Giomi (Agcom): “Piracy Shield presenta squilibri e costi insostenibili. Errato sanzionare Cloudflare”
Elisa Giomi, commissaria Agcom
Elisa Giomi ricopre il ruolo di commissario presso l’Agcom. È stata l’unica fra i cinque commissari a esprimere voto contrario alla sanzione imposta dall’autorità nei confronti di Cloudflare. Tale sanzione ha suscitato un ampio dibattito in rete, con opinioni divise tra chi percepisce la multa come un attacco alla libertà di Internet e chi la considera una legittima applicazione della legge sull’anarchia del web. Giomi propone una visione alternativa per affrontare la questione.
Commissario Giomi, ha definito la sanzione a Cloudflare “tecnicamente e giuridicamente fragile”. Può spiegare il motivo?
“Potrebbe non esserlo, ma può apparire tale, poiché si basa su due debolezze che, combinate, rendono l’impianto contestabile”.
Potrebbe chiarirle?
“La prima riguarda il metodo. L’accertamento dell’illecito, così come si presenta, è innescato da segnalazioni di parte che avviano un processo molto veloce e per gran parte automatizzato. Chi verifica che il blocco colpisca il bersaglio corretto e che l’impatto sui servizi legittimi sia ridotto al minimo? Se la verifica pubblica è debole e il contraddittorio da parte dei soggetti colpiti è consentito solo dopo che il blocco è già stato attuato, la protezione dei diritti finisce per dipendere dalla capacità dei diretti interessati di accorgersi tempestivamente dell’interruzione e di reagire in modo adeguato. D’altra parte, l’assenza di reclami non implica necessariamente l’assenza di problemi: molti potrebbero non essere stati informati in tempo del blocco o non aver avuto la possibilità di contestare. Nel caso di Cloudflare, poi, l’ordine dell’Agcom colpisce siti che contengono contenuti sportivi non più in diretta. Non vi era quindi la necessità di un sistema di blocco ‘di urgenza’, considerando gli errori possibili dovuti alla rapidità dell’azione e i carichi eccessivi per ISP (Internet service provider, ndr) e intermediari”.
Lei solleva anche una questione tecnica riguardante il blocco.
“L’ordine unisce formule generali di blocco di nomi di dominio e di instradamento verso IP (Internet protocol) e le applica a un soggetto che non è un operatore di accesso tradizionale. Un ISP può intervenire sulla propria rete, mentre un fornitore come Cloudflare può influire su alcuni dei suoi servizi (ad esempio il resolver DNS), ma non sulla rete di altri”.
Cloudflare non ha possibilità di intervento?
“Non affermo questo. Può agire sui servizi che sono realmente nel suo percorso, come ad esempio un resolver DNS pubblico o un servizio di proxy. Pertanto, un ordine che menziona anche ‘instradamento verso IP’ dovrebbe essere redatto specificando il servizio, con obblighi tecnicamente determinati e verificabili. Al contrario, utilizzare termini che, in concreto, possono avere significati diversi per attori diversi, genera una zona grigia. Questa è una vulnerabilità comune nei provvedimenti di natura tecnica ma scritti in modo troppo generico”.
Internet è molto più complessa di quanto possa sembrare a un provvedimento?
“C’è un aspetto che pesa notevolmente nel dibattito pubblico. L’idea che certi (indirizzi) IP abbiano una destinazione univoca e quindi non presentino rischio per i servizi legittimi. Nella realtà del web, specialmente quando si considerano le CDN (Content delivery network, rete per la consegna dei contenuti, il sistema di server che insieme consentono di fornire contenuti web in modo rapido, come fa Cloudflare, ndr) e architetture distribuite, questa certezza è rara: più servizi possono condividere lo stesso indirizzo IP e un blocco basato su IP rischia di diventare una ‘pesca a strascico’. Per questo motivo ritengo che l’affermazione categorica ‘zero rischio’ sia tecnicamente fragile se non dimostrata in modo trasparente con dati verificabili”
Denuncia il rischio di overblocking. Ci sono già stati casi in Italia.
“L’overblocking non è una paura infondata o sopravvalutata, ma una realtà documentata e denunciata da tecnici e studiosi del settore, come nella ricerca ‘90th Minute’, presentata a CNSM 2025 e premiata come Best Paper Award, che ricostruisce l’attività reale dei blocchi e descrive un effetto collaterale negativo significativo, legato soprattutto ai blocchi per indirizzo IP che hanno causato l’interruzione di oltre 500 siti legittimi, inclusi quelli non collegati allo streaming”.
Può fornire un esempio per chiarire questo rischio?
“Se chiudi un centro commerciale per colpire un negozio che non rilascia scontrini, rischi di danneggiare le attività economiche dell’intera struttura. Fuori dalla metafora, quel centro commerciale potrebbe rappresentare una CDN o un’infrastruttura condivisa su cui operano anche servizi perfettamente legittimi. È quanto accaduto con il blocco di componenti legate a Google Drive, che ha generato effetti negativi persistenti anche dopo la rimozione del blocco”.
Tutto sembra indicare che Piracy Shield, così come è strutturato, non funzioni.
“Nella sua attuale configurazione, Piracy Shield risulta un sistema sbilanciato, con effetti collaterali e costi insostenibili. Sì, è estremamente veloce nel colpire, ma molto meno simmetrico nel riparare. È energico nell’ordinare ai privati di eseguire, ma opaco quando si tratta di rendere misurabili errori, correzioni e responsabilità. Ripensarlo è possibile e necessario, ma con alcune parole d’ordine: maggiore precisione, meno blocchi indiscriminati, rimedi che siano rapidi quanto il blocco e che offrano ai destinatari la possibilità di contestare. Infine, trasparenza misurabile attraverso dati resi pubblici e audit indipendenti”.
Cosa serve per combattere la pirateria?
“Per perseguire un obiettivo fondamentale come il contrasto alla pirateria è necessario entrare nel merito, evitando tifoserie e narrative populiste capaci di mobilitare emotivamente l’opinione pubblica, ma anche di fuorviarla con vere e proprie allucinazioni. Non si può sostenere Piracy Shield, concepito per combattere lo streaming non autorizzato, in particolare di eventi sportivi, accostando quest’ultimo a pedopornografia, adescamento minorile, narcotraffico, traffico di armi, truffe, furti, plagio, violenze e altre problematiche variegate della rete che ho sentito menzionare, del tutto scollegate tra loro e certo non assimilabili alla pirateria di contenuti audiovisivi.
Matthew Prince, CEO di Cloudflare, ha redatto un lungo post in cui accusa l’Italia di minacciare la neutralità e la libertà di Internet. Crede che abbia ragione?
“Studio i media e le loro tecnologie dal 1996. Ho osservato tutti i cambiamenti del clima di opinione attorno a Internet, ora celebrato come culla della democrazia e ora indicato come megafono dei plutocrati che governano il capitalismo digitale. Tuttavia, i problemi di Piracy Shield non hanno nulla a che vedere con questioni ideologiche e ciò che dovrebbe essere evitato tanto dai suoi sostenitori quanto dai suoi critici sono le contrapposizioni manichee come ‘far west contro regole’ oppure ‘censura contro legalità’. Affermare, come si è letto, che qui ci sarebbe ‘solo applicazione puntuale di norme’ e quindi nessun impatto sulla libertà di espressione, equivale a voler ignorare gli effetti collaterali di questo sistema di blocco, che coinvolge anche servizi legittimi, e l’esistenza di un significativo margine di manovra tra norma e applicazione della stessa. Se questa discrezionalità non esistesse, allora l’intervento umano sarebbe superfluo e l’attività di Agcom potrebbe essere tranquillamente delegata a un’intelligenza artificiale. Aggiungerei un ulteriore elemento”.
Quale?
“Esiste un’altra semplificazione da evitare, specialmente per chi ricopre il ruolo di regolatore indipendente, ovvero valutare gli operatori in concorrenza tra loro, come Cloudflare, Akamai e Google: questo contrasta non solo con la necessaria equidistanza tra gli attori di mercato, ma anche con la neutralità dei modelli di Internet. Non si può selezionare come virtuoso uno solo, indipendentemente dal fatto che appartenga a un grande operatore, poiché imporre a tutti lo standard tecnologico proprietario di un singolo attore significherebbe alterare il mercato, che presenta diverse opzioni. Credere che i grandi operatori collaborino attivamente alla lotta contro la pirateria e l’illegalità in rete implica una scarsa comprensione dei loro modelli di business. Se si ritiene che le soluzioni a pagamento siano le più vantaggiose per i titolari dei diritti, sarebbe opportuno dichiararlo esplicitamente. Piuttosto che etichettare gli operatori come buoni o cattivi, è essenziale comprendere quali strumenti tecnici adottare e come integrarli per combattere la pirateria senza distorcere la concorrenza”.
Quale dovrebbe essere il ruolo di Agcom in questa ‘disputa’?
“Agcom non deve ritrovarsi costretta a scegliere tra l’ideologia di ‘Internet libero’ e l’imperativo della ‘lotta alla pirateria’ a ogni costo. Deve adottare un metodo che possa reggere nel tempo, garantendo efficacia, proporzionalità e minimizzazione degli errori.
Parla di standard probatori “poco trasparenti”. Quali criteri minimi di verifica dovrebbero essere introdotti affinché una segnalazione possa essere considerata attendibile prima di procedere al blocco?
“Il principio è semplice: una segnalazione non equivale a una prova accertata e l’Autorità non può delegare a nessuno, in modo diretto o indiretto, il potere di adottare i provvedimenti. La segnalazione è semplicemente un input operativo, spesso utile, ma non può trasformarsi automaticamente in un ordine che incide sull’accesso alla rete senza una verifica pubblica adeguata, soprattutto quando la misura può avere effetti collaterali indesiderati. Cosa significa ‘minimo’, in pratica, senza trasformare tutto in un processo infinito? Significa che i dati devono essere verificabili e standardizzati. È necessario individuare dove si trovi il flusso illecito, quando è stato osservato, con quali riscontri e, soprattutto, perché il bersaglio indicato (dominio/IP) sarebbe effettivamente riconducibile a quell’attività e non a un’infrastruttura condivisa. Nei casi ad alto rischio, per esempio quando l’IP appartiene a una CDN o a un fornitore che ospita numerosi servizi, è necessaria una verifica umana, rapida ma reale, prima di procedere. Inoltre, c’è la garanzia più trascurata ma fondamentale, ossia la notifica del blocco. Se un’azienda o un cittadino subisce un blocco, deve poterlo sapere subito, comprendere chi ha effettuato la segnalazione e su quale base, e avere un canale rapido per contestare. Senza questo, qualunque sistema, anche concepito con buone intenzioni, diventa opaco e litigioso”.
Ha auspicato la necessità di audit indipendenti. Chi dovrebbe condurre queste verifiche e quali dati dovrebbero essere resi pubblici?
“Un audit credibile deve essere effettuato da soggetti indipendenti, con competenze tecniche reali e capacità di misurare su larga scala. In Italia, potrebbe essere svolto da un’autorità o un revisore scelto tramite gara pubblica. Per evitare ‘audit notarili’, ovvero di mera ratifica, affiancherei al revisore un consorzio universitario in grado di replicare le misure, pubblicare metodologie e rendere il controllo efficace nel tempo. La parola chiave riguardo ai dati è verificabilità. Non basta dire ‘fidatevi di Agcom’, per quanto naturalmente tutti noi cerchiamo di fare al meglio il nostro lavoro”.
E cosa serve?
“Serve trasparenza. Faccio un esempio: l’affermazione dell’Autorità ‘una larghissima percentuale dei siti oggetto di segnalazione usa servizi Cloudflare’ si basa sull’assunto che contare i domini sia sufficiente per misurare l’impatto. Tuttavia, spesso esiste una lunga coda di siti piccoli e instabili con poco pubblico e pochi hub che concentrano utenti, richieste e banda. Inoltre, c’è una differenza tra i siti più frequentemente segnalati, identificati e bloccati e quelli effettivamente più utilizzati. Il fatto che Cloudflare – o qualunque altro operatore – sia in cima alla classifica del primo gruppo non implica che lo sia anche nel secondo: le opportunità per intercettare il traffico pirata sono infatti enormi, mancano metriche minime come utenti unici, volume di richieste, banda, minuti visti… e manca anche una definizione tecnica di ‘usa servizi Cloudflare’. Cosa usano, questi siti pirata? DNS pubblico, CDN/proxy, protezione, altro? La trasparenza significa anche mettere chiunque, imprese, ricercatori, cittadini, nelle condizioni di essere informati e comprendere. Ad esempio, attraverso un registro pubblico dei blocchi in formato scaricabile, in cui ogni ordine abbia un identificativo, i tempi (segnalazione, validazione, invio, esecuzione, eventuale revoca), l’oggetto preciso del blocco, la base giuridica, la durata e l’identità del segnalatore. Inoltre, servono indicatori pubblici, aggiornati, ossia quanti blocchi, quanti errori, quanti ripristini, con quali tempi. Infine, è necessario dare evidenza di costi e sostenibilità operativa. Perché qui non si parla solo di principi astratti, ma soprattutto di un enforcement che ricade su infrastrutture private, con oneri tecnici, legali e organizzativi. Se lo Stato impone un modello i cui costi ricadono sui privati, deve pretendere controlli, rimedi rapidi e un’equità misurabile nella ripartizione dei costi. Se il danno stimato della pirateria è nell’ordine dei miliardi e i costi operativi dichiarati dagli operatori per sostenere i blocchi sono nell’ordine dei milioni, esiste certamente lo spazio per una soluzione di mercato più efficiente di quella attuale”.
Quale potrebbe essere?
“Un meccanismo trasparente di condivisione dei costi, ad esempio la costituzione di un fondo o accordi standardizzati in cui chi beneficia direttamente (titolari e piattaforme che monetizzano i contenuti) contribuisce ai costi operativi degli ISP e degli intermediari. In cambio, però, non più potere ai segnalanti, ma maggiore qualità e più garanzie sui blocchi con KPI (indicatori chiave di prestazione) pubblici, responsabilità per segnalazioni errate e tempi di ripristino vincolanti. In sostanza, si pagherebbe non per bloccare di più, ma per bloccare meglio. Questa soluzione potrebbe risultare più efficiente di un sistema percepito come farraginoso, poiché allinea incentivi e riduce il contenzioso. Tuttavia, deve essere progettata con regole chiare che si basino su condizioni non discriminatorie, trasparenza, tutela dei terzi e controllo pubblico. Altrimenti, rischia di trasformarsi in un mercato opaco dell’enforcement, ed è l’ultima cosa di cui c’è bisogno”.
