Ha fatto scalpore la vicenda giudiziaria che, negli ultimi giorni, ha visto coinvolto Pavel Durov, fondatore e amministratore delegato di Telegram, noto servizio di messaggistica basato sulla crittografia, che ha preso piede negli ultimi anni quale alternativa a WhatsApp.
Ricordiamo che l’imprenditore è stato arrestato sabato 24 agosto all’aeroporto di Le Bourget e messo in custodia, a seguito di un’indagine preliminare avviata dalla Procura di Parigi.
Indice degli argomenti
Le accuse
Per comprendere la portata giuridica della vicenda, occorre partire dalle contestazioni mosse a Durov. Lo stesso è stato accusato di:
- Complicità nei seguenti reati:
- Amministrazione di piattaforma online per consentire transazioni illecite in banda organizzata;
- Detenzione di immagini pedopornografiche;
- Diffusione, offerta o messa a disposizione in banda organizzata di immagini pedopornografiche;
- Acquisto, trasporto, detenzione, offerta o cessione di sostanze stupefacenti;
- Offerta, cessione o messa a disposizione senza motivo legittimo di un’attrezzatura, strumento, programma o dato progettato o adattato per compromettere e accedere al funzionamento di un sistema di trattamento automatizzato di dati;
- Truffa in banda organizzata;
- Rifiuto di comunicare, su richiesta delle autorità competenti, le informazioni o i documenti necessari per la realizzazione e l’utilizzo di intercettazioni autorizzate dalla legge;
- Associazione a delinquere finalizzata alla commissione di crimini o reati punibili con almeno 5 anni di reclusione;
- Riciclaggio di proventi di reati o delitti in banda organizzata;
- Fornitura di servizi di crittografia volti ad assicurare funzioni di confidenzialità senza dichiarazione di conformità;
- Fornitura di un mezzo di crittografia che non garantisce esclusivamente funzioni di autenticazione o di controllo dell’integrità senza dichiarazione preliminare;
- Importazione di un mezzo di crittografia che non garantisce esclusivamente funzioni di autenticazione o di controllo dell’integrità senza dichiarazione preliminare.
I capi di imputazione formulati nei confronti di Durov non possono che suscitare qualche perplessità; vediamo perché.
Responsabilità degli intermediari e principio di neutralità
Qui cominciano i dubbi.
L’articolo 6 del Reg. UE 2065/2022 (“Digital Service Act”), che prevede l’esenzione di responsabilità per i prestatori di servizi che memorizzano informazioni su richiesta degli utenti, stabilisce un principio di neutralità operativa per gli intermediari digitali. In linea teorica, tale disposizione esonera questi ultimi da responsabilità diretta sui contenuti memorizzati, a meno che non abbiano conoscenza effettiva dell’illegalità degli stessi.
Questo principio, tuttavia, è stato messo alla prova nel caso Telegram, dove l’accusa riguarda, tra le altre cose, la complicità nella commissione dei reati commessi dagli utenti attraverso lo strumento di messaggistica.
I capi di imputazione sollevano importanti questioni sul limite della neutralità degli intermediari. In particolare, viene messo in discussione fino a che punto un intermediario possa mantenere una posizione di neutralità tecnica e operativa quando è a conoscenza, o dovrebbe ragionevolmente essere a conoscenza, dell’utilizzo illecito della propria piattaforma.
Telegram e Francia: chiariamo i punti giuridici hiave
Lasciando da parte ogni dietrologia politica, attenendoci strettamente al piano giuridico e per quanto se ne sa pubblicamente finora:
innanzitutto le contestazioni fatte a Durov in quanto CEO di Telegram (e peraltro, per ora, non indagato direttamente) sono basate sul diritto penale francese, per eventuale correità nell’agevolare la diffusione di materiale rilevante penalmente; la parte più peculiare delle contestazioni è quella dei mancati adempimenti dovuti in Francia, in base alla normativa locale (qui in Italia queste norme non sussistono), per l’uso di crittografia senza aver fatto le necessarie notifiche e dichiarazioni all’AINSSI, l’agenzia francese nazionale per la sicurezza, la quale esamina e approva le richieste di utilizzo di tali mezzi per il proprio territorio, a pena anche di conseguenze penali in certi casi;
Come affermato anche dalla Commissione Europea, il DSA nulla c’entra – almeno per ora – in queste contestazioni, o meglio è il DSA stesso a porsi come strumento di armonizzazione europea ma che lascia intatte le prerogative e normative nazionali sugli illeciti (specie penali, che restano, come la sicurezza nazionale, alvei di stretta competenza locale); l’unico vero punto di contatto con la vicenda è che la mancata collaborazione con le autorità sapendo degli illeciti, così come accade anche nel DSA, comporta il venir meno dello scudo normativo e il nascere di una (co)responsabilità assieme agli autori primari di questi illeciti (chi ha diffuso i contenuti diventa “complice” di chi diffonde tecnicamente gli stessi);
il DSA è poi norma a carattere prevalentemente amministrativo / civilistico (si pensi alle sanzioni amministrative ivi previste); sono da indagare – specie in un caso epocale come questo – gli esatti risvolti di interplay col diritto penale e in quale misura, come possa il DSA influenzare gli ambiti di responsabilità penale; testualmente, solo l’art. 18 DSA parla con cognizione di argomenti penali, ma riguarda solo gli obblighi di notifica di sospetti di reati di una certa gravità, per cui il provider (Telegram) deve prontamente informare le autorità; il resto del DSA, nei considerando, ribadisce più volte una permanenza tal quale del diritto penale e processuale penale di ogni Stato membro;
infine, per pura completezza, proviamo comunque a ipotizzare Telegram nelle maglie del DSA: potrebbe dirsi un provider intermediario di servizi della società dell’informazione, specie di hosting e comunicazione – ma non è una “piattaforma di grandi dimensioni” (dette in acronimo inglese “VLOP”) identificata dalla Commissione UE come soggetta a più gravi adempimenti; vale la pena notare che per DSA i servizi di messaggistica privata non rientrerebbero nell’ambito di applicazione del DSA poiché sono utilizzati per la comunicazione interpersonale tra un numero limitato di persone stabilito dal mittente della comunicazione – tuttavia, gli obblighi del DSA possono applicarsi a servizi che consentano la messa a disposizione di informazioni a un numero potenzialmente illimitato di destinatari, non stabilito dal mittente della comunicazione, come ad esempio attraverso gruppi pubblici o canali aperti;
Telegram sarebbe comunque soggetta, per fruire dello scudo da responsabilità per i contenuti immessi, o alla mancata conoscenza dell’illecito oppure ad azione appropriata quando ne abbia notizia oppure ancora all’ottemperare a ordini delle autorità che abbia ricevuto in proposito; Telegram risulterebbe manchevole sotto questo profilo, viste le accuse;
Visto il controverso tema della crittografia, vale la pena menzionare il considerando 20 del DSA che recita proprio che qualora un provider deliberatamente collabori con terzi al fine di commettere attività illegali, i servizi di cifratura non dovrebbero essere considerati come forniti in modo “neutro” e il prestatore non dovrebbe pertanto poter beneficiare delle esenzioni dalla responsabilità del DSA; precisa però che il solo fatto che un servizio offra trasmissioni cifrate o qualsiasi altro sistema che renda impossibile l’identificazione dell’utente non dovrebbe di per sé essere considerato come un’agevolazione di attività illegali. Quanto tutto ciò potrà essere rilevante nel caso Telegram sarà tutto da vedere, ammesso che parta davvero un procedimento formale sul fronte DSA.
Andrea Michinelli, Avvocato, FIP (IAPP), ISO/IEC 27001, Of counsel 42 Law Firm
Assenza di obblighi generali di sorveglianza
A quanto sopra, si aggiunga che l’articolo 8, che esclude qualsiasi obbligo generale di sorveglianza per i prestatori di servizi intermediari, riflette un principio cardine della regolamentazione europea. Questo principio, pensato per tutelare la libertà di impresa e prevenire una sorveglianza indiscriminata, sembra però entrare in contrasto con le esigenze di sicurezza pubblica e protezione dei diritti fondamentali, come la tutela dei minori e la prevenzione del crimine.
Nel caso di Telegram, l’accusa che grava su Durov sembra sfidare proprio questo principio, suggerendo che in alcuni contesti, come quello della criminalità organizzata, potrebbe essere necessario un approccio più attivo da parte degli intermediari. La normativa attuale, pur escludendo obblighi di sorveglianza preventiva, non preclude, tuttavia, che le autorità giudiziarie o amministrative possano esigere interventi specifici per prevenire o porre fine a violazioni gravi, come nel caso in esame.
La posizione della commissione europea
Non a caso la commissione europea si è espressa in questi termini su Telegram.
“L’azione penale non rientra tra le potenziali sanzioni per una violazione del DSA. Il DSA non definisce cosa sia illegale né stabilisce alcun reato penale e non può quindi essere invocato per gli arresti. Solo le leggi nazionali [o internazionali] che definiscono un reato penale possono essere invocate”, ha dichiarato il portavoce.
“Stiamo monitorando da vicino gli sviluppi relativi a Telegram e siamo pronti a collaborare con le autorità francesi qualora fosse necessario”, ha aggiunto la Commissione.
Sotto scacco anche la crittografia e la privacy
Dalle quanto emerge nei dodici capi di imputazione, “è presente nell’ordinamento francese una normativa che prevede un’autorizzazione ministeriale per l’uso di crittografia in caso di usi diversi da quelli del controllo di autenticazione e integrità (e anche sulla base di questa specifica normativa si sarebbe fondata l’accusa a Durov)”, dice l’avvocato Andrea Lisi. “In poche parole, se la crittografia serve a criptare messaggi, allora essa va autorizzata per il governo francese”.
“Peccato che tale normativa francese finirebbe per violare palesemente il principio generale di assenza di autorizzazione preventiva per chi sviluppa servizi della società dell’informazione previsto dall’articolo 4 della direttiva 2000/31/CE”.
Un grosso problema, per la privacy e per tutte le piattaforme, anche per Agostino Ghiglia, componente del Garante Privacy.
Ed è in generale un’altra conferma di un contrasto insito tra l’attuale normativa europea. Divisa, sempre in potenziale crisi, tra regole comuni e prerogative nazionali (soprattutto in ambito di sicurezza).
Il caso Durov ha il duplice ruolo di rivelare questo contrasto e di metterlo alla prova, tenendo ulteriormente una corda già molto tesa nel rapporto tra regole comuni (utili alla crescita dell’UE) e nazionali.
Redazione
Conclusioni
La vicenda giudiziaria che ha coinvolto Pavel Durov mette in luce un potenziale limite della normativa europea, la quale, sebbene promulgata con il fine generale di armonizzare gli ordinamenti giuridici dei diversi Stati Membri in ambiti strategici, al fine di favorire la circolazione di dati e informazioni, sembra non possa, tuttavia, superare alcuni ambiti giuridici tipicamente “locali”, quale è ad esempio la normativa penale.
Tale circostanza, sebbene comprensibile, rischia di vanificare lo sforzo europeo di creare uno spazio unico e uniforme, atto a favorire e incentivare la libera circolazione dei dati e attirare investimenti nello spazio economico europeo.