AGCOM vs Cloudflare: chi ha davvero ragione?

La vicenda che vede contrapposte l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) e Cloudflare Inc. non è un semplice contenzioso amministrativo in materia di pirateria online. La Delibera AGCOM n. 333/25/CONS pubblicata l’8 gennaio 2026, che irroga a Cloudflare una sanzione superiore ai 14 milioni di euro per inottemperanza a precedenti ordini di blocco (in particolare, con riferimento alla delibera n. 49/25/CONS del 18 febbraio 2025), rappresenta il punto di massima tensione tra tre elementi che faticano sempre più a stare insieme: l’esercizio di poteri amministrativi nazionali, la struttura tecnica delle infrastrutture digitali globali e l’ambizione armonizzatrice del diritto europeo dei servizi digitali.

La competenza di AGCOM è riconosciuta

Partiamo da ciò che non è davvero in discussione. AGCOM ha competenza ad agire. Il principio degli “effetti sul territorio”, ormai pienamente recepito dal diritto dell’Unione, consente a un’Autorità nazionale di intervenire nei confronti di un prestatore stabilito all’estero quando i suoi servizi producono effetti giuridicamente rilevanti nello Stato membro.

È lo stesso principio che sorregge il GDPR, l’antitrust europea e il Digital Services Act (DSA). Sostenere che AGCOM sia radicalmente incompetente solo perché Cloudflare ha sede negli USA è una tesi che, realisticamente, non ha nessuna possibilità di essere sostenuta (lo spieghiamo meglio nel seguito).

AGCOM fonda l’intera sanzione su un presupposto giuridicamente corretto ma politicamente esplosivo: l’ordine impartito con la Delibera n. 49/25/CONS era immediatamente esecutivo e non sospeso dal giudice. In assenza di una misura cautelare del TAR, Cloudflare avrebbe dovuto ottemperare, anche mentre contestava l’applicazione delle disposizioni.

Come può verificare esaminando il testo della Delibera n. 49/25/CONS, AGCOM prescriveva quanto segue:

alla società Cloudlfare Inc., quale fornitore di servizi della società dell’informazione coinvolto nell’accessibilità di contenuti diffusi illecitamente secondo quanto previsto dalla Legge antipirateria, di provvedere alla disabilitazione della risoluzione DNS dei nomi di dominio e dell’instradamento del traffico di rete verso gli indirizzi IP segnalati dai titolari dei diritti di cui all’allegato A o comunque di adottare le misure tecnologiche e organizzative necessarie per rendere non fruibili da parte degli utilizzatori finali i contenuti diffusi abusivamente; di informare senza indebito ritardo e comunque entro sette giorni dalla notifica del presente provvedimento, questa Autorità del seguito dato all’ordine, specificando se e quando è stato dato seguito all’ordine.

In pratica, AGCOM ordinava a Cloudflare di attivarsi per disattivare la risoluzione di nomi di dominio e l’instradamento del traffico verso IP utilizzati per distribuire contenuti in violazione delle normative a tutela del copyright.

La logica è coerente con il diritto amministrativo tradizionale e con il modello di enforcement del DSA europeo. Tuttavia, applicata a infrastrutture digitali globali, essa produce un effetto collaterale rilevante: trasforma l’intermediario in esecutore automatico di decisioni tecnicamente controverse, senza margini reali di modulazione.

Piracy Shield: da strumento tecnico a obbligo implicito

Nessuna norma primaria impone espressamente a Cloudflare di accreditarsi alla piattaforma Piracy Shield, piattaforma tecnologica centralizzata, progettata e gestita sotto il coordinamento di AGCOM con l’obiettivo di rendere estremamente rapida l’esecuzione delle misure di blocco previste dalla legge antipirateria.

Dal punto di vista giuridico, Piracy Shield è uno strumento operativo: non crea nuovi obblighi sostanziali, ma serve – nelle intenzioni del legislatore e dell’Autorità – a dare attuazione a obblighi già esistenti, in particolare quelli previsti dall’art. 2 della legge n. 93/2023.

La legge antipirateria stabilisce che determinati soggetti – prestatori di accesso, gestori di DNS e VPN, fornitori di servizi della società dell’informazione coinvolti nell’accessibilità dei contenuti illeciti – devono eseguire gli ordini di blocco “senza indugio”, anche entro 30 minuti dalla notifica.

Quello che al momento la legge non fa è nominare Piracy Shield come unico canale obbligatorio; subordinare la liceità dell’attività all’accreditamento sulla piattaforma; prevedere una sanzione autonoma per il mancato accreditamento. In altre parole, la legge impone un risultato (l’oscuramento), ma non tipizza il mezzo come obbligatorio in senso giuridico.

AGCOM ha cercato di risolvere la questione con la Delibera n. 401/24/CONS di ottobre 2024, contenente un richiamo ai fornitori di servizi (compresi DNS e VPN): l’Autorità invita e sollecita i soggetti interessati ad accreditarsi alla piattaforma per consentire il corretto funzionamento del sistema antipirateria.

Nel diritto amministrativo, un richiamo non è un ordine, non è immediatamente coercibile, non è autonomamente sanzionabile. E questo spiega perché, nella delibera sanzionatoria contro Cloudflare, AGCOM non contesta formalmente il mancato accreditamento, ma l’inottemperanza agli ordini di blocco.

Il nodo della “mancata collaborazione”

Uno degli aspetti più controversi della delibera è l’affermazione secondo cui Cloudflare non avrebbe collaborato con AGCOM. Letta superficialmente, questa affermazione appare quasi paradossale: Cloudflare ha scritto, ha risposto, ha chiesto accesso agli atti, ha depositato memorie, ha prodotto un parere tecnico, ha proposto ricorso. Tutto questo emerge dal contenuto della Delibera sanzionatoria di gennaio 2026.

Qui però emerge una divergenza profonda sul significato stesso di “collaborazione”. Per AGCOM, collaborare non significa dialogare o difendersi; significa eseguire. Significa partecipare al Tavolo tecnico, accreditarsi alla piattaforma, adottare misure operative anche in via prudenziale. Tutto ciò che non produce un effetto pratico immediato viene letto come dilatorio.

L’approccio è coerente con una logica di enforcement forte, ma rischia di comprimere lo spazio del contraddittorio tecnico reale, soprattutto quando l’operatore sostiene — non irragionevolmente — che l’esecuzione dell’ordine possa produrre effetti collaterali gravi su soggetti terzi (ne parliamo più avanti).

Il tema centrale e più spinoso: IP condivisi, CDN e overblocking

Cloudflare non è un servizio di hosting tradizionale. È innanzi tutto una CDN globale basata su architetture condivise, IP multi-tenant, reverse proxy e instradamento dinamico.

L’assunto ripetuto anche nella Delibera secondo cui gli IP oggetto di blocco sarebbero “univocamente destinati ad attività illecite” solleva più di un dubbio. In una rete CDN, un IP non identifica un contenuto, né un cliente, né tantomeno un illecito. Identifica un nodo infrastrutturale condiviso.

Il rischio di overblocking non è un’eventualità remota, ma una conseguenza strutturale. Bloccare un IP CDN può significare rendere irraggiungibili servizi perfettamente leciti, con potenziali responsabilità civili a carico dell’operatore che esegue il blocco. Ed è qui che il discorso si ribalta: Cloudflare non teme la sanzione amministrativa, ma la responsabilità verso i propri clienti.

AGCOM afferma di aver valutato la proporzionalità delle misure, ma lo fa attraverso una motivazione standardizzata che potrebbe non reggere a un esame giurisdizionale approfondito, soprattutto alla luce dei principi europei sul divieto di obblighi generali di sorveglianza e sulla necessità di misure mirate e specifiche.

C’è da dire che nella Delibera 49/25/CONS, fornendo l’elenco dei nomi di dominio e degli indirizzi IP da bloccare lato Cloudflare, AGCOM precisava di accettare in alternativa l’applicazione di “misure tecnologiche e organizzative necessarie per rendere non fruibili da parte degli utilizzatori finali i contenuti diffusi abusivamente“. In altre parole, Cloudflare avrebbe ad esempio potuto attivarsi per disabilitare gli account collegati alle attività oggetto di contestazione, evitando così di dover bloccare IP appartenenti alla sua CDN e danneggiando clienti del tutto estranei.

Il problema sistemico: se ogni Stato avesse il suo Piracy Shield

Forse l’aspetto più rilevante è quello sistemico. Se il modello Piracy Shield fosse replicato da ogni Stato, un operatore globale si troverebbe a dover gestire decine di piattaforme nazionali, ciascuna con regole, tempi e criteri diversi.

Lo scenario è difficilmente compatibile con l’idea stessa di mercato unico digitale e con la filosofia alla base del DSA, che punta all’armonizzazione e alla riduzione della frammentazione regolatoria. Piracy Shield, pur legittimo sul piano interno, si colloca in una zona di frizione permanente con il diritto UE, e questa frizione non potrà essere ignorata a lungo.

Quali probabilità ha Cloudflare di vincere il ricorso al TAR e con quali argomentazioni?

AGCOM non sanziona Cloudflare per i contenuti, ma per l’inottemperanza a un ordine emesso dalla stessa Autorità italiana.

Cloudflare, con ogni probabilità, contesterà la proporzionalità tecnica degli ordini e quindi l’impatto sui suoi clienti. Il provider può ad esempio invocare il principio UE di proporzionalità, il divieto di obblighi generali di sorveglianza in capo ai provider nonché la giurisprudenza della Corte di Giustizia dell’Unione Europea in tema di misure “mirate e specifiche”.

L’altro argomento rilevante è che le segnalazioni avanzate attraverso la piattaforma Piracy Shield agiscono ex ante, in modo automatizzato. Di fatto, Cloudflare non ha potuto incidere sulle modalità, proporre soluzioni alternative e attivarsi per evitare danni a terzi prima dell’esecuzione.

Il TAR potrebbe inoltre annullare o ridurre la sanzione sulla base di diverse motivazioni. Si tratta della prima applicazione nei confronti di Cloudflare, in un contesto normativo in evoluzione, basata su un obbligo implicito e su un quadro tecnico fortemente controverso.

La giurisprudenza amministrativa italiana è ricca di precedenti in cui il giudice conferma l’impianto regolatorio ma censura la misura sanzionatoria per difetto di proporzionalità o carenza di motivazione rafforzata.

Conclusioni

Il caso Cloudflare–AGCOM non è, in ultima analisi, una controversia sulla pirateria. È una vertenza che accende un faro sulla forma che l’enforcement pubblico assume quando incontra infrastrutture private progettate su scala globale.

L’elemento davvero dirompente di Piracy Shield non è la rapidità dei blocchi, né l’automatizzazione delle segnalazioni, ma il fatto che uno strumento tecnico sia diventato, di fatto, una condizione necessaria per adempiere a obblighi giuridici, senza che questa condizione sia stata espressamente prevista dal legislatore. Qui si colloca la frattura più profonda.

Il TAR Lazio, qualunque sia l’esito formale del giudizio, si troverà inevitabilmente a svolgere un ruolo che va oltre il singolo caso. È probabile che la risposta sia articolata, alla ricerca di quell’equilibrio che oggi manca: da un lato la conferma del potere dell’Autorità; l’attestazione della legittimità degli obiettivi, ma allo stesso tempo la pretesa di un maggiore rigore nella costruzione degli strumenti; oltre alla salvaguardia dell’efficacia dell’azione pubblica senza trasformare gli intermediari delle comunicazione in terminali passivi dell’enforcement.

Il precedente che si sta formando non riguarda solo l’Italia. Riguarda il modo in cui l’Europa intende governare il digitale: se attraverso una somma di piattaforme nazionali di enforcement, o attraverso un vero spazio regolatorio comune, capace di parlare la stessa lingua delle infrastrutture che pretende di disciplinare.

Ed è per questo che il caso Cloudflare non è un incidente di percorso, ma un passaggio obbligato nella costruzione del diritto amministrativo dell’era digitale.