Qualunque provider Internet, qualsiasi fornitore di connettività italiano, può già oggi monitorare il traffico di rete e verificare quali siti web vengono visitati dai suoi utenti.
L’analisi può essere effettuata in forma aggregata oppure è possibile risalire all’attività del singolo abbonato, ad esempio su richiesta dell’autorità giudiziaria.
Nei log conservati dal provider sono annotate informazioni come un identificativo dell’utenza, l’indirizzo IP assegnato, l’orario di connessione e le azioni compiute in Rete.
Navigare anonimi di base non è possibile se non si utilizzano gli strumenti giusti
Il provider Internet dispone anche di tutti gli strumenti per analizzare il traffico anche a livello di protocollo e stabilire la tipologia di ogni singola comunicazione posta in essere dall’utente.
La vigente normativa europea impedisce comunque l’utilizzo di politiche tese a penalizzare certe tipologie di traffico e a favorire altre: secondo il Regolamento UE n. 1211/2009, articolo 3 comma 3, gli operatori di telecomunicazioni e i provider Internet sono tenuti a trattare tutto il traffico dati allo stesso modo, senza discriminazioni, restrizioni o interferenze, e a prescindere dalla fonte e dalla destinazione, dai contenuti cui si è avuto accesso o che sono stati diffusi, dalle applicazioni o dai servizi utilizzati o forniti, o dalle apparecchiature terminali utilizzate.
Navigare anonimi, normalmente, è quindi impossibile perché il provider Internet può tranquillamente risalire, ove necessario, alle attività svolte online da ciascun utente.
Il fornitore della connettività, tra l’altro, è obbligato a mantenere log del traffico dati. Come prescrive il Codice in materia di protezione dei dati personali (D.L. 30 giugno 2003, n. 196, art. 132), “per finalità di accertamento e repressione dei reati (…) i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi“.
Che il provider Internet sia in grado di tracciare un quadro delle attività online dei suoi utenti è quindi pacifico. Ciò che è espressamente vietato, è utilizzare tali dati per finalità commerciali o addirittura rivenderli a terzi.
In questi giorni ha destato non poco scalpore la decisione del Congresso statunitense che ha di fatto “sdoganato” i dati relativi alla cronologia di navigazione degli utenti: USA, i provider potranno registrare la cronologia di navigazione e venderla a terzi.
I provider potranno non soltanto utilizzare i dati relativi ai comportamenti online degli utenti ma anche rivenderli a terze parti per fini commerciali. Facile realizzare, a questo punto, sistemi automatizzati che, attingendo ai dati dei singoli provider, mostrino inserzioni pubblicitarie e messaggi ancora più pertinenti al singolo utente (in Italia qualcosa di simile è accaduto per i servizi premium attivati da pagine web, spesso inconsapevolmente: AGCM, nuova multa agli operatori per i servizi premium).
Come difendersi e navigare anonimi?
Non è vero, però, che non è possibile navigare anonimi: gli strumenti per svolgere attività online senza lasciare tracce e senza che neppure il provider possa registrare “i movimenti” degli utenti ci sono tutti.
Negli Stati Uniti, di recente, dopo l’approvazione della nuova normativa, si è registrata una vera e propria escalation delle ricerche legate ai servizi VPN.
Diversamente da quanto sostenuto in molti articoli apparsi sulla stampa online in questi giorni, secondo noi i servizi VPN non sono affatto la “soluzione definitiva”.
Come abbiamo spiegato nell’articolo Navigazione anonima, ecco come fare, al paragrafo Le “non soluzioni” per la navigazione anonima: navigazione in incognito e VPN, molti servizi VPN non implementano sufficienti misure di sicurezza per proteggere l’identità degli utenti.
Utilizzando tali strumenti, è vero che il provider non potrà più stabilire a quali siti si collega il suo utente e quali attività sta svolgendo (il tunnel cifrato che una connessione VPN permette di stabilire rende imperscrutabili le informazioni che vi transitano…) ma se il fornitore della VPN non è affidabile, le informazioni potrebbero comunque essere – nel peggiore dei casi – monitorare e tracciate da terzi.
Molti provider VPN, poi, implementano i log cosicché le attività poste in essere dagli utenti vengono comunque registrate.
Il browser Opera, che viene spesso rammentato in molti articoli, integra un servizio VPN, semplicissimo da utilizzare: attivando la VPN il provider Internet che si sta utilizzando non potrà più avere alcun tipo di visibilità sui pacchetti dati in transito.
Peccato però che la VPN di Opera effettua un’attività di logging tenendo traccia del traffico dati degli utenti, delle richieste DNS, degli indirizzi IP, degli orari di connessione.
Il tutto è confermato, per esempio, in quest’analisi indipendente alla quale vi consigliamo di attenervi per una scelta oculata del miglior servizio VPN.
Cliccando su VPN section quindi su Simple VPN comparison e Detailed VPN Comparison, ci si accorgerà che sono ben pochi i servizi VPN sui quali si può davvero fare affidamento (vedere anche Le migliori VPN a confronto. E anche le peggiori).
Le VPN non sono affatto, secondo noi, “LA” soluzione. A meno di non scegliere un servizio che offra davvero delle garanzie.
Collegarsi a siti HTTPS e utilizzare TLS per la posta elettronica
Quando si utilizza il protocollo HTTPS per visitare pagine web e il protocollo TLS per inviare e ricevere email, si ha la certezza che i contenuti dei messaggi scambiati non possano essere letti da parte di terzi, provider Internet compreso.
Il provider può stabilire soltanto a quale indirizzo remoto ci si sta collegando ma non avrà visibilità alcuna, grazie alla crittografia, sui dati in transito.
L’utilizzo di HTTPS da parte dei siti web è quindi importante perché fa in modo che qualunque dato scambiato con il server remoto non sia “intercettabile”, riutilizzabile ed eventualmente modificabile da parte di terzi: Sito sicuro su Chrome e Firefox, che cosa significa.
Allo stesso modo, l’utilizzo di un account di posta TLS permetterà di scambiare i dati con i server POP/IMAP/SMTP in forma cifrata scongiurando qualunque possibilità di “intercettazione” dei dati (nome utente e password compresi): Email: SSL, TLS e STARTTLS. Differenze e perché usarli (suggeriamo anche la lettura dell’articolo Creare un indirizzo email: quale servizio scegliere).
Appoggiarsi a HTTPS e TLS dovrebbe essere quindi un “imperativo”, soprattutto quando ci si trova in viaggio e si avesse la necessità di collegarsi a reti WiFi altrui (Lavorare viaggiando, come avere il proprio ufficio sempre con sé). E non tanto per proteggersi dal provider Internet ma da eventuali utenti malintenzionati dediti allo sniffing del traffico.
Utilizzare Tor Browser per il completo anonimato in Rete
Per navigare anonimi su Internet, la “soluzione principe” resta comunque l’utilizzo della rete Tor (The Onion Network).
Utilizzando Tor Browser, lo strumento più facile da impiegare per accedere alla rete Tor, prima di arrivare al server di destinazione, i dati transiteranno attraverso diversi “nodi” intermedi. Indipendentemente dalla loro natura, il contenuto dei pacchetti dati viene automaticamente cifrato lungo tutto il percorso e su ciascun nodo che prende parte alla comunicazione usando un meccanismo a strati (“a cipolla”; da qui l’appellativo onion che in inglese significa appunto “cipolla”).
Tor è di per sé strumento assolutamente legittimo da utilizzare che è nato soprattutto come ausilio per i giornalisti, gli attivisti e i ricercatori che si trovano in Paesi che attuano una pesante attività di censura. Tor è finalizzato a proteggere la privacy degli utenti, la loro libertà e la possibilità comunicare in via confidenziale senza i dati scambiati possano essere monitorati e registrati, in primis dal provider Internet.
I provider Internet europei, allo stato attuale, non hanno titolo per bloccare il traffico Tor sebbene sia evidentemente possibile – dal punto di vista tecnico – limitarlo (traffic shaping) o impedirlo del tutto.