La privacy delle reti Wi-Fi: responsabilità e gestione dei dati identificativi

Oggi è il gesto più semplice che si possa fare, appena si arriva in un locale pubblico, un bar, un ristorante o quant’altro, ma anche quando si va a casa di amici, la prima cosa che si chiede: c’è un wi-fi?

Quando ci si connette a una rete senza fili si corrono rischi tutt’altro che sottovalutabili.

Per tutti i nostri “device”, computer, tablet e smartphone, ma anche smartwatch, dispositivi smart di ogni genere e, in alcuni casi, anche le automobili, diventa indispensabile connettersi alla Rete per visitare i nostri siti preferiti o recuperare informazioni per il funzionamento di app o di software, quindi ormai i Wi-Fi sono dappertutto.

La grande diffusione e il grande utilizzo del Wi-Fi, lo hanno però reso una preda appetibile agli occhi di hacker e pirati informatici vari. Riuscendo a inserirsi all’interno di una rete Wi-Fi,  permette a questi di avere accesso diretto a tutti i dispositivi connessi al router o agli access point. Insomma, se non adeguatamente protetta, una rete Wi-Fi rappresenta un pericolo per la privacy e i dati di tutti gli utenti connessi.

Possiamo distinguere due tipi di intrusioni:

Lo Spoofing e lo Sniffing.

Lo Spoofing è un “tentativo di imbroglio”, una truffa informatica che sfrutta la popolarità di alcune reti Wi-Fi pubbliche per intercettare il traffico di utenti inconsapevoli.

Gli hacker creano delle reti senza fili a libero accesso nella speranza che qualcuno ci caschi. Il funzionamento è piuttosto semplice: il pirata informatico crea una rete con un nome “celebre” (come quello di una catena di negozi che offre connessione Wi-Fi gratis) nelle vicinanze di un luogo solitamente affollato e attendere che qualcuno si colleghi. A quel punto, tutti i dati degli utenti potranno essere monitorati con estrema facilità, e sarà possibile scoprire quali siti visitano gli utenti e determinare, di conseguenza, le loro abitudini online.

Lo Sniffing (letteralmente “odorare”) somiglia allo spoofing  ma avviene per mezzo di un dispositivo già connesso a una rete Wi-Fi esistente. Gli hacker, in questo caso, non creano reti “fasulle”, ma ne sfruttano una già esistente mettendosi in “silenzioso ascolto” di quello che vi accade all’interno. Detto in parole più semplici, un utente già collegato alla rete Wi-Fi sfrutta dei software ad hoc per monitorare tutto il traffico degli altri utenti e tenerne traccia. In questo modo non solo sarà possibile conoscere le abitudini di navigazione, ma attraverso un’accurata e lunga analisi, si potranno ricavare e rubare anche le credenziali di accesso ai vari servizi online.

Le reti Wi-Fi possono essere utilizzate non solo per tracciare le abitudini online, ma anche per monitorare gli spostamenti degli utenti all’interno di aree geografiche anche mediamente estese. Se a questo si associa la possibilità di ottenere i dati identificativi del dispositivo, è facile capire che, oltre alla geolocalizzazione, questa tecnica consente di identificare personalmente i vari utenti connessi alla propria rete Wi-Fi.

Ma i dati identificativi del dispositivo non sono un segreto irrisolvibile.

Si chiama MAC Address lo speciale identificativo univoco che ciascun produttore hardware assegna ad ogni scheda di rete, sia ethernet che wireless, posta sul mercato. L’indirizzo MAC è lungo 48 bit (6 byte) ed i primi tre ottetti identificano l’organizzazione o comunque l’azienda che ha realizzato l’interfaccia di comunicazione.

Sebbene il MAC Address sia modificabile via software, trattasi di un dato che viene trasmesso quasi sempre in chiaro da parte dei vari dispositivi di rete. Dagli States, un’indagine ricorda come i telefoni Android annotino regolarmente gli indirizzi MAC dei dispositivi wireless rilevati nelle vicinanze, trasmettendoli sui server di Google. Un’analoga prassi viene utilizzata da Apple, Microsoft  con l’intento di “mappare” la posizione geografica dei router e degli access point dislocati sull’intero globo terrestre. Tali dati vengono poi sfruttati, ad esempio, per stabilire la locazione di un dispositivo mobile senza servirsi di un modulo GPS.

Se qualcuno conosce l’indirizzo MAC di un dispositivo mobile questi potrebbe risalire alla posizione di tale device sulla superficie terrestre.

Vi sono alcuni siti dove è possibile risalire al tipo di prodotto, al produttore della scheda di rete e addirittura alla sua posizione.

Anni fa Google diffuse un comunicato in cui la società ha puntualizzato di diffondere pubblicamente solo i MAC address degli access point Wi-Fi. Avviene però un anomali in merito a questo.

Qualora un utente avesse abilitato la funzionalità tethering sul suo device, questo diverrebbe automaticamente un access point wireless. L’indirizzo MAC di tale dispositivo potrebbe essere stato quindi incluso nel database di Google. Sugli iPhone il MAC address viene invece rigenerato in maniera casuale ogniqualvolta il device sia impostato come hot spot Wi-Fi.

A tal proposito anche il Garante della privacy, con provvedimento del 13 luglio 2016 indicava:

….  in quanto il MAC Address della “interfaccia” di rete di una postazione è da considerarsi “dato personale” ai sensi della disciplina comunitaria e nazionale in materia di protezione dei dati (art. 4, comma 1, lett. b) del Codice).  Infatti, il MAC Address è costituito da una sequenza numerica (48 cifre binarie) associata in modo univoco dal produttore a ogni scheda di rete ethernet o wireless prodotta al mondo e rappresenta l´indirizzo fisico identificativo di quel particolare dispositivo di rete da cui è possibile desumere l´identità del produttore, la tipologia di dispositivo e, in taluni casi, anche risalire all´acquirente o utilizzatore dell´apparato: è infatti sostanzialmente immodificabile e, date le caratteristiche (in particolare, la sua univocità su scala globale), consente di risalire, anche indirettamente, alla postazione corrispondente e di conseguenza all´utente che su di essa sta operando. Per tutto ciò il suo trattamento impone il rispetto della normativa sulla protezione dei dati personali  (cfr., Gruppo Art. 29, Parere n. 4/2007 – WP 136 sul concetto di dato personale; sul carattere di dato personale del MAC Address stante la relativa univocità…

Ed in virtù di ciò, sanzionava un ateneo dove i dipendenti formalmente hanno lamentato una presunta attività di monitoraggio che sarebbe stata svolta in modo illecito da parte dell’università.

Il Garante ha verificato le denunce dei dipendenti e ha ritenuto di dare loro ragione intimando all’università di cessare il trattamento dei dati personali svolto nelle modalità non accettabili rilevate durante la fase di istruttoria.

Durante le indagini, infatti emerse che “i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi IP e dei Mac Address dei PC assegnati ai dipendenti oltre ad utilizzar sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, perchè non erano necessari per lo svolgimento dell’attività lavorativa, operando in background, con modalità non percepibili dall’utente.

La decisione del Garante prende il via principalmente dalla mancanza di un’informativa: i dipendenti, insomma, non erano stati informati dei trattamenti posti in essere. Inoltre, diversamente da quanto sostenuto dai responsabili dell’ateneo, il Garante ha rimarcato più volte che il MAC address è considerato un dato personale a tutti gli effetti ai sensi della disciplina comunitaria e nazionale in materia di protezione dei dati.

È evidente che conoscendo i MAC address dei sistemi assegnati ai dipendenti è possibile definire una relazione biunivoca fra il dispositivo hardware e l’identità dell’utente.

Bisogna quindi porre la massima attenzione, non solo quindi, ai dati che vengono trattati, alle modalità con cui essi sono gestiti ma oggi soprattutto, all’informativa elaborata per ogni tipologia di utenza.