SPAM da parte di un parlamentare italiano

SPAM da parte di un parlamentare italiano

Ho deciso di partire in modo diretto, con un titolo spiazzante in pieno stile “G”. Voglio essere chiaro, raccontare i fatti (perchè è di fatti che parlerò) in modo completo, senza lasciare nulla nella nebbia, quindi mi tocca rinunciare all’essere conciso (visto che già scrivo raramente qui, spero me lo perdonerete). Per darvi un quadro completo dell’accaduto, devo prenderla parecchio larga e partire…

…dall’antefatto: il 9 Dicembre scorso, ricevo una mail, una newsletter, dall’indirizzo segreteria@patriziatoia.info. Arriva dal sito http://www.patriziatoia.info/, di una certa Patrizia Toia, “Vicepresidente del gruppo S&D al Parlamento Europeo”, Europarlamentare del Partito Democratico.

Sono un sysadmin, e sono in prima linea contro lo spam ogni giorno per permettere a varie persone di continuare ad usare le loro caselle email senza dover nuotare nella spazzatura. Quando una mail indesiderata passa attraverso i filtri mi innervosisco non poco. Ed ero particolarmente sicuro si trattasse di spam, perchè conservo tutte le conferme di iscrizione alle newsletter, e non ne trovavo nessuna in merito nella mia mailbox.

Non troppi lo sanno, ma oltre all’ottima coppia Spamassassin e Spamcop ci sono anche delle leggi che ci proteggono da tale “piaga” (consiglio queste due pagine di Paolo Attivissimo in merito).

Se fosse stata una mail normale, anonima, simile alle altre, lo confesso, l’avrei cancellata. Ma qui la situazione era diversa, questa mail era stata inviata da un (euro)parlamentare. Decido di rispondere alla newsletter, chiedendo chiarimenti:

Salve,

potrebbe gentilmente indicarmi come sono stato iscritto a questa newsletter, riportandomi nel caso l’indirizzo IP che ha effettuato l’iscrizione per conto mio e confermato la stessa?

Grazie

Cordiali Saluti
Bonfiglio Giorgio

La risposta da parte della segreteria della Toia, 3 giorni dopo, lascia ben poco spazio a (eventuali) dubbi:

Gentile dr. Bonfiglio,

non sono in grado di fornirle queste informazioni, ma se lo richiede posso cancellarla.

Saluti cordiali,

La segreteria

Parafrasando, non avevano la minima idea di quale fosse la provenienza del mio indirizzo nè avevano prove del fatto che io avessi mai dato il consenso a ricevere tali mail. Prove che, sia chiaro a tutti, per chi raccoglie in modo legale indirizzi email, consistono in non più di una riga in un database, che indica l’IP e data della registrazione e dell’avvenuta conferma della stessa; riga che si recupera e invia su richiesta in trenta secondi o poco più. Sono gli stessi dati che richiedono i gestori delle blacklist quando un IP viene segnalato come spam da più persone ma il suo contatto abuse nega l’accaduto.

Ma era natale, avevo poca voglia di litigare e poco tempo da perdere, quindi ho lasciato correre. Non ho richiesto la cancellazione per avere la possibilità di monitorare il flusso di spam nei mesi seguenti. Faccio notare ad un eventuale poco attento lettore che dire “non ho richiesto la cancellazione” è ben diverso da dire “mi sono registrato alla newsletter prestando il mio consenso al trattamento dei miei dati personali”.

E con questo si chiude l’antefatto.

Mi ero completamente dimenticato della vicenda, ma lo scorso 5 Maggio la storia si ripete: newsletter dall’indirizzo news@emanuelefiano.info, sito web http://emanuelefiano.info/, di tale “Emanuele Fiano”, membro (cito testualmente) “della IX COMMISSIONE (TRASPORTI, POSTE E TELECOMUNICAZIONI) e del COMITATO PARLAMENTARE PER LA SICUREZZA DELLA REPUBBLICA”, parlamentare, Partito Democratico.

Questa volta si sale di un livello nella scala dello spam, in quanto si propone una iniziativa con relativi link e richiesta di “Parteciperò” su pagina Facebook di un evento (usata in modo scorretto, ma tant’è). E saliamo di un punto anche nella scala degli spammer, in quanto questa volta si tratta di un parlamentare italiano, membro della commissione “poste e telecomunicazioni”, che più di altri dovrebbe conoscere la legge sulla privacy e il significato di parole come “posta indesiderata”.

Mi ha fatto quantomeno sorridere il fatto che la lettera aperta pubblicizzata (no, spammata), firmata oltre che dallo stesso Emanuele Fiano da Michel Dreyfuss e Sara Elter, iniziasse con:

Chi scrive, è cittadino di questa Repubblica, ne osserva le Leggi e ne rispetta la Costituzione.

Insomma. Considerato che quella che stavo leggendo era una sua newsletter non richiesta, inviata in violazione della vigente legge sulla Privacy, avrei preferito leggere una più onesta versione di quella riga, ad esempio:

Chi scrive, è cittadino di questa Repubblica, ne osserva le Leggi (ad esclusione di quella sulla Privacy) e ne rispetta la Costituzione.

Il 6 Maggio, armato di molta pazienza, e forte della precedente esperienza di Massimo Cavazzini di cui avevo letto per caso tempo fa, rispondo alla newsletter ricevuta, mettendo in copia Fiano stesso (fiano_e@camera.it), il Garante, un’altra email indicata nel testo (letteracontromanifestazione@gmail.com) e il contatto tecnico del dominio emanuelefiano.info (pmol@mac.com) per richiedere dove fosse stato preso il mio indirizzo, ed eventualmente, prova del mio consenso dato per ricevere tali email:

Gentile Sig. Emanuele Fiano,

è con molto dispiacere che questa mattina ho accolto la sua mail che trova in calce. Un parlamentare, una persona eletta dal popolo per rappresentarlo di fronte alla legge, dovrebbe conoscere meglio di altri le leggi e normative in vigore. Mi riferisco, nello specifico, a quella sulla privacy, che sancisce l’obbligo di ricevere consenso da parte dell’interessato prima di inviare comunicazioni massive di tipo informativo o commerciale.

Può visionarla qui: http://escher.drt.garanteprivacy.it/garante/document?ID=228228. Ci sono precedenti interessanti di persone e/o aziende multate per tali pratiche (http://www.maxkava.com/spam/spam_intro.htm) sia in italia che all’estero (casi in cui si è arrivati addirittura a sanzioni penali).

Sono quindi con la presente a richiederle, ai sensi dell’articolo 7 del D. Lgs. 30 giugno 2003, n. 196 (Testo Unico in materia di protezione dei dati personali):

– Il nome, cognome ed indirizzo del titolare responsabile legale del trattamento;
– Se è in possesso di una mia dichiarazione con la quale vi autorizzo al trattamento dei miei dati personali (il mio indirizzo di e-mail), resa con le modalità previste dall’art. 13 del D. Lgs. 30/6/2003 n. 196;
– L’origine dei miei dati personali in suo possesso;
– Nel caso i dati fossero stati acquisiti da terzi, se questa terza parte è in possesso (oltre alle liberatorie precedenti) di una mia dichiarazione, resa anch’essa con le modalità sopra citate, con la quale la autorizzo alla diffusione dei dati;

Valga la presente anche come DIFFIDA all’ulteriore trattamento dei miei dati personali in suo possesso, con riserva di ogni azione e ragione anche per il risarcimento dei danni.

Richiedo inoltre l’immediata cancellazione di tali dati secondo quanto previsto dalle lettere b) e c) dell’art. 7 comma 3 del D. Lgs. 30/6/2003 n. 196.

In caso di mancato o inidoneo riscontro alla presente istanza entro il termine di 7 giorni, il sottoscritto si riserva, ai sensi dell’art. 145 del D. Lgs. 30/6/2003 n. 196, di rivolgersi all’autorità giudiziaria o di presentare ricorso al Garante per la protezione dei dati personali.

Cordiali Saluti
Giorgio Bonfiglio

Mentre raccoglievo dati sul caso, mi sono accorto di una strana somiglianza tra gli headers delle mail della Toia e quelle di Fiano. Nello specifico, nelle mail della prima notavo:

Received: from patrizia by server2.miospazio.net with local (Exim 4.69)

E in quelle del secondo:

Received: from segfiaem by server3.fattispazio.it with local (Exim 4.69)

Gli hostname dei server erano molto simili, e già mi avevano insospettito la struttura dei due indirizzi email e quei due domini “.info”. Anche la veste grafica dei due siti, avevo notato, aveva molti elementi di somiglianza.

Troppi legami, inizio a sospettare del fatto che i due casi di spam non siano poi così tanto separati. Il caso si stava facendo più interessante di quanto avessi inizialmente immaginato.

Non erano in programma, ma decido di fare ulteriori analisi tecniche per approfondire la question. Scopro in pochi minuti che i siti sono ospitati sullo stesso server, con IP 108.61.91.3 e che il contatto tecnico dei due domini è lo stesso: Paolo Molina, ARP scrl, Milano. Anche i nameserver autoritativi sono gli stessi, NS1.FATTISPAZIO.IT ed NS2.FATTISPAZIO.IT.

Strane coincidenze, insomma. Ricevo due mail spazzatura in sei mesi ed entrambe partono da siti creati dalla stessa webagency? A chi lavora nel settore, qualche immediato sospetto viene. Ma decido di continuare, guardando ai fatti, senza fare supposizioni.

C’entra poco con la questione ma avendo sotto gli occhi i dati di registrazione dei due domini mi permetto di far notare un dettaglio al Fiano e alla Toia: il regolamento ICANN (che per chi non lo sapesse è l’autorità che gestisce l’assegnazione dei nomi a dominio) impone che il contatto amministrativo (admin-c) di un determinato dominio sia il reale proprietario/utilizzatore. Più volte è stato chiarito che essendo quello il contatto adibito alla conferma di eventuali trasferimenti, questo non debba essere la webagency / webmaster che gestisce il sito web, bensì il reale “committente” utilizzatore.

Serve ad evitare che chi ha creato un sito per conto di qualcun altro possa appropriarsi del dominio o rendere difficile/impossibile il trasferimento dello stesso in caso di problemi con il cliente, ma serve anche perchè è un diritto di chi guarda da fuori sapere chi gestisce il sito web, di chi è, chi lo ha registrato e chi lo paga.

Ad oggi, 16 Maggio, non ho ricevuto risposta alcuna da parte di Fiano nè da parte del contatto tecnico. I 14 giorni entro i quali la legge impone io debba ricevere risposta alle mie domande scadono questa Domenica, 20 Maggio. Non credo riceverò risposte esaurienti, perchè io so bene a cosa mi iscrivo e per cosa presto il consenso.

Le parti in gioco sono diverse: i due politici, le relative segreterie (che probabilmente si sono occupate di inviare materialmente la newsletter) ed infine chi gestisce i due siti. Due catene da tre elementi, in cui uno è in comune. E sono sicuro che uno dei tre anelli di ogni catena abbia le risposte che cerco (e che, lo ricordo, è mio diritto avere): da dove arriva il mio indirizzo, chi materialmente l’ha messo in quel database, perchè l’ha fatto, su richiesta di chi altro.

Un elemento di ognuna delle due catene gioca sporco, e almeno uno degli altri due anelli pecca di negligenza. Spiego meglio: se, come qualcuno mi ha suggerito, fosse stato un portaborse a gonfiare il database di indirizzi, avremmo una webagency che permette bombardamenti di email dai suoi server ed un politico poco attento. Se fosse stato il politico a gonfiare il database, avremmo una webagency poco attenta agli attacchi spam in uscita. Se invece fosse stata la webagency a riempire il database, avremmo un politico che non si è chiesto come facesse quel database ad essere così pieno di indirizzi.

In ogni caso, salta all’occhio la mancata risposta della webagency alla mia mail; chi fa il mio stesso lavoro sa quanto sia critico gestire in near-realtime le segnalazioni, e rispondere a queste in tempi celeri, per evitare di far innervosire chi sta subendo un disagio o anche il “semplice” blacklisting degli IP coinvolti. Credo di non aver mai ritardato più di 24 ore nella risposta ad una segnalazione ricevuta, e qui sto aspettando da dieci giorni.

Non so chi abbia sbagliato, ma il cerchio è bello stretto, e, come ho dimostrato, le possibili responsabilità sono fortemente legate tra di loro.

Sento quindi la necessità di chiedere alle parti che ho citato chiarimenti, qui, in modo trasparente, davanti a tutti, e che siano presi adeguati provvedimenti contro chi ha sbagliato per evitare il ripetersi di simili spiacevoli e fastidiosi inconvenienti in futuro.

Si tratta di un mio diritto, da esercitare nei confronti di due persone che, a vario titolo, almeno in teoria, rappresentano il popolo italiano di cui io faccio parte e che dovrebbero essere le prime a rispettare le leggi e a farle rispettare ai propri collaboratori.

Giorgio

5 thoughts on “SPAM da parte di un parlamentare italiano

  1. Ottimo lavoro, Giorgio!
    Questi comportamenti sono molto interessanti. Altro che social media: qui mancano proprio i fondamentali.

  2. ciao Giorgio è sempre un piacere leggerti.. anche se poco concisa, questa storia è veramente interessante, tienici informati in merito agli sviluppi futuri.

  3. Grazie ragazzi!

    Ovviamente vi terrò aggiornati, anche perchè ho in programma di segnalare l’articolo direttamente agli interessati (volevo farlo ieri sera ma mi sono riservato una finestra per eventuali edit -che ci sono stati-).

    Roberto: commissione per le telecomunicazioni, ricordo.

  4. Finché non ci sono persone come te e me che non lasciano passare queste cose impunite queste cose continueranno a dilagare. Purtroppo. Stesso problema con diversi politici qua in zona.

    1. Ti dico, già è fastidioso di per sè. In più questa cosa che ho notato della webagency in comune mi fa venire molti più sospetti di quanti ne avessi inizialmente

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.