La Corte di giustizia UE (cause riunite C-188/24 e C-190/24) chiarisce quando uno Stato membro può imporre verifiche dell’età sui siti pornografici e limiti alla diffusione di informazioni su alcuni controlli stradali.
Uno Stato membro può imporre a un operatore digitale stabilito in un altro Paese Ue di adottare sistemi di verifica dell’età o di limitare la diffusione di informazioni sui controlli stradali?
La Corte di giustizia dell’Unione europea, Grande Sezione, con la sentenza del 16 giugno 2026, resa nelle cause riunite C-188/24 e C-190/24, risponde di sì, ma a determinate condizioni.
Il principio del Paese d’origine, previsto dalla direttiva 2000/31/CE sul commercio elettronico, resta la regola. Lo Stato membro in cui il servizio è accessibile può intervenire solo nei casi e con le garanzie previste dal diritto dell’Unione.
La decisione nasce da due vicende francesi. La prima riguarda alcuni operatori di siti pornografici stabiliti nella Repubblica ceca, destinatari di misure dirette a impedire l’accesso dei minori ai contenuti pornografici. La seconda riguarda un servizio di assistenza alla guida e geolocalizzazione, al quale la normativa francese può vietare di ritrasmettere segnalazioni degli utenti su determinati controlli delle forze dell’ordine.
La questione: quanto può intervenire lo Stato di destinazione?
La direttiva e-commerce si fonda su una regola semplice: il prestatore di servizi della società dell’informazione è sottoposto, di norma, al controllo dello Stato membro in cui è stabilito.
È il principio del Paese d’origine. Serve a evitare che un operatore online debba rispettare, contemporaneamente, tutte le normative nazionali degli Stati membri in cui il servizio è accessibile.
Ma questa regola non è assoluta.
L’art. 3 della direttiva 2000/31/CE consente allo Stato di destinazione di adottare misure derogatorie quando ricorrono specifiche condizioni. La misura deve riguardare un determinato servizio, deve essere giustificata da ragioni come ordine pubblico, pubblica sicurezza, tutela dei minori, protezione della dignità umana o protezione dei consumatori, e deve rispettare i requisiti di necessità e proporzionalità.
Salvo i casi di urgenza, lo Stato deve inoltre chiedere prima allo Stato di stabilimento del prestatore di intervenire e deve notificare alla Commissione europea e allo stesso Stato l’intenzione di adottare la misura.
Il campo regolamentato della direttiva e-commerce
La Corte chiarisce che il campo regolamentato della direttiva 2000/31/CE non riguarda solo le materie espressamente armonizzate dalla direttiva.
Può comprendere anche norme nazionali di carattere penale, oppure norme dirette a perseguire finalità di ordine pubblico, sicurezza pubblica e sicurezza, quando incidono sull’accesso o sull’esercizio di un servizio della società dell’informazione.
Questo però non autorizza lo Stato membro a imporre qualsiasi obbligo agli operatori stabiliti all’estero.
La Corte distingue tra obblighi generali e misure specifiche. Gli obblighi generali e astratti sono vietati. Le misure mirate, invece, possono essere ammesse se rispettano la procedura e le condizioni previste dalla direttiva.
Siti pornografici: no all’obbligo generale, sì alla verifica mirata dell’età
Sul fronte dei siti pornografici, la distinzione è netta.
Uno Stato membro non può applicare ai prestatori stabiliti in altri Stati membri un obbligo penale generale e astratto volto a impedire l’accesso dei minori ai contenuti pornografici.
Può però prevedere misure specifiche nei confronti dei prestatori di un determinato servizio, imponendo sistemi di verifica dell’età, quando tali operatori non abbiano adottato misure adeguate ai sensi dell’art. 28-ter della direttiva 2010/13/UE sui servizi di media audiovisivi.
In questo passaggio la Corte richiama anche gli artt. 1 e 24 della Carta dei diritti fondamentali dell’Unione europea: la dignità umana deve essere rispettata e protetta, e l’interesse superiore del minore deve essere una considerazione primaria.
Il punto, quindi, non è se i minori debbano essere protetti. Il punto è come farlo senza svuotare il sistema della direttiva e-commerce.
La soluzione indicata dalla Corte è questa: niente obblighi indistinti verso tutti gli operatori stabiliti in altri Stati membri; sì a misure mirate, proporzionate e adottate secondo la procedura prevista dal diritto Ue.
Controlli stradali: possibile vietare alcune segnalazioni
La seconda parte della decisione riguarda i servizi di assistenza alla guida o di geolocalizzazione, che consentono agli utenti di condividere informazioni sul traffico e sui controlli stradali.
La Corte afferma che la direttiva 2000/31/CE non impedisce a uno Stato membro di vietare, per ragioni di ordine pubblico, sicurezza pubblica o sicurezza, la ritrasmissione di informazioni relative a determinati controlli stradali.
Anche qui il divieto deve rispettare le garanzie della direttiva.
La misura deve riguardare un determinato servizio, deve rispettare l’art. 3, par. 4, della direttiva e, nei casi di urgenza, può operare secondo la disciplina dell’art. 3, par. 5.
In concreto, lo Stato può intervenire quando la diffusione delle informazioni rischia di consentire l’elusione di controlli collegati ad attività di polizia o a esigenze di sicurezza pubblica. Non può però farlo con misure generiche scollegate dalle condizioni poste dal diritto dell’Unione.
Algoritmi e hosting: quando la piattaforma non è passiva
La Corte affronta anche il tema della responsabilità degli operatori digitali.
L’art. 14 della direttiva 2000/31/CE prevede un regime favorevole per il prestatore che svolge una mera attività di hosting, cioè di memorizzazione di informazioni fornite dagli utenti. Questo regime presuppone un ruolo tecnico, automatico e passivo.
La situazione cambia quando l’operatore, mediante un algoritmo, determina nel proprio interesse o nell’interesse del servizio le condizioni, le modalità e l’ordine di priorità con cui le informazioni sono diffuse o non diffuse.
In quel caso l’operatore esercita un controllo sulle informazioni. Non può quindi essere considerato un semplice hosting provider ai sensi dell’art. 14, par. 1, della direttiva, e non può invocare l’art. 15, par. 1, sul divieto di obblighi generali di sorveglianza.
La differenza è pratica: se la piattaforma si limita a ospitare contenuti, può rientrare nel regime dell’hosting. Se invece organizza attivamente la diffusione delle informazioni tramite algoritmo, il ruolo cambia.
Cosa ci portiamo a casa
La sentenza traccia un equilibrio tra libertà dei servizi digitali e tutela di interessi pubblici.
Il principio del Paese d’origine resta centrale nel commercio elettronico europeo. Tuttavia, non impedisce agli Stati membri di intervenire quando sono in gioco tutela dei minori, dignità umana, ordine pubblico e sicurezza pubblica.
L’intervento deve però essere costruito in modo preciso. Non bastano obblighi generali e astratti. Servono misure riferite a un determinato servizio, necessarie, proporzionate e adottate secondo le procedure della direttiva 2000/31/CE.
In definitiva, la rete non è una terra senza regole. Ma nemmeno ogni regola nazionale può inseguire un servizio digitale oltre confine senza passare dal diritto dell’Unione.
Documenti correlati:
- Testo integrale di Corte di Giustizia UE, Sentenza 16/06/2026 (C-188/24 e C-190/24)