Prestazioni obbligatorie per le reti Wi-Fi

Il presente documento intende raggruppare alcuni contributi già pubblicati e liberamente disponibili su Internet, opportunamente referenziate e attribuibili solo alle istituzioni pubbliche, inerenti all’erogazione del servizio WI-FI, nell’ottica di fare chiarezza sul quadro normativo e tecnologico vigente e dando alcune indicazioni di tipo commerciale per la copertura delle prestazioni obbligatorie ex art. 57 del Codice delle Comunicazioni elettroniche erogabili tramite la innovativa ed economica piattaforma SecFull Target.

1. Reti Wi-Fi private e pubbliche [1]

Il Codice delle comunicazioni elettroniche (D.Lgs 259/2003), aggiornato a seguito dell’entrata in vigore il 24 dicembre 2021 del DECRETO LEGISLATIVO 8 novembre 2021, n. 207 “Attuazione della direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, che istituisce il Codice europeo delle comunicazioni elettroniche (rifusione)”, all’Art. 2 “Definizioni” (ex art. 2 eecc e art. 1 Codice 2003) distingue tra due diverse tipologie di utilizzo delle reti:

1. Rete privata o Rete di comunicazione elettronica ad uso privato: rete di comunicazione elettronica con la quale sono realizzati servizi di comunicazione elettronica ad uso esclusivo del titolare della relativa autorizzazione. Una rete privata puo’ interconnettersi, su base commerciale, con la rete pubblica tramite uno o piu’ punti terminali di rete, purche’ i servizi di comunicazione elettronica realizzati con la rete privata non siano accessibili al pubblico.

Per le reti private Wi-Fi non è prevista alcuna autorizzazione. Le apparecchiature sono comprese in quelle previste di libero uso ai sensi dell’art. 105, comma 1, lettera b del Codice delle comunicazioni elettroniche, così come modificato dall’art. 70 del D.Lgs. 70/2012. Per uso privato si intende che la rete deve essere utilizzata soltanto per trasmissioni riguardanti attività di propria pertinenza, con divieto di effettuare traffico per conto terzi (art. 101 del Codice).

2. Rete pubblica di comunicazione elettronica: una rete di comunicazione elettronica, utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di rete;

Il caso tipico è quello per cui si intenda installare uno o più access point W-LAN in uno spazio aperto al pubblico per fornire, ad esempio, il servizio di accesso alla rete internet. È necessario distinguere i seguenti casi:

• Impresa che ha come attività principale la fornitura di servizi di comunicazione elettronica

In questo caso è necessaria l’autorizzazione generale (art. 11 del Codice delle comunicazioni elettroniche), da richiedere al Ministero dello sviluppo economico. A questo scopo si deve presentare una dichiarazione conforme all’allegato A del Decreto Ministeriale 28 maggio 2003 (e successive modifiche). Dato che questo tipo di installazione comporta l’uso pubblico, si deve preventivamente essere autorizzati ad agire come internet service provider.

• Impresa o esercizio commerciale che non ha come attività principale la fornitura di servizi di comunicazione elettronica

Secondo quanto disposto dall’art. 10 del D.L 69/2013 (cosiddetto Decreto “del fare”) convertito con legge 9 agosto 2013, n. 98, in questo caso l’offerta di accesso alla rete internet al pubblico tramite tecnologia Wi-Fi non richiede alcuna autorizzazione e non prevede l’identificazione dell’utilizzatore.

• Pubblica amministrazione

L’art. 6 del Codice delle comunicazioni elettroniche vieta espressamente a Stato, Regioni ed enti locali di fornire direttamente reti e servizi di comunicazione elettronica ad uso pubblico se non attraverso società controllate o collegate. Per erogare questo tipo di servizi le pubbliche amministrazioni devono quindi rivolgersi a operatori autorizzati ai sensi dell’art. 11 del Codice. 

2. Organizzazione e ruoli del Servizio WiFi[2]

Nel framework organizzativo del servizio WI-FI pubblico possiamo individuare 4 ruoli:

Lawful Interception per gli Operatori di Tlc

• Service Provider: è il fornitore (organizzativo) del Servizio ed è rappresentato dall’Ente responsabile della progettazione, della gestione e delle evoluzioni del servizio stesso. Il Service Provider gestisce le policy di accesso per la connessione al servizio e per la generazione delle credenziali, necessarie agli utenti, per poter accedere alla rete.
• Resource Provider: fornisce l’infrastruttura di rete all’utente che viene identificato secondo le modalità stabilite.
• Internet Service provider: fornisce la connettività ad Internet all’infrastruttura del Recource Provider.
• Utente: l’utente finale del servizio.

3. Identificazione degli utenti[3]

Uno dei requisiti atti a garantire la sicurezza sulle reti WIFI è che sia prevista l’identificazione dell’utente in associazione con gli opportuni meccanismi di autenticazione.  Ciò consente inoltre agli operatori di telecomunicazione di ottemperare agli obblighi di cui all’art.57 del Codice di Comunicazioni Elettroniche (CCE) ovvero alle Prestazioni obbligatorie che prevedono tra l’altro l’identificazione dell’utente anche indirettamente, attraverso sistemi di riconoscimento via OTP.

Per quanto riguarda le imprese l’art. 10 del Decreto del fare ha disposto che l’offerta di accesso alla rete internet al pubblico tramite tecnologia Wi-Fi non richiede (obbligatoriamente) l’identificazione personale degli utilizzatori. Inoltre le imprese che offrono al pubblico l’accesso Wi-Fi in modo secondario rispetto alla loro attività principale non sono tenute a richiedere l’autorizzazione prevista per le reti e i servizi di comunicazione elettronica (prevista dall’articolo 25 CCE) nè l’autorizzazione del questore per apertura di pubblico esercizio o circolo privato in cui sono posti a disposizione terminali utilizzabili per comunicazioni telematiche (prevista dall’articolo 7 del d.l. 144/2005).

L’art. 10 del Decreto del fare non solleva dall’obbligo di autenticazione e di identificazione indiretta. E’ utile rilevare che in caso di violazione di sistemi o di dati effettuata grazie all’utilizzo un accesso wi-fi disponibile senza alcuna autenticazione informatica o altra forma di protezione della connessione aerea (wireless), non sarà possibile risalire all’autore della condotta illecita, con possibili conseguenti responsabilità civili e penali.

Per coloro che forniscono accesso ad Internet tramite Wi-Fi ai sensi dell’art. 8-bis del CAD, si ritiene in ogni caso opportuno dotarsi di sistemi di identificazione (e autenticazione) dell’utente, o consentire l’accesso attraverso dispositivi personali il cui rilascio prevede l’identificazione. Tali sistemi dovranno essere progettati rispettando i requisiti previsti dal GDPR, tra i quali la raccolta e la conservazione solo di dati strettamente necessari e per il tempo necessario e il rilascio delle informative.

4. Il parere del Garante privacy[4]

L’attività di erogazione del servizio di Wi-Fi free comporta, da parte dei soggetti di cui all’art. 2, comma 2 del CAD e, in particolare, delle amministrazioni, il trattamento dei dati personali degli utenti che intendono usufruire del predetto servizio, nell’ambito delle varie fasi dell’utilizzo dello stesso, che presentano differenti caratteristiche, anche in ragione dei diversi apparati e servizi di rete impiegati (es. firewall, proxy server, DNS server). In tal senso, occorre, infatti, distinguere i trattamenti di dati personali relativi alla preliminare attività di identificazione degli utenti, in fase di autenticazione all’atto dell’accesso al servizio, da quelli relativi alla successiva fase di utilizzo della rete da parte dell’utente.

Al fine di rispettare il principio di liceità, correttezza e trasparenza nei confronti degli utenti, occorre precisare, che gli obblighi che gravano in capo alle amministrazioni (cc.dd. service provider) sono distinti da quelli che sono imposti dalla legge a carico dei fornitori di servizi di comunicazione elettronica (cc.dd. resource provider). Gli obblighi di identificazione degli utenti e di conservazione dei dati di traffico telematico gravano, secondo la normativa di riferimento, esclusivamente in capo agli operatori di telecomunicazione e non, in generale, ai soggetti di cui all’art. 2, comma 2, del CAD considerato che, anche quando offrono il servizio Wi-Fi free, questi ultimi non sono equiparabili ai “fornitori di servizi di comunicazione elettronica”.

5. Prestazioni obbligatorie

L’art. 57 del Codice delle comunicazioni elettroniche disciplina le prestazioni obbligatorie per:

• i soggetti autorizzati all’impianto ed esercizio di reti e servizi di comunicazione elettronica ad uso pubblico
• gli operatori che erogano i servizi individuati dall’articolo 3 del Decreto Legislativo 30 maggio 2008, n.109. In questa categoria ricadono gli operatori di telefonia e di comunicazione elettronica. Il DLGS 109/2008 riporta come esempi di servizi la telefonia di rete fissa, la telefonia mobile, l’accesso internet, la posta elettronica, la telefonia via internet, l’invio di fax/sms/mms via internet.
• gli operatori di transito internazionale di traffico

La prima categoria pone la distinzione principale, ovvero sulla natura di reti e servizi di comunicazione elettronica ad uso pubblico. A tal proposito è utile ricordare che il DECRETO MINISTERIALE 28.05.2003 (modificato dal d.m. 4.10.2005 o Decreto Landolfi) “Condizioni per il rilascio delle autorizzazioni generali per la fornitura al pubblico dell’accesso Radio-LAN alle reti ed ai servizi di telecomunicazioni”, all’art. 6 comma 1 richiede:

• la sicurezza della rete contro l’accesso non autorizzato conformemente alla normativa in materia, il mantenimento dell’integrità della rete (punto B), che possiamo tradurre in “autenticazione”;
• in particolare le prestazioni ai fini di giustizia sin dall’inizio dell’attività (punto B), che possiamo tradurre in “prestazioni obbligatorie”;
• l’adozione di opportuni codici di abilitazione e identificazione per identificare univocamente l’abbonato e verificarne l’abilitazione all’accesso alla rete tramite l’access point (punto K), che potremmo tradurre in “identificazione indiretta”;
• il rispetto delle disposizioni vigenti in materia di pubblica sicurezza e tempestiva collaborazione con l’Autorità giudiziaria ai sensi dell’art. 7, comma 13 del decreto del Presidente della Repubblica n. 318 del 1997 (punto L), dove l’art. 7 comma 13 recita “Le prestazioni effettuate a fronte di richieste di intercettazioni e di informazioni da parte delle competenti autorità giudiziarie sono obbligatorie, non appena tecnicamente possibile da parte dell’organismo di telecomunicazioni nei tempi e nei modi che questo concorderà con le predette Autorità. Le prestazioni relative alle richieste di intercettazioni vengono remunerate secondo un listino, redatto per tipologie e fasce quantitative di servizi, proposto dall’organismo di telecomunicazioni ed approvato dal Ministero delle comunicazioni di concerto con il Ministero di grazia e giustizia” ), che potremmo tradurre in “prestazioni obbligatorie” come in precedenza.

6. Note tecniche[5]

In questo settore, la presenza di terminologie appartenenti ad ambiti diversi rende difficoltoso l’orientamento rispetto alla normativa. Cerchiamo di fare chiarezza. Per la normativa europea, e italiana di conseguenza, esistono due tipologie di reti locali senza fili:

• RadioLAN (Radio Local Area Network)
  • Sono regolate dalla decisione ERC/DEC/(01)07
  • Le caratteristiche tecniche sono le seguenti (raccomandazione CEPT ERC/REC 70-03):
    • Banda di frequenza: 2400 – 2483,5 MHz
      • EIRP: 100 mW (vedi definizioni)
      • Uso consentito sia all’interno che all’esterno di edifici
    • HiperLAN (High Performance Radio Local Area Network)
      • Sono regolate dalla decisione ECC/DEC(04)08
      • Le caratteristiche tecniche sono le seguenti (decisione 2005/513/CE modificata dalla 2007/90/CE):
        • Banda di frequenza: 5150 – 5350 MHz
          • EIRP: 200 mW (vedi definizioni)
          • Uso consentito solo all’interno di edifici
          • TPC e DFS obbligatori nella banda da 5250 a 5350 MHz (vedi definizioni)
        • Banda di frequenza: 5470 – 5725 MHz
          • EIRP: 1W (vedi definizioni)
          • Uso consentito sia all’interno che all’esterno di edifici
          • TPC e DFS obbligatori (vedi definizioni)

7. Definizioni[6]

802.11 a,b,g,h,n ecc.: definizioni dell’IEEE (Institute of Electrical and Electronic Engineers), organismo con sede negli USA che ha il compito di definire standard industriali nel settore elettrico ed elettronico. Tra gli altri possiamo distinguere:

• 11a: standard USA, che utilizza frequenze nella banda dei 5 GHz, applicabile in Italia solo se adattato alle caratteristiche tecniche indicate dalle norme europee (vedi sotto);
• 11b, g, n: gli standard più utilizzati dalle comuni apparecchiature Wi-fi, utilizzano la banda dei 2,4 GHz e si differenziano solo per la velocità di trasmissione;
• 11h: standard di recente approvazione, adattamento dell’802.11a alla normativa europea, con l’implementazione dei meccanismi di DFS e TPC (vedi definizioni).

DFS – Dynamic Frequency Selection: la selezione dinamica della frequenza associata con il meccanismo di scelta del canale deve assicurare una distribuzione uniforme del carico trasmissivo su 300 MHz (225 MHz nella banda 5470-5725): evita interferenze ad altri servizi, in particolare i radar e i servizi satellitari compresenti in questa banda di frequenze. La conformità allo standard 802.11h garantisce la presenza di entrambi questi meccanismi di protezione.

EIRP – Equivalent Isotropically Radiated Power: potenza equivalente irradiata isotropicamente: si tratta di un livello di potenza che comprende anche l’eventuale guadagno di antenna: attenzione quindi alle antenne esterne!

TPC – Transmitter Power Control: il trasmettitore deve essere dotato di un sistema di controllo di potenza che assicuri un fattore di mitigazione di almeno 3 dB;

WiFi – Wireless Fidelity: indica dispositivi che possono collegarsi a reti locali senza fili (W-LAN) basate sulle specifiche IEEE 802.11.

8. Cos’è SecFull Target

SecFull è la linea di prodotti di LEX et ARS orientati alla compliance. SecFull Target è la soluzione architetturale più completa per gli operatori di telecomunicazioni che devono erogare le Prestazioni Obbligatorie per l’Autorità competente. La soluzione nasce da un’esperienza di oltre 20 anni nel settore specifico della consulenza strategica delle prestazioni obbligatorie e risolve tutte le problematiche fin qui individuate e risolte nel settore, garantendo il massimo rispetto delle normative vigenti, l’applicazione dei più aggiornati protocolli di sicurezza e di crittografia.

L’architettura è composta da singoli sistemi che consentono di gestire il flusso di lavoro richiesto dell’Autorità ed è modulare. E’ possibile scegliere la configurazione più vicina alle proprie esigenze selezionando i singoli sistemi. Da un’unica interfaccia grafica è possibile gestire ogni tipo di richiesta. L’architettura si adegua alle caratteristiche dell’operatore a seconda che fornisca i servizi GSM, GSM-R, UMTS, 4G VoLTE, GPRS, UMTS PS, LTE, PSTN, VoIP, Adsl-x, Fiber 1G, Fiber 10G, Wi-Fi.

Oltre a poter offrire i costi più bassi del mercato, SecFull Target è l’unica piattaforma che fornisce un servizio tutto compreso, con un gruppo di esperti che continuamente esaminano e possono fornire pareri tecnici, normativi, giurisprudenziali realmente competenti. La piattaforma ingloba automaticamente e senza costi eventuali modifiche introdotte dal legislatore nazionale/europeo e dall’ETSI.

In particolare, per le reti WiFi, rispetto ad altre soluzioni di mercato SecFull Target può vantare un’esperienza unica nell’implementazione delle prestazioni obbligatorie per il tracciamento e l’intercettazione del servizio erogato sia da access point fissi che mobili come ad es. nel caso di treni e autobus.

SecFull Target è già operante in primari operatori di telecomunicazioni nazionali.

9. L’opinione degli esperti di SecFull Target

Negli ultimi 20 anni gli esperti di SecFull Target hanno già analizzato situazioni del tutto analoghe a quanto esaminato nei paragrafi precedenti, confermando tuttavia che esiste una interpretazione della norma ed una soluzione che è capace di risolvere le esigenze di tutti i soggetti interessati, purtuttavia limitata da una regolamentazione del settore incompleta e incompatibile con l’avanzare della tecnologia.

E’ utile a tale scopo esaminare le tipologie delle reti WiFi sotto un’altra tipologia, ovvero non solo se accedono o meno ad Internet ma anche dal ruolo svolto dal provider della rete di accesso rispetto al provider che fornisce la semplice connettività ad Internet.

Possiamo distinguere, quindi, le reti sotto 4 macrocategorie:

1. Reti private, senza accesso a Internet

Per queste reti valgono le considerazioni precedenti, non ci sono vincoli sotto il profilo delle Prestazioni Obbligatorie ex art. 57 del Codice.

2. Reti private, con accesso a Internet

Per queste reti valgono le considerazioni contenute nel parere del Garante dove i soggetti che forniscono accesso ad Internet non sono in ogni caso legittimati a implementare sistemi di tracciamento che comportano la conservazione dei dati relativi al traffico telematico, ma solo se i servizi di comunicazione elettronica realizzati con la rete privata non siano accessibili al pubblico.

Le Prestazioni Obbligatorie ex art. 57 del Codice restano in carico solo all’Internet Service Provider che tratterà il Service provider come qualunque altro cliente.

3. Reti pubbliche, con accesso a Internet, dove il provider che realizza la rete WiFI è diverso dal provider che fornisce l’accesso a Internet

In questo caso ricadiamo pienamente nell’art. 57 del Codice per cui i due soggetti, entrambi con autorizzazione generale rispettivamente per la realizzazione di reti e di servizi, devono collaborare per l’erogazione delle prestazioni obbligatorie, come ad esempio per l’identificazione dell’utente e per l’intercettazione in quanto si dovrà operare non su IP pubblico ma su IP privato. Si ricorda infatti che l’art. 57 comma 8 del Codice prevede che: “Ai fini dell’erogazione delle prestazioni di cui al comma 6 gli operatori hanno l’obbligo di negoziare tra loro le modalita’ di interconnessione, allo scopo di garantire la fornitura e l’interoperabilita’ delle prestazioni stesse. Il Ministero puo’ intervenire se necessario di propria iniziativa ovvero, in mancanza di accordo tra gli operatori, su richiesta di uno di essi.”

4. Reti pubbliche, con accesso a Internet, dove il provider che realizza la rete WiFI è lo stesso provider che fornisce l’accesso a Internet

Il questo caso il modello si semplifica, rimanendo in carico all’Internet Service provider ogni obbligo previsto dall’art. 57 del Codice.

Riferimenti:

[1] https://www.mise.gov.it/index.php/it/comunicazioni/radio/autorizzazioni-e-licenze/wifi-radiolan-e-hiperlan. I riferimenti sono stati aggiornati dopo l’introduzione del Codice Europeo delle comunicazioni elettroniche

[2] “Linee guida per l’erogazione del servizio pubblico Wi-Fi free” articolo 8-bis del decreto legislativo 7 marzo 2005. n. 82 e s.m.i. recante “Codice dell’amministrazione digitale” – AGID (https://ec.europa.eu/growth/tools-databases/tris/index.cfm/en/index.cfm/search/?trisaction=search.detail&year=2019&num=642&mLang=IT )

[3] “Linee guida per l’erogazione del servizio pubblico Wi-Fi free” cit.

[4] Parere del Garante della privacy sullo schema di “Linee guida per l’erogazione del servizio pubblico Wi-Fi free” predisposto da AgID – 29 ottobre 2020 [9487928] (rif. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9487928 )

[5] https://www.mise.gov.it/images/stories/documenti/note_WiFi.html

[6] https://www.mise.gov.it/images/stories/documenti/note_WiFi.html