Una cartella di messaggi spam di KMail |
Lo spamming, detto anche fare spam o spammare, è l'invio di messaggi indesiderati (generalmente commerciali o offensivi) ed è noto anche come posta spazzatura (in inglese junk mail). Può essere attuato attraverso qualunque sistema di comunicazione, ma il più usato è Internet, attraverso messaggi di posta elettronica, chat, tag board, forum, Facebook e altri servizi di rete sociale.
Chi invia messaggi spam è indicato spesso con il neologismo spammista (spammer in inglese).
Origine del termine
Il termine trae origine da uno sketch comico del Monty Python's Flying Circus, trasmesso il 15-12-1970 (stagione 2, episodio 12), ed ambientato in un locale nel quale qualunque pietanza proposta dalla cameriera conteneva un imprecisato ingrediente chiamato Spam (corrispondente ad un marchio di carne in scatola prodotto dalla americana Hormel Foods Corp.). Man mano che lo sketch avanza, l'insistenza della cameriera nel proporre piatti con Spam («uova e Spam, salsicce e Spam, Spam uova Spam Spam pancetta e Spam» e così via) si contrappone alla riluttanza del cliente per questo alimento, il tutto in un crescendo di un coro inneggiante allo Spam da parte di alcuni Vichinghi seduti nel locale.
Spam (carne in scatola) |
Per effetto del successo di tale satira, probabilmente basata sul fatto che quella carne in scatola costituì l'unico cibo nutriente disponibile in Inghilterra durante la Seconda guerra mondiale, il termine SPAM ha indicato qualcosa di inevitabilmente onnipresente. Solo molti anni dopo, in seguito alla nascita (databile al 1994, secondo wired.com) del primo messaggio commerciale indesiderato a diffusione massiva, ha indicato i messaggi indesiderati, inviati massivamente a destinatari non consenzienti.
Si ritiene che il primo spam via email della storia sia stato inviato il 1º maggio 1978 dalla DEC, al fine di pubblicizzare un nuovo prodotto, e inviato a tutti i destinatari ARPAnet della costa ovest degli Stati Uniti, ossia ad alcune centinaia di persone.
Nella terminologia informatica le spam possono essere designate anche con il sintagma di junk mail, che letteralmente significa posta spazzatura, a rimarcare la sgradevolezza prodotta da tale molestia digitale.
Scopo
Il principale scopo dello spamming è la pubblicità, il cui oggetto può andare dalle più comuni offerte commerciali a proposte di vendita di materiale pornografico o illegale, come software pirata e farmaci senza prescrizione medica, da discutibili progetti finanziari a veri e propri tentativi di truffa. Uno spammista, cioè l'individuo autore dei messaggi spam, invia messaggi identici (o con qualche personalizzazione) a migliaia di indirizzi e-mail. Questi indirizzi sono spesso raccolti in maniera automatica dalla rete (articoli di Usenet, pagine web) mediante spambot ed appositi programmi, ottenuti da database o semplicemente indovinati usando liste di nomi comuni.
Per definizione lo spam viene inviato senza il permesso del destinatario ed è un comportamento ampiamente considerato inaccettabile dagli Internet Service Provider (ISP) e dalla maggior parte degli utenti di Internet. Mentre questi ultimi trovano lo spam fastidioso e con contenuti spesso offensivi, gli ISP vi si oppongono anche per i costi del traffico generato dall'invio indiscriminato.
Sondaggi hanno indicato che al giorno d'oggi lo spam è considerato uno dei maggiori fastidi di Internet; l'invio di questi messaggi costituisce una violazione del contratto "Acceptable Use Policy" (condotta d'uso accettabile) di molti ISP e pertanto può portare all'interruzione dell'abbonamento (account) del mittente. Un gran numero di spammer utilizza intenzionalmente la frode per inviare i messaggi, come l'uso di informazioni personali false (come nomi, indirizzi, numeri di telefono) per stabilire account disponibili presso vari ISP. Per fare questo vengono usate informazioni anagrafiche false o rubate, in modo da ridurre ulteriormente i loro costi. Questo permette di muoversi velocemente da un account a un altro appena questo viene scoperto e disattivato dall'ISP. Gli spammisti usano software creati per osservare connessioni Internet con scarsa sicurezza, che possono essere facilmente dirottate in modo da immettere i messaggi di spam direttamente nella connessione dell'obiettivo con il proprio ISP. Questo rende più difficile identificare la posizione dello spammista e l'ISP della vittima è spesso soggetto di aspre reazioni e rappresaglie da parte di attivisti che tentano di fermare lo spammista. Entrambe queste forme di spamming "nascosto" sono illegali, tuttavia sono raramente perseguiti per l'impiego di queste tattiche.
I mittenti di e-mail pubblicitarie affermano che ciò che fanno non è spamming. Quale tipo di attività costituisca spamming è materia di dibattiti, e le definizioni divergono in base allo scopo per il quale è definito, oltre che dalle diverse legislazioni. Lo spamming è considerato un reato in vari paesi e in Italia l'invio di messaggi non sollecitati è soggetto a sanzioni. Di recente l'argomento è stato oggetto in Italia di un provvedimento generale del Garante per la protezione dei dati personali.
Altri termini
I termini unsolicited commercial email, UCE (email commerciale non richiesta) e unsolicited bulk email, UBE (email non richiesta in grandi quantità) sono usati per definire più precisamente e in modo meno gergale i messaggi e-mail di spam. Molti utenti considerano tutti i messaggi UBE come spam, senza distinguere il loro contenuto, ma i maggiori sforzi legali contro lo spam sono effettuati per prendere di mira i messaggi UCE. Una piccola ma evidente porzione di messaggi non richiesti è anche di carattere non commerciale; alcuni esempi comprendono i messaggi di propaganda politica e le catene di Sant'Antonio.
Spamming attraverso e-mail
Il fenomeno dello spamming attraverso la posta elettronica è cresciuto esponenzialmente negli ultimi anni e si calcola oggi che gli spam rappresentino dall'85 al 90% di tutte le e-mail spedite nel mondo. Siccome questo costo è subito senza il consenso del proprietario del sito, e senza quello dell'utente, molti considerano lo spam come una forma di furto di servizi. Molti spammisti mandano i loro messaggi UBE attraverso gli open mail relay. I server SMTP, usati per inviare e-mail attraverso internet, inoltrano la posta da un server a un altro; i server utilizzati dagli ISP richiedono una qualche forma di autenticazione che garantisca che l'utente sia un cliente dell'ISP. I server open relay non controllano correttamente chi sta usando il server e inviano tutta la posta al server di destinazione, rendendo più difficile rintracciare lo spammista.
Un punto di vista "ufficiale" sullo spamming può essere trovato nel RFC 2635.
Spamming per interposta persona
Lo spamming per interposta persona è un mezzo più subdolo utilizzato sfruttando l'ingenuità di molta gente. Per l'esattezza si intende di solito l'invio di Email commerciali ad alcuni destinatari conosciuti e magari regolarmente iscritti ad una newsletter dello spammer invitandoli a far conoscere una certa promozione ad uno o più persone conosciute dall'ingenuo destinatario, invogliandolo magari con qualche piccolo compenso.
Grazie a questo sistema sarà l'ingenuo destinatario a "spammare" altre caselle di posta di suoi conoscenti e quindi coprendo colui che c'è dietro e che guadagnerà da questo comportamento.
I costi
Lo spamming è a volte definito come l'equivalente elettronico della posta-spazzatura (junk mail). Comunque, la stampa e i costi postali di questa corrispondenza sono pagati dal mittente - nel caso dello spam, il server del destinatario paga i costi maggiori, in termini di banda, tempo di elaborazione e spazio per immagazzinamento. Gli spammer usano spesso abbonamenti gratis, in modo tale che i loro costi siano veramente minimi. Per questa ricaduta di costi sul destinatario, molti considerano questo un furto o un equivalente di crimine. Siccome questa pratica è proibita dagli ISP, gli spammer spesso cercano e usano sistemi vulnerabili come gli open mail relay e server proxy aperti. Essi abusano anche di risorse messe a disposizione per la libera espressione su internet, come remailer anonimi. Come risultato, molte di queste risorse sono state disattivate, negando la loro utilità agli utenti legittimi. Molti utenti sono infastiditi dallo spam perché allunga i tempi che usano per leggere i loro messaggi di e-mail.
Economia
Siccome lo spam è economico da inviare, un ristretto numero di spammer può saturare Internet con la sua spazzatura. Nonostante che solo un piccolo numero dei destinatari sia intenzionato a comprare i prodotti, ciò consente agli spammer di mantenere questa pratica attiva. Inoltre, sebbene lo spam appaia per una azienda rispettabile una via economicamente non attuabile per fare business, è sufficiente per gli spammer professionisti convincere una piccola porzione di inserzionisti ingenui che è efficace per fare affari.
Difese contro lo spam
È presente un certo numero di servizi e software, che spesso sono chiamati antispam, e che i server e-mail e gli utenti possono utilizzare per ridurre il carico di spam sui loro sistemi e caselle di posta. Alcuni di questi contano sul rifiuto dei messaggi provenienti dai server conosciuti come spammer. Altri analizzano in modo automatico il contenuto dei messaggi e-mail ed eliminano o spostano in una cartella speciale quelli che somigliano a spam. Questi due approcci al problema sono talvolta definiti come bloccaggio e filtraggio. Ognuna delle tecniche ha i suoi difensori e vantaggi; mentre entrambe riducono l'ammontare di spam inviata alle caselle postali degli utenti, il bloccaggio permette di ridurre la banda sprecata, rifiutando i messaggi prima che siano trasmessi al server dell'utente. Il filtraggio tende ad essere una soluzione più accurata, poiché può esaminare tutti i dettagli del messaggio. Molti sistemi di filtraggio si avvantaggiano delle tecniche di apprendimento del software, che permette di aumentare la propria accuratezza rispetto al sistema manuale. Alcuni trovano questa tecnica troppo invadente nei riguardi della privacy, e molti amministratori preferiscono bloccare i messaggi che provengono dai server tolleranti nei confronti degli spammer.
DNSBL
Una specifica tecnica di bloccaggio comprende le DNSBL (DNS-based blackhole lists), nella quale un server pubblica liste di indirizzi ip, in modo che un server di posta possa essere facilmente impostato per rifiutare la posta che proviene da questi indirizzi. Ci sono diverse liste di DNSBL, che hanno politiche diverse: alcune liste contengono server che emettono spam, altre contengono open mail relay, altre elencano gli ISP che supportano lo spam.
Filtraggio statistico ed euristico
Fino a poco tempo fa, le tecniche di filtraggio facevano affidamento agli amministratori di sistema che specificavano le liste di parole o espressioni regolari non permesse nei messaggi di posta. Perciò se un server riceveva spam che pubblicizzava "herbal Viagra", l'amministratore poteva inserire queste parole nella configurazione del filtro. Il server avrebbe scartato tutti i messaggi con quella frase. Lo svantaggio di questo filtraggio "statico" consiste nella difficoltà di aggiornamento e nella tendenza ai falsi positivi: è sempre possibile che un messaggio non-spam contenga quella frase.
Il filtraggio euristico, come viene implementato nel programma SpamAssassin, si basa nell'assegnare un punteggio numerico a frasi o modelli che si presentano nel messaggio. Quest'ultimo può essere positivo, indicando che probabilmente contiene spam o negativo in caso contrario. Ogni messaggio è analizzato e viene annotato il relativo punteggio, esso viene in seguito rifiutato o segnalato come spam se quest'ultimo è superiore ad un valore fissato. In ogni caso, il compito di mantenere e generare le liste di punteggi è lasciato all'amministratore.
Il filtraggio statistico fa uso dei cosiddetti filtri bayesiani. Fu proposto per la prima volta nel 1998 nel AAAI-98 Workshop on Learning for Text Categorization, e fu reso popolare da un articolo di Paul Graham nel 2002. Esso usa metodi probabilistici, ottenuti grazie al Teorema di Bayes, per predire se un messaggio è spam o no, basandosi su raccolte di email ricevute dagli utenti.
Tecniche miste
Da qualche tempo stanno crescendo vari sistemi di filtraggio che uniscono più tecniche di riconoscimento dello spam, in modo da un lato minimizzare il rischio di falsi positivi (ovvero email regolari scambiate erroneamente per spam), dall'altro per aumentare l'efficienza del filtraggio. Si può quindi pensare di combinare il filtraggio per DNSBL con quello euristico e statistico, come alcuni programmi iniziano a prevedere, e fare così in modo di unire i pregi di ogni metodo di filtraggio e contemporaneamente ridurre i rischi grazie ai controlli multipli.
I comportamenti contro lo spam
A parte l'installazione di software di filtraggio dalla parte degli utenti, essi possono proteggersi dall'attacco dello spam in molti altri modi.
Address munging
Un modo in cui gli spammer ottengono gli indirizzi e-mail è il setaccio del Web e di Usenet per stringhe di testo che assomigliano a indirizzi. Perciò se l'indirizzo di una persona non è mai apparso in questi posti, non potrà essere trovata. Un sistema per evitare questa raccolta di indirizzi è falsificare i nomi e indirizzi di posta. Gli utenti che vogliono ricevere in modo legittimo posta riguardante il proprio sito Web o i propri articoli di Usenet possono alterare i loro indirizzi in modo tale che gli esseri umani possano riconoscerli ma i software degli spammer no. Per esempio, joe@example.net potrebbe venir modificato in joeNOS@PAM.example.net. Questo sistema è detto address munging, dalla parola "munge" tratta dal Jargon File che significa rompere. Questo sistema, comunque, non sfugge ai cosiddetti "attacchi al dizionario" nei quali lo spammer genera un numero di indirizzi che potrebbero esistere, come adam@aol.com che, se esistesse, riceverebbe molto spam.
Bug e Javascript
Molti programmi di posta incorporano le funzionalità di un Web browser come la visualizzazione di codice HTML e immagini. Questa caratteristica può facilmente esporre l'utente a immagini offensive o pornografiche contenute nelle e-mail di spam. In aggiunta, il codice HTML potrebbe contenere codice JavaScript per dirigere il browser dell'utente ad una pagina pubblicitaria o rendere il messaggio di spam difficile o impossibile da chiudere o cancellare. In alcuni casi, messaggi del genere contenevano attacchi ad alcune vulnerabilità che permettevano l'installazione di programmi di tipo spyware (alcuni virus informatici sono prodotti attraverso gli stessi meccanismi). Gli utenti possono difendersi utilizzando programmi di posta che non visualizzano HTML o allegati o configurarli in modo da non visualizzarli di default.
Evitare di rispondere
È ben noto che alcuni spammer considerano le risposte ai loro messaggi - anche a quelle del tipo "Non fare spam" - come conferma che l'indirizzo è valido e viene letto. Allo stesso modo, molti messaggi di spam contengono indirizzi o link ai quali viene indirizzato il destinatario per essere rimosso dalla lista del mittente. In svariati casi, molte persone che combattono lo spam hanno verificato questi collegamenti e confermato che non portano alla rimozione dell'indirizzo, ma comportano uno spam ancora maggiore.
Denunciare spam
Agli ISP
La maggioranza degli ISP proibisce esplicitamente ai propri utenti di fare spam e in caso di violazione essi vengono espulsi dai loro servizi. Rintracciare l'ISP di uno spammer e denunciarlo spesso porta alla chiusura dell'abbonamento. Sfortunatamente, questo può essere difficile e anche se ci sono degli strumenti che possono aiutare, non sempre sono accurati. Tre di questi servizi sono SpamCop,Network Abuse Clearinghouse. Essi forniscono mezzi automatici o semi automatici per denunciare spam agli ISP. Alcuni li considerano imprecisi rispetto a ciò che può fare un esperto di posta elettronica, ma molti utenti non sono così esperti.
Gli ISP spesso non mettono in atto misure preventive per impedire l'invio di spam, quali un limite massimo agli indirizzi di posta ai quali inoltrare la stessa e-mail, e un limite dell'ordine delle migliaia di unità alla posta elettronica inviabili in un giorno.
Talora, oltre all'accesso viene disattivata la connessione Internet. La disconnessione può essere permanente se l'abbonamento è ADSL a IP statico, bloccando l'indirizzo IP.
Alle Autorità
Il metodo più efficace per fermare gli spammer è di sporgere reclamo alle autorità competenti, ed in particolare - in Italia - al Garante per la protezione dei dati personali. Questo richiede maggiori tempo ed impegno ma gli spammer vengono perseguiti a norma di legge con l'applicazione di sanzioni di elevatissimo importo (fino a circa € 500.000,00), che traducono in una rilevante perdita economica il tentativo di ottenere una capillare pubblicizzazione a basso costo.
Le procedure da intraprendere:
1. Individuare gli indirizzi in rete da dove proviene lo spam tramite per esempio: SpamCop o Network Abuse Clearinghouse
2. Individuare lo stato dal quale è stato spedito lo spam per esempio tramite MostraIP
3. Verificare se lo stato in oggetto mette a disposizione un indirizzo di posta elettronica per esempio dalle liste pubblicate su OECD Task Force on Spam, Spam Reporting Adresses o Spam Links.
Altre forme di spam
Fino dal 1990, gli amministratori di sistema hanno compiuto molti sforzi per fermare lo spam, alcuni dei quali con esiti positivi. Come risultato, coloro che inviano messaggi di spam si sono rivolti ad altri mezzi.
WikiWikiWeb
Tutti i siti web che utilizzano il sistema wiki, come ad esempio Wikipedia, che dà ampie possibilità a un visitatore di modificare le proprie pagine, sono un bersaglio ideale per gli spammer, che possono avvantaggiarsi dell'assenza di un controllo continuo sul contenuto introdotto, per inserire i propri link pubblicitari. Sono stati creati filtri che impediscono la pubblicazione di determinati link proprio per ovviare a questo fenomeno. In molti casi lo scopo è quello di ottenere un miglioramento della visibilità del proprio sito sui motori di ricerca.
Su Wikipedia questo fenomeno viene contrastato in modo deciso: i link esterni sono accompagnati dall'attributo "nofollow", che indica ai motori di ricerca di non seguire il link; le voci vengono ripristinate alla loro versione precedente all'intervento; in caso di reiterati inserimenti, l'indirizzo IP viene bloccato in scrittura.
Messaging spam
I sistemi di instant messaging sono un obiettivo comune tra gli spammer. Molti sistemi di messaging pubblicano il profilo degli utenti, includendo informazioni demografiche come l'età e il sesso. Coloro che fanno pubblicità possono impiegare queste informazioni, inserirsi nel sistema e mandare spam. Per contrastare ciò, alcuni utenti scelgono di ricevere messaggi solo dalle persone che conoscono. Nel 2002, gli spammer hanno iniziato usando il servizio di messaging integrato in Microsoft Windows, winpopup, che non è "MSN Messenger", ma piuttosto una funzione progettata per permettere ai server di inviare avvertimenti agli utenti delle workstation. I messaggi appaiono come delle normali dialog box e possono essere inviati usando qualunque porta NetBIOS, per questo il blocco delle porte provocate da un firewall comprende le porte da 135 a 139 e 445.
Usenet
Le vecchie convenzioni di Usenet definiscono erroneamente lo spamming come "eccessivo invio multiplo di messaggi" (messaggi sostanzialmente simili la quale definizione esatta è flooding). Nei primi anni '90 ebbe luogo una notevole controversia tra gli amministratori di server news sull'uso dei messaggi di cancellazione per il controllo dello spam. Un messaggio di cancellazione è un'istruzione ad un server delle news per cancellare un messaggio, in modo da renderlo inaccessibile a chi lo volesse leggere. Alcuni lo considerano un cattivo precedente, incline alla censura, mentre altri lo ritengono uno strumento giusto per controllare la crescita del problema dello spam. In quel periodo, dovunque il termine spam su Usenet era usato per riferirsi all'invio di messaggi multipli. Furono coniati altri termini per comportamenti simili, come un cross-posting eccessivo o pubblicità non in tema con il manifesto del newsgroup, comunque più recentemente anche questi casi sono stati catalogati con il termine spam per analogia al ben più conosciuto fenomeno della posta elettronica.
Forum
Nei forum (o BBS) spesso per spam si intende l'invio di link riferiti ad altri forum per fare arrivare utenti, molto spesso è possibile caricare la medesima discussione nello stesso forum per attirare ancora più utenti. Altre volte si intendono erroneamente come "spam" anche i messaggi inutili e/o privi di un qualsivoglia senso logico; in questo caso, tuttavia, il termine più adatto sarebbe "flood".
L'utente che pratica spam nei forum, soprattutto nel secondo caso, viene tipicamente definito con il termine gergale spammone.
Il termine è dispregiativo, un utente considerato spammone viene spesso giudicato anche inaffidabile o incompetente dagli altri. A volte però il termine può avere un tono più scherzoso e goliardico, soprattutto nei forum dove c'è abbastanza tolleranza nei confronti dello spam.
Blog
Con l'avvento ed il successo riscosso dai blog, non potevano mancare tecniche di spamming che riguardano anche questa nuova recente categoria di media. Oltre al semplice posting di link che reindirizzano il visitatore sui siti che lo spammer vuole pubblicizzare, esistono due tecniche, ben più evolute: lo spammer fa uso di una sorta di query-bombing dei sistemi multipiattaforma più noti come WordPress o b2evolution, attaccando i database con l'inserimento continuo di messaggi pubblicitari. Le componenti di un blog più vulnerabili sono quindi quelle che sono esposte all'utilizzo pubblico: i commenti (per i quali i vari creatori dei sistemi multipiattaforma forniscono con periodicità plug-in di protezione) e gli hitlogs, ovvero il sistema di tracking dei referer (i siti che linkano la pagina in questione).
Keyword spamming
Il keyword spamming è il termine dato all'eccessivo uso di keyword o parole chiave in una pagina web al fine di incrementarne la visibilità per i motori di ricerca. Questa tecnica è considerata una cattiva SEO.
Le nuove tecniche ed algoritmi hanno però introdotto delle funzionalità che permettono ai motori di controllare l'utilizzo ripetitivo degli stessi termini e quindi penalizzare i siti web che adottano questa forma di spam.
Aspetti giuridici
Lo spam è un reato in innumerevoli paesi, inquisito anche all'estero con richieste di estradizione. Tra gli spammer più famosi, si ricordano Laura Betterly, Brian Haberstroch, Leo Kuvayev, Jeremy Jaynes, Sanford Wallace.
Italia
La disciplina italiana concernente l’invio di posta elettronica a fini commerciali è disciplinata dall’art. 130 Codice Privacy, rubricato “Comunicazioni indesiderate”. L’ambito di applicazione di detto articolo è proprio quello dello spamming, seppur la rubrica si limiti a parlare di comunicazioni indesiderate e non menzioni quelle semplicemente non richieste. Il modello di regolazione scelto dal legislatore italiano (e in generale da tutti gli stati aderenti alla Comunità Europea) è quello dell’opt-in, che prevede la possibilità di avvalersi del trattamento dei dati personali solo dopo aver ottenuto il consenso del soggetto interessato.
È inoltre vietato, sempre dall’art. 130 Codice Privacy, l’invio di comunicazioni a scopi pubblicitari, per la vendita diretta o per ricerche di mercato effettuato camuffando o celando l’identità del mittente o ancora senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i propri diritti. È però prevista una deroga ai dettami di tale articolo, che consente di utilizzare le coordinate di posta elettronica, fornite dall’interessato nel contesto della vendita di un prodotto o servizio, per l’invio di ulteriori messaggi promozionali aventi ad oggetto simili beni o servizi, senza dover nuovamente chiederne il consenso.
Vi è poi nel nostro ordinamento un’ulteriore disposizione al riguardo, rinvenibile nel d.lgs. 9 aprile 2003, n.70 sul commercio elettronico. L’art. 9 afferma infatti che le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica devono, in modo chiaro ed inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le riceve e devono altresì contenere l’indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni.
Va da ultimo esaminato l’impianto sanzionatorio previsto dal nostro ordinamento. Anzitutto lo stesso art. 130 comma 6 attribuisce al Garante per la protezione dei dati personali, in caso di reiterata violazione delle disposizioni previste in tale ambito, il potere di provvedere, negli ambiti di un procedimento di reclamo attivato, tramite prescrizione ai fornitori di servizi di comunicazione elettronica (ISP), adottando misure di filtraggio o altre misure praticabili nei confronti di un certo indirizzo di posta elettronica.
Di ben maggiore deterrenza appare poi l’art. 167 del Codice Privacy, nel quale si prevede che, salvo il fatto non costituisca più grave reato, chiunque proceda al trattamento dei dati personali in violazione di quanto previsto nel Codice stesso, al fine di trarne un profitto o recare ad altri un danno, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione di tali dati, con la reclusione da sei a ventiquattro mesi. L’attività di spamming espone, infine, ai sensi dell’art. 161 Codice Privacy, alla sanzione amministrativa di omessa informativa (di cui all’art 13), la quale va da un minimo di tremila euro ad un massimo di diciottomila euro. La sanzione viene erogata dall’autorità Garante per la protezione dei dati personali a seguito di un apposito ricorso ai sensi degli artt. 145 ss. Codice Privacy; tale ricorso che non può essere proposto se, per il medesimo oggetto e tra le medesime parti, è già stata adita l’autorità giudiziaria.
La tutela amministrativa risulta dunque essere alternativa a quella giudiziaria, inutile dire che risulta essere anche meno soddisfacente (dal punto di vista economico) per chi se ne avvale, lasciando quindi un ruolo preminente a quella giudiziaria. La prima controversia italiana avente ad oggetto attività di spamming è stata risolta dal Giudice di Pace di Napoli, che, con sentenza 26 giugno 2004, ha riconosciuto l’illiceità di tale attività, condannando il titolare del trattamento al risarcimento del danno patrimoniale, non patrimoniale, esistenziale e da stress subito dal titolare della casella di posta elettronica.
L’assetto che deriva dalle regole appena esposte, in piena coerenza con la vigente disciplina nazionale sulla data protection, qualifica dunque il nostro come un sistema improntato al cosiddetto “opt-in” (necessità del consenso preventivo), salvo il temperamento relativo alla comunicazione via e-mail finalizzata alla vendita di “propri prodotti o servizi analoghi”, ispirato ad un sistema che potremmo definire di “soft opt-out”. Con particolare riferimento al tema delle comunicazioni commerciali, l’art. 58 del Codice del consumo, D.Lgs. 206 del 2005, raccogliendo integralmente il disposto del pre-vigente D.Lgs. 185/99, ha introdotto tuttavia delle norme sostanzialmente differenti ove prevede particolari limiti all’impiego di alcune tecniche di comunicazione a distanza: 1.l’impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l’intervento di un operatore o di fax, richiede il consenso preventivo del consumatore; 2.tecniche di comunicazione a distanza diverse da quelle di cui al comma 1, qualora consentano una comunicazione individuale, possono essere impiegate dal fornitore se il consumatore non si dichiara esplicitamente contrario. Mentre il primo comma prevede un sistema pienamente assimilabile all’opt-in, il secondo è invece apertamente ispirato ai meccanismi dell’opt-out. Questa regolamentazione comportava già alcuni gravi dubbi interpretativi, soprattutto per i riflessi operativi che ne derivavano: che relazione intercorre tra il consenso richiesto dalla normativa privacy e quello imposto dall’art. 58, comma 1, del Codice del consumo? Il tema è ancora oggi fortemente dibattuto, fermi però alcuni punti di riferimento che devono costituire i criteri guida per la soluzione di questo problema esegetico: a) si tratta di due consensi aventi natura diversa, per il semplice fatto che tutelano interessi diversi (quello alla riservatezza da un lato, e quello alla correttezza del comportamento del professionista dall’altro); b) comuni sono le sanzioni che derivano dalla violazione delle norme, come evidentemente dimostrato dall’art. 62 del Codice del consumo, che espressamente prevede la trasmissione al Garante Privacy del verbale ispettivo redatto dagli organi competenti a rilevare le violazioni dei diritti dei consumatori, affinché il Garante stesso irroghi le diverse sanzioni prescritte dal Codice privacy. Qualsiasi scelta nella impostazione della modulistica necessaria alla acquisizione del consenso, deve tenere dunque ben presenti la tratteggiata distinzione. Si deve comunque sottolineare che in questo tema e in virtù di quanto prima sostenuto in tema di sanzioni debba ritenersi più significativo l’orientamento del Garante Privacy il quale, in numerosi provvedimenti, ha dichiarato l’illegittimità di qualsiasi comunicazione non preventivamente autorizzata: RILEVATO che ai sensi dell'art. 130 del Codice (salvo quanto previsto dal comma 4 del medesimo articolo) il consenso preventivo degli interessati è richiesto anche per l'invio di una sola comunicazione mediante posta elettronica volta ad ottenere il consenso per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale o, comunque, per fini promozionali (come quella contestata volta a rendere noti i servizi offerti attraverso un sito Internet) (Provvedimento del 20 dicembre 2006).
Stati Uniti
Dal 1997 in poi si registra negli Stati Uniti un’intensa attività a livello legislativo statale in risposta ai problemi creati dal crescente fenomeno della posta indesiderata.
Trentasei stati hanno emanato una legislazione ad hoc sul tema. Le previsioni legislative dei singoli stati sono le più disparate, alcuni dispongono che vi debbano necessariamente essere informazioni atte ad identificare il mittente, unanime è poi la previsione della possibilità per l’utente di vedere cancellato il proprio indirizzo dalla banca dati dello spammer. Gli Stati Uniti infatti aderiscono al modello di regolazione opt-out (fatta eccezione per lo stato della California e del Delaware), che di fatto rende lecito lo spamming ma consente all’utente di esprimere in ogni momento la propria volontà a che cessi l’attività di spamming sulla sua casella di posta elettronica.
Altre previsioni legislative statali generalmente condivise riguardano il divieto di porre in essere, mediante lo spamming, attività ingannevoli, falsificando alcune parti del messaggio o l’oggetto stesso. Dal momento che la quasi totalità dei messaggi è spedita in maniera transfrontaliera all’interno della federazione, si è resa necessaria un’armonizzazione tra le varie legislazioni. Alcune legislazioni statali contengono infatti delle previsioni atte ad individuare l’ordinamento competente a regolare i vari casi di spamming che coinvolgono più stati.
L’intervento più significativo e uniformante però è avvenuto a livello federale, con il Can-Spam Act del 2003 (entrato in vigore il primo gennaio 2004). Con questo provvedimento si rimette al Dipartimento di Giustizia, lo FTC, all’attourney general statale e agli ISP la facoltà di tutelare i diritti dei privati, stabilendo per coloro che violano le previsioni dello statute (tra le quali, ancora, l’inserimento di informazioni e oggetti fuorvianti o l’omissione dell’apposita etichetta prevista per i messaggi a contenuto sessuale) sanzioni pecuniarie fino a $ 2.000.000, con la possibilità di triplicare la pena nel caso in cui la violazione sia stata commessa intenzionalmente e consapevolmente. Sono previste inoltre sanzioni penali per gli spammer che inviano messaggi commerciali illeciti, a contenuto osceno, pedo-pornografico o l’identità del cui mittente è falsa o rubata. Il Can-Spam Act prevale sulle disposizioni normative statali, ma di fatto, è stato tacciato dalla dottrina come statute per lo più “simbolico” alla luce del suo scarso impatto pratico.