Oltre quattordici milioni di euro non sono bruscolini, nemmeno per uno dei giganti mondiali delle infrastrutture internet. L’Agcom ha deciso di sanzionare Cloudflare con una multa pari all’1% del fatturato globale 2024 per violazione delle norme sul diritto d’autore online e, più precisamente, per inottemperanza a un proprio ordine. Secondo Agcom infatti, Cloudflare non ha eseguito quanto richiesto dalla delibera 49/25/CONS, collegata alla Legge antipirateria 93/2023. Tradotto per chi non vive di sigle: Cloudflare avrebbe dovuto aiutare a rendere inaccessibili una serie di contenuti pirata segnalati dai titolari dei diritti tramite Piracy Shield. E non lo avrebbe fatto.
Perché Clourfare è al centro della partita
Cloudflare è una società americana fondata nel 2009, con sede a San Francisco, che opera come un Content Delivery Network (CDN) globale. In parole semplici, ma non troppo, accelera e protegge i siti web distribuendo contenuti attraverso una vasta rete di server sparsi in tutto il mondo. Immaginate un supereroe invisibile che rende i siti internet più veloci, li difende da attacchi DDoS e gestisce il traffico con efficienza chirurgica. Con un fatturato globale che sfiora i miliardi, Cloudflare serve milioni di siti, inclusi giganti come Google e Shopify.
E proprio qui sta il punto: secondo Agcom, circa il 70% dei siti colpiti dai provvedimenti sul diritto d’autore online usa i servizi Cloudflare. Non perché Cloudflare “pubblichi” contenuti pirata, ma perché fornisce l’infrastruttura su cui quei siti si appoggiano. Nella visione dell’Autorità, se la pirateria usa l’autostrada, anche il gestore dell’autostrada deve collaborare quando c’è da chiuderne un’uscita.
L’ordine ignorato (secondo AgCom)
L’ordine risale al 7 marzo 2025 e, scrive Agcom, avrebbe dovuto produrre effetti “senza alcun indugio”. Invece, secondo la ricostruzione dell’Autorità, la situazione sarebbe rimasta sostanzialmente invariata per mesi. Nel provvedimento si legge che Cloudflare, “anche dopo la notifica dell’ordine, ha continuato a non adottare alcuna misura per contrastare l’utilizzo dei propri servizi per la diffusione di contenuti illeciti”. Ed è proprio la durata della condotta uno degli elementi ad aver aggravato, agli occhi dell’Autorità, la posizione della società.
La difesa di Cloudflare
Cloudflare non è rimasta in silenzio. Nelle sue controdeduzioni ha spiegato che si è trovata davanti a un elenco enorme di segnalazioni senza, a suo dire, gli elementi tecnici necessari per valutare e applicare l’ordine in modo mirato. Il cuore della difesa della società californiana è tutto nella proporzionalità tecnica: per eseguire l’ordine, sostiene Cloudflare, servirebbe installare un “filtro” nel proprio software e applicarlo a circa 200 miliardi di richieste DNS al giorno, cosa che, sostiene l’azienda rappresenta una soluzione sproporzionata e di difficile attuazione. Un po’ come chiedete a un casellante di controllare ogni singola auto in transito sull’intero sistema autostradale. Non proprio una passeggiata.
La replica dell’AgCom
Agcom però non ha accolto l’argomento. Per l’Autorità, Cloudflare rientra a pieno titolo tra i soggetti obbligati a seguire i dettami della legge antipirateria. E qui sta il vero cambio di paradigma introdotto dalla Legge 93/2023: il legislatore ha ampliato esplicitamente il novero dei soggetti obbligati, includendo “tutti i fornitori di servizi della società dell’informazione”. Non solo chi ospita i contenuti, ma anche chi fornisce i pezzi fondamentali dell’infrastruttura. Certo, i 14,2 milioni di euro di multa fanno rumore, ma il punto, sottolinea la stessa Agcom, non è solo la cifra. È il precedente, vista la posizione centrale di Cloudflare nell’ecosistema della rete. Il messaggio è piuttosto chiaro: se la pirateria usa servizi e infrastrutture globali, le autorità di regolamentazione colpiranno anche lì.
La battaglia si sposta sulle infrastrutture
Nel comunicato Agcom lancia anche un messaggio tra le righe: altri operatori, come Google, stanno cooperando. Cloudflare, invece, secondo l’Autorità, va in direzione opposta. E questo, in una fase in cui il Piracy Shield è diventato il perno operativo della lotta alla pirateria in Italia, pesa parecchio. Ora Cloudflare potrà fare ricorso al TAR, ma lo scenario giuridico è tutt’altro che banale: qui non si discute solo di una multa, ma di quanto lontano possa spingersi la responsabilità degli intermediari tecnici di internet. In altre parole: fino a che punto il “portiere” della rete deve ritenersi obbligato a controllare chi entra e chi esce?
La sanzione a Cloudflare segna un passaggio chiave: la lotta alla pirateria non si combatte più solo sui siti, ma sulle fondamenta della rete. Chi fornisce servizi essenziali non è più solo un neutrale “fornitore di cavi”, ma un attore chiamato a scegliere quando chiudere (o non chiudere) il rubinetto.