Elisa Giomi, commissaria Agcom
Elisa Giomi ricopre il ruolo di commissario presso l’Agcom. È stata l’unica tra i cinque commissari a esprimere voto contrario alla sanzione imposta dall’autorità a Cloudflare. Questa decisione ha innescato un ampio dibattito online, con posizioni divergenti tra chi percepisce la multa come una minaccia alla libertà di Internet e chi la considera un’affermazione della legalità in una rete anarchica. Giomi propone un diverso punto di vista sulla questione.
Commissario Giomi, ha definito la sanzione a Cloudflare “tecnicamente e giuridicamente fragile”. Può spiegarci il motivo?
“Può darsi che non lo sia, ma in apparenza lo è, poiché si basa su due punti deboli che, insieme, rendono la struttura contestabile”.
Potrebbe chiarirceli?
“Il primo aspetto riguarda il metodo. L’accertamento dell’illecito, come emerge, è innescato da segnalazioni parziali che alimentano un processo molto rapido e in gran parte automatizzato. Ma chi verifica che il blocco colpisca il soggetto giusto e che l’impatto sui servizi legittimi sia ridotto al minimo? Se la verifica pubblica è debole e il contraddittorio da parte dei soggetti coinvolti è consentito solo dopo l’avvenuto blocco, la protezione dei diritti dipende dalla capacità dei diretti interessati di notare prontamente l’interruzione e reagire in tempo. Al contrario, l’assenza di reclami non implica necessariamente l’assenza di problemi: molti potrebbero non aver appreso in tempo del blocco o non aver potuto contestarlo. Nel caso di Cloudflare, l’ordine di Agcom colpisce siti che contengono contenuti sportivi non più in diretta. Di conseguenza, non vi era la necessità di adottare un sistema di blocco ‘di urgenza’, con tutti i possibili errori dovuti alla rapidità dell’intervento e oneri eccessivi per i fornitori di servizi Internet (ISP, ndr) e intermediari”.
Lei solleva anche un tema tecnico riguardante il blocco.
“L’ordine combina formule generali di blocco di nomi di dominio e di instradamento verso indirizzi IP (Internet protocol), applicandole a un soggetto che non è un operatore di accesso tradizionale. Un ISP può intervenire sulla propria rete, mentre un fornitore come Cloudflare può influenzare alcuni suoi servizi (come il resolver DNS), ma non la rete degli altri”.
Cloudflare non ha possibilità di intervento?
“Non affermo questo. Può operare sui servizi che rientrano effettivamente nel suo ambito, come un resolver DNS pubblico o un servizio di proxy. Pertanto, un ordine che menziona anche ‘instradamento verso IP’ dovrebbe essere redatto specificando il servizio, con obblighi tecnicamente definiti e verificabili. Al contrario, l’uso di termini che possono avere significati diversi per attori diversi crea una zona grigia. Questa è una vulnerabilità tipica dei provvedimenti di natura tecnica, ma scritti in modo troppo generico”.
Internet è molto più complessa di quanto possa pensare un provvedimento?
“Esiste un aspetto che ha un peso considerevole nel dibattito pubblico. L’idea che certi indirizzi IP abbiano una destinazione univoca e quindi non presentino rischi per i servizi legittimi. Tuttavia, nella realtà del web, specialmente quando intervengono le CDN (Content delivery network, reti per la distribuzione dei contenuti, sistemi di server che insieme consentono di fornire contenuti web rapidamente, come fa Cloudflare, ndr), e architetture distribuite, questa certezza è rara: più servizi possono condividere lo stesso indirizzo IP e un blocco basato su IP rischia di diventare una ‘pesca a strascico’. Credo quindi che l’affermazione categorica di ‘zero rischio’ sia tecnicamente fragile se non viene dimostrata in modo trasparente con dati verificabili”.
Denuncia il rischio di overblocking. Ci sono già stati alcuni casi in Italia.
“L’overblocking non è una preoccupazione infondata o esagerata, ma un fenomeno documentato e denunciato da esperti e studiosi del settore, come evidenziato nella ricerca ‘90th Minute’, presentata al CNSM 2025 e riconosciuta come Best Paper Award, dove si analizza l’attività reale dei blocchi e si descrive un effetto collaterale negativo significativo, soprattutto legato ai blocchi per indirizzo IP, che ha portato all’interruzione di oltre 500 siti legittimi, inclusi quelli non legati allo streaming”.
Può fornirci un esempio per comprendere questo rischio?
“Se chiudi un centro commerciale per colpire un negozio che non emette scontrini, rischi di danneggiare le attività economiche di tutta la struttura. Parlando in termini più diretti, quel centro commerciale può rappresentare una CDN o un’infrastruttura condivisa su cui operano anche servizi del tutto leciti. È quanto avvenuto con il blocco di componenti legate a Google Drive, che ha provocato effetti negativi duraturi anche dopo la rimozione del blocco”.
Tutto sembra indicare che Piracy Shield, così come è, non funziona.
“Nella forma attuale, Piracy Shield è un sistema sbilanciato con effetti collaterali e costi difficili da gestire. Sì, è estremamente rapido nel colpire, ma molto meno simmetrico nel riparare. È efficace nell’ordinare ai privati di agire, ma poco trasparente quando si tratta di rendere misurabili errori, correzioni e responsabilità. Si può e si dovrebbe ripensare, ma con alcune parole d’ordine: maggiore precisione, meno blocchi generalizzati, rimedi che siano rapidi quanto il blocco e che offrano ai destinatari la possibilità di controbattere. Infine, trasparenza misurabile con dati resi pubblici e audit indipendenti”.
Cosa è necessario per combattere la pirateria?
“Per conseguire un obiettivo cruciale come combattere la pirateria è fondamentale entrare nel merito, evitando tifoserie e narrazioni populiste che possono mobilitare emotivamente l’opinione pubblica, ma anche fuorviarla attraverso vere e proprie allucinazioni. Non si può propagandare Piracy Shield, che nasce per contrastare lo streaming non autorizzato, in particolare di eventi sportivi, accostandolo a pedopornografia, adescamento minorile, narcotraffico, traffico di armi, truffe, furti, plagio, violenze e altre problematiche diverse e non direttamente correlate alla pirateria di contenuti audiovisivi.”
Matthew Prince, CEO di Cloudflare, ha scritto un lungo post in cui accusa l’Italia di minacciare la neutralità e la libertà di Internet. Pensa che abbia ragione?
“Studio i media e le loro tecnologie dal 1996. Ho assistito a tutte le trasformazioni del clima di opinione attorno a Internet, ora celebrato come culla della democrazia e ora criticato come megafono dei plutocrati che governano il capitalismo digitale. Tuttavia, i problemi di Piracy Shield non hanno alcuna connotazione ideologica e ciò che dovrebbe essere evitato dai suoi sostenitori così come dai detrattori sono le contrapposizioni manichee come ‘far west contro regole’ o ‘censura contro legalità’. Affermare, come si è letto in vari contesti, che qui ci sarebbe ‘solo applicazione rigorosa di norme’ e quindi nessun impatto sulla libertà di espressione, implica ignorare gli effetti collaterali di questo sistema di blocco, che coinvolge anche servizi legittimi, e l’esistenza di un margine di manovra tra norma e applicazione. Se non ci fosse tale discrezionalità, l’intervento umano sarebbe superfluo, e l’attività di Agcom potrebbe essere tranquillamente affidata a un’intelligenza artificiale. Aggiungerei un ulteriore elemento”.
Quale?
“C’è un’altra semplificazione da evitare, in particolare per chi ricopre il ruolo di regolatore indipendente, ovvero assegnare valutazioni ad operatori in concorrenza fra loro, come Cloudflare, Akamai e Google: questo non solo contrasta con la necessaria equidistanza dagli attori di mercato, ma anche con la neutralità dei modelli di Internet. Non si può considerare virtuoso un solo operatore, indipendentemente dalla sua grandezza, poiché imporre a tutti gli attori lo standard tecnologico di un singolo soggetto significherebbe alterare il mercato, che è caratterizzato da diversificazione. Credere che i grandi operatori collaborino con convinzione nella lotta contro la pirateria e l’illegalità online è segno di una mancanza di comprensione del loro modello di business. Se si ritiene che le soluzioni a pagamento siano le migliori per i titolari dei diritti, sarebbe opportuno dichiararlo esplicitamente. Più che classificare gli operatori come buoni o cattivi, è cruciale capire quali strumenti tecnici adottare e come integrarli per combattere la pirateria senza distorcere la concorrenza”.
Quale ruolo dovrebbe avere Agcom in questa ‘disputa’?
“Agcom non deve trovarsi intrappolata in una scelta binaria tra l’ideologia di ‘Internet libero’ e l’imperativo della ‘lotta alla pirateria’ a ogni costo. Deve optare per un metodo sostenibile nel tempo, con garanzie di efficacia, proporzionalità e minimizzazione degli errori.
Parla di standard probatori “poco trasparenti”. Quali criteri minimi di verifica dovrebbero essere introdotti affinché una segnalazione possa essere considerata attendibile prima di procedere al blocco?
“Il principio è semplice: una segnalazione non è una prova accertata e l’Autorità non può delegare a nessuno, in modo diretto o indiretto, il potere di adottare provvedimenti. La segnalazione rappresenta solo un input operativo, spesso utile, ma non può trasformarsi automaticamente in un ordine che influisce sull’accesso alla rete senza una verifica pubblica adeguata, soprattutto quando la misura può avere effetti collaterali indesiderati. Cosa significa ‘minimo’, in concreto, senza trasformare tutto in un processo infinito? Vuol dire che i dati devono essere verificabili e standardizzati. Bisogna chiarire dove si trova il flusso illecito, quando è stato osservato, con quali riscontri e soprattutto perché il bersaglio indicato (dominio/IP) sarebbe effettivamente riconducibile a quell’attività e non a un’infrastruttura condivisa. Nei casi ad alto rischio, per esempio quando l’IP appartiene a una CDN o a un fornitore che ospita più servizi, è necessaria una verifica umana, rapida ma reale, prima di attivare il blocco. E poi c’è la garanzia spesso trascurata ma cruciale, ossia la notifica del blocco. Se un’azienda o un cittadino subisce un blocco, deve essere informato immediatamente, comprendere chi ha effettuato la segnalazione e sulla base di quali motivi, e avere un canale rapido per contestare. Senza questo, qualsiasi sistema, anche concepito con buone intenzioni, diventa opaco e litigioso”.
Ha sottolineato la necessità di audit indipendenti. Chi dovrebbe condurre queste verifiche e quali dati dovrebbero essere resi pubblici?
“Un audit credibile deve essere condotto da soggetti indipendenti, con competenze tecniche concrete e capacità di misurare su ampia scala. In Italia, potrebbe essere realizzato da un’autorità o da un revisore selezionato tramite gara pubblica. Per evitare “audit notarili”, cioè di semplice ratifica, affiancherei al revisore un consorzio universitario in grado di replicare le misurazioni, pubblicare metodologie e garantire un controllo efficace nel tempo. Sui dati, la parola chiave è verificabilità. Non basta dire ‘fidatevi di Agcom’, per quanto naturalmente tutti noi cerchiamo di svolgere al meglio il nostro lavoro”.
E cosa è necessario?
“È indispensabile trasparenza. Faccio un esempio: l’affermazione dell’Autorità ‘una larghissima percentuale dei siti oggetto di segnalazione utilizza servizi Cloudflare’ si basa sull’assunto che contare i domini sia sufficiente per misurare l’impatto. Tuttavia, esiste spesso una lunga coda di siti piccoli e instabili con poco pubblico e pochi hub che concentrano utenti, richieste e banda. Inoltre, c’è una differenza tra i siti più frequentemente segnalati, identificati e bloccati e quelli effettivamente più utilizzati. Il fatto che Cloudflare – o qualsiasi altro operatore – sia al primo posto nel primo gruppo non implica che sia al primo posto anche nel secondo: le maglie per intercettare il traffico pirata sono infatti molto ampie, e mancano metriche minime come utenti unici, volume di richieste, banda, minuti visualizzati… e non c’è nemmeno una definizione tecnica di ‘usa servizi Cloudflare’. Cosa utilizzano, questi siti pirata? DNS pubblico, CDN/proxy, protezione, altro? La trasparenza implica anche mettere chiunque, aziende, ricercatori, cittadini, nelle condizioni di essere informati e comprendere. Ad esempio, attraverso un registro pubblico dei blocchi in formato scaricabile in cui ogni ordine abbia un identificativo, i tempi (segnalazione, validazione, invio, esecuzione, eventuale revoca), l’oggetto preciso del blocco, la base giuridica, la durata e l’identità del segnalatore. Inoltre, sono necessari indicatori pubblici, aggiornati, che mostrino quanti blocchi, quanti errori, quanti ripristini e in quali tempi. Infine, è essenziale dare evidenza di costi e sostenibilità operativa. Perché qui non si tratta solo di principi astratti, si parla soprattutto di un enforcement che ricade su infrastrutture private, con oneri tecnici, legali e organizzativi. Se lo Stato impone un modello i cui costi ricadono sui privati, deve pretendere controlli, rimedi rapidi e una equità misurabile nella ripartizione dei costi. Se il danno stimato della pirateria è nell’ordine dei miliardi e i costi operativi dichiarati dagli operatori per gestire i blocchi sono nell’ordine dei milioni, esiste certamente spazio per una soluzione di mercato più efficiente di quella attuale”.
Quale potrebbe essere?
“Un meccanismo trasparente di condivisione dei costi, come ad esempio la creazione di un fondo o accordi standardizzati in cui chi beneficia direttamente (titolari e piattaforme che monetizzano i contenuti) contribuisce ai costi operativi degli ISP e degli intermediari. In cambio, però, non si deve dare più potere ai segnalanti, ma garantire maggiore qualità e garanzie sui blocchi con KPI (indicatori chiave di prestazione) pubblici, responsabilità per segnalazioni errate e tempi di ripristino vincolanti. In sostanza, si pagherebbe non per bloccare di più, ma per bloccare meglio. Questa soluzione potrebbe risultare più efficiente di un sistema percepito come ingombrante, poiché allinea incentivi e riduce il contenzioso. Tuttavia, deve essere progettata con regole chiare che si basino su condizioni non discriminatorie, trasparenza, tutela dei terzi e controllo pubblico. Altrimenti, rischia di diventare un mercato opaco dell’enforcement, ed è l’ultima cosa di cui c’è bisogno”.
I commenti sono chiusi.