddetti contenuti.
Né l’Autorità ha dimostrato che il gestore della piattaforma fosse a conoscenza del comportamento illecito dell’utente del servizio.
A tal fine avrebbe dovuto (allegare e) dimostrare che, nel caso di specie, ricorresse uno di quei casi limitati in cui a seguito del controllo automatico effettuato dal software interviene una verifica da parte di una persona fisica (c.d. “revisione umana”), posto che solo il contatto di una risorsa umana con il contenuto vietato può implicare la condizione di effettiva conoscenza idonea a giustificare un addebito in capo al provider a titolo di concorso nella commissione dell’altrui illecito.
11. Va, infine, precisato che il requisito della conoscenza non può ritenersi integrato, come sostenuto dall’Autorità resistente (cft. pag. 18 della delibera), per il solo fatto che gli standard pubblicitari adottati dalla società prevedono la “previa autorizzazione scritta” per la pubblicazione di inserzioni che promuovono il gioco d’azzardo.
Infatti, è incontroverso, ai sensi dell’art. 64, comma 2, c.p.a., che, nella vicenda in esame, gli utenti che hanno immesso le inserzioni contestate non avevano ricevuto l’autorizzazione scritta prevista dagli standard pubblicitari (come dedotto dalla ricorrente a pagine 2 e 3 della memoria depositata ex art. 73 c.p.a.).
Ne deriva che difetta il presupposto fattuale – il rilascio di una simile autorizzazione da parte della ricorrente – valorizzato dall’Autorità per concludere che la ricorrente fosse a conoscenza del contenuto sponsorizzato.
12. In conclusione, il Collegio ritiene che:
– il meccanismo di controllo automatizzato sopra descritto non sia sufficiente per qualificare la ricorrente come hosting provider attivo;
– non sia stata dimostrata la conoscenza effettiva da parte della ricorrente dell’attività illecita posta in essere dagli utenti (mancando la prova che le misure “proattive” adottate dal gestore del servizio abbiamo implicato la conoscenza delle attività illecite);
– solo con la notifica dell’atto di contestazione della violazione dell’art. 9 del Decreto Dignità (che ha avviato il procedimento sfociato nell’irrogazione dell’avversata sanzione) la ricorrente ha acquisito la conoscenza dell’esistenza delle inserzioni pubblicitarie illecite e ha conseguentemente provveduto a rimuovere i “Post” oggetto della contestazione.
13. Per le ragioni evidenziate il ricorso deve essere accolto, con assorbimento delle ulteriori censure proposte.
14. La particolarità delle questioni giuridiche implicate giustifica la compensazione integrale delle spese di lite.
P.Q.M.
Il Tribunale Amministrativo Regionale per il Lazio (Sezione Quarta), definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie nei termini di cui in motivazione e, per l’effetto, annulla la delibera dell’Autorità per le garanzie nelle Comunicazioni n. 422/22/CONS del 14 dicembre 2022″.
