Router domestici e dati invisibili, la privacy si gioca anche sul terreno dei metadati e delle infrastrutture
Nelle indagini sull’avvelenamento da ricina che ha colpito la comunità di Pietracatella, uno degli elementi più rilevanti è rappresentato dal recente sequestro dei router presenti nell’abitazione, per la ricostruzione del contesto informativo e relazionale entro cui si inserisce il grave fatto. Pur sembrando un semplice accessorio tecnico, il router è una possibile fonte autonoma di dati, capace di offrire una chiave di lettura alternativa e più ampia rispetto ai singoli dispositivi. Un’infrastruttura percepita come neutra può diventare fonte sistematica di trattamento di dati personali al di fuori di qualsiasi reale consapevolezza.
Il router oltre la connettività: una memoria digitale della casa - Il router costituisce un punto di concentrazione del traffico digitale domestico e, proprio per questo, una vera e propria memoria tecnica delle attività che si svolgono all’interno della rete. Pur non conservando necessariamente i contenuti delle comunicazioni, registra ciò che le rende intellegibili nel loro contesto: presenza dei dispositivi, tempi delle connessioni, relazioni tra nodi della rete. Anche se non racconta direttamente cosa accade, consente di ricostruirlo.
Quali dati raccoglie davvero un router domestico - Un router domestico può conservare e rendere accessibili una serie articolata di informazioni tecniche. I dati raccolti riguardano i dispositivi collegati (identificati attraverso indirizzi MAC o nomi assegnati), gli orari di accesso e disconnessione, gli indirizzi IP locali attribuiti ai singoli device, le destinazioni raggiunte attraverso le richieste di rete e i log di sistema (che possono includere tentativi di accesso, errori di autenticazione, modifiche di configurazione, altre informazioni di contesto).
Sapere quando un dispositivo si è collegato, quanto a lungo è rimasto attivo, verso quali servizi ha indirizzato il traffico e in quale ordine temporale si sono susseguite le connessioni permette di delineare una traccia comportamentale estremamente significativa.
Dal dato tecnico al dato personale - Dati che nascono come tecnici diventano dati personali nel momento in cui consentono di identificare, anche indirettamente, una persona o di ricostruirne le abitudini. Il nome di un dispositivo, la ricorrenza degli accessi in determinate fasce orarie, la presenza costante di un determinato terminale all’interno della rete domestica sono elementi che, se correlati, restituiscono un’immagine dettagliata della vita quotidiana.
I metadati generati dal router permettono di costruire un profilo attendibile senza accedere direttamente a ciò che è stato scritto, detto o cercato e la privacy, in questo scenario, si sposta dal contenuto alla struttura dell’informazione.
C’è poi il livello di opacità che circonda questi dispositivi. I router domestici non sono generalmente accompagnati da informative privacy realmente comprensibili o accessibili per gli utenti finali. La raccolta di metadati avviene nella sostanziale inconsapevolezza dell’interessato, che difficilmente è in grado di comprendere quali informazioni vengano trattate, per quali finalità e con quali possibili implicazioni.
Il router come “scatola nera domestica” - In una vicenda come quella di Pietracatella, in cui è plausibile ipotizzare una fase preparatoria articolata, la possibilità di ricostruire le attività digitali attraverso i log di rete diventa particolarmente significativa. Anche in assenza di evidenze dirette sui dispositivi personali, la rete può restituire una narrazione indiretta, fondata su correlazioni temporali e relazionali.
Il router si configura come una sorta di “scatola nera domestica”, capace di documentare la presenza dei dispositivi, la sequenza delle connessioni e le interazioni con l’esterno, configurando una forma di prova che si basa sulla struttura del comportamento digitale, come tale più resistente a tentativi di cancellazione o manipolazione.
I rischi per gli utenti: vulnerabilità e accessi non autorizzati - Al di fuori del contesto investigativo, la raccolta di questi dati pone rischi concreti per gli utenti. Il router è spesso il dispositivo meno protetto della rete domestica: configurazioni di default, password deboli, firmware non aggiornati e funzionalità non necessarie attive rappresentano vulnerabilità che possono essere sfruttate per accedere alla rete, intercettare traffico o manipolare le comunicazioni.
Il problema è aggravato da una diffusa sottovalutazione del rischio: gli utenti prestano crescente attenzione alla sicurezza di smartphone e computer, mentre il router resta spesso escluso da pratiche di gestione consapevole. Se il punto di snodo dell’intera rete domestica è anche il meno controllato espone l’intero ecosistema a potenziali compromissioni.
La casa connessa e l’effetto moltiplicatore dell’IoT - La diffusione dei dispositivi IoT amplifica ulteriormente il quadro: ogni oggetto connesso genera traffico e produce metadati che transitano attraverso il router. Ne deriva una capacità di osservazione indiretta della vita domestica che va ben oltre l’uso tradizionale di Internet. La frequenza di utilizzo di un dispositivo, gli orari di attività di una smart TV, la presenza di dispositivi indossabili o di sistemi di automazione domestica contribuiscono a delineare una mappa dettagliata delle abitudini quotidiane.
Profili giuridici: tra uso domestico e trattamento rilevante - Sotto il profilo del GDPR, l’art. 2, par. 2, lett. c) esclude dal proprio ambito di applicazione i trattamenti effettuati da persone fisiche per fini esclusivamente personali o domestici; una disposizione spesso richiamata per ritenere che quanto avviene all’interno della rete di casa resti, per definizione, fuori dal perimetro della protezione dei dati.
Tuttavia, la giurisprudenza della Corte di Giustizia (a partire dal noto caso Ryneš) ha chiarito che l’eccezione domestica deve essere interpretata in modo restrittivo e non può applicarsi quando il trattamento eccede la sfera strettamente privata o coinvolge soggetti terzi.
Il router, infatti, non opera in un sistema chiuso: i dati che genera e gestisce transitano verso provider di connettività, servizi cloud, piattaforme digitali e produttori di dispositivi, entrando in flussi informativi che superano ampiamente la dimensione personale. Anche la semplice presenza di ospiti, collaboratori o dispositivi aziendali all’interno della rete domestica rende sempre più difficile sostenere che si tratti di un trattamento esclusivamente privato.
Nel caso del router domestico, l’eccezione per uso personale rischia di trasformarsi in finzione giuridica. Il dato tecnico, una volta inserito in un ecosistema connesso e distribuito, diventa parte di un trattamento che richiede una valutazione ai sensi del GDPR.
Una questione aperta per il diritto della protezione dei dati - Il router domestico mostra con particolare evidenza che la privacy contemporanea si gioca anche (forse, soprattutto) sul terreno dei metadati e delle infrastrutture. Se la casa resta il luogo simbolico della privacy, la rete che la attraversa la rende oggi tecnicamente osservabile.
Per questo, il sequestro dei router è destinato a diventare una prassi sempre più frequente nelle indagini investigative. Da parte sua, il diritto della protezione dei dati è chiamato a confrontarsi su quali limiti debbano essere posti alla capacità stessa delle tecnologie di registrare, organizzare e rendere accessibile la vita quotidiana.
