Spamming: un insidia alla Privacy
Transcript
Spamming: un insidia alla Privacy
Spamming: un insidia alla Privacy “Contro lo spam è necessaria una strategia globale, coordinata e multilivello fra tutte le parti interessate (governi, autorità di controllo, imprese tlc, settore commerciale, consumatori) perché nessuno degli strumenti sinora utilizzati si è dimostrato realmente efficace se utilizzato in modo disgiunto dagli altri. Questo è l'obiettivo che si è data l'Unione Internazionale delle Telecomunicazioni (International Telecommunication Union, ITU), organizzazione che opera nell'ambito delle Nazioni Unite” . Queste sono le considerazioni introduttive della NEWSLETTER N. 220 del 5 - 11 luglio 2004 del Garante per la protezione dei dati personali. Non vi è dubbio che il fenomeno dello spamming stia realmente creando problemi a tutti coloro che per diletto o per esigenza lavorative utilizzano la posta elettronica e o altre forme di comunicazione come gli Usergroup, SMS, MMS. A qualcuno sembrerà curioso, ma il termine SPAM deriva da un tipo di carne in scatola (Spiced Pork And haM) in dotazione all'esercito americano e diffusa in europa nel dopoguerra. Grazie ad una scenetta comica del Monty Python Flying Circus il termine SPAM assunse poi il nuovo significato di “cosa noiosa e ripetuta troppo spesso”. La risposta ad un problema come lo spamming, non può essere ricercata solo ed esclusivamente in un ambito prettamente tecnologico. La tecnologia è fondamentale e indispensabile, ma non possiamo dimenticare che sia gli utilizzatori delle applicazioni informatiche sia coloro che generano i messaggi di SPAM sono persone. Ci sono individui che non necessitano di regole ferree, altri che in loro assenza cadono in comportamenti “eticamente” scorretti; è questa una semplice interpretazione di un fenomeno che usa la tecnologia per la sua diffusione ma che ha origini ben diverse. Per un problema come lo spamming, le normative sono tanto importanti quanto la tecnologia e l’organizzazione. Un altro fondamentale elemento è il contributo che l’utilizzatore di posta elettronica può dare nell’aiutare la tecnologia a contenere l’impatto che questo fenomeno può causare. Di fatto, la maggior parte degli strumenti antispam, si appella anche all’utente finale per costruire le proprie regole. Cos’è lo spamming? La legislazione italiana, all’art. 130 del D. Lgs. 196/2003, definisce il fenomeno dello spamming come “comunicazione indesiderata”. Tale previsione dà piena attuazione al principio codificato nell’art. 13 della direttiva 2002/58 in base al quale l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore (dispositivi automatici di chiamata), del fax e della posta elettronica “a fini di commercializzazione diretta” è consentito solo “nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso” (c.d. opt-in). Affinchè si possa poarlare di spamming è fondamentale che la comunicazione indesiderata avvenga tramite l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore e che il fine sia commerciale ad ampio raggio (invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato, comunicazioni a carattere commerciale). La telefonata, seppur fastidiosa, da parte di un potenziale fornitore (che abbia estratto il nostro recapito da un elenco telefonico) che voglia proporci un incontro per venderci prodotti o servizi, non è considerabile come attività di spamming ai sensi della nostra normativa, anche se il Garante si è schierato contro l’utilizzo indiscriminato di elenchi pubblici per fare attività commerciale (e a tal fine sono stati predisposti i nuovi elenchi telefonici pubblici a partire dal 2005). Entra quindi in gioco il consenso preventivo del destinatario delle email. Il ricevente (destinatario) considera a ragione SPAM un messaggio ricevuto senza il suo consenso. Il mittente ritiene invece che debba essere il destinatario a decidere se il messaggio di posta è indesiderato oppure ben accetto; nel primo caso è SPAM, nel secondo caso non è soggettivamente percepito come tale, anche se in termini di legge lo è! Ci sarebbero ulteriori osservazioni da fare ma per ora ci fermiamo qui e passiamo a fornire qualche dato su questo fenomeno. Un sondaggio online pubblicato su Internet, promosso dall’istituzione TransAtlantic Consumer Dialogue (TACD) che riunisce 65 associazioni per la tutela dei consumatori in Europa e negli Stati Uniti D’America, ha rilevato come questo fenomeno sia realmente proccupante. Il sondaggio, svoltosi tra settembre e dicembre 2003 su un campione di 21.102 persone di 36 diversi Paesi, ha fornito una serie di dati interessanti, fra i quali ne riportiamo alcuni, relativi alla percentuale di spam sul totale di email ricevute giornalmente (il report completo è disponibile all’indirizzo http://www.tacd.org/db_files/files/files-296-filetag.doc). % di spam sul numero di email ricevute giornalmente sotto 10 tra 10 – 20 tra 21 – 30 tra 31 - 40 tra 41 - 50 più di 50 non so nessuna risposta % Risposte 13 14 10 7 10 42 3 1 Tabella 1 - Risultato del sondaggio 2003 del TACD: incidenza dello spam sul n° di email giornaliere. Dal risultato del sondaggio si nota come il 42% dei rispondenti sia “perseguitato” da oltre il 50% di posta indesiderata (SPAM). Uno studio effettuato nel 2004 dalla società Nucleus Research, Inc., ora scaricabile all’indirizzo www.nucleusresearch.com/research/e50.pdf, rileva una perdita di produttività per dipendente a causa dello SPAM più che raddoppiata rispetto all’anno precedente (2003). Si è passati da un valore per dipendente del 1.4% del luglio 2003 al 3.1% del maggio 2004. Il costo per dipendente (dovuto allo SPAM) è passato da $874 nel 2003 a $1934. (Il sondaggio si è basato su un intervista fatta a dipendenti di 82 Fortune 500 società americane) Tabella 2 – Crescita del costo dello SPAM (per dipendente) 2003 e 2004. Fonte 2004 Nucleus Research, Inc. - D59 Spam: The Silent ROI Killer Dai dati appena riportati, non vi è dubbio che questo fenomeno debba essere preso in seria considerazioni dalle istituzioni, dagli utilizzatori della posta elettronica e dai fornitori di tecnologie e servizi. Il collegamento con la normativa sulla Privacy Il fenomeno dello Spamming oltre ad infierire duri colpi alla produttività di tutti coloro che usano la posta elettronica (aziende e utenti di casa) ha implicazioni in materia di diritti dell’individuo tutelati dall’ordinamento giuridico: tutela del consumatore, libera circolazione dei servizi e protezione dei dati personali. Vista la criticità del fenomeno, il 27 gennaio 2004 è stata presentata una nuova Comunicazione da parte dell’UE in cui, sulla base del sistema normativo definito dalla Direttiva relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (2002/58/CE), venivano proposti nuovi interventi per rendere concreta ed efficace la lotta ad un fenomeno dalle proporzioni e dai costi sempre più vasti. In questa comunicazione si evidenzia che Stato, Autorità competenti, il settore privato, l'industria e gli operatori della rete, gli utenti e i consumatori devono giocare la propria parte, perché solo la collaborazione di tutti gli interessati può dare risultati apprezzabili. La prima regolamentazione sullo spamming ha fatto la sua comparsa a livello europeo attraverso alcune direttive: la 1997/7/EC sui contratti a distanza, la 2000/31/EC in materia di commercio elettronico e la 2002/58/EC in materia di trattamento dei dati personali. Attualmente, la legislazione italiana in materia è rappresentata dai seguenti provvedimenti legislativi: Attuazione della direttiva 97/7/CE relativa alla protezione dei consumatori in materia di contratti a distanza, attraverso l’art. 10 del D.Lgs. 22 maggio 1999 n. 185. Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno, attraverso l’art. 9 del D. Lgs. 9 aprile 2003 n. 70. L’art. 130 del D. Lgs. 196/2003 (Codice in materia di protezione dei dati personali). L’art. 130 del D. Lgs. 196/2003, ha come soggetto le “Comunicazioni indesiderate”, che ben si identificano nel fenomeno dello spamming. I comma 1 e 2 del suddetto articolo recitano: 1. L’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell’interessato. 2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo. Di fatto l’art. 130 del D. Lgs. 196/2003 estende la protezione contro le comunicazioni indesiderate a tutti gli interessati al trattamento dei dati, non limitandosi cioè a consumatori o abbonati come previsto rispettivamente dalle due direttive europee: 97/7/CE e 2002/58/EC. Fra gli strumenti tramite i quali sono effettuate le comunicazioni indesiderate, oltre a posta elettronica o telefax, sono compresi anche MMS, SMS e messaggi di altro tipo. Se le comunicazioni avvengono con altri mezzi oltre a quelli citati, ma per le stesse finalità, esse sono consentite ai sensi degli artt. 23 e 24 del Codice in materia di protezione dei dati personali e cioè solo con il consenso dell’interessato. Consenso specifico, informato, espresso liberamente e documentato per iscritto, a meno che si ricada in uno dei casi di esclusione previsti dall’art. 24. Come combattere lo spamming Avversario non facile con il quale combattere, lo spamming deve essere affrontato con armi di natura diversa e la proattività di sicuro aiuta! Questo approccio che vale in generale per tutti i rischi connessi alla sicurezza IT, per questo noiosissimo fenomeno ha una valenza ancor maggiore. Il riconoscimento del messaggio indesiderato e quindi il suo accantonamento senza lettura, è un primo passo, purtroppo non più sufficiente, per cercare di combattere lo spamming. Più persone sono in grado di riconoscere questi messaggi indesiderati e maggiore sarà la possibilità di contenere i danni che, come abbiamo visto precedentemente, sono abbastanza ingenti, specie in ambiti aziendali. Proviamo ora a fornire qualche regola di base per fronteggiare lo spamming: Evitare il più possibile la divulgazione dei propri dati su Web; nel caso ciò sia necessario, controllare sempre la policy sulla privacy da parte dell’ente/società che ne richiede i dati. Usare un software Antispam e tenerlo sempre aggiornato. Mascherare gli altri indirizzi alla vista di ogni singolo ricevente quando si invia una email a molti destinatari. Mascherare il proprio indirizzo quando si partecipa a un gruppo di discussione (Newsgroup). Una delle fonti principali di indirizzi email per gli spammer (generatori di SPAM) sono proprio i Newsgroup. Evitare email di massa ed email a catena; grazie a queste operazioni lo spammer può procurarsi numerosi indirizzi in un solo colpo! Evitare di rispondere ai messaggi di spam con toni offensivi; questo potrebbe generare una ritorsione da parte dello spammer con azioni tipo “email bomb”. Denunciare lo spamming all’erogatore del servizio email. Segnalare allo spammer il nostro intento di non ricevere i suoi messaggi e di essere cancellati dalla sua banca dati facendo riferimento ai nostri diritti ex art. 7 e 130 del D. Lgs. 196/2003, avvisandolo del nostro pieno diritto a ricorrere al Garante per far cessare la sua attività di spamming. Far ricorso al Garante della Privacy quando ci sono gli estremi per procedere. Ricordiamo infatti che in caso di reiterata violazione delle disposizioni di cui all’art. 130 è previsto che il Garante possa prescrivere ai fornitori dei servizi di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni. Come anticipato, la tecnologia non è il solo sistema per combattere lo spamming, ma è sicuramente un elemento oggi indispensabile in quanto, vista la dimensione del fenomeno, sarebbe impensabile gestirlo manualmente. Fra le soluzioni tecnologiche che all’inizio si occupavano di malicious code (codice maligno), ora alcune di esse si spingono sino a combattere anche lo spamming, cercando di bloccare i messaggi spazzatura prima che arrivino nella casella di posta dell’utente. Se l’interessato è un azienda, alcuni parametri come l’integrazione, la completezza dell’offerta, la garanzia di solidità del fornitore, la politica di supporto (es. 24 x 7), ed altro ancora rappresentano elementi imprescindibili nella scelta. Diverse sono le tecniche utilizzabili per cercare di risolvere questo problema: la ricerca di parole chiave - si basa sull'individuazione di parole chiave non desiderate contenute nei messaggi. le black list - sono elenchi di domini o di specifici indirizzi di posta noti come fonte di messaggi indesiderati. le white list - sono l’esatto opposto delle black list: si tratta di domini o indirizzi di posta certificati e quindi ritenuti non portatori di messaggi indesiderati. la firma digitale del messaggio indesiderato - si basa sull’impronta digitale del messaggio SPAM. scansione delle immagini - grazie alla possibilità di inserire codice HTML nel corpo dei messaggi email, alcuni spammer preferiscono inserire immagini anziché testo, più facilmente intercettabile con le tecniche antispam. Pertanto queste ultime si sono evolute e si basano anche sull’analisi delle immagini: per esempio la presenza di nudità è individuata attraverso la ricerca dei toni di colore tipici della pelle. tecniche euristiche - come per i più moderni antivirus, questa tecnica si basa sull’esecuzione di una serie di test, ciascuno dei quali evidenzia la presenza di uno specifico fattore di spamming al quale è assegnato un peso. filtri bayesiani - essi si basano sull'analisi della frequenza di frasi presenti in due insiemi di messaggi presi a campione: il primo costituito da messaggi indesiderati, il secondo no. Conclusione Lo spamming si sta diffondendo con un tasso di crescita allarmante. Il contenuto dei messagi SPAM non è intrinsecamente dannoso: si tratta di pubblicità, inviti a usare prodotti particolari o le famose catene di Sant’Antonio. I danni sono indiretti, cioè attribuibili a perdita di produttività, ad aumento del carico elaborativo sopportato dai server di posta elettronica e a banda sprecata: tutti costi aggiuntivi per l’IT, per l’utente e quindi per l’azienda. La normativa italiana ispirata ad alcune regolamentazione europee è in vigore ma come sostenuto dalla CE è necessario affrontare questo fenomeno con lo spirito di gruppo: istituzioni, utilizzatori e fornitori di tecnologia devono tutti collaborare in sinergia per ottenere risultati apprezzabili. Per informazioni sulla tecnologia di sicurezza eTrust di Computer Associates, ivi compreso la soluzione eTrust SCM contro lo spamming, Elio Molteni Vi invita a consultare il sito www.ca.com/etrust.