Non è una vostra impressione: lo spam, la pubblicità indesiderata diffusa tramite e-mail, è davvero in aumento vertiginoso e sta rendendo inutilizzabile e inguardabile la posta di Internet. Ogni volta che apro la mia casella di posta, la metà dei messaggi è costituita da offerte di improbabili mutui agevolati, metodi per “guadagnare davvero con Internet”, suonerie per cellulari, prodotti per rassodare parti anatomiche che non posseggo e allungarne altre che nel loro piccolo stanno bene come stanno, e così via. Per non parlare degli inviti ad assistere ad esibizioni di atletica femminile in cui il cavallo, ahimè, non è un attrezzo ginnico.
Sono cose che un utente adulto e vaccinato liquida con un’alzata di spalle e una cliccata del mouse sul tasto di cancellazione, ma che fare per i minori? Grazie anche ai programmi di posta che visualizzano direttamente le immagini, dar loro una casella di posta personale significa esporli brutalmente a concetti che dovrebbero imparare dai genitori, non dalle GIF a scatti di un pornografo.
Grazie allo spam farcito di grafica, anche gli adulti si trovano a doverci pensare due volte prima di aprire la propria posta elettronica in un ambiente pubblico, ad esempio in ufficio o in un cybercafé. Oltretutto molto di questo spam contiene i cosiddetti dialer, ossia programmi che cambiano di nascosto il numero di telefono composto dal modem per collegarsi a Internet e lo sostituiscono con un numero a pagamento salatissimo tipo i vecchi 144 e 166 o i nuovi 899 e 709.
Molto fumo, poco arrosto
Di rimedi contro questo fiume di immondizia se ne propongono tanti: filtri da configurare nel vostro programma di posta, filtri centralizzati presso i fornitori d’accesso alla Rete, programmi accessori, blacklist, whitelist… Il guaio è che nessuno di essi funziona veramente.
Il motivo del loro insuccesso è semplice e inevitabile: noi esseri umani sappiamo distinguere con certezza lo spam dai messaggi regolari esaminandone il contesto, un computer no. Un filtro automatico deve basarsi su criteri oggettivamente misurabili: un mittente che abbia più di quattro cifre nel proprio nome, l’uso di parole volgari o di parole chiave (“Viagra”, “Claudio Tommasi”) o frasi tipiche (“questo non è spam”, “click here to be removed”), la presenza di un certo numero di punti esclamativi, e chi più ne ha più ne metta.
Tuttavia questi criteri non garantiscono di identificare sempre e solo spam. Bloccheranno, per esempio, anche i messaggi legittimi dei vostri amici inclini al turpiloquio o ansiosi di saperne di più sulle celebri pastiglie blu e le richieste di chiarimenti dei vostri colleghi a proposito del celebre “MLM American System”. Al contrario, lasceranno passare con disinvoltura le pubblicità degli spammer più furbi, ossia quelle che contengono per esempio soltanto un’immagine, magari molto eloquente, e un link che porta al sito del servizio reclamizzato.
Le blacklist, ossia “liste nere” di indirizzi noti per essere spammer, sono una totale perdita di tempo: nessuno spammer che si rispetti usa due volte lo stesso indirizzo (spesso fittizio) come mittente. Le whitelist, vale a dire “liste bianche” contenenti gli unici indirizzi dai quali siete disposti ad accettare posta (quelli di amici, parenti e colleghi), sono efficacissime nel tenere lontani gli spammer, ma hanno un difettuccio: tengono lontani anche gli utenti legittimi che cambiano indirizzo senza avvisarvi e richiedono una gestione manuale pesantissima, dato che devono contenere ogni singolo indirizzo che desiderate autorizzare.
Se usate una whitelist, inoltre, difficilmente farete nuove conoscenze online, dato che può scrivervi soltanto chi vi conosce già. In un contesto aziendale, usare una whitelist significherebbe rifiutare le richieste di contatto dei nuovi clienti.
Un metodo che va assolutamente evitato è abboccare alle varie diciture “clicca qui se non vuoi più ricevere questi messaggi” che compaiono spesso nello spam: sono tranelli. Non fareste altro che confermare allo spammer che il vostro indirizzo è attivo, per cui vi trovereste bombardati da una dose ancora maggiore di spam.
Contromisure legali
Se i rimedi tecnologici annaspano, quelli legali sono anche peggio. Non è difficile risalire ai veri mittenti dello spam: l’indirizzo del mittente indicato nello spam è quasi sempre fasullo, ma il link al sito reclamizzato no. Usando gli strumenti della Rete, come i vari Whois, dal nome del sito si possono ricavare facilmente le generalità degli intestatari. Se uno spammer cerca di mascherare il nome del sito, esistono strumenti online appositi, come SamSpade.org, che lo decifrano comunque.
Il problema è che una volta scovati gli spammer, colpirli con un’azione legale costa e spesso è assolutamente impraticabile. Può avere vagamente senso contro un sito italiano o europeo, per il quale esiste una procedura ben documentata e a basso costo (con tanto di rimborso) oltre al ricorso al Garante per la Privacy, ma la maggior parte dello spam è di provenienza extracomunitaria, come documentato dalle statistiche di SpamCop, e in tal caso non esiste nessun rimedio legale economicamente sensato.
Chiudere la stalla a buoi scappati…
Il difetto comune a tutte queste strategie è che agiscono a posteriori, ossia dopo che lo spammer si è procurato il vostro indirizzo di e-mail. Ma se riuscite a non far sapere agli spammer il vostro indirizzo, non possono bersagliarvi.
La prevenzione è infatti la migliore arma antispam. Per usarla bene, occorre capire come fa uno spammer a sapere che esistete. Gli spammer usano i cosiddetti spambot, ossia programmi automatici che esplorano le pagine del Web, i newsgroup e ogni altro anfratto della Rete alla ricerca di qualsiasi cosa che somigli a un indirizzo di e-mail. Pertanto pubblicare il proprio indirizzo in una pagina Web o in coda ai messaggi di un forum, di una chat o di un newsgroup equivale a condannarsi alla lenta tortura dello spam.
C’è chi spera di confondere gli spambot mascherando il proprio indirizzo di e-mail, ad esempio inserendovi parole come “nospam” e poi dando istruzioni su come riottenere il vero indirizzo: per esempio, l’indirizzo [email protected] diventa [email protected] e viene seguito da diciture come “rimuovi nospam per rispondermi”. Altri preferiscono sostituire la chiocciolina con il suo equivalente inglese “at”. I più creativi usano tecniche sofisticate come l’Email obfuscator per convertire il proprio indirizzo in una sequenza di codici che dovrebbero nasconderlo agli spambot ma lasciarlo ben visibile agli utenti. Ma gli spammer affinano ogni giorno le proprie armi, per cui questi camuffamenti hanno vita breve.
… o non farli scappare?
Lasciate stare questi mezzucci. La regola d’oro, semplice ed elegante, è questa: se potete, non pubblicate mai il vostro indirizzo di e-mail. Punto e basta. Non mettetelo nelle vostre pagine Web, non usatelo nei newsgroup, non datelo ai siti che ve lo chiedono se non danno serie garanzie di rispettare la vostra privacy, e non immettetelo nei programmi che scaricate da Internet e nella configurazione del vostro browser.
Date questo indirizzo soltanto ai vostri amici e colleghi, con preghiera di non diffonderlo ad altri. Usate, e fate usare, la funzione BCC (o “copia carbone nascosta”) del vostro programma di posta (ce l’ha anche Outlook, ma occorre attivarla perché normalmente è appunto “nascosta”) invece del consueto CC o “copia carbone”. In questo modo chi manda una circolare o una catena di sant’Antonio via e-mail non la accompagna con una ghiotta lista di indirizzi in chiaro.
Per i pochi casi in cui non proprio potete fare a meno di indicare un indirizzo di e-mail, procuratevi un indirizzo “sacrificabile” da un provider alternativo (per esempio Hotmail). Diventerà il vostro collettore di spam e terrà pulito il vostro indirizzo primario.
Per consentire ai minori di corrispondere senza subire bombardamenti di pornografia, attivate per loro un indirizzo di e-mail individuale, separato dal vostro, con l’istruzione di darlo soltanto agli amici fidati, che lo dovranno considerare segreto. Se possibile, inoltre, usate programmi di posta che non visualizzano automaticamente le immagini oppure disattivate la loro visualizzazione nel programma che usate attualmente.
Davvero basta così poco per bloccare la pubblicità-spazzatura? Sì. Per questo articolo ho aperto una dozzina di indirizzi di posta e li ho affidati a un numero ristretto di amici e colleghi, senza mai pubblicarli sul Web, nei forum e nei newsgroup. Per diverse settimane ho corrisposto con loro tramite questi indirizzi. Spam ricevuto: zero. Per verificare il metodo, ho poi pubblicato qua e là sul Web e nei newsgroup la metà di questi indirizzi. Risultato: in pochi giorni, gli indirizzi pubblicati hanno iniziato a ricevere spam; gli altri sono tuttora indisturbati.
Pertanto, se il vostro indirizzo attuale è subissato di spam, fate lo sforzo di cambiarlo e tenetelo riservato. Noterete subito il beneficio. L’unico modo in cui uno spammer potrà scoprirvi è se invia i suoi messaggi a indirizzi generati a caso, ma è una tecnica poco diffusa perché onerosissima per gli spammer e facilmente bloccabile adottando uno username (la parte prima della chiocciolina) lungo dieci caratteri o più. Infatti indovinare uno username così lungo provando tutte le possibili permutazioni di dieci caratteri richiede un numero di tentativi insostenibilmente elevato anche per un sistema automatico.
Sconfiggere gli spammer per sfinimento
È ovvio che tenere riservato il proprio indirizzo non è una soluzione adatta a tutti. Non va bene per chi ha un indirizzo che deve essere pubblico, come per esempio il sottoscritto oppure un’azienda (che può comunque tenere riservati gli indirizzi interni e divulgarne soltanto uno, riducendo drasticamente il carico di spam). Ma è una soluzione semplice, gratuita e ideale per la maggior parte degli utenti privati ed è un ottimo passo avanti, che può contribuire a sradicare lo spam per sfinimento.
Non voglio certo prendere le difese degli spammer, ma il loro è già adesso un mestiere difficile. A fronte di un numero enorme di invii, lo spam produce (comprensibilmente) risposte molto modeste: le stime che circolano parlano di un return rate (tasso di risposta da parte del destinatario) di uno su centomila. Se questo miserrimo tasso di risposta si riduce ulteriormente grazie al fatto che gli utenti adottano in massa queste semplici contromisure comportamentali, l’attività dello spammer diverrà economicamente insostenibile, costringendolo a chiudere bottega.
È quindi inutile attendere che piovano dall’alto provvedimenti legislativi obsoleti in partenza o soluzioni tecnologiche macchinose: occorre invece che sia il singolo utente a mobilitarsi. La Rete si dimostra ancora una volta un organismo che si autoregola dal basso.