Applicabilità e destinatari del documento¶

Come previsto dall’art.8-bis del d.lgs. 82 del 2005 e s.m.i. - Codice dell’Amministrazione Digitale -

“I soggetti dell’articolo 2, comma 2 [1], favoriscono, in linea con gli obiettivi dell’Agenda digitale europea, la disponibilità di connettività alla rete Internet presso gli uffici pubblici e altri luoghi pubblici, in particolare nei settori scolastico, sanitario e di interesse turistico, anche prevedendo che la porzione di banda non utilizzata dagli stessi uffici sia messa a disposizione degli utenti nel rispetto degli standard di sicurezza fissati dall’AGID*”.

Lo stesso art.8-bis al comma 2 prevede che

«I soggetti di cui all’articolo 2, comma 2, mettono a disposizione degli utenti connettività a banda larga per l’accesso alla rete Internet nei limiti della banda disponibile e con le modalità determinate dall’AGID».

In tale contesto normativo, il Piano Triennale per l’informatica nella Pubblica amministrazione triennio 2017-2020 (di seguito identificato anche come Piano Triennale) sottolinea l’importanza della connettività wifi pubblica nonché l’adeguamento delle infrastrutture facendo riferimento alla necessità di «avviare i processi di adeguamento della propria connettività», per fornire tra gli altri servizi digitali, quelli wireless necessari all’uso pubblico.

Nel seguito del presente documento verranno esposte le modalità attraverso le quali potrà essere resa disponibile la banda destinata al wireless gratuito da parte delle Pubbliche Amministrazioni. nonché i criteri di sicurezza da adottare in tale ambito.

Gli standard del Wi-Fi¶

In questo paragrafo mostreremo le tappe fondamentali delle certificazioni dello IEEE che stabiliscono gli standard tecnologici sui quali i produttori realizzano i loro dispositivi Wi-Fi. Ad oggi gli `standard Wi-Fi esistenti sono 9, anche se i più utilizzati sono 4.

Come possiamo notare in tabella, l’evoluzione tecnologica avvenuta a cavallo degli ultimi 20 anni, si focalizza sulla velocità di trasmissione, ma come vedremo ne prossimi paragrafi anche nei sistemi di sicurezza ed autenticazione.

Nel giugno 2003 venne rilasciata la certificazione 802.11g, che fa segnare un netto miglioramento nelle prestazioni (sia per la forza del segnale sia per i picchi di velocità raggiungibili) rispetto ai due predecessori. Lo standard 802.11g lavora sulla banda di frequenza da 2,4 GHz, copre aree di circa 100 metri e permette teoricamente la trasmissione di dati fino a 54Mbps (sebbene mediamente si attesti attorno ai 22-24 Mbps). Un ulteriore avanzamento delle prestazioni si è avuta con la certificazione 802.11n, rilasciata nel 2009. Questo nuovo standard si basa sull’utilizzo di diverse antenne MIMO (multiple-input, multiple-output) che lavorano sulle frequenze di 2,4 GHz e 5 GHz consentendo velocità che possono, in teoria, arrivare anche 600 Mbps. A questo è seguito lo standard 802.11ac, che ha portato le velocità di connessione a 1,3 Gbps (il doppio rispetto allo standard n, oltre 20 volte più veloce rispetto allo standard g) per via della differente divisione in sottobande della banda da 5 GHz e dall’impiego di differenti standard di comunicazione. Negli ultimi anni, la Wi-Fi Alliance ha studiato e definito altri tre standard che, sfruttando bande di comunicazioni differenti, ampliano lo spettro delle possibili applicazioni e utilizzi dello standard senza fili. L’IEEE 802.11ah sfrutta la banda da 1 gigahertz per connessioni più stabili e meno soggette al rumore; l’IEEE 802.11af, detto anche super Wi-Fi, lavora sulla banda di comunicazione riservata alle comunicazioni televisive per assicurare connessioni stabili e a grande velocità; l’IEEE 802.11ad (detto anche WiGig), infine, lavora sulla banda di frequenza dei 60 GHz e, pur coprendo distanze minori, può raggiungere la velocità di connessione di 7 gigabit ed è utilizzabile per le applicazioni “smart home” che richiedono una banda sempre più ampia e stabile.

Architettura di una rete Wi-Fi¶

Una rete Wi-Fi è composta da uno o più Access Point (AP) che possono essere adibiti a «sorgente» del segnale, e uno o più client che si connettono ad essa.

A sua volta le rete Wi-Fi è generalmente collegata alla rete fissa; l’Access Point può infatti essere considerato come il Gateway tra la rete senza fili e quella fissa. Il segnale wireless di un singolo access point solitamente copre un’area tra i 50 ed i 100 metri in base alla configurazione architettonica dell’area coperta, ma può essere esteso in diversi modi. Si può amplificare, ad esempio, attraverso il collegamento di differenti AP tramite cavo, oppure creando un «ponte» wireless con ripetitori di segnali. Ogni AP trasmette, ogni 100 ms, un pacchetto dati, chiamato beacon [2] contenente lo SSID (Service Set Identifier) che rappresenta l’identificativo della rete e altre informazioni, come il protocollo di sicurezza utilizzato. Il client (qualsiasi dispositivo dotato di scheda Wi-Fi o un ripetitore di segnale) può decidere di connettersi alla rete seguendo diverse logiche: ad esempio, può collegarsi alla rete con un SSID noto, ossia a una rete alla quale già ci si è connessi in precedenza, oppure a quella dal segnale più forte e che quindi garantisce le prestazioni migliori (modalità always best connected).

Accesso e autenticazione alla rete Wi-Fi¶

Ogni volta che un client accede ad una rete wireless, si avvia un processo di autenticazione che consiste in tre fasi: discovery della rete, autenticazione e associazione. Ognuna di queste tre fasi avviene con lo scambio di richieste e risposte tramite beacons. La fase di autenticazione è la parte più delicata dell’intero processo.

Sicurezza ed autenticazione¶

Un ruolo cruciale nel progettare una rete sicura è giocato dall’autenticazione delle parti in comunicazione, per garantire la confidenzialità dei dati in transito. Infatti per autenticazione si intende quel processo che permette di stabilire con certezza l’interlocutore. La confidenzialità invece, si riferisce alla garanzia che i dati in transito siano accessibili solo alle parti interessate, e per questo scopo si utilizza la crittografia. Un utente che voglia accedere ad un network deve possedere delle credenziali di accesso come ad esempio un account o un certificato digitale, deve ad ogni modo essere in grado di stabilire, in modo sicuro, che il Server oppure, per le reti WI-FI l’Access Point che chiede le credenziali appartenga effettivamente ad una rete legittima, in modo da non fornire le proprie informazioni ad un sistema non autorizzato.

Molteplici sono state le soluzioni adottate per garantire la sicurezza delle reti wireless che si sono evolute nel corso degli anni. I meccanismi inerenti la cifratura e l’autenticazione erano direttamente definiti dallo standard con il protocollo WEP (Wired-Equivalent-Privacy), che ha in seguito mostrato gravi falle di sicurezza. L’evoluzione di tale protocollo è il WPA (Wi-Fi Protected Access) nelle due versioni: WPA e WPA2. Notiamo che esistono due implementazioni di WPA2:

• WPA2-PSK (pre-shared key) o personal
• WPA2-Enterprise (o WPA2 802.1X).

La prima è destinata ad un uso personale e per piccole reti di ufficio, mentre la seconda è per uso aziendale e di più complessa configurazione. Per il corretto funzionamento del sistema di autenticazione WPA2-Enterprise [3] si rende necessario un server di autenticazione «Radius» (Remote Authentication Dial In User Service).

Nel caso di una wireless, è l’AP che è adibito alle funzioni di controllore di accesso. Il Radius, o un server/servizio di autenticazione che risponda agli standard definiti dalle RFC 2865 e 2866, permette di validare l’identità dell’utente, trasmessa dal controllore di accesso, e di rinviare a quest’ultimo i permessi associati in funzione delle informazioni di identificazione fornite. Inoltre, tale server permette di memorizzare e di rendere compatibili le informazioni riguardanti gli utenti per, ad esempio, mantenerle per renderle disponibili per attività giudiziaria (nel caso di un service provider ad esempio).

Di seguito l’analisi del funzionamento di una rete resa sicura con lo standard 802.1x:

1. Il controllore di accesso, avendo ricevuto precedentemente una richiesta di connessione da parte dell’utente, invia una richiesta di identificazione;

2.L’utente risponde alla richiesta e invia una risposta al controllore di accesso, che la inoltra al server di autenticazione;

3.Il server di autenticazione invia la risposta di identificazione (metodo di identificazione) al controllore di accesso, che lo trasmette all’utente;

4. L’utente, la cui identità è corretta, viene accettato sulla rete o su una parte di rete, secondo i permessi;

5.Se l’identità dell’utente non si è potuta verificare, il server di autenticazione invia un rifiuto e il controllore di accesso rifiuterà l’accesso alla rete all’utente.

Sicurezza e prevenzione di potenziali attacchi¶

Garantire la sicurezza di un sistema informativo e, delle informazioni in esso contenute, si traduce nell’impedire a potenziali soggetti attaccanti l’accesso o l’uso non autorizzato di informazioni e risorse.

Al fine di mitigare gli attacchi, la perdita di dati e utilizzo improprio delle infrastrutture, si rende necessario impedire la contraffazione ovvero la capacità di creazione e invio di falsi messaggi creati con le credenziali di un utente autorizzato dal sistema.

Le tecniche intrusive di rete più comuni consistono nella:

• capacità di inserimento di apparati wireless non autorizzati;
• capacità di intercettazione passiva e monitoraggio del traffico di rete;
• capacità di disturbo del segnale (jamming);
• capacità di attacchi ai meccanismi di cifratura per via di debolezze riscontrate a livello protocollare per furto di dati;
• errori nella configurazione della rete wireless.

Le tecniche di intrusione succitate, implementate con diverse tecnologie ed in costante evoluzione, possono mettere a repentaglio la sicurezza delle informazioni e dei dati, per i quali l’organizzazione deve garantire:

• Integrità: dati non modificati durante la trasmissione;
• Segretezza e Riservatezza: cifratura dei dati in modo che non siano intercettabili;
• Controllo Accessi: controllo accessi alle risorse da e per il sistema;
• Disponibilità: un sistema deve essere disponibile almeno al 99,9% e solo per gli utenti accreditati;
• Autenticazione: verifica dell’identità dichiarata dall’utente.

Con riguardo all’autenticazione ci possiamo riferire all’identificazione certa degli utenti nella rete, degli host, delle applicazioni, dei servizi e delle risorse [4]

Prestazioni Obbligatorie per Operatori di Telecomunicazioni verso l’Autorità Giudiziaria e prescrizioni sulla Privacy¶

I requisiti per garantire la sicurezza sulle reti Wi-Fi si focalizzano principalmente, come si evince da quanto riportato fin qui, sul controllo dell’accesso in termini di verifica dell’identità utente, che viene autorizzato all’accesso sulla base di permessi e privilegi stabiliti dal provider.

Gli aspetti di verifica dell’identità o, in generale, la capacità di poter identificare l’utente attraverso le infrastrutture tecnologiche sono normati dal Codice delle Comunicazioni Elettroniche (c.c.e.).

Il suddetto codice all’art.96 introduce per la prima volta in Italia il concetto di «prestazioni obbligatorie» che operatori di telecomunicazioni devono garantire all’Autorità Giudiziaria.

Tale concetto è recepito direttamente dalla direttiva europea sulle autorizzazioni, facente parte del c.d. «Pacchetto Telecom».

Questo tema sembra avere meno dignità, se confrontato con altri come l’antifrode o la sicurezza informatica o la sicurezza cibernetica, ma al contrario, come questi gode di una naturale autonomia in termini di competenza, tantoché ci si potrebbe riferire alle «prestazioni obbligatorie» come disciplina autonoma.

Il c.c.e. prevede la «Possibilità per le autorità nazionali competenti di effettuare legalmente intercettazioni delle comunicazioni in conformità della direttiva 97/66/CE e della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati».

Le «prestazioni obbligatorie» costituiscono parte integrante delle stesse comunicazioni e, anche, la Comunità europea le inserisce tra le condizioni necessarie per la concessione dell’autorizzazione agli operatori.

Non è quindi perfettamente corretto esaminare il tema in questione esclusivamente dal punto di vista della «security» o della «cyber security», riferendosi a requisiti fondamentali come «segretezza», «riservatezza «e» integrità».

Il riferimento quindi è l’art. 96 del c.c.e., modificato dalla legge n. 228 del 24 dicembre 2012 (legge di Stabilità del 2012), il quale afferma al comma 2 che «Le prestazioni relative alle richieste di intercettazioni sono individuate in un apposito repertorio nel quale vengono stabiliti le modalità ed i tempi di effettuazione delle prestazioni stesse, gli obblighi specifici, nonché il ristoro dei costi sostenuti». Possiamo elencare di seguito quelle che nella pratica si intendono come «prestazioni obbligatorie per l’Autorità Giudiziaria:

1. la fornitura di informazioni anagrafiche dell’utenza intestataria del contratto, in termini di informazioni che l’operatore ha registrato per l’attivazione del servizio, eventualmente comprendendo le informazioni di fatturazione, con l’indicazione della data in cui si è risolto il contratto;
2. l’intercettazione delle comunicazioni, mediante fornitura dei contenuti e dei metadati ad essi associati, intesa come intercettazione delle comunicazioni sia a livello di accesso, cioè indipendentemente dai servizi usufruiti dall’utenza come appunto la telefonia o la connessione dati, sia a livello di servizio come ad esempio del solo servizio email;
3. il tracciamento delle comunicazioni, inteso come fornitura dei soli metadati che accompagnano i contenuti delle comunicazioni intercettate;
4. la localizzazione dell’utenza, valida solo per la telefonia mobile, che si suddivide in localizzazione standard associata alla comunicazione e localizzazione di precisione che prescinde dalle comunicazioni dell’utente;
5. l’identificazione dell’utenza, intesa come il risalire all’identificativo tecnico che è stato utilizzato dall’utenza, valido sia per le connessioni dati per le quali dall’IP si vuole risalire al numero di telefono oppure all’hot spot che ha fornito l’accesso, sia per lo stalking telefonico (in questo caso si ricorre all’override);
6. la sospensione o la limitazione dei servizi, come ad esempio nel caso delle email in cui si inibisce temporaneamente l’accesso;
7. la documentazione integrale del traffico storico, con la fornitura delle informazioni prescritte dal dlgs n. 109 del 30 maggio 2008(7);
8. il sequestro dei contenuti, intesi come contenuti a disposizione dell’operatore e tecnicamente sequestrabili come ad esempio le email in precedenza inviate/ricevute e conservate dall’utente sul server email oppure i messaggi in segreteria telefonica.

L’inadempienza dell’operatore totale o parziale, configura fattispecie di reato, comporta sanzioni economiche, nei casi più gravi, la sospensione o ritiro licenza.

Contestualmente alle prestazioni obbligatorie esistono, le prescrizioni del Garante per la Privacy del 17 gennaio 2008 G.U. n. 30 del 5 febbraio 2008, in materia di sicurezza dei dati del traffico telefonico e telematico che richiedono:

• adozione di specifici sistemi di autenticazione basata su tecniche di «strong authentication»;
• conservazione dei dati di traffico per accertamento e repressione reati utilizzando sistemi informatici fisicamente distinti da quelli utilizzati;
• di rendere i dati di traffico immediatamente non disponibili allo scadere dei termini previsti dalle disposizioni vigenti;
• controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento;
• attività almeno annuale di controllo interno all’organizzazione;
• proteggere i dati di traffico con tecniche crittografiche.

L’obbligo di identificazione dell’utente è quindi posto in capo all’operatore di telecomunicazioni e solleva il «provider» del servizio Wi-Fi, dalla responsabilità di dover rispondere sui vincoli dell’identificazione utente.

Il «provider» del Servizio è in ogni caso responsabile della gestione della sicurezza della propria rete, e di seguito fissiamo alcuni punti:

• secondo le normative sulla privacy in vigore sia a livello nazionale che europeo, con particolare riferimento al Regolamento Ue 2016/679, il cosiddetto GDPR, chi effettui trattamento di dati personali di utenti deve avvalersi di misure tecnicamente in grado di assicurare la protezione di suddetti dati, rendendoli sicuri da intrusioni esterne o interne alla rete
• rendere disponibile agli utenti la connettività Internet implica responsabilità secondo il Codice Civile e secondo i principi della responsabilità oggettiva, dei danni causati da eventuali attività non lecite commesse da parte degli utenti, a meno di non aver messo in pratica tutte le misure necessarie a controllare il servizio e a impedire che gli atti illeciti potessero essere commessi
• è tuttavia necessario dotarsi di sistemi di gestione della connettività e dell’autenticazione che permettano all’operatore di poter tracciare il traffico telematico degli utenti per poter rispondere ai suddetti obblighi.

Per i fornitori di accesso ad Internet tramite Wi-Fi, è opportuno e consigliabile pertanto dotarsi di adeguati sistemi di sicurezza informatica e di identificazione dell’utente,

Gli utenti della rete Wi-Fi aperta al pubblico, in buona sostanza, non devono poter agire in regime di anonimato una possibile azione correttiva quindi consiste nell’imposizione di un obbligo di previa identificazione per ottenere l’accesso;

Concludendo, nonostante l’attuale orientamento della giurisprudenza della Suprema Corte di Cassazione e della Corte di Giustizia Europea, il «trend» del free Wi-Fi e del regime di irresponsabilità dei gestori di «hotspot» non può darsi per scontato. Il dilagare del fenomeno terroristico, infatti, ha già condotto a dibattiti circa l’opportunità di bloccare le reti Wi-Fi pubbliche in caso di emergenza in molti Paesi europei. Resta quindi da verificare fin dove l’esigenza di controllo di Internet e di prevenzione dei reati commessi tramite il web si spingerà [6].

Identità digitale e Accesso alle infrastrutture¶

La «Dichiarazione dei diritti in internet» [7] definisce il diritto all’identità digitale per ciascuna persona all’art.9, dove si afferma la possibilità, per gli utenti di esistenza di molteplici identità digitali.

Per la verifica o nuova assegnazione delle identità digitali i Service Provider si servono degli Identity Provider, i quali hanno il compito di verificare l’identità dell’utente attraverso determinati processi di riconoscimento e conseguentemente creano l’identità digitale certificata.

In Italia è stato implementato da AgID il servizio SPID, ovvero il Sistema Pubblico per la gestione dell’Identità Digitale [8], introdotto per migliorare la fruibilità dei servizi erogati in rete da parte delle pubbliche amministrazioni, ai sensi dell’art. 64 CAD [9].

Nei sistemi Wi-Fi, una volta verificata l’identità digitale di un utente in forma diretta o indiretta, ad esempio attraverso la SIM, la carta di credito oppure l’accesso con SPID, ecc.., verrà creata l’utenza e le opportune credenziali o certificati per l’accesso a internet. Di seguito all’identificazione in rete verrà assegnato al device un indirizzo IPv4 di rete privata, a causa della scarsità di IPv4 pubblici. La soluzione a questo problema potrebbe consistere nell’adozione di IPv6, ma attualmente, i servizi erogati dai Provider e dalle PA non sono abilitati a tale protocollo sebbene le reti degli operatori lo siano. Si rende necessario quindi supplire all’esaurimento degli indirizzi e alla difficoltà di utilizzo di IPv6, implementando meccanismi di mascheramento tra indirizzi privati e pubblici [10].

La soluzione di Roma Capitale¶

Roma Capitale [12], mediante il progetto Digit Roma permette ai cittadini e a tutti coloro che si trovano occasionalmente in città (per lavoro, per turismo…) di avere accesso alla connessione gratuita ad internet, attraverso una rete di hotspot WiFi.

La registrazione avviene recandosi presso uno dei punti di accesso con il proprio dispositivo mobile (notebook, smartphone o tablet) dotato di un’interfaccia Wi-Fi, e consiste, connettendosi all’SSID DIGIT-Roma e tramite «captive portal», nel fornire nome, cognome, e-mail e numero di telefono mobile. Nell’ambito della procedura di registrazione l’utente è richiesto di effettuare una chiamata gratuita al numero indicato, per convalidare la registrazione. Una volta chiusa la chiamata, il sistema invia una mail con username e password alla casella email indicata nella procedura di registrazione.

Dal momento dell’identificazione è necessario effettuare il primo accesso entro le successive 24 ore, altrimenti la registrazione viene annullata e occorrerà ripetere l’operazione.

Una volta effettuata la registrazione, sarà possibile fruire di 4 ore di connessione gratuita al giorno, conteggiate sulla base dell’effettivo tempo di navigazione nell’arco delle 24 ore.

Negli ultimi mesi a Roma Capitale è stata attivata anche la procedura di autenticazione tramite SPID ovvero il sistema pubblico di identificazione.

La soluzione basata su SPID svincola evidentemente il soggetto erogatore da tutti gli oneri derivanti dalla necessità di registrazione/identificazione e conseguente generazione delle credenziali.

Tale soluzione non è tuttavia utilizzabile qualora il soggetto richiedente sia uno straniero.

La soluzione del comune di Milano¶

Nelle zone di copertura ciascun utente ha a disposizione, per la navigazione, un servizio di accesso ad internet illimitato 24 ore su 24, 7 giorni su 7 ad alta velocità.

La registrazione avviene, una volta rilevata la rete wireless tramite SSID, direttamente sul dispositivo attraverso la pagina di benvenuto dove dovranno essere fornite le informazioni richieste tra le quali obbligatoriamente andrà inserito il numero di cellulare di un gestore telefonico italiano o straniero sul quale verrà inviato un SMS gratuito con il codice di accesso. L’accesso alla rete OpenWifiMilano [13] avviene connettendosi al link ricevuto via SMS che conterrà anche il codice di accesso che potrà essere utilizzato anche con altri sistemi (tablet, PC portatili, etc.). Il suddetto codice è valido permanentemente.

Come possiamo notare sia a Milano che Roma la registrazione può avvenire attraverso la SIM del dispositivo mobile. Questa procedura di identificazione è indiretta in quanto, per vedersi assegnare una scheda SIM da un gestore telefonico, necessariamente occorre essere stati identificati.

Il Progetto Wifi.Italia.it¶

In questo quadro tecnologico, con l’obiettivo di fornire un sistema di accesso semplificato e unico per i cittadini italiani e i turisti, nonché favorire razionalizzazioni di spesa e riuso dei sistemi tecnologici adottati dalle Amministrazioni Pubbliche è nato il progetto wifi.italia.it (www.wifi.italia.it).

Il sistema wifi.italia.it, la cui architettura prende spunto da un progetto di integrazione delle reti Wi-Fi nato nelle università europee e ormai esteso in tutto il mondo chiamato Eduroam [14], è basato completamente su standard aperti ed è in preparazione il rilascio di tutto il SW in licenza Open Source, in collaborazione con developers.it promosso dalla Presidenza del Consiglio.

A seguito del Protocollo di Intesa sottoscritto da AgID, MiSE e MiBACT «Per la diffusione di piattaforme digitali al servizio del turista nel territorio italiano» che prevede diverse iniziative volte a favorire la digitalizzazione dei servizi in ambito turistico e culturale, il MISE ha provveduto, attraverso Infratel Italia SpA, allo sviluppo di una APP per dispositivi mobili, con la quale gli utenti possono accedere in maniera automatica e semplice a tutte le reti Wi-Fi federate al progetto. L’APP multipiattaforma, una volta scaricata e installata, richiede all’utente la registrazione (da febbraio 2018 è attiva anche la registrazione con credenziali SPID) che si conclude con la creazione sul dispositivo di credenziali di accesso utilizzate, in maniera completamente trasparente all’utente, nella richiesta di autorizzazione alla rete. L’utente, una volta autorizzato, può usufruire del servizio gratuito di connettività Internet fornito dalle sedi della PA. La banda dedicata al servizio, così come le soglie sul numero massimo di utenti o di allocazione temporale per utente, secondo la logica federata, sono quelle definite dalla rete che sta fornendo il servizio di accesso ad internet in quel momento. La soluzione resa disponibile allo stato consente l’esclusivo accesso per il tramite di dispositivi mobili (smartphone e tablet). In futuro sarà disponibile anche una soluzione per p.c.

L’idea di funzionamento del sistema si basa, pertanto, sulla disponibilità per gli utenti, di una APP che riconosce e interagisce con un SSID unico «wifi.italia.it».

Non appena un utente entra nell’area di copertura di un Access Point appartenente alla rete integrata, l’APP procede, in maniera del tutto trasparente, all’autenticazione e accede alla rete. Una notifica avverte l’utente che l’operazione è andata a buon fine. Quindi l’utente non deve selezionare alcuna rete e non deve passare per alcun Captive Portal, infatti l’accesso avviene in automatico.

Le reti Wi-Fi delle pubbliche amministrazioni, per diventare parte del sistema, devono quindi configurare i loro Access Point con un nuovo SSID, senza necessariamente dismettere gli altri servizi e/o SSID, impostato con autenticazione 802.1x verso un Authentication Server Radius remoto gestito da Infratel Italia.

Secondo questa architettura, la APP e il sistema wifi.italia.it gestiscono oltre alla prima (e unica) registrazione dell’utente, l’autenticazione dello stesso sulla rete. Una volta che l’utente viene autenticato con la APP la navigazione è totalmente gestita dalla rete che lo sta «ospitando «in quel momento.

Conseguentemente il sistema wifi.italia.it raccoglie e gestisce i dati di registrazione degli utenti e di quelli relativi alle loro autenticazioni sulle reti federate, anonimizzandoli e solo per i fini dell’esecuzione del servizio. Mentre i dati di navigazione, con il riferimento all’utente codificato e interpretabile solo da wifi.italia.it, ma non dalla rete, sono invece, raccolti e gestiti esclusivamente dalle reti federate secondo le modalità proprie di ciascuna rete

L’adesione al sistema permetterà alle amministrazioni di dismettere i sistemi di autenticazione e gestione delle identità degli utenti, allo stato attivi, per utilizzare l’accesso all’SSID «wifi.italia.it».

L’adozione di tale soluzione da parte della PA, consentirebbe loro di eliminare i costi per la gestione di tali sistemi, nonché il carico, ed i relativi costi, in termine di gestione dei dati degli utenti, ai fini della legislazione sulla sicurezza dei dati personali.

Organizzazione e ruoli del Servizio¶

Nel framework organizzativo del servizio WI-FI possiamo individuare 3 ruoli:

• Service Provider: l’organizzazione o Ente che coordina e gestisce il servizio;
• Resource Provider: operatori che gestiscono l’infrastruttura di rete e la connettività internet e che permettono agli utenti di accedere a internet;
• User: l’utente finale del servizio.

Andiamo ad analizzare in dettaglio i suddetti ruoli

Architettura del servizio per le Reti della PA¶

Questo paragrafo intende fornire una panoramica delle possibili architetture per le Pubbliche Amministrazioni che debbano erogare il servizio WI-FI, senza entrare in dettagli tecnologici specifici. Ciò che si propone questo paragrafo è fornire indicazioni in merito ai requisiti funzionali necessari a realizzare il servizio, che possano essere implementati nei diversi modelli di gestione IT dagli Enti interessati.

Da quanto riportato nei paragrafi precedenti, si sottolinea l’obbligatorietà di identificazione in modalità diretta o indiretta dell’utente, da parte di almeno uno dei provider infrastrutturali, al fine di poter rispondere ai dettami normativi in materia di tracciabilità dell’utente.

Identificazione¶

Oggi esistono molteplici installazioni del servizio Wi-Fi ad opera di enti della PA centrale e locale.

Nelle suddette implementazioni troviamo specifiche modalità di registrazione e autenticazione come ad esempio il «captive portal» [16], passando da soluzioni semplici, come la ricezione delle credenziali via SMS, a più elaborate, prevedendo la compilazione di moduli on-line.

Per quanto riguarda l’identificazione dei turisti, visti gli oneri di identificazione posti in capo agli albergatori, si ritiene opportuno investigare in merito alla possibilità di interoperare con le strutture alberghiere al fine di poter assegnare credenziali per l’utilizzo della Wi-Fi gratuita per il periodo di permanenza in Italia.

Da quanto espresso nel presente documento, si ribadisce comunque la necessità di identificazione dell’utente, attraverso meccanismi diretti o indiretti, che consentano agli operatori di ottemperare alle prestazioni obbligatorie nei confronti dell’autorità giudiziaria.

L’architettura del servizio prevede che l’utente finale ovvero il cittadino, o il turista, si colleghi all’hotspot del servizio Wi-Fi pubblico dell’Amministrazione, e venga autorizzato all’accesso.

Le credenziali generate all’atto dell’iscrizione al servizio vengono riutilizzate in tutte le connessioni successive dell’utente finale [17].

Requisiti del servizio per le Amministrazioni collegate su SPC¶

L’accesso al servizio WI-FI verso i cittadini sarà reso disponibile attraverso l’infrastruttura SPC di connettività della quale sono dotate le Amministrazioni.

Le risorse di banda disponibili al servizio WI-FI, non devono in alcun modo degradare il funzionamento dei processi digitali della Pubblica Amministrazione.

Durante lo svolgimento del normale orario di lavoro di ciascun Ufficio e sede di Ente pubblico coinvolto, il servizio dovrà usufruire della sola capacità di banda Internet non utilizzata per i normali processi aziendali e comunque, nell’orario di chiusura non dovrà interferire con i servizi digitali erogati in regime di continuità ovvero H24.

La Banda non utilizzata, che potrebbe essere assegnata al servizio Wi-Fi, potrà essere determinata attraverso una attività di monitoraggio in real-time, da effettuarsi a cura dell’Amministrazione per il tramite di opportuni strumenti per l’analisi della rete.

Il Capitolato di gara Consip, per la Connettività, ha definito Classi di Servizio e Ambiti atti all” identificazione e separazione dei traffici pregiati e diretti o verso Internet, Intranet e Infranet.

La figura di seguito riporta un’ipotesi di architettura con l’ambito Wi-Fi aggiuntivo realizzato attraverso una nuova VRF [19] sugli apparati degli operatori.

Per quanto riguarda l’implementazione del servizio sulla rete interna o sulla rete geografica, l’Amministrazione deve erogare il servizio Wi-Fi, realizzando una delle opzioni menzionate ai paragrafi precedenti.

Utilizzo di spazio di indirizzamento IPv6¶

Nel caso l’Amministrazione volesse utilizzare uno spazio di indirizzamento IPv6 da assegnare al servizio WI-FI, è consigliato l’utilizzo dello spazio privato, al fine di evitare eventuali problemi di DDoS tra utenti dello stesso hot spot.

Gli indirizzi privati o locali, analoghi a quelli IPv4, possono essere usati solo all’interno di ogni rete (o Site) e non vengono instradati all’esterno. Iniziano con i 9 bit: 1111 1110 1 (da FE8x::/9 a FEFx::/9) e sono anche detti «unregistered» o «nonroutable». Sono divisi in due categorie:

• i Link-local Addresses, che vengono sempre bloccati dai Router, e sono quindi locali solo ad un segmento di rete (switched LAN) o ad una subnet. Vengono usati per la «automatic address configuration», per le funzioni ND-Neighbor Discovery (es. Router discovery) e per l’ARP. Hanno come decimo bit uno «0», per cui cominciano con FE8x, FE9x, FEAx e FEBx;
• i Site-local Addresses, che possono essere instradati dai Router di una organizzazione solo all’interno della rete privata (Site), quindi tra le sue subnet, ma non verso Internet; iniziano con FECx, FEDx, FEEx ed FEFx, avendo come decimo bit un «1».

Sistema di monitoraggio centralizzato del funzionamento dei punti Wi-Fi¶

Ai fini del monitoraggio della rete Wi-Fi si suggerisce l’adozione da parte delle PPAA di un sistema di monitoraggio centralizzato che renda disponibili almeno le seguenti informazioni:

• Banda utilizzata;
• numero di apparati monitorati;
• numero di apparati in allarme per anomalie;
• informazioni sull” AP (situazione e posizione geografica);
• statistiche di funzionamento degli AP.

Il sistema di monitoraggio fornirà uno strumento di visualizzazione degli AP, dal quale sarà possibile l’immediata visualizzazione dello stato di funzionamento degli stessi. Consentirà inoltre il collegamento alle informazioni di dettaglio presenti all’interno del sistema stesso.