Crimine_Dottrina

SPYWARE:
UN "PARASSITA DIGITALE" DAI MILLE "UNTORI"
[03/12/2002] - [modif. con agg.il 12/03/2004]
[di Leo Stilo]

Sommario: 1. Introduzione ad un problema giuridico; 2. Internet: crocevia di dati personali; 3. L'economia di mercato: "terreno di coltura" di un parassita digitale; 4. Dal "brodo primordiale" della distribuzione del software in Rete nasce una particolare moneta di scambio: i dati personali; 5. Un moderno enigma giuridico di nome "spyware"; 6. Spyware: argomenti contro una pratica commerciale illegale.

---

1. Introduzione ad un problema giuridico

Come una micidiale arma stealth il software spyware[1] si muove all'interno del "computer bersaglio" pronto a colpire, inviando dati ed informazioni a sconosciuti ricevitori in perenne ascolto nella rete, all'insaputa dell'ignaro internauta.

La sua azione è velata dalla normalità e dalla genericità delle quotidiane operazioni compiute utilizzando l'elaboratore elettronico.

Questa quotidianità rappresenta l'unico schermo conoscibile e visibile da un operatore “comune", dotato di una cultura informatica generalmente limitata ed indirizzata ai programmi applicativi più comuni; vale a dire all'utente medio le cui conoscenze informatiche sono strettamente legate alla propria attività lavorativa e ad uno o più determinati interessi personali (videogiochi, programmi di grafica, editor di varia natura, lettori MP3...) .

Il buio che circonda questi piccoli e silenziosi programmi informatici impone di svolgere alcune riflessioni in merito :
1. ai “beni” oggetto della ricerca da parte del software spyware;

2. alle modalità tecniche ed informatiche attraverso cui i predetti strumenti concretamente operano[2];

3. alle implicazioni sociali e giuridiche che ruotano attorno al rapporto software-house / utilizzatore finale del programma informatico ospite del "parassita" spyware.

2. Internet: crocevia di dati personali

Il primo momento da analizzare è quello relativo alla ricerca dei “beni” di cui il software spyware è in perenne e spasmodica ricerca.

La diffusione di Internet pone allo studioso e al pratico del diritto alcuni difficili quesiti che diventano enigmatici nel momento in cui si considera questa nuova espressione della tecnologia informatica in rapporto alla tutela dei dati personali.

Internet nasce come una struttura libera e si sviluppa con estrema capillarità, trovando sempre maggiori consensi, proprio grazie a questo suo carattere di luogo dove poter condividere, gratuitamente, informazioni di varia natura.

Il problema nasce nel momento in cui questa estrema libertà si pone in rapporto con il diritto a vedere tutelati i propri dati personali presenti in rete che, per vari motivi, potrebbero essere utilizzati e sfruttati per scopi ignorati dal legittimo titolare.

La diffusione di questa realtà rende evidente, con tratto grave, la difficoltà di “perimetrare” i confini che intercorrono tra la libertà di inviare/ricevere e cercare/trovare informazioni, da un lato, e la tutela della riservatezza della persona e dei dati ad essa appartenenti, dall’altro.

La vasta zona d’ombra è provocata dal conflitto, difficilmente risolvibile con gli attuali strumenti giuridici, tra due contrapposte esigenze, entrambe meritevoli di interesse e protezione da parte dell’ordinamento giuridico[3]:

1. l’estremo vantaggio economico, sociale e culturale che la libera circolazione delle informazioni riesce a produrre;

2. l’estremo rischio della riduzione del singolo individuo ad un ritratto virtuale ottenuto dal rinvenimento e dal trattamento di dati personali sparsi per la rete o ottenuti, in vario modo, dal soggetto[4].

Il rischio di non poter controllare l’utilizzo dei dati personali inseriti nella rete è congenito alla stessa natura dello strumento Internet.

Uno sguardo all’anatomia della “rete delle reti” può aiutare a comprendere la sua intrinseca insicurezza[5].

La caratteristica principale di Internet è quella di essere una rete aperta in cui tutti possono connettersi, per i fini più vari, introducendo e/o estraendo informazioni.

I dati personali inseriti per scopi determinati e conosciuti dall’utente, in tempi e situazioni diverse, possono essere facilmente rintracciati grazie all’utilizzo di numerosi e sempre più specializzati motori di ricerca.

I dati, una volta inseriti nella rete, si distaccano dal fine per il quale sono stati generati e acquistano una vita propria, potendo essere richiamati ed ordinati a seconda dell’interrogazione che il procacciatore di informazioni propone, tramite i motori predetti, alla rete.

Inoltre, i legami ipertestuali con cui è possibile passare da un sito all’altro, portano con sé un vassoio di dati ed informazioni sui nostri gusti ed interessi utili ai gestori del sito o del servizio ed utilizzabili per scopi ignorati dall’utente che li ha generati.

La “profilazione dell’utente”, ossia la messa in evidenza delle linee costituenti gli interessi di ogni singolo utilizzatore della rete, induce a compiere alcune riflessioni.

«Tuttavia, è soprattutto nell’ambito delle indagini di mercato che la tecnica dei profili conosce una delle più significative e proficue applicazioni. L’elaborazione delle strategie di marketing registra anzi uno dei suoi momenti cruciali proprio nella definizione di profili di consumatori-tipo.»[6].

In estrema sintesi, la profilazione consente un duplice vantaggio:

1. tramite l’elaborazione di alcuni dati (ad esempio: età, sesso, titolo di studio, professione, gusti personali ) il produttore riesce ad orientare la produzione sulla base del risultato scaturente da tali indagini, ottenendo una migliore allocazione delle proprie risorse conoscendo in anticipo i gusti, gli interessi e le probabili reazioni al prodotto dei consumatori “bersaglio”;

2. ottenere un incremento delle vendite tramite una pubblicità mirata e quanto più “personale” possibile, ritagliando i messaggi di promozione dei propri prodotti sul profilo del destinatario futuro e probabile acquirente.

La profilazione dell’utente telematico «sembra rispondere all’attuale trasformazione del sistema di produzione e distribuzione delle merci, da sistema prevalentemente di produzione di massa a sistema di personalizzazione i massa»[7].

Le nuove dinamiche del mercato sono sempre più dirette alla ricerca di beni corrispondenti alle esigenze dei singoli e sempre meno segnate dall’analisi dei gusti di una massa informe e non definita.

L’incisività di questi nuovi approcci commerciali è direttamente proporzionale al grado di pianificazione utilizzato nell’elaborazione del piano pubblicitario di attacco ai possibili clienti.

L’elemento necessario e discriminante in tali pianificazioni è rappresentato dal numero e dalla qualità delle operazioni di archiviazione, elaborazione e catalogazione di dati utili.

Internet, assieme ad altre espressioni delle nuove tecnologie, ha notevolmente contribuito a rendere meno onerose le operazioni di raccolta e gestione delle informazioni necessarie alla creazione di un profilo del consumatore “tipo” del prodotto da commercializzare.

Una seconda caratteristica della rete è data dalla sua congenita indole interattiva.

Internet necessita, a differenza della radio o della televisione, di una partecipazione attiva dell’utente che ne solleciti l’attivazione e ne provochi la produzione di notizie.

E’ l’utilizzatore del servizio a scegliere l’indirizzo dei propri interessi e della propria curiosità interagendo con la rete e con le informazioni in essa contenute.

Questo rapporto biunivoco navigatore - Internet / Internet - navigatore produce esso stesso delle nuove informazioni che molto spesso vengono archiviate ed elaborate.

Un soggetto che visita quotidianamente, ad una determinata ora del giorno, un particolare sito richiedendo la visualizzazione di un certo tipo di informazioni è una fonte preziosa di dati (ad esempio: ogni mattina, esclusi i festivi, alle 9:30 circa, il sito di una rivista on-line di sicurezza informatica viene sollecitato a visualizzare, sempre da uno stesso utente, le informazioni relative ai virus e worm presenti in prima pagina).

Queste comuni e frequenti situazioni possono rappresentare, per un fornitore di servizi sulla rete, una proficua serie di informazioni utili al fine di modellare ed integrare la propria attività sul cliente bersaglio ed eventualmente rendere la pagina web, estrinsecazione virtuale della sua attività, una vetrina appetibile ad altre e diverse attività commerciali che si rivelano, dall’elaborazione dei dati così ottenuti, interessanti per quel tipo, determinato, d’utente.

In questa breve panoramica introduttiva al difficile rapporto tra la tutela dei dati personali ed Internet si deve ricordare il carattere internazionale della rete.

Non solo non ci sono frontiere, ma la stessa distanza fisica da un luogo all’altro del mondo non rappresenta più un problema perché è virtualmente superata dalle nuove tecnologie.

Per questo motivo, nella rete, spesso la scelta della via idonea a congiungere due punti non è quella fisicamente più breve; è probabile, infatti, che un messaggio inoltrato da Roma e diretto a Firenze transiti per un vettore che si trovi a Parigi o a Washington.

L’ultima caratteristica che viene sottolineata come rilevante da uno studioso del fenomeno, POULLET, è la molteplicità di operatori che operano nella rete.

Un esempio concreto, ancora una volta, può essere utile per far percepire lo scenario: su Internet una attività relativamente semplice, si pensi all’acquisto di un bene, coinvolge un numero di soggetti generalmente superiore alla norma; infatti, si possono aggiungere al venditore e ai normali vettori: la società di cyber – marketing, il fornitore dell’accesso e quello del servizio Internet… Si ricordi, infine, che ogni singolo soggetto coinvolto in questa semplice, ed allo stesso tempo complessa, transazione commerciale può raccogliere, archiviare ed eventualmente elaborare e cedere dati relativi agli utenti coinvolti.

Appare chiaro a questo punto che la rete può generare dei dati anche all’insaputa dell’utente attraverso un rilevamento costante dei suoi spostamenti.

Oltre a ciò, accanto a queste fonti di raccolta più o meno visibili ve ne sono altre totalmente invisibili alle persone meno esperte e smaliziate[8], legate in particolare all’esistenza dei c.d. cookies, briciole di informazione che inviate al nostro mezzo di navigazione consentono ad un certo sito web di riconoscere l’utente e i suoi movimenti rilevando costantemente gusti ed abitudini.

I cookies svolgono un’importante, ed in alcuni casi insostituibile, funzione nel rapporto che si instaura tra utente e un determinato sito; si pensi ad esempio ad un collegamento-dialogo che si trovi già ad un punto avanzato e che venga interrotto per un qualsiasi motivo: calo di tensione elettrica o semplice caduta della linea.

Grazie a questi strumenti il sito, nei casi in cui tenga memoria delle operazioni predette, riconosce l’utente e le operazioni possono riprendere dal punto interrotto.

Per concludere questo breve ed incompleto discorso introduttivo si vuole tentare di delineare, solo per punti, la fenomenologia dei dati personali potenzialmente presenti e generati in Internet [9] di cui i produttori e gestori di spyware sono alla costante ricerca.

I primi dati personali che sono consegnati, in alcuni casi “ceduti” come prezzo per il servizio, da un “navigatore della rete” sono quelli relativi agli abbonamenti ai diversi servizi di accesso ad Internet che vengono dai gestori ordinati in banche dati.

L’elenco degli abbonati contiene, normalmente, i dati anagrafici e lo username, un codice di identificazione assegnato al singolo utente in cui non vi sono particolari restrizioni, almeno per le notizie di carattere generale, al suo accesso.

In stretto rapporto con questo primo livello di informazioni vi è un secondo livello: l’archivio password, parole d’ordine e codici d’accesso.

Questo secondo archivio o livello di informazioni non è accessibile al pubblico, perché è proprio grazie alla combinazione dell’inserimento contestuale di username e password che il gestore del sistema consente all’utente di accedere ad Internet o ai servizi di cui è fornitore.

Agli archivi, o livelli di informazioni, predetti se ne aggiunge un altro: quello dei log, registrazioni automatiche dei principali dati relativi ai collegamenti ed alle attività svolte durante la connessione/navigazione.

I log generati possono essere anche molto minuziosi e per questo è necessario un attento controllo ed una forte limitazione dell’utilizzo degli archivi in cui tali informazioni vengono custoditi.

«Viene comunemente chiamato data log il registro elettronico tenuto dagli Internet provider e dal quale è possibile risalire…all’identità dei soggetti che utilizzano la rete soprattutto nel caso, in cui, attraverso la rete, siano consumati fatti illeciti (sia sotto il profilo civilistico sia sotto quello penalistico), onde trasmettere tali informazioni all’autorità giudiziaria o, comunque , per esimersi da responsabilità civile nei confronti dei terzi»[10].

Una seconda serie di dati è quella relativa alle informazioni personali contenute all’interno della posta elettronica (electronic mail ).

«La posta elettronica consiste nella trasmissione di messaggi asincroni ad personam. Ogni soggetto dotato di una casella elettronica ha un indirizzo al quale i vari computer servitori delle reti (server), dopo aver fatto rimbalzare il messaggio da un punto all’altro della rete, fanno arrivare, in modo automatico, i messaggi indirizzati a tale utente»[11].

Altri dati personali sono contenuti all’interno del world wide web e delle newsgroup.

La riflessione conclusiva coinvolge tutte le nuove tecnologie digitali che basano la loro stessa esistenza sulla gestione di informazioni e dati: le tracce che tutti noi lasciamo muovendoci ed operando fisicamente (percorrendo l'autostrada, utilizzando la carta di credito, il bancomat e il telefono cellulare...) o "virtualmente" nella rete (dando e ricevendo informazioni in modo volontario o involontario; richiedendo e concedendo l'utilizzo di una serie di dati personali oppure semplicemente consultando determinate notizie piuttosto che altre...) potrebbero rappresentare un terreno difficile da controllare per le organizzazioni giuridiche statali ed internazionali.

Per questo occorre formare e diffondere una nuova coscienza e una diversa concezione delle responsabilità legate alla gestione delle “informazioni”.

Tali realtà non dovranno essere limitate entro i rigidi e vetusti confini nazionali, troppo stretti ed angusti per mezzi completamente slacciati dalla dimensione territoriale, ma proiettate verso una visione globale della società umana.

Il giurista, in quest’epoca di grandi sconvolgimenti tecnologici, deve prepararsi ad un complesso ed affascinante lavoro di ricerca e di sperimentazione.

La necessità di adattare vecchie norme alle nuove esigenze e di progettare sistemi innovativi di regolamentazione, controllo e repressione rappresentano le principali preoccupazioni dei legislatori di tutto il mondo.

Con Internet, in particolare, si riassapora la modernità di un vecchio insegnamento contenuto, come in una macchina del tempo che lo preserva sempre attuale, nella celebre frase «ubi societas, ibi ius».

Non comprendere, fino in fondo, la natura e le modalità operative dei rapporti che nascono in queste nuovo tessuto sociale vuol dire, in realtà, abbandonare la società globale, virtualmente già nata e operante sulla rete, alla terribile e primordiale legge “di natura”, dove il più forte detta le regole che gli altri, i più deboli, sono costretti ad osservare e subire.

Nel vuoto di tutela e di controllo, ad esempio, le organizzazioni criminali sempre più attrezzate con supporti tecnici e conoscenze informatiche potrebbero inserirsi al fine di operare fuori da ogni possibile controllo, ricostituendo così virtualmente quello che l’ordinamento giuridico statale gli ha sottratto fisicamente: un territorio feudale dove poter liberamente ideare, progettare e realizzare i propri interessi.

Il ruolo del territorio, un tempo scenario fisico necessario per qualunque tipo di dinamica sociale ed economica, diviene sempre più marginale.

Alla luce dello scenario che questo breve scritto ha tentato di illustrare, purtroppo necessariamente solo per punti, occorre, anche se a piccoli passi, prendere coscienza di un fenomeno destinato ad estendersi sempre più in profondità nella società, che entra nella vita di tutti non bussando delicatamente alla porta e chiedendo il permesso di entrare, ma sfondando ogni barriera fisica posta davanti al suo cammino, coinvolgendo tutti e tutto.

3. L'economia di mercato: "terreno di coltura" di un parassita digitale.

Il secondo momento da analizzare è quello relativo alla “genesi” storica del software spyware.

La semplificazione delle modalità relazionali uomo/computer è stata dettata principalmente dalla necessità di aumentare il bacino di possibili utilizzatori delle predette apparecchiature elettroniche (tutt'altro che semplici da utilizzare al loro primo apparire).

Questa spinta del mercato ha dato il via a tutta una serie di ricerche tese all'ideazione e alla realizzazione di supporti software che offrissero all'utente un'interfaccia sempre più semplice da utilizzare.

Per realizzare ciò i rapporti tra l'uomo e la macchina da diretti, o quasi, divennero sempre più mediati da sovrastrutture che si moltiplicarono proporzionalmente alla semplicità ed intuitività della suddetta comunicazione.

La fortuna di alcuni software è legata, infatti, all'intuitività dell'interfaccia utilizzata per comunicare con l'utente più che all'affidabilità, alla sicurezza ed alla stabilità dello stesso programma.

Inoltre, la necessità di risparmiare un'ingente quantità di tempo, semplificando operazioni complesse, ripetitive e poco creative riducendole ad un semplice "click" o facendole eseguire in modalità automatica, ha portato con sé la necessità di far compiere all'elaboratore elettronico tutta una serie di compiti in modalità invisibile all'utente.

La comunicazione con l'elaboratore diviene sempre più "mediata" da una serie di programmi che si occupano di semplificare la vita all'utente finale, permettendo di utilizzare apparecchiature complesse attraverso software intuitivi e che richiedono un breve "rodaggio".

Nello stesso periodo in cui i processi di semplificazione della comunicazione uomo/computer andavano evolvendosi, il mercato dei prodotti commerciali scoprì, come indicato nel primo paragrafo, l'efficacia di una pubblicità "digitalmente" mirata.

Grazie a questa scoperta, rivoluzionaria nel suo genere, si abbandonò il c.d. sistema pubblicitario di "sparare nel mucchio", per affidarsi a sistemi nati ai piedi delle nuove tecnologie e caratterizzati dal fatto di basare la loro peculiare incisività su un complesso lavoro di reperimento, archiviazione ed elaborazione di informazioni relative ai gusti ed alle abitudini personali del campione "bersaglio".

A quest'ultimo, infatti, si dovranno offrire, su un piatto preconfezionato, i vari prodotti commerciali che esso stesso inconsapevolmente suggerisce di offrire alla sua attenzione.

La produzione "personalizzata di massa" è ormai una realtà che tende sempre più a soppiantare una "produzione di massa" che inizia a presentare un conto troppo salato in rapporto alle nuove procedure pubblicitarie basate sulla profilazione elettronica del consumatore (bersaglio)[12].

Infine, un terzo elemento deve essere considerato rilevante per la comprensione del fenomeno spyware: la nascita di particolari e recenti modalità di distribuzione dei programmi informatici adottate dalle case produttrici di software freeware, shareware, adware, trial version…[13]

Nel momento in cui la semplificazione dei meccanismi di comunicazione e la tendenza all'utilizzo commerciale delle informazioni personali si trovano ad interagire con queste nuove forme di distribuzione commerciale dei programmi nasce e si diffonde il software "spyware".

4. Dal "brodo primordiale" della distribuzione del software in Rete nasce una particolare moneta di scambio: i dati personali.

Sin dai primi anni della diffusione di Internet l'utente medio aveva a disposizione strutture di comunicazione sufficientemente potenti; tuttavia, le maggiori carenze si avvertivano nel settore dello sviluppo di quelle infrastrutture idonee ad utilizzare al meglio le potenzialità tecnologiche già presenti nella vita privata e professionale[14].

Numerosi servizi, si pensi alla posta elettronica, non erano facilmente utilizzabili a causa della carenza strutturale di programmi, c.d. applicativi, capaci di semplificare e valorizzare tali potenti strumenti.

«Molti programmatori-navigatori spinti dall'insufficienza degli applicativi e dalla speranza non tanto di ricavare vantaggi finanziari, quanto di riuscire ad ottenere il plauso e il rispetto del "popolo della rete" per l'eleganza e la potenza con cui il loro programma risolveva un particolare problema, si cimentarono nella creazione di nuove applicazioni che semplificassero le azioni più comuni: sfruttando la sorprendente capacità di comunicazione del web, tali creazioni potevano essere condivise e diffuse agli altri naviganti. I programmi utilizzabili senza limiti sono chiamati "freeware"»[15 ]

Quello appena descritto può essere considerato come il primo momento della nascita di quel fecondo "brodo primordiale" che rappresenta la premessa logica e causale dei successivi passi che condurranno ad un uso, sempre meno "free", di Internet finalizzato alla distribuzione del software[16].

Il passo successivo è rappresentato da quella serie di programmatori e case produttrici di software che iniziarono a richiedere del denaro a chi avesse avuto intenzione di utilizzare, senza limiti temporali e quantitativi, il software da loro ideato, realizzato e distribuito attraverso la rete[17].

Parallelamente a questi fenomeni di distribuzione all'interno dell'ingegnoso popolo di internauti, tesi per inclinazione genetica alla ricerca di un modo gratuito per utilizzare i diversi e costosissimi programmi "applicativi", si assiste alla diffusione di un particolare hobby: la ricerca dei crack-files, piccoli programmi che consentono di superare le barriere erette dai produttori riuscendo a far utilizzare i programmi oltre i limiti quantitativi o temporali imposti dai programmatori, in origine eliminabili solo da questi ultimi dietro pagamento di un congruo corrispettivo.

Come risposta, numerose case produttrici di software indirizzarono la loro produzione verso la creazione di versioni dimostrative e con evidenti fisiologiche menomazioni rispetto a quelle commerciali.

Queste versioni "limitate" sono dirette, palesemente, solo a far nascere il desiderio di acquistare la versione completa, senza il rischio che qualcuno possa, con qualche minuto di ricerca on-line, sbloccare i codici di sicurezza riuscendo ad utilizzare il programma in modo integrale e gratuito.

La necessità di trovare nuove modalità di distribuzione ha condotto le case produttrici di programmi a percorrere strade diverse per ottenere il più alto profitto con il minore costo e rischio possibile.

Per tale motivo numerosi produttori iniziarono a perseguire una particolare forma di distribuzione del proprio software (c.d. adware), consistente nel concedere gratuitamente il programma a patto che l'utente decida di subire una serie di messaggi pubblicitari (c.d. banner) durante l'utilizzo degli stessi[18].

La differenza principale rispetto al freeware consiste proprio nell'obbligare l'utente finale a visualizzare, durante l'utilizzo del programma adware, i messaggi promozionali dei prodotti commerciali delle aziende che hanno stipulato dei contratti pubblicitari con le case produttrici del software.

In questo modo non è più l'utente, direttamente, a pagare per l'utilizzo del programma ma le varie aziende commerciali che sfruttando la diffusione del programma distribuito gratuitamente riescono ad aprire e mantenere una finestra privilegiata negli schermi di numerosi utenti-consumatori.

Sebbene tale modalità di distribuzione risultò positiva e proficua sia per i programmatori che per le aziende pubblicizzate, la crescente difficoltà di trovare nuove e creative forme di pubblicità on-line comportò un impegno sempre maggiore, con notevole impiego e distrazione di risorse, che le aziende produttrici di software riuscirono a stento a sostenere.

Questo tipo di pubblicità, in un primo tempo, era diretto su una massa informe di possibili e poco probabili consumatori, determinati solo per macrocategorie.

La pubblicità di un prodotto, infatti, veniva sparata nel mucchio indefinito di potenziali acquirenti senza possibilità alcuna di calibrare il messaggio sui gusti personali dei singoli consumatori.

Si sparge a macchia d'olio, così, l'esigenza di raccogliere un numero, il più elevato possibile, di informazioni relative ai gusti e alle abitudini del popolo di Internet allo scopo di divulgare efficacemente, mirando su precisi bersagli, i messaggi promozionali di natura commerciale.

Gli utilizzatori di Internet si dimostrarono restii a fornire, nonostante tutte le lusinghe, le promesse e le fantasiose iniziative delle numerose aziende addette alla raccolta dei dati rilevanti ai fini della profilazione degli utenti, i propri dati personali provocando l'irrigidimento di un meccanismo che si era dimostrato altamente lucrativo.

I dati raccolti, archiviati ed elaborati divennero in modo sempre più chiaro una fonte di ricchezza e in alcuni casi un reale "bene" di scambio.

Ora che il rapporto dati personali / denaro era stato non solo ipotizzato a livello astratto e concettuale, ma concretamente realizzato nella pratica commerciale, occorreva trovare nuove e più potenti forme di reperimento e rastrellamento di queste particolari "monete".

Questi nuovi mezzi dovevano rivelarsi idonei a creare delle "autostrade privilegiate" all'interno della Rete percorribili da flussi sempre più ingenti di dati e diretti, nel breve periodo, a soppiantare la semplice e palese richiesta rivolta all'internauta tramite gli ormai vetusti questionari di varia natura e genere.

Tra le preziose informazioni, custodite nel personal computer degli utenti, e le aziende addette alla loro raccolta, purtroppo per le seconde, il maggior ostacolo al loro incontro era rappresentato dai c.d. "domini di protezione"[19], per superare i quali (escludendo naturalmente modalità esplicitamente illecite) è necessario, in via generale, disporre di una base logistica all'interno del primo.

Come inserire, all'insaputa dell'internauta, un agente segreto e silenzioso pronto ad inviare periodicamente ad ogni collegamento le notizie generate e presenti all'interno del computer ospite?

Il punto di partenza è rappresentato dal software di tipo adware: le aziende utilizzatrici di questa particolare modalità di distribuzione e d'uso del software in passato avevano già instaurato con l'utente un binario di comunicazione che dai propri server era diretto ad aggiornare periodicamente i messaggi pubblicitari sui banner del personal computer in cui era installato il programma adware.

Era sufficiente che all'interno di questi programmi "vettori" fosse inserito accanto al ricevitore un "parassita" rastrellatore e trasmettitore di dati presenti e generati nel computer "ospite".

In questo modo si potevano superare facilmente tutte le possibili politiche restrittive dei domini di sicurezza, perché il programma sarebbe stato libero di operare, senza o quasi, misure restrittive.

Il passo è breve ma fecondo di gravi conseguenze che meritano un'attenta riflessione:

nel momento in cui il flusso delle informazioni diviene biunivoco, cioè non solo dal computer delle aziende pubblicitarie al personal computer del consumatore ma anche in senso inverso, il flusso di ciò che “esce” dal personal computer deve poter essere controllato e gestito dal legittimo titolare.

L'utente medio non è a conoscenza del fatto che assieme a questi programmi applicativi, semplici "vettori infettivi", potranno essere immessi nel computer dei programmi che non si limitano a ricevere gli aggiornamenti della pubblicità, ma che hanno il compito di raccogliere ed inviare, collegandosi senza autorizzazione o avvertimento alcuno, a server sconosciuti informazioni concernenti i gusti e le abitudini di chi utilizza il computer "ospite".

5. Un moderno enigma giuridico di nome "Spyware".

L’ultimo punto da analizzare è quello relativo alla verifica dell’illiceità del software spyware, cioè di quel software di dimensioni generalmente ridotte che viene installato all’insaputa dell’utente nei meandri più disparati del computer, mimetizzandosi, e che approfittando della connessione ad Internet entra in azione in modalità stealth instaurando uno scambio di dati tra il computer “ospite” ed un altro computer remoto pronto a registrare quanto inviato dal “vettore infettivo”.

Tale software, infatti, utilizzando l'accesso alla rete impiegato per le normali attività lavorative o ludiche si mette in contatto, secondo un programma prestabilito, con un particolare server inviando e ricevendo dati.

I problemi interpretativi dal punto di vista giuridico risiedono proprio nell'instaurazione di una silente e non autorizzata comunicazione tra il computer "ospite" ed il server "untore" che ha ad oggetto dati e contenuti prodotti dal primo[20].

Lo scopo delle imprese che si occupano di raccogliere ingenti quantità di informazioni provenienti dagli innumerevoli elaboratori elettronici, in cui i loro poderosi parassiti giacciono in uno stato di quiescenza in attesa di inviare preziosi dati, è quello probabilmente di rivendere il frutto di questi ingenti bottini ad agenzie di marketing o semplicemente ad altre aziende [21].

6. Spyware: argomenti contro una pratica commerciale illegale.

Le attenuanti argomentative che spesso vengono elencate dalle varie case produttrici di software "spyware" (inserito con estrema disinvoltura all'interno di programmi gratuiti, dimostrativi e sempre più anche in quelli a pagamento) si possono così sintetizzare:

a) non sono raccolti dati c.d. sensibili che potrebbero essere utilizzati a fini discriminatori;

b) nella raccolta manca una correlazione tra i dati e le persone che li producono.

A tali osservazioni si possono però muovere due ordini di critiche: il primo di natura sostanziale e logica e il secondo di natura giuridica e formale.

I ) Per quanto riguarda le critiche di natura sostanziale e logica, se la raccolta è così innocente ed impersonale:

1. Perché non si informa in modo adeguato l'utente, futuro fornitore di preziosi dati, di quello che in realtà avverrà utilizzando il programma vettore di spyware ?

2. Perché la comunicazione deve avvenire in modalità invisibile e non è controllabile dall'utente, in modo che quest’ultimo possa esprimere il suo consenso all’invio dei “suoi” dati ?

3. Perché la trasmissione di dati avviene in modo criptato, cioè senza la possibilità per chi non disponga delle dovute “chiavi” di decodifica o non utilizzi lo stesso linguaggio convenzionale, di decifrare il reale contenuto della trasmissione in modo da poter verificare la quantità e il tipo di dati che vengono prelevati dal suo computer ?

4. Perché le case produttrici di software non si occupano di tradurre, nelle diverse lingue le condizioni contenute nella licenza d'uso e in particolare non indicano in modo adeguato la presenza di un meccanismo come quello degli spyware che viola in modo così profondo la privacy del titolare del computer ?

5. Perché una volta cancellato il programma "vettore" il software spyware, in alcuni casi, rimane all'interno del computer vivendo di vita propria e richiedendo numerose e complesse operazioni per la sua completa eliminazione dal sistema ?

Queste sono solo alcune delle numerose ed angosciose domande che attendono una risposta concreta dalle case produttrici di software che utilizzano programmi di tipo spyware.

Queste ultime devono considerare, innanzitutto, che i programmi vettori di spyware sono distribuiti in tutto il mondo grazie ad Internet ed alle riviste che fanno a gara per reperirli e distribuirli in gran quantità; per questo motivo le condizioni contrattuali in essi presenti devono essere indicate in modo semplice, chiaro e sintetico nelle varie lingue dei possibili futuri utilizzatori.

II) Per quanto riguarda le critiche giuridiche il problema da affrontare una volta decifrato il DNA di questi particolari "parassiti" è quello di verificare la compatibilità di un prodotto commerciale così particolare con l'ordinamento giuridico italiano e con il suo complesso tessuto di norme poste a garanzia della persona e dei suoi interessi primari.

Naturalmente il fenomeno “spyware” si presenta nella realtà pratica in diverse e numerose forme; per questo motivo, la verifica puntuale di tutte le norme che lo stesso può violare durante il suo ciclo vitale è in astratto difficilmente realizzabile.

Bisogna considerare la situazione caso per caso analizzando soprattutto gli elementi, licenza o altre comunicazioni, che rendono noto al futuro utente la presenza di un tale software e, in particolare, il potere dato allo stesso utilizzatore di limitare o impedire l’instaurazione della comunicazione con l’esterno.

Tuttavia, le caratteristiche primarie del software spyware possono risultare utili per individuare le fattispecie penali che comunque il suo impiego commerciale e non può integrare.

Tra le caratteristiche minime si ricordano:

1. installazione automatica del software spyware all’insaputa dell’utente;

2. instaurazione non voluta dall’utente di una comunicazione biunivoca tra il computer in cui tale programma risiede e quello di chi è interessato a carpire e registrare le informazioni;

3. l’impossibilità per l’individuo a cui appartengono i dati di esprimere il consenso alla cessione delle informazioni;

4. l’impossibilità di individuare, esprimere o modificare il fine per il quale si acconsente all’invio delle informazioni contenute sul proprio computer;

5. l’utilizzo dei dati e il loro trattamento con mezzi e per fini sconosciuti all’utente.

In considerazione di questi aspetti minimi, si possono individuare alcune norme ed alcuni principi fondamentali che appaiono palesemente violati dalla condotta in precedenza descritta, lasciando naturalmente aperta ogni successiva considerazione da effettuare caso per caso in base alla natura del software, al tipo di collegamento instaurato e al materiale veicolato.

Per quanto riguarda le norme contenute nel codice penale, a colpo d’occhio, il software spyware può essere veicolo e strumento di un accesso abusivo ad un sistema informatico (art. 615 ter c.p).

Tale reato, infatti, è commesso da chiunque abusivamente si introduce in un sistema informatico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

Inoltre, questo particolare software, veicolando dati e informazioni espressione della persona dell’utente, viola palesemente l’insieme delle norme fondamentali poste a tutela dei dati personali contenute nella vecchia legge n. 675 del 1996 e nel nuovo codice in materia di protezione dei dati personali (D. Lgs. 196/03)22 in quanto il tipo di “approvvigionamento” dei dati effettuato dal software spyware viene effettuato all’insaputa del titolare, senza il suo necessario ed esplicito consenso e senza che lo stesso possa quantificare e qualificare i dati che vengono ad esso sottratti.

Come in precedenza indicato è necessario esaminare ogni caso contestualizzandolo, in quanto gli illeciti che l’utilizzo del software spyware può determinare mutano al mutare di diverse e numerose variabili.

Per concludere questo scritto, che vuole rappresentare solo una breve introduzione ad un problema che necessita di un più ampio approfondimento, una riflessione: accanto alla capillare diffusione delle nuove tecnologie informatiche è necessario diffondere la consapevolezza dei costi e dei rischi ad essa connessi.

Mentre i rischi (virus, attacchi informatici…) sono accettati come possibili, i costi da sopportare sono certi e non sono solo quantificabili in termini monetari, ma anche e principalmente in quantità di dati personali da voler spendere e conservare.

NOTE

[1] ROSSI, Lo spyware e la privacy, in Diritto delle nuove tecnologie informatiche e dell'Internet ( a cura di CASSANO), IPSOA, 2002, 184 ss.

[2] Per un approfondimento dell'argomento "spyware" si rinvia al sito, in DirittoeSicurezza [www.DirittoeSicurezza.it] .

[3] GRIPPO, Intenert e dati personali, in Privacy, in Enc. Cendon, Padova, 1999, 284.

[4] Art. 17, «Limiti all’utilizzabilità di dati personali », legge 31 dicembre 1996 n. 675: «Nessun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato dei dati personali volto a definire il profilo o la personalità dell’interessato».

[5] Per approfondimenti sul punto si suggerisce la lettura di: POULLET, Riservatezza e sicurezza delle reti, in supplemento n.1 al bollettino n.5 della Presid. del Consiglio dei ministri.

[6] MACCABONI, La profilazione dell’utente telematico fra tecniche pubblicitarie ondine e tutela della privacy, in Il diritto dell’informazione e dell’informatica, 2001, 425.

[7] MACCABONI, La profilazione dell’utente telematico fra tecniche pubblicitarie ondine e tutela della privacy, op.cit., 426; SAMARAJIVA, Interactivity as though privacy matterei, in AGRE – ROTEMBERG, Technology and Privacy: The new Landescape, Massachusetts, 1997, 277.

[8] ROSSI, Lo spyware e la privacy, op.cit., 184: « Ad oltre trent’anni di distanza dalla nascita di Internet, con il consolidarsi di pratiche universalmente adottate dal popolo dei “navigatori” su cui gli ordinamenti statali di tutto il mondo sono intervenuti nel tentativo di tutelare la riservatezza…(omissis)… si verifica una serie indefinita di situazioni e di occasioni in cui la privacy viene non solo violata, ma in alcuni casi anche messa al servizio di imprese che, nella migliore delle ipotesi, sono pubblicitarie e di marketing. ».

[9] SCALISI, Il diritto alla riservatezza, Milano, 2002, 307: « possiamo distinguere, essenzialmente, quattro categorie di informazioni: a) dati personali relativi agli abbonati normalmente ordinati in banche dati…b)dati e informazioni personali relativi alla posta elettronica…c) le notizie sul world wide e newsgroup…d) dati relativi agli spostamenti sul world wide web».

[10] MONDUCCI, Il trattamento dei dati personali nei contratti on line, in Diritto delle nuove tecnologie informatiche e dell’internet ( a cura di GIUSEPPE CASSANO), IPSOA, 2002, 593.

[11] GRIPPO, Intenert e dati personali, op. cit., 296.

[12] MACCABONI, La profilazione dell'utente telematico fra tecniche pubblicitarie online e tutela della privacy, op.cit., 426.

[13] SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial version, in Diritto delle nuove tecnologie informatiche e dell'Internet ( a cura di CASSANO), IPSOA, 2002, 1058:«...rientra nell'esercizio del diritto di prima pubblicazione la concessione della facoltà di utilizzare i programmi in diverse forme racchiuse in tre grandi categorie: il software libero, non-libero e commerciale...».

[14] CIAMBERLANO, Spyware Story, in DirittoeSicurezza [www.DirittoeSicurezza.it] .

[15] CIAMBERLANO, Spyware Story, in DirittoeSicurezza [www.DirittoeSicurezza.it].

[16] SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial version, op.cit., 1063: «...omissis...il freeware, software con riserva di copyright, il quale non è abbinato ad una definizione precisa, ma in generale viene inteso come software gratuito, del quale però, elemento importantissimo, non viene reso il codice sorgente. Infatti l'autore di questo tipo di software concede il diritto di riprodurlo e distribuirlo solo in ipotesi molto rare, accordando raramente il diritto di modificarne una parte, realizzando così una sorta di ibrido tra software libero e proprietario. Con il suffisso "free" si tende ad indicare poi solo la gratuità del prodotto, non invece la totale libertà di modificazione e diffusione concessa all'utente/utilizzatore come avviene nel caso del software libero».

[17] SISTO, Le diverse modalità di distribuzione del software: freeware, shareware e trial version, op.cit., 1064: «Nell'ampia categoria di software "non libero" rientra sicuramente la tipologia dello shareware, particolare forma di programma per elaboratore, attraverso la quale il "titolare" concede all'utente la possibilità di ridistribuzione e di utilizzare per un tempo determinato il prodotto. Attraverso l'utilizzo del try & buy sarà possibile pertanto prendere visione del prodotto nella sua integrità e nel caso in cui si fosse soddisfatti delle caratteristiche proposte, comprarlo, versando il danaro richiesto direttamente nelle tasche del produttore».

[18] ROSSI, Lo spyware e la privacy, op. cit., 188: «negli ultimi temi si sta diffondendo tra le case produttrici di software una modalità di distribuzione particolare, e cioè il cosiddetto adware. Viene quindi permesso l'utilizzo gratuito e a tempo indeterminato di un programma a patto che l'utente si sottoponga ad una serie di comunicazioni a carattere promozionale, in genere sotto forma di banner pubblicitari che compaiono nel proprio browser o direttamente nel programma in questione. I banner pubblicitari vengono prelevati da un server web dedicato, stabilendo un collegamento tra il computer e il server web. Per ogni banner visualizzato nel programma, il suo autore percepisce un compenso che, seppure modesto, concorre ad un business miliardario se moltiplicato per le decine di migliaia di persone che utilizzano quel programma».

[19] Per la definizione di "domini di sicurezza" appare opportuno riprendere quanto scritto in merito da CIAMBERLANO, Spyware story, op.cit.: «I programmi eseguibili in un sistema operativo sono solitamente confinati in quelli che vengono chiamati in gergo informatico "domini di protezione"; ciascun dominio (che astrattamente è utile visualizzare come una zona geografica dai limiti invalicabili al cui interno vengono confinate le applicazioni) ha il compito di regolamentare le azioni che ciascun software può compiere, seguendo specifiche politiche di sicurezza. Semplificando molto la reale situazione, esempi di domini possono essere: 1) Insieme dei programmi installati dall'utente sul calcolatore; questi possono compiere la maggior parte delle azioni, supponendo (ottimisticamente) che l'utilizzatore non installi software dannoso sul proprio computer. 2) Insieme dei programmi allegati a pagine web (quest'ultime possono infatti contenere applet java, activeX, animazioni flash ed altro, ovvero piccoli software che svolgono compiti più o meno utili; ad esempio molte chat on-line utilizzano applet java per gestire il flusso di messaggi); queste applicazioni sono sottoposte a forti restrizioni: non possono leggere o scrivere sul disco rigido del computer ospite (per evitare la lettura o la cancellazione di documenti riservati), né su questo possono installare o eseguire programmi (per evitare che questi ultimi, i quali godono di maggiori privilegi, vengano utilizzati per compiere azioni dannose). Per un esempio reale di applicazione del concetto di dominio si può sbirciare nelle impostazioni di sicurezza di internet explorer, avendo cura di non modificare le impostazioni predefinite a meno di non essere sicuri sugli effetti del cambiamento: dal menù strumenti di explorer selezionare "opzioni internet" quindi il tab "protezione"».

[20] GRISENTI , Spyware e domicilio informatico, in InterLex [www.interlex.it].

[21] Si pensi alla diffusa pratica pubblicitaria dello spamming, invio martellante e diffuso di messaggi pubblicitari diretti a un numero elevato di indirizzi email, rastrellati on-line utilizzando varie modalità operative. Sul punto si rinvia a quanto scritto da ERCOLANO, Spamming: una nuova forma di pubblicità dannosa per i consumatori?, Il Nuovo Diritto, 2002, 44 ss.

[22] Per un maggiore approfondimento del tema del contrasto tra software spyware e la normativa in materia di trattamento di dati personali si rinvia agli autorevoli contributi pubblicati su InterLex [www.interlex.it]; tra i più recenti: MONTI , Codici deontologici: se chi ruba i dati può scrivere le regole, 16.10.03; CAMMARATA, "Spyware", Qualcosa non va nel codice della privacy, del 10.09.03. Infine, sempre di MONTI si consiglia la lettura di diversi contributi pubblicati all’interno di ICTLAW [www.ictlaw.net].