***
Sommario: 1. Introduzione ad un problema
giuridico; 2. Internet: crocevia di dati personali; 3. L'economia di
mercato: "terreno di coltura" di un parassita digitale; 4. Dal "brodo
primordiale" della distribuzione del software in Rete nasce una
particolare moneta di scambio: i dati personali; 5. Un moderno enigma
giuridico di nome "spyware"; 6. Spyware: argomenti contro una pratica
commerciale illegale.
1. Introduzione ad un problema giuridico
Come una micidiale arma stealth il software spyware[1] si muove
all'interno del "computer bersaglio" pronto a colpire, inviando dati ed
informazioni a sconosciuti ricevitori in perenne ascolto nella rete,
all'insaputa dell'ignaro internauta.
La sua azione è velata dalla normalità e dalla genericità delle
quotidiane operazioni compiute utilizzando l'elaboratore elettronico.
Questa quotidianità rappresenta l'unico schermo conoscibile e visibile
da un operatore “comune", dotato di una cultura informatica generalmente
limitata ed indirizzata ai programmi applicativi più comuni; vale a dire
all'utente medio le cui conoscenze informatiche sono strettamente legate
alla propria attività lavorativa e ad uno o più determinati interessi
personali (videogiochi, programmi di grafica, editor di varia natura,
lettori MP3...) .
Il buio che circonda questi piccoli e silenziosi programmi informatici
impone di svolgere alcune riflessioni in merito :
1. ai “beni” oggetto della ricerca da parte del software spyware;
2. alle modalità tecniche ed informatiche attraverso cui i predetti
strumenti concretamente operano[2];
3. alle implicazioni sociali e giuridiche che ruotano attorno al
rapporto software-house / utilizzatore finale del programma informatico
ospite del "parassita" spyware.
2. Internet: crocevia di dati personali
Il primo momento da analizzare è quello relativo alla ricerca dei “beni”
di cui il software spyware è in perenne e spasmodica ricerca.
La diffusione di Internet pone allo studioso e al pratico del diritto
alcuni difficili quesiti che diventano enigmatici nel momento in cui si
considera questa nuova espressione della tecnologia informatica in
rapporto alla tutela dei dati personali.
Internet nasce come una struttura libera e si sviluppa con estrema
capillarità, trovando sempre maggiori consensi, proprio grazie a questo
suo carattere di luogo dove poter condividere, gratuitamente,
informazioni di varia natura.
Il problema nasce nel momento in cui questa estrema libertà si pone in
rapporto con il diritto a vedere tutelati i propri dati personali
presenti in rete che, per vari motivi, potrebbero essere utilizzati e
sfruttati per scopi ignorati dal legittimo titolare.
La diffusione di questa realtà rende evidente, con tratto grave, la
difficoltà di “perimetrare” i confini che intercorrono tra la libertà di
inviare/ricevere e cercare/trovare informazioni, da un lato, e la tutela
della riservatezza della persona e dei dati ad essa appartenenti,
dall’altro.
La vasta zona d’ombra è provocata dal conflitto, difficilmente
risolvibile con gli attuali strumenti giuridici, tra due contrapposte
esigenze, entrambe meritevoli di interesse e protezione da parte
dell’ordinamento giuridico[3]:
1. l’estremo vantaggio economico, sociale e culturale che la libera
circolazione delle informazioni riesce a produrre;
2. l’estremo rischio della riduzione del singolo individuo ad un
ritratto virtuale ottenuto dal rinvenimento e dal trattamento di dati
personali sparsi per la rete o ottenuti, in vario modo, dal soggetto[4].
Il rischio di non poter controllare l’utilizzo dei dati personali
inseriti nella rete è congenito alla stessa natura dello strumento
Internet. Uno sguardo all’anatomia della “rete delle reti” può aiutare a
comprendere la sua intrinseca insicurezza[5].
La caratteristica principale di Internet è quella di essere una rete
aperta in cui tutti possono connettersi, per i fini più vari,
introducendo e/o estraendo informazioni.
I dati personali inseriti per scopi determinati e conosciuti
dall’utente, in tempi e situazioni diverse, possono essere facilmente
rintracciati grazie all’utilizzo di numerosi e sempre più specializzati
motori di ricerca.
I dati, una volta inseriti nella rete, si distaccano dal fine per il
quale sono stati generati ed acquistano una vita propria, potendo essere
richiamati ed ordinati a seconda dell’interrogazione che il
procacciatore di informazioni propone, tramite i motori predetti, alla
rete.
Inoltre, i legami ipertestuali con cui è possibile passare da un sito
all’altro, portano con sé un vassoio di dati ed informazioni sui nostri
gusti ed interessi utili ai gestori del sito o del servizio ed
utilizzabili per scopi ignorati dall’utente che li ha generati.
La “profilazione dell’utente”, ossia la messa in evidenza delle linee
costituenti gli interessi di ogni singolo utilizzatore della rete,
induce a compiere alcune riflessioni.
«Tuttavia, è soprattutto nell’ambito delle indagini di mercato che la
tecnica dei profili conosce una delle più significative e proficue
applicazioni. L’elaborazione delle strategie di marketing registra anzi
uno dei suoi momenti cruciali proprio nella definizione di profili di
consumatori-tipo.»[6].
In estrema sintesi, la profilazione consente un duplice vantaggio:
1. tramite l’elaborazione di alcuni dati (ad esempio: età, sesso, titolo
di studio, professione, gusti personali ) il produttore riesce ad
orientare la produzione sulla base del risultato scaturente da tali
indagini, ottenendo una migliore allocazione delle proprie risorse
conoscendo in anticipo i gusti, gli interessi e le probabili reazioni al
prodotto dei consumatori “bersaglio”;
2. ottenere un incremento delle vendite tramite una pubblicità mirata e
quanto più “personale” possibile, ritagliando i messaggi di promozione
dei propri prodotti sul profilo del destinatario futuro e probabile
acquirente.
La profilazione dell’utente telematico «sembra rispondere all’attuale
trasformazione del sistema di produzione e distribuzione delle merci, da
sistema prevalentemente di produzione di massa a sistema di
personalizzazione i massa»[7].
Le nuove dinamiche del mercato sono sempre più dirette alla ricerca di
beni corrispondenti alle esigenze dei singoli e sempre meno segnate
dall’analisi dei gusti di una massa informe e non definita.
L’incisività di questi nuovi approcci commerciali è direttamente
proporzionale al grado di pianificazione utilizzato nellelaborazione del
piano pubblicitario di attacco ai possibili clienti.
L’elemento necessario e discriminante in tali pianificazioni è
rappresentato dal numero e dalla qualità delle operazioni di
archiviazione, elaborazione e catalogazione di dati utili.
Internet, assieme ad altre espressioni delle nuove tecnologie, ha
notevolmente contribuito a rendere meno onerose le operazioni di
raccolta e gestione delle informazioni necessarie alla creazione di un
profilo del consumatore “tipo” del prodotto da commercializzare.
Una seconda caratteristica della rete è data dalla sua congenita indole
interattiva.
Internet necessita, a differenza della radio o della televisione, di una
partecipazione attiva dell’utente che ne solleciti l’attivazione e ne
provochi la produzione di notizie.
E’ l’utilizzatore del servizio a scegliere l’indirizzo dei propri
interessi e della propria curiosità interagendo con la rete e con le
informazioni in essa contenute.
Questo rapporto biunivoco navigatore - Internet / Internet - navigatore
produce esso stesso delle nuove informazioni che molto spesso vengono
archiviate ed elaborate.
Un soggetto che visita quotidianamente, ad una determinata ora del
giorno, un particolare sito richiedendo la visualizzazione di un certo
tipo di informazioni è una fonte preziosa di dati (ad esempio: ogni
mattina, esclusi i festivi, alle 9:30 circa, il sito di una rivista
on-line di diritto viene sollecitato a visualizzare, sempre da uno
stesso utente, le informazioni relative al diritto societario o penale).
Queste comuni e frequenti situazioni possono rappresentare, per un
fornitore di servizi sulla rete, una proficua serie di informazioni
utili al fine di modellare ed integrare la propria attività sul cliente
bersaglio ed eventualmente rendere la pagina web, estrinsecazione
virtuale della sua attività, una vetrina appetibile ad altre e diverse
attività commerciali che si rivelano, dall’elaborazione dei dati così
ottenuti, interessanti per quel tipo, determinato, d’utente.
In questa breve panoramica introduttiva al difficile rapporto tra la
tutela dei dati personali ed Internet si deve ricordare il carattere
internazionale della rete.
Non solo non ci sono frontiere, ma la stessa distanza fisica da un luogo
all’altro del mondo non rappresenta più un problema perché è
virtualmente superata dalle nuove tecnologie.
Per questo motivo, nella rete, spesso la scelta della via idonea a
congiungere due punti non è quella fisicamente più breve; è probabile,
infatti, che un messaggio inoltrato da Roma e diretto a Firenze transiti
per un vettore che si trovi a Parigi o a Washington.
L’ultima caratteristica che viene sottolineata come rilevante da uno
studioso del fenomeno, POULLET, è la molteplicità di operatori che
operano nella rete.
Un esempio concreto, ancora una volta, può essere utile per far
percepire lo scenario: su Internet un'attività relativamente semplice,
si pensi all’acquisto di un bene, coinvolge un numero di soggetti
generalmente superiore alla norma; infatti, si possono aggiungere al
venditore e ai normali vettori: la società di cyber – marketing, il
fornitore dell’accesso e quello del servizio Internet… Si ricordi,
infine, che ogni singolo soggetto coinvolto in questa semplice, ed allo
stesso tempo complessa, transazione commerciale può raccogliere,
archiviare ed eventualmente elaborare e cedere dati relativi agli utenti
coinvolti. Appare chiaro, a questo punto, che la rete genera dei dati
anche all’insaputa dell’utente attraverso un rilevamento costante dei
suoi spostamenti.
Oltre a ciò, accanto a queste fonti di raccolta più o meno visibili ve
ne sono altre totalmente invisibili alle persone meno esperte [8],
legate in particolare all’esistenza dei c.d. cookie, briciole di
informazione che inviate al nostro mezzo di navigazione consentono ad un
certo sito web di riconoscere l’utente e i suoi movimenti rilevando
costantemente gusti ed abitudini. I cookie svolgono un’importante, ed in
alcuni casi insostituibile, funzione nel rapporto che si instaura tra
utente e un determinato sito; si pensi, ad esempio, ad un
collegamento-dialogo che si trovi già ad un punto avanzato e che venga
interrotto per un qualsiasi motivo: calo di tensione elettrica o
semplice caduta della linea telefonica. Grazie a questi strumenti il
sito, nei casi in cui tenga memoria delle operazioni predette, riconosce
l’utente e le operazioni possono riprendere dal punto interrotto.
Si tratta, in estrema sintesi, di un file trasmesso dal suddetto sito al
computer dell’utente idoneo a registrare e verificare il numero delle
visite che lo stesso compie nel tempo. Questi particolari strumenti non
devono essere aprioristicamente “demonizzati”. La stessa direttiva
2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002,
relativa al trattamento dei dati personali e della tutela della vita
privata nel settore delle comunicazioni elettroniche, si sofferma ad
illustrare nel punto 25 che i cd. marcatori, cookie, rappresentano uno
strumento legittimo se utilizzato con le opportune accortezze.[8 bis] Il
punto fondamentale, quindi, è quello di non colpevolizzare lo strumento
ma di porre particolare attenzione al fine per il quale è utilizzato ed
alla chiarezza del rapporto (di fiducia) che si instaura con l’utente i
cui dati sono oggetto di studio ed analisi. Bisogna offrire agli utenti
delle informazioni il più possibile chiare e precise sul ruolo dei
marcatori utilizzati, in particolare sui dati acquisiti e registrati,
affinché possa nascere, su basi concrete, un legittimo rapporto di
fiducia. Naturalmente, all’utente si deve dare la possibilità, concreta,
di rifiutare questo tipo di operazione di raccolta e schedatura delle
sue visite e delle sue abitudini non consentendo la registrazione di
cookie o di strumenti analoghi.
Per concludere questo breve ed incompleto discorso introduttivo, si
vuole tentare ora di delineare, solo per punti, la fenomenologia dei
dati personali potenzialmente presenti e generati in Internet[9] di cui
i produttori e gestori di spyware sono alla costante ricerca.
I primi dati personali che sono consegnati, in alcuni casi “ceduti” come
prezzo per il servizio, da un “navigatore della rete” sono quelli
relativi agli abbonamenti ai diversi servizi di accesso ad Internet che
vengono dai gestori ordinati in banche dati.A questi archivi se ne
aggiunge un altro: quello dei log, registrazioni automatiche dei
principali dati relativi ai collegamenti ed alle attività svolte durante
la connessione/navigazione.
I log generati possono essere anche molto minuziosi e per questo è
necessario un attento controllo ed una forte limitazione dell’utilizzo
degli archivi in cui tali informazioni vengono custoditi.
«Viene comunemente chiamato data log il registro elettronico tenuto
dagli Internet provider e dal quale è possibile risalire…all’identità
dei soggetti che utilizzano la rete soprattutto nel caso, in cui,
attraverso la rete, siano consumati fatti illeciti (sia sotto il profilo
civilistico sia sotto quello penalistico), onde trasmettere tali
informazioni all’autorità giudiziaria o, comunque , per esimersi da
responsabilità civile nei confronti dei terzi»[10].Una seconda serie di
dati è quella relativa alle informazioni personali contenute all’interno
della posta elettronica.
«La posta elettronica consiste nella trasmissione di messaggi asincroni
ad personam. Ogni soggetto dotato di una casella elettronica ha un
indirizzo al quale i vari computer servitori delle reti (server), dopo
aver fatto rimbalzare il messaggio da un punto all’altro della rete,
fanno arrivare, in modo automatico, i messaggi indirizzati a tale
utente»[11]. Altri dati personali sono contenuti all’interno del world
wide web e newsgroup.
La riflessione conclusiva coinvolge tutte le nuove tecnologie digitali
che basano la loro stessa esistenza sulla gestione di informazioni e
dati: le tracce che tutti noi lasciamo muovendoci ed operando
fisicamente (percorrendo l'autostrada, utilizzando la carta di credito,
il bancomat e il telefono cellulare...) o "virtualmente" nella rete
(dando e ricevendo informazioni in modo volontario o involontario;
richiedendo e concedendo l'utilizzo di una serie di dati personali
oppure semplicemente consultando determinate notizie piuttosto che
altre...) potrebbero rappresentare un terreno difficile da controllare
per le organizzazioni giuridiche statali ed internazionali.
Per questo occorre formare e diffondere una nuova coscienza e una
diversa concezione delle responsabilità legate alla gestione delle
“informazioni”. Tali realtà non dovranno essere limitate entro i rigidi
e vetusti confini nazionali, troppo stretti ed angusti per mezzi
completamente slacciati dalla dimensione territoriale, ma proiettate
verso una visione globale della società umana.
Il giurista, in quest’epoca di grandi sconvolgimenti tecnologici, deve
prepararsi ad un complesso ed affascinante lavoro di ricerca e di
sperimentazione.
La necessità di adattare vecchie norme alle nuove esigenze e di
progettare sistemi innovativi di regolamentazione, controllo e
repressione rappresentano le principali preoccupazioni dei legislatori
di tutto il mondo.
Con Internet, in particolare, si riassapora la modernità di un vecchio
insegnamento contenuto, come in una macchina del tempo che lo preserva
sempre attuale, nella celebre frase «ubi societas, ibi ius».
Non comprendere, fino in fondo, la natura e le modalità operative dei
rapporti che nascono in queste nuovo tessuto sociale vuol dire, in
realtà, abbandonare la società globale, virtualmente già nata e operante
sulla rete, alla terribile e primordiale legge “di natura”, dove il più
forte detta le regole che gli altri, i più deboli, sono costretti ad
osservare e subire.
Nel vuoto di tutela e di controllo, ad esempio, le organizzazioni
criminali sempre più attrezzate con supporti tecnici e conoscenze
informatiche potrebbero inserirsi al fine di operare fuori da ogni
possibile controllo, ricostituendo così virtualmente quello che
l’ordinamento giuridico statale gli ha sottratto fisicamente: un
territorio feudale dove poter liberamente ideare, progettare e
realizzare i propri interessi.
Il ruolo del territorio, un tempo scenario fisico necessario per
qualunque tipo di dinamica sociale ed economica, diviene sempre più
marginale.
Alla luce dello scenario che questo breve scritto ha tentato di
illustrare, purtroppo necessariamente solo per punti, occorre, anche se
a piccoli passi, prendere coscienza di un fenomeno destinato ad
estendersi sempre più in profondità nella società, che entra nella vita
di tutti non bussando delicatamente alla porta e chiedendo il permesso
di entrare, ma sfondando ogni barriera fisica posta davanti al suo
cammino, coinvolgendo tutti e tutto.
3. L'economia di mercato: "terreno di coltura" di un parassita digitale.
Il secondo momento da analizzare è quello relativo alla “genesi” storica
del software spyware. La semplificazione delle modalità relazionali
uomo/computer è stata dettata principalmente dalla necessità di
aumentare il bacino di possibili utilizzatori delle predette
apparecchiature elettroniche (tutt'altro che semplici da utilizzare al
loro primo apparire).
Questa spinta del mercato ha dato il via a tutta una serie di ricerche
tese all'ideazione e alla realizzazione di supporti software che
offrissero all'utente un'interfaccia sempre più semplice da utilizzare.
Per realizzare ciò i rapporti tra l'uomo e la macchina da diretti, o
quasi, divennero sempre più mediati da sovrastrutture che si
moltiplicarono proporzionalmente alla semplicità ed intuitività della
suddetta comunicazione.
La fortuna di alcuni software è legata, infatti, all'intuitività
dell'interfaccia utilizzata per comunicare con l'utente più che
all'affidabilità, alla sicurezza ed alla stabilità dello stesso
programma.
Inoltre, la necessità di risparmiare un'ingente quantità di tempo,
semplificando operazioni complesse, ripetitive e poco creative
riducendole ad un semplice "click" o facendole eseguire in modalità
automatica, ha portato con sé la necessità di far compiere
all'elaboratore elettronico tutta una serie di compiti in modalità
invisibile all'utente.
La comunicazione con l'elaboratore diviene sempre più "mediata" da una
serie di programmi che si occupano di semplificare la vita all'utente
finale, permettendo di utilizzare apparecchiature complesse attraverso
software intuitivi che richiedono un breve "rodaggio".
Nello stesso periodo in cui i processi di semplificazione della
comunicazione uomo/computer andavano evolvendosi, il mercato dei
prodotti commerciali scoprì, come indicato nel primo paragrafo,
l'efficacia di una pubblicità "digitalmente" mirata.
Grazie a questa scoperta, rivoluzionaria nel suo genere, si abbandonò il
c.d. sistema pubblicitario di "sparare nel mucchio", per affidarsi a
sistemi nati ai piedi delle nuove tecnologie e caratterizzati dal fatto
di basare la loro peculiare incisività su un complesso lavoro di
reperimento, archiviazione ed elaborazione di informazioni relative ai
gusti ed alle abitudini personali del campione "bersaglio". A quest'ultimo,
infatti, si dovranno offrire, su un piatto preconfezionato, i vari
prodotti commerciali che esso stesso inconsapevolmente suggerisce di
offrire alla sua attenzione.
La produzione "personalizzata di massa" è ormai una realtà che tende
sempre più a soppiantare una "produzione di massa" che inizia a
presentare un conto troppo salato in rapporto alle nuove procedure
pubblicitarie basate sulla profilazione elettronica del consumatore
(bersaglio)[12].
Infine, un terzo elemento deve essere considerato rilevante per la
comprensione del fenomeno spyware: la nascita di particolari e recenti
modalità di distribuzione dei programmi informatici adottate dalle case
produttrici di software freeware, shareware, adware, trial version…[13]
Nel momento in cui la semplificazione dei meccanismi di comunicazione e
la tendenza all'utilizzo commerciale delle informazioni personali si
trovano ad interagire con queste nuove forme di distribuzione
commerciale dei programmi nasce e si diffonde il software "spyware".
4. Dal "brodo primordiale" della distribuzione del software in Rete
nasce una particolare moneta di scambio: i dati personali.
Sin dai primi anni della diffusione di Internet l'utente medio aveva a
disposizione strutture di comunicazione sufficientemente potenti;
tuttavia, le maggiori carenze si avvertivano nel settore dello sviluppo
di quelle infrastrutture idonee ad utilizzare al meglio le potenzialità
tecnologiche già presenti nella vita privata e professionale[14].
Numerosi servizi, si pensi alla posta elettronica, non erano facilmente
utilizzabili a causa della carenza strutturale di programmi, c.d.
applicativi, capaci di semplificare e valorizzare tali potenti
strumenti.
«Molti programmatori-navigatori spinti dall'insufficienza degli
applicativi e dalla speranza non tanto di ricavare vantaggi finanziari,
quanto di riuscire ad ottenere il plauso e il rispetto del "popolo della
rete" per l'eleganza e la potenza con cui il loro programma risolveva un
particolare problema, si cimentarono nella creazione di nuove
applicazioni che semplificassero le azioni più comuni: sfruttando la
sorprendente capacità di comunicazione del web, tali creazioni potevano
essere condivise e diffuse agli altri naviganti. I programmi
utilizzabili senza limiti sono chiamati "freeware"»[15].
Quello appena descritto può essere considerato come il primo momento
della nascita di quel fecondo "brodo primordiale" che rappresenta la
premessa logica e causale dei successivi passi che condurranno ad un
uso, sempre meno "free", di Internet finalizzato alla distribuzione del
software[16].
Il passo successivo è rappresentato da quella serie di programmatori e
case produttrici di software che iniziarono a richiedere del denaro a
chi avesse avuto intenzione di utilizzare, senza limiti temporali e
quantitativi, il software da loro ideato, realizzato e distribuito
attraverso la rete[17].
Parallelamente a questi fenomeni di distribuzione all'interno
dell'ingegnoso popolo di internauti, tesi per inclinazione genetica alla
ricerca di un modo gratuito per utilizzare i diversi e costosissimi
programmi "applicativi", si assiste alla diffusione di un particolare
hobby: la ricerca dei crack-files, piccoli programmi che consentono di
superare le barriere erette dai produttori riuscendo a far utilizzare i
programmi oltre i limiti quantitativi o temporali imposti dai
programmatori, in origine eliminabili solo da questi ultimi dietro
pagamento di un congruo corrispettivo.
Come risposta, numerose case produttrici di software indirizzarono la
loro produzione verso la creazione di versioni dimostrative e con
evidenti fisiologiche menomazioni rispetto a quelle commerciali.
Queste versioni "limitate" sono dirette, palesemente, solo a far nascere
il desiderio di acquistare la versione completa, senza il rischio che
qualcuno possa, con qualche minuto di ricerca on-line, sbloccare i
codici di sicurezza riuscendo ad utilizzare il programma in modo
integrale e gratuito.
La necessità di trovare nuove modalità di distribuzione ha condotto le
case produttrici di programmi a percorrere strade diverse per ottenere
il più alto profitto con il minore costo e rischio possibile.
Per tale motivo numerosi produttori iniziarono a perseguire una
particolare forma di distribuzione del proprio software (c.d. adware),
consistente nel concedere gratuitamente il programma a patto che
l'utente decida di subire una serie di messaggi pubblicitari (c.d.
banner) durante l'utilizzo degli stessi[18].
La differenza principale rispetto al freeware consiste proprio
nell'obbligare l'utente finale a visualizzare, durante l'utilizzo del
programma adware, i messaggi promozionali dei prodotti commerciali delle
aziende che hanno stipulato dei contratti pubblicitari con le case
produttrici del software.
In questo modo non è più l'utente, direttamente, a pagare per l'utilizzo
del programma ma le varie aziende commerciali che sfruttando la
diffusione del programma distribuito gratuitamente riescono ad aprire e
mantenere una finestra privilegiata negli schermi di numerosi
utenti-consumatori.
Sebbene tale modalità di distribuzione risultò positiva e proficua sia
per i programmatori che per le aziende pubblicizzate, la crescente
difficoltà di trovare nuove e creative forme di pubblicità on-line
comportò un impegno sempre maggiore, con notevole impiego e distrazione
di risorse, che le aziende produttrici di software riuscirono a stento a
sostenere.
Questo tipo di pubblicità, in un primo tempo, era diretto su una massa
informe di possibili e poco probabili consumatori, determinati solo per
macrocategorie.
La pubblicità di un prodotto, infatti, veniva sparata nel mucchio
indefinito di potenziali acquirenti senza possibilità alcuna di
calibrare il messaggio sui gusti personali dei singoli consumatori.
Si sparge a macchia d'olio, così, l'esigenza di raccogliere un numero,
il più elevato possibile, di informazioni relative ai gusti e alle
abitudini del popolo di Internet allo scopo di divulgare efficacemente,
mirando su precisi bersagli, i messaggi promozionali di natura
commerciale.
Gli utilizzatori di Internet si dimostrarono restii a fornire,
nonostante tutte le lusinghe, le promesse e le fantasiose iniziative
delle numerose aziende addette alla raccolta dei dati rilevanti ai fini
della profilazione degli utenti, i propri dati personali provocando
l'irrigidimento di un meccanismo che si era dimostrato altamente
lucrativo.
I dati raccolti, archiviati ed elaborati divennero in modo sempre più
chiaro una fonte di ricchezza e in alcuni casi un reale "bene" di
scambio.
Ora che il rapporto dati personali / denaro era stato non solo
ipotizzato a livello astratto e concettuale, ma concretamente realizzato
nella pratica commerciale, occorreva trovare nuove e più potenti forme
di reperimento e rastrellamento di queste particolari "monete".
Questi nuovi mezzi dovevano rivelarsi idonei a creare delle "autostrade
privilegiate" all'interno della Rete percorribili da flussi sempre più
ingenti di dati e diretti, nel breve periodo, a soppiantare la semplice
e palese richiesta rivolta all'internauta tramite gli ormai vetusti
questionari di varia natura e genere.
Tra le preziose informazioni, custodite nel personal computer degli
utenti, e le aziende addette alla loro raccolta, purtroppo per le
seconde, il maggior ostacolo al loro incontro era rappresentato dai c.d.
"domini di protezione"19, per superare i quali (escludendo naturalmente
modalità esplicitamente illecite) è necessario, in via generale,
disporre di una base logistica all'interno del primo.
Come inserire, all'insaputa dell'internauta, un agente segreto e
silenzioso pronto ad inviare periodicamente ad ogni collegamento le
notizie generate e presenti all'interno del computer ospite?
Il punto di partenza è rappresentato dal software di tipo adware: le
aziende utilizzatrici di questa particolare modalità di distribuzione e
d'uso del software in passato avevano già instaurato con l'utente un
binario di comunicazione che dai propri server era diretto ad aggiornare
periodicamente i messaggi pubblicitari sui banner del personal computer
in cui era installato il programma adware.
Era sufficiente che all'interno di questi programmi "vettori" fosse
inserito accanto al ricevitore un "parassita" rastrellatore e
trasmettitore di dati presenti e generati nel computer "ospite".
In questo modo si potevano superare facilmente tutte le possibili
politiche restrittive dei domini di sicurezza, perché il programma
sarebbe stato libero di operare, senza o quasi, misure restrittive.
Il passo è breve ma fecondo di gravi conseguenze che meritano un'attenta
riflessione: nel momento in cui il flusso delle informazioni diviene
biunivoco, cioè non solo dal computer delle aziende pubblicitarie al
personal computer del consumatore ma anche in senso inverso, il flusso
di ciò che “esce” dal personal computer deve poter essere controllato e
gestito dal legittimo titolare.
L'utente medio non è a conoscenza del fatto che assieme a questi
programmi applicativi, semplici "vettori infettivi", potranno essere
immessi nel computer dei programmi che non si limitano a ricevere gli
aggiornamenti della pubblicità, ma che hanno il compito di raccogliere
ed inviare, collegandosi senza autorizzazione o avvertimento alcuno, a
server sconosciuti informazioni concernenti i gusti e le abitudini di
chi utilizza il computer "ospite".
5. Un moderno enigma giuridico di nome "Spyware".
L’ultimo punto da analizzare è quello relativo alla verifica
dell’illiceità del software spyware, cioè di quel software di dimensioni
generalmente ridotte che viene installato all’insaputa dell’utente nei
meandri più disparati del computer, mimetizzandosi, e che approfittando
della connessione ad Internet entra in azione in modalità stealth
instaurando uno scambio di dati tra il computer “ospite” ed un altro
computer remoto pronto a registrare quanto inviato dal “vettore
infettivo”.
Tale software, infatti, utilizzando l'accesso alla rete impiegato per le
normali attività lavorative e/o ludiche si mette in contatto, secondo un
programma prestabilito, con un particolare server inviando e ricevendo
dati.
I problemi interpretativi risiedono proprio nell'instaurazione di una
silente e non autorizzata comunicazione tra il computer "ospite" ed il
server "untore" che ha ad oggetto dati e contenuti prodotti dal
primo[20].
Lo scopo delle imprese che si occupano di raccogliere ingenti quantità
di informazioni provenienti dagli innumerevoli elaboratori elettronici,
in cui i loro poderosi parassiti giacciono in uno stato di quiescenza in
attesa di inviare preziosi dati, è quello probabilmente di rivendere il
frutto di questi ingenti bottini ad agenzie di marketing o semplicemente
ad altre aziende [21].
6. Spyware: argomenti contro una pratica commerciale illegale.
Le attenuanti argomentative che spesso vengono elencate dalle varie case
produttrici di software "spyware" (inserito con estrema disinvoltura
all'interno di programmi gratuiti, dimostrativi e sempre più anche in
quelli a pagamento) si possono così sintetizzare:
a) non sono raccolti dati personali sensibili ;
b) nella raccolta manca una correlazione tra i dati e le persone che li
producono.
A tali osservazioni si possono però muovere due ordini di critiche: il
primo di natura sostanziale e logica e il secondo di natura giuridica e
formale.
I ) Per quanto riguarda le critiche di natura sostanziale e logica, se
la raccolta è così innocente ed impersonale:
1. Perché non si informa in modo adeguato l'utente, futuro fornitore di
preziosi dati, di quello che in realtà avverrà utilizzando il programma
vettore di spyware ?
2. Perché la comunicazione deve avvenire in modalità invisibile e non è
controllabile dall'utente, in modo che quest’ultimo possa esprimere il
suo consenso (od eventualmente il suo successivo dissenso) all’invio dei
“suoi” dati ?
3. Perché la trasmissione di dati avviene in modo criptato, cioè senza
la possibilità per chi non disponga delle dovute “chiavi” di decodifica
o non utilizzi lo stesso linguaggio convenzionale, di decifrare il reale
contenuto della trasmissione in modo da poter verificare la quantità e
il tipo di dati che vengono prelevati dal suo computer ?
4. Perché le case produttrici di software,in molti casi, non si occupano
di tradurre, nelle diverse lingue le condizioni contenute nella licenza
d'uso e in particolare non indicano in modo adeguato la presenza di un
meccanismo come quello degli spyware che viola in modo così profondo la
privacy del titolare del computer ?
5. Perché una volta cancellato il programma "vettore" il software
spyware, in alcuni casi, rimane all'interno del computer vivendo di vita
propria e richiedendo numerose e complesse operazioni per la sua
completa eliminazione dal sistema ?
Queste sono solo alcune delle numerose ed angosciose domande che
attendono una risposta concreta dalle case produttrici di software che
utilizzano programmi di tipo spyware.
Queste ultime devono considerare che i programmi vettori di spyware sono
distribuiti in tutto il mondo grazie ad Internet ed alle riviste che
fanno a gara per reperirli e distribuirli in gran quantità; per questo
motivo le condizioni contrattuali in essi presenti devono essere
indicate in modo semplice, chiaro e sintetico nelle varie lingue dei
possibili futuri utilizzatori.
II) Per quanto riguarda le critiche giuridiche il problema da affrontare
una volta decifrato il DNA di questi particolari "parassiti" è quello di
verificare la compatibilità di un prodotto commerciale così particolare
con l'ordinamento giuridico italiano e con il suo complesso tessuto di
norme poste a garanzia della persona e dei suoi dati personali.
Naturalmente, il fenomeno “spyware” si presenta nella realtà pratica in
diverse e numerose forme; per questo motivo, la verifica puntuale di
tutte le norme che lo stesso può violare durante il suo ciclo vitale è
in astratto difficilmente realizzabile. Bisogna considerare la
situazione caso per caso analizzando soprattutto gli elementi, licenza o
altre comunicazioni, che informano il futuro utente in merito alla
presenza di un tale software e, in particolare, del potere dato allo
stesso utilizzatore di limitare o impedire l’instaurazione della
comunicazione con l’esterno.
Tuttavia, la descrizione di alcune caratteristiche minime del software
spyware può risultare utile per individuare le fattispecie penali che
possono essere perfezionate da un loro utilizzo.
Tra le caratteristiche minime si ricordano:
1. installazione automatica del software spyware all’insaputa
dell’utente o con modalità tali da non far comprendere allo stesso la
concreta utilizzazione dello strumento in oggetto;
2. instaurazione non voluta dall’utente di una comunicazione biunivoca
tra il computer in cui tale programma risiede e quello di chi è
interessato a carpire e registrare le informazioni;
3. l’impossibilità per l’individuo, a cui appartengono i dati, di
esprimere il consenso alla cessione delle informazioni;
4. l’impossibilità di individuare, esprimere o modificare il fine per il
quale si acconsente all’invio delle informazioni contenute sul proprio
computer;
5. l’utilizzo dei dati e il loro trattamento con mezzi e per fini
sconosciuti all’utente.
In considerazione di questi aspetti minimi, si possono individuare
alcune norme ed alcuni principi fondamentali che appaiono palesemente
violati dalla condotta in precedenza descritta, lasciando naturalmente
aperta ogni successiva considerazione da effettuare caso per caso in
base alla natura del software, al tipo di collegamento instaurato ed al
materiale veicolato.
Per quanto riguarda le norme contenute nel codice penale il software
spyware può essere, ad esempio, veicolo e strumento di un accesso
abusivo ad un sistema informatico (art. 615 ter c.p). Tale reato,
infatti, è commesso da chiunque abusivamente si introduce in un sistema
informatico protetto da misure di sicurezza ovvero vi si mantiene contro
la volontà espressa o tacita di chi ha il diritto di escluderlo.
Inoltre, questo particolare software, veicolando dati ed informazioni
espressione della persona dell’utente, viola palesemente l’insieme delle
norme fondamentali poste a tutela dei dati personali contenute nella
vecchia legge n. 675 del 1996 e nel nuovo Codice in materia di
protezione dei dati personali (D. Lgs. 196/03)[22] in quanto il tipo di
“approvvigionamento” di dati effettuato dal software spyware viene
effettuato all’insaputa del titolare, senza il suo necessario ed
esplicito consenso informato e senza che lo stesso possa quantificare,
qualificare, selezionare i dati che vengono ad esso sottratti.
A queste considerazioni si aggiunge la difficoltà oggettiva di
identificare il titolare del trattamento così effettuato con la
conseguente difficoltà-impossibilità di esercizio di tutti i diritti (ad
esempio: la verifica, l'integrazione, la modifica o la cancellazione dei
dati personali) riconosciuti agli interessati.
In poche parole, basta leggere le diverse fattispecie descriventi le
sanzioni amministrative e penali del codice della privacy per rendersi
conto che molte di esse vengono chiamate in causa dall'utilizzo di tale
software.
Per concludere questo scritto, che vuole rappresentare solo una breve
introduzione ad un problema che necessita di un più ampio
approfondimento, una riflessione: accanto alla capillare diffusione
delle nuove tecnologie informatiche è necessario diffondere la
consapevolezza dei costi e dei rischi ad essa connessi.
Mentre i rischi (virus, attacchi informatici…) sono accettati come
possibili, i costi da sopportare sono certi e non sono solo
quantificabili in termini monetari, ma anche e principalmente in
quantità di dati personali da voler spendere e conservare.
_________
NOTE
[*] Il presente articolo rappresenta un aggiornamento, riveduto ed
ampliato, di uno scritto pubblicato in Diritto della Gestione Digitale
delle Informazioni (suppl. della Rivista Giuridica "Il Nuovo Diritto" n.
9, 2002), pag.37.
[1] ROSSI, Lo spyware e la privacy, in Diritto delle nuove tecnologie
informatiche e dell'Internet ( a cura di CASSANO), IPSOA, 2002, 184 ss.
[2] Per un approfondimento dell'argomento "spyware" si rinvia al sito,
in DirittoeSicurezza [www.DirittoeSicurezza.it] .
[3] GRIPPO, Intenert e dati personali, in Privacy, in Enc. Cendon,
Padova, 1999, 284.
[4] Art. 17, «Limiti all’utilizzabilità di dati personali », legge 31
dicembre 1996 n. 675: «Nessun atto o provvedimento giudiziario o
amministrativo che implichi una valutazione del comportamento umano può
essere fondato unicamente su un trattamento automatizzato dei dati
personali volto a definire il profilo o la personalità
dell’interessato».
[5] Per approfondimenti sul punto si suggerisce la lettura di: POULLET,
Riservatezza e sicurezza delle reti, in supplemento n.1 al bollettino n.5
della Presid. del Consiglio dei ministri.
[6] MACCABONI, La profilazione dell’utente telematico fra tecniche
pubblicitarie ondine e tutela della privacy, in Il diritto
dell’informazione e dell’informatica, 2001, 425.
[7] MACCABONI, La profilazione dell’utente telematico fra tecniche
pubblicitarie ondine e tutela della privacy, op.cit., 426; SAMARAJIVA,
Interactivity as though privacy ..., in AGRE – ROTEMBERG, Technology and
Privacy: The new Landescape, Massachusetts, 1997, 277.
[8] ROSSI, Lo spyware e la privacy, op.cit., 184: « Ad oltre trent’anni
di distanza dalla nascita di Internet, con il consolidarsi di pratiche
universalmente adottate dal popolo dei “navigatori” su cui gli
ordinamenti statali di tutto il mondo sono intervenuti nel tentativo di
tutelare la riservatezza…(omissis)… si verifica una serie indefinita di
situazioni e di occasioni in cui la privacy viene non solo violata, ma
in alcuni casi anche messa al servizio di imprese che, nella migliore
delle ipotesi, sono pubblicitarie e di marketing. ».
[8 bis] Per gli opportuni approfondimenti si rinvia a : BERGHELLA, Guida
pratica alle nuove misure di sicurezza per la privacy, Roma, 2003, 149
ss.
[9] SCALISI, Il diritto alla riservatezza, Milano, 2002, 307: « possiamo
distinguere, essenzialmente, quattro categorie di informazioni: a) dati
personali relativi agli abbonati normalmente ordinati in banche
dati…b)dati e informazioni personali relativi alla posta elettronica…c)
le notizie sul world wide e newsgroup…d) dati relativi agli spostamenti
sul world wide web».
[10] MONDUCCI, Il trattamento dei dati personali nei contratti on line,
in Diritto delle nuove tecnologie informatiche e dell’internet ( a cura
di GIUSEPPE CASSANO), IPSOA, 2002, 593.
[11] GRIPPO, Intenert e dati personali, op. cit., 296.
[12] MACCABONI, La profilazione dell'utente telematico fra tecniche
pubblicitarie online e tutela della privacy, op.cit., 426.
[13] SISTO, Le diverse modalità di distribuzione del software: freeware,
shareware e trial version, in Diritto delle nuove tecnologie
informatiche e dell'Internet ( a cura di CASSANO), IPSOA, 2002, 1058:«...rientra
nell'esercizio del diritto di prima pubblicazione la concessione della
facoltà di utilizzare i programmi in diverse forme racchiuse in tre
grandi categorie: il software libero, non-libero e commerciale...».
[14] CIAMBERLANO, Spyware Story, in DirittoeSicurezza
[www.DirittoeSicurezza.it] .
[15] CIAMBERLANO, Spyware Story, in DirittoeSicurezza
[www.DirittoeSicurezza.it].
[16] SISTO, Le diverse modalità di distribuzione del software: freeware,
shareware e trial version, op.cit., 1063: «...omissis...il freeware,
software con riserva di copyright, il quale non è abbinato ad una
definizione precisa, ma in generale viene inteso come software gratuito,
del quale però, elemento importantissimo, non viene reso il codice
sorgente. Infatti l'autore di questo tipo di software concede il diritto
di riprodurlo e distribuirlo solo in ipotesi molto rare, accordando
raramente il diritto di modificarne una parte, realizzando così una
sorta di ibrido tra software libero e proprietario. Con il suffisso "free"
si tende ad indicare poi solo la gratuità del prodotto, non invece la
totale libertà di modificazione e diffusione concessa
all'utente/utilizzatore come avviene nel caso del software libero».
[17] SISTO, Le diverse modalità di distribuzione del software: freeware,
shareware e trial version, op.cit., 1064: «Nell'ampia categoria di
software "non libero" rientra sicuramente la tipologia dello shareware,
particolare forma di programma per elaboratore, attraverso la quale il
"titolare" concede all'utente la possibilità di ridistribuzione e di
utilizzare per un tempo determinato il prodotto. Attraverso l'utilizzo
del try & buy sarà possibile pertanto prendere visione del prodotto
nella sua integrità e nel caso in cui si fosse soddisfatti delle
caratteristiche proposte, comprarlo, versando il danaro richiesto
direttamente nelle tasche del produttore».
[18] ROSSI, Lo spyware e la privacy, op. cit., 188: «negli ultimi temi
si sta diffondendo tra le case produttrici di software una modalità di
distribuzione particolare, e cioè il cosiddetto adware. Viene quindi
permesso l'utilizzo gratuito e a tempo indeterminato di un programma a
patto che l'utente si sottoponga ad una serie di comunicazioni a
carattere promozionale, in genere sotto forma di banner pubblicitari che
compaiono nel proprio browser o direttamente nel programma in questione.
I banner pubblicitari vengono prelevati da un server web dedicato,
stabilendo un collegamento tra il computer e il server web. Per ogni
banner visualizzato nel programma, il suo autore percepisce un compenso
che, seppure modesto, concorre ad un business miliardario se
moltiplicato per le decine di migliaia di persone che utilizzano quel
programma».
[19] Per la definizione di "domini di sicurezza" appare opportuno
riprendere quanto scritto in merito da CIAMBERLANO, Spyware story,
op.cit.: «I programmi eseguibili in un sistema operativo sono
solitamente confinati in quelli che vengono chiamati in gergo
informatico "domini di protezione"; ciascun dominio (che astrattamente è
utile visualizzare come una zona geografica dai limiti invalicabili al
cui interno vengono confinate le applicazioni) ha il compito di
regolamentare le azioni che ciascun software può compiere, seguendo
specifiche politiche di sicurezza. Semplificando molto la reale
situazione, esempi di domini possono essere: 1) Insieme dei programmi
installati dall'utente sul calcolatore; questi possono compiere la
maggior parte delle azioni, supponendo (ottimisticamente) che
l'utilizzatore non installi software dannoso sul proprio computer. 2)
Insieme dei programmi allegati a pagine web (quest'ultime possono
infatti contenere applet java, activeX, animazioni flash ed altro,
ovvero piccoli software che svolgono compiti più o meno utili; ad
esempio molte chat on-line utilizzano applet java per gestire il flusso
di messaggi); queste applicazioni sono sottoposte a forti restrizioni:
non possono leggere o scrivere sul disco rigido del computer ospite (per
evitare la lettura o la cancellazione di documenti riservati), né su
questo possono installare o eseguire programmi (per evitare che questi
ultimi, i quali godono di maggiori privilegi, vengano utilizzati per
compiere azioni dannose). Per un esempio reale di applicazione del
concetto di dominio si può sbirciare nelle impostazioni di sicurezza di
internet explorer, avendo cura di non modificare le impostazioni
predefinite a meno di non essere sicuri sugli effetti del cambiamento:
dal menù strumenti di explorer selezionare "opzioni internet" quindi il
tab "protezione"».
[20] GRISENTI , Spyware e domicilio informatico, in InterLex
[www.interlex.it].
[21] Si pensi alla diffusa pratica pubblicitaria dello spamming, invio
martellante e diffuso di messaggi pubblicitari diretti a un numero
elevato di indirizzi email, rastrellati on-line utilizzando varie
modalità operative. Sul punto si rinvia a quanto scritto da ERCOLANO,
Spamming: una nuova forma di pubblicità dannosa per i consumatori?, Il
Nuovo Diritto, 2002, 44 ss.
[22] Per un maggiore approfondimento del tema del contrasto tra software
spyware e la normativa in materia di trattamento di dati personali si
rinvia agli autorevoli contributi pubblicati su InterLex
[www.interlex.it]; tra i più recenti: MONTI , Codici deontologici: se
chi ruba i dati può scrivere le regole, 16.10.03; CAMMARATA, "Spyware",
Qualcosa non va nel codice della privacy, del 10.09.03. Infine, sempre
di MONTI si consiglia la lettura di diversi contributi pubblicati
all’interno di ICTLAW [www.ictlaw.net].