Prestazioni obbligatorie sulle reti wifi

di Giovanni Nazzaro

In Italia, i soggetti autorizzati all’impianto ed esercizio di reti ad uso pubblico, nonché i più classici operatori di telecomunicazioni che offrono servizi di comunicazione elettronica sempre ad uso pubblico, devono rispettare le c.d. Prestazioni Obbligatorie, così come previsto dall’art. 57 del Codice delle Comunicazioni Elettroniche. Tra questi soggetti sono ricomprese le società o le imprese autorizzate ad installare, realizzare ed esercire reti WiFi che consentano l’accesso ad Internet, oltre ai più classici Wireless Internet Service Providers (WISP).

1. Introduzione

Per Prestazioni Obbligatorie si intendono quelle prestazioni a carico dei soggetti con autorizzazione generale individuati dall’art. 57 del Codice delle Comunicazioni Elettroniche (D.Lgs 259/2003), aggiornato a seguito dell’entrata in vigore il 24 dicembre 2021 del D.Lgs. 8 novembre 2021, n. 207 (di seguito “Codice”), da garantire verso l’autorità giudiziaria e verso le agenzie di sicurezza nazionale. Lo scopo è, ad esempio, quello di tracciare sia le connessioni ad Internet che l’identità tecnica dell’utente che si connette, conservandole secondo quanto previsto dal Codice della privacy, per fini di accertamento e repressione dei reati e per sicurezza nazionale. In fase di richiesta dell’autorizzazione generale, gli Operatori dichiarano di accettare integralmente le disposizioni del Codice, autocertificando molto spesso in modo non consapevole seppur in buona fede, di aver realizzato ogni misura tecnica, organizzativa e gestionale necessaria per la copertura delle prestazioni previste dall’art. 57 del Codice. Tale dichiarazione rappresenta l’unica forma di garanzia all’osservanza delle disposizioni del Codice, in quanto nel nostro paese è assente un Ufficio, un Ente oppure un’autorità preposti all’accertamento effettivo, sia in modo preventivo che continuativo, della copertura delle prestazioni obbligatorie.
Nei casi in cui sia evidente la non ottemperanza a tali prescrizioni, ossia quando il soggetto che ha richiesto l’autorizzazione generale di fatto non ha posto in essere alcuna misura prevista, interviene il Ministero delle Imprese e del Made in Italy, già MISE e oggi MIMIT, sollecitato dalle autorità a cui tali prestazioni devono essere garantire e, come previsto dall’art. 30 comma 16 del Codice, commina una sanzione amministrativa pecuniaria che può essere compresa tra 170 mila euro e 2 milioni e mezzo di euro. Se la violazione degli obblighi è di particolare gravità o reiterata per più di due volte in un quinquennio, il Ministero può disporre in aggiunta la sospensione dell’attività per un periodo non superiore a due mesi o la revoca dell’autorizzazione generale.
Si tratta di interventi sanzionatori tardivi benché previsti dalla norma, poiché intervengono in un momento in cui nessun tipo di sanatoria è possibile: a differenza del settore edile, nelle telecomunicazioni non è più possibile recuperare le informazioni delle comunicazioni passate e in quanto, appunto, le connessioni ad Internet sono già avvenute.

2. Le Prestazioni Obbligatorie

L’art. 57 del Codice disciplina le prestazioni obbligatorie per:

• i soggetti autorizzati all’impianto ed esercizio di reti e servizi di comunicazione elettronica ad uso pubblico;
  gli operatori che erogano i servizi individuati dall’articolo 3 del Decreto Legislativo 30 maggio 2008, n.109. In questa categoria ricadono gli operatori di telefonia e di comunicazione elettronica. Il DLGS 109/2008 riporta come esempi di servizi la telefonia di rete fissa, la telefonia mobile, l’accesso internet, la posta elettronica, la telefonia via internet, l’invio di fax/sms/mms via internet;
• gli operatori di transito internazionale di traffico.

La prima categoria pone la distinzione principale, ovvero sulla natura di reti e servizi di comunicazione elettronica ad uso pubblico. A tal proposito è utile ricordare che il Decreto Ministeriale del 28 maggio 2003 (modificato dal d.m. 4.10.2005 o Decreto Landolfi) “Condizioni per il rilascio delle autorizzazioni generali per la fornitura al pubblico dell’accesso Radio-LAN alle reti ed ai servizi di telecomunicazioni”, all’art. 6 comma 1 richiede:

• la sicurezza della rete contro l’accesso non autorizzato conformemente alla normativa in materia, il mantenimento dell’integrità della rete (punto B), che potremmo tradurre in “autenticazione”;
• in particolare le prestazioni ai fini di giustizia sin dall’inizio dell’attività (punto B), che potremmo come “prestazione obbligatoria”;
• l’adozione di opportuni codici di abilitazione e identificazione per identificare univocamente l’abbonato e verificarne l’abilitazione all’accesso alla rete tramite l’access point (punto K), che potremmo tradurre in “identificazione indiretta”;
• il rispetto delle disposizioni vigenti in materia di pubblica sicurezza e tempestiva collaborazione con
  l’Autorità giudiziaria ai sensi dell’art. 7, comma 13 del decreto del Presidente della Repubblica n. 318 del 1997 (punto L), che potremmo tradurre come “prestazione obbligatoria”.

3. Reti Wi-Fi private e pubbliche

L’art. 2 del Codice rubricato “Definizioni” (ex art. 2 e art. 1 Codice 2003) distingue tra due diverse tipologie di utilizzo delle reti:

• • Rete privata o Rete di comunicazione elettronica ad uso privato: è una rete di comunicazione elettronica con la quale sono realizzati servizi di comunicazione elettronica ad uso esclusivo del titolare della relativa autorizzazione. Una rete privata può interconnettersi, commercialmente, con la rete pubblica tramite uno o più punti terminali di rete, purché i servizi di comunicazione elettronica realizzati con la rete privata non siano accessibili al pubblico. Per le reti Wi-Fi private non è prevista alcuna autorizzazione. Le apparecchiature sono comprese in quelle previste di libero uso ai sensi dell’art. 105, comma 1, lettera b del Codice, così come modificato dall’art. 70 del D.Lgs. 70/2012. Per uso privato si intende che la rete deve essere utilizzata soltanto per trasmissioni riguardanti attività di propria pertinenza, con divieto di effettuare traffico per conto terzi (art. 101 del Codice).
  • Rete pubblica di comunicazione elettronica: è una rete di comunicazione elettronica, utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di rete. Il caso tipico è l’installazione di uno o più access point uno spazio aperto al pubblico per fornire, ad esempio, il servizio di accesso alla rete internet. È necessario distinguere i seguenti casi:

1. Impresa che ha come attività principale la fornitura di servizi di comunicazione elettronica. In questo caso è necessaria l’autorizzazione generale (art. 11 del Codice), da richiedere al MIMIT. A questo scopo si deve presentare una dichiarazione conforme all’allegato A del Decreto Ministeriale 28 maggio 2003 (e successive modifiche). Dato che questo tipo di installazione comporta l’uso pubblico, si deve preventivamente essere autorizzati ad agire come Internet Service Provider (ISP).
2. Impresa o esercizio commerciale che non ha come attività principale la fornitura di servizi di comunicazione elettronica. Secondo quanto disposto dall’art. 10 del D.L 69/2013 (cosiddetto “Decreto del fare”) convertito con legge 9 agosto 2013, n. 98, in questo caso l’offerta di accesso alla rete internet al pubblico tramite tecnologia Wi-Fi non richiede alcuna autorizzazione e non prevede l’identificazione dell’utilizzatore.
3. Pubblica amministrazione. L’art. 9 del Codice vieta espressamente a Stato, Regioni ed enti locali di fornire direttamente reti e servizi di comunicazione elettronica ad uso pubblico se non attraverso società controllate o collegate. Per erogare questo tipo di servizi le pubbliche amministrazioni devono quindi rivolgersi a operatori autorizzati ai sensi dell’art. 11 del Codice.

4. Organizzazione e ruoli del Servizio WiFi

Nel framework operativo per fornire il servizio WI-FI pubblico, possiamo individuare quattro figure distinte:
Service Provider: è il fornitore del Servizio ed è rappresentato dall’Ente responsabile della progettazione, della gestione e delle evoluzioni del servizio stesso. Il Service Provider gestisce le policy di accesso per la connessione al servizio e per la generazione delle credenziali, necessarie agli utenti, per poter accedere alla rete.

• Resource Provider: fornisce l’infrastruttura di rete all’utente che viene identificato secondo le modalità stabilite.
• Internet Service provider: fornisce la connettività ad Internet all’infrastruttura del Recource Provider.
• Utente: l’utente finale del servizio.

5. Identificazione degli utenti

Uno dei requisiti atti a garantire anche la sicurezza sulle reti Wi-Fi è che sia prevista l’identificazione dell’utente, in associazione agli opportuni meccanismi di autenticazione, realizzati anche in modo indiretto, attraverso sistemi di verifica della numerazione mobile via OTP.
Per quanto riguarda le imprese l’art. 10 del “Decreto del fare” ha disposto che l’offerta di accesso alla rete internet al pubblico tramite tecnologia Wi-Fi non richiede (obbligatoriamente) l’identificazione personale degli utilizzatori. Inoltre, le imprese che offrono al pubblico l’accesso Wi-Fi in modo secondario rispetto alla loro attività principale, non sono tenute a richiedere l’autorizzazione prevista per le reti e i servizi di comunicazione elettronica né l’autorizzazione del questore per l’apertura di pubblico esercizio o circolo privato in cui sono posti a disposizione terminali utilizzabili per comunicazioni telematiche (prevista dall’articolo 7 del d.l. 144/2005).
L’art. 10 del suddetto Decreto non solleva dall’obbligo di autenticazione e di identificazione indiretta. È utile rilevare che in caso di violazione di sistemi o di dati effettuata grazie all’utilizzo di un accesso Wi-Fi disponibile senza alcuna autenticazione informatica o altra forma di protezione della connessione aerea (wireless), non sarà possibile risalire all’autore della condotta illecita, con conseguenti responsabilità civili e penali.
Per coloro che forniscono accesso ad Internet tramite Wi-Fi ai sensi dell’art. 8-bis del CAD, quindi, si ritiene in ogni caso opportuno dotarsi di sistemi di identificazione (e autenticazione) dell’utente, o consentire l’accesso attraverso dispositivi personali il cui rilascio prevede l’identificazione. Tali sistemi dovranno essere progettati rispettando i requisiti previsti dal GDPR, tra i quali la raccolta e la conservazione solo di dati strettamente necessari e per il tempo necessario e il rilascio delle informative.

6. Il parere del Garante privacy

L’attività di erogazione del servizio di Wi-Fi con accesso a Internet comporta, da parte dei soggetti di cui all’art. 2, comma 2 del CAD e, in particolare, dei Service Provider (es. le Amministrazioni), il trattamento dei dati personali degli utenti che intendono usufruire del predetto servizio, nell’ambito delle varie fasi dell’utilizzo dello stesso, che presentano differenti caratteristiche, anche in ragione dei diversi apparati e servizi di rete impiegati (es. firewall, proxy server, DNS server). In tal senso, occorre, infatti, distinguere i trattamenti di dati personali relativi alla preliminare attività di identificazione degli utenti, in fase di autenticazione all’atto dell’accesso al servizio, da quelli relativi alla successiva fase di utilizzo della rete da parte dell’utente.

Al fine di rispettare il principio di liceità, correttezza e trasparenza nei confronti degli utenti, occorre precisare che gli obblighi, che gravano in capo ai Service Provider, sono distinti da quelli che sono imposti dalla legge a carico dei Resource Provider e Internet Service provider. Gli obblighi di identificazione degli utenti e di conservazione dei dati di traffico telematico gravano, secondo la normativa di riferimento, esclusivamente in capo agli Internet Service Provider.

Conclusioni

Sulla base di quanto esaminato in precedenza, le prestazioni obbligatorie devono essere erogate dai soggetti; quelli che realizzano le reti WiFi ad accesso pubblico (Resource Provider) e quelli che permettono a tali reti di accedere a Internet (Internet Service Provider). In funzione di queste responsabilità e elle previste tipologie di rete prima esaminate, possiamo distinguere quattro scenari operativi di fornitura del servizio Wi-Fi.

• Reti private, senza accesso a Internet

Per queste reti valgono le considerazioni precedenti, non ci sono vincoli sotto il profilo delle Prestazioni Obbligatorie ex art. 57 del Codice.

• Reti private, con accesso a Internet

Per queste reti valgono le considerazioni contenute nel parere del Garante dove i soggetti che forniscono accesso ad Internet non sono in ogni caso legittimati a implementare sistemi di tracciamento che comportano la conservazione dei dati relativi al traffico telematico, ma solo se i servizi di comunicazione elettronica realizzati con la rete privata non siano accessibili al pubblico. Le Prestazioni Obbligatorie ex art. 57 del Codice restano in carico solo all’Internet Service Provider che tratterà il Service provider come qualunque altro cliente.

• Reti pubbliche, con accesso a Internet, dove il provider che realizza la rete Wi-Fi è diverso dal provider che fornisce l’accesso a Internet

In questo caso si ricade pienamente nell’art. 57 del Codice per cui i due soggetti, entrambi con autorizzazione generale rispettivamente per la realizzazione di reti e di servizi, devono collaborare per l’erogazione delle prestazioni obbligatorie. Si ricorda infatti che l’art. 57 comma 8 del Codice prevede che: “Ai fini dell’erogazione delle prestazioni di cui al comma 6 gli operatori hanno l’obbligo di negoziare tra loro le modalità di interconnessione, allo scopo di garantire la fornitura e l’interoperabilità delle prestazioni stesse. ”

• Reti pubbliche, con accesso a Internet, dove il provider che realizza la rete WiFi è lo stesso provider che fornisce l’accesso a Internet

Il questo caso il modello si semplifica, rimanendo in carico all’Internet Service provider ogni obbligo previsto dall’art. 57 del Codice. ©