Pavel Durov di Telegram ha commesso un reato? Il parere di tre avvocati specializzati in crypto

L’arresto in Francia di Pavel Durov, CEO di Telegram, ha riacceso il dibattito globale sui diritti e le responsabilità delle piattaforme social.

È giusto arrestare il founder di una piattaforma per i comportamenti scorretti che avvengono su di essa? In fondo, sarebbe come arrestare il CEO di una compagnia telefonica soltanto perché dei criminali hanno organizzato un reato tramite delle telefonate.

L'Unione Europea ha varato leggi sempre più restrittive nel corso degli anni, come il Digital Services Act (DSA) e il General Data Protection Regulation (GDPR). Il DSA stabilisce obblighi rigorosi per le piattaforme online, al fine di contrastare i contenuti illegali e garantire la trasparenza; il GDPR è invece una legge che regola le modalità di raccolta, elaborazione e conservazione dei dati personali.

Enormi quantità di contenuti generati dagli utenti vengono caricate costantemente su piattaforme social globali: dove tracciamo la linea di demarcazione tra libertà di parola, sicurezza e privacy?

In caso di richiesta legale, Telegram condividerà i dati della piattaforma con le autorità. Fonte: Pavel Durov

Cointelegraph ha discusso con un gruppo di esperti legali per capirne di più sull’argomento: Catherine Smirnova, co-fondatrice di Digital & Analogue Partners in Europa; Joshua Chu, co-presidente della Web3 Association di Hong Kong; e Charlyn Ho, Managing Partner di Rikka Law negli Stati Uniti.

---

Cointelegraph: Durov è stato incriminato in Francia per aver permesso attività criminali e contenuti illeciti sulla sua piattaforma di messaggistica. Di rado i dirigenti delle aziende tech vengono ritenuti direttamente responsabili di ciò che accade sulle loro piattaforme. Perché ritenete che questo caso sia diverso?

Ho: Mi ha sorpreso che una cosa del genere potesse portare all'arresto del CEO di Telegram. Si parla spesso di come i social permettano o agevolino attività illecite sulle loro piattaforme, ma raramente si arriva all’arresto di un amministratore delegato. Ci sono moltissime piattaforme che offrono un servizio comparabile a quello di Telegram, che offrono lo stesso tipo di comunicazione. Pertanto il fatto che Durov sia stato arrestato è curioso.

Smirnova: Anche la giurisdizione in cui è avvenuto l’arresto è stata abbastanza sorprendente. Potevamo aspettarci un evento del genere in un Paese senza una regolamentazione trasparente sulle piattaforme digitali, ma non in Francia. Ho sempre pensato che l’arresto e la detenzione non fossero collegati specificatamente a Telegram, o al Digital Services Act. Si è speculato molto su questo, ora che il DSA è entrato in vigore: ma voglio ricordare che il DSA riguarda la responsabilità delle aziende, non la responsabilità personale.

Chu: Quando la notizia è divenuta nota, per noi è stato facile schierarci dalla parte di Durov… anche perché la polizia francese ha fatto un pessimo lavoro d’informazione. Non sapevamo per cosa fosse stato arrestato, molti pensavano che stessero indagando su alcuni suoi messaggi su Telegram. In seguito è emerso che uno dei problemi principali era la pubblicazione di materiale illecito sulla piattaforma pubblica di Telegram, che è essenzialmente un blog.

D’ora in avanti le piattaforme social che riceveranno avvisi dalle forze dell’ordine, ad esempio per la pubblicazione di materiale pedopornografico, non potranno più semplicemente ignorare tali segnalazioni.

Cointelegraph: C'è una crescente tensione tra le responsabilità delle piattaforme e le libertà degli utenti. Ritenete che quadri normativi come il DSA o il Digital Markets Act possano ridefinire il modo in cui le piattaforme sono ritenute responsabili dei contenuti degli utenti?

Smirnova: Il DSA è meno noto della sua controparte, il DMA (Digital Markets Act). Si applica a tutte le piattaforme online, non solo alle grandi aziende a cui si rivolge il DMA.

In origine, la regolamentazione di Internet nell'Unione Europea e nel Regno Unito si basava sul principio che nessuna piattaforma online potesse essere responsabile dei contenuti pubblicati dagli utenti. Ma Internet è cambiato parecchio dalla sua nascita, ed è giusto trovare un equilibrio. Da un lato abbiamo la libertà d’espressione su Internet; dall'altro dobbiamo rendere Internet uno spazio sicuro, come le strade di una città.

Negli Stati Uniti si potrebbe assistere a una tendenza simile. Pur non essendoci ancora una normativa federale, diversi Stati hanno introdotto leggi volte a proteggere i minori online. Questo rispecchia l'approccio dell'UE: i precursori del DSA erano infatti leggi nazionali mirate alla sicurezza su Internet, in particolare per i minori.

Ho: Come ha detto Catherine, negli Stati Uniti non ci sono leggi specifiche sulla sicurezza di Internet a livello federale. Vi sono soltanto alcune normative di ampio respiro, che potrebbero potenzialmente toccare alcuni aspetti della sicurezza su Internet, in particolare per quanto riguarda i bambini.

A livello statale la regolamentazione è più precisa. In California c'è l'Age-Appropriate Design Code, che prende a modello l'Age-Appropriate Design Code del Regno Unito. Tuttavia, questa legge non è ancora stata completamente implementata e la sua applicazione ha incontrato difficoltà nei tribunali.

I bambini passano sempre più tempo su Internet. Fonte: Ludovic Toinel

La sicurezza su Internet è un argomento molto complesso. Vi è la moderazione dei contenuti, che potrebbe rientrare nel Communications Decency Act: uno dei punti chiave è che in genere le piattaforme non sono ritenute responsabili, a meno che non abbiano esse stesse pubblicato contenuti illegali. Qualche anno fa, però, è stato approvato un emendamento a livello federale che ha eliminato l'esclusione di responsabilità per i materiali legati allo sfruttamento dei minori.

Si chiama SESTA: adesso le piattaforme potrebbero essere soggette a determinate responsabilità, indipendentemente da chi abbia creato e pubblicato il contenuto.

Cointelegraph: Quali sono le limitazioni che i governi locali incontrano nell'applicare le loro leggi alle piattaforme globali?

Chu: La legge sulla privacy dei dati a Hong Kong è regolata dalla Personal Data Privacy Ordinance (PDPO), spesso criticata per la sua antiquatezza. Introdotta nel 1997 – subito dopo il passaggio di Hong Kong dal Regno Unito alla Repubblica Popolare Cinese – riflette standard da cui anche il Regno Unito si è allontanato con l'introduzione del GDPR. 

Inoltre Hong Kong ha diverse disposizioni sulla privacy dei dati che, sebbene siano tecnicamente in vigore, di fatto non vengono applicate da oltre vent'anni. Questa situazione è allettante per le aziende perché le questioni relative al trasferimento transfrontaliero dei dati non vengono regolamentate, per ragioni sia politiche che commerciali.

Ricollegandoci al tema delle piattaforme social, entra in gioco la questione della rimozione dei contenuti. Ad esempio, se si vuole rimuovere un contenuto da YouTube archiviato in un server negli Stati Uniti, il governo di Hong Kong può applicare le leggi solo all'interno della propria giurisdizione. Il massimo che può ottenere è un geo-block del contenuto in modo che non sia accessibile all'interno di Hong Kong, ma non può rimuoverlo completamente da Internet.

Un agente di polizia non ha alcun potere al di fuori della propria giurisdizione, a meno che non abbia il consenso di un'altra giurisdizione.

Smirnova: Il GDPR ha influenzato in modo significativo il mercato; non solo quello europeo, ma tutti i mercati a livello globale. Per certi versi è simile alla SEC: sappiamo tutti che la SEC statunitense agisce come se avesse influenza sul mondo intero, anche su aziende che non hanno sede negli Stati Uniti. Lo stesso vale per il GDPR.

Il GDPR riguarda tutte le aziende, indipendentemente dalla loro sede o se abbiano rappresentanti legali nell'UE. Il fattore determinante è se la compagnia gestisce i dati privati dei cittadini europei. Il GDPR influenza anche le normative degli Stati Uniti: UE e USA cercano sempre di uniformare i loro approcci all’uso dei dati. Ha avuto un impatto su tutte le aziende in svariati modi, ad esempio richiedendo la localizzazione dei dati degli utenti all'interno dell'Unione Europea e imponendo regole severe sul trasferimento dei dati oltre confine.

Il presidente della SEC, Gary Gensler, è stato spesso criticato per il suo approccio "regulation-by-enforcement" al settore crypto.

Ho: Il modo in cui opera la SEC e il funzionamento delle leggi sulla privacy non sono esattamente paragonabili. La SEC è un'agenzia esecutiva negli Stati Uniti e, francamente, ha un ambito di autorità molto vago. Si è discusso molto, specialmente nel settore crypto, di come il regolatore abbia più volte abusato della propria autorità.

Un'agenzia esecutiva negli Stati Uniti deve essere autorizzata dalla legge federale e avere un mandato specifico; se eccede tale mandato, sta essenzialmente operando al di fuori dei propri limiti legali. Non credo che la SEC sia il modello a cui guardare per definire il modo in cui governare la società civile.

Le leggi vengono approvate da legislatori eletti, almeno in Europa e negli Stati Uniti. A prescindere dalla posizione politica di ciascuno, è così che si fanno le leggi. Gli articoli 2 e 3 del GDPR delineano chiaramente le entità a cui questa legge si applica: le aziende all'interno dell'Unione Europea, oppure le aziende al di fuori dell'UE ma che offrono beni e servizi ai cittadini europei.

Cointelegraph: Le piattaforme sono sempre più spesso considerate responsabili della moderazione di materiale potenzialmente pericoloso o illegale. Quali sono a vostro parere i limiti di questa responsabilità? Qual è il giusto equilibrio tra privacy, sicurezza e libertà di parola?

Chu: Queste piattaforme non sono agenzie di polizia, non hanno l'obbligo di pattugliare Internet e approvarne i contenuti. La loro moderazione è reazionaria, spetta alle autorità segnalare i contenuti problematici. Anche in questo caso, per affrontare tali problemi è necessario passare per i canali appropriati: ad esempio, poiché Internet è perlopiù senza confini, il massimo che un'azienda tech con sede all'estero può fare è geo-bloccare determinati contenuti. Per rimuovere del tutto i contenuti, è necessario rivolgersi alle giurisdizioni competenti e ottenere le necessarie ordinanze del tribunale.

Mark Zuckerberg testimonia dinanzi al Congresso nel 2018, per rispondere ad accuse relative all’uso improprio dei dati degli utenti.

Smirnova: Sono d'accordo sul fatto che le piattaforme social non siano forze di polizia, e che il loro dovere principale è quello di reagire rapidamente quando ricevono segnalazioni su contenuti illegali. La E-Commerce Directive adottata nel 2000 nell'Unione Europea prevedeva la stessa regola: le piattaforme non sono responsabili, a meno che non siano state informate della presenza di contenuti illegali. Non esistevano quindi obblighi di pre-moderazione.

Tuttavia, considerando la quantità di dati che produciamo e consumiamo ogni giorno, la società ha bisogno di nuovi strumenti di controllo – in senso positivo, ovviamente – anche se questi potrebbero essere usati in maniera negativa.

Soprattutto adesso che è possibile creare contenuti con l'intelligenza artificiale, non è realistico aspettarsi che sia un dipartimento della polizia o dell'FBI a determinare quali contenuti siano consentiti e quali no, non funziona più così. In realtà in alcuni Paesi funziona ancora così, come in Brasile, dove il giudice [Alexandre] de Moraes ha una responsabilità speciale per Internet in una nazione di oltre 200 milioni di persone.

X potrebbe presto tornare in Brasile dopo un divieto di quasi un mese.

Ho: A seconda di chi utilizza la piattaforma, negli Stati Uniti esistono problemi legati al Primo Emendamento. Ci sono state situazioni in cui i partiti politici hanno esercitato pressioni su aziende come Meta affinché sopprimessero certi messaggi, come quelli relativi al COVID. Se il governo ordina a un'azienda privata di sopprimere messaggi considerati scomodi, ciò potrebbe sollevare questioni costituzionali.

Quel che molti non sanno è che le piattaforme non sono obbligate a garantire la libertà di parola, perché non sono un'entità governativa. Solo il governo è tenuto a rispettare tale diritto. Le piattaforme sono libere di introdurre politiche di moderazione dei contenuti, e possono stabilire quanto (o quanto poco) vogliono monitorare ciò che viene pubblicato dagli utenti.