Categories
FrontPost Geek Lavoro Sicurezza

Hotspot wi-fi e software libero – parte 1

WiFi
Picture by jackaprini on Flickr

Ripropongo in questa sede, i concetti che ho avuto il piacere di esprimere durante il RomagnaCamp, parlando su un palco esterno assolato senza slide ma con tante persone ad ascoltarmi. Grazie a tutti coloro che c’erano e che mi hanno prestato attenzione.

Definire il contesto

Partiamo dall’esigenza di un ristoratore che voglia offrire connettività ai propri clienti, sia dietro compenso, sia in forma gratuita.

I problemi di un hotspot Wi-Fi

I problemi che si pongono all’esercente che voglia offrire questo genere di servizio, sono sostanzialmente due. Il primo di carattere tecnico, il secondo di carattere giuridico. La questione tecnica si preoccupa di connettere i clienti alla rete, la questione giuridica ci impone di farlo secondo le attuali norme vigenti. L’intreccio di questi due problemi configura la soluzione che ho elaborato e che al RomagnaCamp ha visto la sua prima applicazione pratica. Proprio perchè il problema di natura giuridica coinvolge anche la soluzione tecnica che andremo ad applicare, sarà il primo ad essere analizzato.

Il problema giuridico

Il legislatore ci mette di fronte ad un precetto: identificare con sicurezza tutti coloro che accedono alla nostra infrastruttura e che la utilizzano per accedere a Internet. Non ho la minima intenzione, in questa sede, di affrontare la questione etica e morale di una scelta così importante da parte della giurisprudenza italiana, pertanto mi interesserò soltanto dello stato di fatto e non di cosa io reputo “giusto”, “sbagliato” secondo le mie idee. In questo contesto “giusto” significa “non contrario al diritto”.

La profilazione degli utenti è stata introdotta dal decreto Pisanu e successivamente convertita in legge. Prevede l’attività imperativa di raccogliere le informazioni identificative di coloro che fruiranno del servizio di hotspot. Si devono raccogliere: nome, cognome, data e luogo di nascita, tipo e numero del documento di identità e una copia del medesimo. Successivamente si dovrà essere in grado di fornire un tabulato degli accessi alla rete in cui siano chiari data e ora dell’accesso e la relativa identità. Non si fa obbligo di tenere traccia delle comunicazioni svolte dagli utenti sulla rete. Oltre a non essere obbligatorio, l’attività di registrazione delle comunicazioni, in questo contesto, è severamente vietato. Si fa obbligo, inoltre, di conservare questi dati per un tempo sufficientemente lungo per consentire all’autorità giudiziaria di farne accesso in caso di indagini.

Questo trattamento di dati, pone origine ad un altro problema di ordine giuridico. Il codice per la protezione dei dati personali impone a qualunque privato, titolare di un trattamento di dati personali, una serie di regole alle quali attenersi, che talvolta possono diventare onerose in termini di tempo e di soldi. Nel caso in cui i dati trattati siano sensibili divengono necessari comportamenti piuttosto difficoltosi per chi aveva deciso di offrire un servizio ai propri clienti, fiducioso del fatto che si trattasse solamente di collegare un access point al proprio router.

I documenti di identità rivelano con certezza istituzionale una serie di informazioni sull’interessato che rientrano appunto della categoria dei dati sensibili: etnia, cittadinanza, segni particolari. A voler essere puntigliosi, anche la foto nel documento può rivelare informazioni sensibili come il colore della pelle o cicatrici, per esempio.

Come risolvere questi due problemi piuttosto spinosi

In sostanza si deve riuscire a fare una copia del documento d’identità e a conservarla senza configurare un trattamento di dati sensibili. Il sistema che ho realizzato si basa sul rendere il cliente responsabile “de facto” del proprio trattamento e nel rendere il fornitore di servizio un semplice controllore del processo di registrazione. Il flusso di registrazione e di accesso è il seguente:

  • il cliente richiede accesso alla rete wifi
  • il fornitore consente l’accesso visionando il documento ed accertandosi dell’identità del cliente
  • il cliente pone il proprio documento su uno scanner ad alta risoluzione
  • il cliente preme il tasto per avviare la scansione
  • il sistema stampa un foglio su cui ci sono username, password, copia del documento (per verificare che non siano stati usati trucchi nel porre il documento sullo scanner) ed informativa riguardo il trattamento dei dati personali
  • il fornitore controlla che la copia del documento sia leggibile
  • il cliente ritira il foglio appena stampato
  • il cliente utilizza la rete mediante login e password ricevute

Questo flusso limita enormemente i problemi perchè mantiene i dati personali e sensibili fuori dalla portata del fornitore che di fatto non esercita un trattamento pericoloso per l’integrità e la riservatezza. Si fa notare come il fornitore non mantenga copia cartacea del documento d’indentità del cliente, ma mantenga solo una scansione ad alta risoluzione all’interno del sistema informatico. Tale base dati viene conservata codificata come la legge prevede.

La soluzione tecnica

Si è realizato un sistema di autenticazione basato su GNU/Linux. Tutte le operazioni illustrate nel flusso vengono svolte automaticamente e nella loro completezza. Nei prossimi post spiegherò dettagliatamente la struttura tecnica del sistema di autenticazione.

By Luca Sartoni

Team Lead at Automattic, WordPress contributor, co-organiser at WordCamp Europe, blogger, photographer, geek, nerd.

9 replies on “Hotspot wi-fi e software libero – parte 1”

Secondo me il Decreto è fatto male nella parte in cui prevede, oltre all’annotazione degli estremi del documento, anche la acquisizione della riproduzione del documento stesso.
Mi pareva che io (il cliente) sia tenuto ad esibire un documento, ma non a consentire che se ne faccia copia.
Non sarebbe il primo decreto fatto male. Oppure hanno cambiato qualche legge fondamentale…
C’è qualcuno più informato sul punto?

Ps. ho controllato prima di postare il commento. In effetti ho ragione, a “sistema” la copia del documento di identità non è ammessa. Uniche eccezioni: uffici pubblici (e vabbé, sempre di Stato si tratta) e gestori di pubblici servizi (e anche qui c’è rilevanza pubblica).
Poi, da ultimo, hanno inserito anche l’internet point, nel nome del contrasto al terrorismo.
Che bella cosa le leggi di emergenza (4 anni dopo le due torri), si può anche fregarsene di un minimo di coerenza col resto dell’ordinamento.

Attendo i DETTAGLI della soluzione tecnica per chiederti lumi su come decidere quanto (1 ora per volta, fino a segnalazione dell’utente, ecc.) tenere abilitati gli utenti e quali controlli fare per evitare che uno stesso utente possa essere utilizzato da persone diverse.
Ciao!

Qual è la differenza sostanziale fra detenere copia cartacea e copia digitale del documento? Il solo fatto di non doversi occupare del mantenimento di un archivio fisico?

@io: mi fa piacere rispondere alle domande, ma solo quando so chi le ha poste.

la differenza è che nel mio caso il titolare del trattamento può evitare tutto il problema relativo alla nomina di responsabile e operatori in quanto gli addetti all’identificazione degli utenti operano una mera attività di controllo ma non operano alcuna operazione sui dati che possa configurarsi in un “trattamento” tipicamente indicato come tale.

Nel caso del cartaceo invece è costretto a tutte le operazioni indicate dal codice per il trattamento dei dati personali, disposizioni successive del Garante e disciplinari tecnici.

Nella mia infinita ignoranza vorrei porvi una “soluzione”. Premetto che ho un piccolo locale pubblico e che mi farebbe paicere creare un hot spot wi fi gratuito per i miei clienti. La necessità credo sia quella di snellire la procedura di riconoscimento. A tal proposito ho notato che in aeroporto le macchinette per il check in veloce per riconoscere il cliente chiedono di inserire o la classica fidelity card (es. millemiglia Alitalia) o una carta di credito. e credo che proprio la carta di credito possa essere il metodo più veloce per riconoscere l’utente che si appresta a entrare in rete. tra l’altro ormai in tanti ne possediamo una o più di una anche prepagata.
ribadisco la mia ignoranza in materia tecnica e vi ringrazio per lo spazio datomi.Massi

Ciao,
io tempo fa mi ero studiato dettagliatamente il dl pisanu, prevedeva oltre all’acquisizione di documenti la registrazione di log dei movimenti ip di ogni utente (non dei contenuti ovviamente).
Credo che prendere il documento e annotare le connessioni non basti.
ciao

Leave a Reply