NEWS – WiFi Lawful Interception

SECFULL TARGET

SecFull Target ha completato l’installazione per primaria azienda nazionale operante nel campo WiFi offerto su vettori in mobilità, permettendole di divenire un esempio nazionale per l’erogazione delle prestazioni obbligatorie.

Tramite la piattaforma SECFULL TARGET è possibile:

1) Work Flow Management: gestire le varie e davvero particolari richieste previste dalla normativa;

2) Lawful Interception: effettuare le intercettazioni su base MSISDN e/o MAC ADDRESS;

3) Data Retention: ricevere, memorizzare e catalogare milioni di records al giorno relativi alle fasi di autenticazione sulle reti WiFi. Tramite questa funzionalità è possibile identificare gli utenti che si collegano, anche se la loro navigazione è stata NATtata, e distinguere le diverse tipologie di tabulati di traffico storico che le reti WiFi consentono di fornire.

E’ stata richiesta un’altissima automazione delle fasi di gestione delle richieste, per ridurre l’effort del personale dedicato.

 

Alcuni riferimenti normativi

L’art. 2 del Codice delle Comunicazioni Elettroniche, rubricato “Definizioni” (ex art. 2 e art. 1 Codice 2003), distingue tra due diverse tipologie di utilizzo delle reti:

  • Rete privata o Rete di comunicazione elettronica ad uso privato: è una rete di comunicazione elettronica con la quale sono realizzati servizi di comunicazione elettronica ad uso esclusivo del titolare della relativa autorizzazione. Una rete privata può interconnettersi, commercialmente, con la rete pubblica tramite uno o più punti terminali di rete, purché i servizi di comunicazione elettronica realizzati con la rete privata non siano accessibili al pubblico. Per le reti Wi-Fi private non è prevista alcuna autorizzazione. Le apparecchiature sono comprese in quelle previste di libero uso ai sensi dell’art. 105, comma 1, lettera b del Codice, così come modificato dall’art. 70 del D.Lgs. 70/2012. Per uso privato si intende che la rete deve essere utilizzata soltanto per trasmissioni riguardanti attività di propria pertinenza, con divieto di effettuare traffico per conto terzi (art. 101 del Codice).
  • Rete pubblica di comunicazione elettronica: è una rete di comunicazione elettronica, utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di rete. Il caso tipico è l’installazione di uno o più access point uno spazio aperto al pubblico per fornire, ad esempio, il servizio di accesso alla rete internet. È necessario distinguere i seguenti casi:
  1. Impresa che ha come attività principale la fornitura di servizi di comunicazione elettronica. In questo caso è necessaria l’autorizzazione generale (art. 11 del Codice), da richiedere al MIMIT. A questo scopo si deve presentare una dichiarazione conforme all’allegato A del Decreto Ministeriale 28 maggio 2003 (e successive modifiche). Dato che questo tipo di installazione comporta l’uso pubblico, si deve preventivamente essere autorizzati ad agire come Internet Service Provider (ISP).
  2. Impresa o esercizio commerciale che non ha come attività principale la fornitura di servizi di comunicazione elettronica. Secondo quanto disposto dall’art. 10 del D.L 69/2013 (cosiddetto “Decreto del fare”) convertito con legge 9 agosto 2013, n. 98, in questo caso l’offerta di accesso alla rete internet al pubblico tramite tecnologia Wi-Fi non richiede alcuna autorizzazione e non prevede l’identificazione dell’utilizzatore.
  3. Pubblica amministrazione. L’art. 9 del Codice vieta espressamente a Stato, Regioni ed enti locali di fornire direttamente reti e servizi di comunicazione elettronica ad uso pubblico se non attraverso società controllate o collegate. Per erogare questo tipo di servizi le pubbliche amministrazioni devono quindi rivolgersi a operatori autorizzati ai sensi dell’art. 11 del Codice.

Organizzazione e ruoli del Servizio WiFi

Nel framework operativo per fornire il servizio WI-FI pubblico, possiamo individuare quattro figure distinte:

  • Service Provider: è il fornitore del Servizio ed è rappresentato dall’Ente responsabile della progettazione, della gestione e delle evoluzioni del servizio stesso. Il Service Provider gestisce le policy di accesso per la connessione al servizio e per la generazione delle credenziali, necessarie agli utenti, per poter accedere alla rete.
  • Resource Provider: fornisce l’infrastruttura di rete all’utente che viene identificato secondo le modalità stabilite.
  • Internet Service provider: fornisce la connettività ad Internet all’infrastruttura del Recource Provider.
  • Utente: l’utente finale del servizio.

 

Identificazione degli utenti

Uno dei requisiti atti a garantire anche la sicurezza sulle reti Wi-Fi è che sia prevista l’identificazione dell’utente, in associazione agli opportuni meccanismi di autenticazione, realizzati anche in modo indiretto, attraverso sistemi di verifica della numerazione mobile via OTP.
Per quanto riguarda le imprese l’art. 10 del “Decreto del fare” ha disposto che l’offerta di accesso alla rete internet al pubblico tramite tecnologia Wi-Fi non richiede (obbligatoriamente) l’identificazione personale degli utilizzatori. Inoltre, le imprese che offrono al pubblico l’accesso Wi-Fi in modo secondario rispetto alla loro attività principale, non sono tenute a richiedere l’autorizzazione prevista per le reti e i servizi di comunicazione elettronica né l’autorizzazione del questore per l’apertura di pubblico esercizio o circolo privato in cui sono posti a disposizione terminali utilizzabili per comunicazioni telematiche (prevista dall’articolo 7 del d.l. 144/2005).

L’art. 10 del suddetto Decreto non solleva dall’obbligo di autenticazione e di identificazione indiretta. È utile rilevare che in caso di violazione di sistemi o di dati effettuata grazie all’utilizzo di un accesso Wi-Fi disponibile senza alcuna autenticazione informatica o altra forma di protezione della connessione aerea (wireless), non sarà possibile risalire all’autore della condotta illecita, con conseguenti responsabilità civili e penali.
Per coloro che forniscono accesso ad Internet tramite Wi-Fi ai sensi dell’art. 8-bis del CAD, quindi, si ritiene in ogni caso opportuno dotarsi di sistemi di identificazione (e autenticazione) dell’utente, o consentire l’accesso attraverso dispositivi personali il cui rilascio prevede l’identificazione. Tali sistemi dovranno essere progettati rispettando i requisiti previsti dal GDPR, tra i quali la raccolta e la conservazione solo di dati strettamente necessari e per il tempo necessario e il rilascio delle informative.