A poco meno di 1 anno dall'entrata in vigore del GDPR, lo scorso 7 maggio il Garante Privacy ha pubblicato la relazione sulle attività svolte nel 2018. Il 2018 è stato un anno "unico" dovendo gestire anche la transizione dal "vecchio" regolamento sul trattamento dei dati personali ed il "nuovo" GDPR. Sappiamo inoltre che nei primi mesi di applicazione del GDPR l'uso delle sanzioni è stato piuttosto moderato, per dar modo ad aziende ed operatori di recepire il cambiamento portato dal GDPR (o meglio, la consapevolezza che ha portato su temi spesso precedentemente esistenti).

Il report di 259 pagine analizza in dettaglio tutti gli aspetti di cui si è occupato il garante: in questo articolo abbiamo estrapolato le parti che riteniamo più interessanti per chi gestisce liste di contatti per fini di marketing.

Data-breach, Segnalazioni e Reclami, Sanzioni riscosse

Dal 1° marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach di cui 630 dal 25 maggio al 31 dicembre 2018 [...].

Il mese scorso abbiamo introdotto l'argomento spamtrap con la prima parte di questo articolo, ed eccoci qui con la promessa seconda parte.

Nella prima parte abbiamo visto che cosa è una spamtrap, quali tipi di spamtrap esistono e come questi indirizzi possano finire in una lista di indirizzi: oggi vedremo se e come si possono individuare e cosa fare o non fare per evitarle.

Cosa segnala la presenza di una spamtrap?

Non ci stancheremo mai di ripetere che la presenza di spamtrap nella lista è un sintomo, non è la malattia: rimuoverle, ipotizzando sia possibile farlo al 100%, quasi mai risolve il vero problema.

Dal 22 aprile 2019 il dominio bad.psky.me sembra essere scaduto e la blacklist associata "Protected Sky" ora non funzionano più. Dal momento che il registrar del dominio usa un wildcard per intercettare tutto il traffico dei domini scaduti, chi ha configurato tale blacklist nel proprio server potrebbe rifiutare email da qualunque IP provengano.

Tra l'altro sembra che si trattasse di una blacklist "fraudolenta", come riportato da SpamHaus qualche anno fa. Inoltre la blacklist risulta non fosse più operativa dal 2017, quindi riteniamo preoccupante che alcuni mailserver contengano ancora configurazioni così obsolete senza quindi apparente manutenzione, come evidenziato qualche mese fa per la blacklist NJABL non più funzionante da oltre 6 anni.

Se amministrate un server di posta verificate di non utilizzare più quella blacklist e soprattutto assicuratevi di configurare il filtro antispam correttamente, ovvero in modo da verificare la risposta delle DNSBL che utilizzate.

I filtri antispam utilizzano numerose tecniche per decidere se un messaggio sia spam o meno. Inizialmente i fattori più determinanti erano alcune parole chiave nell'oggetto e nel contenuto, poi i filtri sono diventati via via sempre più complessi e oggi utilizzano decine o centinaia di indicatori per decidere se una email debba essere rifiutata, messa in spam, o consegnata al destinatario.

Tra questi indicatori ci sono sicuramente il numero di caselle inesistenti che un mittente cerca di contattare e il numero di segnalazioni di abuso fatte dai singoli destinatari. Ma entrambi questi dati sono "indizi" che da soli potrebbero non inquadrare correttamente la situazione. Il filtro antispam blocca una email, il mittente si lamenta dicendo di aver raccolto tutti i consensi e il filtro antispam non ha molto per "contraddire" tranne il fatto che gli utenti si lamentano. La parola del mittente contro la parola del destinatario.

Ed ecco che entrano in gioco le spamtrap...

Ma cos'è una spamtrap?

Le "trappole per lo spam" sono vere e proprie caselle di posta, indirizzi email all'apparenza normalissimi, create appositamente per fregare o "intrappolare" le email di uno spammer, potendo così dimostrare che tale mittente ha spedito una email a qualcuno che non poteva averlo chiesto.

La presenza di spamtrap in una lista ha come principale inconveniente quello di far finire in spam molto più facilmente tutte le altre email, inviate agli indirizzi di persone vere. Ma le spamtrap non sono tutte uguali e non sono pensate tutte per lo stesso scopo.

Qual è il testo in assoluto più usato per i link e i pulsanti sul web? "Clicca qui" , o "Click here" nella più diffusa versione inglese.

Ogni volta che inviamo una email abbiamo in mente uno scopo ben preciso che vogliamo raggiungere: a volte sarà quello di far comprare qualcosa al destinatario, altre volte di chiedergli un consenso, altre ancora di farlo incuriosire su un nuovo prodotto o confermare la sua partecipazione ad un evento.

Il pulsante o il semplice link che permetterà al destinatario della nostra comunicazione di raggiungere il risultato che vogliamo, si chiama "Call to action". Ne abbiamo parlato qualche mese fa descrivendo il quarto passaggio del metodo AIDA, ovvero l'Azione: oggi ci soffermiamo su qualche buon (speriamo) motivo per non usare le parole "clicca qui" nelle vostre call to action e nei vostri link di approfondimento.

Poche settimane fa Google ha iniziato la distribuzione dell'aggiornamento dell'App Gmail per Android e iPhone in stile Material 2.0, ovvero più in linea con l'attuale versione desktop.

Esteticamente la prima cosa che si nota è la scomparsa della barra rossa superiore, sostituita da un look total-white e da un riquadro di ricerca.

Il 21 Gennaio 2019, lo CNIL (l'equivalente Francese del nostro "Garante Privacy") ha comminato una multa da 50 milioni di euro a GOOGLE LLC per mancanza di trasparenza, informativa inadeguata e mancanza di un consenso valido a proposito di personalizzazione delle promozioni.

In pratica viene contestato a Google che chiunque si trovi ad attivare uno smartphone Android viene messo di fronte quasi all'obbligo di creare un account Google e in quell'occasione gli viene data una informativa estremamente generica che include una molteplicità di consensi dietro ad un singolo "Accetto", cosa esplicitamente vietata dal GDPR. La procedura di Google permette poi di fare "opt out" da alcuni di questi consensi ma per farlo è necessario spulciare tra le opzioni e leggere attentamente i contenuti, che, sempre secondo lo CNIL, sono comunque incompleti e non spiegano in dettaglio quali saranno i dati trattati ai fini della personalizzazione degli annunci.

Era il 12 gennaio 2009, quando postai il primo timido articolo di questo blog: #1 La scelta del nome

Dopo una partenza "estrema" con ben 60 articoli pubblicati nel 2009, ha visto 5 anni molto incostanti con un massimo di 12 articoli annuali ed un record negativo, nel 2012, di un solo articolo pubblicato nell'intero anno.

Nel 2015, il 6° anno di vita ha registrato un cambio di passo con l'impegno di aumentare la frequenza di pubblicazione e soprattutto la costanza. Possiamo dire che nel 2015 nasce EmailMarketingBlog 2.0: viene aggiornato il logo e la grafica del sito e viene lanciato Il Bollettino di EmailMarketingBlog, la newsletter bimestrale che da allora recapita i contenuti del blog a migliaia di fedeli lettori!

La blacklist dnsbl.njabl.org è offline da quasi 6 anni, esattamente dall'1 marzo 2013, ma da qualche giorno riceviamo segnalazioni di email non recapitabili per via di questa blacklist ormai dimenticata.

Cosa è successo? Perchè le email vengono rifiutate solo da qualche giorno, se la blacklist non funziona da oltre 6 anni?

Era il 25 marzo 2014 quando Gmail aveva annunciato un visualizzazione più "grafica" per il tab promozioni con una visualizzazione a griglia delle promozioni testata per poco più di un anno e poi rimossa sottovoce nell'aprile dell'anno successivo.

All'inizio di dicembre Google sembra aver ripreso in mano la questione, questa volta forse in maniera più convinta, lanciando le "Promotion Cards", che in realtà Google chiama semplicemente "Promotions Annotation" per il "Tab Promozioni":

In pratica si tratta di una serie di annotazioni da inserire in una email "promozionale" per indicare un logo, indicare un codice sconto, un periodo di validità dell'offerta ed una immagine da visualizzare per rendere più attraente il messaggio nella lista delle offerte ricevute.