di Andrea Monti – Copyright – Networking – IDG Communications Italia (15 giugno 2000)

L’internet italiana è ancora ad uno stato embrionale e quindi anche la sua “versione commerciale” è tutta da costruire. Ciò non toglie che più di un operatore cominci a pensare seriamente di fare business online non solo nella prospettiva di vendere e comprare ma anche in quella, più ampia, della gestione di “transazioni”. Si, perché la rete non è soltanto “commercio”, ma anche utile strumento per altre forme di attività d’impresa, come il business to business. Il che implica, ovviamente, che le problematiche giuridiche sono molto più ampie e complesse dei soliti luoghi comuni sulle misteriose intercettazioni di numeri di carte di credito, o su fantomatici criminali che, si dice, frequentino la rete.

E già che siamo in tema di luoghi comuni, è bene levarsi immediatamente dai piedi la triade che da sempre infesta ogni discorso sull’internet: virtuale, ciberspazio, multimediale.

La parola “virtuale”, in italiano, significa “qualcosa che non c’è”. Ma nell’internet,che al contrario, esiste, funziona e serve a mettere in contatto fra di loro le persone, non c’è nulla di virtuale. Se il commercio fosse virtuale, cioè inesistente, allora vuol dire che staremmo parlando del “nulla”. E certamente non sono inesistenti, pardon, virtuali, i soldi che spendiamo in hardware, software, bollette e acquisti.

Per quanto riguarda il “ciberspazio”, poi, stiamo rasentando il ridicolo. Il legislatore e persino blasonati giornalisti e docenti universitari “esperti” di leggi e bit si avventurano nella improbabile costruzione di teorie giuridiche basate su una bella invenzione letteraria. In altri termini: il ciberspazio – come dimostrano gli svariati casi giudiziari italiani e stranieri – esiste soltanto nei libri di William Gibson, ma ci si ostina a prenderlo sul serio contro ogni ragionevolezza.

L’abuso della parola “Multimediale” è, infine, la ciliegina sulla torta.

La rete non è nulla di tutto questo. Semplicemente, è un insieme di computer, programmi, tecnologie e protocolli, anzi estremizzando, la si potrebbe considerare un fax un po’ più complicato e comodo del normale.

Non si tratta, come si potrebbe pensare, di un discorso accademico e privo di concretezza, al contrario, riportare “sulla terra” i termini della discussione consente di affrontare buona parte dei problemi che solitamente si considerano irrisolvibili come l’eterna domanda “si, ma che succede se metto il server in America?”

Il valore giuridico delle transazioni online

Dal punto di vista del diritto, la stragrande maggioranza delle attività di e-commerce rientra nell’ambito dei cosiddetti “contratti a distanza”, cioè di quei “negozi giuridici” che si concludono fra parti fisicamente localizzate in luoghi diversi. Il fatto che in alcuni casi la comunicazione sia pressoché istantanea non fa venir meno questa qualificazione; del resto, anche gli ordini telefonici sono praticamente in tempo reale ma nessuno si è mai sognato di considerarli qualcosa di diverso.

In questa tipologia di contratto assumono particolare rilevanza tre profili: la commerciabilità del bene, l’identificazione delle parti e il contenuto della transazione.

Sul primo punto, va detto che il Codice civile stabilisce fondamentalmente due tipi di contratto: in quello “a forma vincolata” (come nel caso dell’acquisto di una casa) è richiesto necessariamente un “pezzo di carta” firmato dalle parti; in quello a “forma libera” non è prevista alcuna forma obbligatoria di documentazione, e quindi anche in assenza del “pezzo di carta” del caso precedente, il contratto è perfettamente valido ed efficace. In altri termini, questo significa che tramite la rete è possibile vendere e comprare tutto quello per cui la legge non richiede la forma scritta. Del resto: se posso acquistare un CD o un vestito, o prenotare un biglietto aereo senza particolari formalità anche tramite il telefono, non vedo perché non dovrebbe essere possibile utilizzare la rete per le stesse cose.

I problemi possono sorgere nel momento in cui il merchant decide di avvalersi di alcune clausole protettive, come la risoluzione di diritto, l’esonero di responsabilità o la scelta dell’ufficio giudiziario al quale devolvere tutte le controversie. In questi casi, la legge prevede il famoso meccanismo della “doppia firma”, per cui queste clausole dovranno essere approvate separatamente e una per una. Fino a quando il contratto è su carta non ci sono grossi problemi, ma quando si utilizza un web come la mettiamo?

Nella pratica quotidiana, molte aziende hanno risolto il problema con un sistema di check-box alla fine di una dicitura del tipo “accetto le clausole xy”. Ma questa soluzione non convince quelli che sostengono non equiparabile il meccanismo all’apposizione della firma.

Quando (e se) la firma digitale prevista dal DPR513/97 diventerà operativa a tutti gli effetti, questi problemi saranno completamente risolti, perché è stabilito che il documento informatico firmato digitalmente è valido ed efficace ad ogni effetto di legge. Sarà quindi possibili replicare online praticamente tutte le formalità giuridiche ora stabilite per i contratti cartacei.

Così come sarà possibile, grazie alla firma digitale, affrontare anche il secondo aspetto problematico di cui parlavo prima, quello dell’identificazione certa delle parti.

Secondo la legge, un contratto può essere stipulato soltanto da un maggiorenne capace di intendere e di volere. Ma nei contratti a distanza e in quelli online in particolare, come si fa ad essere certi che chi vuol comprare sia effettivamente chi dice di essere?

In attesa della firma digitale, i merchant hanno elaborato il noto sistema basato sulla registrazione dei dati del cliente tramite un canale di comunicazione criptato e l’assegnazione di una login con password.

Astrattamente, questa soluzione è giuridicamente valida: con l’assegnazione di login e password, una persona viene identificata in modo ragionevolmente certo e quindi, fino a prova contraria, tutto quello che viene fatto tramite il login gli è giuridicamente attribuito (sulla falsariga di quello che avviene con un bancomat). In caso di contestazioni, sarà onere del cliente dimostrare che l’acquisto o la transazione è stata portata a termine da una terza persona che gli aveva “rubato l’identità”.

Come si vede, questa procedura raggiunge lo stesso obiettivo garantito dalla firma digitale, ma in caso di controversie il venditore dovrebbe, ad esempio, dimostrare prima di tutto che i suoi sistemi sono assolutamente sicuri, escludendo quindi qualsiasi possibilità di errore o manipolazione dei dati, e solo poi entrare nel merito della controversia. Esponendosi comunque al rischio che il giudice decida per l’insufficiente attendibilità del sistema e quindi non attribuendo valore alle prove addotte in giudizio. Ecco perché, nel “mettere su” un servizio di e-commerce bisogna fare molta attenzione agli aspetti di sicurezza e integrità dei dati. La firma digitale del DPR5413/97 inverte l’”onere della prova” e obbliga il cliente a dimostrare che gli è stata “scippata” la chiave privata e la passphrase. Considerazioni assolutamente identiche valgono per il terzo punto, quello relativo al controllo dell’integrità della transazione, il che introduce un tema ulteriore da tenere presente quando si decide di fare commercio in rete: la responsabilità del merchant nei confronti dei clienti in caso di furto di carte di credito, violazione della privacy o altri eventi che ledono i loro diritti.

Le responsabilità del merchant nella gestione dei dati personali e dei numeri di carta di credito

Il problema è reso particolarmente serio dal proliferare delle offerte di “negozi elettronici” che consentono all’azienda (spesso tecnicamente sprovveduta) di realizzare in proprio il catalogo e di gestire la procedura di acquisto. In realtà chi offre questi servizi – salva qualche eccezione – “glissa” elegantemente sulle garanzie offerte in materia di sicurezza perché “tanto, cosa volete che succeda”, o perché si fa sempre in tempo a dare la colpa “ad un link interno del sistema”.

Il risultato di tutto questo è la concentrazione di un elevato numero di dati personali in sistemi di dubbia affidabilità e quindi agevolmente violabili.

Dal punto di vista della responsabilità per eventi di questo tipo dobbiamo distinguere due ipotesi: la prima è quella del merchant che va in hosting da un ISP (o che sceglie il “negozio elettronico”); la seconda è quella del venditore che fa tutto “in casa”. Nel primo caso il cliente che si vede sottrarre il numero di carta di credito chiederà i danni direttamente al venditore che poi, successivamente, si dovrà rifare nei confronti del provider o di chi gli ha venduto lo e-shop.

Nel secondo caso il venditore dovrà fare fronte in proprio a tutti i danni provocati dalla propria negligenza.

Non solo, ma risponderà anche, eventualmente, della mancata adozione di misure di sicurezza previste dalla legge 675/96 sul trattamento dei dati personali.

A questo proposito, vale la pena di sottolineare che questa legge non si limita a stabilire sanzioni, ma impone anche a chi fa commercio elettronico una serie ben precisa di adempimenti e in particolare l’obbligo – fra gli altri – di informare i clienti

delle finalità del trattamento dei dati raccolti
dell’ambito di comunicazione e distribuzione degli stessi
del diritto di ottenere la cancellazione dai database del venditore

La legge richiede inoltre di raccogliere il consenso al trattamento dei dati, se le finalità sono diverse dall’adempimento di obblighi di legge o contrattuali. La cosa può essere anche fatta con una banale check box, ma se i dati sono “sensibili” (opinioni politiche, religiose, filosofiche, dati sullo stato di salute) non c’è nulla da fare e bisogna procurarsi il consenso tramite il solito “pezzo di carta” e anche l’autorizzazione del Garante per i dati personali.

Anche l’omissione di questi adempimenti è fonte di responsabilità anche penale del merchant.

La tutela del consumatore online

“Informativa” e “consenso” sono al centro anche del d.lgs. 185/99 che si occupa della tutela del consumatore nei contratti a distanza.

Come la legge sui dati personali, anche questo d.lgs. impone al merchant un “obbligo di trasparenza” che si traduce intanto nell’indicare chiaramente che il contratto che si sta concludendo è regolato dalla normativa in questione.

Poi il venditore dovrà identificarsi in modo chiaro ed univoco (quindi “no” ai siti poco trasparenti e senza informazioni sui loro proprietari), organizzando la procedura di acquisto in modo che l’utente possa in qualsiasi momento e con facilità annullare la transazione prima di averla conclusa, senza rimanere nel dubbio sull’effettivo annullamento della stessa. In più, salve alcune eccezioni, il venditore è obbligato a riprendere indietro la merce se il cliente, a proprio insindacabile giudizio, decide di restituirla, purché ciò accada entro dieci giorni dalla conclusione del contratto o dalla consegna della merce.

Va anche detto, però, che questa normativa, sulla carta molto rigorosa e protettiva per l’utente, si rivela nei fatti difficilmente applicabile.

In primo luogo perché vale “solo” nell’ambito dell’Unione Europea (il d.lgs 185/99 recepisce una direttiva comunitaria) e quindi non si applica per gli acquisti negli States, ad esempio. In secondo luogo perché nel caso di acquisti del valore di poche decine o centinaia di migliaia di lire, pochi decideranno sul serio di spendere tempo e soldi in avvocati, liti giudiziarie e quant’altro.

Ciò non toglie che, come dimostra il successo commerciale di Amazon, al vendor conviene in ogni caso essere “corretto”, perché in questo modo fidelizza i clienti e riduce sensibilmente il numero delle contestazione, risparmiando tempo e risorse, e guadagnandoci in reputazione.

Un altro divieto introdotto da questo provvedimento riguarda la pubblicità non sollecitata e quindi anche lo spam, che praticamente viene messo fuori legge. Purtroppo, anche in questo caso vale quello che ho detto sulla tutela del consumatore, e cioè che la possibilità concreta di perseguire lo spammer risulta tutto sommato abbastanza bassa.

Il problema dei nomi a dominio

In conclusione di questa rapida panoramica sulle problematiche giuridiche dell’e-business è necessario accennare alle problematiche presentate dall’esplosione delle registrazioni dei nomi a dominio.

Per una azienda è molto importante essere facilmente raggiungibile e identificabile, così come è fondamentale evitare che qualcuno, “confondendo le acque”, possa ingiustamente “scipparle” clienti.

Se fenomeni del genere sono tutto sommato “controllabili” in ambiti tradizionali, quando si utilizza la rete le cose cambiano sostanzialmente, come dimostrano i sempre più numerosi casi di domain grabbing, nei quali soggetti spregiudicati registrano domini corrispondenti a marchi o nomi famosi altrui, allo scopo di rivenderli o di “fare traffico” sui propri siti. Per quanta riguarda la situazione italiana (cioè il caso in cui entrambe le parti sono della stessa nazionalità) La italiana ha oramai raggiunto un orientamento abbastanza definito sul punto, stabilendo che azioni del genere compiute da un soggetto italiano (anche quando sono commesse registrando domini com/org/net) sono regolate dalle norme sulla concorrenza sleale e sui segni distintivi.

Conclusione

Tutto questo rappresenta una rapida visione dello stato dell’arte delle problematiche giuridiche nel campo dell’e-commerce italiano. Data la grande dinamicità del settore, tuttavia, bisogna rassegnarsi al fatto che le leggi saranno sempre qualche passo indietro alle esigenze del mercato, per cui in ogni tipologia di attività ci saranno ancora per parecchio tempo “zone grigie” sempre nuove da esplorare con cautela e buon senso.

Possibly Related Posts: