Docs Italia beta

Documenti pubblici, digitali.

Python documentazione
Progetto:
Amministrazione:
Informazioni
Sorgente
Azioni

2. Framework normativo per la gestione del servizio Wi-Fi

Il rapido sviluppo dei servizi nel cosiddetto «spazio cibernetico», se da un lato presenta innumerevoli vantaggi, quali l’abbattimento delle frontiere geografiche, l’erogazione di nuovi tipi di servizi e lo scambio di conoscenza a livello globale, dall’altro è fonte di nuovi e complessi rischi.

Gli eventi avversi nel cyberspazio, l’evoluzione delle tecniche di hacking, la necessità di controllo delle reti e infrastrutture per via del fenomeno crescente del terrorismo, impone, contemporaneamente ai requisiti della sicurezza e della privacy, la necessità per Operatori di Telecomunicazioni di fornire all’attività giudiziaria i dati di traffico telematico o telefonico utili a risalire all’identità dell’utente.

Il Parlamento Europeo con la Direttiva (eu) 2016/1148 del 6 Luglio 2016, in coordinamento con Enisa [5] richiede agli operatori di collaborare allo sviluppo di misure, per raggiungere un elevato comune livello di sicurezza delle reti e dei sistemi informativi in Europa.

La normativa italiana a supporto del tema del presente documento appare ancora stratificata, scarsamente intellegibile e soprattutto poco diffusa.

Senza pretesa di esaustività nel trattare una tematica tanto complessa, con il presente contributo si intende fornire alcune indicazioni, per orientarsi nell’evoluzione della disciplina del free wi-fi nonché del regime di responsabilità, civile e penale, del gestore del servizio, n caso di uso non conforme della rete da parte dell” utenza.

Con riguardo all’ordinamento italiano, la normativa in materia di controllo, accesso e gestione del Wi-Fi libero va fatta risalire all’art. 7, D.L. 27 luglio 2005, n.144 (c.d. decreto Pisanu) convertito in L. 31 luglio 2005, n. 155, recante «misure urgenti per il contrasto del terrorismo internazionale».

Il decreto, adottato sull’onda delle preoccupazioni in materia di sicurezza a seguito degli attentati terroristici del 2005 a Londra, all’art. 7 poneva in capo ai gestori di punti di accesso ad internet alcuni obblighi di preventiva identificazione degli utenti.

Si trattava in sostanza di procedure che permettevano l’identificazione degli utenti, come la creazione manuale di account con associazione al numero di documento di identità dello user oppure la validazione degli utenti via SMS o tramite carta di credito. Successivamente con il c.d. decreto Milleproroghe (D.L. 29 dicembre 2010, n. 225, art. 2, comma 19, convertito con L. 26 febbraio 2011, n. 10) sono stati abrogati il quarto e quinto comma dell’art. 7 del decreto Pisanu, che prevedevano gli obblighi di preventiva identificazione degli utenti.

Il suddetto orientamento è stato definitivamente confermato con l’adozione del c.d. decreto del «Fare» (D.L. 21 giugno 2013, n. 69, art. 10, convertito in L. 9 agosto 2013, n. 98), il quale, sintetizzando quanto già definito dalle precedenti modifiche abrogative e colmando in parte il vuoto normativo che avevano lasciato, ha liberalizzato l’accesso alla rete internet tramite tecnologia Wi-Fi, escludendo qualsiasi obbligo di preventiva autenticazione da parte degli utilizzatori.

Sono tuttavia vigenti per gli operatori di Telecomunicazione obblighi di conservazione dei dati di traffico, che permettano l’identificazione dell’utente per 12 mesi e misure di sicurezza da applicare, secondo le prestazioni obbligatorie imposte dall’art.132 Dlgs 193/2003 modificato da Dlgs 109/2008 (Dlgs Frattini).

Di recente emanazione è infine il Dlgs Gentiloni in tema di applicazione delle normative europee sulla sicurezza che estende a 6 anni l’obbligo di conservazione dei dati di traffico che permettano l’identificazione dell’utente.

2.1. Prestazioni Obbligatorie per Operatori di Telecomunicazioni verso l’Autorità Giudiziaria e prescrizioni sulla Privacy

I requisiti per garantire la sicurezza sulle reti Wi-Fi si focalizzano principalmente, come si evince da quanto riportato fin qui, sul controllo dell’accesso in termini di verifica dell’identità utente, che viene autorizzato all’accesso sulla base di permessi e privilegi stabiliti dal provider.

Gli aspetti di verifica dell’identità o, in generale, la capacità di poter identificare l’utente attraverso le infrastrutture tecnologiche sono normati dal Codice delle Comunicazioni Elettroniche (c.c.e.).

Il suddetto codice all’art.96 introduce per la prima volta in Italia il concetto di «prestazioni obbligatorie» che operatori di telecomunicazioni devono garantire all’Autorità Giudiziaria.

Tale concetto è recepito direttamente dalla direttiva europea sulle autorizzazioni, facente parte del c.d. «Pacchetto Telecom».

Questo tema sembra avere meno dignità, se confrontato con altri come l’antifrode o la sicurezza informatica o la sicurezza cibernetica, ma al contrario, come questi gode di una naturale autonomia in termini di competenza, tantoché ci si potrebbe riferire alle «prestazioni obbligatorie» come disciplina autonoma.

Il c.c.e. prevede la «Possibilità per le autorità nazionali competenti di effettuare legalmente intercettazioni delle comunicazioni in conformità della direttiva 97/66/CE e della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati».

Le «prestazioni obbligatorie» costituiscono parte integrante delle stesse comunicazioni e, anche, la Comunità europea le inserisce tra le condizioni necessarie per la concessione dell’autorizzazione agli operatori.

Non è quindi perfettamente corretto esaminare il tema in questione esclusivamente dal punto di vista della «security» o della «cyber security», riferendosi a requisiti fondamentali come «segretezza», «riservatezza «e» integrità».

Il riferimento quindi è l’art. 96 del c.c.e., modificato dalla legge n. 228 del 24 dicembre 2012 (legge di Stabilità del 2012), il quale afferma al comma 2 che «Le prestazioni relative alle richieste di intercettazioni sono individuate in un apposito repertorio nel quale vengono stabiliti le modalità ed i tempi di effettuazione delle prestazioni stesse, gli obblighi specifici, nonché il ristoro dei costi sostenuti». Possiamo elencare di seguito quelle che nella pratica si intendono come «prestazioni obbligatorie per l’Autorità Giudiziaria:

  1. la fornitura di informazioni anagrafiche dell’utenza intestataria del contratto, in termini di informazioni che l’operatore ha registrato per l’attivazione del servizio, eventualmente comprendendo le informazioni di fatturazione, con l’indicazione della data in cui si è risolto il contratto;
  2. l’intercettazione delle comunicazioni, mediante fornitura dei contenuti e dei metadati ad essi associati, intesa come intercettazione delle comunicazioni sia a livello di accesso, cioè indipendentemente dai servizi usufruiti dall’utenza come appunto la telefonia o la connessione dati, sia a livello di servizio come ad esempio del solo servizio email;
  3. il tracciamento delle comunicazioni, inteso come fornitura dei soli metadati che accompagnano i contenuti delle comunicazioni intercettate;
  4. la localizzazione dell’utenza, valida solo per la telefonia mobile, che si suddivide in localizzazione standard associata alla comunicazione e localizzazione di precisione che prescinde dalle comunicazioni dell’utente;
  5. l’identificazione dell’utenza, intesa come il risalire all’identificativo tecnico che è stato utilizzato dall’utenza, valido sia per le connessioni dati per le quali dall’IP si vuole risalire al numero di telefono oppure all’hot spot che ha fornito l’accesso, sia per lo stalking telefonico (in questo caso si ricorre all’override);
  6. la sospensione o la limitazione dei servizi, come ad esempio nel caso delle email in cui si inibisce temporaneamente l’accesso;
  7. la documentazione integrale del traffico storico, con la fornitura delle informazioni prescritte dal dlgs n. 109 del 30 maggio 2008(7);
  8. il sequestro dei contenuti, intesi come contenuti a disposizione dell’operatore e tecnicamente sequestrabili come ad esempio le email in precedenza inviate/ricevute e conservate dall’utente sul server email oppure i messaggi in segreteria telefonica.

L’inadempienza dell’operatore totale o parziale, configura fattispecie di reato, comporta sanzioni economiche, nei casi più gravi, la sospensione o ritiro licenza.

Contestualmente alle prestazioni obbligatorie esistono, le prescrizioni del Garante per la Privacy del 17 gennaio 2008 G.U. n. 30 del 5 febbraio 2008, in materia di sicurezza dei dati del traffico telefonico e telematico che richiedono:

  • adozione di specifici sistemi di autenticazione basata su tecniche di «strong authentication»;
  • conservazione dei dati di traffico per accertamento e repressione reati utilizzando sistemi informatici fisicamente distinti da quelli utilizzati;
  • di rendere i dati di traffico immediatamente non disponibili allo scadere dei termini previsti dalle disposizioni vigenti;
  • controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento;
  • attività almeno annuale di controllo interno all’organizzazione;
  • proteggere i dati di traffico con tecniche crittografiche.

L’obbligo di identificazione dell’utente è quindi posto in capo all’operatore di telecomunicazioni e solleva il «provider» del servizio Wi-Fi, dalla responsabilità di dover rispondere sui vincoli dell’identificazione utente.

Il «provider» del Servizio è in ogni caso responsabile della gestione della sicurezza della propria rete, e di seguito fissiamo alcuni punti:

  • secondo le normative sulla privacy in vigore sia a livello nazionale che europeo, con particolare riferimento al Regolamento Ue 2016/679, il cosiddetto GDPR, chi effettui trattamento di dati personali di utenti deve avvalersi di misure tecnicamente in grado di assicurare la protezione di suddetti dati, rendendoli sicuri da intrusioni esterne o interne alla rete
  • rendere disponibile agli utenti la connettività Internet implica responsabilità secondo il Codice Civile e secondo i principi della responsabilità oggettiva, dei danni causati da eventuali attività non lecite commesse da parte degli utenti, a meno di non aver messo in pratica tutte le misure necessarie a controllare il servizio e a impedire che gli atti illeciti potessero essere commessi
  • è tuttavia necessario dotarsi di sistemi di gestione della connettività e dell’autenticazione che permettano all’operatore di poter tracciare il traffico telematico degli utenti per poter rispondere ai suddetti obblighi.

Per i fornitori di accesso ad Internet tramite Wi-Fi, è opportuno e consigliabile pertanto dotarsi di adeguati sistemi di sicurezza informatica e di identificazione dell’utente,

Gli utenti della rete Wi-Fi aperta al pubblico, in buona sostanza, non devono poter agire in regime di anonimato una possibile azione correttiva quindi consiste nell’imposizione di un obbligo di previa identificazione per ottenere l’accesso;

Concludendo, nonostante l’attuale orientamento della giurisprudenza della Suprema Corte di Cassazione e della Corte di Giustizia Europea, il «trend» del free Wi-Fi e del regime di irresponsabilità dei gestori di «hotspot» non può darsi per scontato. Il dilagare del fenomeno terroristico, infatti, ha già condotto a dibattiti circa l’opportunità di bloccare le reti Wi-Fi pubbliche in caso di emergenza in molti Paesi europei. Resta quindi da verificare fin dove l’esigenza di controllo di Internet e di prevenzione dei reati commessi tramite il web si spingerà [6].

2.2. Identità digitale e Accesso alle infrastrutture

La «Dichiarazione dei diritti in internet» [7] definisce il diritto all’identità digitale per ciascuna persona all’art.9, dove si afferma la possibilità, per gli utenti di esistenza di molteplici identità digitali.

Per la verifica o nuova assegnazione delle identità digitali i Service Provider si servono degli Identity Provider, i quali hanno il compito di verificare l’identità dell’utente attraverso determinati processi di riconoscimento e conseguentemente creano l’identità digitale certificata.

In Italia è stato implementato da AgID il servizio SPID, ovvero il Sistema Pubblico per la gestione dell’Identità Digitale [8], introdotto per migliorare la fruibilità dei servizi erogati in rete da parte delle pubbliche amministrazioni, ai sensi dell’art. 64 CAD [9].

Nei sistemi Wi-Fi, una volta verificata l’identità digitale di un utente in forma diretta o indiretta, ad esempio attraverso la SIM, la carta di credito oppure l’accesso con SPID, ecc.., verrà creata l’utenza e le opportune credenziali o certificati per l’accesso a internet. Di seguito all’identificazione in rete verrà assegnato al device un indirizzo IPv4 di rete privata, a causa della scarsità di IPv4 pubblici. La soluzione a questo problema potrebbe consistere nell’adozione di IPv6, ma attualmente, i servizi erogati dai Provider e dalle PA non sono abilitati a tale protocollo sebbene le reti degli operatori lo siano. Si rende necessario quindi supplire all’esaurimento degli indirizzi e alla difficoltà di utilizzo di IPv6, implementando meccanismi di mascheramento tra indirizzi privati e pubblici [10].

[5]European Union Agency for Network and Information Security.
[6]Fonte Altalex, 24 febbraio 2017, Articolo di Giulia Tebaldi.
[7]Documento elaborato dalla Commissione per i diritti e i doveri relativi ad Internet a seguito della consultazione pubblica, delle audizioni svolte e della riunione della stessa Commissione del 14 luglio 2015.
[8]La definizione di Identità Digitale data da SPID è la «rappresentazione informatica della corrispondenza biunivoca tra un utente ed i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale».
[9]D.lgs. 7 marzo 2005, n.82, come modificato dall’art. 17-ter del decreto legge n. 69 del 2013.
[10]Comunemente questa tecnica appena descritta è chiamata Network Address Resolution.