SPAM Sintesi del Sintesi del documento DSTI/ICCP (2003)10/REV OECD 1 Sommario Contesto Definizione Situazione Approcci Legislazioni Soluzioni Appendici Centro Studi MIT SPAM 2 Contesto Gli utenti di Internet crescono: sono previsti da 700 a 945 milioni di utenti nel 2004 nei paesi OECD. La posta elettronica sta diventando sempre di più uno strumento essenziale per la società e l’economia. Nel 2005 IDC prevede 1,2 miliardi di caselle di posta elettronica e nel 2006 il numero di messaggi supererà i 60 miliardi. Centro Studi MIT SPAM 3 Definizione Non esiste un’unica definizione di spam In Francia Grande numero di messaggi email non richiesti, talvolta ripetutamente inviati, a soggetti: Commissione UE mai venuti in contatto con il mittente; i cui indirizzi di mail sono stati raccolti impropriamente. Grande e ripetuto numero di messaggi e-mail commerciali inviati da un mittente che maschera o falsifica la sua identità. Si distingue da altri sistemi di comunicazione commerciale per: Centro Studi MIT SPAM la quantità di messaggi; la ripetitività; la natura sleale. 4 Definizione Caratteristiche primarie Caratteristiche secondarie messaggi elettronici messaggi non desiderati in grande quantità indirizzati a destinatari ignari non richiesti indiscriminati commerciali ripetitivi illegali o ingiuriosi inarrestabili anonimi o mascherati Centro Studi MIT SPAM 5 Situazione Il fenomeno dello spam è destinato a crescere. Negli ultimi 7 anni c’è stato un incremento drammatico della “mail spazzatura”. Percentuale di tutti i messaggi di posta Email identificati come Spam Dicembre 2003 58% Novembre 2003 56% Ottobre 2003 52% Settembre 2003 54% Agosto 2003 50% Luglio 2003 50% Giugno 2003 49% Maggio 2003 48% Aprile 2003 46% Marzo 2003 45% Febbraio 2003 42% Gennaio 2003 42% Centro Studi MIT SPAM 6 Situazione Percentuale Categoria Descrizione 21% PRODOTTI I messaggi offrono o pubblicizzano generici beni e servizi. Esempi: Dispositivi elettronici, Servizi investigativi, Vestiario, Cosmetica. 18% ADULTI I messaggi offrono prodotti o servizi per adulti, spesso con contenuti offensivi o inopportuni. Esempi: Porno, Consulenze relazionali. 18% FINANZA I messaggi contengono riferimenti o offerte relative al denaro, al mercato azionario o alle “opportunità” di investimento. Esempi: Investimenti, Prestiti, Rapporti finanziari, Opportunità immobiliari. 9% TRUFFE I messaggi che sono riconosciuti come fraudolenti, intenzionalmente ingannevoli o che producono attività disoneste da parte del mittente. Esempi: Investimenti in Nigeria, Schemi piramidali, Catene di S. Antonio. 6% SALUTE I messaggi offrono o pubblicizzano prodotti e servizi legati alla salute. Esempi: Prodotti farmaceutici, Trattamenti medici, Prodotti di erboristeria. 6% INTERNET I messaggi offrono beni e servizi legati ad Internet o al mondo dei computer. Esempi: Webhosting, Progettazione di siti web, Programmi contro lo spam. 6% TEMPO LIBERO I messaggi contengono offerte e pubblicità di prezzi, premi o sconti su attività per il tempo libero. Esempi: Offerte di soggiorni, Casinò on line, Giochi. 3% FRODI I messaggio appaiono arrivare da ben note aziende, ma non lo sono. Conosiuto anche come "brand spoofing“, questi messaggi sono usati per carpire all’utente informazioni personali quali indirizzi e-mail, passwords, informazioni economiche. 3% RELIGIONE I messaggi contengono informazioni relative a servizi o proposte educative di tipo religioso o spirituale. Esempi: Paranormale, Astrologia, Religioni organizzate. 2% POLITICA Messaggi che pubblicizzano la campagna elettorale di un candidato, propongono di donare denaro a partiti politici o movimenti, ecc. Esempi: Partiti politici, Elezioni, Donazioni. 8% ALTRO Esempi: Messaggi che non rientrano nelle su elencate categorie. Centro Studi MIT SPAM 7 Situazione Lo spam ha un costo diffuso: impone un costo su tutti gli utenti di Internet impone un costo al singolo utente che consuma tempo a cancellare i messaggi indesiderati; impone un costo alle aziende consumando risorse degli utenti e degli ISP senza alcuna compensazione; che devono aumentare le difese contro attacchi volti a raccogliere informazioni sensibili quali database di indirizzi di posta, ecc. impone un costo agli ISP e ai fornitori di e-mail in quanto consuma banda, spazio di memorizzazione, occupazione delle linee telefoniche, tempo dello staff, investimenti per i filtri anti spam, ecc. Centro Studi MIT SPAM 8 Approcci Le azioni per contrastare questo fenomeno sono molteplici. Si possono classificare in: approccio regolatorio e legislativo; approccio di auto-regolamentazione; approccio educativo e informativo; approccio tecnologico. Centro Studi MIT SPAM 9 Approcci Approccio regolatorio per contrastare questo fenomeno prevede più possibilità: Opt-in Opt-out Diritti e doveri degli ISP Aumento della trasparenza Etichettatura Spamware Espansione del concetto di spam Vendita o divulgazione di dati personali Centro Studi MIT SPAM 10 Approcci Opt-in Preventivo consenso da parte del destinatario. Opt-out L'utente di posta elettronica deve rivolgere richiesta di cessazione a tutti gli spammer che si manifestino nella sua casella, senza riguardo al fatto che l'utente non li conosce, non ha stabilito alcun rapporto con loro e ha tutto il diritto di non fidarsi di tali soggetti. Centro Studi MIT SPAM 11 Approcci Paese Approccio alla legislazione anti spam Austria Opt-in Belgio Opt-in Danimarca Opt-in Finlandia Opt-in Francia Bozza di legge Opt-in Germania Opt-in Grecia Opt-in Irlanda Opt-in Italia Opt-in Lussemburgo Bozza di legge Opt-in Olanda Opt-in Portogallo Opt-out Spagna Opt-in Svizzera Opt-in Gran Bretagna Opt-in Centro Studi MIT SPAM 12 Legislazioni Caratteristiche legislative Australia Austria Leggi / decreti sullo spam Si – (2003) Si Titolo e data della legge Spam Bill 2003 Regolamentazione TLC Definizione / ampiezza Messaggi elettronici commerciali indesiderati Messaggi e-mail in massa per scopi commerciali Opt-in – Opt-out – nulla Opt-in Opt-in Eccezioni all’opt-in o opt-out Strutture governative, partiti politici, organizz. religiose, istituz. educative - Etichettatura richiesta? No - Identificatore richiesto? Si - Opt-out rinchesto nei messaggi? Si - Lista not-spam richesta? No Si Proibizione di false credenziali nelle intestazioni dei messaggi? Si - Proibizione degli spamware? Si - Centro Studi MIT SPAM 13 Legislazioni Caratteristiche legislative Belgio Canada Leggi / decreti sullo spam Si Applicazione di una legge esistente Titolo e data della legge Legge per la protezione dei consumatori 11.03.2003 Legge sulla protezione delle informazioni personali e sui documenti elettronici – gennaio 2001 Definizione / ampiezza Invio non desiderato di posta commerciale Gli indirizzi e-mail sono considerati come dati personali Opt-in – Opt-out – nulla Opt-in Opt-in Eccezioni all’opt-in o opt-out - - Etichettatura richiesta? - - Identificatore richiesto? Si - Opt-out rinchesto nei messaggi? Si - Lista not-spam richesta? - - Proibizione di false credenziali nelle intestazioni dei messaggi? - - Proibizione degli spamware? - - Centro Studi MIT SPAM 14 Legislazioni Caratteristiche legislative Danimarca Finlandia Leggi / decreti sullo spam Si Si Titolo e data della legge Legge sulle norme commerciali Legge sulla protezione della privacy e sulla sicurezza dei dati nelle telecomunicazioni – 1999/565 Definizione / ampiezza Posta e-mail non desiderata Posta e-mail non desiderata, faxes Opt-in – Opt-out – nulla Opt-in Opt-in Eccezioni all’opt-in o opt-out Relazioni preesistenti Persone giuridiche Etichettatura richiesta? No Si Identificatore richiesto? Si No Opt-out rinchesto nei messaggi? Si Si Lista not-spam richesta? No No Proibizione di false credenziali nelle intestazioni dei messaggi? Si Si Proibizione degli spamware? No No Centro Studi MIT SPAM 15 Legislazioni Caratteristiche legislative Francia Germania Leggi / decreti sullo spam No, progetto di legge opt-in in allo studio No, progetto di legge opt-in allo studio. Si applica per ora una legge esistente Titolo e data della legge - Emendamento alla legge sulla concorrenza illegale Definizione / ampiezza Posta e-mail non desiderata Comunicazioni commerciali non desiderate via telefono, fax o e-mail Opt-in – Opt-out – nulla Opt-in Opt-in Eccezioni all’opt-in o opt-out Persone giuridiche, relazioni preesistenti Relazione preesistete : opt-out Etichettatura richiesta? No No Identificatore richiesto? Si Si Opt-out rinchesto nei messaggi? No Si Lista not-spam richesta? No No Proibizione di false credenziali nelle intestazioni dei messaggi? Si Si nelle intestazioni Proibizione degli spamware? Si No Centro Studi MIT SPAM 16 Legislazioni Caratteristiche legislative Grecia Ungheria Leggi / decreti sullo spam Si Si (Decreto) Titolo e data della legge - Decreto governativo n. 17/1999 sulle vendite a distanza Definizione / ampiezza Comunicazioni pubblicitarie non desiderate via telefono, fax o e-mail Mezzi di telecomunicazione Opt-in – Opt-out – nulla Opt-in Opt-out Eccezioni all’opt-in o opt-out - - Etichettatura richiesta? - - Identificatore richiesto? - - Opt-out rinchesto nei messaggi? - - Lista not-spam richesta? - - Proibizione di false credenziali nelle intestazioni dei messaggi? - - Proibizione degli spamware? - - Centro Studi MIT SPAM 17 Legislazioni Caratteristiche legislative Irlanda Italia Leggi / decreti sullo spam Si Si (Decreto) Titolo e data della legge SI n. 535 dei Regolamenti della Comunità Europea, 2003 Decreto n. 171 del 13.05.1988 Dec. L.vo n. 196 del 30.06.2003 Definizione / ampiezza - Comunicazioni commerciali non desiderate via telefono, fax, e-mail, SMS o MMS, risponditori Opt-in – Opt-out – nulla Opt-in Opt-in Eccezioni all’opt-in o opt-out Relazioni preesistenti Relazioni preesistenti Etichettatura richiesta? - No Identificatore richiesto? - Si Opt-out rinchesto nei messaggi? - Si Lista not-spam richesta? - No Proibizione di false credenziali nelle intestazioni dei messaggi? - Si Proibizione degli spamware? - Si Centro Studi MIT SPAM 18 Legislazioni Caratteristiche legislative Giappone Corea Leggi / decreti sullo spam Si Si Titolo e data della legge Regolamento sulle trasmissioni della posta elettronica e Legge speciale sulle transazioni commerciali, luglio 2002 Legge sulle reti informatiche e sulla protezione, luglio 2001 Definizione / ampiezza Messaggi e-mail indesiderati Qualsiasi pubblicità commerciale veicolata in modo elettronico Opt-in – Opt-out – nulla Opt-out Opt-out Eccezioni all’opt-in o opt-out - - Etichettatura richiesta? Si Si Identificatore richiesto? Si Si Opt-out rinchesto nei messaggi? Si Si Lista not-spam richesta? No Si Proibizione di false credenziali nelle intestazioni dei messaggi? Si Si Proibizione degli spamware? Si Si Centro Studi MIT SPAM 19 Legislazioni Caratteristiche legislative Lussemburgo Olanda Leggi / decreti sullo spam No. Disegno di legge allo studio Si Titolo e data della legge - Legge sulle telecomunicazioni, 19.10.1998 (deve essere sostituita entro il 2003) Definizione / ampiezza - (1) Risponditori automatici e fax. (2) Chiamate indesiderate a scopi commerciali Opt-in – Opt-out – nulla - (1) Opt-in – (2) Opt-out Eccezioni all’opt-in o opt-out - Le opzioni all’Opt-in e Opt-out devono essere offerte agli abbonati di telecomunic. Etichettatura richiesta? - No Identificatore richiesto? - Si Opt-out rinchesto nei messaggi? - Si Lista not-spam richesta? - No Proibizione di false credenziali nelle intestazioni dei messaggi? - Si Proibizione degli spamware? - - Centro Studi MIT SPAM 20 Legislazioni Caratteristiche legislative Norvegia Polonia Leggi / decreti sullo spam Si Si Titolo e data della legge Legge sul controllo del mercato, marzo 2001 Legge 18 luglio 2002 sulla fornitura di servizi per mezzo di strumenti elettronici Definizione / ampiezza La gestione degli affari che usi metodi di telecomunicazione Informazioni commerciali indesiderate diffuse con sistemi di comunic. elettronici Opt-in – Opt-out – nulla Opt-in Opt-in Eccezioni all’opt-in o opt-out Se esiste una relazione d’affari precedente, è richiesto l’Opt-out - Etichettatura richiesta? Si Si Identificatore richiesto? Si Si Opt-out rinchesto nei messaggi? No No Lista not-spam richesta? No No Proibizione di false credenziali nelle intestazioni dei messaggi? Si, se collegati ad attività di vendita Si Proibizione degli spamware? No No Centro Studi MIT SPAM 21 Legislazioni Caratteristiche legislative Portogallo Spagna Leggi / decreti sullo spam No. Disegno di legge allo studio Si Titolo e data della legge - Legge sui servizi per la società dell’informazione, giugno 2002 e Legge sulle telecomuncazioni, novembre 2003 Definizione / ampiezza - Comunicazione indesiderate in forma elettronica Opt-in – Opt-out – nulla Opt-out / Opt-in nel disegno di legge Opt-in Eccezioni all’opt-in o opt-out - Relazioni preesistenti Etichettatura richiesta? - - Identificatore richiesto? - - Opt-out rinchesto nei messaggi? - - Lista not-spam richesta? - - Proibizione di false credenziali nelle intestazioni dei messaggi? - - Proibizione degli spamware? - Si Centro Studi MIT SPAM 22 Legislazioni Caratteristiche legislative Svezia Svizzera Leggi / decreti sullo spam Si No. Disegno di legge allo studio Titolo e data della legge Legge sulle telecomunicazioni Legge sulle telecomunicazioni, e legge contro la concorrenza sleale Definizione / ampiezza - Tutte le forme di messaggi elettronici Opt-in – Opt-out – nulla Opt-in Opt-in Eccezioni all’opt-in o opt-out - Relazioni preesistenti Etichettatura richiesta? - No Identificatore richiesto? - Si Opt-out rinchesto nei messaggi? - Si Lista not-spam richesta? - No Proibizione di false credenziali nelle intestazioni dei messaggi? - No Proibizione degli spamware? - No Centro Studi MIT SPAM 23 Legislazioni Caratteristiche legislative Gran Bretagna Stati Uniti Leggi / decreti sullo spam Si. Regolamento sull’Opt-in in vigore dal 11.12.2003 Si Titolo e data della legge Regolamento sulle comunicazione elettroniche e la privacy (Direttiva CE), 2003 1 gennaio 2004 Definizione / ampiezza Messaggi e-mail commerciali indesiderati e messaggi di testo verso cellulari Messaggi e-mail commerciali indesiderati Opt-in – Opt-out – nulla Opt-in Opt-out Eccezioni all’opt-in o opt-out Esenzione dell’Opt-out in caso di relazione con il cliente. Le persone giuridiche non rientrano nella nuove regole per l’Opt-in Etichettatura richiesta? Si Si Identificatore richiesto? Si Si Opt-out rinchesto nei messaggi? Si Si Lista not-spam richesta? Non obbligatorio Da discutere a giugno 2004 Proibizione di false credenziali nelle intestazioni dei messaggi? Si Si Proibizione degli spamware? No Proibito dalla legge Centro Studi MIT SPAM 24 Soluzioni Ogni singolo approccio ha i suoi limiti. Il legislativo si scontra con il fatto che il mittente nasconde la sua identità. L’auto-regolamentazione si scontra con l’adesione volontaria degli spammer ai codici di comportamento. L’educativo si scontra con il grosso numero di persone da formare e informare. Il tecnologico si scontra con la necessità di sviluppare in continuazione nuove soluzioni per migliorare le prestazioni dei filtri. Centro Studi MIT SPAM 25 Soluzioni Finora le contromisure prese non sembrano aver rallentato la crescita del fenomeno. È necessario allora un approccio multi dimensionale per contrastare efficacemente il fenomeno dello spam, in cui tutti gli approcci vengono messi in atto in modo coordinato. È altresì fondamentale un coordinamento internazionale, dato che lo spam non conosce confini. Centro Studi MIT SPAM 26