Il 27 Novembre 2006 la Commissione Europea ha adottato una Comunicazione (COM-2006-688) sulla lotta contro le comunicazioni commerciali indesiderate (spam), i programmi spia (spyware) e i software maligni.
La Comunicazione è finalizzata a migliorare la sicurezza delle reti e dell’informazione in generale, invitando il settore privato a correggere le vulnerabilità presenti nei sistemi informatici che vengono sfruttate per la diffusione di spam e malware.

Negli ultimi cinque anni, il problema dell’invio di comunicazioni commerciali non sollecitate ha assunto dimensioni importanti al punto che, dal provocare un semplice fastidio, si è trasformato in un vero e proprio atto di natura fraudolenta e delittuosa. Esempi lampanti sono la diffusa pratica del “phisihing” e la creazioni di reti di “botnet”.
Nel primo caso, l’invio di messaggi di posta elettronica ha lo scopo di indurre l’utilizzatore a visitare siti contraffatti ed a rivelare dati riservati, rendendo così possibile eventuali furti di identità, oltre che provocare danni alla reputazione delle imprese legittime.
Le “botnet”, invece, sono reti di computer - la cui sicurezza è stata compromessa - utilizzate da veri e propri professionisti dello spam  (spammer) per inviare massicci quantitativi di e-mail attraverso l’installazione di software nascosto che trasforma tali computer in server di posta, all’insaputa dell’utilizzatore.
 
La CE ha constatato che la lotta antispam ha dato e continua dare risultati, ma il differente utilizzo, a livello europeo, delle misure di filtraggio fa emergere significative difformità tra gli Stati Membri. Se in alcuni Paesi le autorità hanno aperto almeno un centinaio di indagini che hanno permesso di sanzionare le attività di invio di spam, in altri, le stesse si sono limitate ad un numero massimo cinque casi e talvolta nessuno.

Pertanto, si rende necessario rafforzare le misure atte a combattere lo spam agendo su differenti fronti che richiedono l’impegno delle autorità nazionali e degli operatori del settore.

A livello nazione la mutevolezza e persistenza del problema esigono un maggiore coinvolgimento dei singoli Stati Membri che devono concentrarsi sui professionisti dello spam e del phishing, e sulla diffusione di programmi spia e software maligni. L’osservanza delle disposizioni normative deve essere assicurata da autorità amministrative e giudiziarie in sede penale ed è opportuno definire in modo chiaro le responsabilità delle singole autorità, oltre che le procedure di cooperazione.
In merito a quest’ultimo punto, la cooperazione transfrontaliera assume un carattere rilevante: le autorità nazionali devono poter affidarsi alla collaborazione delle autorità di altri paesi o, viceversa, potranno essere invitate a proseguire indagini già avviate in altri stati.

Anche gli operatori del settore sono invitati ad adottare una serie di iniziative che rafforzino la fiducia del consumatore e riducano l’invio di messaggi di posta elettronica indesiderata.
Le società che offrono prodotti software devono descrivere in termini chiari e leggibili tutti i termini e le condizioni dell’offerta, soprattutto nel caso in cui siano inclusi, nei pacchetti software, dispositivi di monitoraggio che elaborano dati personali.
La Commissione suggerisce alle imprese di vietare per contratto l’utilizzo illegale del software nella pubblicità ed di sorvegliare le modalità con cui le pubblicità stesse raggiungono i consumatori, a fronte del fatto che spesso le società non sono a conoscenza degli schemi tecnici con cui i loro prodotti e servizi vengono rese note al pubblico.

Infine, la stessa Commissione Europea si impegna a consolidare il dialogo, nonchè la cooperazione con i Paesi Terzi - i più attivi nell’esercizio di attività di invio di e-mail commerciali - ed a rinnovare le norme nel settore della riservatezza e della sicurezza.
Nel riesame del quadro normativo, gli operatori delle reti e i fornitori di servizi saranno obbligati ad informare l'autorità competente di uno Stato membro di ogni eventuale violazione di sicurezza che abbia portato alla perdita di dati personali e ad interruzioni nella continuità della fornitura del servizio. Dovranno, inoltre, informare i loro clienti di qualsiasi infrazione che abbia comportato la perdita, la modifica, l’accesso o la distruzione di dati personali dei clienti.

La CE si riserva di sorvegliare l’attuazione di tutte le azioni contenute nella Comunicazione ed, entro il 2008, valuterà se siano necessarie ulteriori iniziative.