L'ultima frontiera degli spammers: l'utilizzo illecito di dati personali per pubblicizzarsi nei motori di ricerca

Cercare il proprio nome, quello di un amico, di una ragazza o della propria azienda nei motori di ricerca, prima o poi capita a tutti, ma negli ultimi mesi di fronte ad un parametro inviato a Google, Yahoo e co. i risultati riportano più di quanto un utente possa immaginare, almeno se l'oggetto della ricerca non è un vip o una star del jet set internazionale.

Cosi' capita di trovare, tra gli ultimi risultati restituiti da un motore di ricerca (SERP), siti esteri nelle cui pagine è presente il nostro parametro, magari sotto forma di link o accostato a parole totalmente fuori luogo, bizzarre, o peggio, altamente oscene.

Nell'immagine a seguire è visibile uno di questi risultati, come compare in Google. Il parametro digitato è ad es. “Mario Rossi” con l'ausilio delle virgolette per rendere mirata la ricerca:



Come è evidente dall'esempio, a fianco al nominativo ricercato è presente un link il cui percorso, è formato da parole spropositate, termini strategici che non hanno nulla a che vedere con “Mario Rossi” o comunque poco pertinenti con un individuo che magari nella realtà conosciamo di persona e non si occupa di vendite all'ingrosso. Ulteriore singolarità è che la pagina del risultato (in verde) appartiene ad un sito di origine coreana.

Finchè il nominativo è composto da un semplice nome e cognome, per di più abbastanza comuni, il problema non sembrerebbe essere concretamente e giuridicamente rilevante. Il problema diventa significativo quando gli spammers optano per parametri sempre più mirati e noti, scegliendo nomi di persone o aziende, codici fiscali o numeri di partita IVA "catturati" da portali particolarmente conosciuti o con un punteggio elevato (page rank) nei motori di ricerca.

Se ad es. lo “Studio Legale Rossi” è pubblicizzato su un sito particolarmente noto di diritto, i software di cattura/scansione automatica del testo (c.d. spiders) degli spammers prenderanno il suddetto nominativo e, dopo averlo mischiato a parole di altra natura particolarmente ricercate, lo spammeranno sui blog o siti web più disparati. Con il rischio che un motore di ricerca produca risultati di questo tipo:



ove il parametro ricercato è utilizzato come sottodominio di "jivbjurtjibvfrprio.info".
Può accadere, tuttavia, che compaiano risultati particolarmente "sorprendenti" come questo:



in cui il nome e la località dello studio legale compaiono nel titolo e nell'indirizzo del risultato ed il contenuto della pagina riporta persino il nome del titolare (elementi volutamente occultati nell'esempio).

Quelle appena viste sono tecniche di SEO (Search Engine Optimization), con finalità di spam. Trucchi ed ottimizzazioni operati sfruttando parole chiave strategiche per incrementare la visibilità di interi siti o singoli URL nei motori di ricerca.

I webmasters dei siti e dei blog (il più delle volte asiatici), che riportano i risultati innanzi visti, non sempre sono consapevoli dell'attività illecita a cui si presta il proprio portale; spesso infatti gli spammers sfruttano piattaforme open source particolarmente bacate per "iniettare", sotto forma di commenti a notizie o articoli, una quantità copiosa di testo e URL. Indirizzi, come il già visto "jivbjurtjibvfrprio.info", che costituiscono il vero motivo all'origine dello spam ed a cui corrispondono spam engine o semplici pagine web piene di virus e malware.

Diversamente, vi sono casi in cui un nominativo è usato volutamente dai webmasters per reclamizzare siti di natura oscena, occultato tra le pagine sotto forma di meta tag o di semplice testo inserito nel codice HTML, colorato di bianco e nascosto sotto immagini dai contenuti particolarmente "espliciti".

Normalmente la presenza di SEO spam emerge dal modo in cui figura il nominativo di nostro interesse tra i risultati di ricerca: con le iniziali in lettera minuscola, spesso con un trattino "-" che separa le varie parole, incorporato in links particolarmente complessi come sottodominio, directory, sottodirectory, etc.

L'utilizzo abusivo di un nominativo e di tecniche di SEO per incrementare la notorietà di un sito, non va confuso con il pornosquatting. La precisazione va fatta in quanto il Garante per la protezione dei dati personali, interessandosi marginalmente della questione ha affermato, nella Relazione 2005 datata 7 luglio 2006, quanto segue:

“Da alcune ricerche preliminari curate da questa Autorità, si è potuto verificare che i casi di specie rientrano nel fenomeno, diffuso in Internet, meglio noto come "pornosquatting" che consiste nell'inserire nomi di personaggi famosi, o di noti marchi, tra le parole chiave riscontrabili nei cd. "meta-tag" (stringhe ipertestuali) della pagina web, che dovrebbero descrivere essenzialmente il contenuto del sito [...]”

Il pornosquatting consiste nella registrazione di un dominio Internet, corrispondente ad un nome o un marchio famoso, a cui viene associato un sito dai contenuti osceni.


Un passaggio della relazione, che avrebbe potuto offrire spunti interessanti è il seguente:

“La circostanza che i titolari dei siti pornografici utilizzino nomi di personaggi noti per rendere maggiormente "reperibili" gli indirizzi dei siti stessi può peraltro essere considerata alla stregua di uno sfruttamento illegittimo della notorietà delle persone coinvolte, oltre che un'induzione in errore degli utenti [...]”

ma il condizionale passato non è casuale, essendo tale stralcio difficilmente accostabile al caso di specie. L'Authority accenna infatti a personaggi noti e ad una condotta "attiva" da parte del webmaster, cosa che nella realtà non è agevolmente riscontrabile.

Giuridicamente, in ambito civile, ciò che rileva è l'uso indebito del nome altrui, tutelabile ai sensi dell'art. 7 c.c., di seguito riportato:

[1] La persona, alla quale si contesti il diritto all'uso del proprio nome o che possa risentire pregiudizio dall'uso che altri indebitamente ne faccia, può chiedere giudizialmente la cessazione del fatto lesivo, salvo il risarcimento dei danni.
[2] L'autorità giudiziaria può ordinare che la sentenza sia pubblicata in uno o più giornali.

Il disposto prevede al primo comma l'esperibilità di due azioni: inibitoria e risarcitoria.

In entrambi i casi l'attore dovrebbe dimostrare il pregiudizio connesso con l'uso indebito del proprio nome, pregiudizio meramente potenziale ai fini della c.d. azione di usurpazione (inibitoria) e necessariamente effettivo per quella risarcitoria, con l'onere di provare in quest'ultima ipotesi -ai sensi dell'art.2043 c.c.- il dolo o la colpa dell'autore della violazione (tra le tante, Cass. 16 luglio 2003 n.11129 e Cass. 7 marzo 1991 n.2426).

Facile intuire come, in base agli esempi visti, la dimostrabilità di un danno, patrimoniale o non patrimoniale, sia labilmente correlata al caso singolo.
Non solo. Si è considerata l'ipotesi in cui sia il nome di una persona fisica ad essere usato indebitamente, ma nell'occhio del ciclone finiscono spesso anche ditte e marchi denominativi, dando luogo ad ulteriori figure illecite (v. artt. 2563 e ss. c.c. e la normativa di cui al D.Lgs 10 febbraio 2005, n.30 c.d. Codice della proprieta' industriale).

In ambito penale, a differenza di quanto alcuni utenti sostengono per i risultati più “offensivi”, è fuorviante parlare di reato di diffamazione (ex art. 595 c.p.), non potendo un comune nominativo (es. Mario Rossi), senza integrazione di altri elementi determinanti per la fattispecie quali natura dell'offesa, contestualizzazione, riferibilità concreta etc., essere sufficiente ad integrare il reato ed a legittimare la stessa querela.

Resta a questo punto la strada più ovvia ed evidente da percorrere, quella dell'acquisizione abusiva e del trattamento illecito di dati.
Come visto alcuni risultati possono contenere dati che identificano inequivocabilmente determinati soggetti e spesso lo spider che effettua la cattura a monte può acquisire indiscriminatamente persino un codice fiscale o un numero di partita IVA, trattando la mole di informazioni illecitamente, senza alcuna autorizzazione da parte dei soggetti interessati ed al fine di generare un profitto per lo spammer (in talune ipotesi anche per il webmaster se consenziente). Profitto che si concretizzerebbe nel far visitare ad un utente questo o quel sito, accrescerne la visibilità o il page rank nei motori di ricerca e trarne un eventuale lucro pubblicitario. Tutto ciò in molteplice violazione del D.Lgs. 30 giugno 2003 n.196 - c.d. Codice della Privacy.
Per un quadro completo delle potenziali trasgressioni si rinvia il lettore a consultare il seguente articolo:

Spam: tutela giuridica ed informatica

Tuttavia, è difficile poter risalire allo spammer (come visto spesso è un software a raccogliere, mischiare e diffondere i dati) o poter fermare con un'azione giudiziaria o con un provvedimento dell'Authority un trattamento illecito di dati di questa natura. Non mancano casi in cui ad essere strumentalizzati siano blog o siti italiani, ma quando un nominativo finisce su un sito orientale o in un contesto dove la sovranità e la normativa statale incontrano dei limiti, l'unica possibilità è cercare di contattare il webmaster diffidandolo e l'ISP (Internet Service Provider) che gestisce il motore di ricerca (es. Google o Yahoo) affinchè rimuova quel risultato dalle SERP.

Il più delle volte questi providers intervengono solo dopo che l'utente ha contattato il webmaster del sito e fatto rimuovere da quest'ultimo il nominativo. Ma se il webmaster è dall'altra parte del mondo, è in mala fede ed ha registrato il sito con dati fittizi come potrà mai un utente ottenere la rimozione spontanea dei dati?
Se il webmaster è cinese e la vittima dello spam non ha un minima conoscenza della lingua inglese, come può contattarlo?

In quest'ottica l'atteggiamento dell'ISP si mostra a dir poco pilatiano, ponendo notevoli perplessità sulla condotta e la responsabilità dello stesso (questione tra l'altro da sempre viva in dottrina, nonostante le previsioni di cui al D.Lgs. 9 aprile 2003 n.70) e costringendo l'utente a valutare seriamente la possibilità di tutelarsi giurisdizionalmente o amministrativamente quanto meno per ottenere la rimozione coatta dello scomodo risultato.


Ormai il fenomeno dell'utilizzo abusivo di dati personali da parte degli spammers sta diventando incontrollabile e nel calderone degli spiders finisce qualsiasi tipo di dato, al punto che, persino nomi di prelati e criminologi, in prima linea contro gli abusi sui minori, compaiono su siti esteri associati a parole altamente bizzarre o oscene.

Spesso è possibile individuare l'articolo o la pagina dalla quale è stato preso il nominativo ed il meccanismo in base al quale lo spider lo ha associato ad un certo tipo di termini, una ricostruzione inquietante se si pensa che di questo passo gli spammers condizioneranno sempre di più il modo di scrivere degli internauti, costringendo i più "suscettibili" ad evitare argomenti o parole scottanti su portali con un elevato page rank, per il semplice rischio di veder comparire la propria firma in siti altamente ambigui.


Rocco Gianluca Massa
per International Traders