Prendiamo a caso una delle tante mail di spam che ci arrivano quotidianamente. In data 16 novembre arriva una mail da tale Vissarion Znamenshchikov, da un account di posta elettronica Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. che se non altro appare già in prima battuta piuttosto sospetto.
Il presunto Znamenshchikov dichiara (in un italiano piuttosto traballante) di lavorare presso una azienda ukraina dal nome Ciklum IT, che in effetti esiste davvero e si occupa di servizi di sviluppo software in outsourcing. Ovviamente il nome di Znamenshchikov è sconosciuto alla Ciklum IT, così come il suo indirizzo di posta elettronica, che ovviamente se esistesse terminerebbe con un @ciklum.net, e non certo con un @gmail.com

Ora, cosa racconta nella sua mail il sig. Znamenshchikov? Ebbene sostiene che la sua ditta avrebbe problemi di recupero crediti, e che cerca degli agenti per incassare in Italia tali crediti dai clienti morosi, in cambio di una quota dell'8% su ciascun incasso. A tal fine, il sig Znamenshchikov chiede di inviargli una mail con tutti i nostri dati anagrafici, indirizzi, telefono, età, professione, livello di istruzione. Non ci sono altri link sospetti dove cliccare (quindi non è nemmeno una mail di phishing o che cerca di reindirizzarci a qualche sito fraudolento con virus e quant'altro).

Cosa se ne fa il sig. Znamenshchikov delle nostre informazioni? Con ogni probabilità lui direttamente (o l'organizzazione che si nasconde dietro a questo pseudonimo) non se ne farà di nulla. Ma queste informazioni anagrafiche hanno un prezzo più che concreto sul mercato. Su molti siti vengono venduti pacchetti di e-mail a prezzi variabili: si va da 100.000 indirizzi e-mail generici venduti a 100 €, sino a indirizzi completi di informazioni anagrafiche venduti a 5 centesimi di euro a indirizzo.

Ovviamente tutto questo avviene in barba non solo alle leggi nazionali ed internazionali in vigore sulla privacy, ma anche ai più elementari principi universali su verità e trasparenza: se anche non si trattasse di reato, si tratterebbe di informazioni ottenute grazie ad una menzogna. Senza contare che l'azienda citata suo malgrado nella mail avrebbe buoni motivi per agire in giudizio e chiedere danni di immagine all'autore dello spam.

Fortunatamente ogni tanto qualcuno paga le conseguenze delle sue azioni fraudolente: Negli Stati Uniti Sanford Wallace, il "re dello spam", ha subito una ennesima condanna dopo una azione legale intrapresa da Facebook per tutelare i propri utenti dal suo spamming di massa. Certo una buona notizia, anche se per ora una goccia in mezzo al mare... 

In Italia invece qualche cosa comincia a muoversi anche sul fronte dello spam. In effetti l'articolo 130 del nostro codice sulla privacy (D.Lgs 196/2003) parla chiaro:

Art. 130. Comunicazioni indesiderate
1. L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell'interessato.

2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.

3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24.

4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.

5. É vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7.

6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante può, provvedendo ai sensi dell'articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.

Il Garante della privacy ha iniziato ad agire con alcuni (timidi?) interventi, e nel maggio di quest'anno ha ribadito quanto segue:

Anche se i dati sono estratti dalle Pagine Gialle o dai registri pubblici, quando si usano sistemi automatizzati è obbligatorio acquisire prima il consenso dei destinatari. Continua l'azione del Garante contro lo spamming e il marketing disinvolto. L'Autorità ha vietato l'ulteriore trattamento illecito dei dati personali a cinque società che inviavano pubblicità tramite fax e posta elettronica senza il preventivo consenso degli interessati.
Il Garante è intervenuto a seguito delle segnalazioni di alcuni utenti che continuavano a ricevere e-mail e fax indesiderati nonostante non avessero mai manifestato alcun consenso all'uso dei loro dati per questo scopo.
Lo società coinvolte (due inviavano lo spam tramite posta elettronica [doc. web nn. 1597151 e 1597146], tre tramite fax [doc. web nn. 1597163, 1601506 e 1601475]) in alcuni casi fornivano l'informativa e la richiesta di consenso contestualmente all'invio del primo fax o della prima e-mail che avevano già un contenuto di carattere commerciale.
L'Autorità ha ribadito, invece, che l'uso di sistemi automatizzati per inviare messaggi promozionali, anche quando si tratti di dati estratti da elenchi categorici o da albi, impone la preventiva acquisizione del consenso da parte dei destinatari. Alle cinque società è stato dunque vietato l'ulteriore trattamento illecito dei dati degli utenti interessati, i quali non potranno dunque più essere disturbati. La mancata osservanza del divieto del Garante espone anche a sanzioni penali.

Che possiamo dire: speriamo che l'applicazione di queste regole si diffondi sempre di più: internet è troppo preziosa per essere ostacolata e limitata dai soliti noti...