Cos'è la legge CAN-SPAM?

La legge CAN-SPAM è una legge che disciplina le e-mail e altri messaggi di entità commerciali.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Spiegare quali e-mail sono soggette all'Act
  • Comprendere le best practice per la conformità
  • Confrontare il CAN-SPAM Act con la Direttiva ePrivacy

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è la legge CAN-SPAM?

Il CAN-SPAM Act è una legge degli Stati Uniti che stabilisce una serie di requisiti per le e-mail e altri messaggi provenienti da entità commerciali, come aziende, esperti di marketing e organizzazioni senza scopo di lucro. Le e-mail soggette alla legge devono seguire le regole in materia di oggetto, divulgazione e intestazioni. Inoltre, la legge stabilisce il diritto dei destinatari di richiedere la rimozione dalle liste di posta elettronica e specifica le sanzioni per le aziende che violano la legge.

Il nome completo dell'Act è Controlling the Assault of Non-Solicited Pornography and Marketing Act. È stato approvato nel 2003 ed è applicato dalla Federal Trade Commission. Sostituisce alcuni ma non tutti i tipi di leggi anti-spam approvate dai singoli stati.

A quali tipi di messaggi si applica il CAN-SPAM Act?

Il CAN-SPAM Act si applica a tutti i messaggi commerciali, comprese le e-mail, indipendentemente dal fatto che siano diretti a consumatori o aziende. La FTC definisce un "messaggio commerciale" come "qualsiasi messaggio di posta elettronica il cui scopo principale è la pubblicità commerciale o la promozione di un prodotto o servizio commerciale". Anche se un destinatario accetta dando previo consenso affermativo, un'azienda deve comunque attenersi a tutti gli aspetti della legge.

Alcuni tribunali federali hanno interpretato il "messaggio di posta elettronica" in modo da includere messaggi inviati alla casella di posta di un utente di social media o pubblicati sulla sua bacheca o feed. La FTC afferma che la legge si applica anche ad alcuni tipi di messaggi di testo.

Le e-mail transazionali sono soggette alla legge?

Affinché sia applicabile il CAN-SPAM Act, lo scopo principale del messaggio deve essere un contenuto commerciale. Se si riferisce a una transazione in corso o già concordata tra l'entità commerciale e il destinatario, come la conferma di un acquisto o un aggiornamento di tracciamento di un articolo in transito, allora non è soggetta alla legge. Il sito Web di FTC approfondisce questo argomento.

Ad esempio, immaginiamo che Alice acquisti un libro online e riceva un'e-mail di conferma: poiché si tratta di una transazione in corso, non è soggetta al CAN-SPAM Act. Se in seguito il venditore le invia un'e-mail di marketing su una promozione, tale e-mail di marketing deve seguire le regole della legge.

Quali sono le best practice per garantire la conformità?

Le regole all'interno del CAN-SPAM sono abbastanza semplici. I mittenti di posta elettronica possono contribuire a garantire la conformità adottando queste tattiche:

  • Scegliere un oggetto che sia chiaramente correlato al contenuto principale dell'e-mail
  • Mettere in chiaro che l'e-mail è una pubblicità e non essere ingannevoli
  • Includere un indirizzo fisico per l'azienda da qualche parte all'interno del messaggio
  • Fornire ai destinatari un'opzione per annullare l'iscrizione (per evitare di ricevere ulteriori e-mail)
  • Assicurare l'accuratezza delle informazioni dell'intestazione dell'e-mail, inclusi il nome di dominio di origine e l'indirizzo e-mail, nonché i campi "Da", "A" e "Rispondi a"

Che differenze ci sono tra il CAN-SPAM Act e la Direttiva ePrivacy dell’Unione Europea?

La Direttiva ePrivacy disciplina le e-mail indesiderate, l'utilizzo dei cookie, la minificazione dei dati e altri aspetti della privacy dei dati. Si tratta di una direttiva, il che significa che tutti gli Stati dell'UE devono recepirla, ma possono adottarla come propria legislazione. È in fase di elaborazione un regolamento sulla privacy elettronica che alla fine sostituirà la Direttiva ePrivacy.

La differenza principale tra la Direttiva ePrivacy e il CAN-SPAM Act è che la prima specifica che le persone devono acconsentire a ricevere e-mail, mentre il secondo riguarda solo la possibilità di rifiutare.

Tuttavia, il requisito di adesione (opt-in) della direttiva non si applica se un’organizzazione ha un rapporto commerciale esistente con il destinatario. Esiste anche un'esclusione per la "commercializzazione di prodotti o servizi simili" a un destinatario, a condizione che il mittente sia la stessa azienda che ha originariamente raccolto l'indirizzo e-mail della persona.

Inoltre, la Direttiva ePrivacy stabilisce che:

  • Le e-mail devono includere la possibilità di annullare l'iscrizione
  • L'identità del mittente non deve essere ingannevole
  • Le e-mail devono contenere un indirizzo di risposta valido

Come funziona il processo di opt-out?

Le aziende utilizzano elenchi di esclusione (opt-out), noti anche come elenchi di soppressione, per tenere traccia degli indirizzi e-mail dei destinatari passati che hanno cancellato l'iscrizione.

CAN-SPAM ha diverse regole per quanto riguarda le richieste di cancellazione:

  • L'azienda deve gestire la richiesta di opt-out entro 10 giorni lavorativi
  • Il sistema che consente a qualcuno di rinunciare deve essere valido per almeno 30 giorni dall'invio del messaggio
  • Deve esserci un'opzione per interrompere l'invio di tutti i messaggi futuri; un'azienda può aggiungere un'ulteriore opzione per interrompere solo determinati tipi di messaggi commerciali, ad esempio per consentire a un utente di ricevere e-mail sugli eventi ma di cancellare l'iscrizione agli annunci di nuovi prodotti

Le aziende possono scegliere il meccanismo di esclusione: possono fornire un indirizzo e-mail al destinatario per contattarlo oppure possono utilizzare un altro metodo basato su Internet, come un collegamento a un sito Web con un modulo da compilare.

Quali sono le sanzioni per la violazione del CAN-SPAM Act?

Le sanzioni possono arrivare a 43.792 dollari per ogni singolo messaggio e più parti possono essere ritenute responsabili per lo stesso messaggio. Le aziende sono responsabili del comportamento delle terze parti con cui collaborano per attività di marketing.

In particolare, i cittadini privati non hanno diritto di intentare causa ai sensi della legge. Invece, la FTC, gli avvocati statali e i fornitori di servizi Internet possono avviare cause legali per conto dell’utente.

In che modo i destinatari possono segnalare violazioni al CAN-SPAM?

La FTC raccomanda tre opzioni per i reclami:

  • Segnalare il mittente all'FTC stessa
  • Inoltrare il messaggio a un provider di posta elettronica o scegliere l'opzione per contrassegnare un messaggio come spam
  • Inoltrare il messaggio al provider di posta elettronica del mittente, ove possibile

In che modo le organizzazioni possono impedire agli spammer di impersonare il loro dominio di posta elettronica?

A volte, gli spammer inviano e-mail che violano il CAN-SPAM Act utilizzando il marchio di un'organizzazione legittima, una tecnica nota come spoofing del dominio. Utilizzano lo spoofing del dominio per far sembrare le e-mail più legittime e invogliare più utenti a leggerle e fare clic sui link incorporati.

Sebbene il CAN-SPAM Act non penalizzi le organizzazioni per le e-mail inviate da spammer che si spacciano per loro, le organizzazioni possono adottare alcune misure per rendere più difficile per terzi falsificare i loro domini.

Utilizzando la procedura guidata DNS di Cloudflare Email Security, è possibile configurare DKIM, SPF e DMARC, tre tipi di metodi di autenticazione e-mail, per contribuire a prevenire lo spoofing del dominio.