Spam: cos’è e come difendersi, guida per utenti e webmaster

Quando si parla di comunicazione sul web, è fondamentale soffermarsi sul fenomeno dello spam che, oltre a essere particolarmente fastidioso, può anche nascondere delle insidie sul versante della sicurezza informatica.

La nostra agenzia SEO tiene particolarmente a sensibilizzare su questo argomento, alla luce delle diverse e molteplici attività di truffa che si possono verificare online. Vediamo quindi cos’è lo spam e soprattutto come difendersi, sia lato utente sia da webmaster di un sito/blog, approfondendo anche uno dei temi centrali collegati: il fenomeno del data breach, che coinvolge la riservatezza e la salvaguardia di dati e informazioni.

copertina articolo spam avantgrade

Cosa significa spam

 

Con il termine spam si intende l’invio massivo e ripetuto, attraverso sistemi automatizzati, di messaggi non desiderati, spesso di carattere pubblicitario. Di frequente, i destinatari sono stati “prelevati” in modo casuale in rete o, in ogni caso, non hanno prestato il loro diretto consenso alla ricezione.

Quando si parla di spam, il collegamento immediato va alle caselle di posta elettronica, tra i bersagli certamente preferiti dagli spammer. Tale fenomeno, tuttavia, non riguarda soltanto le email, ma l’ecosistema web nel suo complesso e non solo (basti pensare anche agli SMS di natura “spammosa”).

Giusto per fare un esempio, chi utilizza in modo frequente il proprio profilo su Facebook, sa bene come la sezione messaggi privati sia sempre più popolata di pubblicità, scam e comunicazioni invasive o non richieste.

L‘origine del termine spam è piuttosto suggestiva: si fa risalire a uno sketch dei Monty Python del 1970, ambientato in una locanda. Nell’episodio in questione, una cameriera propone agli avventori, in modo ripetuto, continuo e ossessivo, piatti a base di SPAM, una carne in scatola prodotta negli anni ’30 da un’azienda statunitense.

Si è creata così un’analogia del termine con i ripetuti e onnipresenti messaggi pubblicitari non richiesti, definiti anche “spazzatura”, che caratterizzano il mondo del web.

Le tipologie di spam

 

È essenziale operare una distinzione basata sulla natura e sugli obiettivi di tali messaggi:

  • Spam commerciale: si tratta del fenomeno in genere più diffuso, ovvero l’invio di messaggi pubblicitari continui e non richiesti. Rappresentano per lo più un fastidio, che ha come conseguenza l’intasamento delle caselle di posta e delle sezioni “messaggi privati” all’interno dei social network;
  • Spam truffa, phishing o malware: in tal caso non si tratta più solo di fastidio, ma di un rischio per la sicurezza dei propri dati, conti bancari, dispositivi che utilizziamo quotidianamente. Vedremo a breve alcune accortezze per non incappare nei problemi derivanti da questo tipo di messaggi;
  • Link spam: nel mondo SEO era piuttosto comune usare automatismi per inviare commenti nei blog, con all’interno dei link che favorissero il posizionamento di un sito web. Oggi, tale pratica continua a essere utilizzata, anche se l’efficacia lato SEO è davvero limitata. Vedremo anche come contrastare lo spam nei commenti, in modo da non trovarsi con il backend del proprio sito web che trabocca di spammer.

Come un utente può difendersi dallo spam

 

Ecco alcune pratiche di buon senso per difendersi dallo spam, lato utente:

  • diffondere con molta prudenza e attenzione il proprio indirizzo email, numero di cellulare e qualsiasi altro contatto personale;
  • prendersi del tempo per leggere condizioni e trattamento dei dati personali nel momento di condividere contatti di qualsiasi tipo – anche se è un’attività piuttosto tediosa;
  • valutare l‘attivazione di una casella email “sacrificabile” dal punto di vista delle comunicazioni commerciali e dello spam. In tal modo, si manterrebbero pulite le caselle utilizzate per questioni private o professionali;
  • servirsi dei filtri antispam forniti dalla maggior parte dei provider di posta elettronica: è così possibile eliminare direttamente messaggi provenienti da determinate liste o indirizzi. Negli smartphone, si possono impiegare i filtri “lista nera” per i contatti che inviano SMS spam o non richiesti;
  • non rispondere alle mail spam. Farlo, infatti, potrebbe fornire alla fonte la conferma dell’esistenza e dell’utilizzo di un determinato contatto.

Ci sono, poi, alcuni accorgimenti da mettere in atto sul versante social network: settare in modo accurato gli aspetti legati alla privacy nelle impostazioni, valutare con attenzione richieste di amicizia e i gruppi di cui si fa parte, bloccare o segnalare profili molesti e prestare la massima attenzione ai dati personali che si condividono all’interno del profilo Facebook o di altri social;

In ambito sicurezza legata allo spam, è essenziale non aprire messaggi di dubbia provenienza, ma soprattutto non cliccare sui link presenti né scaricare eventuali allegati (anche se sembrano innocui file PDF): istituti bancari, ma anche altre tipologie di siti autorevoli, non chiedono mai ai propri utenti i dati di accesso o altre informazioni personali via email o SMS. Se si ricevono messaggi di questo tipo, si possono dunque automaticamente classificare come tentativi di truffa.

Il Garante della Privacy ha creato un documento ad hoc con i principali consigli per difendersi dallo SPAM.

Strumenti utili

 

Esistono poi alcuni altri semplici metodi e strumenti che ti possono aiutare a capire se ti stai trovando davanti a potenziali link spam o file dannosi, su cui è meglio non cliccare.

Uno strumento che può fare al caso tuo è URL2PNG, sito che consente di vedere il contenuto di una pagina web senza cliccare sul link: in poche parole, visualizzerai il contenuto dell’url come fosse uno screenshot.

Oppure, si può analizzare il una url o un file attraverso VirusTotal, un altro strumento gratuito che ti permette di identificare truffe, spam e malware.

Infine, ti consigliamo SSLTrust, un altro sito web in grado di aiutarti ad analizzare potenziali file infetti o link malevoli e salvaguardare così la sicurezza dei tuoi dati e dei tuoi dispositivi.

Come un webmaster può difendersi dallo spam

 

Quando si gestisce un sito web, la lotta contro lo spam è inevitabile. Questo, in genere, va a colpire i contatti diffusi tra le pagine, i form di contatto, i commenti nei blog o siti che li prevedono.

Vediamo insieme, anche in questo ambito, alcuni strumenti e best practice che aiutano a difendersi dallo spam:

  • valutare con attenzione i contatti da condividere all’interno della sezione dedicata del sito, nel footer o in altre pagine;
  • se si condividono contatti email, valutare di utilizzare sistemi di criptaggio delle stesse (su alcuni CMS come WordPress esistono anche plugin pensati ad hoc). In genere, le email vengono raccolte sul web attraverso bot automatizzati, che setacciano la rete e collezionano indirizzi da destinare poi allo spam. Un’alternativa molto utilizzata è sostituire la @ del contatto mail con “at” oppure con il termine “chiocciola”, in modo da confondere l’automatismo;
  • se si usano form di contatto, implementare sistemi di protezione dallo spam. I captcha, da questo punto di vista, possono essere piuttosto efficaci: si tratta di sistemi che richiedono la risoluzione di una domanda o di un’operazione matematica (quindi non semplicissimi da superare per un bot). Se si sceglie di impiegarli, però, conviene cercare un compromesso per non rendere la vita troppo difficile agli utenti reali che vogliono lasciare i loro contatti;
  • valutare se mantenere attivi i commenti in articoli o pagine in base alle caratteristiche del tipo di sito web;
  • se i commenti sono attivi, implementare sistemi antispam. Su WordPress, tra quelli di gran lunga più famosi abbiamo Akismet, un filtro molto efficace contro lo spam che protegge dai commenti indesiderati, ma può essere implementato anche all’interno degli stessi form (per esempio, sul popolare plugin Contact Form 7). Akismet prevede anche una versione gratuita con alcune limitazioni.

Un webmaster deve avere ben chiaro cosa un motore di ricerca consideri spam per tutelare sia i suoi utenti sia il suo posizionamento. Google è sempre molto attento alla privacy e alla sicurezza e per questo rilascia spesso aggiornamenti dedicati: è il caso del recente Google Core Update di marzo 2024 dove sono state implementate tre nuove normative nella sua politica contro lo spam.

Privacy e Data Breach

 

Abbiamo visto come, alla base dell’invio di messaggi spam, ci sia sempre la raccolta di contatti e dati personali: approfondiamo, allora, il lato privacy e data breach.

L’espressione data breach ha a che fare con la salvaguardia della privacy delle persone. Si può infatti definire come qualsiasi tipo di violazione che comporti, in modo voluto o accidentale, la divulgazione non autorizzata, la perdita, la modifica o il furto di dati personali.

Una “fuga di dati”, dunque, può anche avvenire in buona fede, ovvero essere, per esempio, conseguenza di negligenza o utilizzo di sistemi di sicurezza non efficaci. Quello della tutela della privacy e riservatezza è un tema caldo dell’attualità e al centro dell’attenzione dei legislatori europei e nazionali.

Per approfondire, un noto episodio di data breach: attacco hacker a SolarWinds.

Cosa fare in caso di data breach?

 

In caso di data breach, a livello normativo, vengono fornite le seguenti indicazioni:

  • il titolare del trattamento dei dati deve comunicare al Garante della Privacy la violazione, senza ingiustificato ritardo ed entro 72 ore dal momento in cui il data breach viene scoperto. Fa eccezione il caso in cui sia improbabile che la violazione configuri un rischio per i diritti e le libertà delle persone fisiche;
  • il responsabile del trattamento dei dati che viene a conoscenza della violazione deve informare in modo tempestivo il titolare, in modo che possa attivarsi;
  • oltre alla segnalazione al Garante della Privacy, se il data breach può tradursi in un rischio elevato per i diritti delle persone, il titolare è tenuto a informare tutti i soggetti coinvolti nella violazione (attraverso canali idonei), a meno che non abbia già provveduto a porre rimedio o a ridurne l’impatto;
  • a prescindere dalla notifica al Garante, il titolare deve sempre tenere traccia di tutte le eventuali violazioni dei dati.

La normativa privacy secondo il GDPR

 

Per verificare la legittimità dello spam, è essenziale ricordare che i dati di contatto come e-mail e numeri di telefono sono dati personali, come definito nell’art. 4, punto 1 del GDPR, e devono essere trattati rispettando i principi di correttezza, finalità, proporzionalità e necessità.

Distinguere se un indirizzo e-mail appartiene a una persona fisica o giuridica può essere difficile, soprattutto per gli indirizzi aziendali (es. nome.cognome@società.com). Il Gruppo Articolo 29 (pareri n. 4/1997 e n. 5/2004) ha chiarito che tali indirizzi devono essere considerati personali per i loro assegnatari.

Secondo il GDPR e l’art. 130, comma 1, del Codice Privacy modificato dal D.lgs. 101/2018, lo spam è vietato. L’uso di sistemi automatizzati per inviare materiale pubblicitario, vendite dirette o ricerche di mercato è consentito solo con il consenso preventivo dell’utente (opt-in). Senza consenso, l’invio di comunicazioni promozionali è illegittimo.

Il consenso deve essere libero, specifico, informato e inequivocabile (art. 4 GDPR) e non può essere obbligatorio. Deve riguardare ogni finalità specifica del trattamento e deve essere preceduto da un’informativa conforme agli art. 13 e 14 del GDPR.

La violazione delle condizioni del consenso può comportare sanzioni fino a 20 milioni di euro o il 4% del fatturato mondiale (art. 83 GDPR).

Nel caso di messaggi inviati tramite social network, è necessario il consenso preventivo. Tuttavia, se l’utente è “fan” di un brand o iscritto a un gruppo aziendale, può ricevere comunicazioni di marketing se è chiaro che l’iscrizione rappresenta il consenso a tali messaggi.

Conclusioni

 

Se sconfiggere in modo definitivo lo spam può essere arduo poiché gli spammer tendono spesso a trovare sistemi alternativi per superare le difese, i consigli che abbiamo visto consentono di ridurne la portata in modo decisamente consistente.

Al di là degli strumenti concreti, il tool migliore anche in questo ambito rimane l’educazione. Riconoscere lo spam e attuare comportamenti virtuosi per proteggere le proprie informazioni è, in ultima istanza, l’arma più efficace per contrastarlo e per combattere il furto dei dati personali.

Spread the love