Spam e sicurezza dei dati sul web: le linee guida

Quando si parla di comunicazione sul web, è fondamentale soffermarsi sul fenomeno dello spam che, oltre a essere particolarmente fastidioso, può anche nascondere delle insidie sul versante della sicurezza informatica.

La nostra agenzia SEO tiene particolarmente a sensibilizzare su questo argomento, alla luce delle diverse e molteplici attività di truffa che si possono verificare online. Vediamo quindi cos’è lo spam e soprattutto come difendersi, sia lato utente sia da webmaster di un sito/blog, approfondendo anche uno dei temi centrali collegati: il fenomeno del data breach, che coinvolge la riservatezza e la salvaguardia di dati e informazioni.

Indice

• Cosa significa spam
  • Le tipologie di spam
• Come un utente può difendersi dallo spam
  • Strumenti utili
• Come un webmaster può difendersi dallo spam
• Privacy e data breach
  • Come comportarsi in caso di violazione dei dati personali
• Conclusioni

Cosa significa spam

Con il termine spam si intende l’invio massivo e ripetuto, attraverso sistemi automatizzati, di messaggi non desiderati, spesso di carattere pubblicitario. Di frequente, i destinatari sono stati “prelevati” in modo casuale in rete o, in ogni caso, non hanno prestato il loro diretto consenso alla ricezione.

Quando si parla di spam, il collegamento immediato va alle caselle di posta elettronica, tra i bersagli certamente preferiti dagli spammer. Tale fenomeno, tuttavia, non riguarda soltanto le email, ma l’ecosistema web nel suo complesso e non solo (basti pensare anche agli SMS di natura “spammosa”).

Giusto per fare un esempio, chi utilizza in modo frequente il proprio profilo su Facebook, sa bene come, soprattutto negli ultimi tempi, la sezione messaggi privati sia sempre più popolata di pubblicità, scam e comunicazioni invasive o non richieste.

L’origine del termine spam è piuttosto suggestiva: si fa risalire a uno sketch dei Monty Python del 1970, ambientato in una locanda. Nell’episodio in questione, una cameriera propone agli avventori, in modo ripetuto, continuo e ossessivo, piatti a base di SPAM, una carne in scatola prodotta negli anni ’30 da un’azienda statunitense.

Si è creata così un’analogia del termine con i ripetuti e onnipresenti messaggi pubblicitari non richiesti, definiti anche “spazzatura”, che caratterizzano il mondo del web.

Le tipologie di spam

È essenziale operare una distinzione basata sulla natura e sugli obiettivi di tali messaggi:

• spam commerciale: si tratta del fenomeno in genere più diffuso, ovvero l’invio di messaggi pubblicitari continui e non richiesti. Rappresentano per lo più un fastidio, che ha come conseguenza l’intasamento delle caselle di posta e delle sezioni “messaggi privati” all’interno dei social network;
• spam truffa, phishing o malware: in tal caso, non si tratta più solo di fastidio, ma di un rischio per la sicurezza dei propri dati, conti bancari, dispositivi che utilizziamo quotidianamente. Vedremo a breve alcune accortezze per non incappare nei problemi derivanti da questo tipo di messaggi;
• link spam: nel mondo SEO era piuttosto comune usare automatismi per inviare commenti nei blog, con all’interno dei link che favorissero il posizionamento di un sito web. Oggi, tale pratica continua a essere utilizzata, anche se l’efficacia lato SEO è davvero limitata. Vedremo anche come contrastare lo spam nei commenti, in modo da non trovarsi con il backend del proprio sito web che trabocca di spammer.

Come un utente può difendersi dallo spam 

Ecco alcune pratiche di buon senso per difendersi dallo spam, lato utente:

• diffondere con molta prudenza e attenzione il proprio indirizzo email, numero di cellulare e qualsiasi altro contatto personale;
• prendersi del tempo per leggere condizioni e trattamento dei dati personali nel momento di condividere contatti di qualsiasi tipo – anche se è un’attività piuttosto tediosa;
• valutare l‘attivazione di una casella email “sacrificabile” dal punto di vista delle comunicazioni commerciali e dello spam. In tal modo, si manterrebbero pulite le caselle utilizzate per questioni private o professionali;
• servirsi dei filtri antispam forniti dalla maggior parte dei provider di posta elettronica: è così possibile eliminare direttamente messaggi provenienti da determinate liste o indirizzi. Negli smartphone, si possono impiegare i filtri “lista nera” per i contatti che inviano SMS spam o non richiesti;
• non rispondere alle mail spam. Farlo, infatti, potrebbe fornire alla fonte la conferma dell’esistenza e dell’utilizzo di un determinato contatto.

Ci sono, poi, alcuni accorgimenti da mettere in atto sul versante social network: settare in modo accurato gli aspetti legati alla privacy nelle impostazioni, valutare con attenzione richieste di amicizia e i gruppi di cui si fa parte, bloccare o segnalare profili molesti e prestare la massima attenzione ai dati personali che si condividono all’interno del profilo Facebook o di altri social;

In ambito sicurezza legata allo spam, è essenziale non aprire messaggi di dubbia provenienza, ma soprattutto non cliccare sui link presenti né scaricare eventuali allegati (anche se sembrano innocui file PDF): istituti bancari, ma anche altre tipologie di siti autorevoli, non chiedono mai ai propri utenti i dati di accesso o altre informazioni personali via email o SMS. Se si ricevono messaggi di questo tipo, si possono dunque automaticamente classificare come tentativi di truffa.

Strumenti utili

Esistono poi alcuni altri semplici metodi e strumenti che ti possono aiutare a capire se ti stai trovando davanti a potenziali link spam o file dannosi, su cui è meglio non cliccare. Uno strumento che può fare al caso tuo è URL2PNG, sito che consente di vedere il contenuto di una pagina web senza cliccare sul link: in poche parole, visualizzerai il contenuto dell’url come fosse uno screenshot.

Oppure, si può analizzare il una url o un file attraverso VirusTotal, un altro strumento gratuito che ti permette di identificare truffe, spam e malware.

Anche attraverso questo tool di Karspersky potrai facilmente esaminare file e url per verificarne la potenziale dannosità.

Infine, ti consigliamo SSLTrust, un altro sito web in grado di aiutarti ad analizzare potenziali file infetti o link malevoli e salvaguardare così la sicurezza dei tuoi dati e dei tuoi dispositivi.

Come un webmaster può difendersi dallo spam 

Quando si gestisce un sito web, la lotta contro lo spam è inevitabile. Questo, in genere, va a colpire i contatti diffusi tra le pagine, i form di contatto, i commenti nei blog o siti che li prevedono. Vediamo insieme, anche in questo ambito, alcuni strumenti e best practice che aiutano a difendersi dallo spam:

• valutare con attenzione i contatti da condividere all’interno della sezione dedicata del sito, nel footer o in altre pagine;
• se si condividono contatti email, valutare di utilizzare sistemi di criptaggio delle stesse (su alcuni CMS come WordPress esistono anche plugin pensati ad hoc). In genere, le email vengono raccolte sul web attraverso bot automatizzati, che setacciano la rete e collezionano indirizzi da destinare poi allo spam. Un’alternativa molto utilizzata è sostituire la @ del contatto mail con “at” oppure con il termine “chiocciola”, in modo da confondere l’automatismo;
• se si usano form di contatto, implementare sistemi di protezione dallo spam. I captcha, da questo punto di vista, possono essere piuttosto efficaci: si tratta di sistemi che richiedono la risoluzione di una domanda o di un’operazione matematica (quindi non semplicissimi da superare per un bot). Se si sceglie di impiegarli, però, conviene cercare un compromesso per non rendere la vita troppo difficile agli utenti reali che vogliono lasciare i loro contatti;
• valutare se mantenere attivi i commenti in articoli o pagine in base alle caratteristiche del tipo di sito web;
• se i commenti sono attivi, implementare sistemi antispam. Su WordPress, tra quelli di gran lunga più famosi abbiamo Akismet, un filtro molto efficace contro lo spam che protegge dai commenti indesiderati, ma può essere implementato anche all’interno degli stessi form (per esempio, sul popolare plugin Contact Form 7). Akismet prevede anche una versione gratuita con alcune limitazioni.

Un webmaster deve avere ben chiaro cosa un motore di ricerca consideri spam per tutelare sia i suoi utenti sia il suo posizionamento. Google è sempre molto attento alla privacy e alla sicurezza e per questo rilascia spesso aggiornamenti dedicati: è il caso di Google Spam Update 2021, attivo dal 23 giugno 2021.

Privacy e Data Breach

Abbiamo visto come, alla base dell’invio di messaggi spam, ci sia sempre la raccolta di contatti e dati personali: approfondiamo, allora, il lato privacy e data breach.

L’espressione data breach ha a che fare con la salvaguardia della privacy delle persone. Si può infatti definire come qualsiasi tipo di violazione che comporti, in modo voluto o accidentale, la divulgazione non autorizzata, la perdita, la modifica o il furto di dati personali.

Una “fuga di dati”, dunque, può anche avvenire in buona fede, ovvero essere, per esempio, conseguenza di negligenza o utilizzo di sistemi di sicurezza non efficaci. Quello della tutela della privacy e riservatezza è un tema caldo dell’attualità e al centro dell’attenzione dei legislatori europei e nazionali.

Per approfondire, un noto episodio di data breach: attacco hacker a SolarWinds.

Come comportarsi in caso di violazione dei dati personali

In caso di data breach, a livello normativo, vengono fornite le seguenti indicazioni:

• il titolare del trattamento dei dati deve comunicare al Garante della Privacy la violazione, senza ingiustificato ritardo ed entro 72 ore dal momento in cui il data breach viene scoperto. Fa eccezione il caso in cui sia improbabile che la violazione configuri un rischio per i diritti e le libertà delle persone fisiche;
• il responsabile del trattamento dei dati che viene a conoscenza della violazione deve informare in modo tempestivo il titolare, in modo che possa attivarsi;
• oltre alla segnalazione al Garante della Privacy, se il data breach può tradursi in un rischio elevato per i diritti delle persone, il titolare è tenuto a informare tutti i soggetti coinvolti nella violazione (attraverso canali idonei), a meno che non abbia già provveduto a porre rimedio o a ridurne l’impatto;
• a prescindere dalla notifica al Garante, il titolare deve sempre tenere traccia di tutte le eventuali violazioni dei dati.

Conclusioni

Se sconfiggere in modo definitivo lo spam può essere arduo poiché gli spammer tendono spesso a trovare sistemi alternativi per superare le difese, i consigli che abbiamo visto consentono di ridurne la portata in modo decisamente consistente.

Al di là degli strumenti concreti, il tool migliore anche in questo ambito rimane l’educazione. Riconoscere lo spam e attuare comportamenti virtuosi per proteggere le proprie informazioni è, in ultima istanza, l’arma più efficace per contrastarlo e per combattere il furto dei dati personali. Per approfondire, consulta la nostra sezione dedicata alla formazione digital.

Articolo scritto in collaborazione con Francesco B.

Fissa una call