di Piero Giuseppe Goletto
Lo spam è la posta spazzatura, la posta inutile che intasa inutilmente i nostri account.
Il termine “spam” viene da uno sketch comico dei Monty Python in un locale surrealmente pieno di vichinghi chini sui piatti, una cameriera recita a due avventori calati dall'alto un menù di pietanze, intercalandovi in maniera assurdamente ripetitiva il termine "Spam". La cameriera propone piatti con Spam («uova e Spam, salsicce e Spam, Spam, uova e Spam, Spam Spam, pancetta e Spam» e così via) si contrappone alla riluttanza del cliente per questo alimento, il tutto in un crescendo di un coro inneggiante allo Spam da parte dei vichinghi seduti nel locale.
Il principale scopo dello spamming è la pubblicità: offerte commerciali, proposte di materiale pornografico o illegale, discutibili progetti finanziari o veri e propri tentativi di truffa. Lo spammer (cioè colui che spamma) raccoglie indirizzi di posta elettronica da pagine web e da articoli di Usenet, una rete di discussioni. L’invio di messaggi senza autorizzazione del destinatario è comportamento inaccettabile (violazione delle policies Internet) ed è considerato uno tra i maggiori fastidi di Internet. Il mittente – spammer – utilizzano informazioni anagrafiche fraudolente o rubate. Lo spamming è considerato un reato in vari paesi e in Italia l'invio di messaggi non sollecitati è soggetto a sanzioni. Di recente l'argomento è stato oggetto in Italia di un provvedimento generale del Garante per la protezione dei dati personali (Gazz. Uff. 174/2013).
I problemi legati allo spam sono due. Nessuno vuole ricevere messaggi spazzatura nella propria casella. Lo spam crea problemi all’infrastruttura del provider. Alto volume di email di spam in entrata significano server lenti, memoria intasata e in generale rallentamenti sulle performance di consegna.
Lo strumento alla base del meccanismo di filtro delle email è appunto il Filtro Antispam. Il filtro non è altro che un programma che sa riconoscere i mittenti che hanno fatto spam e pertanto hanno una reputazione negativa nonché quegli elementi presenti nel messaggio che lo qualificano come spam. Nei casi più gravi, il dominio o l’indirizzo sono inseriti in una lista nera e bloccati.
Il discrimine tra spam e comunicazione autorizzata sta nel consenso (regola dello “opt-in”) che è peraltro necessario ai fini della privacy.
Se si entra nel tema privacy, cosa che può essere rilevante per spammer particolarmente molesti, il metodo più efficace per fermare gli spammer è di sporgere reclamo alle autorità competenti, ed in particolare - in Italia - al Garante per la protezione dei dati personali.
Questo richiede maggiori tempo ed impegno ma gli spammer vengono perseguiti a norma di legge con l'applicazione di sanzioni di elevatissimo importo (fino a circa € 500.000,00), che traducono in una rilevante perdita economica il tentativo di ottenere una capillare pubblicizzazione a basso costo.
Traiamo, per semplicità, da Wikipedia un panorama relativo alla normativa sullo spam.
La disciplina italiana concernente l'invio di posta elettronica a fini commerciali è disciplinata dall'art. 130 Codice Privacy, rubricato “Comunicazioni indesiderate”. L'ambito di applicazione di detto articolo è proprio quello dello spamming, seppur la rubrica si limiti a parlare di comunicazioni indesiderate e non menzioni quelle semplicemente non richieste. Il modello di regolazione scelto dal legislatore italiano (e in generale da tutti gli stati aderenti alla Comunità Europea) è quello dell'opt-in, che prevede la possibilità di avvalersi del trattamento dei dati personali solo dopo aver ottenuto il consenso del soggetto interessato.
È inoltre vietato, sempre dall'art. 130 Codice Privacy, l'invio di comunicazioni a scopi pubblicitari, per la vendita diretta o per ricerche di mercato effettuato camuffando o celando l'identità del mittente o ancora senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i propri diritti. È però prevista una deroga ai dettami di tale articolo, che consente di utilizzare le coordinate di posta elettronica, fornite dall'interessato nel contesto della vendita di un prodotto o servizio, per l'invio di ulteriori messaggi promozionali aventi ad oggetto simili beni o servizi, senza dover nuovamente chiederne il consenso.
Vi è poi nel nostro ordinamento un'ulteriore disposizione al riguardo, rinvenibile nel d.lgs. 9 aprile 2003, n.70 sul commercio elettronico. L'art. 9 afferma infatti che le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica devono, in modo chiaro ed inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le riceve e devono altresì contenere l'indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni.
Va da ultimo esaminato l'impianto sanzionatorio previsto dal nostro ordinamento. Anzitutto lo stesso art. 130 comma 6 attribuisce al Garante per la protezione dei dati personali, in caso di reiterata violazione delle disposizioni previste in tale ambito, il potere di provvedere, negli ambiti di un procedimento di reclamo attivato, tramite prescrizione ai fornitori di servizi di comunicazione elettronica (ISP), adottando misure di filtraggio o altre misure praticabili nei confronti di un certo indirizzo di posta elettronica.
Di ben maggiore deterrenza appare poi l'art. 167 del Codice Privacy, nel quale si prevede che, salvo il fatto non costituisca più grave reato, chiunque proceda al trattamento dei dati personali in violazione di quanto previsto nel Codice stesso, al fine di trarne un profitto o recare ad altri un danno, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione di tali dati, con la reclusione da sei a ventiquattro mesi. L'attività di spamming espone, infine, ai sensi dell'art. 161 Codice Privacy, alla sanzione amministrativa di omessa informativa (di cui all'art 13), la quale va da un minimo di tremila euro ad un massimo di diciottomila euro. La sanzione viene erogata dall'autorità Garante per la protezione dei dati personali a seguito di un apposito ricorso ai sensi degli artt. 145 ss. Codice Privacy; tale ricorso che non può essere proposto se, per il medesimo oggetto e tra le medesime parti, è già stata adita l'autorità giudiziaria.