L’espressione spamming definisce l’attività, posta in essere da un soggetto detto spammer,
consistente nell’invio a una casella di posta elettronica di materiale pubblicitario non richiesto e,
nella maggior parte dei casi, indesiderato.
Nell’Unione Europea non è possibile effettuare dello spamming senza il consenso del soggetto
destinatario del messaggio pubblicitario, mentre negli USA tale consenso non è richiesto.
In Europa si ritiene infatti che, a fronte di un qualsiasi trattamento di dati personali, il consenso
dell’interessato debba essere acquisito preventivamente, dopo una adeguata informazione
concernente le modalità e le finalità del trattamento (sistema OPT-IN), invece in America è
possibile trattare i dati personali degli interessati fino a quando questi non abbiano manifestato un
loro esplicito dissenso (sistema OTP-OUT), esprimendo così un’opzione precisa per essere esclusi
dal trattamento, il quale si presume autorizzato sino a quel momento.
Nel nostro ordinamento, lo spamming effettuato senza consenso configura un’attività illecita
essendo contraria a diverse norme.
In primo luogo, chi pone in essere tale attività, viola l’art. 13 della Direttiva comunitaria
2002/58/CE e l’art. 130 del Testo Unico in materia di protezione di dati personali D.Lgs. n.
196/2003 (Codice Privacy). La direttiva, recepita dal Codice, prevede appunto che l’invio di
materiale pubblicitario possa essere consentito soltanto nei confronti di soggetti che abbiano
precedentemente espresso il loro consenso.
Sono previste alcune deroghe a questa regola nel caso in cui il mittente sia un soggetto che svolga
un’attività economica, i destinatari delle comunicazioni siano suoi clienti e i servizi o i prodotti da
commercializzare tramite l’utilizzo delle coordinate elettroniche siano analoghi rispetto a quelli
oggetto della vendita o del servizio tramite i quali le coordinate elettroniche del cliente siano state
raccolte.
Il Garante della Privacy ha più volte affermato che gli indirizzi di posta elettronica recano dati di
carattere personale che devono essere trattati nel rispetto della normativa in materia, e la loro
utilizzazione per scopi promozionali e pubblicitari è possibile solo se il soggetto cui riferiscono i
dati ha manifestato in precedenza un consenso libero, specifico e informato. Tale Autorità ha
ribadito inoltre che, indipendentemente dal rapporto esistente tra i mittenti ed i destinatari dei
messaggi, chi detiene i dati deve assicurare in ogni caso agli interessati la possibilità di far valere in
ogni momento i diritti riconosciuti dalla legge, i quali sono spesso esercitati per conoscere da quale
fonte sono stati tratti i dati, o per far interrompere gratuitamente la loro ulteriore utilizzazione ai fini
commerciali-pubblicitari, oppure per far cancellare i dati trattati in violazione di legge.
Ben conscio che per quanto riguarda alcuni messaggi provenienti dall’estero, non possibile
applicabile la legge italiana sulla protezione dei dati personali, il Garante ha altresì affermato che
l’utente può comunque chiedere una verifica da parte della competente autorità nazionale di
protezione dei dati personali, ove istituita nel Paese eventualmente individuabile dal messaggio.
Alcune recenti pronunce giudiziali hanno considerato applicabile allo spamming la tutela prevista
dal’art. 2043, ponendo a carico dell’attore la prova del danno subito a seguito dello spamming, del
nesso causale tra azione dolosa o colposa e danno subito e sotto l’aspetto soggettivo della
sussistenza della colpa o dolo da parte dello spammer. Quest’ ultimo è stato condannato alla
cancellazione e rimozione dei dati e a risarcire l’ingiusto turbamento arrecato alla vita privata.
Tali pronunce risalgono al 2004 e quindi prima che entrasse in vigore il Codice della Privacy, che
all’art. 15, equipara il trattamento illegittimo dei dati a una attività pericolosa. Conseguentemente,
una volta provato il danno subito e il nesso causale tra danno e azione dolosa o colposa, la colpa
dello spammer si ritiene presunta salvo lo stesso che riesca a fornire la prova liberatoria di aver
posto in essere mezzi idonei ad evitare l’evento.
Da ultimo, pur non esistendo nel nostro ordinamento penale il reato di spamming, è necessario
considerare che l’art. 167 del Codice Privacy, è una vera e propria norma incriminatrice che punisce
il trattamento illecito di dati personali.
L’articolo sanziona il soggetto che al fine di trarne per sé o per altri profitto o di recare ad altri un
danno, procede al trattamento illecito di dati personali in violazione di alcune disposizioni del
Codice (tra cui l’art. 130 che disciplina l’invio di comunicazioni non desiderate), se dal fatto deriva
nocumento.
Il reato è a dolo specifico, rinvenibile nel fine di trarre per sé o per altri profitto, oppure di recare ad
altri un danno.
Deve inoltre verificarsi la condizione obiettiva di punibilità rappresentata dalla presenza di un
nocumento subito dal soggetto passivo del reato. Proprio a tal proposito una recentissima sentenza
del Tribunale penale di Udine ha ritenuto non ravvisabile il nocumento in caso di un unico
messaggio pubblicitario inviato che, data la sua non ripetitività, avrebbe causato una lesione minima
della privacy del destinatario.
***
Come difendersi (consigli tratti dal sito www.anti-phishing.it):
- Non rispondere mai allo spam.
Rispondendo, infatti, anche se per chiedere di rimuovere il proprio indirizzo e-mail dalla mailing
list, si da conferma che il proprio indirizzo e-mail è valido e che lo spam è arrivato con successo
fino alla propria casella di posta elettronica. Le liste di indirizzi e-mail confermate sono molto più
preziose per gli spammer di quelle non confermate, e spesso sono anche oggetto di compravendita
da parte degli spammer.
- Controllare se il proprio indirizzo e-mail è visibile agli spammer digitandolo su un motore di
ricerca su Internet.
Se il proprio indirizzo e-mail è pubblicato su qualsiasi sito Web o newsgroup, va rimosso, se
possibile, per poter ridurre la quantità di spam che si riceve.
- Disabilitare le immagini on-line, o non aprire i messaggi spam. Frequentemente i messaggi
spam includono "avvisi Web" che consentono agli spammer di determinare quanti, o quali indirizzi
e-mail hanno ricevuto e aperto il messaggio. Molti degli attuali programmi di posta elettronica
disabilitano le immagini on-line di default per prevenire che questo avvenga.
- Non cliccare sui link contenuti nei messaggi spam, compresi i link per cancellarsi dalla
mailing list.
Di solito questi contengono un codice che identifica l’indirizzo e-mail del destinatario, e possono
dare conferma che lo spam è stato ricevuto e che qualcuno ha risposto.
- Quando si desidera essere rimossi da una lista, la regola principale da seguire è: se non ci si è
prima iscritti, o se non si riconosce il mittente / o l’azienda che ha inviato l’e-mail, allora non
bisogna disiscriversi. Quando si prova a rimuovere il proprio indirizzo da un’e-mail può iniziare ad
arrivare una marea di e-mail da altre fonti, così se non si è sicuri, è meglio non effettuare
l'"unsubscribe" e bloccare l’e-mail in un altro modo. In ogni caso, quando si intende farsi
cancellare da una lista è necessario controllare sempre che i link nella mail portino al sito giusto
della società e non a un sito di Phishing.
- Quando si compila un form su Web, controllare la policy di privacy del sito per essere certi
che i propri dati non vengano ceduti o venduti ad altre società.
Potrebbe esserci un’opzione da selezionare per la cessione o meno a terze parti.
- Non rispondere a e-mail che invitano a convalidare o confermare qualsiasi dettaglio dei
propri account.
La propria banca, la società della carta di credito ecc. dispongono già di quei dettagli, e non hanno
nessun bisogno di chiedere che vengano convalidati. Se non si è sicuri che una richiesta di
informazioni personali da parte di una società sia legittima, contattare direttamente la società in
questione o digitare l’URL della società direttamente sul proprio browser. Non fare click sui link
contenuti nell’e-mail, dal momento che potrebbero contenere falsi link a siti di phishing.
- Se si ha un indirizzo e-mail che riceve una grande quantità di spam, è bene valutare se non
convenga piuttosto sostituirlo con un indirizzo nuovo e informare di conseguenza i propri
contatti.
Una volta inserito in molte mailing list di spammer, è facile che quell’indirizzo riceva sempre più
spam.
- Utilizzare due indirizzi e-mail, uno per le e-mail personali ad amici e colleghi, e l’altro per le
sottoscrizioni a newsletter o per renderlo pubblico sui forum e su altri siti pubblici.
 
Top