Partendo proprio dal titolo, volutamente provocatorio, io ritengo che prima di tutto vada chiarito cosa sia e cosa faccia esattamente un webmaster, almeno da un punto di vista giuridico, posto che sotto questa parola spesso si svolgono molteplici attività che, ovviamente, danno luogo a molteplici tipi di responsabilità.

Personalmente ritengo che il "vero" webmaster sia solo colui il quale si occupi a livello di impostazione di sistema operativo della gestione ed amministrazione di un server web; è in pratica chi svolge le funzioni di "system administrator" di una rete locale trasferito su di un server web (intendendo con tale termine tutto quello che concerne il web, e quindi web server, mail server, ftp server, DNS, etc. etc.).

Ovviamente di fatto sono tali, anche ad un livello meno elevato, anche coloro i quali abbiano "acquistato" un dominio con il relativo hosting, in quanto si trovano ad essere i gestori con poteri praticamente assoluti su tutto ciò che avviene all'interno del proprio sito.

Conseguentemente, per esclusione, non svolgono attività effettiva di webmaster tutti coloro che si occupino soltanto di grafica e/o progettazione e realizzazione di siti web, così come non sono webmaster coloro che realizzino del software per la gestione di tali siti, oppure chi realizza database e quant'altro possa essere utilizzato per far funzionare un sito web.

A meno che, ovviamente, oltre alle attività appena descritte non svolgano ANCHE quelle alle quali ho appena fatto cenno.

Se poi si vogliono analizzare brevemente le responsabilità in cui incorre un webmaster, occorre chiarire che, prima di tutto, questi (in particolare chi sia effettivamente il "system administrator", per esempio di una società che effettui servizio di hosting) debba essere considerato come il responsabile dei dati contenuti in tutti i siti ospitati, con tutte le conseguenze previste dal D.Lgs. n.196/2003 (ed in realtà anche dal D.Lgs. n.70/2003 se si svolge ecommerce e dal D.Lgs n.231/2001 [normativa sulla responsabilità amministrativa degli enti].

Le conseguenze dello svolgimento della propria attività in maniera non professionale e/o senza avere le necessarie cognizioni tecniche, può portare a delle conseguenze molto serie sia da un punto di vista della responsabilità penale, sia da un punto di vista della responsabilità civile, stante il richiamo espresso operato dal D.Lgs. n.196/2003 all'art.2050 C.C. (che parla di attività pericolose in sé).

Tale richiamo pone il webmaster praticamente esposto ai possibili "attacchi" legali da parte di chiunque possa lamentare di aver subito un danno, anche solo morale, da un trattamento illecito di dati personali ovvero a seguito della mancata adozione delle misure di sicurezza previste, appunto, dalla normativa.

In questo caso il sistema che non si sia munito delle necessarie tutele "tecniche" (che poi consistono in un insieme di misure di sicurezza non solo specificatamente tecniche e tecnologiche) potrebbe rischiare di dover rifondere molto ai vari utenti i cui diritti siano stati lesi.

Il motivo è che tale legge richiama espressamente l'art.2050 del codice civile, equiparando di fatto il trattamento dei dati all'esercizio di attività tradizionalmente pericolose, come l'esercizio di centrali nucleari, il trasporto di munizioni da guerra, l'utilizzazione di materiali altamente esplodenti, ed altre amenità.

Art. 2050 C.C.. Responsabilità per l'esercizio di attività pericolose.

Chiunque cagiona danno ad altri nello svolgimento di una attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.

Come recitava la Suprema Corte di Cassazione sez. III Civile, 4 dicembre 1998, n. 12307: "In tema di responsabilita' presunta per l'esercizio di attivita' pericolosa, ex art. 2050 c.c., il danneggiato ha il solo onere di provare l'esistenza del nesso causale tra l'attivita' pericolosa ed il danno subito; incombe invece sull'esercente l'attivita' pericolosa l'onere di provare di avere adottato tutte le misure idonee a prevenire il danno".

Infatti la presunzione di responsabilità contemplata dall'art. 2050 c.c. - come ho chiarito in precedenza - può essere vinta solo con una prova particolarmente rigorosa, e cioè con la dimostrazione di aver adottato tutte le misure idonee ad impedire l'evento dannoso ivi compreso il rispetto delle piu' avanzate tecniche note ed anche solo astrattamente possibili all'epoca del fatto dannoso.

Il fatto del danneggiato o del terzo (ovvero l'attività di colui che, pur essendo stato leso, abbia in un certo qual modo "concorso" a causare tale danno) può produrre effetti liberatori solo se per la sua incidenza e rilevanza sia tale da escludere, in modo certo, il nesso causale tra l'attività e l'evento.

Non quando costituisce elemento di concorso alla produzione del danno, inserendosi in una situazione di pericolo che abbia reso possibile l'insorgenza del danno stesso a causa dell'inidoneità delle misure preventive.

Da precisare che i danni risarcibili sono anche quelli solamente "morali", per l'espresso richiamo effettuato dal D.Lgs. n.196/2003.

E sin qui siamo soltanto all'esame delle misure che devono essere adottate anche da chi eroghi servizi on-line e quindi anche dai c.d. "webmasters" ed all'aspetto civilistico e contrattuale della mancata adozione delle misure stesse.

E' quasi ovvio aggiungere che la mancata adozione delle misure (minime) di sicurezza previste dalle leggi sopra richiamate costituisce anche illecito penale, sanzionato espressamente dal D.Lgs. n.196/2003.

E' sufficiente effettuare una ricerca sul web per vedere come in genere buona parte  degli attacchi segnalati e subiti da aziende italiane si sarebbero potuti evitare in quanto relativi a "bug" di programmi, sistemi operativi od altro noti in rete da almeno sei mesi.

Una volta chiarite in linea di massima tali possibili responsabilità, mi sembra anche il caso di fare presente che a tutte le situazioni ed alla professionalità succintamente elencate in precedenza ovviamente corrispondono altrettanti e diversi rapporti giuridici spesso molto diversi tra loro, il cui esame magari è meglio rimandare ad altro articolo, visto che sicuramente potrebbe portare via troppo spazio e tempo.

Nel senso che, probabilmente, molte persone che svolgono tale attività potrebbero anche "battere cassa" proprio perché svolgono, di fatto, attività al di fuori di quanto (eventualmente) è stato contrattualizzato.

Una notazione: la collocazione pubblica o privata del webmaster non incide in alcun modo sulle responsabilità sopra elencate, in quanto le leggi citate si applicano sicuramente anche al settore pubblico.

Prima di concludere questa brevissima disamina dell'argomento, vorrei chiarire anche che esistono responsabilità - ed ovviamente diritti - anche nel momento in cui tutte le professionalità sopra elencate vadano ad interagire con quella, direi primaria e fondamentale, del webmaster.

Dal che ne consegue una quasi ovvia conseguenza: attenzione al fattore "costo".

E' difficile svolgere bene il proprio lavoro senza effettuare degli investimenti adeguati sia in conoscenza sia in "materiali", e quindi normalmente (salvo eventuali eccezioni) a prezzi troppo bassi corrispondono prestazioni e sicurezze di livello omogeneo.

Quindi, in conclusione, fare attenzione al ruolo svolto, e cercare di capire come tutelarsi.

Originariamente pubblicato su CWW.it nel 1999