Spam e tutela della riservatezza

• Autore: Emanuele Florindi
• Carica: L'Autore è consulente in diritto dell'informatica e responsabile del Centro studi e ricerche dell'associazione Telefono arcobaleno ONLUS.
• Pagine: 173-196

Page 173

@1. Che cos'è lo spam

Pur non trattandosi, almeno per il momento¹, di un reato in senso stretto Page 174lo spam² rappresenta oggi uno dei principali problemi di internet, nonché un ostacolo sempre maggiore alla libertà delle comunicazioni informatiche.

Nei primi mesi del 2003, infatti, l'intera comunità di internet si è trovata di nuovo a discutere in merito ad una questione che, pur datata, sembra avere di recente acquistato una vitalità tutta nuova rivelandosi in tutta la sua gravità.

Si tratta del cosiddetto spamming che, nato con il diffondersi della rete, dal 1994 affligge in maniera sempre più grave i provider ed i relativi utenti³.

Per lungo tempo, lo spamming è stato assimilato alla distribuzione dei volantini pubblicitari nelle cassette per le lettere e, pertanto, ampiamente sottovalutato dal legislatore, ma, in realtà, questo fenomeno è molto diverso dal normale volantinaggio pubblicitario in quanto ha un costo per gli ignari destinatari.

Questi, infatti, per poter leggere la propria posta, ivi compresi i messaggi pubblicitari, sono costretti a collegarsi alla rete, e, quindi, a pagare, anche per leggere comunicazioni, indesiderate, indesiderabili e spessissimo prive di ogni utilità⁴.

Per esemplificare possiamo paragonare lo spamming ad un volantinaggio in cui i volantini vengono inviati attraverso la posta ordinaria, con spese postali a carico del destinatario, senza che questi abbia alcuna pos- Page 175 sibilità di rifiutarsi di riceverli: è necessario pagare e poi, eventualmente, gettare i volantini sgraditi.

Gli utenti subiscono, inoltre, un costo indiretto a causa dello spam ming dato che i provider incorrono in costi aggiuntivi, per essere in grado di ricevere e smistare un volume sempre crescente di questo tipo di posta non desiderata.

Detti costi, imputabili all'utilizzo di banda, tempo dei processori, spazio su supporti di memorizzazione, in qualche maniera, dovranno poi essere caricati sugli utenti finali del servizio⁵. Page 176

@2. Una definizione di spam

Prima di procedere oltre si rende necessario arrivare ad una definizione di spam che sia il più precisa ed univoca possibile. Per tale ragione si ritiene opportuno adottare la definizione proposta dalla maggior parte degli operatori internet:

Internet spam is one or more unsolicited messages, sent or posted as part of a larger collection of messages, all having substantially identical content⁶

.

In primis è necessario chiarire cosa si intenda con «unsolicited messages» e, a tal fine, è indispensabile specificare «che cosa costituisce una evidente ed esplicita sollecitazione a comunicare rivolta ad altri, e che cosa no⁷».

A tal proposito sembra quasi superfluo sottolineare come non si possa, e non si debba, prescindere dal principio civilistico della buona fede: un'esplicita sollecitazione a ricevere comunicazioni di posta elettronica viene inviata dall'utente in maniera deliberata e palesemente volontaria, per esempio richiedendo informazioni ad un sito o richiedendo espressamente di essere iscritti ad una mailing list. Page 177

Tuttavia non di rado è accaduto che, per motivazioni politiche, economiche, o religiose, si sia tentato di estendere la definizione di «sollecitato» fino a ricomprendervi fattispecie completamente estranee alla sollecitazione stessa.

In particolare, d'accordo con uno dei principali siti italiani impegnati nel contrasto al fenomeno dello spamming⁸, possiamo affermare che non costituisce sollecitazione a ricevere comunicazioni⁹:

- Una semplice visita ad un sito web¹⁰; - L'invio di un messaggio, o di un insieme di messaggi, da una persona ad un'altra o da una persona ad un forum di discussione pubblico, a meno che l'intento chiaro ed ovv newsgroup USENET, una chat room, un canale IRC, o un bulletin board system (BBS), di per sé, non costituisce una sollecitazione verso alcuno ad inviare uno o più messaggi a quel forum pubblico come parte di una campagna di invio massivo, a meno che il possessore di quel forum (o il manutentore del relativo manifesto o FAQ, in assenza di un possessore chiaro) non abbia esplicitamente incoraggiato la trasmissione di messaggi inviati massivamente a quel forum; - Una sollecitazione a ricevere un particolare tipo, categoria o classe di messaggi inviati massivamente (come ad esempio la richiesta di essere inseriti in un particolare mailing list gestito da una particolare entità) non costituisce una sollecitazione a ricevere qualsiasi altro tipo, Page 178 categoria o classe di messaggi inviati massivamente, sia da parte dello stesso mittente che da altri mittenti; - Una sollecitazione a ricevere un particolare tipo, categoria o classe di messaggi inviati massivamente non può mai essere effettuata da qualcuno per conto di terzi. Soltanto l'entità che riceverà i messaggi inviati massivamente può emettere una sollecitazione all'invio sul proprio indirizzo;

- Inserire il proprio indirizzo di posta elettronica in un luogo pubblicamente accessibile come una pagina web, un newsgroup USENET, un bulletin board system (BBS), o un record di registrazione di un dominio pubblicamente accessibile, a meno che la pubblichiara ed esplicita da parte del possessore di quell'indirizzo a ricevere messaggi trasmessi in maniera massiva.

@3. E-mail e pubblici elenchi

In relazione a quest'ultimo punto deve osservarsi che in tal senso si è ripetutamente espresso anche il Garante della Privacy¹¹, di recente nella Page 179 newsletter 10-16 febbraio 2003 in cui si ribadisce che «gli indirizzi di posta elettronica non sono liberamente utilizzabili da chiunque per il Page 180 solo fatto di trovarsi in rete.

La vasta conoscibilità degli indirizzi e-mail che Internet consente, non Page 181rende lecito l'uso di questi dati personali per scopi diversi da quelli per i quali sono presenti on line. Gli indirizzi e-mail non sono, insomma, «pubblici» come possono essere quelli presenti sugli elenchi telefonici».

Il principio è stato ribadito dall'Autorità Garante, da ultimo con il provvedimeto del 29 maggio 2003¹², che ha affrontato in questi ultimi mesi diversi casi di utenti che avevano segnalato la pratica ormai diffusa di inviare e-mail commerciali ad indirizzi di posta elettronica raccolti in rete. Alle proteste degli utenti, le società che avevano inviato le e-mail rispondevano che non vi era stata alcuna violazione della privacy perché gli indirizzi erano stati reperiti su Internet (spesso attraverso appositi software) e che pertanto erano «pubblici».

Niente di più sbagliato, afferma l'Autorità. Gli indirizzi di posta elettronica non provengono, infatti, da pubblici registri, elenchi, atti o documenti formati o tenuti da uno o più soggetti pubblici e non sono sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque¹³. Page 182

La circostanza che l'indirizzo e-mail sia conoscibile di fatto, anche momentaneamente, da una pluralità di soggetti non lo rende, infatti, liberamente utilizzabile e non autorizza comunque l'invio di informazioni, di qualunque genere, anche se non specificamente a carattere commerciale o promozionale, senza un preventivo consenso.

L'Autorità garante sottolinea che l'eventuale disponibilità in Internet di indirizzi di posta elettronica, anche se resi conoscibili dagli interessati per certi scopi (ad esempio su un sito istituzionale o anche aziendale) attraverso siti web o newsgroup, va «rapportata alle finalità per cui essisono pubblicati sulla rete».

A maggior ragione, quindi, questo principio deve valere in caso di uso indebito di software che rastrellano automaticamente migliaia di indirizzi in rete o li creano «a tavolino» a prescindere da un accertamento sulla loro effettiva esistenza.

Una considerazione a parte deve, infine, essere fatta in relazione a postmaster, abuse, security ed altri simili indirizzi di ruolo designati, su indicazione delle RFC Internet rilevanti oppure dai gestori od operatori di un server o di una rete, come indirizzi aventi lo scopo di ricevere comunicazioni relative all'operazione e/o alla manutenzione del server o della rete, ai mittenti dovrebbe essere lasciata la più ampia libertà rispetto alla questione della sollecitazione delle comunicazioni.

Si concorda che, per i messaggi elettronici diretti a tali indirizzi di Page 183 ruolo, un singolo pacchetto di qualsiasi tipo spedito dalla rete o dal server in cui si trova l'indirizzo in questione (a meno che non sia semplicemente una risposta a qualche pacchetto precedente) a qualche altro server o rete può essere considerato come una forma di sollecitazione, da parte del server o della rete che li emette verso la persona, server o rete che li riceve (o al relativo amministratore) per ulteriori comunicazioni, purché pertinenti, dirette a qualsiasi o a tutti gli indirizzi di ruolo associati con il server o rete che ha inviato il pacchetto¹⁴.

Tuttavia, sebbene la casistica indicata e lo sviluppo dei concetti relativi al termine «sollecitato» e «non sollecitato» qui effettuata possa sembrare un mero esercizio di scuola, essendo la questione puramente di buon senso, la stessa è di notevole importanza soprattutto al fine di evitare che gli spammers - come spesso accade - possano affermare che questa dis tinzione è difficile da applicare alla realtà.

Non di rado capita di ricevere messaggi del tipo «Mi ha spedito una richiesta di informazioni, e pertanto ho inserito il suo indirizzo nel nos tro mailing list», oppure «Il suo indirizzo e-mail appare sul suo sito web pubblicamente accessibile, quindi è aperto a comunicazioni da parte di chiunque», o ancora «Qualcun altro, forse uno dei suoi familiari, deve aver iscritto il suo indirizzo al nostro mailing list».

Deve invece ribadirsi, se mai ce ne fosse bisogno, che, a meno che non vi sia il consenso espresso in maniera esplicita dal destinatario stesso, qualsiasi messaggio spedito a quel destinatario deve essere, per definizione, ritenuto non sollecitato.

Se il messaggio suddetto è anche una componente di un processo o campagna di...