Interviste/ Difendiamo l'antispam in Europa

Parla Furio Ercolessi, membro del comitato esecutivo di EuroCAUCE, che spiega perché la decisione che in queste ore si sta prendendo a Strasburgo è di grande rilievo. E perché l'opt-out voluto da radicali e industria non è percorribile
Parla Furio Ercolessi, membro del comitato esecutivo di EuroCAUCE, che spiega perché la decisione che in queste ore si sta prendendo a Strasburgo è di grande rilievo. E perché l'opt-out voluto da radicali e industria non è percorribile


Roma – In queste ore l’Europa si sta prendendo una decisione di grande rilievo: accettare o meno l’opt-in, ovvero il diritto per l’utente-cittadino di non ricevere, da imprese o partiti, posta elettronica non richiesta.

Per capire quanto sia rilevante il controverso problema abbiamo parlato con Furio Ercolessi (*), antispammer storico e membro del comitato esecutivo dell’organizzazione europea contro l’email abusiva EuroCAUCE .

Punto Informatico: Marco Cappato, europarlamentare radicale, ha fatto approvare una prima relazione che sostanzialmente chiede che l’Unione Europea accetti il concetto di opt-out in materia di posta elettronica. Chiede cioè che le imprese o i partiti possano inviare almeno una email a qualunque utente internet e che questo possa chiedere la cessazione di successivi invii. Che ne pensi? Ti sembra una strada praticabile?

Furio Ercolessi: Una strada del genere è irta di difficoltà. La più importante ha a che fare con la crescita di Internet, la natura uno-a-molti dello spam, e il costo molto basso associato alla trasmissione di un singolo messaggio. Ciò fa sì che, in uno scenario opt-out, ogni mailbox sia destinata a ricevere un numero sempre crescente di comunicazioni.
In altre parole, questo approccio non scala con la crescita di Internet e non può che portare a congestione. Non mi riferisco tanto a congestioni di banda o server, ma alla capacità di ciascuno di noi di processare informazione giunta via email.

Nell’Unione europea ci sono circa 20 milioni di imprese. Se solo l’1% di queste decidesse di mandare anche un solo messaggio all’anno a ogni cittadino ci troveremmo a dover gestire circa 500 messaggi giornalieri, o in media uno al minuto per le 8 ore lavorative di una giornata. In uno scenario del genere cosa dovremmo fare, spendere l’intera giornata lavorativa a spedire messaggi per disiscriversi da liste, mentre nel frattempo continuano ad arrivare altri messaggi da nuove liste sempre diverse? E tutto questo senza tener conto delle sorgenti situate negli altri continenti, e del fatto che una parte della giornata dovrebbe restare destinata alla “vera” email personale, e magari anche a svolgere altro lavoro!

D’altra parte, tutto ciò è ben conosciuto alla Commissione Europea, la cui proposta per la nascente direttiva sulla E-Privacy (nota con la sigla COM(2000)385) prevede uno schema opt-in. COM(2000)385 è il risultato di un lavoro molto serio e durato anni da parte dei gruppi di lavoro che si occupano di Protezione dei Dati in seno all’Unione Europea.
Questa proposta ha avuto il benestare sia della Commissione per l’Ambiente, i Consumatori e la Salute Pubblica, che di quella per l’Industria, il Commercio Esterno, la Ricerca e l’Energia. Soltanto la Commissione per le Libertà e i Diritti dei Cittadini, la Giustizia e gli Affari Interni, di cui Cappato è portavoce, ha ritenuto di dover presentare un emendamento per sostituire l’opt-in con l’opt-out nel momento in cui la Direttiva è a un passo dal voto.

PI: Secondo Cappato ed altri, impedire l’invio di una email di “approccio” significa limitare la libertà di espressione e le opportunità dell’internet. L’antispam rappresenta un pericolo in questo senso?

FE: Per sfruttare le opportunità di Internet e preservare la validità dell’email come strumento di comunicazione fra le persone, è drammaticamente necessario controllare la quantità di informazione in transito, così come ad esempio parlare uno alla volta è necessario in qualsiasi assemblea affinché l’evento abbia un senso e non si riduca a puro caos.
La disciplina è necessaria affinché il sistema funzioni. Fra tutte le regole che si possono adottare, quella di lasciare scegliere a ciascuno che cosa ricevere è ottima: semplice, non discriminatoria, indipendente da contenuti o dalla “forza” del mittente, e quindi è in questo senso la scelta più equa e che assicura longevità all’email come strumento di comunicazione indipendentemente dalla crescita di Internet.

Chi vuole costruirsi un’audience per la propria lista dovrà attrarre l’attenzione dei potenziali iscritti con altri metodi, con costo per contatto più elevato che via spam, ma per questo motivo probabilmente ristretti già in partenza a un sottoinsieme della popolazione. Questo è un bene, non un male. La libertà di espressione non è lesa, ma viene salvaguardato il diritto di ciascuno di noi di utilizzare un servizio utile, di disporre del proprio tempo come desiderato, di non pagare di propria tasca la pubblicità altrui.


PI: Tra i sostenitori dell’opt-out ci sono le aziende del direct marketing, che sperano di poter contattare più facilmente i propri potenziali clienti. Non sarebbe comodo per ciascuno di noi ricevere in mailbox offerte e proposte da imprese che conoscono i nostri gusti o interessi, salvo mantenere il diritto di chiedere loro di non inviarci più offerte se così vogliamo?

FE: Chi conosce i nostri gusti o interessi più di noi stessi? O lasciamo che i nostri gusti siano decisi da un computer che analizza i nostri acquisti effettuati con la carta di credito, o i siti web che abbiamo visitato? Ci è permesso cambiare gusti o interessi, o una volta etichettati riceveremo a vita offerte e proposte su un certo argomento?

Non tutte le aziende del direct marketing sostengono l’opt-out, che ormai in buona parte dei casi genera solo irritazione e fastidio nel cittadino. L’azienda di direct marketing basato sull’opt-out è destinata a vedere deteriorarsi la propria reputazione. In molti casi si tratta di aziende poco serie, che ingannano i propri clienti promettendo loro invii promozionali a enormi liste di indirizzi spacciati come “opt-in”, ma che in realtà sono solo indirizzi rastrellati sulla rete senza consenso dei destinatari. Spesso sono meteore che esistono per brevi periodi.
Le aziende di direct marketing più serie, e intenzionate a restare sul mercato sul lungo termine, appoggiano l’opt-in. La Commissione per l’Industria e il Commercio ha analizzato il mercato, sentito diversi pareri e infine appoggiato la proposta opt-in.

PI: La strada legislativa che si sta percorrendo in Europa potrebbe davvero servire a regolare il settore? Si può ridurre lo spam con una legge, seppure europea?

FE: La legislazione europea difficilmente avrà un impatto immediato sullo spam di “basso profilo”, quello inviato falsificando le intestazioni, abusando di servers altrui e rendendo assai difficoltosa l’identificazione del mittente. La lotta contro questo tipo di spam si svolge soprattutto sul fronte tecnico, e nella maggior parte dei casi l’origine è negli USA.
Può però ridurre drasticamente quello di “alto profilo”, dove il mittente è ben in chiaro e il sistema di trasmissione utilizzato è “pulito”. Un invio massivo di email a indirizzi che non l’hanno richiesto, effettuato in violazione di una legge, si tradurrebbe in costi e caduta di immagine per chi lo effettua.

Una legislazione pro-spam metterebbe inoltre gli ISP in una posizione difficoltosa: soddisfare i propri clienti sommersi da junk mail inserendo nei filtri sorgenti note di UCE potrebbe indurre alcuni mittenti ad intraprendere azioni a tutela di ciò che potrebbero ritenere essere un loro diritto in quanto “legale”.
Internet è un insieme di reti private interconnesse, e il principio per cui ciascuno è libero di scegliere quale traffico accettare all’interno della propria rete è fuori discussione. Tuttavia il solo lievitare dei costi legali associati a vertenze associate a filtri o blacklist potrebbe alla lunga dissuadere gli ISP dall’adottare tecniche di filtraggio aggressive, e la quantità di spam nelle mailbox potrebbe aumentare per questo motivo.

PI: Molti si lamentano per le troppe email indesiderate che arrivano in mailbox. Ci sono servizi online anche italiani che con un solo clic iscrivono l’utente, o i suoi amici, a una o più mailing list senza dichiararlo con la dovuta chiarezza. Ci sono altri servizi che rendono molto complicato cancellare il proprio indirizzo dalle loro mailing list. Cosa ne pensi di queste pratiche? Sono in molti a “cadere nella trappola”?

FE: Una legislazione opt-in aiuterebbe anche in questi casi. I gestori di mailing list con metodi di iscrizione “a singolo clic”, e quindi abusabili, sarebbero maggiormente motivati a implementare degli schemi sicuri per non mettersi fuori legge, e automaticamente si ridurrebbe anche il numero di spammers che usano questo schema come copertura (“qualche tuo amico birichino ha iscritto il tuo indirizzo: non è colpa nostra”).
Ovviamente non si sta parlando degli operatori seri, che sono dotati di meccanismi di conferma delle iscrizioni.


PI: L’Unione Europea ha calcolato in 10 miliardi di euro l’anno il costo dello spam. C’è un modo per l’utente per capire e verificare quanto costa a lui ricevere email indesiderate?

FE: Certo: deve misurare il tempo necessario a scaricare i messaggi dal server, visionarli, capire di che si tratta e scartarli (se non ritiene di fare nulla per contrastare il loro aumento), oppure segnalarli a qualcuno (se ritiene di spendere un po’ di tempo extra per, ad esempio, impedire la ricezione di futuro spam da quella stessa sorgente).
Dovrà stimare il tempo complessivo perso in un anno e convertirlo in un costo. A questo andranno eventualmente aggiunti costi legati al traffico dati associato allo spam, se il contratto è a consumo.

Per le aziende ci sono inoltre dei costi nascosti associati a riduzione di produttività dei dipendenti dovuta all’eccesso di email inutile.

È probabilmente saggio anche aggiungere una frazione del costo del canone di abbonamento all’ISP a copertura dei costi sostenuti dall’ISP per veicolare lo spam e mantenere eventuali filtri. Una frazione dell’ordine del 10% del canone non è probabilmente troppo lontana dalla realtà (si veda ad esempio
http://www.spamcon.org/about/news/releases/20010612.shtml , in cui il costo complessivo dello spam – i 10 miliardi di Euro di cui sopra – è stimato essere circa il 10% del costo operazionale complessivo di Internet).

PI: Un utente vittima di spam come può difendersi? Come impedire che uno spammatore continui ad occupare la casella di posta elettronica? Che strumenti ci sono?

FE: C’è una difesa passiva (filtraggio) e una attiva (segnalazioni).

Per quanto riguarda la prima, sono stati sviluppati diversi metodi di filtraggio: blacklist locali, blacklist centralizzate accessibili via rete, identificazione di messaggi con “anomalie” che caratterizzano certi tipi di spam. I metodi sono molti e diversi, perché ci sono diverse categorie di spam. In tutti i casi si tratta di sistemi che richiedono un aggiornamento continuo alla luce degli eventi osservati in rete, e la cui gestione richiede competenze specialistiche.

La difesa attiva si basa invece sul fatto che lo spam è esplicitamente vietato dalle condizioni contrattuali di tutti i principali ISP, e inoltre uno spammer in operazione sulla rete rappresenta spesso una fonte di perdita per l’ISP a causa del suo eccessivo utilizzo di risorse.
Le segnalazioni quindi comportano spesso l’interruzione nell’erogazione di servizi allo spammer. Ma quando archiviate in siti pubblici, costituiscono anche una indicazione agli spammer (o a chi fornisce loro indirizzi) che quell’indirizzo o dominio è “fonte di guai” e quindi va evitato. Dopo un anno o due di segnalazioni pubbliche di spam diretto a un dominio si può constatare una diminuzione della quantità di junk mail ricevuta.

L’utente “non tecnologico” che viene bersagliato da spam non ha probabilmente altra scelta che affidare il proprio indirizzo o dominio a un service provider attento a queste problematiche.

Per un ISP, la lotta allo spam è accompagnata inevitabilmente da un aumento delle chiamate al supporto clienti, ad esempio per problemi di mail legittime bloccate dai filtri. Questo può avvenire ad esempio quando l’utente riceve email inviate da qualcuno che utilizza un server aperto utilizzato anche da spammers: i filtri bloccano il messaggio perché proviene da un indirizzo IP osservato essere sorgente di spam.
Il tecnico che analizza il caso deve essere in grado di interpretare correttamente intestazioni SMTP spesso pesantemente falsificate, e quindi difficilmente potrà essere un operatore helpdesk di primo livello.
I costi di personale associati non sono quindi trascurabili e devono essere in qualche modo coperti. Per questo motivo, difficilmente un ISP a basso costo o gratuito sarà in grado di adottare tecniche di filtraggio aggressive accompagnandole col livello di supporto richiesto.

intervista a cura di Paolo De Andreis

(*) Furio Ercolessi è ricercatore in fisica della materia computazionale presso la SISSA di Trieste, e uno dei fondatori dell’ISP Spin.
Dal 1981 amministra sistemi basati su Unix, e ha utilizzato reti accademiche come Earnet e Hepnet prima che Internet apparisse in Italia nel 1988.
Nel 1995 fonda Spin assieme ad alcuni colleghi e divide il suo tempo fra Internet e ricerca. È attualmente responsabile del routing e della sicurezza della rete Spin, e della organizzazione dei servizi di posta.
Ha sempre detestato lo spam, e investito una buona frazione del suo tempo a combatterlo su molteplici fronti.
Dal 1999 fa parte del Comitato Esecutivo di EuroCAUCE .

Link copiato negli appunti

Ti potrebbe interessare

05 09 2001
Link copiato negli appunti