Spamming: un insidia alla Privacy

Spamming: un insidia alla Privacy
“Contro lo spam è necessaria una strategia globale, coordinata e multilivello fra
tutte le parti interessate (governi, autorità di controllo, imprese tlc, settore
commerciale, consumatori) perché nessuno degli strumenti sinora utilizzati si è
dimostrato realmente efficace se utilizzato in modo disgiunto dagli altri. Questo è
l'obiettivo che si è data l'Unione Internazionale delle Telecomunicazioni
(International Telecommunication Union, ITU), organizzazione che opera nell'ambito
delle Nazioni Unite” .
Queste sono le considerazioni introduttive della NEWSLETTER N. 220 del 5 - 11
luglio 2004 del Garante per la protezione dei dati
personali.
Non vi è dubbio che il fenomeno dello spamming stia
realmente creando problemi a tutti coloro che per diletto
o per esigenza lavorative utilizzano la posta elettronica e
o altre forme di comunicazione come gli Usergroup,
SMS, MMS. A qualcuno sembrerà curioso, ma il termine
SPAM deriva da un tipo di carne in scatola (Spiced Pork
And haM) in dotazione all'esercito americano e diffusa in
europa nel dopoguerra. Grazie ad una scenetta comica del
Monty Python Flying Circus il termine SPAM assunse poi il nuovo significato di
“cosa noiosa e ripetuta troppo spesso”.
La risposta ad un problema come lo spamming, non può essere ricercata solo ed
esclusivamente in un ambito prettamente tecnologico. La tecnologia è fondamentale e
indispensabile, ma non possiamo dimenticare che sia gli utilizzatori delle applicazioni
informatiche sia coloro che generano i messaggi di SPAM sono persone. Ci sono
individui che non necessitano di regole ferree, altri che in loro assenza cadono in
comportamenti “eticamente” scorretti; è questa una semplice interpretazione di un
fenomeno che usa la tecnologia per la sua diffusione ma che ha origini ben diverse.
Per un problema come lo spamming, le normative sono tanto importanti quanto la
tecnologia e l’organizzazione. Un altro fondamentale elemento è il contributo che
l’utilizzatore di posta elettronica può dare nell’aiutare la tecnologia a contenere
l’impatto che questo fenomeno può causare. Di fatto, la maggior parte degli strumenti
antispam, si appella anche all’utente finale per costruire le proprie regole.
Cos’è lo spamming?
La legislazione italiana, all’art. 130 del D. Lgs. 196/2003, definisce il fenomeno dello
spamming come “comunicazione indesiderata”.
Tale previsione dà piena attuazione al principio codificato nell’art. 13 della direttiva
2002/58 in base al quale l’uso di sistemi automatizzati di chiamata senza l’intervento
di un operatore (dispositivi automatici di chiamata), del fax e della posta elettronica “a
fini di commercializzazione diretta” è consentito solo “nei confronti degli abbonati
che abbiano espresso preliminarmente il loro consenso” (c.d. opt-in).
Affinchè si possa poarlare di spamming è fondamentale che la comunicazione
indesiderata avvenga tramite l’uso di sistemi automatizzati di chiamata senza
l’intervento di un operatore e che il fine sia commerciale ad ampio raggio (invio di
materiale pubblicitario, vendita diretta, compimento di ricerche di mercato,
comunicazioni a carattere commerciale). La telefonata, seppur fastidiosa, da parte di
un potenziale fornitore (che abbia estratto il nostro recapito da un elenco telefonico)
che voglia proporci un incontro per venderci prodotti o servizi, non è considerabile
come attività di spamming ai sensi della nostra normativa, anche se il Garante si è
schierato contro l’utilizzo indiscriminato di elenchi pubblici per fare attività
commerciale (e a tal fine sono stati predisposti i nuovi elenchi telefonici pubblici a
partire dal 2005).
Entra quindi in gioco il consenso preventivo del destinatario delle email.
Il ricevente (destinatario) considera a ragione SPAM un messaggio ricevuto senza il
suo consenso. Il mittente ritiene invece che debba essere il destinatario a decidere se
il messaggio di posta è indesiderato oppure ben accetto; nel primo caso è SPAM, nel
secondo caso non è soggettivamente percepito come tale, anche se in termini di legge
lo è! Ci sarebbero ulteriori osservazioni da fare ma per ora ci fermiamo qui e
passiamo a fornire qualche dato su questo fenomeno.
Un sondaggio online pubblicato su Internet, promosso dall’istituzione TransAtlantic
Consumer Dialogue (TACD) che riunisce 65 associazioni per la tutela dei
consumatori in Europa e negli Stati Uniti D’America, ha rilevato come questo
fenomeno sia realmente proccupante. Il sondaggio, svoltosi tra settembre e dicembre
2003 su un campione di 21.102 persone di 36 diversi Paesi, ha fornito una serie di
dati interessanti, fra i quali ne riportiamo alcuni, relativi alla percentuale di spam sul
totale di email ricevute giornalmente (il report completo è disponibile all’indirizzo
http://www.tacd.org/db_files/files/files-296-filetag.doc).
%
di spam sul
numero di email
ricevute
giornalmente
sotto 10
tra 10 – 20
tra 21 – 30
tra 31 - 40
tra 41 - 50
più di 50
non so
nessuna risposta
%
Risposte
13
14
10
7
10
42
3
1
Tabella 1 - Risultato del sondaggio 2003 del TACD: incidenza dello spam sul n° di email
giornaliere.
Dal risultato del sondaggio si nota come il 42% dei rispondenti sia “perseguitato” da
oltre il 50% di posta indesiderata (SPAM).
Uno studio effettuato nel 2004 dalla società Nucleus Research, Inc., ora scaricabile
all’indirizzo www.nucleusresearch.com/research/e50.pdf, rileva una perdita di
produttività per dipendente a causa dello SPAM più che raddoppiata rispetto all’anno
precedente (2003). Si è passati da un valore per dipendente del 1.4% del luglio 2003
al 3.1% del maggio 2004. Il costo per dipendente (dovuto allo SPAM) è passato da
$874 nel 2003 a $1934. (Il sondaggio si è basato su un intervista fatta a dipendenti di
82 Fortune 500 società americane)
Tabella 2 – Crescita del costo dello SPAM (per dipendente) 2003 e 2004. Fonte 2004 Nucleus
Research, Inc. - D59 Spam: The Silent ROI Killer
Dai dati appena riportati, non vi è dubbio che questo fenomeno debba essere preso in
seria considerazioni dalle istituzioni, dagli utilizzatori della posta elettronica e dai
fornitori di tecnologie e servizi.
Il collegamento con la normativa sulla Privacy
Il fenomeno dello Spamming oltre ad infierire duri colpi alla produttività di tutti
coloro che usano la posta elettronica (aziende e utenti di casa) ha implicazioni in
materia di diritti dell’individuo tutelati dall’ordinamento giuridico: tutela del
consumatore, libera circolazione dei servizi e protezione dei dati personali.
Vista la criticità del fenomeno, il 27 gennaio 2004 è stata presentata una nuova
Comunicazione da parte dell’UE in cui, sulla base del sistema normativo
definito dalla Direttiva relativa al trattamento dei dati personali e alla tutela della
vita privata nel settore delle comunicazioni elettroniche (2002/58/CE), venivano
proposti nuovi interventi per rendere concreta ed efficace la lotta ad un fenomeno
dalle proporzioni e dai costi sempre più vasti. In questa comunicazione si evidenzia
che Stato, Autorità competenti, il settore privato, l'industria e gli operatori della rete,
gli utenti e i consumatori devono giocare la propria parte, perché solo la
collaborazione di tutti gli interessati può dare risultati apprezzabili.
La prima regolamentazione sullo spamming ha fatto la sua comparsa a livello
europeo attraverso alcune direttive: la 1997/7/EC sui contratti a distanza, la
2000/31/EC in materia di commercio elettronico e la 2002/58/EC in materia di
trattamento dei dati personali.
Attualmente, la legislazione italiana in materia è rappresentata dai seguenti
provvedimenti legislativi:
Attuazione della direttiva 97/7/CE relativa alla protezione dei consumatori in
materia di contratti a distanza, attraverso l’art. 10 del D.Lgs. 22 maggio 1999 n.
185.
Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi
della società dell'informazione, in particolare il commercio elettronico, nel
mercato interno, attraverso l’art. 9 del D. Lgs. 9 aprile 2003 n. 70.
L’art. 130 del D. Lgs. 196/2003 (Codice in materia di protezione dei dati
personali).
L’art. 130 del D. Lgs. 196/2003, ha come soggetto le “Comunicazioni indesiderate”,
che ben si identificano nel fenomeno dello spamming.
I comma 1 e 2 del suddetto articolo recitano:
1. L’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore per
l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche
di mercato o di comunicazione commerciale è consentito con il consenso
dell’interessato.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni
elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax,
messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message
Service) o di altro tipo.
Di fatto l’art. 130 del D. Lgs. 196/2003 estende la protezione contro le comunicazioni
indesiderate a tutti gli interessati al trattamento dei dati, non limitandosi cioè a
consumatori o abbonati come previsto rispettivamente dalle due direttive europee:
97/7/CE e 2002/58/EC.
Fra gli strumenti tramite i quali sono effettuate le comunicazioni indesiderate, oltre a
posta elettronica o telefax, sono compresi anche MMS, SMS e messaggi di altro tipo.
Se le comunicazioni avvengono con altri mezzi oltre a quelli citati, ma per le stesse
finalità, esse sono consentite ai sensi degli artt. 23 e 24 del Codice in materia di
protezione dei dati personali e cioè solo con il consenso dell’interessato. Consenso
specifico, informato, espresso liberamente e documentato per iscritto, a meno che si
ricada in uno dei casi di esclusione previsti dall’art. 24.
Come combattere lo spamming
Avversario non facile con il quale combattere, lo spamming deve essere affrontato
con armi di natura diversa e la proattività di sicuro aiuta! Questo approccio che vale
in generale per tutti i rischi connessi alla sicurezza IT, per questo noiosissimo
fenomeno ha una valenza ancor maggiore. Il riconoscimento del messaggio
indesiderato e quindi il suo accantonamento senza lettura, è un primo passo, purtroppo
non più sufficiente, per cercare di combattere lo spamming. Più persone sono in grado
di riconoscere questi messaggi indesiderati e maggiore sarà la possibilità di contenere
i danni che, come abbiamo visto precedentemente, sono abbastanza ingenti, specie in
ambiti aziendali.
Proviamo ora a fornire qualche regola di base per fronteggiare lo spamming:
Evitare il più possibile la divulgazione dei propri dati su Web; nel caso ciò sia
necessario, controllare sempre la policy sulla privacy da parte dell’ente/società
che ne richiede i dati.
Usare un software Antispam e tenerlo sempre aggiornato.
Mascherare gli altri indirizzi alla vista di ogni singolo ricevente quando si invia
una email a molti destinatari.
Mascherare il proprio indirizzo quando si partecipa a un gruppo di discussione
(Newsgroup). Una delle fonti principali di indirizzi email per gli spammer
(generatori di SPAM) sono proprio i Newsgroup.
Evitare email di massa ed email a catena; grazie a queste operazioni lo spammer
può procurarsi numerosi indirizzi in un solo colpo!
Evitare di rispondere ai messaggi di spam con toni offensivi; questo potrebbe
generare una ritorsione da parte dello spammer con azioni tipo “email bomb”.
Denunciare lo spamming all’erogatore del servizio email.
Segnalare allo spammer il nostro intento di non ricevere i suoi messaggi e di
essere cancellati dalla sua banca dati facendo riferimento ai nostri diritti ex art. 7 e
130 del D. Lgs. 196/2003, avvisandolo del nostro pieno diritto a ricorrere al
Garante per far cessare la sua attività di spamming.
Far ricorso al Garante della Privacy quando ci sono gli estremi per procedere.
Ricordiamo infatti che in caso di reiterata violazione delle disposizioni di cui
all’art. 130 è previsto che il Garante possa prescrivere ai fornitori dei servizi di
adottare procedure di filtraggio o altre misure praticabili relativamente alle
coordinate di posta elettronica da cui sono stati inviate le comunicazioni.
Come anticipato, la tecnologia non è il solo sistema per combattere lo spamming, ma
è sicuramente un elemento oggi indispensabile in quanto, vista la dimensione del
fenomeno, sarebbe impensabile gestirlo manualmente. Fra le soluzioni tecnologiche
che all’inizio si occupavano di malicious code (codice maligno), ora alcune di esse si
spingono sino a combattere anche lo spamming, cercando di bloccare i messaggi
spazzatura prima che arrivino nella casella di posta dell’utente.
Se l’interessato è un azienda, alcuni parametri come l’integrazione, la completezza
dell’offerta, la garanzia di solidità del fornitore, la politica di supporto (es. 24 x 7), ed
altro ancora rappresentano elementi imprescindibili nella scelta. Diverse sono le
tecniche utilizzabili per cercare di risolvere questo problema:
la ricerca di parole chiave - si basa sull'individuazione di parole chiave non
desiderate contenute nei messaggi.
le black list - sono elenchi di domini o di specifici indirizzi di posta noti come
fonte di messaggi indesiderati.
le white list - sono l’esatto opposto delle black list: si tratta di domini o indirizzi
di posta certificati e quindi ritenuti non portatori di messaggi indesiderati.
la firma digitale del messaggio indesiderato - si basa sull’impronta digitale del
messaggio SPAM.
scansione delle immagini - grazie alla possibilità di inserire codice HTML nel
corpo dei messaggi email, alcuni spammer preferiscono inserire immagini anziché
testo, più facilmente intercettabile con le tecniche antispam. Pertanto queste
ultime si sono evolute e si basano anche sull’analisi delle immagini: per esempio
la presenza di nudità è individuata attraverso la ricerca dei toni di colore tipici
della pelle.
tecniche euristiche - come per i più moderni antivirus, questa tecnica si basa
sull’esecuzione di una serie di test, ciascuno dei quali evidenzia la presenza di uno
specifico fattore di spamming al quale è assegnato un peso.
filtri bayesiani - essi si basano sull'analisi della frequenza di frasi presenti in due
insiemi di messaggi presi a campione: il primo costituito da messaggi indesiderati,
il secondo no.
Conclusione
Lo spamming si sta diffondendo con un tasso di crescita allarmante. Il contenuto dei
messagi SPAM non è intrinsecamente dannoso: si tratta di pubblicità, inviti a usare
prodotti particolari o le famose catene di Sant’Antonio. I danni sono indiretti, cioè
attribuibili a perdita di produttività, ad aumento del carico elaborativo sopportato dai
server di posta elettronica e a banda sprecata: tutti costi aggiuntivi per l’IT, per
l’utente e quindi per l’azienda. La normativa italiana ispirata ad alcune
regolamentazione europee è in vigore ma come sostenuto dalla CE è necessario
affrontare questo fenomeno con lo spirito di gruppo: istituzioni, utilizzatori e fornitori
di tecnologia devono tutti collaborare in sinergia per ottenere risultati apprezzabili.
Per informazioni sulla tecnologia di sicurezza eTrust di Computer Associates, ivi
compreso la soluzione eTrust SCM contro lo spamming, Elio Molteni Vi invita a
consultare il sito www.ca.com/etrust.