Mondo
di
La ricezione sistematica di messaggi indesiderati tramite posta elettronica (UCE – Unsolicited Commercial EMail), comunemente definita spamming, è un fenomeno in allarmante crescita. Le sue implicazioni economico-sociali hanno assunto un tale rilievo da richiedere la costituzione di specifiche unità di studio come il Gruppo di Ricerca Anti-Spam (ASRG¿Anti-Spam Reseach Group) patrocinato dalla IRTF (Internet Research Task Force), la IETF (Internet Engineering Task Force) o la Email Service Provider Coalition, al fine di definire linee guida e strategie atte ad affrontare il problema in maniera efficace.
Obiettivo comune, l¿introduzione di nuove tecnologie e nuovi standard di autenticazione che garantiscano un concreto rapporto di fiducia fra mittente e destinatari, nonché la piena messa in atto delle normative specifiche.
Nel biennio 2002-03 la diffusione dello spam in Rete ha fatto registrare dati da record: 628 milioni gli internauti che si dichiarano vittime di un fenomeno che interessa ben il 30% delle eMail circolanti nel mondo: materiale pubblicitario tutto assolutamente non desiderato. In quest¿arco di tempo lo spam è aumentato dell¿80%, raggiungendo cifre impressionanti in USA con il 40% della posta in arrivo. Secondo uno studio MessageLabs (provider di filtering tools e di antivirus), il 10% di una giornata lavorativa è impiegato a gestire la posta indesiderata, con in media 1 eMail su 6 da cestinare.
Gli spammer sono astuti e ben organizzati. Per carpire nuovi indirizzi da includere nelle famigerate liste di distribuzione vengono utilizzati molteplici sistemi: spesso si ricorre a stratagemmi maliziosi come il servizio di e-card gratuite, che invitano a scaricare software capaci di ¿saccheggiare¿ le rubriche di ignari utenti, ma più generalmente si sfruttano le directories dei provider di account gratuiti (Hotmail, Yahoo, ecc.).
In realtà, le aziende che hanno monopolio di questo molesto business sono soltanto quattro o cinque, alle cui dipendenze operano diverse piccole ¿divisioni¿. Le tecniche di distribuzione di spam sono sempre più scaltre, capaci di auto-modificarsi di volta in volta, anche solo di pochissimo ma quanto basta ad aggirare sistematicamente i sistemi di filtraggio dell¿utente o del server stesso. Dalla dieta miracolosa all¿istituto di credito che promette fondi illimitati, dalla pornografia spicciola alle truffe a sfondo umanitario, ce n¿è per tutti i gusti.
La pratica abituale di cancellare in automatico tutti i messaggi indesiderati che invadono le nostre caselle di posta costa al business della Rete qualcosa come 9 miliardi di dollari l¿anno soltanto in Usa. I vari passaggi necessari a inviare, ricevere, smistare e cestinare le migliaia di eMail indesiderate richiedono tempo e pazienza, senza considerare il costo relativo ai sistemi di filtraggio di cui tutti i principali server e/o utenti fanno uso.
Normativa. Gli effetti generati dall¿assenza, fino a pochi mesi fa, di una legislazione specifica capace di fronteggiare il problema è stato percepibile soprattutto in tutto il mondo.
In Usa, con l¿approvazione del Ddl in materia di comunicazione elettroniche passato al Senato il 25 novembre, si spera di poter dare un giro di vite al dilagante fenomeno dello spam, per quanto gli esperti reputino . Gli Stati uniti hanno seguito la linea dell¿opt-out: pur non vietando le junk mail ( posta da cestinare) il Ddl consente di richiedere la rimozione del proprio account di posta dalle famigerate liste di distribuzione degli spammer. I reclami non potranno però essere avanzati singolarmente ma presentati agli Isp responsabili, ai quali tocca la denuncia formale. Infine, la Federal Trade Commission aprirà una ¿do-not-spam list¿ in cui gli utenti potranno inserire il proprio indirizzo email.
L¿Unione Europea è corsa ai ripari ancora prima, elaborando una normativa ad hoc relativa alla protezione dei dati: la direttiva 2002/58/CE, in linea anche con la strategia dell¿opt-in, prevede che il destinatario delle comunicazioni esprima il consenso a ricevere i messaggi pubblicitari. Allo stesso tempo, l¿utente conserva il diritto di richiedere la cancellazione del proprio nominativo dalle mailing list.
In Italia, Paese tra i primi a recepire la direttiva europea, il Codice unico delle Comunicazioni elettroniche 2003 prevede la possibilità di denuncia e sanzioni fino a 90mila euro, nonché, nei casi più gravi, la reclusione da sei mesi a tre anni.
Possibili soluzioni. Liberarsi di questo scomodo e a volte pericoloso compagno di Rete è la meta cui ambiscono moltissime compagnie e per raggiungerla si stanno moltiplicando sforzi e strategie.
Per combattere il dilagare dello spamming in Rete la Microsoft si è vista costretta ad introdurre nuove metodiche di registrazione che implicano dei passaggi effettuabili solo da un utente reale.
Inoltre, è allo studio della società una nuova tecnologia che implicherebbe la maggiorazione dei costi per gli invii multipli (nell¿ordine delle migliaia) di eMail per scoraggiare i malintenzionati spammer. Il progetto risponde al nome di ¿Penny Black¿ e comporta, a ogni invio, la messa in atto di un calcolo matematico che richiede, a chi compie l¿invio, una certa quantità di tempo (alcuni secondi per ogni singola email). È chiaro che per effettuare un invio di centinaia e migliaia di email un pc richiederebbe un aumento non indifferente di potenza e di costo.
Nel frattempo, Microsoft ha stretto un accordo di collaborazione con il provider
Il provider di account di posta elettronica Hotmail, invece, ha avviato una campagna per sollecitare gli utenti a ricorrere al servizio che blocca tutte le eMail che non provengano da indirizzi precedentemente inseriti in un¿apposita lista elaborata dall¿utente stesso. Tuttavia, solo il 10% dei suoi 110 milioni di utenti ricorre a tale possibilità.
Oltre alla definizione di standard di autenticazione fra mittente e destinatario, un¿ulteriore metodica applicabile alla corrispondenza elettronica per ridurre il fenomeno spamming, sarebbe quella di rendere impossibile l¿invio di email a partire da un indirizzo fasullo. Sicuramente è necessaria una revisione anche parziale del protocollo SMTP (Simple Mail Transfer Protocol) che gestisce il traffico di email. Esiste addirittura la possibilità di tassare ¿ anche se solo di pochissimo ¿ l¿invio di un¿email così da scoraggiare gli spammer.
Quel che è certo è che un approccio unilaterale non è sufficiente: lo spamming può essere combattuto solo attraverso una combinazione di applicazioni normative, tecniche e gestionali. Non è sufficiente ricorrere a strategie temporanee. La soluzione deve essere definitiva.
La maggior parte delle coloro che hanno fatto dello spamming la propria professione ricorre a dei software capaci di ¿perlustrare¿ il web in cerca di potenziali destinatari finali, ma anche di domini gratuiti presso cui registrarsi per sfruttarne le ricche directories. Tali account fungono da trampolino di lancio per le milioni di eMail commerciali da spedire, i cui destinatario vengono automaticamente inclusi nelle proprie mailing list.
Per ovviare a questo spiacevole fenomeno, molti provider di servizi di posta elettronica (es.: Hotmail, con un traffico di 1,3 miliardi di eMail al giorno da smistare), ricorrono ad uno stratagemma tecnico noto come ¿Captchas¿, acronimo di ¿Completely Automated Public Turing tests to tell Computers and Humans Apart¿. Il sistema, distorcendo il testo e la grafica nella pagina, impedisce la sottoscrizione computerizzata. Se l¿utente riesce a decifrare con facilità la grafia anche se distorta, i meccanismi automatici programmati per svolgere la medesima operazione a fini maliziosi, non sono capaci di portarla a termine.
Tuttavia, tale soluzione costituisce un grave deterrente per i non vedenti che subiscono le medesime limitazioni degli spammer-software. Attualmente, sono in via di sperimentazione nuove tecniche anti-spamming volte a sfruttare i suoni piuttosto che la vista, così da mantenere elevato il successo dei sistemi Captchas ma senza penalizzare i non vedenti. Si tratta di un sistema di suoni e voci sovrapposte che disturbano il messaggio vocale di base che guida alla registrazione dell¿account.
Servizi mirati. La domanda di soluzioni anti-spam ha superato quella dei sistemi anti-virus, segno che gli allarmismi in merito non sono esagerati.
In commercio esistono alcuni software anti-spam che tentano di individuare le caratteristiche chiave dello spam per effettuare una cernita dei messaggi in arrivo: quello elaborato dalla Mirapoint, ad esempio, con i suoi 25 tratti distintivi classificabili, risulta fra i più efficaci. La MessageLabs, invece, ha avviato un sistema di monitoraggio a tappeto della Rete, al fine di individuare e classificare lo spam in un database, né più e né meno di come si opera abitualmente con i virus informatici. Il motore di ricerca è dotato di 800 criteri in base ai quali le eMail sospette vengono valutate riuscendo, a quanto dichiarato dalla stessa, a centrare il bersaglio nel 90% dei casi.
La Surf Control, azienda specializzata nella realizzazione di filtering tools per la Rete, ha pubblicato la lista dei dieci messaggi spam più ricorrenti e assillanti, rivelando che un messaggio su dodici fra quelli filtrati dai propri laboratori è una mail indesiderata. Senza destare alcuna meraviglia, al primo posto si colloca la pubblicità a sfondo erotico, anche se stranamente in calo del 23% rispetto allo scorso gennaio. Al secondo posto troviamo il tormentone Viagra, al terzo le agenzie di prestito monetario, a seguire i casino on-line; spostandosi sul versante opposto, in quinta posizione troviamo invece le richieste di aiuti umanitari (ovviamente monetari) per le popolazioni povere dell¿Africa. In quest¿ultimo caso si tratta di messaggi ingannatori (più di 400 truffe accertate nel 2002), volti a sfruttare l¿ingenuità dell¿internauta di turno, per quanto, il più delle volte, tale tipologia di posta elettronica venga automaticamente cestinata dalla stragrande maggioranza degli utenti Internet. Per quanto riguarda le eMail commerciali a sfondo sessuale, i navigatori della rete scelgono invece, con sempre maggiore frequenza, di lasciarsi ¿sedurre¿ dalle offerte prospettate.
Conclusioni. Le soluzioni più efficaci per combattere il fenomeno spamming sono quelle che si concentrano sulla protezione della Rete stessa. La maggior parte dei messaggi indesiderati giunge priva di mittente grazie alle configurazioni difettose di molte applicazioni di posta elettronica, cosicché diventa impossibile risalire al distributore di spam. Se server ed ISP assicurassero l¿inattaccabilità delle proprie reti e applicazioni, si affronterebbe il problema alla radice limitando di molto il gravoso ricorso ai vari filtering tools. Oltretutto, in questa maniera gli utenti eviterebbero di essere ¿schedati¿ e ¿sorvegliati¿ come accade, ad esempio, a coloro che ricorrono a sistemi di sicurezza come il Brightmail.
Di fatto, gli attuali sistemi passano al setaccio la nostra posta e decidono se consegnarcela o meno anche senza il nostro specifico consenso all¿operazione. La delicata questione non può che sollevare numerosi dubbi ed interrogativi sulla natura stessa degli attuali meccanismi, tanto a livello di legittimità quanto di privacy. Staremo a vedere se le nuove normative saranno finalmente risolutive.
