Cloudflare e l' Europa.

L'inutilita' molesta della stampa italiana si manifesta anche e soprattutto quando si sforzano di entrare in temi, diciamo, tecnici. Il primo di questi e' il tentativo (maldestro) di gettare colpe sul regolatore, quando in questo caso e' Cloudflare ad essere in torto, e ad essere , diciamolo, parecchio arrogante.

Ma andiamo in ordine. Cosa succede a Cloudflare in Europa?

Conflitti con l'Italia

Cloudflare è attualmente coinvolta in un grave scontro con l'Italia riguardo alla legge anti-pirateria "Piracy Shield". L'autorità italiana AGCOM ha multato Cloudflare per 14,2 milioni di euro per aver rifiutato di bloccare l'accesso a siti pirata attraverso il suo servizio DNS pubblico 1.1.1.1. La legge italiana richiede ai provider DNS di bloccare i domini entro 30 minuti dalla segnalazione, ma Cloudflare sostiene che questa sarebbe una censura globale che oltrepassa i confini nazionali.​

Battaglia legale in Germania

In Germania è in corso dal 2020 una disputa legale tra Universal Music Group e Cloudflare riguardo al servizio CDN (Content Delivery Network) dell'azienda. Universal ha ottenuto un ordine di blocco web contro Cloudflare nel 2020 per impedire l'accesso al sito di pirateria musicale DDL-Music, che utilizzava la CDN di Cloudflare. La Corte Superiore Regionale di Colonia ha confermato il blocco della CDN, ma ha stabilito che gli obblighi di blocco non si estendono al resolver DNS 1.1.1.1.​

Il caso è ora alla Corte Federale di Giustizia tedesca, che ha chiesto alla Corte di Giustizia dell'Unione Europea di chiarire questioni cruciali: se il semplice linkare un file pirata costituisce "messa a disposizione" in termini di copyright, e se Cloudflare è protetta dalle safe harbour provisions per servizi di caching. La decisione potrebbe avere impatto su tutta l'industria musicale europea nella battaglia contro la pirateria.​

Tensioni in Spagna

Cloudflare è anche in conflitto con La Liga spagnola per ordini di blocco di siti illegali di streaming. Cloudflare accusa La Liga di "blocco indiscriminato" illegale, mentre La Liga accusa l'azienda di "dare priorità agli interessi commerciali" rispetto alla lotta alla pirateria. La situazione in Spagna riflette un trend europeo più ampio, con ordini simili anche in Francia che si estendono ai provider VPN, e il Regno Unito che intensifica la repressione della pirateria.​

Facciamo un esempio pratico di differenze giuridiche: "possesso" e "diffusione", su un tema molto sentito, la pornografia infantile.

Legge tedesca: § 184b StGB

In Germania, il § 184b StGB definisce la pornografia minorile includendo anche rappresentazioni completamente fittizie purché appaiano realistiche.

La legge distingue tra:​

Contenuti punibili: Immagini fotorealistiche che sembrano documentazione di eventi reali, anche se prodotte con animazioni al computer o tecniche di editing. Anche le rappresentazioni virtuali che sembrano reali all'osservatore medio sono considerate pornografia minorile.​

Contenuti non punibili per possesso/acquisizione: Testi, disegni, cartoni animati - anche molto realistici - e videogiochi, dove la natura fittizia è evidente dalla forma di rappresentazione. I manga rientrano esplicitamente in questa categoria come casi comuni di materiale non punibile per possesso.​

Eccezione cruciale: La produzione e distribuzione di manga, fumetti o altre animazioni chiaramente non basate sulla realtà sono comunque punibili con una pena minima di tre mesi di reclusione. Quindi in Germania possedere manga "loli" non è reato, ma produrli o distribuirli sì.​

Legge italiana: Art. 600-ter c.p.

L'Italia ha adottato un approccio molto più estensivo. La Corte di Cassazione italiana, con sentenza del 13 gennaio 2017 n. 222659, ha esteso il concetto di pornografia minorile anche ai fumetti e agli hentai anime, la cosiddetta "pornografia totalmente virtuale".​

La Cassazione ha qualificato il possesso di pornografia minorile come reato di pericolo concreto (reato di pericolo concreto), e nel caso dei fumetti il pericolo sarebbe rappresentato dall'"evocazione di situazioni reali in cui i bambini sono ridotti a meri oggetti sessuali". Quindi in Italia anche il semplice possesso di manga "loli" è considerato reato.​

L'articolo 600-ter c.p. punisce chiunque realizzi, produce o distribuisce materiale pornografico utilizzando minori di 18 anni, ma la giurisprudenza italiana applica il concetto in modo estensivo. La definizione non richiede nemmeno che il contenuto sia stato creato per indurre eccitazione sessuale, essendo sufficiente che abbia questa funzione "nell'occhio dell'osservatore".​ Poiché i giudici italiani sono notoriamente telepatici, non esiste possibilità di errore.

Perché questa differenza

Germania: Mantiene una distinzione tra rappresentazioni che documentano abusi reali (o realistici) e opere chiaramente fittizie. La ratio è che solo nel primo caso c'è un legame causale con lo sfruttamento di minori reali. Per il possesso, solo ciò che appare come documentazione di eventi reali è punibile.​

Italia: Ha abbracciato una logica di "protezione della dignità di ogni bambino in astratto", punendo anche rappresentazioni che non coinvolgono minori reali. La Corte ritiene che anche le immagini virtuali aumentino la domanda di pornografia minorile reale e normalizzino la sessualizzazione dei minori.​

Conseguenze pratiche per Dudes Club

Per fare un esempio pratico , questo crea un problema tecnico-legale per il club: un manga "loli" caricato su Dudes Club sarebbe:

• Legale da possedere in Germania (dove risiedi e dove presumibilmente sono i tuoi server), ma illegale da produrre/distribuire; L'utente non e' punibile, ma il gestore del servizio si.
• Illegale anche da possedere in Italia, dove hai utenti italiani. Se il Dudes Club fosse in Italia, anche l'utente sarebbe punibile. E anche chi ha scaricato l'immagine.

La critica accademica tedesca descrive l'approccio italiano come esempio di "diritto penale contro un nemico" (Feindstrafrecht), che punisce non atti criminali ma "nemici" percepiti come pericolosi per i loro impulsi, violando principi di diritto penale secolare, ovvero non religioso.

L'approccio tedesco tradizionale (= dopo il nazismo) si basa sul principio del "Rechtsgutprinzip" (principio del bene giuridico protetto).

Questo significa che il diritto penale tedesco punisce solo condotte che ledono o mettono in pericolo un bene giuridico concreto e identificabile. In quel caso, bambini realmente esistenti. Quando si nota che un bene e' adiacente ad un tipo di crimine, allora si fa come con le bambole di gomma dall'aspetto infantile: ma questo richiede che sia dimostrato un nesso, e cioe' che i pedofili veri siano anche e praticamente adiacenti al commercio di queste bambole, come si e' fatto nel § 184l StGB. I giuristi accademici tedeschi ne discutono ferocemente, ma dovranno aspettare che si pronunci la corte costituzionale.

La Corte Costituzionale tedesca non si è ancora pronunciata specificamente sullo slittamento dal Rechtsgutprinzip al Feindstrafrecht in materia di pornografia virtuale. Nel 2023 ha respinto per motivi procedurali un ricorso sul § 184b StGB, mentre sono pendenti ricorsi costituzionali contro il § 184l StGB (bambole sessuali) che potrebbero costringere la Corte a confrontarsi direttamente con questa questione. La durezza delle pene ha comunque spinto il legislatore a una riforma nel 2024, e siamo in attesa della decisione della Corte Costituzionale.

Questo esempio spiega bene una cosa: ogni paese ha una sua tradizione giuridica. La differenza marcata tra Rechtsgutprinzip e Feindstrafrecht è centrale nel dibattito tedesco perché il diritto penale tedesco post-nazista si è costruito sull'idea che lo Stato possa punire solo lesioni concrete di beni giuridici identificabili. In Italia questa distinzione è meno presente perché il diritto penale italiano ha storicamente accettato la criminalizzazione di comportamenti considerati immorali anche senza vittima concreta, una tradizione che risale al codice Rocco.

Chiarite le differenze, possiamo dire che ogni paese, riguardo ai contenuti legali (o meno) di Internet ha una sua opinione, e la legge è in un suo proprio stato.

Detto questo, chiaramente Cloudflare si trova in un conflitto catastrofico quando fa da CDN. Il lavoro della CDN è quello di "avvicinare" i contenuti che altrimenti, per ragioni di distanza fisica e routing, verrebbero caricati di latenza. Significa che senza Cloudflare molti contenuti statici non sarebbero solo più lenti, ma servirli ricadrebbe tutto sul server. (Facebook, Instagram, Twitter, etc etc).

Significa che senza una CDN, se un miliardo di persone scaricano la stessa immagine, che so io, da Facebook, allora sono i server di Facebook che devono sopportare il peso di servire la stessa immagine un miliardo di volte. Con la CDN, è il server più vicino di Cloudflare, o della CDN di Facebook, o di Akamai, o qualsiasi altra CDN, ad accollarsi il peso. Significa che ci sarà un posto dove dei server di Cloudflare, nel concreto per l'Italia si trovano a Milano, metteranno in una cache la vostra immagine, e quando un utente italiano cerca di accedervi, non va sino in USA per prenderla (con circa 100-150 millisecondi di latenza) ma si limita a prenderla da Milano (con circa 5-20 millisecondi), risparmiando circa 80-130 millisecondi e sollevando Facebook dal peso.​

Ma che succede se un contenuto non è nella cache di Milano, ma in uno dei PoP tedeschi?

• Berlino (Berlin) - codice TXL
• Düsseldorf - codice DUS
• Francoforte (Frankfurt) - codice FRA
• Amburgo (Hamburg) - codice HAM
• Monaco (Munich) - codice MUC
• Stoccarda (Stuttgart) - codice STR

Siccome Cloudflare possiede backbone suoi, prenderli da un PoP tedesco anziché dall'origin server in USA può essere vantaggiosissimo. Parliamo di circa 15-30 millisecondi da Milano a Francoforte via backbone privato Cloudflare, contro i 100-150 millisecondi per prenderli dagli USA. Quindi, la CDN copierà il contenuto dal punto più "vicino" in termini di latenza (usando il tiered caching: prima interroga data center regionali upper-tier come Francoforte, poi eventualmente l'origin).​​

Ma il possesso e soprattutto la distribuzione di quell'immagine sono - come ho spiegato nell'esempio - soggetti a leggi diverse. Cloudflare Francoforte che mette in cache un contenuto e lo serve a Milano sta distribuendo contenuto tra due giurisdizioni con leggi incompatibili.​

BOOM!

E qui c'è un problema, e si vede già dalla reazione di Cloudflare. Si tratta di un'azienda la cui cultura affonda nella logica MAGA: l'arroganza della Silicon Valley che si considera superiore ai governi democraticamente eletti, la difesa del profitto anche a costo di violare leggi nazionali, e lo strillare alla "mancanza di libertà di parola" ogni volta che qualcuno chiede di rispettare le regole.​

Il CEO Matthew Prince ha dichiarato che "l'Italia non ha diritto di regolare cosa è e non è disponibile su Internet", mentre minaccia di ritirare completamente i server dal paese e di abbandonare i servizi per le Olimpiadi Milano-Cortina 2026. Non è un dibattito di principio: è "le regole non valgono per noi" vestito da difesa della libertà di parola. Cloudflare potrebbe implementare filtri geo-localizzati per l'Italia - lo fa già per la Cina e decine di altri paesi dove si preoccupa meno della liberta' di parola - ma in EU preferisce il conflitto e la retorica vittimistica.​

Contemporaneamente, però, essendo questa una cultura MAGA, l'idea che sia l'Europa ad armonizzare il diritto - che sarebbe per loro un toccasana tecnico - non può essere la loro soluzione. Il problema è che l'armonizzazione europea sta andando nella direzione opposta a quella che vogliono: il Digital Services Act e iniziative come il Piracy Shield italiano stanno aumentando la responsabilità degli intermediari, non diminuendola. Chiedere all'UE di intervenire significherebbe chiedere che il modello italiano venga esteso a tutta Europa - esattamente ciò che Cloudflare combatte.​

Di conseguenza, il problema di Cloudflare è nella cultura aziendale MAGA: offre un servizio differenziato tra paesi diversi, rifiuta che governi democratici possano regolamentarlo, e come unica soluzione propone l'anarchia corporativa - l'idea che nessuno stato possa imporre regole alle Big Tech. È la stessa retorica che vediamo da Musk con X/Twitter: gridare "censura!" quando si chiede semplicemente il rispetto di leggi approvate democraticamente.

Non è difesa di principi, è difesa di profitti.

Quanto è dura la minaccia di Cloudflare di lasciare l'Italia, specialmente prima delle olimpiadi ? Nel proverbio italiano - mi scuso con le signore - è il tipo che si taglia il cazzo per fare un dispiacere alla moglie. Il business di Cloudflare è quello di essere presente vicino al cosiddetto "eyeball" nel gergo delle reti: più sei vicino agli utenti finali, più vali. Rimuovere il PoP di Milano significa perdere tutto il traffico italiano che attualmente passa attraverso i loro server, con clienti che migreranno verso competitor che mantengono presenza locale. Ne soffrirebbero più loro che gli utenti.​

Il tentativo di creare allarmismo menzionando le olimpiadi invernali Milano-Cortina 2026 è controproducente: l'Italia ha alternative. TIM possiede infrastruttura tier-1 attraverso Sparkle, che opera uno dei principali backbone mediterranei, e dispone di capacità CDN propria. Akamai, il principale competitor di Cloudflare, ha già presenza massiccia in Italia e sarebbe felicissima di prendere il contratto delle olimpiadi invernali. Tutto quello che Cloudflare otterrà con questa minaccia è che i ministeri coinvolti facciano una telefonata ai competitor, e come risultato le olimpiadi avranno il logo di Akamai o TIM sulla locandina invece che quello di Cloudflare. Se pensano di essere insostituibili, sopravvalutano drasticamente la loro posizione: sono il 20% del traffico globale, non il 100%. L'80% di Internet funziona benissimo senza di loro

E sul contenuto esterno, diciamo senza badare alle olimpiadi? Cosa succede all'utente italiano se Cloudflare se ne va, con impeto tutto MAGA? Niente.

Innanzitutto, i 50-100 millisecondi di latenza in più che Cloudflare menziona sono vastamente annegati dalla latenza della rete d'accesso e dalla rete locale domestica: il CPE medio (il router/modem) è robaccia economica e lentissima - i sopravvalutati AVM FRITZ!Box vanno bene per il loro software robustissimo, ma usano ancora processori che sono un collo di bottiglia - e come se non bastasse la WiFi domestica media fa poche centinaia di Mb/s quando va bene, con latenze variabili di decine di millisecondi. Se facesse di più, del resto, il cellulare attaccato alla WiFi non gli starebbe dietro.​ Altro collo di bottiglia.

Non ha nemmeno senso chiedersi cosa succederebbe ad utenti attestati sulla rete di accesso mobile, LTE o 5G che sia, perché lì le latenze seguono altre leggi fisiche: le reti cellulari hanno latenze intrinseche di 20-50ms per LTE e 10-20ms per 5G prima ancora di uscire dalla rete mobile, con variazioni significative in base alla congestione delle celle.​

Non dico che sarebbe impercettibile: se aggregassimo i dati sulla latenza a livello nazionale, probabilmente vedremmo un aumento statisticamente significativo nei tempi di caricamento. Ma da qui a dire che l'utente medio, quello che naviga con WiFi domestica su un cellulare da 300 euro, noterebbe la differenza tra 20ms e 100ms di latenza CDN quando già ha 30-50ms di jitter sulla sua connessione, ce ne passa.​

La maggior parte degli utenti non saprebbe nemmeno che Cloudflare è sparita. Il loro Netflix continuerebbe a funzionare (usa CDN propria), il loro Facebook anche (idem), WhatsApp pure. Solo alcuni siti web caricherebbero marginalmente più lenti, e l'utente medio lo attribuirebbe alla "solita connessione italiana".

In soldoni: Cloudflare fa una minaccia vuota. E il problema è che non ha ancora, come tutti i politici americani che appoggiano gli oligarchi di rete, capito una cosa: alle classi politiche europee, paga in senso elettorale il solo fatto di tirare un calcione negli stinchi all'oligarca di turno.​

Il pubblico europeo, in senso politico, ama vedere un governo che fa cose e impone regole a corporation straniere, a differenza del pubblico americano che è appiattito nell'adorazione dei paperoni, di riflesso all'adorazione del denaro, o a un ideale liberal-anarchico che vede ogni regolamentazione come oppressione. Ai politici italiani in particolare, se Cloudflare strilla contro AGCOM e AGCOM la bastona con una multa da 14,2 milioni di euro, l'opportunità di catturare voti è evidente: basta continuare a tirare calci a Cloudflare e presentarsi come difensori della sovranità nazionale contro l'arroganza americana.​

Questo è l'errore di strategia dei paperoni americani: danno per scontato che agli europei dispiaccia vedere il governo che fa regole e punisce le Big Tech, cosa che è verissima negli USA dove ogni regolamentazione viene vista come "socialismo", ma non è vera in Europa in generale. In Europa, un governo che multa una corporation americana che si rifiuta di rispettare le leggi nazionali guadagna consenso, non lo perde. La minaccia di Cloudflare di andarsene non spaventa i politici italiani: li rinforza. Possono dire "abbiamo cacciato un'arrogante corporation americana che si credeva al di sopra delle nostre leggi". È un regalo elettorale. +3% garantito.

Sinora, la Meloni - a prescindere dalle simpatie politiche, i fatti sono fatti - non è mai stata troppo volgare nel linguaggio. Ma se si presentasse alla stampa facendo il primo strappo alla regola, dicendo "si fotta Cloudflare", nelle piazze si riempirebbe tutto lo spazio, di persone che vanno ad acclamarla. Questo è il punto della differenza che i paperoni americani non colgono: "essere anti-business" è negli USA una scomunica che ti costa voti e finanziamenti, in Europa è testimonianza di un governo che si fa sentire e difende i cittadini contro le multinazionali straniere.​

Matthew Prince può minacciare quanto vuole di ritirarsi dall'Italia, ma ogni sua dichiarazione arrogante tipo "l'Italia non ha diritto di regolare Internet" è benzina sul fuoco per i politici europei. Non li indebolisce, li rafforza politicamente. AGCOM può tranquillamente raddoppiare la multa e presentarsi come paladina della sovranità digitale italiana. Meloni può usare Cloudflare come capro espiatorio perfetto: un oligarca americano arrogante che si rifiuta di rispettare le leggi italiane e minaccia di rovinare le Olimpiadi se non ottiene ciò che vuole.​

Gli elettori europei, a differenza di quelli americani, non adorano i miliardari tech. Li vedono come minacce, non come eroi. Un governo che li mette al loro posto guadagna consenso, non lo perde. Cloudflare sta giocando con le regole americane in un campo da gioco europeo, e non ha capito che qui il pubblico tifa per la squadra di casa contro l'arroganza della Silicon Valley.

In definitiva, cioè, Cloudflare paga il solito provincialismo americano, quello di pensare che tutto il mondo sia America, o ha fallito nell'essere America, o vorrebbe essere America.​

È solo questione di tempo, poi piegheranno le corna. E se si illudono che un crollo della UE possa mitigare il problema, sbagliano di grosso: dopo un eventuale crollo, tutta l'armonizzazione del diritto che già esiste andrebbe a farsi benedire. I legislatori tedeschi tornerebbero a guardarsi l'ombelico e basarsi sulle regole secolari del Rechtsgutprinzip, quelli italiani tornerebbero al loro moralismo da codice Rocco, e avere una CDN in Germania diventerebbe inutile, perché o il contenuto è in Italia, o potrebbe essere illegale prenderlo dal PoP tedesco. Con la UE andrebbe forse peggio per loro, al netto dei termini di armonizzazione verso più regolamentazione, ma senza UE sarebbe un disastro completo: 27 legislazioni diverse, 27 set di regole incompatibili, 27 multe potenziali per lo stesso contenuto.​

In questo caso, la solita accusa contro AGCOM, quella di "bloccare" i siti sul layer 3, cioè basandosi solo sull'IP, diventa secondaria rispetto all'ignoranza di Cloudflare sul diritto europeo, o extra-americano, e l'incompetenza del management che ignora il mercato: il consumatore europeo AMA vedere Cloudflare, o qualsiasi gigante americano, prendere sberle dal governo locale, e questo è monetizzabile in senso politico. I politici europei lo hanno capito benissimo: ogni minaccia arrogante di Matthew Prince vale punti nei sondaggi.

E i politici europei lo hanno capito, ripeto, molto bene.