PAOLO RUSSO. -
Al Ministro dell'interno, al Ministro dello sviluppo economico.
- Per sapere - premesso che:
gli ultimi anni si sta enormemente diffondendo il fenomeno dello spamming e quello del phishing;
lo spamming è l'invio di grandi quantità di messaggi indesiderati (generalmente commerciali) non richiesti nelle caselle postali (mailbox) di tanti utenti, oppure consiste nel collocare lo stesso messaggio in diverse liste, forum o newsgroup così che la stessa persona lo riceva più volte;
se è fastidioso ricevere posta indesiderata (la cosiddetta junk mail), la reazione è ancora più intensa quando si tratta di posta elettronica;
nel caso della posta tradizionale, è possibile buttare via la lettera di vendita che non interessa, senza neanche aprire la busta o dopo aver dato una rapida occhiata al contenuto. Al contrario se arriva un messaggio nella posta elettronica si è costretti a leggere il messaggio prima di capire che è indesiderato;
il fastidio, la perdita di tempo, e l'invasione del nostro spazio privato sono ancora più fastidiose e irritanti;
l'invio di messaggi di posta elettronica non sollecitati, specialmente se contenenti materiale promozionale c/o commerciale, costituisce una violazione delle norme di Netiquette in vigore in Italia;
la sicurezza è uno dei principali problemi di tutti coloro che utilizzano internet per gestire attività lavorativa ed effettuare le varie operazioni;
gli indirizzi di posta elettronica recano dati di carattere personale da trattare nel rispetto della normativa della privacy (articolo 7 del nuovo codice in materia di protezione dei dati personali, Gazzetta Ufficiale 29 luglio 2003, serie generale n. 174, Supplemento ordinario n. 123/L: decreto legislativo 30 giugno 2003, n. 196);
tale normativa sulla privacy, garantisce che «il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale»;
il dato personale è «qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale». Tra questi dati, come stabilito dal garante per la protezione dei dati personali a più riprese, c'è l'indirizzo di posta elettronica, che come tale è soggetto alla tutela della legge;
l'11 gennaio 2001 il dottor Rodotà, l'allora Garante per la protezione dei dati personali, ha stabilito ufficialmente che, in mancanza di esplicito e preventivo consenso, è illegittimo utilizzare e-mail prelevate da newsgroup, forum, pagine web, mailing-list et simila in quanto gli stessi non sono soggetti ad alcun regime giuridico di piena conoscibilità da parte di chiunque (ovvero non fanno parte dei cosiddetti elenchi pubblici), ed il loro uso per l'invio dei messaggi pubblicitari senza il consenso informato e preventivo degli interessati viola la legge. Se poi il trattamento dei dati è effettuato per trarne profitto o per arrecare un danno ad altri si commette un illecito penale;
altro fenomeno strettamente correlato allo spam è il cosiddetto phishing «spillaggio (di dati sensibili)». Si tratta di un'attività illegale che sfrutta una tecnica di ingegneria sociale, utilizzata per ottenere l'accesso ad informazioni personali o riservate con la finalità del furto di dati personali dell'utente, ad esempio numeri di carta di credito, password, dati relativi al proprio conto mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici;
phishing avviene attraverso l'invio di messaggi che imitano grafico e logo dei siti istituzionali, per cui l'utente è ingannato e portato a rivelare i propri dati personali;
il processo standard delle metodologie di attacco di «spillaggio» può riassumersi nelle seguenti fasi:
a) l'utente malintenzionato (phisher) spedisce al malcapitato e ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di un'istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste on line a cui è iscritto);
b) l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, e altro) oppure un'offerta di denaro;
c) l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione;
d) il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare un'autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato;
e) il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come «ponte» per ulteriori attacchi;
normalmente, il phisher non conosce se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato. Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell'e-mail che contiene il tentativo di spillaggio;
per la normativa italiana, gli istituti di credito non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al risarcimento delle somme prelevate indebitamente a causa di una violazione dell'account internet dei clienti, o della clonazione dei loro bancomat o carte di credito;
un recente provvedimento del GUP di Milano, del 10 ottobre 2008, ha stabilito che solo l'esistenza di un preciso obbligo contrattuale in capo alla banca di tenere indenne il cliente da ogni tipo di aggressione alle somme depositate potrebbe attribuire all'ente la qualifica di danneggiato dal reato;
gli utenti di internet explorer possono utilizzare un filtro anti-spillaggio che utilizza una blacklist, e confronta gli indirizzi di una pagina web sospetta con quelli presenti in una banca dati mondiale e centralizzata, gestita da Microsoft e alimentata dalle segnalazioni anonime degli utenti stessi;
mancano invece banche dati di questo tipo condivise dai vari produttori di browser, pubbliche o istituite presso autorità che hanno la competenza sulle tematiche di internet e del web (in Italia, la Polizia postale) -:
se e quali iniziative urgenti i Ministri intendano assumere per porre freno e bloccare tale dilagante fenomeno e garantire la sicurezza dei cittadini che utilizzano internet e che hanno diritto ad essere protetti quando operano nella rete.
(4-04303)