di Leo
Stilo
SPYWARE: UN “PARASSITA DIGITALE” DAI MILLE “UNTORI”.
Come una micidiale arma stealth il software spyware[1] si muove
all’interno del “computer bersaglio” pronto a
colpire, inviando dati ed informazioni a sconosciuti ricevitori
in perenne ascolto nella rete, all’insaputa dell’ignaro
internauta. La sua azione è velata dalla normalità
e dalla genericità delle quotidiane operazioni compiute
utilizzando l’elaboratore elettronico. Questa quotidianità
rappresenta l’unico schermo conoscibile e visibile da un
“operatore – tipo”, dotato di una cultura informatica,
generalmente, limitata ed indirizzata ai programmi applicativi
più comuni; vale a dire all’utente medio le cui
conoscenze informatiche sono strettamente legate alla propria
attività lavorativa e ad uno o più determinati
interessi personali.
Il buio che circonda questi piccoli e silenziosi programmi elettronici
impone di svolgere alcune riflessioni: 1. sulle modalità
tecniche ed informatiche attraverso cui i predetti strumenti
concretamente operano[2]; 2. sulle implicazioni sociali e giuridiche
che ruotano attorno al rapporto software house / utilizzatore
finale del programma elettronico ospite del “parassita”
spyware.
L’economia di mercato rappresenta il “terreno di coltura”
di questo particolare parassita digitale. La semplificazione
delle modalità relazionali uomo/computer, infatti, è
stata dettata principalmente dalla necessità di aumentare
il bacino di possibili utilizzatori delle predette apparecchiature
elettroniche non semplici da utilizzare al loro primo apparire.
Questa spinta del mercato ha dato il via a tutta una serie di
ricerche tese all’ideazione e alla realizzazione di supporti
software che offrissero all’utente un’interfaccia
sempre più semplice da utilizzare. Per realizzare ciò
i rapporti tra l’uomo e la macchina da diretti, o quasi,
divennero sempre più mediati da sovrastrutture che si
moltiplicarono proporzionalmente alla semplicità ed intuitività
della suddetta comunicazione. La fortuna di alcuni software
è legata, infatti, all’intuitività dell’interfaccia
utilizzata per comunicare con l’utente più che all’affidabilità,
alla sicurezza e alla stabilità dello stesso programma.
Inoltre, la necessità di risparmiare un’ingente
quantità di tempo, semplificando operazioni complesse,
ripetitive e poco creative riducendole ad un semplice “click”
o facendole eseguire in modalità automatica, ha portato
con sé la necessità/possibilità di far
compiere all’elaboratore elettronico tutta una serie di
compiti in modalità invisibile all’utente. La comunicazione
con l’elaboratore/macchina è sempre più mediata
da una serie di programmi che si occupano di semplificare la
vita all’utente finale, permettendo di utilizzare apparecchiature
sempre più complesse con modalità immediate, richiedenti
brevi periodi di “rodaggio”. Nello stesso periodo
in cui i processi di semplificazione della comunicazione andavano
evolvendosi, il mercato dei prodotti commerciali scoprì
l’efficacia di una pubblicità “digitalmente”
mirata; quest’ultima, abbandonando il sistema “sparare
nel mucchio”, si affidò a sistemi pubblicitari nati
ai piedi delle nuove tecnologie caratterizzate dal fatto di
basare la loro peculiare incisività su un complesso lavoro
di reperimento, archiviazione ed elaborazione di informazioni
relative ai gusti e alle abitudini personali del bersaglio a
cui dovranno offrire, su un piatto preconfezionato, i vari prodotti
commerciali.
La produzione “personalizzata di massa” è ormai
una realtà che tende sempre più a soppiantare
una “produzione di massa” che inizia a presentare
un conto troppo salato in rapporto alle nuove procedure pubblicitarie
basate sulla profilazione elettronica del consumatore/tipo[3].
Infine, un terzo elemento deve essere considerato rilevante
ai fini della comprensione del fenomeno spyware: la nascita
di particolari e recenti modalità di distribuzione dei
programmi elettronici adottate dalle software house: freeware,
shareware, adware, trial version…[4]
Nel momento in cui la semplificazione dei meccanismi di comunicazione
e la tendenza all’utilizzo commerciale delle informazioni
personali si trovano ad interagire con queste nuove forme di
distribuzione commerciale dei programmi nasce e si diffonde
il software “spyware”. Dal “brodo primordiale”
della distribuzione del software in Rete nasce così una
particolare moneta di scambio: i dati personali. Sin dai primi
anni della diffusione di Internet l’utente medio aveva
a disposizione strutture di comunicazione sufficientemente potenti,
ma quello che ancora non veniva abbastanza sviluppato era il
settore delle infrastrutture idonee ad utilizzare al meglio
le potenzialità già presenti nella quotidianità
tecnologica della vita privata e professionale[5]. Numerosi
servizi, da sempre presenti sul Web come la posta elettronica,
non erano facilmente utilizzabili a causa della carenza strutturale
di programmi, c.d. applicativi, capaci di semplificare e valorizzare
tali potenti strumenti. «Molti programmatori/navigatori
spinti dall’insufficienza degli applicativi e dalla speranza
non tanto di ricavare vantaggi finanziari, quanto di riuscire
ad ottenere il plauso e il rispetto del “popolo della rete”
per l’eleganza e la potenza con cui il loro programma risolveva
un particolare problema, si cimentarono nella creazione di nuove
applicazioni che semplificassero le azioni più comuni:
sfruttando la sorprendente capacità di comunicazione
del web, tali creazioni potevano essere condivise e diffuse
agli altri naviganti. I programmi utilizzabili senza limiti
sono chiamati “freeware”»[6].
Quello appena descritto può essere considerato la premessa
logica e causale dei successivi passi che condurranno ad un
uso, sempre meno “free”, di Internet finalizzato alla
distribuzione del software[7]. Il passo successivo è
rappresentato da tutta quella serie di programmatori e case
produttrici di software che iniziarono a richiedere del denaro
a chi avesse avuto l’intenzione di utilizzare, senza limiti
temporali e quantitativi, il software da loro ideato, realizzato
e distribuito attraverso la rete[8]. Parallelamente a questi
fenomeni di distribuzione all’interno dell’ingegnoso
popolo di internauti, tesi per inclinazione genetica alla ricerca
di un modo gratuito per utilizzare i diversi e costosissimi
programmi “applicativi”, si assiste alla diffusione
di un particolare hobby: la ricerca dei crack-files, piccoli
programmi che consentono di superare le barriere erette dai
produttori riuscendo a far utilizzare i programmi oltre i limiti
quantitativi o temporali imposti dai programmatori, in origine
eliminabili solo da questi ultimi dietro pagamento di un congruo
corrispettivo. Come risposta, numerose case produttrici di software
indirizzarono la loro produzione verso la creazione di versioni
dimostrative e con evidenti fisiologiche menomazioni rispetto
a quelle commerciali. Queste versioni “limitate” sono
dirette, palesemente, solo a far nascere il desiderio di acquistare
la versione completa, senza il rischio che qualcuno possa, con
qualche minuto di ricerca online, sbloccare i codici di sicurezza
riuscendo ad utilizzare il programma in modo integrale e gratuito.
La necessità di trovare nuove modalità di distribuzione
ha condotto le case produttrici di programmi a percorrere strade
diverse per ottenere il più alto profitto con il minore
costo e rischio possibile. Per tale motivo numerosi produttori
iniziarono a perseguire una particolare forma di distribuzione
del proprio software (c.d. adware), consistente nel concedere
gratuitamente il programma a patto che l’utente decida
di subire una serie di messaggi pubblicitari (c.d. banner) durante
l’utilizzo degli stessi[9].
La differenza principale rispetto al freeware consiste proprio
nell’obbligare l’utente finale a visualizzare, durante
l’utilizzo del programma adware, i messaggi promozionali
dei prodotti commerciali delle aziende che hanno stipulato dei
contratti pubblicitari con le case produttrici del software.
In questo modo non è più l’utente, direttamente,
a pagare per l’utilizzo del programma ma le varie aziende
commerciali che sfruttando la diffusione del programma distribuito
gratuitamente riescono ad aprire e mantenere una finestra privilegiata
negli schermi di numerosi utenti/consumatori. Sebbene tale modalità
di distribuzione risultò positiva e proficua sia per
i programmatori che per le aziende pubblicizzate, la crescente
difficoltà di trovare nuove e creative forme di pubblicità
online comportò un impegno sempre maggiore, con notevole
impiego e distrazione di risorse, che le aziende produttrici
di software riuscirono a stento a sostenere. «Per affrancare
gli sviluppatori da tali oneri, sono nate alcune società
specializzate proprio nella gestione e nella promozione pubblicitaria
dei software: un programmatore ha la possibilità di stipulare
un contratto con una di esse, ottenendo successivamente un compenso
proporzionato all’attenzione ricevuta dal banner inserito
nella sua applicazione (normalmente vengono contati i click
dei visitatori sul banner stesso)»[10].
Questo tipo di pubblicità, in un primo tempo, era diretto
su una massa informe di possibili e poco probabili consumatori,
determinati solo per macrocategorie. La pubblicità di
un prodotto, infatti, veniva sparata nel mucchio indefinito
di potenziali acquirenti senza possibilità alcuna di
calibrare il messaggio sui gusti personali dei singoli consumatori.
Si sparge a macchia d’olio, così, l’esigenza
di raccogliere un numero, il più elevato possibile, di
informazioni relative ai gusti e alle abitudini del popolo di
Internet allo scopo di divulgare sempre più efficacemente,
mirando su precisi bersagli e in modo sempre più incisivo,
i messaggi promozionali di natura commerciale.
Gli utilizzatori di Internet si dimostrarono restii a fornire,
nonostante tutte le lusinghe, le promesse e le fantasiose iniziative
delle numerose aziende addette alla raccolta dei dati rilevanti
ai fini della profilazione degli utenti, i propri dati personali
provocando l’irrigidimento di un meccanismo che si era
dimostrato altamente lucrativo. I dati raccolti, archiviati
ed elaborati divennero in modo sempre più chiaro una
fonte di ricchezza e in alcuni casi un reale “bene”
di scambio. Ora che il rapporto dati personali/denaro era stato
non solo ipotizzato a livello astratto e concettuale, ma concretamente
realizzato nella pratica commerciale, occorreva trovare nuove
e più potenti forme di reperimento e rastrellamento di
queste particolari “monete”. Questi nuovi mezzi dovevano
rivelarsi idonei a creare delle “autostrade privilegiate”
all’interno della Rete percorribili da flussi sempre più
ingenti di dati e diretti, nel breve periodo, a soppiantare
la semplice e palese richiesta rivolta all’internauta tramite
gli ormai vetusti questionari di varia natura e genere. Tra
le preziose informazioni, custodite nel personal computer degli
utenti, e le aziende addette alla loro raccolta, purtroppo per
le seconde, il maggior ostacolo al loro incontro era rappresentato
dai c.d. “domini di protezione”[11], per superare
i quali è necessario, in via generale, disporre di una
base logistica all’interno del primo.
Come inserire, all’insaputa dell’internauta, un agente
segreto e silenzioso pronto ad inviare periodicamente ad ogni
collegamento le notizie generate e presenti all’interno
del computer ospite?
Il punto di partenza è rappresentato dal software di
tipo adware: le aziende utilizzatrici di questa particolare
modalità di distribuzione e d’uso del software in
passato avevano già instaurato con l’utente un binario
di comunicazione che dai propri server web era diretto ad aggiornare
periodicamente i messaggi pubblicitari sui banner del personal
computer in cui era installato il programma adware. Era sufficiente
che all’interno di questi programmi “vettori”
fosse inserito accanto al ricevitore un “parassita”
rastrellatore e trasmettitore di dati presenti e generati nel
computer “ospite”. In questo modo si potevano superare
facilmente tutte le possibili politiche restrittive dei domini
di sicurezza, perché il programma installato dallo stesso
utente sarebbe stato libero di operare, senza o quasi, misure
restrittive. Il passo è breve ma fecondo di gravi conseguenze
che meritano un’attenta riflessione: nel momento in cui
il flusso delle informazioni diviene biunivoco, cioè
non solo dal server web delle aziende pubblicitarie al personal
computer, ma anche in senso inverso, il flusso di quello che
dal personal computer esce deve poter essere controllato e gestito
dal proprietario dello stesso.
L’utente medio non è a conoscenza della possibilità
concreta che assieme a questi programmi applicativi, semplici
“vettori infettivi”, potranno essere installati dei
programmi che non si limitano a ricevere gli aggiornamenti dei
banners pubblicitari, ma che hanno il compito di raccogliere
ed inviare, collegandosi senza autorizzazione o avvertimento
alcuno, a server sconosciuti informazioni concernenti i gusti
e le abitudini di chi utilizza il computer “ospite”.
Il software “spyware”, quindi, non è altro
che un programma di dimensioni ridotte che viene installato
nei meandri di un numero sempre più ampio di file presente
nei sistemi di ogni computer, mimetizzandosi. Quando l’utente
si connette ad Internet, il programma “entra in azione
in modalità stealth, senza che l’ignaro navigatore
possa accorgersene utilizzando la comune “diligenza informatica”.
Tale software, infatti, utilizzando l’accesso alla rete
impiegato per le normali attività lavorative o ludiche
si mette in contatto, secondo un programma prestabilito, con
un particolare server inviando e ricevendo dati. I problemi
interpretativi dal punto di vista giuridico risiedono proprio
nell’instaurazione di una silente e non autorizzata comunicazione
tra il computer “ospite” ed il server web “untore”
che ha ad oggetto dati e contenuti prodotti dal primo[12]. Lo
scopo delle imprese che si occupano di raccogliere ingenti quantità
di informazioni provenienti dagli innumerevoli elaboratori elettronici,
in cui i loro poderosi parassiti giacciono in uno stato di quiescenza
in attesa di inviare preziosi dati, è quello di rivendere
il frutto di questi ingenti bottini ad agenzie di marketing
o semplicemente ad altre aziende[13]. Il problema giuridico
da affrontare una volta decifrato il DNA di questi particolari
“parassiti” è quello di verificare la compatibilità
di un prodotto commerciale così particolare con l’ordinamento
giuridico italiano e con il suo complesso tessuto di norme poste
a garanzia della persona e dei suoi interessi primari[14].
Per concludere sul fenomeno spyware un’ultima riflessione:
accanto alla capillare diffusione delle nuove tecnologie informatiche
e telematiche è necessario diffondere la consapevolezza
dei costi e dei rischi ad essa connessi. Mentre i rischi sono
accettati come possibili, i costi da sopportare sono certi e
non sono solo quantificabili in termini monetari, ma anche e
principalmente in quantità di informazioni personali
da voler spendere e conservare.
Leo Stilo
www.leostilo.com
NOTE
[1] ROSSI, Lo spyware e la privacy, in Diritto delle nuove tecnologie
informatiche e dell’Internet ( a cura di CASSANO), IPSOA,
2002, 184 ss.
[2] Per un approfondimento dell’argomento “spyware”
si rinvia al sito www.dirittoesicurezza.it.
[3] MACCABONI, La profilazione dell’utente telematico fra
tecniche pubblicitarie online e tutela della privacy, in Il
diritto dell’informazione e dell’informatica, 2001,
426.
[4] SISTO, Le diverse modalità di distribuzione del software:
freeware, shareware e trial version, in Diritto delle nuove
tecnologie informatiche e dell’Internet, op.cit., 1058:«…rientra
nell’esercizio del diritto di prima pubblicazione la concessione
della facoltà di utilizzare i programmi in diverse forme
racchiuse in tre grandi categorie: il software libero, non-libero
e commerciale…».
[5] CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it .
[6] CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it.
[7] SISTO, Le diverse modalità di distribuzione del software:
freeware, shareware e trial version, op.cit., 1063: «
…omissis…il freeware, software con riserva di copyright,
il quale non è abbinato ad una definizione precisa, ma
in generale viene inteso come software gratuito, del quale però,
elemento importantissimo, non viene reso il codice sorgente.
Infatti l’autore di questo tipo di software concede il
diritto di riprodurlo e distribuirlo solo in ipotesi molto rare,
accordando raramente il diritto di modificarne una parte, realizzando
così una sorta di ibrido tra software libero e proprietario.
Con il suffisso “free” si tende ad indicare poi solo
la gratuità del prodotto, non invece la totale libertà
di modificazione e diffusione concessa all’utente/utilizzatore
come avviene nel caso del software libero».
[8] SISTO, Le diverse modalità di distribuzione del software:
freeware, shareware e trial version, op.cit., 1064: «
Nell’ampia categoria di software “non libero”
rientra sicuramente la tipologia dello shareware, particolare
forma di programma per elaboratore, attraverso la quale il “titolare”
concede all’utente la possibilità di ridistribuzione
e di utilizzare per un tempo determinato il prodotto. Attraverso
l’utilizzo del try & buy sarà possibile pertanto
prendere visione del prodotto nella sua integrità e nel
caso in cui si fosse soddisfatti delle caratteristiche proposte,
comprarlo, versando il danaro richiesto direttamente nelle tasche
del produttore.».
[9] ROSSI, Lo spyware e la privacy, op. cit., 188: «negli
ultimi temi si sta diffondendo tra le case produttrici di software
una modalità di distribuzione particolare, e cioè
il cosiddetto adware. Viene quindi permesso l’utilizzo
gratuito e a tempo indeterminato di un programma a patto che
l’utente si sottoponga ad una serie di comunicazioni a
carattere promozionale, in genere sotto forma di banner pubblicitari
che compaiono nel proprio browser o direttamente nel programma
in questione. I banner pubblicitari vengono prelevati da un
server web dedicato, stabilendo un collegamento tra il computer
e il server web. Per ogni banner visualizzato nel programma,
il suo autore percepisce un compenso che, seppure modesto, concorre
ad un business miliardario se moltiplicato per le decine di
migliaia di persone che utilizzano quel programma».
[1]0 CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it.
[11] Per la definizione di “domini di sicurezza” appare
opportuno riprendere quanto scritto in merito da CIAMBERLANO,
Spyware story, op.cit.: «I programmi eseguibili in un
sistema operativo sono solitamente confinati in quelli che vengono
chiamati in gergo informatico “domini di protezione”;
ciascun dominio (che astrattamente è utile visualizzare
come una zona geografica dai limiti invalicabili al cui interno
vengono confinate le applicazioni) ha il compito di regolamentare
le azioni che ciascun software può compiere, seguendo
specifiche politiche di sicurezza. Semplificando molto la reale
situazione, esempi di domini possono essere: 1) Insieme dei
programmi installati dall’utente sul calcolatore; questi
possono compiere la maggior parte delle azioni, supponendo (ottimisticamente)
che l’utilizzatore non installi software dannoso sul proprio
computer. 2) Insieme dei programmi allegati a pagine web (quest’ultime
possono infatti contenere applet java, activeX, animazioni flash
ed altro, ovvero piccoli software che svolgono compiti più
o meno utili; ad esempio molte chat on-line utilizzano applet
java per gestire il flusso di messaggi); queste applicazioni
sono sottoposte a forti restrizioni: non possono leggere o scrivere
sul disco rigido del computer ospite (per evitare la lettura
o la cancellazione di documenti riservati), né su questo
possono installare o eseguire programmi (per evitare che questi
ultimi, i quali godono di maggiori privilegi, vengano utilizzati
per compiere azioni dannose). Per un esempio reale di applicazione
del concetto di dominio si può sbirciare nelle impostazioni
di sicurezza di internet explorer, avendo cura di non modificare
le impostazioni predefinite a meno di non essere sicuri sugli
effetti del cambiamento: dal menù strumenti di explorer
selezionare “opzioni internet” quindi il tab “protezione”».
[12] GRISENTI , Spyware e domicilio informatico, www.interlex.it/attualit/grisenti3.htm
.
[13] Si pensi alla diffusa pratica pubblicitaria dello spamming,
invio martellante e diffuso di messaggi pubblicitari diretti
a un numero elevato di indirizzi email, rastrellati on-line
utilizzando varie modalità operative. Sul punto si rinvia
a quanto scritto da ERCOLANO, Spamming: una nuova forma di pubblicità
dannosa per i consumatori?, pubblicato in questo numero del
supplemento, 44 ss.
[14] GRISENTI, Spyware: quanti reati con i programmi "indiscreti”,
in www.interlex.it/attualit/ grisenti.htm : «In tempi
di grande attenzione per la privacy, la libertà personale
e la tutela del lavoratore, la Rete si fa veicolo di pericolosi
strumenti che permettono anche al più sprovveduto di
eludere proprio tali forme di tutela. Navigando attraverso alcuni
dei più comuni siti dedicati al download di file (Volftp,
Tucows, e molti altri), si possono reperire programmi specificamente
dedicati a carpire, in maniera invisibile e drammaticamente
efficiente, dati personali, password e ID dell’utente oppure
a controllare ogni attività, ivi inclusa la corrispondenza
e i dati personali, del dipendente. Sembra impossibile, eppure
l’impreparazione alle problematiche giuridiche che la Rete,
con la sua ultraterritorialità, comporta, può
avere anche queste conseguenze».
