Il Consiglio dell’Autorità per le Garanzie nelle Comunicazioni (AGCOM), nella seduta del 29 dicembre 2025, ha irrogato a Cloudflare Inc. una sanzione pecuniaria superiore ai 14 milioni di euro per l’inottemperanza a un ordine adottato nel febbraio dello stesso anno in materia di contrasto alla pirateria online. Il provvedimento, formalizzato con la delibera 333/25/CONS e approvato con il voto contrario della commissaria Elisa Giomi, riguarda il mancato adeguamento alle prescrizioni impartite ai sensi della legge antipirateria 93/2023, che impone a determinati fornitori di servizi della società dell’informazione di intervenire per rendere inaccessibili contenuti diffusi illecitamente.
Obblighi tecnici e ruolo degli intermediari digitali
L’ordine contestato a Cloudflare richiedeva l’adozione di misure tecniche e organizzative finalizzate a impedire la fruizione di contenuti pirata segnalati dai titolari dei diritti attraverso la piattaforma Piracy Shield. In concreto, l’Autorità aveva indicato la disabilitazione della risoluzione dei nomi di dominio tramite DNS pubblici e l’interruzione dell’instradamento del traffico di rete verso specifici indirizzi IP, lasciando comunque alla società la possibilità di individuare soluzioni tecnologicamente equivalenti. Secondo l’AGCOM, tali interventi non sono stati implementati neppure dopo la notifica dell’ordine, consentendo che i servizi offerti dalla società continuassero a essere utilizzati come snodo infrastrutturale per la distribuzione di opere protette senza autorizzazione.
Nel motivare la sanzione, l’Autorità ha richiamato il quadro normativo che disciplina la tutela del diritto d’autore online, evidenziando come la legge antipirateria abbia esteso in modo esplicito il novero dei soggetti tenuti a collaborare all’enforcement. In particolare, l’ordine dell’AGCOM chiedeva a Cloudflare di intervenire su alcuni snodi tecnici che rendono i siti raggiungibili dagli utenti. Quando una persona digita l’indirizzo di un sito che utilizza i servizi della società americana, la richiesta non arriva direttamente al server che ospita i contenuti, ma passa attraverso l’infrastruttura di Cloudflare, che funge da intermediario e da filtro per il traffico di rete. In questo caso, l’Autorità aveva richiesto di impedire che tali passaggi continuassero a funzionare per una serie di domini e indirizzi IP segnalati come veicolo di contenuti pirata, così da rendere quei siti di fatto irraggiungibili dall’Italia. Secondo quanto accertato nel procedimento, Cloudflare non avrebbe adottato alcuna delle misure tecniche o organizzative necessarie per bloccare questi flussi, consentendo che i propri servizi continuassero a essere utilizzati per mantenere accessibili contenuti diffusi in violazione del diritto d’autore. In questo contesto, la sanzione è stata determinata applicando una percentuale pari all’1% del fatturato globale dell’ultimo esercizio chiuso, in una cornice che consente di arrivare fino al 2% nei casi di inottemperanza agli ordini dell’Autorità.
Piracy Shield, numeri e reazioni della società
Il provvedimento si inserisce in una strategia di contrasto che, dalla messa in funzione di Piracy Shield nel febbraio 2024, ha portato alla disabilitazione di oltre 65 mila nomi di dominio completamente qualificati e di circa 14 mila indirizzi IP destinati alla fruizione di contenuti illeciti. L’AGCOM ha sottolineato come una quota significativa dei siti oggetto di blocco utilizzi servizi di Cloudflare per garantire stabilità, performance e protezione del traffico, circostanza che rafforza, nella lettura dell’Autorità, la necessità di un coinvolgimento diretto di questo tipo di operatori.
Alla decisione ha reagito pubblicamente l’amministratore delegato di Cloudflare, Matthew Prince, che ha annunciato il ricorso contro la sanzione contestandone l’impianto e le modalità applicative. In un intervento diffuso sui social, Prince ha sostenuto che le richieste avanzate dall’Autorità italiana configurerebbero un meccanismo di censura privo di adeguate garanzie procedurali e ha prospettato conseguenze operative rilevanti, dando ragione ad Elon Musk, che recentemente ha contestato l’Europa per la sanzione comminata a X. Tra le minacce indicate dal CEO Prince nel suo post, figurano l’interruzione dei servizi di sicurezza informatica offerti a utenti con sede in Italia, la rimozione dei server presenti sul territorio nazionale, il blocco di nuovi investimenti e la cessazione del supporto previsto per le Olimpiadi invernali di Milano Cortina.
