Il safe harbor ex § 230 CDA per Youtube in caso di accessi abusivi frodatori ad account altrui

Interessante lite sull’applicabilità del § 230 CDA statunitense a Youtube per allegate violazioni informatiche a fini di frode in account altrui (tra cui quello di Steve Wozniak) .

E’ ora giunta la decisione del 6° appellate district 15 marzo 2024,  H050042
(Santa Clara County Super. Ct. No. 20CV370338), Wozniak e altri c. Youtube), che sostanzialmente conferma il rigetto del primo grado (lasciando aperta agli attori solo  una piccola finestra).

La fattispecie è interessante per l’operatore.  Gli attori avevano diligentemente cercato di aggirare il safe harbour, argomentando in vario modo che gli addebiti a Y. erano di fatti propri (cioè di Y.), anzichè di mera condotta editoriale di informazioni altrui (per cui opera il safe harbor). Ragioni che la corte (anzi gli attori) avevano raggruppato in sei categorie:

a. Negligent security claim

b. Negligent design claim

c. Negligent failure to warn claim

d. Claims based on knowingly selling and delivering scam ads and
scam video recommendations to vulnerable users

e. Claims based on wrongful disclosure and misuse of plaintiffs’
personal information

f. Claims based on defendants’ creation or development of
information materially contributing to scam ads and videos

Ma per la corte non si può arrivare a qualificarle come condotte proprie di Y.  ai sensi del § 230 CDA , ma solo dei terzi frodatori (sub ii Material contributions, 34 ss).

Concede però parziale Leave to amend, p. 36.

I profili allegati dagli attorei sono utili pure da noi, perchè il problema è sostanzialmente simile: quello del capire se le notizie lesive pubblicate possono dirsi solo del terzo oppure anche della piattaforma (art. 6 reg. UE DSA  2022/2065)

(notizia della e link alla sentenza dal blog di Eric Goldman)

Safe harbour ex § 230 CDA per piattaforma che verifica malamente l’identità dell’utente, poi autore dell’illecito?

Dice di si la corte del District of Colorado, Case 1:22-cv-00899-MEH , del 5 dicembre 2022, Roland ed altri c. Letgo+2.

Si tratta di azione contro una piattaforma di scambi di annunci di compravendita (Letgo), basata sul fatto che  la stessa non aveva controllato l’identità di un venditore: il quale aveva postato un annuncio fasullo per poi rapinare il potenziale acquirente (incontro poi conclusosi tragicamente per quet’ultimo).

Circa il § 230.c.1 del  CDA, la piattaforma è di certo internet  provider.

Che sia trattata come publisher o speaker è altretanto certo, anche se la corte si dilunga un pò di più.

Il punto difficile è se fosse o meno un <content privider>, dato che in linea di principio l’annuncio era del suo utente.

Per la corte la piattaforma era in parte anche contentt priovider.

Bisogna allora capire il fatto: centrale è l’attività di verifica dell’utente/venditore.

< Letgo provides a website and mobile application allowing users to “buy from, sell to and
chat with others locally.” Amended Complaint (“Am. Compl.”) at ¶ 21. It advertises a “verified
user” feature. Id. ¶ 23. On its website, Letgo explains that it utilizes “machine learning” to identify
and block inappropriate content (such as stolen merchandise) and continues to work closely with
local law enforcement to ensure the “trust and safety of the tens of millions of people who use
Letgo.”
Id. OfferUp merged with Letgo on or around August 31, 2020. Id. ¶ 26.
To access its “marketplace,” Letgo requires that its consumers create a Letgo account.
Id.
¶ 27. Each new account must provide a name (the truthfulness of which Letgo does not verify) and
an active email address.
Id. Once a new Letgo account is created, the user is given an individual
“user profile.”
Id. at ¶ 28. Each new user is then given an opportunity to and is encouraged to
“verify” their “user profile.”
Id. Once a user is “verified,” the term “VERIFIED WITH” appears
on their profile (in this case, Brown verified with a functioning email address).
Id. ¶¶ 29-30.1 Letgo
performs no background check or other verification process.
Id. Once created, a Letgo user’s
account profile is viewable and accessible to any other Letgo user.
Id. ¶ 31. Letgo buyers and
sellers are then encouraged to connect with other users solely through Letgo’s app.
Id. Letgo’s
advertising and marketing policies prohibit selling stolen merchandise.
Id. 32. Furthermore, the
app promotes its “anti-fraud technology” to help detect signs of possible scams based on keyword
usage.
Id. >

ciò è dufficiente per ritenerlo cotnent priovioder e negarre alla piattaforma il safe harour.

< The singular item of information relevant here is the “verified” designation, and factually,
it appears to be a product of input from both Letgo and its users. It seems from the record that
simply providing a telephone number to Letgo is not sufficient to earn the “verified” designation.
At oral argument, Defendants acknowledged that when someone wants to create an account, he
must provide, in this case, a functioning telephone number, whereupon Letgo sends a
communication to that telephone number (an SMS text) to confirm that it really exists, then informs
users that the person offering something for sale has gone through at least some modicum of
verification. Thus, the argument can be made that Plaintiffs’ claims do not rely solely on thirdparty content.
Defendants say Letgo merely created a forum for users to develop and exchange their own
information, and the “verified” designation, relying solely on the existence of a working email
address or telephone number, did not transform Letgo into a content provider. Mot. at 14. “If [a
website] passively displays content that is created entirely by third parties, then it is only a service
provider with respect to that content. But as to content that it creates itself . . . the website is also
a content provider.”
Roommates.Com, LLC, 521 F.3d at 1162. I do not find in the existing caselaw
any easy answer. (….) In the final analysis under the CDA, I find under Accusearch Inc. that Plaintiffs have
sufficiently pleaded, for a motion under Rule 12(b)(6), that Defendants contributed in part to the
allegedly offending “verified” representation. Therefore, as this stage in the case, Defendants are
not entitled to immunity under the statute. Whether this claim could withstand a motion for
summary judgment, of course, is not before me 
>

Nonostante neghi il safe harbour alla piattaforma, accoglie però le difese di questa rigettando la domanda.

Analoga disposizione non esiste nel diritto UE e ciò anche dopo il Digital Services Act (Reg. UE 2022/2065 del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali))

(notizia e link alla sentenza dal blog del prof Eric Goldman)

Ritwittare aggiungendo commenti diffamatori non è protetto dal safe harbour ex 230 CDA

Byrne è citato per diffamazione da Us Dominion (azienda usa che fornisce software per la gestione dei processi elettorali) per dichiaraizoni e tweet offensivi.

Egli cerca l’esimente del safe harbour ex 230 CDA ma gli va male: è infatti content provider.

Il mero twittare un link (a materiale diffamatorio) pootrebbe esserne coperto: ma non i commenti accompagnatori.

Così il Trib. del District of Columbia 20.04.4022, Case 1:21-cv-02131-CJN, US Dominion v. Byrne: <<A so-called “information content provider” does not enjoy immunity under § 230.   Klayman v. Zuckerberg, 753 F.3d 1354, 1356 (D.C. Cir. 2014). Any “person or entity that is responsible, in whole or in part, for the creation or development of information provided through the Internet or any other interactive computer service” qualifies as an “information content provider.” 47 U.S.C. § 230(f)(3); Bennett, 882 F.3d at 1166 (noting a dividing line between service and content in that ‘interactive computer service’ providers—which are generally eligible for CDA section 230 immunity—and ‘information content provider[s],’ which are not entitled to immunity”).
While § 230 may provide immunity for someone who merely shares a link on Twitter,
Roca Labs, Inc. v. Consumer Opinion Corp., 140 F. Supp. 3d 1311, 1321 (M.D. Fla. 2015), it does not immunize someone for making additional remarks that are allegedly defamatory, see La Liberte v. Reid, 966 F.3d 79, 89 (2d Cir. 2020). Here, Byrne stated that he “vouch[ed] for” the evidence proving that Dominion had a connection to China. See
Compl. ¶ 153(m). Byrne’s alleged statements accompanying the retweet therefore fall outside the ambit of § 230 immunity>>.

Questione non difficile: che il mero caricamente di un link sia protetto, è questione interessante; che invece i commenti accompagnatori ingiuriosi rendano l’autore un content provider, è certo.

Sito-bacheca di annunci e esenzione ex § 230 CDA

Un sito web, che ospiti annunci illeciti (nel caso: sfruttamento di minori), può appellarsi all’esenzione da responsabilità posta dal § 230 CDA (communication decency act) statunitense?

Si, secondo la U.S. Dist. Court-NORTHERN DISTRICT OF CALIFORNIA, 20 agosto 2020, J.B. c. Craiglist e altri, Ccse No. 19-cv-07848-HSG .

Il punto è trattato nella parte III.A, p . 5-11.

Ricorrono infatti  tre requisiti della relativa fattispecie:  << ‘(1) a provider or user of an interactive computer service (2) whom a plaintiff seeks to treat, under a state law cause of action, as a publisher or speaker (3) of information provided by another information content provider.’”>>, P. 5.

Il punto più interssante (ma non da noi, trattandosi di normativa solo statunitense) è il coordinamento del § 230 CDA con la novella 2018 c.d. SESTA-FOSTA o solo FOSTA:  Fight Online Sex Trafficking Act (“FOSTA”) and Stop Enabling Sex Traffickers (“SESTA”) , ivi, p. 6/7. Novella che va ad aggiungere il punto (5) alla lettera (e) del § 230.

L’attrice sostiene che detta novella toglie il safe harbour a Craiglist in relazione alle violazioni dedotte.   Il giudice però la pensa all’opposto, pp. 8-10.

All’attrice va male pure con l’ultima difesa, consistente nel ritenere Craiglist sia un “content provider”. Ha infatti buon gioco la Corte nel rigettarla, dal momento che Craiglist si limitava ad ospitare contenuti in toto prodotti da terzi. Viene all’uopo richiamato la decisione Fair Hous. Council of San Fernando Valley v. Roommates.Com, LLC, 521 F.3d 1157, 1162 (9th Cir. 2008), importante perchè richiamato un pò da tutti quelli che si occupano di responsabilità delle piattaforme

Altro discorso è quello della presenza di eventuali segnali di allarme della illiceità, che avrebbero dovuto indurre cautela (se non azioni positive di contrasto ) in Craiglist (red flags di vario tipo, diffide etc.). Tuttavia l’evenienza non è regolata nel § 230 CDA , a differenza dal safe harbour per il copyright (§ 512 DMCA) e a differenza pure dalla nostra disciplina nazional-europea.

(notizia e link alla sentenza presi dal blog di Eric Goldman)