Cloudflare sfida AGCOM e il Piracy Shield: cosa cambia per la rete Internet

Il tema del giusto equilibrio tra la protezione dei diritti, in particolare quelli legati al diritto d’autore, e la neutralità degli operatori di rete – cioè il principio secondo cui i provider Internet devono trattare tutto il traffico dati in modo imparziale senza blocchi o priorità – torna al centro dell’attenzione in Italia con il caso emerso nell’ambito del sistema noto come Piracy Shield, piattaforma utilizzata per contrastare la diffusione illegale di contenuti online e gestita sotto l’egida di AGCOM, Autorità per la Garanzie nelle Comunicazioni.

Cloudflare, tra i principali operatori globali dell’infrastruttura Internet, ha deciso di impugnare la storica sanzione da oltre 14 milioni di euro ricevuta in Italia, sostenendo che alcune misure di blocco dei contenuti violino principi fondamentali di proporzionalità e neutralità della rete. La questione non riguarda solo il contrasto alla pirateria, ma tocca aspetti tecnici e giuridici che incidono sul funzionamento stesso di Internet, oggi gestito da infrastrutture distribuite che veicolano una quota significativa del traffico globale.

Il funzionamento del Piracy Shield e le criticità tecniche

La controversia tra AGCOM e Cloudflare si inserisce in un contesto storico preciso. Negli ultimi anni, diversi Paesi europei hanno adottato sistemi di blocco rapido dei contenuti per contrastare lo streaming illegale, spesso basati su segnalazioni automatizzate e interventi tempestivi degli operatori di rete. Parallelamente, tecnologie come reverse proxy e le reti CDN hanno reso più complessa l’identificazione diretta delle risorse ospitate, separando sempre più l’infrastruttura di distribuzione dai contenuti effettivi. In questo scenario, le decisioni normative incidono direttamente su attori che non controllano i contenuti, ma ne gestiscono il traffico.

Il sistema italiano di blocco si basa su un meccanismo che richiede ai provider di intervenire entro tempi molto brevi, anche nell’ordine dei 30 minuti, su segnalazione dei detentori dei diritti (ad esempio quelli sugli eventi sportivi, ma non solo). All’atto pratico, sono inseriti in blacklist indirizzi IP e domini ritenuti responsabili della diffusione di contenuti illegali.

Il problema emerge quando a un singolo indirizzo IP fanno capo migliaia di servizi differenti, una situazione comune nelle moderne architetture di rete.

Cloudflare utilizza infatti infrastrutture condivise, dove il traffico Web di più siti transita attraverso lo stesso endpoint. Bloccare un IP in modo indiscriminato può quindi causare effetti collaterali rilevanti, impedendo l’accesso a servizi legittimi. Si tratta di un fenomeno noto come overblocking, che rappresenta una delle principali criticità tecniche evidenziate dall’azienda.

Un ulteriore elemento riguarda la difficoltà di correlare traffico cifrato e destinazione finale. Tecnologie come Encrypted Client Hello (ECH), progettate per migliorare la privacy nel protocollo TLS, nascondono informazioni utili all’identificazione del sito richiesto. Questo rende inefficaci o imprecisi alcuni metodi tradizionali di filtraggio basati sull’ispezione del traffico.

La posizione di Cloudflare e il ruolo degli intermediari

Cloudflare sostiene che gli operatori infrastrutturali non dovrebbero essere trattati come editori o responsabili dei contenuti. I suoi servizi funzionano come un livello intermedio tra utente e server origin (quello effettivamente usato da chi diffonde un contenuto), migliorando prestazioni e sicurezza tramite caching, mitigazione DDoS e gestione del traffico.

In questo modello, un’azienda come Cloudflare (ma ce ne sono altre che operano allo stesso modo) non ha visibilità completa né controllo diretto sui contenuti serviti.

La contestazione della sanzione si fonda anche sull’assenza di garanzie procedurali. Secondo la società, fondata e guidata da Matthew Prince, l’obbligo di blocco immediato senza verifica giudiziaria espone a errori sistematici.

La mancanza di trasparenza nei criteri di inserimento nelle liste di blocco amplifica il rischio di interventi sproporzionati, con impatti su utenti e imprese non coinvolte nella pirateria: e qui la contestazione nei confronti del Piracy Shield italiano è plateale.

Il tema si collega al principio di neutralità della rete, secondo cui gli operatori devono trattare il traffico in modo non discriminatorio. Interventi selettivi basati su segnalazioni esterne rischiano di alterare questo equilibrio, introducendo forme di controllo che possono estendersi oltre gli obiettivi dichiarati.

Implicazioni sulla resilienza e sull’architettura di Internet

Le infrastrutture moderne si basano su distribuzione geografica e ridondanza. Cloudflare, ad esempio, opera attraverso centinaia di data center interconnessi, gestendo decine di milioni di richieste HTTP al secondo. Tale modello garantisce prestazioni elevate e resistenza agli attacchi.

Blocchi massivi su larga scala possono interferire con meccanismi di instradamento dinamico e caching distribuito. Quando un nodo viene filtrato, il traffico può deviare verso percorsi alternativi, aumentando latenza e carico su altre infrastrutture. In casi estremi, configurazioni errate o interventi troppo aggressivi possono contribuire a disservizi diffusi, come già osservato in precedenti incidenti legati a configurazioni di rete non ottimali.

Un ulteriore aspetto riguarda i server DNS pubblici, come 1.1.1.1 (in questo caso gestito ugualmente da Cloudflare), che risolvono i nomi di dominio per milioni di utenti. Interferire con questi sistemi significa incidere direttamente sulla capacità di accesso alla rete, trasformando un intervento mirato in un blocco generalizzato.

Il costo operativo e gli effetti collaterali del Piracy Shield

Cloudflare descrive Piracy Shield come un sistema che genera un costo elevato non solo in termini economici diretti, ma anche sotto il profilo operativo e infrastrutturale.

La combinazione tra tempi di intervento estremamente ridotti, fissati in circa 30 minuti, e l’obbligo di bloccare indirizzi IP introduce una pressione significativa sui provider, costretti ad automatizzare decisioni che in molti casi richiederebbero verifiche più approfondite. Poiché un singolo IP può servire contemporaneamente migliaia di siti attraverso infrastrutture condivise, ogni blocco rischia di colpire indiscriminatamente servizi legittimi, trasformando una misura mirata in un’interruzione diffusa.

Gli effetti concreti evidenziati includono episodi di ampia portata: blackout che hanno reso inaccessibili portali istituzionali e risorse educative, inclusi siti legati alla ricerca e alla didattica; interruzioni che hanno coinvolto piccole imprese e organizzazioni non profit europee attive in ambito sociale; blocchi temporanei di servizi critici come Google Drive, rimasto irraggiungibile per ore con impatti diretti su studenti e professionisti.

Analisi indipendenti, come uno studio condotto nel 2025 dall’Università di Twente, hanno inoltre rilevato che questi fenomeni non sono episodici ma ricorrenti, con siti legittimi che restano bloccati anche per mesi.

Secondo Cloudflare, il costo reale emerge soprattutto nella gestione delle conseguenze: attività di diagnosi, richieste di sblocco, perdita di continuità operativa e danni reputazionali per servizi del tutto estranei alla pirateria. A questo si aggiunge l’espansione del sistema verso provider DNS e servizi VPN, che amplia ulteriormente la superficie di impatto e introduce implicazioni dirette su privacy e accesso alla rete.

L’onere non ricadrebbe insomma solo sui soggetti regolati, ma si distribuisce su utenti, aziende e infrastrutture globali, rendendo il modello Piracy Shield difficile da sostenere su larga scala.

Il contenzioso legale e il nodo della trasparenza

Cloudflare ha impostato la propria opposizione a Piracy Shield come una questione di principio, sostenendo fin dalle prime interlocuzioni con l’AGCOM nel 2024 che il sistema presentasse criticità strutturali incompatibili con il funzionamento della rete.

Durante quelle interlocuzioni, l’azienda dichiara di aver evidenziato i rischi tecnici legati ai blocchi su larga scala e ha proposto modalità alternative di collaborazione più mirate, capaci di contrastare la pirateria senza compromettere l’infrastruttura distribuita di Internet. Di fronte alla mancata revisione del modello, la società ha avviato un’azione legale davanti ai tribunali amministrativi italiani e, insieme alla Computer & Communications Industry Association, ha presentato un esposto alla Commissione europea.

La posizione europea

Al centro della contestazione emerge la compatibilità con il Digital Services Act (DSA), che impone criteri di proporzionalità e garanzie procedurali rigorose per ogni intervento di limitazione dei contenuti. Secondo Cloudflare, Piracy Shield non rispetterebbe questi requisiti, in particolare per l’assenza di controlli indipendenti e per l’automatismo delle misure di blocco. Le preoccupazioni sollevate hanno trovato un primo riscontro istituzionale nella lettera pubblicata dalla Commissione europea il 13 giugno 2025, che ha evidenziato dubbi sulla mancanza di supervisione nel sistema italiano.

L’accesso agli atti

Un passaggio rilevante si è verificato il 23 dicembre 2025, quando il tribunale amministrativo ha ordinato ad AGCOM di fornire a Cloudflare la documentazione alla base dei provvedimenti di blocco. La decisione punta a chiarire i criteri operativi e le modalità di selezione degli obiettivi, elementi fondamentali per valutare la legittimità delle misure adottate. Tuttavia, dice Cloudflare, l’accesso a questi dati non si è concretizzato: l’Autorità ha limitato la consultazione a modalità restrittive, consentendo solo una visione parziale degli atti presso i propri uffici e sotto supervisione.

Il sistema di calcolo della sanzione

Parallelamente, AGCOM ha emesso il 29 dicembre 2025 una sanzione nei confronti di Cloudflare, senza attendere l’esito del contenzioso. Il punto più controverso riguarda il criterio di calcolo: invece di applicare il limite del 2% del fatturato generato in Italia, previsto dalla normativa nazionale, la sanzione è stata determinata sulla base del fatturato globale dell’azienda. Il risultato è una penale di dimensioni molto superiori rispetto al tetto teorico, con un divario stimato nell’ordine di decine di volte rispetto a quanto previsto.

Cloudflare sostiene che l’assenza di trasparenza sui meccanismi di blocco, unita a sanzioni considerate sproporzionate, introduce un elemento di incertezza regolatoria che può influenzare direttamente la gestione dei servizi e le strategie di compliance. Il mancato accesso completo alla documentazione rafforza inoltre il dubbio sulla reale tracciabilità delle decisioni, lasciando aperta una questione centrale: senza visibilità sui processi, diventa difficile valutare l’effettiva correttezza e proporzionalità degli interventi imposti.

Una “scatola nera” partorita dai detentori dei diritti

Cloudflare evidenzia inoltre come Piracy Shield operi di fatto come una scatola nera: parla di un portale elettronico privo di adeguata supervisione nel quale soggetti privati possono segnalare domini e indirizzi IP da bloccare.

Secondo l’azienda, manca un controllo giudiziario preventivo e le decisioni sono di fatto delegate a entità non pubbliche, con un livello di trasparenza estremamente limitato. Né gli operatori né i proprietari dei siti colpiti dispongono di informazioni chiare sull’origine del blocco o sulle motivazioni tecniche e giuridiche.

A questo si aggiunge l’assenza di un meccanismo efficace di contestazione preventiva e di strumenti per ottenere un risarcimento in caso di errore, elementi che rendono il sistema difficilmente conciliabile con i principi di garanzia e verificabilità richiesti a livello europeo.

Non sorprende del tutto che Piracy Shield dia così chiaramente la priorità agli interessi economici delle media company rispetto ai diritti degli utenti di Internet italiani. Il sistema è stato “donato” al governo italiano da SP Tech, un braccio dello studio legale che rappresenta molti dei principali beneficiari diretti di Piracy Shield, tra cui la Lega Nazionale Professionisti Serie A (la principale lega di calcio italiana). (Cloudflare)

Scenari regolatori e limiti delle soluzioni attuali

Le soluzioni basate su blocchi rapidi funzionano in contesti semplici, ma mostrano limiti evidenti in un’architettura distribuita e cifrata. L’adozione di tecnologie di privacy avanzata riduce ulteriormente la possibilità di identificare con precisione i contenuti senza introdurre forme invasive di ispezione.

Dal punto di vista operativo, una mitigazione più efficace richiede strumenti granulari, in grado di agire a livello applicativo piuttosto che infrastrutturale. Ciò implica collaborazione tra piattaforme, hosting provider e autorità, con processi di verifica più robusti e tracciabili.

La scelta di Cloudflare di contestare la sanzione rappresenta un passaggio significativo. Non si tratta solo di una disputa legale, ma della definizione dei confini tra regolazione e funzionamento tecnico della rete. Il risultato avrà implicazioni concrete sulla gestione del traffico, sulla protezione dei contenuti e, soprattutto, sull’accesso libero e affidabile a Internet.