La legge CAN-SPAM è una legge che disciplina le e-mail e altri messaggi di entità commerciali.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Il CAN-SPAM Act è una legge degli Stati Uniti che stabilisce una serie di requisiti per le e-mail e altri messaggi provenienti da entità commerciali, come aziende, esperti di marketing e organizzazioni senza scopo di lucro. Le e-mail soggette alla legge devono seguire le regole in materia di oggetto, divulgazione e intestazioni. Inoltre, la legge stabilisce il diritto dei destinatari di richiedere la rimozione dalle liste di posta elettronica e specifica le sanzioni per le aziende che violano la legge.
Il nome completo dell'Act è Controlling the Assault of Non-Solicited Pornography and Marketing Act. È stato approvato nel 2003 ed è applicato dalla Federal Trade Commission. Sostituisce alcuni ma non tutti i tipi di leggi anti-spam approvate dai singoli stati.
Il CAN-SPAM Act si applica a tutti i messaggi commerciali, comprese le e-mail, indipendentemente dal fatto che siano diretti a consumatori o aziende. La FTC definisce un "messaggio commerciale" come "qualsiasi messaggio di posta elettronica il cui scopo principale è la pubblicità commerciale o la promozione di un prodotto o servizio commerciale". Anche se un destinatario accetta dando previo consenso affermativo, un'azienda deve comunque attenersi a tutti gli aspetti della legge.
Alcuni tribunali federali hanno interpretato il "messaggio di posta elettronica" in modo da includere messaggi inviati alla casella di posta di un utente di social media o pubblicati sulla sua bacheca o feed. La FTC afferma che la legge si applica anche ad alcuni tipi di messaggi di testo.
Affinché sia applicabile il CAN-SPAM Act, lo scopo principale del messaggio deve essere un contenuto commerciale. Se si riferisce a una transazione in corso o già concordata tra l'entità commerciale e il destinatario, come la conferma di un acquisto o un aggiornamento di tracciamento di un articolo in transito, allora non è soggetta alla legge. Il sito Web di FTC approfondisce questo argomento.
Ad esempio, immaginiamo che Alice acquisti un libro online e riceva un'e-mail di conferma: poiché si tratta di una transazione in corso, non è soggetta al CAN-SPAM Act. Se in seguito il venditore le invia un'e-mail di marketing su una promozione, tale e-mail di marketing deve seguire le regole della legge.
Le regole all'interno del CAN-SPAM sono abbastanza semplici. I mittenti di posta elettronica possono contribuire a garantire la conformità adottando queste tattiche:
La Direttiva ePrivacy disciplina le e-mail indesiderate, l'utilizzo dei cookie, la minificazione dei dati e altri aspetti della privacy dei dati. Si tratta di una direttiva, il che significa che tutti gli Stati dell'UE devono recepirla, ma possono adottarla come propria legislazione. È in fase di elaborazione un regolamento sulla privacy elettronica che alla fine sostituirà la Direttiva ePrivacy.
La differenza principale tra la Direttiva ePrivacy e il CAN-SPAM Act è che la prima specifica che le persone devono acconsentire a ricevere e-mail, mentre il secondo riguarda solo la possibilità di rifiutare.
Tuttavia, il requisito di adesione (opt-in) della direttiva non si applica se un’organizzazione ha un rapporto commerciale esistente con il destinatario. Esiste anche un'esclusione per la "commercializzazione di prodotti o servizi simili" a un destinatario, a condizione che il mittente sia la stessa azienda che ha originariamente raccolto l'indirizzo e-mail della persona.
Inoltre, la Direttiva ePrivacy stabilisce che:
Le aziende utilizzano elenchi di esclusione (opt-out), noti anche come elenchi di soppressione, per tenere traccia degli indirizzi e-mail dei destinatari passati che hanno cancellato l'iscrizione.
CAN-SPAM ha diverse regole per quanto riguarda le richieste di cancellazione:
Le aziende possono scegliere il meccanismo di esclusione: possono fornire un indirizzo e-mail al destinatario per contattarlo oppure possono utilizzare un altro metodo basato su Internet, come un collegamento a un sito Web con un modulo da compilare.
Le sanzioni possono arrivare a 43.792 dollari per ogni singolo messaggio e più parti possono essere ritenute responsabili per lo stesso messaggio. Le aziende sono responsabili del comportamento delle terze parti con cui collaborano per attività di marketing.
In particolare, i cittadini privati non hanno diritto di intentare causa ai sensi della legge. Invece, la FTC, gli avvocati statali e i fornitori di servizi Internet possono avviare cause legali per conto dell’utente.
La FTC raccomanda tre opzioni per i reclami:
A volte, gli spammer inviano e-mail che violano il CAN-SPAM Act utilizzando il marchio di un'organizzazione legittima, una tecnica nota come spoofing del dominio. Utilizzano lo spoofing del dominio per far sembrare le e-mail più legittime e invogliare più utenti a leggerle e fare clic sui link incorporati.
Sebbene il CAN-SPAM Act non penalizzi le organizzazioni per le e-mail inviate da spammer che si spacciano per loro, le organizzazioni possono adottare alcune misure per rendere più difficile per terzi falsificare i loro domini.
Utilizzando la procedura guidata DNS di Cloudflare Email Security, è possibile configurare DKIM, SPF e DMARC, tre tipi di metodi di autenticazione e-mail, per contribuire a prevenire lo spoofing del dominio.