È notizia di qualche giorno fa il data leak - furto di informazioni - ai danni di una delle più grandi aziende di "spam legale" statunitensi, la River City Media (RCM), in seguito alla configurazione poco accorta di uno dei suoi server di backup.

La grande mole di informazioni fuoriuscite ha aperto il più classico dei vasi di Pandora: liste, metodologie, pagamenti, clienti.

Tentiamo di fare un po' di chiarezza: cosa si intende per "Spam legale", quali sono le metodologie usate e perché è ancora tanto utilizzato? La definizione di legalità, riferita all'invio di email massive, così come per altri aspetti della vita online, è in realtà molto complessa, perché dipende da legislazioni nazionali che mal si applicano a fenomeni fortemente globali. Ad esempio è risaputo che CAN-SPAM, la legge statunitense a riguardo, è molto permissiva rispetto ai corrispettivi Canadesi ed Europei. Quello che si può dire è che le comunicazioni pubblicitarie aggressive via email si dividono in due grandi famiglie:

• Spam a liste senza alcuna forma di consenso, provenienti da attività di crawling o generazione semi-automatica.
• Spam a liste il cui consenso è acquisito tramite circuiti di affiliazione e coregistrazione, con sistemi poco trasparenti ma entro i limiti di legge - o almeno di alcune leggi.
  

Le attività che sono emerse da questo ultimo leak sono indubbiamente da riferirsi alla seconda tipologia: in sostanza si tratta di invii conto terzi su database di proprietà, di cui si è ottenuto il consenso - e spesso una buona profilazione - con metodi nella migliore delle ipotesi ambigui e poco chiari; in alcuni casi, oltre all'invio conto terzi vi è la vera e propria cessione dei dati acquisiti in coregistrazione.

Il funzionamento è allo stesso tempo semplice e pernicioso: il titolare del database organizza concorsi - spesso al limite del legale, o comunque con una comunicazione piuttosto fuorviante - volti alla raccolta dati, infarcendo la partecipazione al concorso di una serie di passaggi e clausole che portano l'utente a cedere il proprio consenso non solo ai fini del concorso stesso, ma anche per comunicazioni del proprio "network" (parola che torna spesso in questi ambiti).

In alcuni casi si arriva a nascondere vere e proprie forme di coregistrazione nel meccanismo promozionale/concorsuale: in sostanza l'utente, convinto di partecipare all'attività in oggetto, in realtà rilascia il permesso a cedere i dati raccolti anche a realtà terze, che "sponsorizzano" l'attività.

Ci sono molte aziende estere che operano in questo settore, ma non mancano neppure quelle italiane, e pure piuttosto grosse.

Parliamoci chiaro, si tratta proprio di quei concorsi "VINCI UN IPAD ORA, MANCANO SOLO 3 MINUTI!", che appaiono soprattutto in siti equivoci (materiale pornografico, streaming più o meno legale) o di fake news, o al limite di promettenti circuiti di "Prodotti grandi marche in omaggio".

Questo tipo di raccolta dati ha un grande vantaggio: costruire anagrafiche precise e puntuali. Chiaramente per partecipare ad un concorso o ricevere prodotti omaggio sono costretto a lasciare dati veritieri, insieme ad una email funzionante e presidiata.

Gli operatori coinvolti in questo business sono più o meno scrupolosi nel seguire gli obblighi di legge (che per l'Italia prevedono checkbox separati per trattamento dati per i fini concorsuali, trattamento dati per operazioni di marketing, possibilità di cessione a terzi, specificando il settore merceologico o direttamente l'azienda, dei dati raccolti), alle volte con evidenti prove di fantasia ed equilibrismo.

E i grandi brand cosa c'entrano?

Il data leak di cui parlavamo ad inizio articolo ha fatto emergere diverse prove che indicano un rapporto diretto fra i reparti marketing di alcuni grandi brand e queste agenzie che operano ai limiti della legalità.

In sostanza, commenta Word To The Wise, i soldi dei budget marketing delle grande aziende alimentano l'abuso del consenso e di fatto la crescita continua dello Spam. L'accusa è sicuramente pesante, ma non campata in aria.

Andando a spulciare nelle vostre cartelle Spam, potrà capitare di imbattersi in diverse comunicazioni commerciali riferibili a marchi ben conosciuti (case automobilistiche, fornitori di energia, telco, ma anche brand di beni consumo di vario genere), contenenti materiale pubblicitario evidentemente originale e approvato, ma inviato da terzi di cui, anche facendo mente locale, è difficile ricordarsi.

In fondo a queste email sono ricapitolate, in carattere spesso minuscolo, le motivazioni della ricezione della email stessa, che possono riassumersi in "Ricevi questa newsletter perché hai dato il tuo consenso al trattamento dei dati personali e a ricevere comunicazioni commerciali, avendo partecipato ad una iniziativa organizzata o collegata direttamente o tramite partnership con XYZ.", dove XYZ l'azienda che si occupa della raccolta dati.

Chiaramente gran parte di queste email, forse il 90% ed oltre, finiscono nelle cartelle dedicate allo Spam, se non peggio: in alcuni casi Gmail ha perentoriamente indicato le email come vere e proprie truffe, impedendoci di cliccare alcunché.

Stando sempre alle analisi eseguite sui documenti relativi al leak, in realtà le aziende che operano in questo campo mettono in opera una serie di accorgimenti tecnici per evitare quanto possibile questi problemi: ad esempio hanno a disposizione diverse migliaia di indirizzi delle varie freemail che usano per fare warmup prima dell'invio definitivo.

Il trucco è semplice, per prima cosa si invia la comunicazione a questi indirizzi, che sicuramente non segnaleranno l'invio come spam, anzi, magari faranno proprio operazioni contrarie, aprendo l'email, interagendo e quando è il caso togliendola dalla cartella spam; una volta effettuata questa operazione, l'invio definitivo avrà più probabilità di raggiungere l'inbox, aggirando i filtri antispam.

È ben chiaro a chiunque si occupi di email marketing che queste sono operazioni Black Hat, mirate non ad un corretto uso degli strumenti e delle opportunità, ma ad aggirare i tecnicismi che dovrebbero prevenire gli abusi.

La domanda da farsi è come mai grandi brand, ben conosciuti al pubblico e dunque con una reputazione da curare, si affidino a mezzi così da "zona grigia"; la risposta più semplice è che lo fanno perché in realtà funziona.

È altresì evidente che le operazioni di questo tipo molto spesso non nascono "consapevolmente": le aziende si affidano a agenzie di advertising, che preparano i media plan per una campagna, proponendo nel mix una base preponderante di display advertising, a cui poi aggiungono spesso invii DEM su database profilato. Le agenzie di advertising fanno poi riferimento alle aziende che si occupano di popolare questi database, come appunto l'RCM. In questa maniera il Brand non è del tutto consapevole di come gli indirizzi siano stati recuperati, né delle metodologie usate poi per rendere l'invio il più efficace possibile.

Luccica, quindi è oro?

Per chi si occupa seriamente di email marketing, e quotidianamente lotta per assicurare deliverability alle proprie legittime comunicazioni, tutto questo risulta scarsamente accettabile: non si parla di spammer cinesi, di pillole più o meno miracolose o di truffe, bensì di un business milionario ai limiti della legalità che di fatto inquina il mercato in maniera profonda e perniciosa.

Quello che i reparti marketing delle aziende che si affidano a questa tipologia di invii dovrebbero imparare è che, al giorno d'oggi, gli effetti collaterali potrebbero essere molto gravi: filtri come Cloudmark lavorano sui contenuti delle email, sui link, su parti dei testi, sui marchi citati, andando a mappare questi elementi e attribuendo ad ognuno di essi una reputazione.

Questo vuol dire che può bastare un invio poco accorto, ad un database sulla carta raccolto "regolarmente", ma alla fin fine senza la vera consapevolezza da parte dei destinatari, per relegare parte della propria presenza online - il link alla pagina Facebook, il nome di un prodotto, il proprio brand - alla casella spam, in maniera persistente e difficilmente controllabile.

Non basta dunque più aggirare il problema, far spedire da altri, usare ip di spedizione diversi, mittenti non legati all'azienda: se la comunicazione riguarda la nostra azienda, i filtri antispam colpiranno la nostra azienda. È necessario investire nella costruzione di un proprio db di indirizzi, che sia VERO asset aziendale, grande magari un decimo o anche meno del bacino promesso da chi imposta queste campagne, ma di sicuro enormemente più efficace, soprattutto nel medio periodo; questo cambiamento di mentalità, il passaggio fra l'essere più o meno consapevolmente spammer e l'usare correttamente gli strumenti di email marketing, gioverà all'azienda e al mercato.