Il router sa dove sei in casa: Wi-Fi sensing, sorveglianza e diritti in Europa

Il tuo router Wi-Fi non si limita a portare internet ai tuoi dispositivi. Manda onde radio in ogni angolo della casa, tutto il giorno. Quelle onde rimbalzano su muri, mobili e persone, e le variazioni che producono sono già abbastanza precise da tracciare ogni tuo movimento, riconoscere la tua andatura e perfino misurare il tuo respiro.

Non è fantascienza, e non è una funzione nascosta: è il modo in cui funziona il Wi-Fi.

Non è fantascienza: CSI e onde radio in casa

La tecnologia alla base di tutto questo si chiama CSI, Channel State Information. È il meccanismo con cui il router e i dispositivi connessi si scambiano informazioni sullo stato del canale radio, cioè su come il segnale si propaga nell'ambiente fisico. Per decenni questa informazione è servita solo a ottimizzare la connessione: se il segnale si indebolisce in una stanza, il router si regola.

Dalla metà degli anni Duemila i ricercatori hanno capito che la CSI contiene molto di più. Ogni volta che una persona si muove in un ambiente Wi-Fi, altera le onde radio in modo misurabile e riproducibile. Con algoritmi di machine learning è possibile classificare questi cambiamenti e ricostruire le attività di chi si trova nell'ambiente: cammina, è seduto, è caduto, dorme, respira. Nel 2023 i ricercatori della Carnegie Mellon University hanno presentato un sistema capace di ricostruire la postura del corpo umano dai soli segnali Wi-Fi, senza telecamere. Senza nemmeno sapere in anticipo chi sia la persona. L'accuratezza non è ancora quella di un sistema video, ma è sufficiente a individuare presenza, spostamenti e postura di base.

IEEE 802.11bf: il giorno in cui il Wi-Fi è diventato ufficialmente un sensore

Per anni questa tecnologia è rimasta nel perimetro della ricerca accademica. Poi l'IEEE, l'istituto che definisce gli standard per le reti wireless, ha cominciato a lavorare su un'estensione dello standard Wi-Fi pensata esplicitamente per il sensing ambientale.

Si chiama IEEE 802.11bf, ed è stata pubblicata ufficialmente il 26 settembre 2025. Da quel momento il Wi-Fi ha smesso di essere formalmente uno standard di sola comunicazione. È diventato anche uno standard di sensing: uno strumento progettato per percepire l'ambiente fisico oltre che per trasmettere dati.

Le applicazioni previste nello standard includono la rilevazione della presenza umana, il monitoraggio degli edifici intelligenti e il controllo a distanza dello stato di salute degli anziani. Applicazioni che, nella grande maggioranza dei casi, hanno un valore reale. Il problema, come sempre accade con queste tecnologie, è che il segnale radio non sa distinguere un anziano che si vuole tutelare da un adulto che non ha alcuna intenzione di essere monitorato.

«Il segnale radio non sa distinguere un anziano che si vuole tutelare da un adulto che non vuole essere monitorato. E questa ambiguità è già incorporata nello standard.»

La biometria che non puoi cambiare

C'è un aspetto che ritengo particolarmente delicato dal punto di vista legale: la biometria comportamentale. I sistemi più avanzati di Wi-Fi sensing non rilevano solo presenza o assenza. Riconoscono anche chi si muove, analizzando il modo in cui cammina, il ritmo dei passi, la distribuzione del peso. Questi parametri costituiscono, a tutti gli effetti, un'impronta biometrica. Come già discusso parlando di riconoscimento biometrico e vuoti normativi, il problema con i dati biometrici non è solo la raccolta: è che non li puoi revocare se vengono violati. Non puoi cambiare la tua andatura.

Il GDPR europeo include esplicitamente i dati biometrici tra le categorie speciali di dati all'articolo 9, con protezione rafforzata. Ma quella protezione scatta solo quando i dati biometrici sono trattati per identificare in modo univoco una persona fisica. Se il sistema analizza l'andatura a scopo di monitoraggio comportamentale senza associarla formalmente a un'identità, la questione giuridica rimane aperta. Nessuna autorità di vigilanza europea ha ancora preso posizione specifica sul Wi-Fi sensing e la biometria comportamentale.

Il caso americano: dove il divario tra tecnologia e norma è già visibile

Negli Stati Uniti, il dibattito è più avanzato perché il problema si è già materializzato nella giurisprudenza. Due sentenze della Corte Suprema sono centrali.

Nel 2001, con Kyllo contro United States, la Corte ha stabilito che usare una telecamera a infrarossi per rilevare calore all'interno di un'abitazione senza mandato è incostituzionale. La ratio è precisa: le tecnologie che permettono di acquisire informazioni sull'interno di un'abitazione senza entrarvi fisicamente violano la protezione costituzionale del domicilio. Nel 2018, con Carpenter contro United States, la Corte ha esteso questa logica ai dati di localizzazione dei telefoni cellulari: non bastava che i dati fossero in mano a terzi per rendere lecita la raccolta senza mandato.

Il Wi-Fi sensing rientra perfettamente nel paradigma di entrambe le sentenze. Ma la norma non lo ha ancora detto esplicitamente. Le forze dell'ordine americane possono acquistare dati da data broker o instaurare rapporti con produttori di dispositivi, operando in un'area grigia che la giurisprudenza non ha ancora chiuso. È il classico schema del diritto digitale: l'industria sviluppa, le autorità adottano, i giudici arrivano anni dopo.

In Europa: più tutele, ma non un'immunità

Il quadro europeo è strutturalmente più protettivo. L'articolo 7 della Carta dei Diritti Fondamentali dell'Unione Europea garantisce il rispetto della vita privata e familiare e del domicilio. L'articolo 8 riconosce il diritto alla protezione dei dati personali come diritto fondamentale autonomo. Il GDPR richiede che qualsiasi trattamento di dati personali abbia una base giuridica specifica, che l'interessato sia informato, che i dati siano conservati per il tempo strettamente necessario. L'articolo 25 del GDPR introduce la privacy by design: la tutela della privacy deve essere incorporata nel progetto tecnico, non aggiunta come ripensamento.

La Direttiva 2016/680 sui trattamenti da parte delle forze dell'ordine è altrettanto chiara: anche la polizia non può raccogliere dati senza rispettare proporzionalità, necessità e limitazione della finalità. Qui il quadro europeo si discosta nettamente da quello americano.

Eppure il problema non è risolto. Il Wi-Fi sensing come tecnologia specifica non è stato ancora affrontato dall'EDPB, il comitato europeo che coordina le autorità nazionali per la protezione dei dati, né dal Garante Privacy italiano. Come già osservato ragionando sui metadati e la sorveglianza digitale, avere la norma non significa averla applicata. E il gap tra norma astratta e pratica quotidiana è spesso dove si annida il rischio reale.

Il router che non è tuo e i dati che escono da casa

C'è un nodo pratico che in Italia riguarda moltissime persone. Il router domestico, in molti casi, è fornito dall'operatore telefonico. Il firmware è dell'operatore. Le funzioni abilitate di default le decide l'operatore. E i dati raccolti, anche quelli relativi al sensing, transitano attraverso infrastrutture che non controlli.

Un operatore che abilita funzioni di sensing sul proprio router non ha necessariamente l'obbligo di comunicartelo in modo prominente nell'informativa. Le clausole contrattuali esistono, ma sono scritte in modo che pochissimi le leggano davvero. Qui non c'è malafede da attribuire a nessuno in particolare: è un problema strutturale del modo in cui vengono comunicati i trattamenti di dati nei contratti consumer. Che sia un problema da correggere, però, mi sembra abbastanza evidente.

Cosa fare adesso

Alcune cose si possono fare subito, senza competenze tecniche avanzate. Accedi alle impostazioni del tuo router, cerca funzioni con nomi come "motion detection", "home awareness", "presence detection", "smart monitoring" e disabilita quello che non hai scelto consapevolmente. Se il router è dell'operatore, controlla nelle impostazioni del tuo account online quali funzioni di raccolta dati risultano attive.

La soluzione più efficace, se hai un minimo di dimestichezza tecnica, è acquistare un router di tua proprietà e configurarlo autonomamente. Ti dà controllo diretto sul firmware e sulle funzioni abilitate.

A mio avviso, però, il messaggio più importante non riguarda i singoli accorgimenti tecnici. Riguarda la tendenza a portare in casa sempre più dispositivi connessi senza chiedersi come si inseriscono in questo quadro: il frigorifero smart, il termostato connesso, l'assistente vocale. Presi singolarmente sembrano innocui. Aggregati nel tempo costruiscono un profilo di comportamento molto dettagliato. Concentrarsi sul singolo allarme immediato spesso fa perdere di vista il problema strutturale più importante.

Una domanda aperta

IEEE 802.11bf è uno standard ratificato. L'industria è già al lavoro per integrarlo nei dispositivi consumer. Entro pochi anni una parte del mercato dei router avrà questa funzione di default, probabilmente senza che l'utente lo sappia o possa scegliere diversamente.

Il diritto europeo ha gli strumenti per affrontarlo: GDPR, Carta dei Diritti Fondamentali, norme sulle comunicazioni elettroniche. Ma avere gli strumenti non significa averli usati. Serve un orientamento specifico dell'EDPB. Servono linee guida chiare per i produttori. E servirebbe che il recepimento dell'ePrivacy Regulation, ancora in stallo a livello europeo da anni, includesse indicazioni esplicite su questa tecnologia.

Nel frattempo, la cosa più utile è sapere che questa tecnologia esiste, che è già nei dispositivi in commercio e che il quadro normativo è ancora in costruzione. Senza farsi prendere dall'allarme, ma senza nemmeno ignorarlo.