[LG-WIFI] Framework normativo per la gestione del servizio Wi-Fi

Collegamento

Contenuto
Framework normativo per la gestione del servizio Wi-Fi

In Italia ci sono molte esperienze di WIFI pubblico e libero, a cui si accede senza alcuna autenticazione; questa possibilità è prevista dalla normativa di qualche anno fa.
E’ possibile integrare le linee guida, aggiungendo anche questa possibilità?

ciao,

mi riferisco al brano "Identità digitale e Accesso alle infrastrutture".

Trovo necessario in questo paragrafo dare maggiore rilevanza alla piu’ moderna intenzione europea circa l’identificazione degli utenti, eIDAS, che garantisce l’interoperabilità transfrontaliera delle identità digitali (eID) e la sua implementazione permette la circolarità delle eID italiane fra gli stati membri dell’Unione Europea.

ciao

antonio

ciao,

mi riferisco ora all’ultimo capoverso del paragrafo “Identità digitale e Accesso alle infrastrutture”.

In particolar modo al passaggio relativo agli indirizzi IP:

“Di seguito all’identificazione in rete verrà assegnato al device un indirizzo IPv4 di rete privata, a causa della scarsità di IPv4 pubblici. La soluzione a questo problema potrebbe consistere nell’adozione di IPv6, ma attualmente, i servizi erogati dai Provider e dalle PA non sono abilitati a tale protocollo sebbene le reti degli operatori lo siano. Si rende necessario quindi supplire all’esaurimento degli indirizzi e alla difficoltà di utilizzo di IPv6, implementando meccanismi di mascheramento tra indirizzi privati e pubblici”

Ecco, rilevo qui delle espressioni non troppo precise e talvolta arbitrarie. Cioè: chi dice che dopo l’identificazione viene assegnato un indirizzo IPv4 di rete privata (supponendo che ci si riferisca a RFC 1918)?
La scarsita’ degli indirizzi IPv4 all’interno di un’organizzazione non e’ una circostanza che puo’ essere data per scontata a livello generale.

Di sicuro la soluzione all’eventuale indisponibilita’ da parte del provider di indirizzi IPv4 consiste nell’adozione di IPv6 che lo Stato dovrebbe anche qui incoraggiare come gia’ fa altrove (vedi SPC2).

Percio’ non e’ opportuno in questo ambito sbilanciarsi nel dire, senza fonti tra l’altro, che i servizi erogati dagli ISP non sono abilitati in IPv6, dato che in SPC2 invece e’ obbligatoria l’erogazione di IPv6 alle PA da parte dei fornitori.

Poi l’inciso “difficoltà di utilizzo di IPv6” e’ del tutto arbitrario e privo di fondamento.

Inoltre, come gia’ commentato nel paragrafo “Criteri di implementazione del servizio per le PA”, IPv6 supera il concetto di NAT e dunque quel riferimento va proprio eliminato.

Infine, la nota 10 e’ errata: “Comunemente questa tecnica appena descritta è chiamata Network Address Resolution”. Leggasi invece “Network Address Translation”.

ciao

antonio

Nel capitolo 2.2. ove il sistema di accesso sia differente da SPID, è necessario indicare che il fornitore di connettività deve garantire che le interfacce di registrazione, accesso e configurazione del profilo utente siano accessibili ai sensi dei requisiti di cui all’art. 11 della legge n. 4/2004 (questo per non creare discriminazione nell’accesso al servizio da parte di cittadini con disabilità).

Prestazioni Obbligatorie per Operatori di Telecomunicazioni verso l’Autorità Giudiziaria e prescrizioni sulla Privacy

L’Ente Locale (Il Comune…), in quanto provider del servizio wi-fi, non solo non è soggetto alla normativa richiamata, che riguarda solamente gli operatori di telecomunicazioni, ma deve ottemperare a quanto disposto dall’art. 10 del cit. “Decreto del Fare” DL n.69 del 2013, ovverosia che “ L’offerta di accesso alla rete internet al pubblico tramite tecnologia WIFI non richiede l’identificazione personale degli utilizzatori. Quando l’offerta di accesso non costituisce l’attività commerciale prevalente del gestore del servizio, non trovano applicazione l’[articolo 25 del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1º agosto 2003, n. 259], e successive modificazioni, e l’articolo 7 del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, e successive modificazioni.”

L’attività prevalente di un Comune non è ovviamente l’offerta di accesso. Si ritiene fonte di potenziale confusione ogni ulteriore considerazione volta a introdurre surrettiziamente l’identificazione degli utenti del wi-fi (oltre che onerosa economicamente) e lesivo del diritto di un’amministrazione di offrire un servizio efficiente e ciò particolarmente laddove essa abbia adottato tutte le misure volte a garantire la protezione dei dati, rendendoli sicuri da intrusioni esterne o interne alla rete, oltre che a controllare il servizio e a impedire che atti illeciti possano essere commessi.

Quindi nel documento deve essere inclusa anche la possibilità della non identificazione ”personale degli utilizzatori” se i provider infrastrutturali non rientrano tra gli operatori di telecomunicazione.

Sottoscriviamo quanto detto da LorenzoTomassoli

Prestazioni Obbligatorie per Operatori di Telecomunicazioni verso l’Autorità Giudiziaria e prescrizioni sulla Privacy

L’introduzione di una identificazione obbligatoria ridurrebbe significativamente le attività di promozione e sviluppo del wifi gratuito anche perchè notevolmente onerosa per l’ente.

Condivido il commento; questo risolverebbe “nativamente” la questione dell’accesso per gli stranieri. Aggiungo che occorrerebbe sfruttare l’occasione anche per la definizione di regole comuni e di sistemi di verifica per l‘accesso da parte dei minori d’età qualora si voglia considerare l’accesso anche per questa tipologia di utenti.

L’identificazione e la raccolta dati andrebbe ovviamente sottoposta a tutte le tutele del GDPR, indicando chi, dove, cosa e per cosa vengono registrati gli accessi al servizio e i dati di navigazione, con tutte le relative disponibilità di scaricamento, emendamento, cancellazione.

D’altra parte, potrebbe essere interessante per i singoli e per le amministrazioni avere profili statisticamente anonimizzati delle persone che accedono alla rete.

Tutti questi elementi comportano barriere all’utilizzo del wifi pubblico:

• perché la scelta di utilizzare un wifi anziché una connessione dati oggi è abbastanza equivalente, se non peggiorativa
• perché alcuni dispositivi potrebbero non supportare il metodo di autenticazione scelto (vedi la modalità app di wifi.italia.it)

Le linee guida AGID attualmente in consultazione, nella parte relativa al framework normativo, presentano alcune contraddizioni. In primo luogo, si ritiene discriminante e inefficace disciplinare in maniera difforme la somministrazione dei servizi wifi da parte di soggetti pubblici e privati. La limitazione del perimetro delle linee guida ai soli soggetti di cui all’art. 2 comma 2 del CAD produce l’effetto distorsivo di un’arbitraria rigidità per i soggetti pubblici e di un esercizio di libero arbitrio - nelle valutazioni delle responsabilità che da tale servizio discendono - per i soggetti privati. Le esigenze di sicurezza non sembrano risolte con la richiesta di autenticazione degli utenti, considerato anche che il D.L. 21 giugno 2013, n. 98, art. 10 ha liberalizzato l’accesso alla rete internet tramite tecnologia Wi-Fi, escludendo qualsiasi obbligo di preventiva autenticazione da parte degli utilizzatori.

Per quanto riguarda gli specifici obblighi di sicurezza in capo al provider del servizio, sussistono, d’altra parte, notevoli criticità per gli Enti pubblici in ordine all’effettuazione di trattamenti di dati personali che il legislatore ha già valutato come non necessari (art. 10 D.L. 98/2013). Per di più, sussiste una platea ampia di soggetti privati, che possono ricoprire sostanzialmente il ruolo di provider, che non ricadono nell’ambito di applicazione materiale del GDPR (c.f.r art. 2 par. 2 lett. c) dello stesso GDPR). E’, invece, evidente come la somministrazione di un servizio wi-fi senza autenticazione abbia un impatto, in termini di protezione dei dati personali, certamente meno critico, in ragione del fatto che, richiedendo l’autenticazione agli utenti, devono essere trattati i dati relativi a username e password degli stessi, oltre eventualmente a numero di telefono, estremi della carta di credito ecc.

In termini di responsabilità civile del provider in caso di fatto illecito di terzi, le linee guida non tengono in debito conto gli approdi giurisprudenziali dell’Unione Europea e dei tribunali internazionali sul tema, anche con riferimento alla significativa omogeneità di indirizzo interpretativo teso ad escludere la sussistenza di oneri di registrazione degli accessi da parte dei provider che forniscono connettività wifi. Ad es. nel noto caso Tobias McFadden c. Sony Music Entertainment Germany GMBH, la Corte di Giustizia Europa, con sentenza del 15.09.2016, causa C-484/14, ha stabilito che il provider del servizio wi-fi non può essere ritenuto responsabile delle informazioni trasmesse dai destinatari di tale servizio a condizione che non dia origine esso stesso alla trasmissione, non selezioni il destinatario della trasmissione e non selezioni né modifichi le informazioni trasmesse (art. 12, paragrafo 1, della direttiva 2000/31/CE). Infine si rileva come l’autenticazione elettronica priva di un comprovante sistema di identificazione non consente l’acquisizione di informazioni nodali ai fini della detonazione di illeciti. Pertanto, la conseguenza sarebbe quella di subordinare l’accesso al wifi non solo a sistemi di autenticazione tout court, ma a sistemi di autenticazione basati su sistemi di identificazione certa come SPID.

Se l’obiettivo che devono porsi le Amministrazioni consiste nell’assecondare l’esercizio di un diritto fondamentale dei cittadini di accesso alla rete ed ai servizi ad essa connessi, è evidente come l’autenticazione costituisca un fardello inutile e poco efficace rispetto alle esigenze di sicurezza conclamate nelle Linee guida.

D’accordo in pieno sia con Tomassoli che con Chiarelli