L’Autorità per le comunicazioni ritiene che per operare in Italia le CDN devono chiedere l’autorizzazione ministeriale e dunque pagare i relativi oneri, consentire intercettazioni e oscuramenti e cooperare con le autorità. Possibile l’estensione di queste regole alle piattaforme? di Andrea Monti – Inizialmente pubblicato su Italian Tech – La Repubblica
Con la delibera 2027-25-CONS del 30 luglio 2025 l’Autorità per le comunicazioni (Agcom) ha approvato “gli esiti della consultazione di cui alla delibera n. 55/25/CONS che, per le ragioni espresse nella parte motiva della presente delibera, confermano la riconducibilità delle Content Delivery Network (CDN) nell’alveo della definizione di rete di comunicazione elettronica di cui all’articolo 2 del Codice delle comunicazioni elettroniche con conseguente applicazione del regime di autorizzazione generale di cui all’articolo 11 del Codice” e ha trasmesso il provvedimento al Ministero delle imprese e del made in italy (MIMIT) “per i seguiti di competenza”.
Se, dunque, l’interpretazione normativa di Agcom verrà condivisa i fornitori di CDN saranno sottoposti agli stessi obblighi degli operatori accesso. Questo significa, in sintesi, che i CDN provider dovranno chiedere, a pagamento, un’autorizzazione ministeriale ma soprattutto che, come gli operatori di accesso, dovranno obbligatoriamente cooperare con la magistratura e i servizi segreti consentendo l’esecuzione di intercettazioni, oscuramenti e sequestri di dati.
A stretto rigore, questa delibera non ha un particolare valore giuridico vincolante perché si limita a prendere atto dei risultati di una consultazione pubblica e ad avvisare il ministero competente dei risultati. Trattandosi, dunque, di una sorta di “parere informato” il MIMIT non è obbligato a darle seguito, ma questo nulla toglie al suo valore politico perché è il segnale che la “parte alta” dei servizi di comunicazione elettronica —cioè quella più “vicina” agli utenti— potrebbe (o dovrebbe) presto essere ulteriormente regolamentata.
Cosa sono le CDN
La crescita del numero di utenti e della quantità di contenuti da veicolare in rete, insieme al proliferare dei servizi di streaming e allo sviluppo di piattaforme globali, hanno reso inefficiente il modello tradizionale basato sulla concentrazione in un unico server (o data-centre) dei contenuti da condividere per via del sovraccarico generato su specifiche direttrici di traffico. In altri termini, è come se inizialmente ci fosse un unico cinema con una sola strada per raggiungerlo. Fino a quando la capienza delle sale e la larghezza della strada erano sufficienti a gestire il flusso di spettatori, tutto funziona correttamente. Se il numero di spettatori cresce oltre un certo limite, le sale non riescono ad accogliere tutti i clienti e la strada si intasa. Una soluzione può essere quella di aprire più cinema, più vicini agli spettatori in modo da frazionare il flusso e tornare a un livello di servizio accettabile. Le CDN servono esattamente per questo: ridurre la distanza fra utente e contenuto, rendendo più efficiente la fruizione del prodotto (una serie televisiva) o del servizio (una piattaforma di ecommerce).
Sempre semplificando all’estremo, una CDN è fatta da un certo numero di server attestati in data-centre che possono essere proprietari (cioè del CDN provider) o di terze parti che affittano spazi e capacità trasmissiva (cioè banda). Quindi una CDN potrebbe essere interamente “virtualizzata” nel senso che il CDN provider non possiede in proprio alcuna infrastruttura ma affitta e assembla diversi pezzi (comprese linee dedicate) in un servizio unitario.
Perché, secondo Agcom, sarebbe necessaria l’autorizzazione per gestire una CDN
Ritiene l’Autorità (pag. 20 della delibera) che “una CDN può essere considerata, dal punto di vista del Codice, come un “tipo specifico di rete” di comunicazione elettronica costituita da
apparati che consentono di trasmettere segnali a mezzo di fibre ottiche: da un punto di vista infrastrutturale le CDN comportano, difatti, la gestione di elementi di rete attivi con capacità di amministrazione centralizzata” e che la CDN “è inquadrabile come “servizio di comunicazione elettronica” in quanto consistente “esclusivamente o prevalentemente nella trasmissione di segnali””.
Questa conclusione è abbastanza discutibile perché praticamente tutti i servizi erogati dai provider internet, dalla gestione della posta elettronica al trasferimento di file sono caratterizzati da “elementi di rete attivi” che consistono esclusivamente o prevalentemente nella trasmissione di segnali”. Inoltre, è vero che, come peraltro —ripetiamo— l’email, le comunicazioni avvengono “da macchina a macchina” ma è vero pure che casi del genere non sono equiparabili al “mero trasporto” di pacchetti di dati. Molti dei contenuti veicolati tramite CDN, infatti, sono perfettamente identificabili e raggiungibili direttamente tramite indirizzi non diversi da quelli di un “normale” sito internet, il che non consente di equiparare un servizio di livello più alto a quelli più basilari come, appunto, l’accesso.
Le conseguenze dell’interpretazione di Agcom
Se l’interpretazione di Agcom dovesse essere ritenuta corretta dal MIMIT (al quale spetta l’ultima parola) per coerenza si dovrebbe estendere il regime di autorizzazione (con quello che comporta) anche alle piattaforme, o quantomeno a quelle sottoposte al regolamento europeo sui servizi digitali. Anche queste piattaforme, infatti, hanno una infrastruttura estremamente articolata, complessa e geograficamente diffusa che, dal punto di vista della peculiare interpretazione di Agcom, le renderebbe sottoposte allo stesso regime giuridico.
Alla stessa conclusione si dovrebbe arrivare per quanto riguarda i “normali” servizi internet diversi dal semplice accesso perché dal punto di vista qualitativo, e dunque a prescindere dalla dimensione dell’infrastruttura, non sono diversi da CDN e piattaforme. Tutti, infatti, gestiscono infrastrutture e software per erogare servizi che consistono “esclusivamente o prevalentemente nella trasmissione di segnali”.
Lo snaturamento delle tecnologie internet
La posizione di Agcom è palesemente basata sullo snaturamento normativo del modo in cui è stata pensata e in cui funziona una rete basata sul TCP/IP che è costruita su due pilastri: uno è il livello fisico —quello al quale avviene quello che Agcom chiama “scambio di segnali”— e l’altro è il livello applicativo, cioè quello al quale operano i vari protocolli (SMTP per l’email, http per le pagine web, SSH per la connessione sicura ad un server e via discorrendo). Su questi protocolli vengono poi “costruite” le interfacce per l’erogazione dei relativi servizi. Dunque, per il modo in cui funziona una rete in tecnologia internet, un CDN —e a maggiore ragione una piattaforma o qualsiasi altro servizio internet— sono strutturalmente diversi dalle reti di comunicazione elettronica che hanno come scopo la veicolazione di segnali.
L’impatto sugli utenti e sul mercato
Tutto questo ragionamento potrebbe sembrare una questione esoterica da addetti ai lavori che non incide sulla vita degli utenti, cittadini o imprese che siano. In realtà non è così perché, a vari livelli, questa delibera può innescare cambiamenti strutturali che vanno dalla variazione degli equilibri istituzionali, alla moltiplicazione dei punti dove eseguire controlli di massa a più prosaici, ma non meno rilevanti, impatti sui costi dei servizi.
Partendo dagli aspetti più istituzionali, questa delibera è un’ulteriore manifestazione del fenomeno dell’espansione di fatto delle competenze delle autorità indipendenti nei confronti delle altre istituzioni è documentato da anni e che non mostra segni di rallentamento. Al di là di quello che può essere stabilito a livello di normativa europea o di legge ordinaria, i poteri degli specifici ministeri non possono essere assorbiti o esercitati in modo condizionante da soggetti diversi. Non si tratta di una questione puramente astratta, perché se questi provvedimenti —pur magari condivisibili nella sostanza— dovessero essere impugnati davanti a un giudice, potrebbero essere annullati e dunque rivelarsi inutili.
Un altro aspetto da considerare è quello del sistema di sorveglianza globale previsto dal Codice delle comunicazione elettroniche, da quello di procedura penale e dalla normativa sui servizi segreti.
Oggi le attività informative sugli utenti che devono essere consentite obbligatoriamente coinvolgono gli operatori di accesso (per la geolocalizzazione dei terminali e le intercettazioni) e quelli che prestano servizi internet (in relazione ai dati di traffico telematico e ai contenuti veicolati dagli utenti, oltre che all’oscuramento di contenuti e al blocco della raggiungibilità di specifiche risorse di rete).
È chiaro che, in questo schema, un CDN provider o una piattaforma che si appoggiano su fornitori terzi non avrebbero motivo di dover fornire prestazioni di sorveglianza che sono già erogate dai singoli fornitori. Mentre sarebbero in ogni caso vincolati se offrissero al pubblico i propri servizi tramite infrastrutture del tutto autonome dovendo in ogni caso chiedere l’autorizzazione ministeriale.
Infine, se passasse l’idea di estendere l’obbligo di autorizzazione all’intera filiera verticale dei servizi internet, questo si tradurrebbe in un aumento di costi di esercizio e dunque dei prezzi per l’utente finale che avrebbe effetti palesemente distorsivi del mercato e potenzialmente contrari alle norme europee sulla concorrenza, non solo nel settore specifico delle telecomunicazioni.
Conclusioni
I cambiamenti tecnologici e regolamentari che si sono susseguiti nel corso del tempo e le pratiche spesso aggressive di Big Tech hanno creato una condizione particolarmente complessa, specie per via della convergenza di modelli industriali prima ben distinti ma ora sempre meno differenziati.
Dalla distinzione netta fra operatore di accesso “padrone dei cavi”, internet provider”, soggetto che tramite quei cavi rendeva disponibili servizi basati su protocolli internet e “utente”, individuo o impresa che usava accesso e servizi per la propria attività personale o di impresa si è passati a uno scenario dove gli attori hanno perso un’identità marcata e definita.
Questo mutato stato di fatto si è tradotto nella difficoltà di applicare in modo trasversale delle normative che prima erano pensato per funzionare verticalmente e suggerisce l’avvio di una riflessione strategica sulla regolamentazione del settore, ancora pensata focalizzandosi su modelli industriali e tecnologici oramai superati.
Possibly Related Posts:
- Ripubblicazione di foto e contenuti: il problema non è il consenso ma la violazione della dignità
- Suicidi e intelligenza artificiale: ChatGPT può essere ritenuta responsabile?
- Jean Pormanove e la morte in diretta: quando la libertà diventa spettacolo estremo
- I pericoli dell’autosorveglianza: il caso De Martino e la vulnerabilità della “casa digitale”
- Dal lutto al business: AI, chatbot, dati personali e la promessa dell’immortalità