La sanzione da oltre 14 milioni di euro inflitta dall’Autorità per le Garanzie nelle Comunicazioni a Cloudflare non è arrivata all’improvviso. Al contrario, è l’esito di un lungo confronto – durato quasi due anni – tra il regolatore italiano e uno dei principali attori dell’infrastruttura globale di Internet. Un confronto che, secondo Agcom, si è trasformato in una sistematica mancanza di collaborazione rispetto all’applicazione della normativa antipirateria.
La vicenda ha riacceso il dibattito, mai sopito, sul rapporto tra le autorità europee e i grandi gruppi tecnologici statunitensi. Ma soprattutto ha sollevato una domanda centrale: perché una sanzione così pesante è stata comminata proprio a ag, quando molti altri operatori continuano a non applicare i blocchi previsti?
Perché Cloudflare è finita nel mirino
Uno degli elementi chiave del provvedimento è il ruolo che Agcom attribuisce a Cloudflare. L’Autorità non la considera un semplice fornitore tecnico neutrale, ma un soggetto “strategico” nell’ecosistema che consente ai siti pirata di restare online e raggiungibili. Secondo questa impostazione, l’infrastruttura di Cloudflare sarebbe diventata uno strumento essenziale per garantire l’accessibilità di contenuti diffusi in violazione del diritto d’autore.
Questa lettura trova, per Agcom, un solido appoggio giuridico in alcune sentenze dei tribunali di Roma e Milano, che in altri procedimenti hanno configurato l’attività di Cloudflare come un possibile “concorso nell’illecito”. In particolare, servizi come il reverse proxy non si limiterebbero a migliorare le prestazioni dei siti, ma contribuirebbero a nascondere l’hosting reale, rendendo più difficile risalire alla fonte dei contenuti illegali.
È su questa base che l’Autorità ha ritenuto Cloudflare pienamente destinataria degli obblighi previsti dalla legge antipirateria italiana, distinguendola da altri operatori che, pur ignorando i blocchi, non sono stati colpiti con la stessa severità.
Una escalation lunga quasi due anni
La multa rappresenta l’atto finale di un percorso progressivo. Agcom ha ricostruito nel dettaglio le tappe che hanno preceduto la sanzione, sottolineando come ogni passaggio sia stato accompagnato da comunicazioni formali e inviti al dialogo.
Tra la primavera e l’estate del 2024 l’Autorità ha chiesto a Cloudflare di nominare un rappresentante legale in Italia e di accreditarsi alla piattaforma Piracy Shield, evidenziando come una percentuale molto elevata dei siti segnalati utilizzasse i suoi servizi. In autunno è arrivato un richiamo formale rivolto a tutti i fornitori coinvolti nell’accessibilità di siti illegali, con un ordine esplicito di accreditamento alla piattaforma.
Nel gennaio 2025 Cloudflare è stata invitata a partecipare al tavolo tecnico sulla legge antipirateria, un’occasione pensata proprio per discutere le criticità del sistema ed evitare effetti collaterali, come il blocco di siti leciti. L’invito, però, non ha avuto seguito. Nei mesi successivi, di fronte alla persistente assenza di risposte operative, Agcom ha emesso un ordine diretto di inibizione, imponendo il blocco di una lista precisa di domini e indirizzi IP e chiedendo conto delle misure adottate.
Solo dopo aver verificato che quell’ordine non era stato rispettato, nel giugno 2025, l’Autorità ha avviato formalmente il procedimento sanzionatorio.
La linea difensiva di Cloudflare
A procedimento avviato, Cloudflare ha presentato una difesa articolata, basata su argomenti tecnici, procedurali e giuridici. Da un lato ha sostenuto di non essere mai stata messa nelle condizioni di conoscere l’elenco completo dei domini da bloccare, perché non iscritta a Piracy Shield. Dall’altro ha richiamato le difficoltà tecniche legate all’applicazione di filtri sui DNS pubblici, che – a suo dire – avrebbero un impatto negativo sulle prestazioni per miliardi di richieste quotidiane.
La società ha poi ribadito la propria estraneità ai contenuti ospitati dai clienti, rivendicando un ruolo puramente infrastrutturale. Infine, ha chiesto la sospensione del procedimento sanzionatorio, facendo presente di aver già impugnato davanti al TAR l’atto che aveva imposto i blocchi.
La replica di Agcom
Agcom ha respinto una per una queste argomentazioni. Secondo l’Autorità, l’elenco dei domini e degli indirizzi IP da bloccare era chiaramente indicato negli allegati della delibera notificata a Cloudflare, quindi la società ne era pienamente a conoscenza. Quanto all’impossibilità tecnica, Agcom ha affermato un principio netto: la valutazione sulla fattibilità di un ordine legittimo non spetta al destinatario, che è invece tenuto ad adottare le misure necessarie per conformarsi.
Anche la richiesta di chiarimenti avanzata da Cloudflare è stata giudicata pretestuosa, soprattutto alla luce della mancata partecipazione al tavolo tecnico, che avrebbe potuto rappresentare la sede naturale per discutere soluzioni alternative. Infine, l’Autorità ha chiarito che il procedimento sanzionatorio non riguardava la responsabilità diretta nella pirateria, ma il mancato rispetto di un ordine valido e immediatamente esecutivo, motivo per cui non vi era alcuna ragione di sospenderlo in attesa del giudizio amministrativo.
Le verifiche effettuate fino all’autunno del 2025 hanno confermato, secondo Agcom, che i siti oggetto dell’ordine restavano accessibili tramite i DNS pubblici di Cloudflare, configurando una reiterazione della violazione.
Perché una sanzione così elevata
Per determinare l’importo della multa, Agcom ha fatto riferimento alla normativa che le consente di irrogare sanzioni fino al 2% del fatturato. In mancanza di dati pubblici dettagliati sul fatturato italiano, l’Autorità ha richiesto informazioni specifiche anche con il supporto della Guardia di Finanza. Pur non applicando il massimo previsto, ha scelto di basarsi sul fatturato globale, giustificando la decisione con la dimensione internazionale del fenomeno.
A pesare sulla quantificazione sono stati due fattori ritenuti particolarmente gravi: il ruolo determinante attribuito a Cloudflare e l’entità del danno economico legato alla pirateria. Nella delibera viene citato il dato secondo cui circa il 70% dei siti illeciti degli ultimi anni utilizzerebbe i servizi della società, insieme alle stime – già note – sull’impatto economico della pirateria in Italia.
Uno scontro destinato a continuare
Il caso non si chiude qui. Cloudflare, da tempo, è al centro di critiche anche a livello internazionale per il presunto ruolo di “facilitatore involontario” non solo della pirateria, ma anche di fenomeni come malware e phishing. Il nodo principale non è tanto la tecnologia in sé, quanto la facilità con cui alcune funzionalità avanzate possono essere attivate anche nei piani gratuiti, senza particolari verifiche sull’identità degli utenti.
Negli ultimi mesi del 2025 la società ha riconosciuto la crescente responsabilità del problema, annunciando nuove misure di gestione delle segnalazioni, pur ribadendo un principio che considera non negoziabile: i DNS pubblici non verranno filtrati.
