SPAM, SICUREZZA E PRIVACY

TRA SOLUZIONI TECNOLOGICHE E INTERVENTO NORMATIVO

Il problema dello spam costituisce oggi la più nota patologia della rete Internet, intendendo con questo termine i comportamenti individuali o collettivi che, anche prescindendo dagli eventuali profili di liceità, danno luogo a disfunzioni e compromettono la fruizione di servizi e risorse di rete, non soltanto in termini di degrado delle prestazioni.

Valutazioni recenti portano a stimare l'incidenza media della posta indesiderata, rispetto al totale dei messaggi di posta elettronica, su proporzioni prossime al 60%: tali dimensioni evidenziano come l'effetto percepito dal singolo utente possa davvero essere inibitorio rispetto alla fruizione dei servizi.

Affrontare oggi il problema dello spam richiede tuttavia il superamento di alcune difficoltà con cui devono confrontarsi sia i tecnici del settore sia i giuristi, e che derivano da diversi fattori.

Su questi argomenti è quindi più che mai opportuna e vantaggiosa una riflessione congiunta di giuristi ed esperti tecnici della materia, e proprio in questa direzione si è collocata nel maggio scorso l'iniziativa del Garante per la protezione dei dati personali e di Società Internet per la conduzione di una giornata di studio che costituisse un momento di confronto interdisciplinare sul tema dello spamming e che vedesse riuniti tutti i soggetti che, operando professionalmente in Italia nel settore delle comunicazioni elettroniche, e nello specifico trattando i sistemi di messaggistica personale su Internet sia dal punto di vista tecnico che normativo, fossero in grado di offrire significativi contributi in virtù di riconosciute competenze.

La giornata di studio si è rivelata particolarmente interessante e fruttuosa perché ha consentito un utile scambio di informazioni ed esperienze fra soggetti provenienti da ambiti diversi, e per i reciproci chiarimenti che ne sono derivati; tutto ciò ha fornito lo spunto per la creazione di un gruppo di lavoro interdisciplinare con il fine di proporre azioni comuni per il contrasto dello spamming, che possano essere recepite dagli operatori del settore e che costituiscano un embrione del futuro codice di deontologia e buona condotta relativo ai servizi Internet la cui promozione è affidata dalla legge al Garante per la protezione dei dati personali. In merito all'analisi del fenomeno, è stato evidenziato negli interventi come sussista una vera e propria sua carenza "definitoria", che lo rende non immediatamente trattabile con il metro del diritto e l'approccio sanzionatorio, ma anche non facilmente affrontabile con processi informatici automatizzati.

Un fattore determinante nella genesi e nel trattamento del problema è stata individuata nella straordinaria longevità ed efficienza del Simple Mail Transfer Protocol (SMTP) di Jon Postel (RFC-821, agosto 1982) che, pur avendo permesso lo sviluppo di un servizio universale di posta elettronica, deve ora fare i conti con una concezione architetturale risalente a più di venti anni fa: nonostante le estensioni e le nuove funzionalità che nel tempo lo hanno arricchito, poco o nulla è mutata l'originaria impostazione del protocollo.

Ciò comporta oggi l'esposizione dei servizi e-mail a forme d'uso "patologiche" che, lungi dall'essere tecnicamente precluse, appaiono più una caratteristica intrinseca del sistema che una devianza: da questo punto di vista è pregnante la definizione dello spam come feature del sistema SMTP piuttosto che come bug proposta provocatoriamente ma efficacemente da Claudio Allocchio nell'intervento conclusivo della sessione tecnica.

Sembrerebbe quindi che poco si possa attendere da misure tecniche di contrasto al fenomeno quando la stessa infrastruttura, per certi versi, prevede lo spam come un'opzione funzionale. È pur vero che i progressi nello sviluppo di sistemi di filtraggio, con la loro flessibilità e il controllo distribuito, consentono di limitare alcune delle conseguenze nocive dello spam; analogamente, le opzioni basate su forme più o meno sofisticate di blacklisting automatico, che prevengono già in fase di handshaking SMTP l'instaurazione di sessioni di trasporto di posta che si suppone possano veicolare messaggi indesiderati, hanno il punto di forza nella loro radicale efficacia, ma si basano sull'autorevolezza dei database di classificazione che non sempre è possibile garantire, e pongono inoltre ulteriori problemi in merito alla praticabilità di misure che in qualche modo possono avvicinarsi alla censura o minacciare i diritti di libera comunicazione degli utenti.

Quali prospettive quindi? Non c'è dubbio che lo spam, lungi dall'essere accettato come necessaria implicazione dell'uso dei servizi, costituisce oggi una vera e propria barriera nello sviluppo di corrette relazioni commerciali su Internet.

Singoli Paesi e organismi internazionali tentano da anni di trattare il problema con iniziative non solo di natura normativa in senso stretto ma anche con l'ausilio di codici di deontologia o lo sviluppo di accordi bilaterali e multilaterali per la repressione del fenomeno.

Il problema dello spam è costantemente all'ordine del giorno nelle agende di importanti organismi quali l'Unione Europea, il Consiglio d'Europa, l'OCSE, oltre che di governi, agenzie e assemblee legislative in varie parti del mondo.

Particolarmente significative sono state le iniziative legislative nell'Unione Europea, dove la direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche ha introdotto il principio dell'opt-in per l'inclusione di indirizzi email in liste di distribuzione a fini commerciali, e negli Stati Uniti, con l'approvazione da parte del Congresso del cosiddetto CAN-SPAM Act che, entrato in vigore il 1° gennaio 2004, prevede l'obbligo per i mittenti di messaggi commerciali di offrire ai destinatari un'opzione di opt-out e di fornire recapiti autentici e indirizzi fisici, oltre che propri indirizzi email.

Proprio la tutela giuridica dei dati personali, laddove accordata dagli ordinamenti, costituisce un importante strumento di lotta allo spamming.

Nel caso italiano, l'applicabilità allo spamming della normativa sulla protezione dei dati personali deriva in primo luogo dalla definizione stessa di dato personale, presente nell'articolo 4 del decreto legislativo 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali), entrato in vigore il 1° gennaio del 2004, e che recepisce anche la direttiva 2002/58/CE. Il comma 1, lettera b, di quell'articolo definisce infatti come dato personale "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".

Pertanto, benché non sia vera in generale l'identità tra indirizzo e-mail e dato personale, si può affermare con ragionevolezza che nella maggior parte dei casi questa proprietà valga, anche per gli indirizzi apparentemente non riconducibili a una persona fisica. Nei casi di abuso degli indirizzi e-mail sono quindi applicabili le tutele previste dalla legge sulla privacy.

L'esperienza italiana di contrasto allo spam in effetti si basa per lo più sul ruolo svolto dal Garante per la protezione dei dati personali, che ha consentito in diversi casi di affermare e veder riconosciuto il diritto dell'utente a non essere importunato da corrispondenza elettronica indesiderata. I costi di questa attività, per il Garante italiano come per le altre Data Protection Authorities europee, sono tuttavia straordinariamente alti, poiché le istruttorie e gli accertamenti tecnici necessari risultano difficoltosi, non conducendo spesso all'individuazione certa dell'origine dello spamming e alla conseguente attribuzione di responsabilità.

Per quanto riguarda gli approcci tecnologici e le azioni di contrasto di natura tecnica, confidando per il presente e il prossimo futuro nell'affinamento degli strumenti di filtraggio e nei sistemi di blacklisting centralizzati integrabili con i più diffusi Mail Transport Agent, una fiduciosa aspettativa è riposta nelle iniziative condotte presso gli organismi di coordinamento tecnico dell'Internet quali IETF (Internet Engineering Task Force).

Tali iniziative potrebbero portare a soluzioni più radicali, con un forte impatto sui protocolli di comunicazione attualmente in uso, ma costituirebbero comunque proposte di medio-lungo periodo, aventi carattere più ampio rispetto allo spamming, perché volte ad affrontare più in generale le limitazioni dell'attuale SMTP.

COSIMO COMELLA

  • Cosimo Comella: laureato in Scienze dell'Informazione presso l'Università di Pisa, ha lavorato nell'industria e nell'università, in Italia e negli Stati Uniti, impegnandosi in attività di ricerca nel campo della valutazione delle prestazioni dei sistemi e delle reti.
  • Dal 1996 al 2000 è stato responsabile dei sistemi informativi dell'Università di Roma "Tor Vergata".
  • Dall'aprile 2000 è in servizio pressol'Ufficio del Garante per la protezione dei dati personali, in cui è attualmente dirigente del dipartimento risorse tecnologiche.
  • Si interessa di sicurezza informatica, e in particolare di protezione dei dati personali nei servizi di rete.
  • Fa parte del comitato interministeriale per l'uso consapevole di Internet istituito dal Ministro per l'Innovazione e le Tecnologie e, in qualità di osservatore, del gruppo di lavoro CNIPA sulla biometria nelle PP.AA.
  • È membro della Internet Task Force del Working Party Art. 29 dell'UE. Affiliazioni: socio ordinario AICA, Full member IEEE-Computer Society, Voting member ACM, Socio CLUSIT
  • la rete contro lo spam indice
    comella