La sanzione da 14 milioni di euro inflitta dall’AGCOM a Cloudflare per la mancata ottemperanza agli ordini impartiti tramite la piattaforma Piracy Shield segna un punto di non ritorno nel rapporto tra regolazione nazionale, infrastrutture globali della rete e diritto europeo del digitale. Non si tratta più soltanto di una controversia in materia di diritto d’autore: il “caso Cloudflare” è ormai un banco di prova per la tenuta giuridica, tecnica e politica dell’enforcement amministrativo nell’era delle grandi piattaforme infrastrutturali.
Una sanzione formalmente legittima, ma sistemicamente problematica
Dal punto di vista strettamente formale, la posizione dell’Autorità appare difficilmente contestabile: AGCOM ha applicato una legge dello Stato (la l. 93/2023, cd. “legge antipezzotto”) approvata all’unanimità dal Parlamento, che ha esteso gli obblighi di cooperazione antipirateria non solo agli access provider, ma anche ai fornitori di CDN e DNS. In questo quadro, l’inottemperanza reiterata di Cloudflare agli ordini di blocco veicolati tramite Piracy Shield integra, secondo l’Autorità, un illecito sanzionabile.
Tuttavia la legittimità formale non esaurisce il problema. La vera questione è se il meccanismo imposto sia compatibile con il funzionamento tecnico di Internet, con i principi di proporzionalità e con il diritto europeo dei servizi digitali.
Piracy Shield e il “peccato originale” dell’overblocking
Piracy Shield nasce con una finalità condivisibile – il contrasto alla pirateria, in particolare quella sportiva in tempo reale – ma sconta un vizio strutturale: è costruito come se Internet fosse una rete di risorse isolate, quando invece è un ecosistema basato su indirizzamenti condivisi, IP dinamici, reverse proxy e infrastrutture multilivello.
Il blocco di IP associati a CDN globali come Cloudflare comporta inevitabilmente effetti collaterali: l’oscuramento di servizi perfettamente leciti, l’assenza di notifiche agli interessati, l’impossibilità di un rimedio tempestivo. Episodi di overblocking si sono già verificati e non sono incidenti di percorso, ma conseguenze fisiologiche del modello adottato.
In questo senso, i numeri spesso richiamati a sostegno dell’efficacia dello strumento – decine di migliaia di domini e indirizzi IP bloccati – dicono poco o nulla sull’effettiva riduzione della pirateria. La logica del “morto un dominio se ne fa un altro” rende il sistema una rincorsa permanente, con costi crescenti per la rete e benefici tutti da dimostrare.
Cloudflare non è un hosting provider (e questo conta)
Uno degli equivoci che alimentano il dibattito pubblico riguarda la natura stessa di Cloudflare. L’azienda non ospita contenuti, non seleziona né promuove opere pirata. Fornisce servizi di sicurezza, CDN e DNS che, per loro natura, sono agnostici rispetto ai contenuti e utilizzati indistintamente da milioni di siti leciti e illeciti.
È vero che queste tecnologie possono essere sfruttate anche da soggetti criminali – come qualsiasi infrastruttura neutrale – ma questo non trasforma il fornitore in un corresponsabile automatico. Il diritto europeo ha sempre costruito la responsabilità degli intermediari su un delicato equilibrio tra cooperazione e neutralità, equilibrio che il DSA ha cercato di rafforzare, non di demolire.
Il paradosso europeo: sarà il DSA a salvare Cloudflare?
Qui emerge il paradosso più interessante dell’intera vicenda. La difesa più solida di Cloudflare potrebbe non venire dal diritto statunitense o da argomenti geopolitici, bensì proprio dal Digital Services Act: obblighi graduati, divieto di obblighi generali di sorveglianza, necessità di misure mirate, proporzionate e territorialmente limitate.
Non è un caso che a Bruxelles siano state sollevate perplessità sul funzionamento di Piracy Shield, né che la Commissione europea abbia richiamato l’Italia alla necessità di garantire coerenza con il quadro DSA. Ed è quantomeno singolare che l’autorità chiamata a vigilare sull’applicazione del DSA sia la stessa che gestisce uno strumento potenzialmente in tensione con esso.
Gli errori di Cloudflare: quando la difesa diventa ricatto
Se Piracy Shield presenta gravi criticità, la reazione di Cloudflare non è stata giuridicamente irreprensibile. Minacciare il ritiro di servizi essenziali, evocare la sicurezza delle Olimpiadi di Milano-Cortina, trasformare una controversia regolatoria in un caso diplomatico via X è una strategia comunicativa che indebolisce, anziché rafforzare, le ragioni dell’azienda.
L’uso di infrastrutture critiche come leva negoziale alimenta un altro timore: quello di una privatizzazione del potere infrastrutturale, in cui grandi operatori globali possono condizionare decisioni sovrane semplicemente “staccando la spina”. È un rischio che nessuno Stato può ignorare.
Oltre Cloudflare: una questione di sovranità digitale (vera)
Il caso Cloudflare non riguarda solo la pirateria, né solo una singola azienda. Riguarda la dipendenza strutturale dell’Europa da infrastrutture extra-UE, l’assenza di alternative realistiche nel breve periodo e la difficoltà di conciliare enforcement rapido con garanzie giuridiche adeguate.
Difendere il diritto d’autore è sacrosanto. Farlo con strumenti tecnicamente inadeguati e giuridicamente fragili rischia però di produrre l’effetto opposto: indebolire la credibilità delle istituzioni, esporre il Paese a contenziosi europei e spingere gli operatori verso una logica di scontro anziché di cooperazione.
Conclusione
La sanzione a Cloudflare è formalmente legittima, ma il caso dimostra che l’attuale perimetro normativo dell’enforcement antipirateria è tecnicamente e sistemicamente inadeguato. La tutela del diritto d’autore non può tradursi in strumenti che ignorano l’architettura di Internet o che producono effetti sproporzionati e indiscriminati.
Una soluzione praticabile esiste ed è già stata adottata da Google, che ha applicato i blocchi richiesti da Piracy Shield su base esclusivamente territoriale, limitandoli agli utenti italiani e preservando il funzionamento globale dei propri servizi. È un modello imperfetto, ma coerente con i principi di proporzionalità, territorialità e con il Digital Services Act.
Cloudflare ha colto i limiti strutturali dello strumento, ma ha scelto una strategia comunicativa che indebolisce le sue ragioni, evocando ritorsioni e mettendo sul tavolo infrastrutture critiche. La sovranità digitale non si costruisce né con piattaforme tecnicamente fragili né con bracci di ferro tra Stati e big tech.
Se il caso Cloudflare porterà a una revisione di Piracy Shield alla luce del modello “territoriale” e del quadro europeo, potrà rappresentare un’occasione di maturazione normativa. In caso contrario, rischia di aprire una stagione di conflitti giuridici e sistemici che l’ecosistema digitale europeo non può permettersi.
