CONTATTACI

Il 2024 è l’anno dell’email marketing: i raccordi fra le nuove regole di Google e Yahoo e il GDPR

Tutti gli esperti del settore concordano su un punto fondamentale: il 2024 si prospetta come uno degli anni più cruciali e significativi nella storia recente del marketing via email.

Molti sviluppi stanno interessando il nostro settore, ma ciò che ha attirato maggiormente l’attenzione è l’annuncio congiunto di Google e Yahoo al fine di intensificare la “battaglia contro lo SPAM“.

Per raggiungere questo obiettivo, hanno reso pubbliche una serie di regole chiare riguardanti le aspettative per gli invii legittimi di email. Il mancato rispetto di tali requisiti comporterà inevitabili problemi di consegna o posizionamento nella casella di posta, con il rischio che le email finiscano direttamente nello spam o vengano completamente respinte.

Indipendentemente dal fatto che si sia a conoscenza di questi cambiamenti o meno, questo articolo intende spiegare in modo chiaro e forse innovativo cosa implicano tali requisiti e come ci si può adeguare. È importante sottolineare che ciò che Google e Yahoo stanno richiedendo agli invii di email sono Best Practice già consolidate, ma che ora sono diventate veri e propri REQUISITI che diverranno applicabili dal 1° febbraio 2024.

 

I requisiti di Google e Yahoo: cosa comprendono?

In sintesi, le regole riguardano principalmente l’AUTENTICAZIONE EMAIL, il rispetto di specifici STANDARD TECNICI e il mantenimento di BASSE METRICHE DI ABUSO.

I requisiti chiave che entreranno in vigore all’inizio del 2024 includono:

  • Implementare sia SPF che DKIM: Le email devono essere inviate utilizzando domini Return-Path con record SPF e devono essere firmate con DKIM.
  • Inviare con DMARC: Il dominio nell’intestazione “From:” dei messaggi deve avere un record DMARC nel DNS, con una politica iniziale di p=none.
  • Inviare con un dominio “From:” allineato: Il dominio “From:” deve essere allineato con un dominio di firma DKIM o il dominio SPF, o preferibilmente con entrambi.
  • DNS forward e reverse validi: Le email devono essere inviate da indirizzi IP con record PTR validi e nomi host che risolvono all’indirizzo IP.
  • Disiscrizione con un clic: Le email commerciali devono includere un modo semplice per gli utenti di disiscriversi.
  • Basso tasso di spam: È necessario mantenere un tasso di spam segnalato dagli utenti inferiore al 0,3%.

 

I raccordi con il Regolamento per la protezione dei dati personali GDPR.

La DMARC policy e protezione da possibili incidenti

La DMARC (Domain-based Message Authentication, Reporting, and Conformance) policy è uno strumento di autenticazione email progettato per migliorare la sicurezza e prevenire l’usurpazione di identità nelle comunicazioni via email.

La DMARC è stata sviluppata per risolvere le vulnerabilità associate a phishing, spoofing e altri tipi di attacchi che sfruttano la falsificazione dell’indirizzo email del mittente.

Le principali finalità della DMARC sono:

  • Autenticazione: La DMARC aiuta a garantire l’autenticità di un’email verificando che il mittente sia effettivamente autorizzato a inviare messaggi a nome di un particolare dominio. Ciò avviene attraverso l’implementazione di meccanismi di autenticazione come SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail).
  • Prevenzione del Phishing: La DMARC contribuisce a ridurre il rischio di phishing, poiché impedisce a malintenzionati di inviare email fasulle a nome di un dominio legittimo. L’uso di autenticazione e firme digitali (SPF e DKIM) consente di verificare che le email siano effettivamente inviate dal dominio dichiarato. La protezione da tali minacce è cruciale per evitare che dati personali sensibili, come informazioni finanziarie o credenziali d’accesso, vengano sottratti attraverso attacchi di ingegneria sociale.
  • Report e Conformità: La DMARC fornisce un meccanismo per i destinatari delle email di inviare report al proprietario del dominio, informandolo su tentativi di invio di messaggi non conformi alla politica DMARC. Questi report forniscono informazioni utili per identificare e mitigare tempestivamente eventuali minacce alla sicurezza dei dati personali. Il monitoraggio proattivo è un elemento chiave della conformità al GDPR, che richiede alle organizzazioni di adottare misure per proteggere i dati personali.

La configurazione di una DMARC policy comporta la definizione di regole chiare sul comportamento da adottare nel caso in cui un’email non superi le verifiche di autenticazione. Le possibili azioni includono l’invio del messaggio in una cartella di posta separata (quarantena) o il rifiuto completo della consegna (reject).

In sintesi, la DMARC policy è uno strumento essenziale per proteggere i domini email dai tentativi di spoofing e phishing, migliorando la sicurezza delle comunicazioni e la fiducia degli utenti nell’identità del mittente.

 

La disiscrizione in un click e il rispetto dei diritti degli interessati

Fra i nuovi requisiti è compresa la possibilità di “disiscrizione in un click”: sarà quindi obbligato a implementare nel messaggio un pulsante per cancellare la propria iscrizione che richieda un singolo click per completare la procedura. Il pulsante per cancellarsi dovrà essere ben visibile nel corpo del messaggio, e la richiesta dovrà essere soddisfatta entro un massimo di due giorni.

La possibilità di disiscriversi dalle email di email marketing è considerata un diritto degli interessati ai sensi del GDPR (Regolamento Generale sulla Protezione dei Dati) per vari motivi. Ecco alcune ragioni chiave:

 

  • Autodeterminazione e Controllo: Consentire alle persone di disiscriversi dalle comunicazioni di marketing offre loro il controllo e l’autodeterminazione sui propri dati personali. Il GDPR pone un’enfasi significativa sul garantire che gli individui abbiano il potere di decidere come e quando i loro dati personali vengano utilizzati.

 

  • Principio di Trasparenza: Il GDPR sottolinea il principio della trasparenza nelle pratiche di trattamento dei dati personali. Fornire un meccanismo di disiscrizione è un modo per le aziende di essere trasparenti riguardo alle loro attività di marketing e di rispettare la volontà degli utenti.

 

  • Diritto all’Oblio: Il GDPR include il “diritto all’oblio”, che consente alle persone di richiedere la cancellazione dei propri dati personali quando non sono più necessari per la finalità per cui sono stati raccolti. La disiscrizione rappresenta un modo per gli individui di esercitare questo diritto, almeno per quanto riguarda le future comunicazioni di marketing.

 

  • Riduzione dello Spam e Miglioramento dell’Esperienza Utente: Consentendo alle persone di disiscriversi, si riducono le probabilità di essere percepite come spam o di ricevere comunicazioni indesiderate. Ciò contribuisce a migliorare l’esperienza complessiva dell’utente e a costruire relazioni più positive tra i consumatori e le aziende.

 

  • Conformità al Principio di Legittimità del Trattamento: Il GDPR richiede che il trattamento dei dati personali sia legittimo. Se una persona decide di non ricevere più comunicazioni di marketing, la continuazione dell’invio di tali messaggi potrebbe violare il principio di legittimità del trattamento.

 

Spam rate e conservazione dei dati

Questo aspetto è di vitale importanza e spesso trascurato da molti, nonostante le recenti discussioni sui nuovi requisiti. Se i tuoi messaggi vengono segnalati come SPAM, è un problema serio. Questa non è una novità, ma la differenza ora è che Google ha specificato le soglie da non superare.

È essenziale mantenere il tasso di segnalazioni di spam al di sotto dello 0.1% e, assolutamente, non superare lo 0.3% per evitare di essere etichettati come spammers. Per mettere le cose in prospettiva, bastano 3 segnalazioni di spam ogni 1000 email inviate per compromettere la tua reputazione e la tua deliverability.

 

Che cos’è lo Spam score

Lo Spam score è il punteggio che i filtri antispam degli ISP assegnano a una mail per valutarne l’affidabilità. Questo voto viene calcolato in base ad una serie di parametri ed è da questo risultato che dipende se un messaggio viene consegnato nella cartella di posta in arrivo del destinatario o se il suo posto è tra la cosiddetta “posta spazzatura”.

Nella delicata fase della consegna, ogni azione che puoi intraprendere per migliorare la recapitabilità delle tue email fa la differenza nell’esito della tua strategia di email marketing.

Il check dei filtri antispam verte principalmente sugli indicatori di reputazione del dominio mittente e altri elementi dei messaggi, tra cui:

 

  • le parole nell’oggetto dell’email
  • il contenuto del messaggio
  • la frequenza dei messaggi inviati da quel mittente
  • il comportamento dell’utente
  • la presenza del mittente nella rubrica di contatti del destinatario.
  • Lo Spam score avvisa della presenza di elementi che possono mettere in allarme gli ISP e respingere i messaggi in arrivo.

 

 

Svecchiamento della mailing list: una necessità, oltre ad essere un obbligo.

Hai una mailing list enorme e non sei nemmeno certo del fatto che le mail che invii vengano lette o, per lo meno, aperte? O, anche peggio, stai mandando mail senza uno specifico consenso o una specifica base giuridica a supporto?

 

Se sì, devi sapere che stai avendo più danni che benefici:

  • Per poter inviare comunicazioni va valutato il tipo di trattamento di dati personali effettuato, le finalità e le specifiche basi giuridiche: in assenza di queste valutazioni è davvero semplice violare il GDPR.
  • Come accennato in precedenza, una delle metriche per valutare lo “spam score” è il comportamento degli utenti. Se gli utenti non sono entusiasti di ricevere le tue email potrebbero segnalarti come spammer. Hanno un punteggio negativo sullo spam rate anche le mail “non consegnate” o “bounced” e quelle mai aperte.
  • Potresti, verosimilmente, violare uno dei principi fondamentali del GDPR: la definizione dei tempi di conservazione dei dati personali. Ogni trattamento dei dati, in relazione alla sua finalità, deve includere criteri di conservazione dei dati.
  • Meno dati hai, meno ne devi proteggere: così si può riassumere un altro principio alla base del GDPR, il principio di “minimizzazione”. In altre parole, gestire una lista infinita di email senza alcun beneficio (come email mai lette o che non hanno portato a interazioni) significa dover proteggere dati inutili. Dobbiamo accettare la realtà: se hai inviato la stessa proposta venti volte a un potenziale cliente senza ottenere riscontri, potrebbe essere il momento di cambiare approccio.

 

Come calcolare il tuo spam rate?

Google mette a disposizione uno strumento gratuito per verificare lo spam rate di uno o più domini chiamato Google Postmaster.

 

Conclusioni

Fare attività di marketing ed essere compliant al GDPR è possibile, anzi, è necessario: si tratta di un pilastro fondamentale per costruire relazioni durature con i clienti, mantenere una reputazione positiva e sostenere la crescita a lungo termine delle aziende.

Tornando al topic principale dell’articolo sorge spontanea la domanda: “Quindi dal 1° febbraio tutte le mail che non seguono le regole verranno respinte?”

La risposta è NO. Dal 1° febbraio partirà il monitoraggio attivo degli speditori e alcuni potrebbero essere impattati. Comunque, le regole entreranno a regime gradualmente. Nello specifico, queste le tappe note:

  • Febbraio 2024:speditori massivi che non rispettano i requisiti inizieranno a vedere errori su una piccola percentuale del loro traffico “non a norma”. Lo scopo è aiutarli a identificare il traffico che non rispetta le linee guida per poter mettere in atto le opportune contromisure.
  • Aprile 2024: una parte del traffico non compliant verrà progressivamente bloccato a partire da questo mese.
  • Giugno 2024: Tutti i requisiti diventano ufficialmente obbligatori, inclusa l’implementazione della disiscrizione one-click in tutti i messaggi commerciali.

 

Approfondimento di Emanuela Gotta – Marketing & Communication Manager • Privacy & Data Protection consultant

Profilo Linkedin: https://www.linkedin.com/in/emanuela-gotta-72901661/

Condividi

Alcuni nostri clienti

Precedente
Successivo

Compet-e srl

A TESISQUARE® Ecosystem Company

Facebook Linkedin

CF – PIVA: 02760970042

Tel: 0172 38 27 63 – Fax: 0172 18 32 072

info@compet-e.it – compet-e@pec.it

Codice fatturazione: USAL8PV

SEDE DI BRA

Via Don Luigi Orione, 202/G
12042 – BRA Fraz. Bandito (CN)

SEDE DI ROMA

Viale Giorgio Ribotta, 11
00144 – ROMA (RM)

Resta sempre aggiornato!

Iscriviti alla nostra newsletter per essere sempre aggiornato sulle novità e le ultime notizie in ambito di compliance, privacy e sicurezza.

Ti invieremo solo notizie interessanti e pertinenti, nessuno spam!

Centro privacy e compliance.

Informative
Privacy Policy & Cookie
Informativa clienti
Informativa fornitori
DPA – Data processing Agreement
Politiche

Politica per la protezione dei dati personali
Politica  sistema di gestione integrato

Diritti degli interessati
Esercizio dei diritti degli interessati
Ci trovi sul Marketplace ACN
Catalogo dei servizi Cloud qualificati per la PA

ACN Cloud Marketplace

Prassi di Riferimento
UNI/PdR 43:2018

logo-dasa-raegister

ISO/IEC 27001:2022
IIS-0223-01

UNI EN ISO 9001:2015
IQ-0423-02

© 2023 COMPET-E SRLinfo@compet-e.itCompet-e Srl – Via Don Luigi Orione 202/G, 12042 Bra fraz. Bandito (CN) – PIVA/CF 02760970042