Oltre la metà dei messaggi indesiderati viene oggi generata da sistemi di intelligenza artificiale (“IA”), con incrementi significativi di anno in anno[1]. Infatti, se nel 2024 la quota di spam prodotto da strumenti di IA si attestava intorno al 40%, nel 2023 non superava nemmeno il 10%. Si tratta di un incremento di natura esponenziale, che testimonia la rapidità con cui le tecnologie generative stanno influenzando anche gli ambiti meno virtuosi del digitale. Dietro questi messaggi si nascondono non solo comunicazioni pubblicitarie invasive, ma anche tentativi di attacco informatico particolarmente insidiosi. Ma cos’è lo “spam” e perché l’IA ne accelera la proliferazione? Il termine spam ha origine dal marchio di una carne in scatola prodotta negli USA e nota per la sua qualità scadente. Oggi, tale termine viene utilizzato per indicare la posta indesiderata o “spazzatura”, generata tramite diversi canali di comunicazione, anche se il mezzo più comune rimane la posta elettronica. Una delle principali potenzialità dell’IA è senza dubbio quella di produrre testi grammaticalmente impeccabili e comunicativamente efficaci, del tutto assimilabili a quelli redatti da un essere umano. Tale prerogativa non è passata inosservata anche ai criminali informatici, i quali hanno scelto di integrare i modelli linguistici avanzati (gli stessi alla base di chatbot e degli assistenti virtuali) per affinare le proprie strategie di inganno digitale. Emerge in tal modo una nuova generazione di comunicazioni fraudolente: uno spam evoluto e sempre più difficile da distinguere da un messaggio autentico. Parallelamente, un ulteriore fattore che contribuisce all’espansione vertiginosa di questo fenomeno è sicuramente la velocità con cui l’IA può generare questa tipologia di e-mail spam. In particolare, ci si serve degli stessi strumenti che vengono utilizzati, ad esempio, nel marketing per migliorare i testi delle newsletter. Il confine tra strumenti volti all’efficienza e strumenti potenzialmente suscettibili di abuso si è fatto, dunque, estremamente labile. Un esempio emblematico è rappresentato dalle c.d. BEC (Business E–mail Compromise), ossia compromissioni delle caselle di posta elettronica aziendali che gli hacker sfruttano per fingersi clienti, colleghi o fornitori al fine di appropriarsi di informazioni sensibili. Lo spam e le possibili violazioni del GDPR Gli indirizzi e-mail sono comunemente annoverati tra i dati personali e, dunque, il loro trattamento deve avvenire nel pieno rispetto dei principi cardine del GDPR (Regolamento UE 679/2016), ossia liceità, correttezza, trasparenza, limitazione delle finalità, proporzionalità e minimizzazione. La disciplina generale in materia di invio di comunicazioni a contenuto commerciale si fonda sul principio del previo e comprovato consenso dell’interessato. Tale requisito è espressamente previsto dal legislatore italiano all’art. 130 del Codice Privacy (D.Lgs. 196/2003, come modificato dal D.lgs. 101/2018), in base al quale l’utilizzo di sistemi automatizzati per l’invio di materiale pubblicitario, comunicazioni commerciali, offerte di vendita diretta o per la realizzazione di indagini di mercato è ammesso esclusivamente in presenza del consenso preventivo dell’utente, il c.d. opt-in. In applicazione di tale disposizione normativa, l’assenza di un consenso esplicito e validamente prestato al trattamento dei dati personali per finalità di marketing comporta l’illiceità dell’invio di e-mail a contenuto promozionale o commerciale Tuttavia, al fine di coniugare le esigenze degli operatori di mercato con i diritti dell’interessato, è prevista una sorta di “deroga” al principio generale costituita dal soft spam. Il riferimento va alle ipotesi disciplinate dall’art. 130, comma 4, del Codice della Privacy, ossia ai casi in cui il titolare del trattamento utilizza l’e-mail fornita dal cliente in occasione dell’acquisto di un bene o di un servizio per inviargli comunicazioni promozionali riguardanti prodotti o servizi analoghi a quelli che ha già acquistato in precedenza. In altri termini, non è necessario ottenere il consenso dell’interessato se il titolare utilizza, ai fini della vendita diretta di propri prodotti o servizi l’e-mail fornite dal medesimo nel contesto della vendita o della prestazione del servizio, sempre che si tratti di servizi analoghi a quelli oggetto della vendita o del servizio e che l’interessato, adeguatamente informato, non rifiuti tale uso (c.d. opt-out), inizialmente o in occasione di successive comunicazioni. Quali tutele possono attuare gli utenti e le aziende per difendersi dallo spam? Il fenomeno dello spam ha registrato una significativa crescita con la diffusione dei sistemi di messaggistica istantanea e, più in generale, con l’affermazione dei social media, i quali hanno favorito una circolazione sempre più ampia e spesso incontrollata dei dati di contatto resi pubblicamente accessibili. È ormai evidente che, come accade per la maggior parte delle minacce di natura informatica, la forma più efficace di tutela risiede nella consapevolezza degli utenti circa l’utilizzo e la protezione delle proprie informazioni personali. Invero, al fine di contrastare questo fenomeno, è fondamentale per le aziende organizzare corsi di formazione per il proprio personale, così da aumentare la consapevolezza sui rischi legati allo spam. Inoltre, potrebbe essere utile adottare delle procedure interne per disciplinare l’utilizzo degli strumenti informatici aziendali, tra cui le caselle di posta elettronica, fornendo delle vere e proprie linee guida di comportamento. D’altro canto, occorrerà adottare specifiche misure tecniche, come adeguati strumenti di filtraggio e di rilevamento delle minacce, configurati e gestiti in modo appropriato, anche basati sull’impiego di sistemi di IA in grado di individuare schemi ricorrenti e anomalie all’interno delle e-mail più velocemente ed efficacemente, superando così le limitazioni proprie dei tradizionali filtri antispam. Solo attraverso tale combinazione sarà possibile predisporre una difesa efficace contro un panorama di minacce in costante evoluzione e di crescente sofisticazione. [1] Questo dato emerge da uno studio congiunto condotto dalla Columbia University, dalla University of Chicago e dalla società di cybersecurity Barracuda, che ha esaminato milioni di e-mail inviate tra il 2022 e il 2025. Lo studio riporta che il 14% di questi attacchi nel 2025 è stato potenziato proprio dall’uso dell’IA.
