Google Calendar veicolo di truffe online

Avv. Vincenzo Colarocco

Un’indagine condotta dagli esperti cybersecurity di Kaspersky ha messo alla luce come, nell’arco dello scorso maggio, la nota piattaforma “Google Calendar” fosse stata utilizzata quale veicolo per la realizzazione di un’imponente truffa informatica finalizzata a colpire con azioni di phishing gli utilizzatori di questa funzionalità offerta dal colosso del web.

In particolare, è stato appurato che, sfruttando una funzione in grado di aggiungere automaticamente gli appuntamenti al calendario, i criminali informatici corredassero le mail di invito all’evento con un URL rimandante ad un sito terzo. L’utente veniva quindi reindirizzato, nella maggior parte dei casi presi in esame, all’interno di un sito in cui, “promettendo” la vincita di un premio, veniva richiesto ai naviganti di inserire i propri dati identificativi e i dettagli della propria carta di credito. I detti dati confluivano, quindi, nelle mani dei truffatori al fine di essere utilizzati per la sottrazione di denaro o per il furto di identità personali.

I ricercatori di Kaspersky hanno quindi consigliato agli utilizzatori di Google Calendar di disattivare l’aggiunta automatica di inviti al calendario al fine di evitare le descritte azioni di phishing.

La Commissione Europea adotta la decisione di adeguatezza relativa al Giappone

Avv. Vincenzo Colarocco

Il GDPR prevede regole specifiche per consentire trasferimenti di dati personali verso Paesi terzi ed organizzazioni internazionali, estranei all’ambito di applicazione del Regolamento. In particolare, l’art. 45 disciplina l’ipotesi di trasferimento dei dati effettuati sulla base di una decisione di adeguatezza.

Il 23 gennaio 2019 la Commissione europea ha adottato la decisione di adeguatezza relativa al Giappone, così consentendo la libera circolazione dei dati personali tra le due economie sulla base di solide garanzie di protezione senza la necessità di autorizzazioni specifiche. L’adozione della decisione costituisce l’ultima fase della procedura avviata nel settembre 2018 e fa parte della strategia dell’UE nel settore della protezione e dei flussi internazionali di dati, già annunciata nel gennaio 2017 con la comunicazione della Commissione sullo scambio e la protezione dei dati personali in un mondo globalizzato.

Com’è stato sostenuto da Věra Jourová, Commissaria responsabile per la Giustizia, i consumatori e la parità di genere: “Questa decisione di adeguatezza crea il più grande spazio al mondo di circolazione sicura dei dati. I cittadini europei i cui dati personali saranno trasferiti in Giappone beneficeranno di una protezione forte delle informazioni relative alla vita privata. Investire nella tutela della vita privata paga: questo accordo costituirà un modello per futuri partenariati in questo settore fondamentale e contribuirà alla definizione di standard di livello mondiale”.

Già prima dell’adozione della decisione, il Giappone aveva cominciato a predisporre, nel proprio ordinamento, un sistema di norme integrative volto a riconoscere un quadro in materia di protezione dei dati analogo a quello adottato dall’Ue. In particolare, nel 2003 sono state promulgate la legge sulla protezione delle informazioni personali (APPI); la legge sulla protezione delle informazioni personali detenute da organi amministrativi (APPIHAO); la legge sulla protezione delle informazioni personali detenute da agenzie amministrative registrate (APPI-IAA).

La Commissione, tenendo conto del parere precedentemente espresso dal Comitato europeo per la protezione dei dati, ha ritenuto che il Giappone garantisca un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea a operatori economici che gestiscono informazioni personali in Giappone. La legge nazionale giapponese è stata specificamente integrata dalle norme di cui all’allegato I, nonché dalle dichiarazioni, dalle garanzie e dagli impegni ufficiali che figurano nell’allegato II.

Al fine di consentire alla Commissione il monitoraggio costatante della corretta applicazione del quadro giuridico su cui si basa la decisione e per verificare se il Giappone continui o meno a garantire un livello adeguato di protezione, tra due anni sarà effettuato un primo riesame congiunto di rivalutazione del quadro normativo. I rappresentanti del Comitato europeo per la protezione dei dati parteciperanno al riesame per quanto riguarda l’accesso ai dati per motivi di contrasto o di sicurezza nazionale. Successivamente, il riesame avrà luogo almeno ogni quattro anni.

Quanto valgono i nostri dati sanitari?

Avv. Vincenzo Colarocco

Un recente ricerca pubblicata da Carbon Black, società Usa che sviluppa software con l’obiettivo di proteggere le organizzazioni dagli attacchi informatici, ha svelato come nel mirino dei cyber-attacchi ci siano i dati sanitari. Nel 2018, il numero di casi censiti a livello globale, orientati soprattutto a finalità di cybercrime e di furto di dati personali, è aumentato del 99% rispetto al 2017.

Il furto del dato sanitario consente ai pirati informatici di raccogliere informazioni sempre più personali degli utenti e di realizzare profili sempre più fedeli al fine di colpirli con specifiche iniziative illecite. A prescindere dalla truffa, però, si ricordi che la violazione del dato sanitario può tradursi in una lesione della riservatezza dell’interessato, il quale potrebbe aver scelto di tenere per sé le informazioni sul suo stato di salute, senza contare le ripercussioni in termini di discriminazione che potrebbero prodursi socialmente. Ma non è tutto.

Sembra che a valere di più nel mercato nero siano i dati dei medici, venduti anche per 500 dollari, intendendosi per tali i certificati di laurea in medicina, documenti amministrativi e ogni altro attestato che l’acquirente può utilizzare per spacciarsi per il dottore in questione e commettere frodi ai danni, ad esempio, del sistema assicurativo. Gli hacker, infatti, una volta impossessatisi dei dati dei professionisti sanitari, possono utilizzarli per creare delle false ricette mediche, in poche parole per sostituirsi a questi, con ogni conseguente rischio per i pazienti interessati.

A fronte di tale evidenza, il tema vero è quello della vulnerabilità delle strutture sanitarie: questi studi hanno infatti testato l’estrema facilità con cui si riesce a compromettere i sistemi informatici. In Italia, in particolare, manca trasparenza in merito alle misure di sicurezza, tecniche ed organizzative, adottate per garantire un adeguato livello di efficienza dei sistemi e l’adeguamento delle aziende sanitarie al GDPR è stato erroneamente interpretato come un requisito di forma.

Sul punto, e sulla criticità del tema, si è espresso anche il Garante per la protezione dei dati personali nell’ultima relazione annuale: “La carente sicurezza dei dati sanitari e dei sistemi che li ospitano può rappresentare una causa di malasanità”, ha avvertito Soro.

L’Avvocato Generale della Corte di Giustizia nel caso Facebook Ireland

Avv. Vincenzo Colarocco

Nel procedimento C-18/18, giunto innanzi alla Corte di Giustizia, al centro della controversia vi è un commento diffamatorio postato sul social network Facebook a seguito del quale la diffamata, Eva Glawischnig-Piesczek, ricorrente aveva ottenuto il blocco dei Dns (Domain Name System), blocco che ha consentito al contenuto di non essere più visibile ai cittadini austriaci.

Più nello specifico, un utente di Facebook aveva condiviso, sulla sua pagina personale, un articolo di una rivista di informazione austriaca online titolato «I Verdi: a favore del mantenimento di un reddito minimo per i rifugiati», commentandolo con un commento degradante nei confronti della signora Glawischnig-Piesczek, e tale contenuto risultava visibile a qualsiasi utente di Facebook.

All’indomani della diffusione di tale contenuto e della richiesta di cancellazione dello stesso da parte della diretta interessata, nell’inottemperanza di Facebook, la sig.ra Glawischnig-Piesczek domandava che venisse ordinato a Facebook di cessare la pubblicazione e/o diffusione identiche al commento contestato e/o dal «contenuto equivalente». Tuttavia, la rimozione del contenuto avveniva solo con riferimento al territorio austriaco.

L’Oberster Gerichtshof (Corte Suprema, Austria), accertata l’illiceità del contenuto pubblicato, chiamato a statuire sulla questione se il provvedimento inibitorio possa anche essere esteso, a livello mondiale, alle dichiarazioni testualmente identiche e/o dal contenuto equivalente di cui Facebook non è a conoscenza, ha chiesto alla Corte di giustizia di interpretare in tale contesto la direttiva sul commercio elettronico.

In data 4 giugno 2019 sono pervenute le conclusioni dell’Avvocato Generale, il quale ha ritenuto che la direttiva sul commercio elettronico non osti a che un host provider che gestisce una piattaforma di social network, quale Facebook, sia costretto, mediante un provvedimento ingiuntivo, a ricercare e ad individuare, tra tutte le informazioni diffuse dagli utenti di tale piattaforma, le informazioni identiche a quella qualificata come illecita dal giudice che ha emesso tale provvedimento ingiuntivo.

Tale approccio consente di garantire un giusto equilibrio tra i diritti fondamentali coinvolti, ossia la protezione della vita privata e dei diritti della personalità, quella della libertà d’impresa, nonché quella della libertà d’espressione e d’informazione.

Ad avviso dell’avvocato generale, poiché la direttiva non disciplina la portata territoriale di un obbligo di rimozione delle informazioni diffuse tramite una piattaforma di social network, essa non osta a che un host provider sia costretto a rimuovere siffatte informazioni a livello mondiale.

 

Tali conclusioni non devono tuttavia indurre in errore e perciò sovrapporsi a quanto statuito dallo stesso Avvocato Szpunar relativamente al caso Google c. CNIL: in quell’occasione questi ha ritenuto necessaria una differenziazione a seconda del luogo a partire dal quale è effettuata la ricerca, sottolineando infatti che, sebbene per determinati ambiti – ad esempio in materia di diritto della concorrenza o di diritto dei marchi – sono ammessi in determinati casi effetti extraterritoriali, tale possibilità non sarebbe comparabile alla materia della protezione dei dati personali.

La differenziazione è obbligatoria tenuto conto che il concetto di deindicizzazione differisce da quello di cancellazione/rimozione, attività quest’ultima che presuppone l’accertata illiceità del contenuto. Nel primo caso, infatti, per contro, non ricorrendo aspetti diffamatori, ma solo l’obsolescenza del contenuto (veritiero), l’interesse pubblico all’informazione potrebbe giustificare la limitazione dell’applicazione extraterritoriale della normativa sulla riservatezza, così come ponderata in quell’occasione in sede di conclusioni dall’Avvocato Generale.

Data breach: le comunicazioni agli utenti non devono essere generiche

Avv. Vincenzo Colarocco

Con un provvedimento n. 106 del 30 aprile 2019, il Garante privacy ha ribadito –nei confronti di un importante fornitore di servizi di posta elettronica– la necessità di fornire le adeguate informazioni agli utenti coinvolti dal data breach. La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda.

Nel caso di specie, la violazione si è verificata in conseguenza di un attacco informatico ai sistemi di front end per la consultazione delle caselle di posta elettronica tramite webmail che, ancorché allo stato arginato, ha permesso che fosse acquisita, da parte di soggetti terzi ignoti, una grande quantità di credenziali di autenticazione (circa un milione e mezzo di utenti). L’accesso fraudolento alle caselle e-mail è sempre fonte di potenziale pregiudizio per gli interessati, quale rischio elevato per i diritti e le libertà delle persone fisiche (si pensi, al furto o usurpazione di identità).

A tal proposito, l’autorità garante ha chiarito che le comunicazioni agli utenti di intervenuti data breach, ai sensi dell’art. 34 del Regolamento, da parte di un fornitore di servizi non dovranno essere generiche, ma dovranno fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, ed in particolare:

(i)        contenere una descrizione della natura della violazione e delle sue possibili conseguenze;
(ii)       fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi (ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata).

Il Cybersecurity Act e il nuovo quadro europeo per la sicurezza dei dati personali

Avv. Vincenzo Colarocco

Lo scorso 7 giugno 2019 è stato pubblicato in Gazzetta Ufficiale il Cybersecurity Act, un Regolamento UE volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali. Il 27 giugno, il testo entrerà formalmente in vigore e trattandosi di un Regolamento, sarà immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali, salvo per quanta riguarda alcune limitate disposizioni, ad esempio in materia di sanzioni.

Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che si propone di rafforzare la resilienza dell’Unione agli attacchi informatici, creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e accrescere la fiducia dei consumatori nelle tecnologie digitali. Esso si compone di due parti nelle quali, da un lato, viene specificato il ruolo e il mandato dell’ENISA (European Network and Information Security Agency),  dall’altro, viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali. Ebbene, se fino ad oggi il ruolo dell’ENISA è stato principalmente quello di coadiuvare da un punto di vista tecnico gli Stati membri e le istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi con l’obbiettivo di rafforzare le capacità di prevenzione e reazione agli incidenti informatici, il nuovo Regolamento intende ulteriormente rafforzare tale ruolo, garantendo un mandato permanente e consentendo di svolgere non solo compiti di consulenza tecnica, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri. Nell’ottica del Cybersecurity Act il rafforzamento del ruolo dell’ENISA è strumentale all’adozione di un quadro complessivo di regole in grado di disciplinare gli schemi europei di certificazione della sicurezza informatica. A rigore è bene precisare che il Regolamento non istituisce schemi di certificazione direttamente operativi, creando piuttosto una “cornice” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali (e.g. dispositivi medici, sistemi di controllo industriali, veicoli automatizzati), validi e riconosciuti in tutti gli Stati membri. Tali schemi europei di certificazione saranno predisposti, in prima battuta, dall’ENISA e adottati poi formalmente dalla Commissione europea mediante atti di esecuzione.

La Corte di Cassazione chiarisce quando può dirsi illecito il trattamento di dati personali

Avv. Vincenzo Colarocco

Con sentenza n. 20013/2019, la terza  sezione penale della Suprema Corte di Cassazione si è pronunciata sui presupposti per la ricorrenza di un trattamento illecito dei dati personali.

I Giudici di Piazza Cavour hanno affermato che “L’ipotesi criminosa descritta nel Codice della privacy indica in tali elementi (vantaggio/nocumento) lo scopo caratterizzante il dolo specifico richiesto ai fini della sussumibilità della fattispecie concreta in quella astratta, dovendosi qui rammentare che il legislatore non richiede che il fine perseguito (profitto/danno) si sia effettivamente concretizzato perchè l’agente sia punibile. Quanto al danno della persona offesa, la disposizione normativa non pone alcuna precisazione, potendo quindi concretizzarsi in qualsiasi pregiudizio giuridicamente rilevante per il soggetto passivo”.

Il ricorso all’ultimo grado di giudizio è stato proposto avverso una sentenza emessa dalla Corte d’Appello di Firenze la quale, pur riformando parzialmente la sentenza di I grado, aveva confermato i profili di colpevolezza addebitati all’imputato per il reato di trattamento illecito di dati personali di cui all’art. 167, II comma, D.Lgs. n. 196/2003, meglio noto come Codice Privacy.

Il giudizio trae origine dalla circostanza che vedeva l’imputato – un dipendente della Banca Monte dei Paschi di Siena addetto all’ufficio diagnostica capital service – profittare della situazione debitoria di un cliente della banca al fine di consolidare la propria situazione professionale all’interno dell’istituto di credito, nonché di conseguire vantaggi economici. L’imputato, divulgando dati inerenti la solvibilità e la situazione patrimoniale del cliente, mirava a trovare sul mercato acquirenti per la tenuta agricola della vittima puntando, così, al rientro dello scoperto sofferto dalla banca.

I Giudici di II grado avevano osservato, in primo luogo, come la fattispecie di responsabilità contemplata dalla norma non richiedesse che il profitto dell’agente fosse personale, potendo anche essere di altri,  nel caso di specie della banca. In secondo luogo, il collegio giudicante, aveva rinvenuto l’elemento del nocumento nella divulgazione di dati sensibili i quali incidevano sulla simmetria informativa delle parti nella formazione del negozio, compromettendola. È infatti evidente come, la diffusione di tali dati, desse la possibilità di acquistare la tenuta ad un prezzo inferiore in ragione della nota situazione di indebitamento del proprietario realizzando, così, un vulnus al buon nome commerciale dell’azienda agricola e del suo titolare.

Avverso la sentenza emessa all’esito del gravame, l’imputato proponeva ricorso per Cassazione in cui lamentava l’errata valutazione dell’elemento soggettivo, il dolo specifico, e sostenendo la totale assenza di danno alcuno o il godimento di vantaggi economici da parte dell’imputato. I Giudici della Suprema Corte, pronunciandosi sui motivi di ricorso, hanno fornito chiarezza in ordine ai presupposti del trattamento illecito di dati personali, presupposti questi tra loro non alternativi.

Con riguardo alla condotta del dipendente della banca, i Giudici hanno ritenuto ricorrente la finalità di profitto nell’attività di trasmissione dei dati sensibili della persona offesa al fine di reperire sul mercato acquirenti interessati all’azienda agricola. Con riferimento al nocumento, invece, è stato ritenuto realizzato non solo con il vulnus al buon nome commerciale dell’azienda, ma anche con la rappresentazione a terzi della possibilità di acquistare la tenuta ad un prezzo inferiore al suo valore commerciale.

Allineandosi con le conclusioni del Collegio del II grado, dunque, la Suprema Corte di Cassazione ha dichiarato inammissibile il ricorso, in quanto manifestatamente infondato, e condannato il ricorrente al pagamento delle spese processuali.

La verità dei fatti legittima la critica sferzante

Avv. Flaviano Sanzari

I siti internet diversi dalle testate giornalistiche online non godono delle stesse tutele assicurate dalla legge al mezzo della stampa con riferimento allo strumento cautelare del sequestro; peraltro, tutte le forme di comunicazione telematica quali forum, blog, social network, newsletter sono espressione del diritto costituzionale di manifestare liberamente il proprio pensiero, di cui costituiscono estrinsecazione le manifestazioni di critica e le denunce civili con qualsiasi mezzo diffuse.

La sussistenza dell’esimente del diritto di critica presuppone, per sua stessa natura, la manifestazione di espressioni oggettivamente offensive della reputazione altrui, la cui offensività possa, tuttavia, trovare giustificazione nella sussistenza del diritto; l’esercizio del diritto in parola consente l’utilizzo di espressioni forti ed anche suggestive al fine di rendere efficace il discorso e richiamare l’attenzione di chi ascolta.

Si tratta di principi tutti ribaditi dalla Cassazione civile, con ordinanza n. 14370 del 27.5.2019, tramite la quale la Suprema Corte ha ripercorso, in via generale, l’individuazione dei requisiti caratterizzanti l’esercizio delle esimenti dei diritti di cronaca e critica, consistenti nell’interesse sociale, nella continenza del linguaggio e nella verità del fatto narrato. Con riferimento specifico al diritto di critica, però, si osserva che il rispetto della verità del fatto assume rilievo limitato, in quanto la critica, quale espressione di opinione meramente soggettiva, ha per sua natura carattere congetturale, che non può, per definizione, pretendersi rigorosamente obiettiva ed asettica. Il limite immanente all’esercizio del diritto di critica è, pertanto, costituito dal fatto che la questione trattata sia di interesse pubblico e che comunque non si trascenda in gratuiti attacchi personali.

Va poi tenuto conto della perdita di carica offensiva di alcune espressioni in contesti quali, ad esempio, quello politico, in cui la critica assume spesso toni aspri e penetranti quanto più elevata è la posizione pubblica del destinatario.

Si è poi osservato che continenza significa proporzione, misura e continenti sono quei termini che non hanno equivalenti e non sono sproporzionati rispetto ai fini del concetto da esprimere e alla forza emotiva suscitata della polemica su cui si vuole instaurare un lecito rapporto dialogico e dialettico. La continenza formale consente il ricorso anche a parole sferzanti, nella misura in cui esse siano correlate al livello della polemica.

Tale considerazione è tanto più valida, allorché il giornalista ricorra ad argomenti ironici o satirici. È infatti noto che lo scritto satirico mira all’ironia sino al sarcasmo e comunque all’irrisione di chi esercita un pubblico potere, in tal misura esasperando la polemica intorno alle opinioni ed ai comportamenti; nell’apprezzare il requisito della continenza, allora, il giudice deve tener conto del linguaggio essenzialmente simbolico e frequentemente paradossale dello scritto satirico, rispetto al quale non si può applicare il metro consueto di correttezza dell’espressione. Il limite insuperabile, anche in tal caso, è quello del rispetto dei valori fondamentali, allorché la persona pubblica, oltre al ludibrio della sua immagine pubblica, sia esposta al disprezzo.

Ricerca e critica storica: i limiti al loro esercizio

Avv. Flaviano Sanzari

Non è configurabile nel nostro ordinamento un diritto soggettivo (la cui lesione possa dar vita ad un risarcimento) a che intellettuali, storici o più in generale mediatori culturali offrano una lettura storica degli accadimenti passati rispondente ad assoluta obiettività e basata su un lavoro documentale compiuto e privo di omissioni o lacune.

L’esigenza che la ricerca, la raccolta e la selezione del materiale da sottoporre a giudizio storico sia la più completa possibile, a  garanzia del carattere scientifico della ricerca, costituisce certamente una delle condizioni perché possa validamente invocarsi l’esimente della critica storica (insieme con la correttezza od appropriatezza di linguaggio e l’esclusione di attacchi personali o polemici).

Il suo rilievo giuridico è però per l’appunto limitato a tale funzione esimente rispetto alla responsabilità derivante dalla lesione – che in ipotesi consegua alla pubblicazione di scritti frutto di tali ricerche – di diritti della persona, quale quello all’onore e alla reputazione.

Con queste argomentazioni la Corte di Cassazione, con sentenza n. 13609/2019, pubblicata in data 21.5.2019, ha escluso che il quotidiano Libero potesse essere condannato ad un risarcimento, per aver pubblicato un articolo del filosofo Giovanni Gentile dal titolo “ricostruire”, col quale il filosofo, in merito a un precedente scritto, precisava di non aver mai perorato una pacificazione tra fascisti e anti-fascisti, e restava fermo il suo convincimento della necessità di distruggere “certe forme delinquenziali di antifascismo”.

Facebook deve vigilare sui commenti identici del medesimo utente

Avv. Flaviano Sanzari

Con parere reso in data 4 giugno 2019 nell’ambito della causa C-18/18, l’Avvocato Generale della Corte di Giustizia dell’Unione Europea, prendendo posizione su alcune questioni pregiudiziali poste dalla Corte Suprema austriaca – in riferimento ad un contenzioso avente ad oggetto espressioni diffamatorie pubblicate da un utente di Facebook nei confronti del presidente del gruppo parlamentare Die Grünen («i Verdi»), quali «brutta traditrice del popolo», «imbecille corrotta» e membro di un «partito di fascisti» – ha avuto modo di chiarire, con una interpretazione per certi versi innovativa dell’articolo 15, paragrafo 1, della direttiva 2000/31/CE, la portata dell’obbligo di sorveglianza gravante sugli hosting provider.

In particolare, pur ricordando che tale norma impedisce che un prestatore intermediario possa essere costretto a procedere ad una generale sorveglianza della totalità o della quasi totalità dei dati di tutti gli utenti del suo servizio al fine di prevenire qualsiasi violazione futura, l’Avvocato Generale ha precisato che il detto articolo non riguarda obblighi di sorveglianza previsti in casi specifici dalla medesima direttiva, disposti al fine di impedire ulteriori danni agli interessi in causa.

Ne segue che obblighi di sorveglianza attiva ben possono essere imposti al gestore di un social network, a condizione che siano riferibili ad una data violazione, che sia specificata la durata di tale sorveglianza e che siano fornite chiare indicazioni circa la natura delle violazioni considerate, il loro autore e il loro oggetto.

Quindi, nell’ambito di un’ingiunzione, il provider può essere tenuto a ricercare e ad individuare, fra tutte le informazioni diffuse dagli utenti di tale piattaforma, le informazioni identiche a quella qualificata come illecita dal giudice che ha emesso un’ingiunzione (in quanto la riproduzione dello stesso contenuto da parte di tutti gli utenti di una piattaforma di rete sociale è rilevabile, di norma, con l’ausilio di strumenti informatici, senza che il provider sia obbligato a ricorrere ad un filtraggio attivo e non automatico della totalità delle informazioni). Nell’ambito di una siffatta ingiunzione, un provider di servizi di hosting potrà allora essere costretto a ricercare e ad individuare le informazioni equivalenti a quella qualificata come illecita soltanto fra informazioni diffuse dal medesimo utente che ha divulgato tale informazione.