Wi-fi free: Rischi, norme di comportamento e consigli utili per la protezione dei dati personali.
Nel corso degli anni il c.d. cyberspazio si è arricchito progressivamente di nuovi strumenti e risorse tecnologiche che hanno sicuramente contribuito a creare uno spazio privo di frontiere geografiche funzionale a garantire lo scambio, in tempo reale, di conoscenza a livello mondiale.
La creazione del c.d. cyberspazio rappresenta un traguardo incredibile per lo sviluppo tecnologico che, inevitabilmente, impone l’adozione di stringenti misure di tutela sia in materia di sicurezza sia di privacy, tanto da rendere necessario un controllo sistematico delle reti di traffico telematico e telefonico, specie in seguito ai drammatici eventi legati agli attacchi terroristici e informatici registrati ad oggi in maniera sempre più frequente.
Sotto il profilo della tutela della sicurezza e della privacy sorge per gli operatori di telecomunicazione l’obbligo di trasmettere all’autorità giudiziaria i dati relativi al traffico, telematico e telefonico, al fine di risalire all’utente fruitore della rete che abbia tenuto comportamenti illeciti.
Prima di analizzare la disciplina esistente in materia di wi-fi sotto i molteplici profili che la contraddistinguono, tra cui il regime di responsabilità, civile e penale, del gestore del servizio di reti wireless nell’ipotesi di uso improprio della rete da parte dell’utenza, occorre innanzitutto delineare il concetto di rete wireless e comprenderne l'origine.
1. La nozione di rete Wireless
Il Wi-Fi (acronimo inglese di Wireless Fidelity) rappresenta una delle più importanti innovazioni presenti in ambito tecnologico negli ultimi tempi. La caratteristica principale della rete wireless o rete Wi-Fi è l'impiego di onde radio, quale mezzo di trasmissione dati, per consentire ai nostri device mobili di comunicare tra loro, vale a dire, di interconnettersi ed instaurare lo scambio continuo ed in tempo reale di informazioni di qualsiasi natura.
Nel linguaggio tecnico, la rete Wi-Fi è costituita dai c.d. Acces Point (A.P.), ossia da uno o più fonti del segnale, nonché, da uno o più client che si collegano alla stessa. In altri termini, l’Access Point configura un punto di contatto tra la rete wireless e la rete fissa, alla quale la rete Wi-Fi è comunque in genere connessa. Il segnale wireless di un singolo access point solitamente copre un’area tra i 50 ed i 100 metri, ma può essere esteso ulteriormente tramite determinati accorgimenti.
Nell’ottica principale della massima sicurezza nella navigazioni con reti wireless, allorché un client si connette ad una rete senza fili ha inizio un processo di autenticazione presso l’A.P. da cui appunto si vuole accedere. Detto processo riveste fondamentale importanza poiché consente ai due soggetti protagonisti lo scambio a vicenda delle credenziali, permettendo di verificare la validità delle stesse tramite protocolli che utilizzano metodi di cifratura che identificano con certezza i soggetti coinvolti e garantiscono la disponibilità dei dati esclusivamente alle parti interessate. Dopo l’autenticazione segue la fase relativa all’associazione: il client sceglie un unico A.P. che lo autorizza a connettersi.
2. L’inizio dell’era della rete Wi-Fi. La disciplina normativa a livello europeo. La sentenza della Corte di Giustizia Europea del 2016 (Tobias McFadden c. Sony Music Entertainment Germany GMBH)
Prima di analizzare la normativa esistente a livello europeo e nazionale in materia di wi-fi è d’obbligo fare un cenno all’origine delle reti wireless. Tutto ha preso le mosse dalla decisione della Federal Communications Commission (FCC), l’ente statunitense delle telecomunicazioni, di rendere disponibili determinate frequenze radio e consentirne l’utilizzo senza obbligo di licenza alcuno. E così, nel 1997 ebbe inizio l’era delle reti wireless con la prima versione ufficiale del protocollo denominato IEEE 802.11 sviluppato da una delle commissioni dell’Institute of Electrical and Eletronic Engineers (IEEE), associazione internazionale di scienziati professionisti che si occupa di ricerche sulle nuove tecnologie. Di lì a breve, nel 1999, abbiamo assistito alla nascita ufficiale della tecnologia Wi-Fi, con la diffusione del protocollo 802.11b, insieme alla diffusione della denominazione “Wi-Fi” e del relativo simbolo.
A partire dal 1999, la notevole diffusione dei device mobili ha contribuito all’incessante sviluppo della connettività tramite reti senza filo oggi divenute di utilizzo quotidiano. Ciò ha portato all'emanazione dei primi provvedimenti legislativi e delle prime pronunce giurisprudenziali volti a regolamentare gli aspetti più importanti della materia.
Per quanto attiene alla normativa giuridica a livello europeo, viene in considerazione il Regolamento europeo n. 1316/2013, emanato per la diffusione della connettività e la sua estensione alla comunità locali, a seguito del quale il Consiglio Europeo, nel 2016, ha adottato un orientamento generale su una proposta volta a promuovere connessioni Internet gratuite nelle comunità locali, mediante un apposito programma finanziato dall’UE denominato “WiFi4EU”. La proposta è diretta ad installare wi-fi gratuito in tutti gli ambienti pubblici delle varie cittadine.
Quanto alle pronunce giurisprudenziali a livello europeo degna di rilievo è la sentenza della Corte di Giustizia UE, Sez. III, Sent., 15.09.2016, n. 484/2014 (Tobias McFadden c. Sony Music Entertainment Germany GMBH) avente ad oggetto l’utilizzo improprio da parte di un terzo della rete locale wireless in gestione del sig. McFadden, con cui era stato reso disponibile al pubblico un fonogramma della Sony Music. In detta sentenza la Corte afferma il principio fondante secondo cui la fornitura di un accesso libero di wi-fi costituisce un “servizio della società dell’informazione” cui si applica la disciplina sul commercio elettronico di cui alla Direttiva 2000/31 (recepita in Italia con il D.Lgs. n. 70/2003 – codice commercio elettronico). In virtù dell’enunciato principio la Corte stabilisce, in via preliminare, l’esonero del gestore della rete wi-fi gratuita dalla responsabilità, civile (a titolo risarcitorio) o penale, per le informazioni trasmesse dagli utenti fruitori del servizio (nel caso di specie, violazione da parte di un utente del diritto d’autore). Ovviamente, detto regime di irresponsabilità sussiste laddove il fornitore non abbia partecipato all’attività illecita (ad esempio: non abbia dato origine lui stesso alla trasmissione; non abbia selezionato il destinatario della trasmissione o non abbia selezionato/modificato le informazioni trasmesse).
La Corte, inoltre, contempla la possibilità per il terzo danneggiato dal comportamento illecito dell’utente di ottenere da parte dell’autorità nazionale un’azione inibitoria ai danni del gestore della rete wireless free i cui servizi siano stati utilizzati al fine di commettere la violazione. Ciò significa che quest’ultimo, oltre a dover ottemperare all’ordine di inibizione adottando immediatamente le misure più idonee per porre fine alla violazione, dovrà altresì farsi carico delle spese di tale provvedimento.
Alla luce dei principi espressi in tale Sentenza dalla Corte di Giustizia Europea, per i gestori di reti wireless free è senza dubbio consigliabile dotarsi, fin dall’attivazione del servizio di misure di sicurezza informatica quali, innanzitutto, la previa identificazione dell’utente sia per evitare il rischio di vedersi imporre da parte di un’autorità nazionale l’adozione di misure di sicurezza sia per adeguarsi alle prescrizioni in materia di privacy.
L’adozione preliminare di idonee misure è indispensabile, sebbene, come abbiamo visto, la Corte affermi il principio del regime di irresponsabilità del gestore stesso in virtù del servizio da questi reso poiché riconducibile a quelli c.d. essenziali appartenenti alla società dell’informazione.
Come vedremo, i principi in materia di wi-fi esistenti a livello nazionale sulla base della disciplina italiana sono conformi a quelli appena descritti a livello europeo.
3. La disciplina delle reti wi-fi free nell’ordinamento italiano. L’AgID e le linee guida per l’erogazione del servizio pubblico wi-fi free. Il progetto wifi.Italia.it
Dall'esame della normativa italiana in materia di controllo, accesso e gestione del wi-fi libero emerge come la disciplina esistente sia regolata da pochissime norme tanto da apparire subito frammentaria e tutt’altro che esaustiva. A tal proposito, notiamo subito che i principi cardine della materia si rinvengono soprattutto nelle pronunce giurisprudenziali nazionali ed europee.
Il c.d. “decreto Milleproroghe” (D.L. 29 dicembre 2010, n. 225, art. 2, comma 19, convertito con L. 26 febbraio 2011, n. 10) ha segnato un importante cambiamento rispetto alla normativa al tempo in essere con l’abrogazione dell’obbligo per i gestori di reti wi-fi di identificare previamente gli utenti. Il c.d. “decreto del fare” (D.l. 21 giugno 2013, n. 69, art. 10, convertito in L. 9 agosto 2013, n. 98), conferma in seguito, in modo definitivo, tale liberalizzazione dell’accesso alla rete Internet con tecnologia wi-fi. La novità centrale consiste, pertanto, nel venir meno di quell’obbligo di preventiva autenticazione degli utilizzatori, sancito nella disciplina originaria di cui al c.d. decreto Pisanu (art. 7, D.L. 27 luglio 2005, n. 144 convertito in L. 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo internazionale), emanato in seguito agli attacchi terroristici del 2005 a Londra.
L’obbligo di preventiva identificazione degli utenti di cui all’art. 7 del decreto Pisanu, consisteva nell’adottare precise accortezze ad opera dei gestori di punti di accesso Internet quali, in primis, la creazione di un account per ogni cliente con indicazione, ad esempio, del numero di carta di identità al fine di rendere l’utente facilmente identificabile in caso di utilizzo improprio del servizio di connessione wi-f i free.
Sebbene, come esposto, il predetto obbligo di previa identificazione dell’utente sia venuto meno, sono tuttora operanti per gli operatori di telecomunicazione obblighi di conservazione dei dati di traffico telefonico e telematico, aventi come finalità appunto la possibilità d’identificazione dell’utente per 12 mesi di cui al c.d. D.lgs. Frattini (art. 132, Dlgs 193/2003, modificato dal D.Lgs. 109/2008). Sotto tale profilo, il D.lgs. Gentiloni ha esteso a 6 anni l’obbligo di conservazione dei dati di traffico in diretta attuazione delle normative europee sulla sicurezza.
A livello nazionale, ruolo di rilievo sul territorio è ricoperto dall’Agenzia per l’Italia Digitale della Presidenza del Consiglio che ha il compito di “garantire la realizzazione degli obiettivi dell’AgID e contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione, favorendo l’innovazione e la crescita la trasformazione digitale del Paese anche in collaborazione con le istituzioni e gli organismi internazionali, nazionali e locali”. Norma di riferimento è l’art. 8 bis del Codice delle Amministrazioni (CAD, D.lgs. 07.03.2005, n. 82) inerente la “Connettività alla rete Internet negli uffici e luoghi pubblici”. In base a detto articolo la P.A. deve fornire servizio di wi-fi gratuito a cittadini e turisti nei settori scolastico, sanitario e di interesse turistico con le modalità determinate dall’AgID ed in linea con gli obiettivi dell’Agenda digitale europea. Proprio in relazione all’erogazione di tale servizio l’Agenzia per l’Italia Digitale (AgID) ha emanato un apposito documento contenente le linee guida per l’erogazione del servizio pubblico wi-fi free.
Ad esempio, dette linee guida rinviano all’elenco di “prestazioni obbligatorie” di cui all’art. 96 del Codice delle comunicazioni elettroniche (c.c.e.), che gli operatori di telecomunicazioni devono garantire all’Autorità Giudiziaria, tra cui a titolo esemplificativo: la fornitura di informazioni anagrafiche dell’utenza intestataria del contratto; l’intercettazione delle comunicazioni, il tracciamento delle comunicazioni, la localizzazione dell’utenza (valida solo per la telefonia mobile); l’identificazione dell’utenza; etc.
All’interno delle linee guida, vi è altresì il richiamo al rispetto delle indicazioni del Garante Privacy fornite con provvedimento del 17.01.2008 (G.U. n. 30 del 05.02.2008), in materia di sicurezza dei dati del traffico telefonico e telematico, tra cui: l’adozione di specifici sistemi di autenticazione; la conservazione dei dati di traffico per accertamento e repressione reati utilizzando sistemi informatici fisicamente distinti da quelli utilizzati; il controllo delle attività svolte sui dati di traffico da ciascun incaricato al trattamento; la protezione dei dati di traffico con tecniche crittografiche.
In conclusione, in base a detto documento dell’AgID:”Sull’operatore di telecomunicazioni (Ente o organizzazione) sussiste la responsabilità connessa all’obbligo di identificazione dell’utente. Il provider del servizio (gestore) wi-fi, pur non dovendo rispondere in merito all’identificazione dell’utente, è in ogni caso responsabile della gestione della propria rete.” Tale responsabilità discende dalle normative sulla privacy, nazionali ed europee, con particolar riguardo al Regolamento n. 679/2016 (c.d. GDPR), secondo cui chi effettua il trattamento dei dati personali di utenti deve adottare misure idonee ad assicurare la protezione di tali dati, rendendoli sicuri da intrusioni alla rete. Garantire agli utenti la connettività Internet implica la responsabilità secondo il Codice Civile e secondo i principi generali della responsabilità oggettiva, dei danni causati da comportamenti illeciti commessi da parte degli utenti, salvo il caso di aver messo in pratica tutte le precauzioni idonee a controllare il servizio.
Pertanto, è necessario dotarsi di sistemi di gestione della connettività e dell’autenticazione, che permettano all’operatore di poter tracciare il traffico telematico degli utenti. Per i gestori/fornitori di reti wi-fi è opportuno pertanto fornirsi di sistemi di sicurezza informatica e di identificazione dell’utente. Gli utenti devono poter essere sempre rintracciabili e per questo sarebbe auspicabile il ripristino dell’obbligo attinente alla previa identificazione dell’utente per ottenere l’accesso alla rete wi-fi.
Inoltre, grande novità nella materia in esame è rappresentata dalla realizzazione del progetto wifi.Italia.it che si propone di dare vita alla prima rete WI-FI libera, estesa su tutto il territorio nazionale, con la quale tutti i cittadini hanno la possibilità di connettersi in modo completamente gratuito tramite l'apposita app (wi-fi Italia) da scaricare sul proprio telefono.
L’idea di creare una così descitta rete estesa in tutto il Paese sussiste dal 2011 ma solo ad inizio anno 2019 hanno preso avvio i lavori di sviluppo della rete su tutto il territorio nazionale, con la sottoscrizione del Decreto da parte del Ministro Di Maio. In particolare, il progetto sta coinvolgendo tutti i 138 Comuni colpiti dal sisma del 2016 in Abruzzo, Lazio, Marche e Umbria.
4. I rischi sottesi alla fruizione dei servizi di connessione wi-fi free. Norme di comportamento e consigli utili agli utenti per la protezione dei dati personali. Le fattispecie criminose ricorrenti: il c.d. spoofing e il c.d. sniffing
Alla luce delle argomentazioni che precedono, nonostante la vigenza del principio di irresponsabilità del gestore della rete wireless free che permea la materia, una rete wi-fi, se non adeguatamente protetta, rappresenta un pericolo per la privacy di tutti gli utenti connessi.
In materia di reti wireless gratuite i rischi sottesi sono indubbiamente molti a scapito della tutela dei nostri dati personali. Con ogni probabilità, non del tutto consapevolmente, immettiamo in tali reti i nostri dati privati (basti pensare alle credenziali di accesso ai social network).
Verosimili sono le molteplici truffe in materia di wi-fi free e con esse si delineano nuove fattispecie criminose. La possibilità di navigare in maniera sicura tuttavia esiste. Per questo si consiglia di prestare la massima prudenza e di seguire piccole ma importanti accortezze.
Innanzitutto, occorre precisare che una rete wi-fi pubblica non garantisce la crittografia per gli utenti che utilizzano la stessa password e lo stesso hotspot. Solitamente le credenziali di accesso vengono fornite ad esempio alla reception degli alberghi oppure stampate al momento, ma quando esse sono pubbliche, come pur sempre in questi casi, la nostra sicurezza si è già dissipata.
Tanto posto, il modo migliore per proteggere la navigazione durante l’utilizzo di una wi-fi free pubblica è quello di optare per una rete privata virtuale (c.d. VPN). In questo modo, tutto il traffico Internet viene inviato dal pc in uso tramite un ponte crittografato al provider, ottenendo così la protezione da eventuali intrusioni della rete wi-fi pubblica. Indispensabile sapere inoltre che all’interno dei nostri cellulari vi è un software che consente a una VPN di attivarsi automaticamente nel momento della connessione ad un hotspot wi-fi pubblico. Ulteriore ottima prassi da seguire è quella di disattivare dai nostri dispositivi in uso la connessione automatica a reti wi-fi free pubbliche.
Altra buona pratica da porre in essere è quella di verificare l’URL del sito Internet e non digitare username e credenziali personali in siti apparentemente non attendibili. E’ sconsigliato pertanto immettere le password di accesso in siti web non accompagnati dal lucchetto indicativo della crittografia delle comunicazioni. La navigazione deve quindi essere crittografata. Nel campo dell’URL dovremmo vedere la dicitura HTTPS e non http. Occorre poi che la crittografia perduri per l’intera navigazione e non solo al momento dei vari login.
Proprio per la potenzialità insita nelle reti wi-fi di nascondere insidie e rischi concreti per la tutela dei nostri dati personali, il Garante per la Privacy ha pubblicato delle istruzioni denominate “e-state in privacy. Informazioni e consigli utili per tutelare i propri dati personali quando si è in vacanza” (edizione 2018), nelle quali si legge come “Le connessioni offerte da bar, ristoranti, stabilimenti balneari e hotel potrebbero non essere sufficientemente protette e mettere pc, smartphone e tablet a rischio di intrusioni esterne da parte di malintenzionati a caccia di dati personali. Inoltre, connessioni “infettate” potrebbero veicolare virus e malware, esponendo i dispositivi collegati a diversi rischi, dal phishing al furto d’identità.” Il Garante per la Privacy altresì specifica come “In ogni caso, quando non si è certi del livello di sicurezza della connessione wi.fi, meglio evitare di usare servizi che richiedono credenziali di accesso, ad esempio, alla propria webmail, ai social network etc., fare acquisti on line con la carta di credito o utilizzare il conto on line. Una buona precauzione è disabilitare la funzione di accesso automatico dello smartphone e del pc alle reti wireless per poter eventualmente verificare – prima di usarle – se le reti disponibili offrono adeguati standard di sicurezza”.
Come anticipato, con il diffondersi delle nuove tecnologie si sono diffuse anche nuove fattispecie criminose. Nel settore delle reti wireless free si è soliti distinguere due tipi di violazioni, l’una più grave dell’altra, rispettivamente conosciute con il nome di spoofing e sniffing.
Il c.d. Spoofing
Lo “spoofing” si realizza con la creazione di una vera e propria rete wi-fi free, quindi a libero accesso, denominata con lo stesso nome della grande catena di negozi o della celebre catena alberghiera poste nelle immediate vicinanze. La condotta incriminata è diretta ad ottenere il controllo dei dati degli utenti che si collegano, vale a dire, a carpirne ed osservarne le abitudini sul web (es. siti web frequentati, etc.).
Il c.d. Sniffing
Nella fattispecie in esame la condotta criminosa si realizza con la connessione a reti wireless free già esistenti. Lo sniffing presenta risvolti più gravi rispetto allo spoofing poiché l'autore non si limita al mero monitoraggio delle abitudini on line degli utenti, bensì ne estrae le credenziali di accesso a tutti i vari servizi. Non solo. Attraverso l’identificativo dei singoli dispositivi connessi (c.d. Mac Address) l'hacker è in grado di risalire ai vari utenti e geolocalizzarli. Tra l'altro, il Mac Address è qualificato quale vero e proprio dato personale dal Garante per la Privacy il quale ha sanzionato un ateneo per il monitoraggio di dipendenti tramite l'utilizzo di tale dato in assenza di apposita informativa fatta loro firmare (provvedimento del 13.07.2016 Garante Privacy).
5. Conclusioni
L’utilizzo delle reti wi-fi free è di fondamentale importanza per lo sviluppo di nuovi servizi digitali nell’ambito dei più svariati settori, turistico, sanitario, e di formazione, tanto che, come abbiamo visto, è in corso la realizzazione del progetto di rete wi-fi free che ha l’ambizione di coprire l'intero territorio del nostro Paese.
Quando ci “connettiamo” a reti sconosciute occorre essere consapevoli che le informazioni che trasmettiamo entrano in uno spazio non criptato, dove le nostre attività sono potenzialmente accessibili e violabili da chiunque. Siamo di fronte ad un pericolo concreto e reale in quanto i nostri dati personali sono suscettibili di entrare nel possesso di soggetti malintenzionati la cui condotta si traduce in forme di intrusione della nostra sfera privata di diversa gravità (dal monitoraggio, all’identificazione personale, all’accessibilità ai dati, al furto identità, fino alla geolocalizzazione). Dette violazioni potrebbero non solo consistere nella mera osservazione dei nostri movimenti sul web ma, addirittura, come detto, riuscire ad identificarci, con nome e cognome, e addirittura geolocalizzarci.
Proprio per tutti questi motivi si ribadisce l'importanza di muoversi con la massima prudenza quando ci connettiamo a reti wi-fi free, cercando di mettere in atto piccole accortezze, come quelle suggerite dal Garante Privacy e sopra elencate, le quali possono rivelarsi di fondamentale importanza per la tutela dei nostri dati personali e dunque per la tutela della nostra privacy.
fonte altalex
Per ogni ulteriore chiarimento o necessità di un più approfondito esame del caso specifico lo Studio legale Gaudiello è lieto di esserle utile, non esiti a contattarci.
Forniamo preventivi personalizzati gratuiti.