Il 24 maggio 2022 è iniziata la fase di esame da parte della Commissione della Camera dei Comuni in Inghilterra del disegno di legge del governo Online Safety Bill (OSB). Le prime due fasi di lettura si sono concluse l’11 maggio. Successivamente dovrà passare all’esame della Camera dei Lords e successivamente al Royal Assent.
Il disegno di legge, proposto da Nadine Dorries del Dipartimento per digitale, cultura, media e sport, è diretto a contenere la libertà di espressione e la diffusione dei contenuti online sulle piattaforme social.
L’Online Safety Bill è stato descritto come “la legislazione di punta per combattere l’abuso e l’odio su Internet” [1], ed è nato sulla scia della sconfitta dell’Inghilterra agli Europei di calcio del 2021 dove, a seguito dei rigori decisivi sbagliati da calciatori di colore della Nazionale inglese, si sono susseguite polemiche in merito a tanti post e tweet indicati come razzisti.
DSA e DMA approvati: ecco cosa cambia per le piattaforme online
Indice degli argomenti
Online Safety Bill: i dettagli del disegno di legge
L’ Online Safety Bill è diviso in 12 parti, dedicati agli obblighi di diligenza dei fornitori di servizi “da utente a utente” e di “servizi di ricerca”, all’obbligo dell’OFCOM (Office of Communication, autorità di regolamentazione e concorrenza per le industrie delle comunicazioni del Regno Unito) di emanare codici di condotta; ai provvedimenti sanzionatori, ai ricorsi e ai reclami relativi ai servizi regolamentati e ai reati di comunicazione.
Ai sensi dell’art. 2.1 del OSB per “servizio da utente a utente” si intende un servizio internet per mezzo del quale un contenuto che viene generato direttamente da un utente del servizio, oppure caricato o condiviso da un utente del servizio, può essere condiviso da un altro utente o da altri utenti del servizio stesso [2], mentre per “servizio di ricerca” si intende un servizio internet che è, o include, un motore di ricerca [3].
I riferimenti a un servizio Internet, a un servizio da utente a utente o a un servizio di ricerca contenuti nel OSB includono anche i servizi forniti al di fuori del Regno Unito in una sorta di applicazione extraterritoriale della normativa prevista dal provvedimento. In più ai sensi dell’art. 166 il potere dell’autorità di controllo, l’OFCOM, di richiedere la produzione di documenti si applica anche ai documenti detenuti al di fuori del Regno Unito.
Gli obblighi delle piattaforme
Dalla lettura dell’Online Safety Bill emergono, dunque, nuovi obblighi per le piattaforme online. Analizziamoli nel dettaglio.
Il Duty of care
Il disegno di legge crea un nuovo generale obbligo di diligenza in capo alle piattaforme online nei confronti dei loro utenti, richiedendo loro di procedere contro i contenuti illegali e contro i contenuti legali ma dannosi.
Le piattaforme che non rispettano questo dovere saranno soggette a multe fino a 18 milioni di sterline o al 10% del loro fatturato annuo, se superiore. E tali multe verranno comminate dall’OFCOM.
Il c.d. Duty of Care si riferisce a una serie di doveri specifici per tutti i servizi che rientrano nell’ambito di applicazione dell’OSB e in particolare:
- l’obbligo di effettuare una valutazione del rischio dei contenuti illegali (come vedremo);
- i doveri di:
- adottare misure proporzionate per mitigare e gestire i rischi di danno individuati dalla valutazione del rischio effettuata;
- disporre di sistemi e processi che riducano al minimo la presenza e la diffusione di contenuti illegali e il periodo di tempo in cui tali contenuti siano presenti sul sito ed eliminino rapidamente i contenuti illegali una volta a conoscenza della loro presenza;
- specificare nei termini di servizio in che modo le persone sono protette da contenuti illegali;
- garantire che i termini di servizio siano chiari, accessibili e applicati in modo coerente;
- garantire il rispetto dei diritti alla libertà di espressione e alla privacy, bilanciando la protezione degli utenti da violazioni ingiustificate della privacy e del diritto degli utenti alla libertà di espressione nelle politiche e procedure di sicurezza;
- i doveri di denuncia e riparazione, con individuazione di adeguati sistemi di segnalazione e procedure di reclamo attraverso le quali il prestatore di servizi possa intraprendere le azioni appropriate;
- l’obbligo di tenuta dei registri e di revisione, conservando la necessaria documentazione scritta relativa ai punti precedenti.
Inoltre, per i servizi “a cui possono accedere i bambini” sono imposti due obblighi aggiuntivi:
- quello di valutazione del rischio “specifico” dei bambini;
- quello di tutela della sicurezza online dei bambini[4].
Particolare attenzione deve essere posta sulla “valutazione del rischio di contenuto illegale” che, ai sensi degli artt. 8 e 9 deve tener conto delle seguenti questioni:
- la base di utenti;
- il livello di rischio/la possibilità che gli utenti del servizio possano venire in contatto (per il tramite del servizio stesso) di:
- ogni tipo di contenuto illegale prioritario e
- altri contenuti illegali, sulla base (in particolare) degli algoritmi utilizzati dal servizio e di quanto facilmente, rapidamente e ampiamente i contenuti possano essere diffusi tramite il servizio;
- il rischio di danno per le persone presentato da contenuti illegali di diverso tipo;
- il rischio delle funzionalità del servizio che facilitano la presenza o la diffusione di contenuti illegali, individuando e valutando tali funzionalità che presentano livelli di rischio più elevati;
- le diverse modalità di utilizzo del servizio e l’impatto di tale utilizzo sul livello di rischio di danno che potrebbe subire le persone;
- la natura, e la gravità, del danno alle persone;
come la progettazione e il funzionamento del servizio (compresi il modello di business, la governance, l’uso di tecnologia proattiva, le misure per promuovere l’alfabetizzazione mediatica degli utenti e l’uso sicuro del servizio e altri sistemi e processi) possono ridurre o aumentare i rischi individuato.
A questo riguardo, uno degli aspetti più importanti è definire cosa si intenda per contenuto illegale. E a tal proposito viene in soccorso lo stesso OSB che, all’art. 52 dispone che per “contenuto illegale” si intende un contenuto che, da solo o insieme ad altri contenuti, costituisce un reato rilevante, e la rilevanza del reato si misura tramite la valutazione del contenuto in relazione all’uso delle parole, delle immagini, dei testi, dei discorsi o dei suoni.
I reati rilevanti sono:
- i reati di terrorismo previsti nell’Allegato 5,
- i reati connessi allo sfruttamento e all’abuso sessuale dei minori previsti nell’Allegato 6;
- i reati c.d. prioritari indicati nell’Allegato 7[5].
Altri doveri
Quanto agli altri doveri, le piattaforme devono:
- adottare o utilizzare misure proporzionate per mitigare e gestire i rischi di danno alle persone, come identificato nella valutazione del rischio sopra descritta;
- gestire il servizio utilizzando sistemi e processi proporzionati progettati per:
- impedire alle persone di imbattersi in contenuti illeciti;
- ridurre al minimo il periodo di tempo durante il quale è presente qualsiasi contenuto illegale;
- qualora il fornitore sia avvisato da una persona della presenza di qualsiasi contenuto illegale, o ne venga a conoscenza in altro modo, rimuovere rapidamente tale contenuto.
Esse hanno altresì l’obbligo di inserire nei propri termini e condizioni contrattuali chiare ed accessibili previsioni circa la tecnologia utilizzata dal servizio ai fini dell’adempimento degli obblighi sopra indicati.
I reati introdotti dall’Online Safety Bill
L’OSB nella Parte 10 disciplina tre distinte categorie di reato.
Il primo, previsto dall’art. 150, è il reato di comunicazioni dannose e si realizza quando un soggetto:
- invia un messaggio e
- al momento dell’invio del messaggio:
- esisteva un rischio reale e sostanziale che il messaggio avrebbe causato danni a un “probabile pubblico”, e
- la persona intendeva arrecare danno a tale pubblico, e
- il soggetto non ha una scusa ragionevole per l’invio del messaggio.
Ai fini di questo reato, si considera “probabile pubblico” di un messaggio quello per cui, al momento dell’invio del messaggio, è ragionevolmente prevedibile si imbatta nel messaggio 0 in un messaggio successivo che inoltra o condivide il contenuto del messaggio.
Il successivo art. 151 prevede il reato di comunicazione intenzionalmente falsa, che si configura quando una persona:
- invia un messaggio;
- il messaggio trasmette informazioni che la persona sa essere false;
- al momento dell’invio, la persona prevede che il messaggio, o le informazioni in esso contenute, possano causare danni emotivi, psicologici o fisici ad un probabile pubblico, e
- la persona non ha una scusa ragionevole per l’invio del messaggio.
Ed infine l’art. 152 reato di comunicazione minacciosa secondo cui una persona commette tale reato quando:
- invia un messaggio;
- il messaggio trasmette una minaccia di morte o di grave danno, e
- al momento dell’invio del messaggio, la persona:
- era consapevole che chi si imbatteva nel messaggio avrebbe temuto che la minaccia sarebbe stata messa in atto, oppure
- aveva imprudentemente ritenuto che chi si imbatteva nel messaggio avrebbe temuto che la minaccia sarebbe stata messa in atto.
Il controllo
Innanzitutto, l’art. 70 prevede che i provider debbano corrispondere una fee annuale all’OFCOM.
In secondo luogo, l’OFCOM deve istituire un registro per le diverse categorie di servizi [6] ed effettuare un risk assesment per identificare i rischi di danno o rappresentato dai contenuti illegali, da contenuti dannosi per i minori o da contenuti dannosi per gli adulti.
Può chiedere informazioni, effettuare indagini, ha potere di accesso alla documentazione e può disporre audit, ma soprattutto ha il potere di emettere sanzioni nei confronti dei fornitori del servizio se ritiene che vi siano ragionevoli motivi per ritenere che lo stesso non abbia rispettato, o non stia rispettando, le disposizioni previste dal provvedimento in esame. L’allegato 12 indica che l’importo massimo della sanzione è:
- 18 milioni di sterline o
- il 10% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
Online Safety Bill: questioni ancora aperte
Dall’analisi delle disposizioni sopra indicate emergono alcune questioni che meritano particolare attenzione e sulle quali vale la pena effettuare una prima valutazione.
Il primo punto da considerare è quello relativo agli obblighi per i gestori delle piattaforme che li rende praticamente responsabili del comportamento dei loro utenti se non sono in grado di monitorarne e controllarne le conversazioni.
E qui si pone il primo quesito: quali sono le basi sulle quali considerare “dannoso” il materiale pubblicato? Come si valuta la capacità del contenuto online di causare “danno emotivo, psicologico o fisico al probabile pubblico”, entrando così nella sfera di ciò che viene soggettivamente percepito? Quali sono le basi? Quali i limiti?
Secondo James Bore, consulente di sicurezza specializzato in sicurezza online e informatica, i punti critici del provvedimento riguardano proprio la mancanza di chiarezza su ciò che è considerato un comportamento “dannoso”, poiché questa soggettività porterà le persone a mettere in discussione le definizioni man mano che la tecnologia e la società si evolveranno.
Un secondo punto importante riguarda il concetto di comunicazioni false. Secondo alcuni, infatti, “se questo principio tanto vago quanto orwelliano – perché tutto questo è ovviamente per il bene degli utenti – venisse trasformato in legge, chiunque potrebbe essere accusato di aver creato o condiviso una “comunicazione consapevolmente falsa”. E cosa potrebbe succedere nei casi di post che non coincidono con la versione governativa in relazione ad un particolare argomento (come ad es. il contenimento della pandemia) che potrebbero essere definiti falsi e quindi i loro autori perseguibili? Come commenta Savioli fino a quanto il potere costituito si spingerà per limitare il dissenso? E qui il problema diventa più serio in quanto se è previsto che le grandi piattaforme di social media non rimuovano e, anzi, preservino l’accesso a contenuti giornalistici o “democraticamente importanti” come i commenti degli utenti su partiti e questioni politiche, come viene definito il “contenuto di importanza democratica”?
Come farebbero i social network a proteggere i contenuti “democraticamente importanti”, come i post inviati dagli utenti che sostengono o si oppongono a particolari partiti o specifiche politiche posto che i siti Web degli editori di notizie, così come i commenti dei lettori su tali siti Web, non rientrano nell’ambito di applicazione previsto dalla legge?[7]
Sono domande queste che si pongono anche in relazione alla tutela dei dati personali degli utenti, alla riservatezza degli stessi e alla libertà di espressione che dovrebbero essere tutelati da una normativa “robusta” che imponga standard di sicurezza adeguati e certi senza margini di incertezze e soprattutto che garantisca i limiti di accesso per motivi di indagine da parte delle autorità di governo [8]. l problema di un’eventuale “ingerenza” del Governo centrale nelle attività dell’Ofcom è stato inoltre avanzato anche da un gruppo di esperti del Carnagie Trust, secondo i quali: “Per rispettare gli impegni internazionali presi dal Regno Unito sul rispetto della libertà di parola, sarebbe il caso che venga mantenuta una certa separazione tra il potere esecutivo e quello del regolatore nazionale del settore delle comunicazioni”.
Il provvedimento che ora è giunto alla fase di rapporto del Comitato, previsto per il 12 luglio, dovrà essere poi sottoposto alla terza lettura alla Camera dei Comuni e passare successivamente alla Camera dei Lord.
NOTE
Valerio Savioli, Online Safety Bill: illibertà di espressione dietro la nuova stretta made in Uk. ↑
Ai fini del comma 1:
non rileva se il contenuto sia effettivamente condiviso con un altro utente o altri utenti purché il servizio disponga di una funzionalità che consenta tale condivisione;
non rileva quale proporzione di contenuto su un servizio sia contenuto descritto in tale sottosezione. ↑
Il motore di ricerca ai sensi dell’art. 183:
comprende un servizio o una funzionalità che consente a una persona di effettuare ricerche in alcuni siti web o banche dati (come anche un servizio o una funzionalità che consente a una persona di effettuare ricerche (in linea di principio) in tutti i siti web o banche dati);
non include un servizio che consente di effettuare ricerche su un solo sito web o database. ↑
In riferimento ai minori viene previsto:
l’obbligo di adottare o utilizzare misure proporzionate
mitigare e gestire i rischi di danno per i minori di diverse fasce di età, come individuato nella valutazione del rischio per i minori del servizio, e
mitigare l’impatto del danno sui bambini di diverse fasce d’età causato da contenuti dannosi per i bambini presenti sul servizio.
il dovere di gestire il servizio utilizzando sistemi e processi proporzionati progettati per:
impedire a minori di qualsiasi età di imbattersi in contenuti di priorità primaria lesivi per i minori (ad esempio, prevedere la verifica dell’età per i minori di 15 anni);
proteggere i minori appartenenti a fasce di età ritenute a rischio di danneggiamento da altri contenuti dannosi per i minori. ↑
Si tratta ad esempio di assistenza al suicidio, spaccio di droghe e sostanze psicotrope, assistenza all’immigrazione clandestina, sfruttamento sessuale, utilizzo materiale pornografico, reati contro la proprietà, frode. ↑
Nello specifico ci saranno tre parti:
una parte per i servizi regolamentati da utente a utente che soddisfano le condizioni di soglia della Categoria 1,
una parte per i servizi di ricerca regolamentati e i servizi combinati che soddisfano le condizioni di soglia della categoria 2A, e
una parte per i servizi regolamentati da utente a utente che soddisfano le condizioni di soglia della categoria 2B ↑
A questo proposito, Robin Wilton, direttore della Internet Trust presso la Internet Society, definisce l’OSB “un pasticcio inattuabile, con poteri eccessivi basati su definizioni vaghe, strutture di responsabilità carenti e nuove categorie di reato aggiunte praticamente ogni mese“.
Il governo, aggiunge, dovrebbe riorientare il suo approccio ammettendo che i problemi che sostiene di risolvere con l’OSB sono di natura sociale e smettere di legiferare come se la regolamentazione della tecnologia fosse “la cura miracolosa”. Egli teme inoltre che la proposta di legge costringa le aziende a indebolire la crittografia forte, rendendo tutti meno sicuri, poiché i fornitori di servizi indeboliscono o ritirano dalla loro offerta i servizi crittografati end-to-end. Cfr. Robin Wilton, Prohibiting end-to-end encryption is not the way to keep people safe online in an increasingly unstable world, 7 July 2022. Nello stesso senso Matthew Lesh e Victoria Hewson, An Unsafe Bill: How the Online Safety Bill threatens free speech, innovation and privacy, 27 June 2022. ↑
In questo senso risulta molto interessante l’articolo di Philip Di Salvo, Stop al controllo, pubblicato sul n. 100 di Wired, marzo 2022. ↑