Piracy Shield: quando la lotta alla pirateria diventa censura privatizzata

Il problema è reale

Prima di tutto, togliamo di mezzo un equivoco. La pirateria online in Italia non è un fenomeno marginale. Lo streaming illegale di partite di calcio serie A, Champions League e altri eventi sportivi in diretta ha raggiunto dimensioni industriali: milioni di utenti, server distribuiti in tutto il mondo, servizi che si riorganizzano in pochi minuti dopo ogni blocco. Le società titolari dei diritti perdono soldi reali. La questione è concreta, e chi la minimizza sbaglia.

È in questo contesto che nel febbraio del 2024 AGCOM, l'Autorità per le Garanzie nelle Comunicazioni, ha lanciato Piracy Shield. L'idea era ambiziosa: un sistema automatizzato che permettesse di bloccare siti pirata in tempi rapidissimi, prima ancora che la partita finisse. Niente più ricorsi che durano anni mentre le trasmissioni illegali continuano indisturbate. Velocità, efficienza, deterrenza.

Un obiettivo in sé condivisibile. Il problema non sta nel fine, ma negli strumenti scelti per raggiungerlo.

Come funziona concretamente

Piracy Shield è un portale elettronico attraverso il quale un gruppo di aziende mediatica italiane può segnalare siti web e indirizzi IP da bloccare. I fornitori di servizi registrati alla piattaforma hanno esattamente trenta minuti di tempo per rendere inaccessibili quei contenuti ai propri utenti. Trenta minuti. Non c'è un giudice che firma un provvedimento. Non c'è un'autorità pubblica che valuta le segnalazioni nel merito. Non esiste nemmeno un elenco pubblico di chi può fare quelle segnalazioni.

Chi ha costruito questo sistema? Il portale è stato sviluppato da SP Tech, la divisione tecnologica dello Studio legale Previti. Lo stesso studio che rappresenta molti dei principali beneficiari del sistema, tra cui la Lega Nazionale Professionisti Serie A. Il tutto consegnato ad AGCOM senza gara d'appalto pubblica, giustificato da un'urgenza normativa. Come ricercatore di diritto informatico trovo questa circostanza particolarmente degna di attenzione: chi ha costruito lo strumento ha un interesse economico diretto nel modo in cui lo strumento viene usato.

Il difetto tecnico che nessuno ha voluto correggere

Per capire perché i blocchi finiscono per colpire siti innocenti bisogna fare un piccolo passo indietro e guardare come funziona internet sul piano tecnico. Gli indirizzi IP versione 4, quelli che usiamo da decenni, sono un numero finito. Sono talmente pochi che oggi migliaia di siti diversi condividono spesso lo stesso indirizzo IP, appoggiadosi allo stesso server fisico. Quando Piracy Shield ordina di bloccare un indirizzo IP perché su di esso gira un servizio di streaming illegale, blocca in automatico tutto il resto che condivide quell'indirizzo. Tutti gli ospiti innocenti dello stesso palazzo finiscono per pagar il conto.

Il risultato, documentato da uno studio dell'Università di Twente pubblicato nel settembre del 2025, è che i blocchi su contenuti legittimi si protraggono spesso per mesi interi. Non ore, mesi. Tra i casi concreti segnalati negli atti del contenzioso con Cloudflare figurano portali governativi ucraini dedicati a scuole e ricerca scientifica, ONG europee impegnate in programmi sociali per donne e bambini, piccole imprese che hanno perso visibilità per settimane. E poi il caso più rumoroso: Google Drive rimasto inaccessibile per gli utenti italiani per oltre dodici ore consecutive.

Questi non sono aneddoti isolati. Sono effetti collaterali strutturali di un sistema che agisce per indirizzi IP senza possedere un meccanismo di correzione rapido e trasparente. Nel 2025, AGCOM ha ampliato il perimetro del sistema estendendo l'obbligo di iscrizione a Piracy Shield anche ai fornitori di servizi DNS pubblici e alle VPN, strumenti direttamente legati alla privacy e alla libertà di espressione degli utenti.

La multa da 14 milioni e il caso Cloudflare

Cloudflare è una società americana che gestisce una delle infrastrutture internet più grandi al mondo. Tra i suoi servizi c'è 1.1.1.1, un resolver DNS pubblico usato da miliardi di persone ogni giorno. Quando AGCOM ha esteso l'obbligo di registrazione anche ai fornitori DNS, Cloudflare si è rifiutata di aderire al sistema e ha contestato la legittimità dell'obbligo davanti ai tribunali amministrativi italiani.

Il 23 dicembre 2025, il Tribunale Amministrativo Regionale ha ordinato ad AGCOM di trasmettere a Cloudflare tutta la documentazione relativa ai blocchi disposti attraverso Piracy Shield. Il 29 dicembre 2025, AGCOM ha irrogato a Cloudflare una sanzione amministrativa da 14 milioni e 247 mila euro per inadempimento agli obblighi di iscrizione e blocco previsti dalla piattaforma.

La cifra stessa è contestata nel merito da Cloudflare. La legge italiana prevede che le sanzioni per inadempimento siano calcolate sul fatturato realizzato nella giurisdizione rilevante, con un tetto massimo del 2%. Applicando questa regola al fatturato italiano di Cloudflare, la sanzione massima avrebbe dovuto attestarsi intorno ai 140 mila euro. AGCOM ha invece calcolato la multa sull'1% del fatturato globale dell'azienda, producendo una cifra quasi cento volte superiore. La motivazione ufficiale è che i servizi di Cloudflare che permettono l'accesso ai contenuti piratati sono probabilmente fatturati in altri paesi. Cloudflare contesta questa impostazione nel ricorso presentato all'8 marzo 2026.

Cloudflare ha presentato ricorso l'8 marzo del 2026 e ha reso pubblica la propria posizione con un post dettagliato sul blog aziendale. Nel frattempo, AGCOM non ha ancora consegnato tutta la documentazione che il tribunale aveva ordinato di produrre: ha offerto l'accesso a una parte degli atti, ma solo per consultazione fisica presso i propri uffici di Napoli, sotto supervisione diretta dei funzionari dell'autorità.

Il problema più grande: il precedente

La Commissione europea ha già espresso preoccupazioni formali. Il 13 giugno del 2025, in risposta a un esposto congiunto presentato da Cloudflare e dalla Computer and Communications Industry Association, la Commissione ha inviato ad AGCOM una lettera ufficiale in cui critica la mancanza di meccanismi di supervisione nel sistema Piracy Shield. Il riferimento normativo è il Digital Services Act, il regolamento europeo che impone criteri di proporzionalità e garanzie procedurali per qualsiasi restrizione ai contenuti online.

È qui che il tema smette di essere una questione tecnica tra AGCOM e un'azienda californiana e diventa una questione che riguarda tutti gli utenti di internet. Piracy Shield rappresenta un modello: aziende private che ordinano blocchi, infrastrutture globali costrette a obbedire in trenta minuti, nessun giudice nel mezzo, nessuna trasparenza sul chi e sul perché. Se questo modello regge legalmente in Italia, se sopravvive ai ricorsi e non viene corretto dalla Commissione europea, diventa un precedente che altri paesi e altri settori possono adottare. Non solo per la pirateria. Per qualsiasi contenuto che interessi economicamente a un gruppo abbastanza influente da convincere un regolatore a costruire il proprio portale.

Chi si occupa di diritto informatico, come faccio io, sa che i principi del giusto processo non sono burocrazia fine a se stessa. Sono il modo in cui una società decide che certe decisioni non possono essere prese da chi ha un interesse economico diretto in esse. Togliere quel filtro non rende il sistema più veloce in senso utile: lo rende semplicemente più sbilanciato a favore di chi ha più potere negoziale.

La pirateria va combattuta. Ma gli strumenti che usiamo per combatterla ci dicono qualcosa su che tipo di internet vogliamo. E su chi decidiamo di far sedere al centro di quella decisione.