Garante per la protezione
    dei dati personali

Newsletter

COME CI SI DIFENDE DALLO SPAMMING

I risultati di uno studio condotto negli Usa

Il Center for Democracy and Technology (CDT), una delle maggiori organizzazioni negli USA per la difesa dei diritti civili, ha condotto uno studio sperimentale che nellarco di sei mesi (giugno-dicembre 2002) ha analizzato le fonti dei messaggi di posta elettronica indesiderata ed i rischi legati a diversi tipi di "comportamento" su Internet (http://www.cdt.org/speech/spam/). Lo studio mette in luce come la frequenza ed il numero dei messaggi di spam dipendono dalle modalità di utilizzo del proprio indirizzo di posta elettronica, in particolare se l'indirizzo viene riportato su una pagina Web o nell'ambito di newsgroups, e fornisce inoltre alcune indicazioni per difendersi dallo spamming attraverso strumenti non particolarmente sofisticati.

Lo studio ha avuto inizio nel giugno 2002, con la creazione di centinaia di indirizzi e-mail che sono stati disseminati o comunque "pubblicati" in cinque modi diversi per saggiare i diversi effetti in termini di spam effettuato: a) su siti web pubblici; b) su newsgroup Usenet; c) comunicando l'indirizzo e-mail a siti piuttosto conosciuti che forniscono determinati servizi; d) comunicando l'indirizzo e-mail a siti web che offrono servizi di collocamento, aste o accesso a gruppi di discussione; e) pubblicando l'indirizzo nel database Whois (che contiene le informazioni per contattare i responsabili e gli amministratori di sistema di tutti i nomi di dominio esistenti su Internet).

Gli indirizzi di posta elettronica forniti erano sia "standard" sia "modificati"; ciò significa che su alcuni indirizzi si interveniva nel tentativo di ridurre la probabilità di ricevere spam. In particolare, venivano adottate le seguenti strategie:

1) alcuni indirizzi sono stati rimossi, dopo due settimane, dai siti web pubblici ai quali erano stati comunicati. L'obiettivo era verificare se così facendo si sarebbe ridotta la quantità di spam ricevuta;

2) alcuni indirizzi sono stati pubblicati (su siti web e su newsgroups) esplicitandoli in linguaggio naturale. Ossia, anziché scrivere, tanto per fare un esempio, newsletter@garanteprivacy.it, si scrive newsletter at garanteprivacy punto it. In tal modo dovrebbe risultare più difficile per i programmi che raccolgono automaticamente gli indirizzi e-mail dal web (i cosiddetti "spider" o "robot") riconoscere che la sequenza in oggetto rappresenta un indirizzo di posta elettronica;

3) un altro gruppo di indirizzi, pubblicati sia su siti web sia su newsgroups, sono stati scritti secondo codici Html, sempre con l'intento di rendere la vita difficile ai programmi che raccolgono automaticamente queste informazioni sul web. Ad esempio, anziché usare il simbolo @ si utilizza il corrispondente codice Html, ossia "@" ;

4) infine, in alcuni casi i ricercatori del CDT hanno modificato le proprie "Preferenze" dopo avere fornito l'indirizzo e-mail a siti pubblici, chiedendo (a distanza di due settimane) di non ricevere ulteriori messaggi all'indirizzo indicato.

Come si vede, si tratta di tecniche piuttosto semplici e comunque già conosciute da molti addetti ai lavori. L'analisi dei risultati dello studio offre spunti interessanti: da un lato conferma alcune ipotesi, e dall'altro smitizza alcune convinzioni molto diffuse rispetto allo spamming.

Attraverso i 250 indirizzi e-mail creati appositamente per lo studio sono giunti oltre 10.000 messaggi di posta elettronica, dei quali 8.842 sono stati classificati come spam vero e proprio. La stragrande maggioranza dei messaggi indesiderati è giunta attraverso gli indirizzi inseriti in pagine di siti web pubblicamente accessibili (97%). Tuttavia, gli indirizzi scritti in linguaggio naturale e quelli in codice Html non hanno ricevuto alcun messaggio di spam. Seguono, in termini di numero, i messaggi indesiderati ricevuti attraverso indirizzi comunicati su newsgroups; anche in questo caso lo spamming non ha colpito gli indirizzi scritti in linguaggio naturale o in codice Html.

Per quanto riguarda i siti commerciali, la maggior parte di quelli che offrivano la possibilità di scegliere se ricevere posta elettronica o meno risulterebbero rispettare la scelta indicata. Peraltro, nessun messaggio indesiderato è giunto attraverso gli indirizzi pubblicati su Whois, elemento questo particolarmente significativo, alla luce del dibattito in corso sui possibili rischi connessi all'utilizzazione impropria dei dati personali contenuti in questo database (v. Newsletter 18-14 giugno 2001).

Quali raccomandazioni pratiche possono essere formulate sulla base dello studio? La CDT ne indica alcuni:

1) Non pubblicare il proprio indirizzo di posta elettronica in formato standard su siti pubblici — è preferibile mascherarlo utilizzando il linguaggio naturale, oppure codici numerici equivalenti (Html). Sono proprio i siti pubblicamente accessibili la maggiore fonte di spamming, come mostrano i risultati dello studio;

2) non fornire il proprio indirizzo (ad esempio, su un modulo) se non sono indicate chiaramente le finalità di utilizzo e non è prevista la possibilità di rifiutare l'invio di messaggi. E' buona norma leggere l'informativa sulla privacy che tutti i siti web dovrebbero prevedere (come richiesto, del resto, anche dai Garanti europei, ai sensi della Direttiva in materia, nella Raccomandazione sui "Requisiti minimi per la raccolta di dati online nell'Unione Europea",
http://www.europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2001/wp43it.pdf );

3) utilizzare più indirizzi di posta elettronica in rapporto alla specifica finalità (newsgroup, ufficio, contatti personali). Un'altra possibilità, secondo il CDT, consiste nel ricorso ai cosiddetti "indirizzi usa-e-getta", ossia indirizzi che vengono resi inattivi dopo essere stati utilizzati per il numero di volte specificato dall'utente; i rispettivi messaggi sono convogliati ad un indirizzo "permanente" (comunicato al provider del servizio "usa-e-getta");

4) utilizzare i filtri anti-spam messi a disposizione da numerosi provider e servizi gratuiti di posta elettronica.