Il 25 marzo 2026 la Corte Suprema degli Stati Uniti ha depositato la sentenza Cox Communications v. Sony Music Entertainment, ribaltando all’unanimità, con non poca sorpresa, l’ingiunzione al pagamento di un miliardo di dollari che una giuria della Virginia aveva inflitto all’internet service provider Cox per le violazioni di copyright commessedai propri utenti.

La decisione, redatta all’unanimità con 9 voti su 9, stabilisce un principio netto destinato ad avere un impatto su larga scala, vale a dire che un fornitore di servizi non può essere ritenuto responsabile per concorso nella violazione di copyright per la sola circostanza che continui ad erogare il servizio, pur essendo a conoscenza che i suoi utenti lo utilizzano per violare diritti d’autore.

Il caso Cox vs. Sony risale al 2018

La vicenda ha origine nel 2018, quando Sony Music Entertainment, insieme ad altre cinquanta etichette discografiche hanno citato in giudizio Cox, che contava all’epoca circa sei milioni di abbonati, sostenendo la materiale contribuzione dell’ISP nella diffusione della pirateria musicale online.

La tesi delle etichette si basava sulle oltre 163.000 segnalazioni inviate a Cox dalla società di monitoraggio MarkMonitor, per cui veniva identificato un indirizzo IP dell’utenza direttamente associato a download o upload illeciti di brani protetti.

Nonostante tali segnalazioni Cox aveva preso provvedimenti ritenuti alquanto blandi, disconnettendo nello specifico solo 32 abbonati identificati come violatori di copyright.

C’è da considerare che, durante lo stesso periodo, svariate centinaia di migliaia di utenti erano stati invece disconnessi per non avere adempiuto correttamente al pagamento della quota di abbonamento.

Data la discrepanza dei numeri, e grazie anche alle dichiarazioni di un manager che invitava apertamente ad ignorare le notifiche DMCA, l’azienda era parsa interessata a conservare i ricavi degli abbonamenti e non a contrastare di fatto la pirateria che contribuiva a generare quegli introiti.

La responsabilità secondaria

Nel 2019 la giuria del tribunale federale del distretto orientale della Virginia aveva dato ragione a Sony in merito all’applicazione di entrambe le teorie dottrinali e giurisprudenziali relative alla cosiddetta responsabilità secondaria (contributory e vicarious liability, vale a dire concorso di colpa e responsabilità indiretta), condannando Cox a un miliardo di dollari di danni per la violazione, ritenuta dolosa, di oltre diecimila opere protette.

Nel 2024, in secondo grado, la Corte d’Appello federale competente aveva confermato il concorso nella violazione, ma annullato la responsabilità indiretta, disponendo un nuovo giudizio limitato alla quantificazione dei danni.

La questione sulla contributory liability finisce alla Corte Suprema

La Corte Suprema, investita della questione sulla contributory liability a seguito del ricorso di Cox, ha colto l’occasione per ribadire un principio spesso trascurato nel dibattito sulla pirateria digitale, cioè che il Copyright Act, nella sua formulazione, non contempla alcuna forma di responsabilità per fatto altrui.

Le figure della contributory e della vicarious liability sono creazioni giurisprudenziali, nate e sviluppatesi nella giurisprudenza di merito, e proprio per questo la Corte si è mostrata restia ad allargarne i confini oltre il perimetro dei propri precedenti.

Due sentenze cardine

I confini di questa responsabilità sono stati tracciati da due sentenze cardine: in Sony v. Universal del 1984 la Corte escluse la responsabilità del produttore del Betamax, perché il dispositivo era capace di usi leciti sostanziali.

Vale la pena notare come l’ordinamento italiano, di fronte allo stesso problema, abbia scelto una strada diversa: anziché escludere ogni responsabilità, ha previsto il meccanismo dell’equo compenso per copia privata sui dispositivi idonei alla riproduzione di materiale piratato.

Il caso Grokster e Streamcast del 2005

Nel 2005, al contrario, la Corte riconobbe la responsabilità di due piattaforme di condivisione peer-to-peer, Grokster e Streamcast, che avevano deliberatamente promosso e commercializzato il proprio software come strumento per scaricare musica e film protetti da copyright, incoraggiando attivamente i propri utenti alla pirateria.

Da queste due sentenze emerge un doppio test che individua la contributory liability, cioè il concorso nella violazione, come sussistente solo se il fornitore ha indotto la violazione oppure ha offerto un servizio specificamente progettato per essa.

Il precedente apre uno spiraglio

Una decisione destinata a far discutere, perché il precedente apre un varco: d’ora in avanti basterà predisporre policy anti-pirateria sulla carta, senza che la loro effettiva applicazione possa essere sindacata ai fini della responsabilità.

Il rischio concreto è la proliferazione di servizi che formalmente non promuovono la pirateria dotandosi di policy anti-violazione di facciata, continuando nel contempo a beneficiare economicamente della pirateria dei propri utenti senza risponderne giuridicamente.

Il rapporto con il DMCA

Un passaggio significativo della sentenza riguarda il rapporto con il DMCA, la legge statunitense sul copyright digitale.

Il DMCA prevede un meccanismo di protezione, il safe harbor, che funziona pressapoco come uno scudo: se un provider adotta politiche attive contro la pirateria, come la disconnessione degli account recidivi, non può essere ritenuto responsabile per le violazioni commesse dai propri utenti.

Come dicevamo, quanto poi queste politiche si rivelino efficaci continua ad essere un’incognita.

Sony aveva ad ogni buon conto sostenuto che tale scudo non avrebbe senso di esistere se i provider non fossero comunque responsabili in partenza, tesi discutibile che infatti è stata respinta con fermezza dalla Corte.

Il safe harbor è infattiuno strumento di creazione di difese antipirateria aggiuntive, non uno strumento che prevede obblighi diretti di responsabilità.

In parole povere, il fatto che un ISP non si qualifichi per la protezione del safe harbor non lo trasforma automaticamente in un corresponsabile della pirateria.

In Europa, tra DSA e Direttiva copyright

La sentenza Cox offre un’occasione preziosa per misurare la distanza, ma anche alcune convergenze, tra l’approccio statunitense e quello europeo alla responsabilità degli Internet Service Provider.

Nell’Unione europea il quadro normativo è più articolato. Il Digital Services Act ha aggiornato le vecchie regole della Direttiva eCommerce mantenendo però un corretto principio di fondo: l’intermediario non è responsabile per i contenuti illeciti che transitano o risiedono sui propri server, a condizione che non ne sia effettivamente a conoscenza e che, una volta informato, agisca prontamente per rimuoverli (artt. 4–6 e 16).

Fin qui, la logica non è troppo distante da quella americana.

Le differenze

La differenza, però, si sostanzia nel passo successivo. Il DSA impone agli intermediari obblighi proattivi e graduati (e non solamente di facciata), fermo restando il divieto di obblighi generali di sorveglianza (art. 8).

Gli ISP devono infatti predisporre meccanismi accessibili per la segnalazione dei contenuti illeciti, motivare le decisioni di rimozione, garantire sistemi interni di reclamo e, nel caso delle piattaforme più grandi, condurre valutazioni periodiche del rischio sistemico che includono espressamente le violazioni ripetute della proprietà intellettuale (artt. 34 e 35).

L’art. 17 della Direttiva sul diritto d’autore nel mercato unico digitale

Per ciò che concerne il copyright, inoltre, la Direttiva sul diritto d’autore nel mercato unico digitale ha introdotto con l’art. 17 un regime ancora più stringente per le piattaforme di condivisione di contenuti: queste compiono un atto di comunicazione al pubblico e devono ottenere licenze dai titolari dei diritti o, in mancanza, dimostrare di aver compiuto i massimi sforzi per ottenerle, di aver agito prontamente sulle segnalazioni e di aver impedito il ricaricamento dei contenuti rimossi.

Un regime significativamente più oneroso di quello che la Corte Suprema ha appena confermato per gli ISP americani.

La sentenza Cox v. Sony e la neutralità dell’intermediario

Il modello statunitense, così come cristallizzato da Cox v. Sony, si fonda sulla neutralità dell’intermediario, basandosi sul principio che chi fornisce un servizio generale non risponde, a meno che non abbia attivamente indotto la violazione o progettato il servizio a tal fine.

Il modello europeo adotta invece un approccio di responsabilizzazione progressiva, dove l’intermediario resta esente finché non sa, ma una volta che sa, o viene messo nelle condizioni di sapere tramite notifica, deve agire.

Un ISP europeo nella posizione di Cox

In termini concreti, un ISP europeo nella posizione di Cox, destinatario di 163.000 notifiche di violazione in due anni, non potrebbe contare sulla stessa protezione garantita dalla Corte Suprema.

Nel sistema europeo la conoscenza acquisita tramite segnalazione genera un obbligo di intervento, non una mera facoltà.

Tuttavia, anche nel diritto dell’Unione esiste un limite chiaro ed invalicabile, cioè che nessun intermediario può essere obbligato a monitorare preventivamente tutti i contenuti che transitano sui propri server per individuare eventuali violazioni.

In altre parole, né il DSA né la giurisprudenza della Corte di Giustizia consentono di imporre a un provider un obbligo di sorveglianza generalizzata sulla rete.

L’intermediario deve agire quando sa, ma non è tenuto ad andare a cercare ciò di cui non è a conoscenza.

La realtà diversa del quadro normativo europeo

C’è da dire, tuttavia, che in Europa il quadro normativo, per quanto avanzato sulla carta, si scontra con una realtà ben diversa.

Le grandi piattaforme, pur trovandosi ddi fronte a segnalazioni circostanziate di violazione, non fanno fronte ai propri obblighi con la tempestività e l’efficacia che il legislatore aveva immaginato.

I sistemi di risoluzione alternativa delle controversie esistono sulla carta, ma, nella prassi, le loro decisioni vengono spesso ignorate dalle piattaforme, che si muovono solo quando la questione finisce davanti a un giudice.

Il risultato è un cortocircuito che rischia di svuotare dall’interno l’impianto normativo europeo, riducendo la possibilità che i diritti digitali degli utenti trovino piena ed effettiva integrazione nell’ecosistema attuale, e lasciando i titolari di diritti, specialmente i più piccoli, in una posizione di sostanziale impotenza di fronte a intermediari che hanno tutto l’interesse a temporeggiare.

Con buona pace di quell’equilibrio tra innovazione e tutela che, su entrambe le sponde dell’Atlantico, resta più un’aspirazione che una realtà.