Gen14202414 Gennaio 202414 Gennaio 20240Commentidi Ermanno Goletto

Privacy degli account di posta Microsoft e tutela delle vittime di mail anonime diffamatorie o di stalking

Pubblicato in Security

Quando si è oggetto di mail di anonime con contento diffamatorio, di stalking o addirittura minaccioso ovviamente la prima reazione è quella volere sapere chi è l’autore di tali missive e dal momento che il mezzo utilizzato per recapitare tali spiacevoli comunicazione è una casella mail ci si pone inevitabilmente i quesito di come e soprattutto se sia possibile risalire all’identità del mittente.

Di seguito analizzeremo quali sono le indicazioni di Microsoft in questi casi nell’eventualità che tali mail anonime provengano da un account di posta Microsoft e quali sono le considerazioni inerenti alla privacy che Microsoft è comunque chiamata a garantire nei confronti dei titolari degli account anche in casi come questi.

Passo 1: Non rispondere direttamente all’email

Email anonime diffamatorie potrebbero in realtà una truffa di spear phishing ed essere quindi state inviate per indurre la vittima a rispondere per instaurare una comunicazione al fine di raggirare il destinatario o inviare in email successive link o allegati malevoli per dimostrare che il mittente ha prove di quanto sostiene, ma in realtà la finalità è la compromissione del computer della vittima.

Passo 2: Raccogliere le prove

Conservare l’email e  salvarla in formato .EML (un formato di file è progettato per memorizzare i messaggi di posta elettronica) o .MSG (li formato di file è progettato per memorizzare i messaggi di posta elettronica sviluppato da Microsoft). Conservare anche qualsiasi altra eventuale comunicazione correlata.

Passo 3:  Segnalare l’abuso a Microsoft

Quando la email proviene da un account Microsoft è possibile segnalare l’abuso a Microsoft. In questo modo un team di Microsoft esaminerà la segnalazione.

Per segnalare un abuso a Microsoft è possibile ad esempio inviare una e-mail all’indirizzo abuse@outlook.com allegando una copia della e-mail anonima ricevuta, a seguito della mail inviata si riceverà una conferma dell’avvenuta ricezione della segnalazione. A riguardo si veda anche Phishing and suspicious behaviour – Microsoft Support.

Per una panoramica di tutti gli strumenti che Microsoft mette a disposizione per segnalare abusi vari tipi di violazioni o attacchi informatici si veda il portale dedicato MSRC reporting portal (microsoft.com).

Passo 4: Segnalare l’email alle autorità competenti

Se l’email diffamatoria o intimidatoria di minacce è grave, è possibile segnalarla anche alle autorità competenti. In Italia, le autorità competenti per le minacce e la diffamazione sono la Procura della Repubblica e dal momento che tali mail potrebbero costituire un reato informatico la Polizia Postale, a riguardo si veda Polizia Postale: Segnalazioni (commissariatodips.it).

Codice di comportamento per l’utilizzo dei servizi Microsoft

Volendo approfondire invece come Microsoft gestisce la privacy degli utenti che utilizzano i suoi servizi, tra cui ad esempio gli account di posta Outlook.com, e quali sia il codice di comportamento che gli utenti devono tenere per avere il diritto di utilizzare i servizi è possibile partire dalle clausole del Contratto di Servizi Microsoft in particolare dalle sezioni “Codice di comportamento” e “Utilizzo dei Servizi e Assistenza” in cui sono riportate le seguenti:

“Non effettuare azioni illegali né tentare di generare o condividere contenuto che sia illegale.”

“Non impegnarsi in attività che siano dannose per se stesso, i Servizi o per altri utenti, ad esempio trasmissione di virus, stalking, pubblicazione di contenuto relativo ad attività terroristiche, espressioni di odio o sollecitazioni alla violenza nei confronti di altri utenti.”

“Laddove applicabile, Microsoft potrà utilizzare sistemi automatizzati e persone fisiche per esaminare il contenuto e individuare posta indesiderata, virus, frodi, phishing, malware, jailbreak o altro contenuto o comportamento illegale o dannoso.”

Nell’Informativa sulla privacy di Microsoft sono disponibili informazioni più approfondite sulla privacy relative ai prodotti e ai servizi e in particolare le Motivazioni della condivisione dei dati personali da parte di Microsoft:

“Microsoft conserva, accede, trasferisce, divulga e conserva i dati personali, compresi i contenuti dell’utente (come il contenuto dei messaggi e-mail in Outlook.com o i file nelle cartelle private su OneDrive), quando in buona fede ritiene sia necessario per:

  • Rispettare la legge in vigore o rispondere a un procedimento legale valido, incluso da forze dell’ordine e agenzie governative.
  • Proteggere i clienti Microsoft, ad esempio per prevenire posta indesiderata o tentativi di frode agli utenti da parte dei prodotti Microsoft oppure per aiutare a prevenire la perdita di vite o gravi infortuni alle persone.
  • Applicare e mantenere la sicurezza dei prodotti Microsoft, inclusa la prevenzione o il blocco di un attacco sui sistemi o sulle reti Microsoft.
  • Proteggere diritti o proprietà di Microsoft, come far rispettare i termini che disciplinano l’utilizzo dei servizi. Tuttavia, qualora Microsoft riceva informazioni che indichino l’utilizzo a opera di terze parti dei suoi servizi per diffondere proprietà Microsoft intellettuali o fisiche rubate, Microsoft non analizzerà i contenuti privati dei clienti autonomamente, ma potrebbe rivolgersi alle autorità giudiziarie.”

Per ulteriori approfondimenti circa la gestione della Privacy presso Microsoft si vedano Privacy Microsoft e il Report sulla privacy di Microsoft.

Informazioni relative ai dati che Microsoft divulga per rispondere a un procedimento legale valido

Microsoft dispone di un team che lavora 24 ore su 24 per rispondere rapidamente alla richieste di dati da parte dei governi sulla pase di procedimenti legali validi. Le informazioni relative ai dati che Microsoft divulga in questi casi sono descritte al seguente Richieste di informazioni da parte delle istituzioni dove viene indicato che Microsoft può fornire “content data” e “non-content data”:

Non-content data includes basic subscriber information, such as an email address, name, state, country, ZIP code, and IP address at time of registration. Other non-content data may include IP connection history, an Xbox Gamertag, and credit card or other billing information. We require a valid legal demand, such as a subpoena or court order, before we will consider disclosing non-content data to law enforcement.”

Content is what our customers create, communicate, and store on or through our services, such as the words in an email exchanged between friends or business colleagues or the photographs and documents stored on OneDrive (formerly called SkyDrive) or other cloud offerings such as Office 365 and Azure. We require a warrant or its equivalent before we will consider disclosing content to law enforcement.”

Vi sono anche situazioni di emergenza limitate e definite in cui Microsoft può divulgare informazioni relative ai dati in assenza di una formale richiesta legale:

“We do this only in limited, defined circumstances. Pursuant to US law, we are required to report identified or suspected images exploiting children to the US National Center for Missing and Exploited Children (NCMEC). On occasion, we also report some limited information about a user when we have reason to believe the individual is about to harm themselves or someone else due to a public posting on one of our forums, on Xbox LIVE, or through referrals from other customers. If one of our customers or employees, or Microsoft itself, is the victim of a crime, we may report some limited information to law enforcement. Additionally, consistent with applicable law and industry practice, Microsoft sometimes discloses limited information to law enforcement where we believe the disclosure is necessary to prevent an emergency involving danger of death or serious physical injury to a person.

Microsoft considers emergency requests from law enforcement agencies around the world, and requires these requests be in writing on official letterhead, signed by a law enforcement authority. The request must contain a summary of the emergency, along with an explanation of how the information sought will assist law enforcement in addressing the emergency. Each request is carefully evaluated by Microsoft’s compliance team before any data is disclosed, and the disclosure is limited to the data that we believe would enable law enforcement to address the emergency. Some of the most common emergency requests involve suicide threats and kidnappings. Every six months, we publish information about the emergency requests we receive in this Law Enforcement Requests Report.”

 
In ogni caso Microsoft riporta che non fornisce un accesso diretto agli account di posta elettronica:
 
We do not provide any government with direct access to emails or instant messages, nor do we provide government access to customer data on a voluntary basis. Like all providers of communications services, we are sometimes obligated to comply with lawful demands from governments to turn over content for specific accounts, pursuant to a search warrant or court order. Some documents disclosed in the summer of 2013 were interpreted to suggest we made product changes to enable greater government access to customer communication. There were significant inaccuracies in the interpretations of these leaked government documents, and the product changes referenced did not facilitate greater government access to audio, video, messaging, or any other customer data.”
 
“We believe that you should control your own data. Microsoft does not give any government (including law enforcement, or other government entities) direct or unfettered access to customer data.”

Microsoft does not build back doors into any of its products. We’ve been clear that we do not provide direct, unfettered access to customer data, and history shows we have a track record of declining requests to give voluntary access to customer data.”

We do not design tools to enable voluntary surveillance of our customers. If we ever provide third parties with access to data about our customers, we expect those third parties to handle that data appropriately, meaning that they should not assist governments in voluntary, widespread surveillance of customers. Instead, these third parties should ensure that they only disclose personal data about customers in compliance with applicable law or in response to valid legal orders.”

“We do not provide any government with Microsoft’s encryption keys or the ability to break our encryption.”

Per ulteriori informazioni circa le modalità e con cui Microsoft divulga informazioni relative ai dati ad autorità giudiziarie si veda il Data Law blog e il Law Enforcement Requests Report, dove è possibile ricavare i dati relativi al numero di richieste legali relative ai dati dei clienti per tutti servizi che Microsoft riceve dalle forze dell’ordine di tutto il mondo.

Al momento gli ultimi dati disponibili sono quelli del periodo Luglio – Dicembre 2022 e di seguito le richieste pervenute in quel periodo da forze dell’ordine Italiane relative a indagini su reati, da cui si evince che a fronte di 262 richieste relative 362 accounts sono stati rilasciati i Non-content data di 87 account:

Di seguito invece le richieste del periodo Luglio – Dicembre 2022 relative a situazioni di emergenza verificatesi in Italia, da cui di evince che a fronte di 19 richieste relative a 23 account sono stati rilasciati i Non-content data di 8 account: