• Normative, Sicurezza
• 9 Maggio 2024

Quando si è vittima di email anonime con contenuto diffamatorio, di stalking o addirittura minaccioso, la prima reazione è naturalmente quella di voler risalire all’autore di tali messaggi. Dal momento che il mezzo utilizzato per inviare queste spiacevoli comunicazioni è una casella di posta elettronica, è inevitabile domandarsi se sia possibile risalire all’identità del mittente.

Di seguito analizzeremo quali sono le indicazioni di Microsoft in questi casi, e nell’eventualità che tali mail anonime provengano da un account di posta Microsoft esamineremo anche le considerazioni relative alla privacy che Microsoft è tenuta a garantire ai titolari degli account, anche in situazioni come queste.

Non rispondere a email con contenuto diffamatorio, di stalking o addirittura minaccioso

Le email anonime diffamatorie potrebbero in realtà essere mail di spear phishing, ovvero essere state inviate per indurre la vittima a rispondere per instaurare una comunicazione al fine di raggirare il destinatario o inviare in email successive link o allegati malevoli per dimostrare che il mittente ha prove di quanto sostiene, ma in realtà la finalità è la compromissione del computer della vittima. L’intento è quindi quello di stabilità con la vittima un rapporto fiduciario basato su una situazione a forte impatto emotivo che indurrà la vittima in comunicazioni successive ad abbassare le difese e ad aprire link o allegati mosso dalla curiosità.

Raccogliere le prove

Conservare l’email e salvarla in formato .EML (un formato di file è progettato per memorizzare i messaggi di posta elettronica) o .MSG (li formato di file è progettato per memorizzare i messaggi di posta elettronica sviluppato da Microsoft). Conservare anche qualsiasi altra eventuale comunicazione correlata. Tali dati potranno poi essere utili per investigare sulla provenienza di tali comunicazioni e/o per procedere alla segnalazione presso il provider di posta elettronica o presso le autorità competenti.

Segnalare l’abuso a Microsoft

Nel caso in cui l’email provenga da un account Microsoft è possibile segnalare l’abuso a Microsoft che verrà esaminato da un team di Microsoft.

Per segnalare un abuso a Microsoft è possibile inviare una e-mail all’indirizzo [email protected] allegando una copia della e-mail anonima ricevuta, a seguito della mail inviata si riceverà una conferma dell’avvenuta ricezione della segnalazione. A riguardo si veda anche Phishing and suspicious behaviour – Microsoft Support.

Se si sta utilizzando Outlook, è possibile utilizzare il componente aggiuntivo “Segnala messaggio” per segnalare messaggi sospetti a Microsoft e gestire il modo in cui l’account di posta elettronica Microsoft 365 gestisce questi messaggi. A riguardo si veda Usare il componente aggiuntivo Segnala messaggio – Supporto tecnico Microsoft.

Per una panoramica di tutti gli strumenti che Microsoft mette a disposizione per segnalare abusi vari tipi di violazioni o attacchi informatici si veda il portale dedicato MSRC reporting portal (microsoft.com).

Segnalare l’email alle autorità competenti

Se l’email diffamatoria o intimidatoria di minacce è grave, è possibile segnalarla anche alle autorità competenti. In Italia, le autorità competenti per le minacce e la diffamazione sono la Procura della Repubblica e dal momento che tali mail potrebbero costituire un reato informatico la Polizia Postale, a riguardo si veda Polizia Postale: Segnalazioni (commissariatodips.it).

Codice di comportamento per l’utilizzo dei servizi Microsoft

Per avere il diritto di utilizzare i servizi Microsoft, tra cui ad esempio gli account di posta Outlook.com, gli utenti devono osservare le clausole del Contratto di Servizi Microsoft che nelle sezioni “Codice di comportamento” e “Utilizzo dei Servizi e Assistenza” riporta come Microsoft ponga divieti nell’utilizzo improprio dei propri account di posta tra cui l’invio di email anonime e stalking:

“Non effettuare azioni illegali né tentare di generare o condividere contenuto che sia illegale.”

“Non inviare posta indesiderata, impegnarsi in attività di phishing né tentare di generare o distribuire malware. Posta indesiderata indica posta elettronica inviata in blocco, post, richieste di contatto, SMS, messaggi istantanei o comunicazioni simili in formato elettronico non desiderate. Phishing indica l’invio di messaggi posta elettronica o altre comunicazioni simili in formato elettronico per indurre in modo fraudolento o illegale i destinatari a rivelare dati personali o sensibili, quali password, date di nascita, codici fiscali, numeri di passaporto, dati della carta di credito, informazioni finanziarie o altri dati sensibili, oppure per ottenere l’accesso ad account o record, l’esfiltrazione di documenti o altri dati sensibili, pagamenti e/o vantaggi finanziari. Il malware comprende qualsiasi attività progettata per causare danni tecnici, come l’invio di eseguibili dannosi, l’organizzazione di attacchi denial of service o la gestione di server di comando e controllo.”

“Non impegnarsi in attività che siano dannose per se stesso, i Servizi o per altri utenti, ad esempio trasmissione di virus, stalking, pubblicazione di contenuto relativo ad attività terroristiche, espressioni di odio o sollecitazioni alla violenza nei confronti di altri utenti.”

“Laddove applicabile, Microsoft potrà utilizzare sistemi automatizzati e persone fisiche per esaminare il contenuto e individuare posta indesiderata, virus, frodi, phishing, malware, jailbreak o altro contenuto o comportamento illegale o dannoso.”

È possibile segnalare un contenuto o un comportamento che potrebbe violare il Codice di Comportamento tramite il link https://aka.ms/reportconcerns, ma come riportato in “Limitazione di responsabilità” ovviamente Microsoft non può essere responsabile dell’utilizzo improprio di un account di posta da parte di un utente:

“Microsoft non sarà responsabile del materiale e del Contenuto dell’utente o del materiale di terzi, inclusi collegamenti a siti web di terzi, né delle attività fornite dagli utenti. Tali contenuti e attività non sono attribuibili a Microsoft né rappresentano l’opinione di Microsoft.”

Informativa sulla privacy di Microsoft

Nell’Informativa sulla privacy di Microsoft è descritto come viene gestita la privacy degli utenti che utilizzano i prodotti e i servizi, tra cui ad esempio gli account di posta Outlook.com, e le motivazioni della condivisione dei dati personali da parte di Microsoft:

“Microsoft conserva, accede, trasferisce, divulga e conserva i dati personali, compresi i contenuti dell’utente (come il contenuto dei messaggi e-mail in Outlook.com o i file nelle cartelle private su OneDrive), quando in buona fede ritiene sia necessario per:

• Rispettare la legge in vigore o rispondere a un procedimento legale valido, incluso da forze dell’ordine e agenzie governative.
  
• Proteggere i clienti Microsoft, ad esempio per prevenire posta indesiderata o tentativi di frode agli utenti da parte dei prodotti Microsoft oppure per aiutare a prevenire la perdita di vite o gravi infortuni alle persone.
  
• Applicare e mantenere la sicurezza dei prodotti Microsoft, inclusa la prevenzione o il blocco di un attacco sui sistemi o sulle reti Microsoft.
  
• Proteggere diritti o proprietà di Microsoft, come far rispettare i termini che disciplinano l’utilizzo dei servizi. Tuttavia, qualora Microsoft riceva informazioni che indichino l’utilizzo a opera di terze parti dei suoi servizi per diffondere proprietà Microsoft intellettuali o fisiche rubate, Microsoft non analizzerà i contenuti privati dei clienti autonomamente, ma potrebbe rivolgersi alle autorità giudiziarie.”
  

Per ulteriori approfondimenti circa la gestione della Privacy presso Microsoft si vedano Privacy Microsoft e il Report sulla privacy di Microsoft.

Informazioni relative ai dati che Microsoft divulga per rispondere a un procedimento legale valido

Microsoft dispone di un team che lavora 24 ore su 24 per rispondere rapidamente alle richieste di dati da parte dei governi sulla base di procedimenti legali validi. Le informazioni relative ai dati che Microsoft divulga in questi casi sono descritte nel Law Enforcement Requests Report dove viene indicato che Microsoft può fornire “content data” e “non-content data“:

“Non-content data includes basic subscriber information, such as an email address, name, state, country, ZIP code, and IP address at time of registration. Other non-content data may include IP connection history, an Xbox Gamertag, and credit card or other billing information. We require a valid legal demand, such as a subpoena or court order, before we will consider disclosing non-content data to law enforcement.”

“Content is what our customers create, communicate, and store on or through our services, such as the words in an email exchanged between friends or business colleagues or the photographs and documents stored on OneDrive (formerly called SkyDrive) or other cloud offerings such as Office 365 and Azure. We require a warrant or its equivalent before we will consider disclosing content to law enforcement.”

Vi sono anche situazioni di emergenza limitate e definite in cui Microsoft può divulgare informazioni relative ai dati in assenza di una formale richiesta legale:

“We do this only in limited, defined circumstances. Pursuant to US law, we are required to report identified or suspected images exploiting children to the US National Center for Missing and Exploited Children (NCMEC). On occasion, we also report some limited information about a user when we have reason to believe the individual is about to harm themselves or someone else due to a public posting on one of our forums, on Xbox LIVE, or through referrals from other customers. If one of our customers or employees, or Microsoft itself, is the victim of a crime, we may report some limited information to law enforcement. Additionally, consistent with applicable law and industry practice, Microsoft sometimes discloses limited information to law enforcement where we believe the disclosure is necessary to prevent an emergency involving danger of death or serious physical injury to a person.

Microsoft considers emergency requests from law enforcement agencies around the world, and requires these requests be in writing on official letterhead, signed by a law enforcement authority. The request must contain a summary of the emergency, along with an explanation of how the information sought will assist law enforcement in addressing the emergency. Each request is carefully evaluated by Microsoft’s compliance team before any data is disclosed, and the disclosure is limited to the data that we believe would enable law enforcement to address the emergency. Some of the most common emergency requests involve suicide threats and kidnappings. Every six months, we publish information about the emergency requests we receive in this Law Enforcement Requests Report.”

In ogni caso Microsoft non fornisce un accesso diretto agli account di posta elettronica o chiavi di decifratira, nè realizza tool per il monitoraggio degli utenti o backdoor all’interno dei suoi prodotti:

“We do not provide any government with direct access to emails or instant messages, nor do we provide government access to customer data on a voluntary basis. Like all providers of communications services, we are sometimes obligated to comply with lawful demands from governments to turn over content for specific accounts, pursuant to a search warrant or court order. Some documents disclosed in the summer of 2013 were interpreted to suggest we made product changes to enable greater government access to customer communication. There were significant inaccuracies in the interpretations of these leaked government documents, and the product changes referenced did not facilitate greater government access to audio, video, messaging, or any other customer data.”

“We believe that you should control your own data. Microsoft does not give any government (including law enforcement, or other government entities) direct or unfettered access to customer data.”

“Microsoft does not build back doors into any of its products. We’ve been clear that we do not provide direct, unfettered access to customer data, and history shows we have a track record of declining requests to give voluntary access to customer data.”

“We do not design tools to enable voluntary surveillance of our customers. If we ever provide third parties with access to data about our customers, we expect those third parties to handle that data appropriately, meaning that they should not assist governments in voluntary, widespread surveillance of customers. Instead, these third parties should ensure that they only disclose personal data about customers in compliance with applicable law or in response to valid legal orders.”

“We do not provide any government with Microsoft’s encryption keys or the ability to break our encryption.”

Microsoft Law Enforcement Requests Report

Per informazioni circa le modalità e con cui Microsoft divulga informazioni relative ai dati ad autorità giudiziarie si veda il Data Law blog e il Law Enforcement Requests Report, dove è possibile ricavare i dati sulle richieste legali relative ai dati dei clienti che Microsoft riceve dalle forze dell’ordine di tutto il mondo.

Al momento gli ultimi dati disponibili sono quelli del periodo Luglio – Dicembre 2022 da cui ho estratto le richieste pervenute da forze dell’ordine Italiane relative a indagini su reati, da cui si evince che a fronte di 262 richieste relative 362 accounts sono stati rilasciati i Non-content data di 87 account:

Figura 1: Richieste pervenute da forze dell’ordine Italiane relative a indagini su reati nel periodo Luglio-Dicembre 2022

Di seguito invece le richieste pervenute a Microsoft relative a situazioni di emergenza verificatesi in Italia nel periodo Luglio – Dicembre 2022, da cui di evince che a fronte di 19 richieste relative a 23 account sono stati rilasciati i Non-content data di 8 account:

Figura 2: Richieste pervenute relative a situazioni di emergenza in Italia nel periodo Luglio-Dicembre 2022

Conclusioni

Microsoft si impegna per garantire sia la privacy che la sicurezza dei suoi utenti consentendo di segnalare email che violano il Contratto di Servizi Microsoft. Quando Microsoft riceve una segnalazione di violazione dei termini o delle politiche di utilizzo svolge delle indagini e nel gaso venga rilevata una violazione procede a bloccare i contenuti in violazione. Tuttavia, Microsoft si impegna a rispettare la privacy degli utenti anche durante tali indagini.

Microsoft collabora con le forze dell’ordine in tutto il mondo per garantire la sicurezza dei suoi utenti. Quando le forze dell’ordine presentano una richiesta legale valida per i dati dei clienti, Microsoft rispondere rapidamente con un team disponibile 24 ore su 24. Va comunque precisato che Microsoft rispetta la privacy dei suoi utenti anche durante queste indagini avviate su richiesta delle forze dell’ordine, tali richieste devono essere conformi alle leggi applicabili in caso contrario Microsoft respingerà le richieste pervenute per i dati dei clienti se esiste una base legale per farlo.