• Francesco Celentano, Avvocato, Titolare della cattedra di Informatica, Università Giustino Fortunato di Benevento.
• Cultore della materia di Informatica, Università degli Studi di Foggia.
• Riveste numerosi incarichi per l’Avvocatura in materia di Informatica in ambito ordinistico, regionale ed europeo.
• È proprietario ed editore della testata giornalistica online Studio Celentano.
• Gerardo A. Cavaliere, Avvocato, Dottore di ricerca in Bioetica e sistemi giuridici, Università degli Studi di Foggia.
• Cultore della materia di Informatica, Università Giustino Fortunato di Benevento.
• Giornalista pubblicista, scrive sulla testata giornalistica Studio Celentano.
• Michele Iaselli, Avvocato, Docente di Legislazione new economy, Università degli Studi di Ferrara.
• Funzionario del Ministero della Difesa.
• Autore di decine di monografie, scrive sulla testata giornalistica Studio Celentano.
• Davide Merlitti, Consulente informatico, Scuola Normale Superiore di Pisa.
• Scrive sulla testata giornalistica Studio Celentano.

Celentano, Cavaliere, Iaselli e Merlitti insieme hanno pubblicato, da ultimo:

• Manuale breve di informatica per avvocati, Utet, 2007.

Uno dei temi più importanti e discussi in Rete è il fenomeno dello spamming. Qualunque utente di Internet, ormai, conosce questa piaga, che accomuna democraticamente i navigatori di tutti gli Stati del mondo. Eppure questo fenomeno di enorme e attuale rilevanza a livello mondiale coinvolge uno degli strumenti di Internet più "antichi": la posta elettronica.

Essa è definita come quel sistema informatico che permette una comunicazione asincrona uno-a-uno o uno-a-molti. Per comunicazione asincrona si intende quel servizio che non richiede l'interattività simultanea fra i processi coinvolti su host della Rete (posta elettronica, Www, Ftp), mentre per comunicazione sincrona si fa generalmente riferimento a quei servizi che richiedono l'interattività fra tali processi.

Per molti la posta elettronica, electronic mail (abbreviato in e-mail), rappresenta la più frequente ed efficace forma di comunicazione post-moderna. Nata come mezzo di comunicazione essenziale subito dopo la nascita di Arpanet [1], la posta elettronica è stata costantemente migliorata al punto da raggiungere oggi un elevatissimo grado di innovazione tecnologica.

I primordi della posta elettronica possono essere ricercati fin negli anni Sessanta, allorquando iniziarono a essere commercializzati i primi computer che potevano eseguire più applicazioni contemporaneamente. A quel tempo vennero scritti alcuni programmi che consentivano lo scambio di messaggi testuali fra computer, ma unicamente all'interno dello stesso gruppo di utenti che condividevano un computer. Fu proprio in quegli anni che si scelse il carattere "@" come elemento che poteva caratterizzare gli indirizzi e-mail rispetto ad altri indirizzi relativi al mondo di Internet.

Alla fine del 1971 Ray Tomlinson sviluppò la prima applicazione per lo scambio di e-mail all'interno di Arpanet: si chiamava Cpynet ed era un software capace di copiare file sulla Rete e di informare i colleghi, inviando loro una e-mail con le istruzioni per usare il nuovo programma. Fu Tomlinson a scegliere la "chiocciola" come simbolo standard per indicare un indirizzo di posta elettronica [2].

Spam, nel vocabolario inglese, indica la "carne di maiale in scatola" ed è il risultato della contrazione fra le parole spiced e ham. La parola spam, però, attualmente non è utilizzata per indicare scatolette di carne e simili, quanto piuttosto un fastidioso e non richiesto invio di messaggi pubblicitari nella nostra cassetta elettronica delle lettere (vietato dall'art. 8 della Netiquette, in cui si proibisce l'invio "tramite posta elettronica di messaggi pubblicitari o comunicazioni che non siano stati sollecitati in modo esplicito" [3]) .

Il nesso fra le parole spam e l'appena citato invio non desiderato di posta deriva da una scenetta comparsa in un episodio della serie televisiva Monty Python's Flying Circus. Una coppia entra in un ristorante per ordinare da mangiare. La cameriera si avvicina, ma non riesce a prendere le ordinazioni. Un gruppo di gioviali avventori, infatti, - con dei simpatici elmi in testa (a mo' di vichingo) - disturba il silenzio del locale con una canzone che fa "Spam, spam, spam…" e che impedisce ai tre soggetti di comunicare fra loro. Alla fine, il marito è costretto a ordinare nient'altro che dello spam! I messaggi di spamming sono suddivisi in diverse tipologie.

Per quanto concerne il tipo di destinatario che le riceve vi sono: i messaggi inviati a decine di newsgroup (in questo modo sono colpiti tutto gli iscritti al newsgroup); e quelli inviati a un singolo utente ben individuato. Riguardo al contenuto, invece, i messaggi di spam possono essere classificati in tre tipologie: Hoax (cioè le c.d. catene di S. Antonio); e-mail inviate da virus; Unsolicited Commercial E-mail (Uce). In questa sede ci si occupa dell'ultima categoria elencata, le Uce.

I soggetti (c.d. "spammers", o "spammatori") che svolgono questo tipo di attività a danno di tutti gli utenti riescono a ottenere gli indirizzi di posta mediante l'uso di software specifici. Questi programmi scandagliano la Rete intera (e, quindi, anche le pagine web più nascoste e ramificate, e non solo le home page) e ogni volta che individuano un indirizzo così composto: tuonome@dominio.it (per esempio) lo memorizzano. Una volta individuato e registrato, l'indirizzo viene inserito nel campo dei destinatari cui saranno dirette le e-mail. Pur trattandosi di un fenomeno meramente pubblicitario, esso, per le modalità con cui è organizzato e gestito, lede gli interessi di tutti quei navigatori cui corrispondono gli indirizzi di posta.

L'utente, dunque, pur non avendo acconsentito all'invio dei messaggi incriminati non può fare altro che restare inerte o utilizzare uno dei tanti rimedi oggi esistenti per combattere la "lotta" contro lo spamming.

Secondo la Organisation for Economic Co-operation and Development [4] vi sono alcune peculiarità che contraddistinguono lo spam. Fra loro possono essere suddivise in due tipologie: quelle di primaria importanza e quelle secondarie.

Fra le prime troviamo: " messaggio elettronico: i messaggi di spamming sono inviati elettronicamente. Mentre la e-mail è lo strumento più utilizzato come canale di invio, altri circuiti possono essere la messaggistica immediata (IM) e i brevi messaggi di testo via telefono cellulare (Sms); " inviate in blocco (bulk): i messaggi sono tipicamente inviati in massa, ma possono essere spediti in piccoli gruppi di lettere da account di posta elettronica gratuiti; " non richiesto: lo spam è inviato senza il consenso o la richiesta da parte del destinatario.

È difficile, comunque, distinguere a volte lo spamming da contatti per i quali esiste effettivamente un determinato rapporto fra destinatario e mittente; " commerciale: di solito lo spam ha uno scopo pubblicitario: la promozione o la vendita di determinati prodotti o servizi. Tuttavia, alcuni messaggi non commerciali possono essere considerati altri esempi di spam, per esempio, quelle lettere dal contenuto politico o recanti virus.

Fra le secondarie: "utilizzo di indirizzi collezionati senza previo consenso: gli spammers usano spesso indirizzi e-mail che sono stati raccolti senza il consenso esplicito del legittimo proprietario; " non volute: nessuno ha mai richiesto determinati messaggi; " ripetitive: molto spesso gli spammers inviano più volte gli stessi messaggi ai medesimi destinatari; " indiscriminato: tipicamente lo spam è inviato in una maniera indiscriminata, senza cognizione di quello che può essere l'impatto che si avrà sul destinatario finale; " inarrestabile: è quasi impossibile essere immuni dal ricevere messaggi, seppure non desiderati; " anonimo o camuffato: i messaggi di spam sono spesso trasmessi con artifici tecnici mediante i quali viene nascosta o camuffata una serie di informazioni, che afferiscono al mittente (header del messaggio); " contenuto illegale, offensivo, fraudolento o ingannevole: il contenuto dei messaggi può essere di vario genere e può anche essere contrario alle leggi in vigore nel Paese di residenza del destinatario.

Prima di organizzare l'attività, gli spammers devono ovviamente detenere un certo quantitativo di indirizzi di posta elettronica, cui inviare i messaggi. È opportuno, allora, procedere a una necessaria (e quanto mai ampia) raccolta dei dati, oggetto della propria "occupazione". Affinché gli attacchi riscuotano un discreto successo, infatti, i messaggi non sollecitati devono essere inviati al maggior numero di indirizzi di posta. Questa fase, dunque, appare fondamentale e prodromica alla vera e propria attività di spamming e deve essere gestita in maniera alquanto accurata.

È necessario cercare di coniugare, infatti, due criteri precisi: velocità di reperimento degli indirizzi e grande quantità dei medesimi. La realizzazione di sistemi di spamming (attraverso programmi di spamming, c.d. spamware) è - pur sempre - una specie di attività commerciale. Perciò si deve cercare di raggiungere il potenziale cliente nel più breve tempo possibile.

Una prima tecnica di reperimento degli indirizzi e-mail consiste nell'"inventarli". Gli spammers, infatti, sanno quali sono i mail server più famosi e popolari in Rete e sono a conoscenza, quindi, del fatto che ogni mail server ospiterà le caselle di posta di svariati utenti. La maggior parte dei navigatori creano il proprio account di posta elettronica di solito indicando il proprio nome. Per esempio, negli Usa, ci saranno centinaia di migliaia di John, Mike, Paul, ecc. In Italia altrettanti Giovanni, Michele, Paolo, ecc. L'attività degli spammers è quella di postulare l'esistenza di svariati account di posta, partendo da prestabiliti provider che forniscono servizi di posta elettronica. Tale lavoro, però, non dà sempre buoni risultati. Innanzitutto molti utenti utilizzano nickname, poi taluni usano anche segni di interpunzione nel proprio nome utente, talaltri, invece, includono nel proprio ID anche dei numeri, ecc.

Per questo motivo, è fondamentale l'utilizzo dei c.d. "generatori random". Si tratta di software - chiamati anche dictionary attack - che permettono di generare automaticamente un numero infinito (almeno in teoria) di indirizzi di posta elettronica, afferenti a uno specifico dominio. Poniamo il caso del dominio @tin.it: il programma invierà il messaggio in primis all'indirizzo a@tin.it, poi aa@tin.it, poi b@tin.it, ecc. Poiché si presume che nella realtà non vi siano così tanti indirizzi nelle modalità e nelle quantità "pensate" da uno di questi generatori random, moltissime e-mail torneranno indietro, per inesistenza del destinatario.

Lo spammer, invece, che vuole andare "a colpo sicuro" dovrà optare per altri strumenti e andare alla ricerca di "veri" indirizzi di posta. Una seconda tecnica, dunque, consiste nell'utilizzo dei c.d. strumenti di "traino", ossia di aspirazione di indirizzi. Poiché, solitamente, gli indirizzi e-mail sono tenuti privati (e sono lasciati a poche persone) lo spammer non potrà entrarvi in possesso, ma - come detto supra - potrà solo postularne l'esistenza. Allora è d'obbligo spostarsi in ambiti in cui è più facile che si trovino indirizzi e-mail lasciati "in pubblico dominio": il web, i forum e i newsgroup. In questa attività, lo spammer si avvale di specifici software, che esplorano automaticamente le pagine web, i forum e i newsgroup alla ricerca di caratteri disposti in maniera tale che sembrino degli indirizzi e-mail.

Questi programmi - chiamati spambots - hanno la capacità anche di entrare nei codici Html di una pagina web e leggere gli indirizzi di posta ivi contenuti (quindi, non solo se la e-mail è indicata "in chiaro" nella pagine web). Essi, dunque, funzionano in base al principio di una navigazione automatizzata su siti web e sugli spazi pubblici di Usenet utilizzando o un elenco di Url specificati preventivamente o parole chiave sottoposte a motori di ricerca, che permettono di costituire un elenco di Url pertinenti. Il software effettua quindi una raccolta sistematica di tutti gli indirizzi e-mail trovati sulle pagine di questi siti o nei forum.

Gli spammers, però, utilizzano anche altri sistemi che in maniera più subdola reperiscono gli stessi dati, e ciò non tanto per l'uso di un software, ma grazie allo stesso ignaro navigatore. Essi possono creare, per esempio, dei siti web (solitamente dal contenuto erotico, per attirare un maggior pubblico) all'interno dei quali vengono richiesti alcuni dati per l'accesso al servizio. Oppure si possono realizzare siti web che, con lo stesso meccanismo appena indicato, una volta richiamato l'utente, "rubano" alcune informazioni personali dal nostro browser (e, quindi, per esempio, il nostro indirizzo e-mail). Un altro modo, piuttosto originale, per racimolare indirizzi di posta è quello realizzato da alcuni siti che offrono la possibilità di inviare "messaggi anonimi".

Per capire meglio di cosa si tratta, si può schematicamente riassumere il procedimento in questi termini. Il sito "A" offre a un altro (sito "B") la possibilità di inserire nella home page di quest'ultimo un piccolo form Html, nel quale l'utente potrà usufruire di un servizio di messaggistica anonima, fornito dal sito A. Come si evince dalla terminologia utilizzata, il surfer farà pervenire a un altro navigatore un messaggio anonimo.

Fin qui tutto semplice. Il problema giuridico (ma anche etico da certi punti di vista) si realizza successivamente. Il destinatario del messaggio riceverà, attraverso i server del sito A, una notifica di ricezione e, all'interno di questa, potrebbero essere contenute varie informazioni pubblicitarie, oltre al messaggio anonimo inviatogli. Questa procedura consente a un qualsiasi navigatore di inviare messaggi anonimi (pratica lecita, perché rientrante nel più generale diritto all'anonimato dell'individuo), ma attraverso un sistema che lo inganna, poiché è finalizzato molto probabilmente alla raccolta del suo indirizzo di posta e di quello dei destinatari, per finalità che è difficile non scorgere nella generazione di spam [5].

Una volta reperiti tutti gli indirizzi che sembrano sufficienti, gli spammers iniziano la vera fase di invio. A tal fine essi possono utilizzare anche normalissimi programmi per la gestione della posta elettronica. Nella maggioranza dei casi essi nascondono gli header (cioè quei dati informativi iniziali) della lettera per rendere più difficoltosa la ricostruzione del percorso di quella determinata e-mail.

Siamo, dunque, nella c.d. fase "di spinta", ossia dell'invio massiccio di e-mail. Gli strumenti c.d. "di spinta" sono motori che permettono di realizzare gli invii in massa senza passare da un server di posta elettronica specifico o di un certo Isp. I prodotti che si trovano attualmente sul mercato permettono all'elaboratore su cui sono installati di comportarsi come un vero e proprio server di posta elettronica, senza correre il rischio di dover essere vincolati a degli Isp, che potrebbero contestare la saturazione di banda.

Questi motori sono in grado di superare i filtri anti-spam dei server di posta elettronica e permettere una perfetta falsificazione delle intestazioni di messaggio. È abbastanza paradossale che si possano trovare apertamente sul mercato tali prodotti, commercializzati da distributori apparentemente ufficiali, sapendo che una parte delle loro funzionalità corrisponde a modalità di intasameto del traffico su Internet

È opportuno notare, inoltre, che non sono rari i casi in cui i dati faticosamente raccolti vengano riuniti in "pacchetti" per la vendita ad altri spammers. I tagli e i prezzi variano a seconda del caso specifico, ma sta di fatto che i nostri indirizzi divengono merce di scambio di grande valore. L'offerta di servizi si presenta schematicamente in due grandi categorie di prestazioni: l'organizzazione di campagne (host-spamming) e l'intermediazione di file d'indirizzi e-mail.

Nel primo caso viene offerta una prestazione completa di servizi per l'organizzazione di campagne di spamming; varie piccole aziende ne fanno apertamente professione sulla Rete; le loro tariffe variano da 5 dollari al migliaio per una spedizione a 20 dollari al migliaio se il cliente vuole disporre degli indirizzi. Alcuni si sono specializzati nell'offrire un servizio "a prova di pallottola", ossia in grado di sfuggire in linea di principio alle azioni repressive degli Isp. I mediatori d'indirizzi sono abbastanza numerosi: varie società propongono offerte di membership comprendenti diverse formule d'abbonamento a elenchi d'indirizzi, ma che si sostanziano nella vendita di pacchetti di centinaia di migliaia di indirizzi.

Esistono anche offerte d'acquisto in linea di indirizzi immediatamente scaricabili. Gli elenchi mirati sono presentati per lo più in modo abbastanza vago; i criteri di selezione più comuni sono il paese, lo Stato, la città di residenza, il sesso, gli interessi, la professione e il settore d'attività. I centri d'interesse si scompongono in una cinquantina di segmenti correnti che ricordano la struttura dei grandi domini su Usenet

Senza scendere nel dettaglio dei numerosi metodi studiati per contrastare questo fenomeno [6], si ricorda che esistono fondamentalmente due categorie di anti-spam: quelle che si basano sul filtraggio della provenienza del messaggio e quelle che si basano, invece, sul filtraggio dei contenuti (euristico o bayesiano). Si può affermare che, fra tutte le tecniche elaborate, la più efficace è quella dell'analisi bayesiana del contenuto.

Tutti gli altri metodi sono falliti miseramente, a causa delle complesse difficoltà tecniche di bloccare in maniera del tutto sicura l'arrivo di messaggi spazzatura.

Il fenomeno dello spamming ha raggiunto ormai dimensioni elevate ed è in costante aumento. Al di là delle statistiche sulla sua diffusione [7], un dato è particolarmente significativo: oggi gli utenti (in particolare quelli statunitensi) si sono rassegnati allo spamming e lo vivono come un dato di fatto. È quanto emerge da una indagine svolta da Pew Internet and American Life Project, organizzazione attiva nello studio dell'impatto che Internet ha sulla società (famiglie, comunità, politica, ecc.).

Gli spammers, pur prediligendo la posta elettronica per consegnare i messaggi di advertising, hanno iniziato a usare anche altri canali. Il messaging spam, anche detto Spim (dalla contrazione delle parole spam e instant messenger), è quello spamming perpetrato tramite i sistemi di messaggistica istantanea, come Aol oppure Yahoo! Messenger.

Con l'esplosione dei blog, gli spammatori non si sono fatti sfuggire un nuovo strumento, per inserire messaggi pubblicitari in Rete. Gli spammers, dunque, si sono dedicati alla realizzazione di blog pieni di pubblicità e, per questo motivo, il nuovo fenomeno è stato chiamato Splog (dalla contrazione delle parole spam e blog). Un altro sistema recentemente diffusosi a macchia d'olio è quello dello spamming con immagini (c.d. image-spamming).

Gli spammers, infatti, per aggirare i filtri che analizzano le parole delle e-mail, inseriscono immagini che contengono ugualmente gli annunci pubblicitari, ma non vengono intrappolati nei filtri anti-spamming. L'uso di image-spamming è cresciuto notevolmente negli ultimi mesi, raggiungendo il 25% di tutta la pubblicità indesiderata che circola in Rete.

Come è facilmente intuibile, il maggior problema che lo spamming crea (insieme a quello dei costi per ridurlo) è la rilevante ingerenza nella riservatezza personale degli utenti della Rete. Ogni navigatore sa che Internet è un mezzo utile per lo sviluppo, non solo del proprio business, ma anche della propria personalità. In quest'ultimo senso, l'utente della Rete è vagamente consapevole della sua possibilità di entrare nel mondo di altre persone, conoscendone le realtà seppure a migliaia di chilometri di distanza, e che ciò è direttamente proporzionale alle possibilità che altri entrino nel proprio mondo fatto di conoscenze, amicizie, lavoro.

Purtroppo, la maggior parte di questi "attentati" non è difficilmente conoscibile a un utente poco esperto della Rete. Vi sono infatti svariate modalità di interferire nella privacy di ognuno. Basti pensare solamente a tutti i cookies che si installano nel proprio computer a seguito della semplice visualizzazione di una pagina web o di un accesso alla posta elettronica e che permettono di reperire numerosi dati personali. Tali dati, se per un verso possono sembrare innocui, perché generati automaticamente dall'elaboratore, per l'altro possono essere visualizzati, copiati e diffusi da soggetti diversi senza che il legittimo proprietario sia consenziente.

Un recente modo per attentare alla riservatezza personale di ognuno è, senza ombra di dubbio, il fenomeno qui analizzato: lo spamming. Essere continuamente bersaglio della pubblicità via posta elettronica, infatti, non può che minare il fragile equilibrio, che la privacy personale cerca di mantenere in Rete. Si deve considerare, poi, che il proprio indirizzo di posta elettronica è custodito da soggetti che non sono stati autorizzati al relativo trattamento, ma che possono rivendere ad altri senza il nostro consenso.

Di questo passo quello che può essere un mezzo per intrattenere rapporti lavorativi e sociali - cioè l'indirizzo di posta elettronica - diventa oggetto nelle mani di terze persone, che non hanno altro scopo se non quello di sommergerci da messaggi indesiderati. Il piccolo spazio virtuale che ciascuno detiene nel "mare magnum" della Rete deve essere salvaguardato come lo spazio che "fisicamente" ognuno di noi possiede nella società. A tal riguardo oggi si parla proprio di una nuova forma di "entità individuale": la c.d. "electronic persona", ovvero, la "e-persona". Essa può essere definita come "quel vestito che ciascun navigatore indossa al momento del surfing e che può trasformare l'utente o in una entità diafana, capace di entrare in qualunque zona di Internet in maniera anonima, oppure in un rigoroso e attento fruitore di contenuti accessibili nella Rete". Questa metafora sintetizza in poche parole la vera essenza dell'odierno navigatore in Rete.

Con pochi concetti si vengono a delineare le complesse sfere di diritti di cui ciascun utente dispone all'interno di Internet. Diritti che erano già riconosciuti dagli ordinamenti giuridici prima dell'avvento della Rete mondiale (come il diritto al nome, alla propria immagine, ecc.) e diritti che sono arrivati a compimento proprio in seguito alle particolari esigenze sorte con le nuove tecnologie (come il diritto alla privacy). Con il concetto di e-persona, dunque, si è voluta intravedere una sorta di "alter ego" della persona fisica umana.

La parte dell'uomo che entra in contatto (metafisicamente parlando) con gli strumenti della moderna tecnologia assume, di per sé, valore giuridico e merita rispetto per ciò che essa rappresenta: prolungamento ideale della persona fisica. La consapevolezza dell'esistenza di questa nuova dimensione dell'uomo rende opportuno un ulteriore passo.

Bisogna, infatti, riempire di contenuti giuridici questo alter ego. L'unico modo per compiere questo delicato "intervento" appare essere probabilmente quello di applicare anche a questa nuova dimensione i diritti personalissimi che spettano all'uomo in quanto persona fisica. Sono quei diritti che vengono "trovati" dal diritto oggettivo, poiché esistenti indipendentemente da ogni diritto oggettivo che li riconosca e che questo si limita a garantire. Sono i "diritti inviolabili dell'uomo", tutelati dalla nostra Costituzione all'art. 2 ("La Repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità").

Questo loro carattere di inviolabilità ha un duplice referente: sono diritti dell'uomo inviolabili da parte della pubblica autorità, nell'esercizio delle sue funzioni legislative, esecutive o giudiziarie; sono, inoltre, diritti dell'uomo inviolabili da parte degli altri uomini, nell'ambito dei rapporti fra privati. Hanno la peculiarità di essere protetti nei confronti di tutti i consociati (per cui rientrano fra i diritti assoluti), sono diritti che il loro titolare non può alienare né cui può rinunciare (diritti indisponibili). Sono diritti che non si prescrivono, che non si estinguono per il non uso prolungato nel tempo (diritti imprescrittibili).

Possono rientrare, pertanto, fra i diritti personalissimi della e-persona i seguenti diritti (elencati in maniera non esaustiva, poiché essi costituiscono una serie aperta).

• a. Il diritto al nome, inteso sia come diritto all'uso del proprio nome (ossia come diritto a identificare se stessi con il proprio nome e come diritto di essere identificati dagli altri con esso) sia come diritto all'uso esclusivo del proprio nome. L'art. 9 codice civile tutela anche lo pseudonimo, solo nel caso in cui esso abbia acquistato l'importanza del nome e sino a quando tale circostanza sussista; importanza che si rapporta, come per il nome, in un determinato ambiente sociale (o ambito di socializzazione) e che svolge la medesima funzione identificativa e, al tempo stesso, differenziatrice di un soggetto e del suo proprio modo di essere (e di non essere) rispetto agli altri [8]. Quindi, appare plausibile conferire tutela giuridica anche al c.d. nickname tanto usato in chat come nell'uso anche di lettere di posta elettronica, purché soddisfi i requisiti appena elencati;
• b. il diritto all'immagine, nel senso che è vietato esporre o pubblicare l'immagine altrui senza il consenso della persona ritratta, salvo che non si tratti di persona notoria oppure che l'immagine sia stata pubblicata nel contesto di un avvenimento svoltosi in pubblico e sempre che la pubblicazione non rechi pregiudizio alla dignità della persona;
• c. il diritto all'onore (cioè il sentimento che l'individuo ha delle proprie qualità morali ovvero, in altri termini, della propria onorabilità, cioè dell'assenza di cause di disonore) e al decoro (cioè l'insieme delle altre qualità e condizioni che, come la dignità fisica, intellettuale o professionale, concorrono a costituire il valore sociale dell'individuo);
• d. il diritto all'identità della persona. Diritto individuato recentemente dalla giurisprudenza, definito come il diritto a che non sia travisata la propria immagine politica, etica o sociale con l'attribuzione di azioni non compiute dal soggetto o di convinzioni da lui non professate;
• e. il diritto alla riservatezza. Anche se nel codice civile non vi sono norme specifiche in materia, recentemente si è fatta spazio l'idea dell'esistenza di un vero diritto alla riservatezza. Già l'art. 2 della Costituzione prevede che "La Repubblica riconosce e garantisce i diritti inviolabili dell'uomo nelle formazioni sociali ove si svolge la sua personalità".
• Questa espressione, per quanto generale, costituisce il fondamento del diritto alla riservatezza, che tende appunto a preservare all'individuo un ambiente nel quale si svolge la sua personalità immune da intrusioni degli altri. L'art. 8 della Convenzione europea dei diritti dell'uomo testualmente tutela poi il rispetto alla vita privata e familiare; e vi sono altre norme che stabiliscono limiti all'uso di notizie relative al singolo, alla riproduzione di scritti personali, di immagini, ecc. Quando si parla di riservatezza in questo senso si allude a una delle due figure della riservatezza medesima: quella che riguarda il singolo fra le pareti di casa, o in ambiente privato, intimo, riservato. L'altro aspetto riguarda, invece, il controllo sulla circolazione delle informazioni personali, assunte da privati o da enti pubblici per conto dei singoli. Insomma, le due facce della riservatezza sono il diritto all'anonimato e quello a non essere interferiti nella propria sfera personale. In quest'ultimo senso parliamo dell'attacco che lo spamming fa alla riservatezza personale di ognuno;
• f. il diritto di libertà informatica. Diritto coniato dal compianto Vittorio Frosini [9] e inteso come "nuovo diritto soggettivo di libertà personale, sconosciuto alle età precedenti". Diritto che, inizialmente, era visto come facoltà dell'utente di non essere vittima di aggressioni alla propria riservatezza ("libertà da"), ma che oggi è da inquadrare nella "libertà di" fruire degli strumenti tecnologico-informatici, vivendo in maniera attiva il passaggio all'era dell'Information Technology. Esso è un "diritto di partecipazione alla società virtuale che è stata generata dall'avvento degli elaboratori elettronici nella società tecnologica".

Riprendendo le fila del discorso, fin qui si sono analizzati i problemi che lo spamming causa ai "normali" navigatori della Rete: l'invasione nella sfera privata della riservatezza personale. Questo fenomeno, però, è sempre più utilizzato per ledere gli interessi di altri soggetti, che, come i singoli navigatori, operano attivamente su Internet: le aziende. In molti casi, gli spammers, per arrecare danno a determinate società, spediscono le e-mail in modo tale da farle sembrare inviate proprio da quella società presa di mira. Così questi soggetti raggiungono contemporaneamente due risultati. In primo luogo, camuffano la propria identità, inserendo mittenti di altri soggetti; in secondo luogo, poi, arrecano pregiudizi economici a quelle aziende che, da un giorno all'altro, si ritrovano a essere catalogate come spammer.

Questo si chiama identity theft, o furto di identità, e porta molto spesso alla conseguenza che gli indirizzi di posta elettronica di quella determinata società vengano inseriti nelle c.d. black lists e che non arrivino mai ai propri clienti, perché intercettate e bloccate come spam [10].

Oggi le potenziali aggressioni del diritto all'identità personale non provengono esclusivamente da atti, fisici o immateriali, che comportano un'invasione della propria sfera privata. L'evoluzione tecnologica, infatti, se, da un lato, ha reso sempre più semplici e accessibili i meccanismi attraverso i quali la pretesa di solitudine dell'individuo tende a essere compressa, dall'altro, ha offerto forme di protezione e di prevenzione dalle intrusioni indesiderate, che consentono di risolvere o, quanto meno, di attenuare in radice tale fenomeno. Cosicché diventa essenziale non tanto evitare che altri violino il pur diritto fondamentale di essere lasciati soli, quanto consentire che ogni individuo possa disporre di un agile diritto di controllo, rispetto alle tante informazioni di carattere personale che altri possano aver assunto. Difatti, nell'attuale era tecnologica le caratteristiche personali di un individuo possono essere tranquillamente scisse e fatte confluire in diverse banche di dati, ciascuna di esse contraddistinta da una specifica finalità.

Su tale presupposto può essere facilmente ricostruita la già citata "persona elettronica", attraverso le tante tracce che lascia negli elaboratori, che annotano e raccolgono informazioni sul suo conto. Con l'evoluzione tecnologica, dunque, non solo i nostri dati personali vivono disseminati nei database della Rete e dei nostri fornitori di beni e servizi, ma d'ora in avanti anche quelli più sensibili. Di certo le misure di sicurezza che si andranno ad adottare saranno studiate in modo tale da rendere più sicura che mai la gestione di dati altamente delicati, ma non si può fare a meno di notare una nuova "visione" della corporeità umana.

A questa disseminazione di informazioni personalissime corrisponde, infatti, una visione del corpo altrettanto frammentata, che elide l'unicità dell'uomo, dividendolo semplicemente in parti a sé stanti: "Impronte digitali, geometria della mano o delle dita o dell'orecchio, iride, retina, tratti del volto, odori, voce, firma, uso di una tastiera, andatura, Dna. Si ricorre sempre più frequentemente a questi dati biometrici, non solo per finalità d'identificazione o come chiave per l'accesso a diversi servizi, ma anche come elementi per classificazioni permanenti, per controlli ulteriori rispetto al momento dell'identificazione o dell'autenticazione/verifica, cioè della conferma di una identità" [11].

Nella Società dell'Informazione il corpo diventa un "insieme di dati", una metafora della Società globalizzata. Se la tendenza è questa, dunque, l'uomo (visto sia come unità a sé stante sia come sue parti separate) sarà sempre più catalogato come un "bene interconnesso", una sorta di alter ego virtuale, protocollato per rientrare nella "rete" comunicativa della Società.

La disponibilità dell'uomo come "bene" nelle mani altrui, unita a questo processo di smembramento del corpo e di "mercificazione" di ogni singolo nostro dato, ci porta al rischio di una pericolosa perdita di identità personale. L'uomo perde la propria identità, non ha più contorni definiti e diventa una "astrazione del cyberspazio" [12]. La conseguenza sarà una maggiore possibilità di controllo sociale, effettuabile attraverso infiniti mezzi. Fra quelli più innovativi e fantasiosi vi sono le installazioni di chip sotto pelle, che possono assolvere a diverse funzioni (effettuare pagamenti senza l'uso dei "classici" strumenti, essere identificato in una azienda, in un ospedale, ecc.).

"La sorveglianza sociale si affida così a una sorta di guinzaglio elettronico. Il corpo umano viene assimilato a un qualsiasi oggetto in movimento, controllabile a distanza con una tecnologia satellitare o utilizzando le radiofrequenze. Se il corpo può diventare una password, le tecnologie della localizzazione stanno facendo nascere una networked person". Proprio in merito all'esigenza di assicurare una forte tutela dei diritti e delle libertà delle persone, con particolare riferimento all'identità personale e alla vita privata degli individui, che utilizzano le reti telematiche, sono destinati a svolgere un ruolo determinante i codici deontologici e di buona condotta previsti da ultimo dal D.lgs. 30 giugno 2003, n. 196 (Codice per la protezione dei dati personali).

Le diverse questioni emerse nella materia in esame confermano peraltro la necessità di una cooperazione internazionale, anche in ragione del recepimento in Italia del principio di stabilimento, che può limitare il potere di intervento dell'Autorità Garante per la tutela dei dati personali rispetto ai trattamenti di dati personali effettuati da soggetti situati all'estero.

Sul punto, in Italia, il recente Codice per la protezione dei dati personali ha compiuto una ricognizione innovativa delle preesistenti norme sul trattamento dei dati nel settore delle telecomunicazioni (D.lgs. n. 171/1998, come modificato dal d.lgs. n. 467/2001), completando nello stesso tempo il recepimento della direttiva n. 2002/58/CE, relativa alla tutela della vita privata nel settore delle comunicazioni elettroniche. La disciplina introdotta in materia dal Codice, riproponendo un criterio già presente nella normativa comunitaria, adotta un approccio "tecnologicamente neutro", ossia valido e applicabile a tutte le forme di comunicazione elettronica, a prescindere dal mezzo tecnico utilizzato.

Naturalmente rimane il rischio che la diffusione dei documenti elettronici, come la Carta Nazionale dei Servizi e l'interconnessione di archivi informatici, possa comportare una riduzione dei diritti della persona e della riservatezza dei dati personali. Ciò anche in considerazione del fatto che, su questi profili, l'Italia non è dotata di una legislazione in tutto idonea a contemperare le esigenze di semplificazione e razionalizzazione dell'attività economica e commerciale con quelle di tutela della persona, anche in attuazione delle prescrizioni e dei principi generali già contenuti nella normativa comunitaria.

Al riguardo, l'Autorità Garante per la tutela dei dati personali, nell'esercizio della funzione consultiva di cui è titolare, ha più volte segnalato, negli anni precedenti, la necessità di individuare con maggiore attenzione e proporzionalità la tipologia dei dati da inserire nei documenti elettronici, i soggetti che possono eventualmente accedere alle varie categorie di dati e le garanzie per gli interessati.

Un tipo di frode, ideato allo scopo di rubare l'identità di un utente, che si sta diffondendo in maniera davvero preoccupante è il phishing. Si tratta di una tecnica in base alla quale una persona malintenzionata cerca di appropriarsi di informazioni quali numeri di carta di credito, password, informazioni relative ad account o altre informazioni personali, convincendo l'utente a fornirgliele con falsi pretesti. Il phishing viene generalmente attuato tramite posta indesiderata o finestre a comparsa. Il phishing viene messo in atto da un utente malintenzionato che invia milioni di false e-mail che sembrano provenire da siti web noti o fidati come il sito della propria banca o della società di emissione della carta di credito. I messaggi di posta elettronica e i siti web in cui l'utente viene spesso indirizzato per loro tramite sembrano sufficientemente ufficiali da trarre in inganno molte persone sulla loro autenticità.

Ritenendo queste e-mail attendibili, gli utenti troppo spesso rispondono ingenuamente a richieste di numeri di carta di credito, password, informazioni su account e altre informazioni personali. Per far sembrare tali messaggi di posta elettronica ancora più veritieri, un esperto di contraffazione potrebbe inserirvi un collegamento, che apparentemente consente di accedere a un sito web autentico, ma che, di fatto, conduce a un sito contraffatto o persino una finestra a comparsa dall'aspetto identico al rispettivo sito ufficiale. Queste imitazioni sono spesso chiamate siti web c.d. "spoofed".

Una volta all'interno di uno di questi siti falsificati, è possibile immettere involontariamente informazioni ancora più personali, che verranno poi trasmesse direttamente all'autore del sito. Questi le utilizzerà per acquistare prodotti, richiedere una nuova carta di credito o sottrarre l'identità dell'utente. Quest'ultima "pratica" consistente nella clonazione di siti ufficiali viene comunemente denominata pharming e può essere attuata attraverso almeno due metodologie di attacco, a seconda che l'obiettivo primario sia il server Dns del provider oppure direttamente il Pc della vittima:

• 1. nel primo caso l'utente malintenzionato (cracker) opera, con sofisticate tecniche di intrusione, delle variazioni nei Server Dns del provider modificando gli abbinamenti tra il dominio e l'indirizzo Ip corrispondente a quel dominio. In questo modo gli utenti connessi a quel provider, pur digitando il corretto indirizzo Url, verranno inconsapevolmente reindirizzati a un server-trappola appositamente predisposto per carpire le informazioni. Questo server trappola è ovviamente reperibile all'indirizzo Ip inserito dal cracker e l'aspetto del sito è esteticamente simile a quello vero.
• 2. nel secondo caso l'utente malintenzionato (cracker) opera, con l'ausilio di programmi trojan o tramite altro accesso diretto, una variazione nel personal computer della vittima. Per esempio, nei sistemi basati sul sistema operativo Windows, modificando il file hosts presente nella directory "C:\windows\system32\drivers\etc". Qui possono essere inseriti o modificati gli abbinamenti tra il dominio interessato (per esempio, paypal.com) e l'indirizzo Ip corrispondente a quel dominio. In questo modo la vittima che ha il file hosts modificato, pur digitando il corretto indirizzo Url nel proprio browser, verrà reindirizzata verso un server appositamente predisposto per carpire le informazioni.

Un altro metodo consiste nel modificare direttamente nel registro di sistema i server Dns predefiniti. In questo modo l'utente - senza rendersene conto - non utilizzerà più i Dns del proprio Internet Service Provider, bensì quelli del cracker, dove ovviamente alcuni abbinamenti fra dominio e indirizzo Ip saranno stati alterati. In tutto questo processo nulla può far ipotizzare alla vittima di essere connessa a un server-trappola se quest'ultimo è perfettamente somigliante a quello vero. Il cracker utilizzerà quindi a proprio beneficio i dati inseriti dalla vittima nel server "clone".

Da un punto di vista giuridico, il fattore più evidente sia nel caso del phishing sia in quello del pharming è il furto d'identità. Già da tempo il Garante sta esaminando questo aspetto con viva preoccupazione, ponendo la sua attenzione in tutti quei settori particolarmente delicati collegati alle nuove tecnologie, come le manipolazioni genetiche e l'utilizzo dei sistemi biometrici nel campo della sicurezza [13]. Di fronte alla rapida ascesa di tali metodologie il Garante sta assumendo un atteggiamento particolarmente rigido.

Spesso le finalità di identificazione, sorveglianza, sicurezza delle transazioni non possono giustificare qualsiasi utilizzazione del corpo umano, resa possibile dall'innovazione tecnologica. Vanno garantiti sempre il rispetto della dignità della persona, il rispetto dell'identità personale, il rispetto dei principi di finalità e di proporzionalità e, infine, la necessaria attenzione per gli effetti cosiddetti imprevisti o indesiderati e che, invece, spesso sono conseguenze determinate da analisi incomplete o troppo interessate delle tecnologie alle quali si intende ricorrere.

Ciò che maggiormente preoccupa è che il problema della protezione dell'identità dai suoi possibili "furti" (già imponente nel settore del commercio elettronico e che esige cautele particolari per le impronte digitali) con il phishing si estende ad altri settori, coinvolgendo in particolar modo il mondo bancario, postale e assicurativo, in breve tutto il settore economico-finanziario [14].

Ma il phishing, come si è detto in precedenza, è innanzitutto una vera e propria frode di carattere informatico. Si ricorda che l'art. 10 della Legge 547/1993 ha inserito nel corpo delle norme penali in tema di truffa la specifica ipotesi di frode informatica. La ratio della disposizione deriva dalla difficoltà di applicazione della fattispecie tradizionale di truffa (art. 640 codice penale), nel caso in cui la medesima venga perpetrata attraverso l'impiego di tecniche informatiche o telematiche. Si tratta di una fattispecie mediata dall'ordinamento penale tedesco e formulata in modo generico e vago. è da intendersi nel senso più ampio, tale da abbracciare ogni possibile intervento sia sull'input sia sul programma sia sulla consolle. Tale fattispecie ha confini così dilatati che, attraverso la previsione della condotta di "utilizzazione non autorizzata di dati, finalizzata a procurare a sé o ad altri un vantaggio patrimoniale illecito" e di "danneggiamento" del patrimonio altrui influendo sul risultato di un procedimento di elaborazione automatica di dati, è possibile punire gli "abusi" realizzati attraverso il Bancomat.

L'art. 640-ter c. p. sanziona con la pena della reclusione da 6 mesi a 3 anni e con la multa da euro 51,65 a euro 1032,91 chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno. La struttura è per certi versi analoga a quella dell'art. 640 c. p., ma la disposizione in esame non prevede il requisito della induzione in errore di taluno: l'unanime interpretazione della giurisprudenza, infatti, è nel senso di ritenere che il pronome personale ("inducendo taluno in errore") debba riferirsi a una persona fisica.

La nuova norma, quindi, assume importanza laddove non sia configurabile un soggetto "vittima" della induzione in errore: situazione che si verifica puntualmente nel caso specifico, poiché l'autore ha come interlocutore il solo elaboratore. Per superare l'ostacolo giuridico all'applicazione della fattispecie per la violazione del divieto di analogia in materia penale, il legislatore ha descritto la condotta ex art. 640-ter c. p. in termini di "alterazione in qualsiasi modo" effettuata del funzionamento del sistema, o di intervento senza diritto con qualsiasi modalità su dati o programmi contenuti in un sistema informatico. La condotta difetta sul piano della determinatezza, che pure è requisito essenziale nella creazione delle fattispecie penali. Le caratteristiche della "alterazione", infatti, non sono definite né circoscritte, perciò la condotta stessa non è facilmente qualificabile.

La necessità della induzione in errore di taluno è superata, mentre il disvalore della fattispecie si incentra nella qualificazione della condotta di alterazione del sistema, definita come alterazione compiuta "senza diritto", ovvero non autorizzata dal "titolare del sistema" o da colui che ne è comunque responsabile.

[1] La "rete dell'agenzia dei progetti di ricerca avanzata" (Advanced Research Projects Agency Network, Arpanet). Realizzata nel 1969 dal Darpa (Defence Avanced Research Project Agency) del Dipartimento della Difesa degli Stati Uniti, Arpanet aveva l'ambizioso compito di aumentare in maniera radicale il livello di sicurezza delle comunicazioni militari.

[2] CELENTANO (a cura di), Manuale Breve di Informatica per Avvocati, Torino, 2007.

[3] Il primo caso clamoroso e documentato di spam di posta elettronica risale al 1 maggio 1978 quando una mail fu inviata da un certo Gary Thuerk, un impiegato del settore marketing della Dec (Digital Equipment Corporation), a ben 593 indirizzi di posta elettronica. (TEMPLETON, Origin of the term "spam" to mean net abuse, reperibile alla Url http://www.templetons.com/brad/spamterm.html).

[4] Rapporto Ocse, redatto per il Seminario in materia di spam del 2-3 febbraio 2004, Background Paper For The OECD Workshop On Spam, DSTI/ICCP(2003)10/FINAL.

[5] Analizzando l'attività dei siti di e-mail anonime, si potrebbe ritenere che essa implichi due distinte tipologie di spamming. La prima, originata dall'utente, è solamente marginale e meramente collegata al messaggio che il mittente vuol far pervenire al destinatario (la pubblicità, come “prezzo” per l'utilizzo del servizio di anonimato). La seconda, invece, è la vera attività di spamming, poiché, qualora il sito A memorizzasse tutti gli indirizzi di posta elettronica dei destinatari e li utilizzasse per inviare materiale a scopo promozionale, vi sarebbe sicuramente un'attività di spamming in senso stretto. Per quanto concerne la prima tipologia, però, si può notare che anch'essa è propriamente una attività di spamming, (anche se realizzata in maniera originale – potrebbe dire qualcuno – , e cioè non mediante la spedizione diretta di materiale promozionale via e-mail). Se lo spamming consiste nel far pervenire a un ignaro utente pubblicità di beni e/o servizi, senza che questi ne abbia chiesto l'invio, dovrebbe essere indifferente il mezzo con il quale essa perviene. Dunque, ogni volta che ciascuno di noi è “costretto” a vedere un determinato tipo di pubblicità, è leso il nostro diritto alla riservatezza.

[6] Cfr. in questo Quaderno (2004), La rete contro lo spam: che cos’è, come combatterlo.

[7] Si calcola che, se nel 2004 lo spam era quasi un terzo del totale di e-mail circolanti, adesso è la metà. Il numero di email spazzatura è quasi raddoppiato in tre anni (fonte Idc).

[8] DE ROSA, La formazione di regole giuridiche per il cyberspazio, in Dir. Inf., 2003, p. 377.

[9] FROSINI, L’orizzonte giuridico in Internet, in Dir. Inf., 2002, p. 271.

[10] Negli anni Novanta, il modo più diffuso per inviare spam era di servirsi dei c.d. open mail relay, ossia di server di posta elettronica (nel gergo tecnico, Mail Transfer Agent) configurati per ricevere e inviare messaggi da e verso qualsiasi indirizzo di e-mail. Per contrastare questi abusi venne escogitato il meccanismo del Dnsbl (Dns Black List), ancora oggi attivo in diverse varianti, che consisteva nel pubblicare una lista di indirizzi IP marcati come non affidabili e quindi utilizzabili eventualmente dai server di posta elettronica per bloccare messaggi di posta elettronica provenienti da tali indirizzi. Con la sparizione degli open mail relay, gli spammers iniziarono a servirsi dei c.d. open proxy che consentivano di fare da tramite veicolando il traffico generato dei client di posta elettronica e nascondendo di fatto l’indirizzo Ip del computer di origine. Gli anni 2000 hanno visto la diffusione dei virus spammer tra cui quelli appartenenti alle famose famiglie Sobig e Mimail. Servendosi di computer infettati da uno di questi virus, la cui minaccia è sempre presente grazie alle numerose e a volte imprevedibili varianti, gli spammers sono in grado di agire nascondendo completamente le proprie tracce e di procurarsi nuovi indirizzi di e-mail attingendo direttamente dalle rubriche degli utenti e dalle cartelle locali della posta inviata e ricevuta.

[11] RODOTÀ, Trasformazioni del corpo, in Pol. dir., n. 1/06, p. 6-7.

[12] RODOTÀ, Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, in Riv. crit. dir. priv., 1997, 4, p. 605.

[13] Come è noto le tecnologie biometriche, consentono, mediante l'uso di specifici software e apparecchiature informatiche, il riconoscimento di un individuo attraverso dati fisici ricavati dall'analisi delle impronte digitali, della morfologia facciale e dal riconoscimento palmare. In particolare queste tecnologie sofisticate, riconosciute anche dal legislatore italiano, utilizzano delle chiavi c.d. biometriche intese come la sequenza di codici informatici utilizzati nell'ambito di meccanismi di sicurezza che impiegano metodi di verifica dell'identità personale basati su specifiche caratteristiche fisiche dell'utente. In tema di accessi informatici i sistemi biometrici rappresentano la ricerca più avanzata nel campo della sicurezza. Alcune caratteristiche fisiche dell’utente autorizzato all’accesso, vengono memorizzate dal computer e confrontate con quelle della persona che accede.

[14] Del tutto drammatiche sarebbero poi le conseguenze, se il furto d’identità dovesse riguardare materiale che consenta di ottenere informazioni genetiche. Se, infatti, grandi sono le opportunità offerte dalla genetica, altrettanto grandi sono i rischi di utilizzazioni di tali dati, che possono determinare discriminazioni nell’accesso al lavoro o al credito, nella conclusione di contratti di assicurazione vita o malattia, o attraverso forme di schedatura genetica di massa. Insomma, come giustamente sottolineato dall’Autorità, possono nascere nuove disuguaglianze e soprattutto in campo internazionale si fa molta attenzione a questo aspetto. È necessario, quindi, controllare la legittimità di ogni forma di trattamento dei dati genetici e approntare un sistema di tutela dei dati necessario, per consentire a tutti di godere al massimo dei benefici della ricerca genetica. Anche in questo settore l’avvento di Internet ha complicato ulteriormente le cose e la diffusione dell’offerta di test genetici tramite la Rete costituisce un drammatico esempio.