Collegamento
Contenuto
Framework normativo per la gestione del servizio Wi-Fi
Collegamento
Contenuto
Framework normativo per la gestione del servizio Wi-Fi
In Italia ci sono molte esperienze di WIFI pubblico e libero, a cui si accede senza alcuna autenticazione; questa possibilità è prevista dalla normativa di qualche anno fa.
Eâ possibile integrare le linee guida, aggiungendo anche questa possibilitĂ ?
ciao,
mi riferisco al brano "IdentitĂ digitale e Accesso alle infrastrutture".
Trovo necessario in questo paragrafo dare maggiore rilevanza alla piuâ moderna intenzione europea circa lâidentificazione degli utenti, eIDAS, che garantisce lâinteroperabilitĂ transfrontaliera delle identitĂ digitali (eID) e la sua implementazione permette la circolaritĂ delle eID italiane fra gli stati membri dellâUnione Europea.
antonio
ciao,
mi riferisco ora allâultimo capoverso del paragrafo âIdentitĂ digitale e Accesso alle infrastruttureâ.
In particolar modo al passaggio relativo agli indirizzi IP:
âDi seguito allâidentificazione in rete verrĂ assegnato al device un indirizzo IPv4 di rete privata, a causa della scarsitĂ di IPv4 pubblici. La soluzione a questo problema potrebbe consistere nellâadozione di IPv6, ma attualmente, i servizi erogati dai Provider e dalle PA non sono abilitati a tale protocollo sebbene le reti degli operatori lo siano. Si rende necessario quindi supplire allâesaurimento degli indirizzi e alla difficoltĂ di utilizzo di IPv6, implementando meccanismi di mascheramento tra indirizzi privati e pubbliciâ
Ecco, rilevo qui delle espressioni non troppo precise e talvolta arbitrarie. Cioè: chi dice che dopo lâidentificazione viene assegnato un indirizzo IPv4 di rete privata (supponendo che ci si riferisca a RFC 1918)?
La scarsitaâ degli indirizzi IPv4 allâinterno di unâorganizzazione non eâ una circostanza che puoâ essere data per scontata a livello generale.
Di sicuro la soluzione allâeventuale indisponibilitaâ da parte del provider di indirizzi IPv4 consiste nellâadozione di IPv6 che lo Stato dovrebbe anche qui incoraggiare come giaâ fa altrove (vedi SPC2).
Percioâ non eâ opportuno in questo ambito sbilanciarsi nel dire, senza fonti tra lâaltro, che i servizi erogati dagli ISP non sono abilitati in IPv6, dato che in SPC2 invece eâ obbligatoria lâerogazione di IPv6 alle PA da parte dei fornitori.
Poi lâinciso âdifficoltĂ di utilizzo di IPv6â eâ del tutto arbitrario e privo di fondamento.
Inoltre, come giaâ commentato nel paragrafo âCriteri di implementazione del servizio per le PAâ, IPv6 supera il concetto di NAT e dunque quel riferimento va proprio eliminato.
Infine, la nota 10 eâ errata: âComunemente questa tecnica appena descritta è chiamata Network Address Resolutionâ. Leggasi invece âNetwork Address Translationâ.
antonio
Nel capitolo 2.2. ove il sistema di accesso sia differente da SPID, è necessario indicare che il fornitore di connettivitĂ deve garantire che le interfacce di registrazione, accesso e configurazione del profilo utente siano accessibili ai sensi dei requisiti di cui allâart. 11 della legge n. 4/2004 (questo per non creare discriminazione nellâaccesso al servizio da parte di cittadini con disabilitĂ ).
LâEnte Locale (Il ComuneâŚ), in quanto provider del servizio wi-fi, non solo non è soggetto alla normativa richiamata, che riguarda solamente gli operatori di telecomunicazioni, ma deve ottemperare a quanto disposto dallâart. 10 del cit. âDecreto del Fareâ DL n.69 del 2013, ovverosia che â Lâofferta di accesso alla rete internet al pubblico tramite tecnologia WIFI non richiede lâidentificazione personale degli utilizzatori. Quando lâofferta di accesso non costituisce lâattivitĂ commerciale prevalente del gestore del servizio, non trovano applicazione lâ[articolo 25 del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1Âş agosto 2003, n. 259], e successive modificazioni, e lâarticolo 7 del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, e successive modificazioni.â
LâattivitĂ prevalente di un Comune non è ovviamente lâofferta di accesso. Si ritiene fonte di potenziale confusione ogni ulteriore considerazione volta a introdurre surrettiziamente lâidentificazione degli utenti del wi-fi (oltre che onerosa economicamente) e lesivo del diritto di unâamministrazione di offrire un servizio efficiente e ciò particolarmente laddove essa abbia adottato tutte le misure volte a garantire la protezione dei dati, rendendoli sicuri da intrusioni esterne o interne alla rete, oltre che a controllare il servizio e a impedire che atti illeciti possano essere commessi.
Quindi nel documento deve essere inclusa anche la possibilitĂ della non identificazione âpersonale degli utilizzatoriâ se i provider infrastrutturali non rientrano tra gli operatori di telecomunicazione.
Sottoscriviamo quanto detto da LorenzoTomassoli
Lâintroduzione di una identificazione obbligatoria ridurrebbe significativamente le attivitĂ di promozione e sviluppo del wifi gratuito anche perchè notevolmente onerosa per lâente.
Condivido il commento; questo risolverebbe ânativamenteâ la questione dellâaccesso per gli stranieri. Aggiungo che occorrerebbe sfruttare lâoccasione anche per la definizione di regole comuni e di sistemi di verifica per lâaccesso da parte dei minori dâetĂ qualora si voglia considerare lâaccesso anche per questa tipologia di utenti.
Lâidentificazione e la raccolta dati andrebbe ovviamente sottoposta a tutte le tutele del GDPR, indicando chi, dove, cosa e per cosa vengono registrati gli accessi al servizio e i dati di navigazione, con tutte le relative disponibilitĂ di scaricamento, emendamento, cancellazione.
Dâaltra parte, potrebbe essere interessante per i singoli e per le amministrazioni avere profili statisticamente anonimizzati delle persone che accedono alla rete.
Tutti questi elementi comportano barriere allâutilizzo del wifi pubblico:
Le linee guida AGID attualmente in consultazione, nella parte relativa al framework normativo, presentano alcune contraddizioni. In primo luogo, si ritiene discriminante e inefficace disciplinare in maniera difforme la somministrazione dei servizi wifi da parte di soggetti pubblici e privati. La limitazione del perimetro delle linee guida ai soli soggetti di cui allâart. 2 comma 2 del CAD produce lâeffetto distorsivo di unâarbitraria rigiditĂ per i soggetti pubblici e di un esercizio di libero arbitrio - nelle valutazioni delle responsabilitĂ che da tale servizio discendono - per i soggetti privati. Le esigenze di sicurezza non sembrano risolte con la richiesta di autenticazione degli utenti, considerato anche che il D.L. 21 giugno 2013, n. 98, art. 10 ha liberalizzato lâaccesso alla rete internet tramite tecnologia Wi-Fi, escludendo qualsiasi obbligo di preventiva autenticazione da parte degli utilizzatori.
Per quanto riguarda gli specifici obblighi di sicurezza in capo al provider del servizio, sussistono, dâaltra parte, notevoli criticitĂ per gli Enti pubblici in ordine allâeffettuazione di trattamenti di dati personali che il legislatore ha giĂ valutato come non necessari (art. 10 D.L. 98/2013). Per di piĂš, sussiste una platea ampia di soggetti privati, che possono ricoprire sostanzialmente il ruolo di provider, che non ricadono nellâambito di applicazione materiale del GDPR (c.f.r art. 2 par. 2 lett. c) dello stesso GDPR). Eâ, invece, evidente come la somministrazione di un servizio wi-fi senza autenticazione abbia un impatto, in termini di protezione dei dati personali, certamente meno critico, in ragione del fatto che, richiedendo lâautenticazione agli utenti, devono essere trattati i dati relativi a username e password degli stessi, oltre eventualmente a numero di telefono, estremi della carta di credito ecc.
In termini di responsabilitĂ civile del provider in caso di fatto illecito di terzi, le linee guida non tengono in debito conto gli approdi giurisprudenziali dellâUnione Europea e dei tribunali internazionali sul tema, anche con riferimento alla significativa omogeneitĂ di indirizzo interpretativo teso ad escludere la sussistenza di oneri di registrazione degli accessi da parte dei provider che forniscono connettivitĂ wifi. Ad es. nel noto caso Tobias McFadden c. Sony Music Entertainment Germany GMBH, la Corte di Giustizia Europa, con sentenza del 15.09.2016, causa C-484/14, ha stabilito che il provider del servizio wi-fi non può essere ritenuto responsabile delle informazioni trasmesse dai destinatari di tale servizio a condizione che non dia origine esso stesso alla trasmissione, non selezioni il destinatario della trasmissione e non selezioni nĂŠ modifichi le informazioni trasmesse (art. 12, paragrafo 1, della direttiva 2000/31/CE). Infine si rileva come lâautenticazione elettronica priva di un comprovante sistema di identificazione non consente lâacquisizione di informazioni nodali ai fini della detonazione di illeciti. Pertanto, la conseguenza sarebbe quella di subordinare lâaccesso al wifi non solo a sistemi di autenticazione tout court, ma a sistemi di autenticazione basati su sistemi di identificazione certa come SPID.
Se lâobiettivo che devono porsi le Amministrazioni consiste nellâassecondare lâesercizio di un diritto fondamentale dei cittadini di accesso alla rete ed ai servizi ad essa connessi, è evidente come lâautenticazione costituisca un fardello inutile e poco efficace rispetto alle esigenze di sicurezza conclamate nelle Linee guida.
Dâaccordo in pieno sia con Tomassoli che con Chiarelli