Come gli ISP tengono traccia della tua attività online

Cosa può vedere il tuo ISP

Traffico non crittografato (HTTP)

Quando visiti siti Web utilizzando HTTP (non HTTPS), il tuo ISP può vedere tutto:

• URL completi: Indirizzi web completi inclusi i parametri di query
• Pagina contenuto: Tutto il testo, le immagini e i dati sulla pagina
• Invii di moduli: Credenziali di accesso, query di ricerca, informazioni personali
• Cookie: Token di sessione e dati di monitoraggio
• Intestazioni: Tipo di browser, funzionamento sistema, informazioni sul referrer

Fortunatamente, oltre il 95% del traffico web ora utilizza la crittografia HTTPS, che limita notevolmente la visibilità.

Traffico crittografato (HTTPS)

Anche con la crittografia HTTPS, il tuo ISP continua a vedere informazioni sostanziali:

• Nomi di dominio (tramite DNS): Quali siti web visiti
• Indirizzi IP: Server specifici ti connetti a
• Metadati di connessione: Ora, durata, volume di dati
• Schemi di traffico: Quando sei online, livelli di attività
• SNI (indicazione nome server): Nome host nell'handshake TLS (a meno che non si utilizzi ESNI/ECH)

Cosa non può vedere con HTTPS:

• URL di pagine specifiche (solo il dominio)
• Contenuto della pagina o dati del modulo
• Query o messaggi di ricerca
• Cookie o dati di sessione

Query DNS: il Privacy Blindspot

Il DNS (Domain Name System) è storicamente non crittografato ed è qui che gli ISP ottengono la maggior parte del loro potere di tracciamento:

• Ogni sito web visitato: Navigazione completa cronologia
• Tinformazioni sui tempi: Quando hai effettuato l'accesso a ciascun sito
• Dati sulla frequenza: La frequenza con cui visiti siti specifici
• Sottodomini: Servizi specifici all'interno dei siti (mail.google.com, drive.google.com)

Per impostazione predefinita, i tuoi dispositivi utilizzano i server DNS del tuo ISP, inviando loro un registro di ogni dominio che cerchi. Questo crea una mappa completa della tua attività su Internet.

Metadati di connessione

Oltre al contenuto, gli ISP raccolgono metadati estesi:

Tipo di metadati	Cosa vede l'ISP	Privacy Impatto
Temporale	Tempi di connessione, durata, frequenza	Rivela routine quotidiane, programma del sonno
Volumetrico	Dati caricati/scaricati per connessione	Identifica streaming, trasferimenti di file di grandi dimensioni
Geografico	Il tuo indirizzo IP, posizione	Tracciamento della posizione fisica
Dispositivo	Indirizzo MAC, firme del dispositivo	Impronta digitale del dispositivo, identificazione
Rete	Protocolli utilizzati, numeri di porta	Identifica P2P, utilizzo VPN, servizi

Tecnologie di tracciamento utilizzate dagli ISP

Deep Packet Ispezione (DPI)

La tecnologia DPI esamina la parte dati dei pacchetti di rete in tempo reale:

Funzionalità:

• Analizza il contenuto dei pacchetti oltre alle informazioni sull'intestazione
• Identifica protocolli e applicazioni
• Rileva i tipi di file trasferiti
• Classifica il traffico per la gestione della rete
• Filtra i contenuti in base alle regole

Usi ufficiali:

• Ottimizzazione della rete e QoS (Quality of Service)
• Rilevamento di malware e minacce
• Applicazione del copyright (avvisi DMCA)
• Gestione e limitazione della larghezza di banda

Preoccupazioni sulla privacy:

• Crea profili utente dettagliati
• Abilita la censura basata sui contenuti
• Potenziale per la sorveglianza di massa
• Può essere utilizzato per un vantaggio competitivo (limitando la concorrenza)

Iniezione di intestazioni HTTP

Alcuni ISP modificano il traffico HTTP inserendo intestazioni di tracciamento:

• Intestazioni identificativo univoco (UIDH): "Supercookie" che non possono essere eliminati
• X-UIDH o X-ACRAID: Tracciamento persistente degli utenti sui siti web
• Scandalo UIDH di Verizon: Utenti monitorati per anni senza consent

Queste intestazioni inserite consentono agli ISP e ai loro partner di tracciare gli utenti anche quando i cookie vengono bloccati o cancellati.

Monitoraggio e registrazione DNS

Gli ISP

in genere eseguono risolutori DNS che registrano tutte le query:

• Timestamp di ciascuna query
• Indirizzo IP di origine (tu)
• Dominio richiesto
• Tipo di query (A, AAAA, MX, ecc.)
• Risultato della risoluzione

Questo crea un database ricercabile di ogni dominio a cui ogni cliente ha avuto accesso.

Raccolta dati flusso (NetFlow/IPFIX)

I protocolli del flusso di rete aggregano i metadati di connessione:

• Indirizzi IP di origine e destinazione
• Porte di origine e destinazione
• Tipo di protocollo (TCP, UDP, ecc.)
• Conteggio di pacchetti e byte
• Durata e tempi del flusso

Sebbene meno dettagliati di DPI, i dati del flusso rivelano comunque informazioni significative sul comportamento dell'utente e possono identificare modelli.

Perché gli ISP ti seguono

1. Generazione di entrate

Pubblicità e vendita di dati:

• Vendi dati di navigazione anonimi (o deidentificati) agli inserzionisti
• Crea segmenti di utenti dettagliati per pubblicità mirata
• Collabora con reti pubblicitarie per la compartecipazione alle entrate
• Offri servizi "gratuiti" sovvenzionati dalla raccolta dati

Dopo l'abrogazione delle norme sulla privacy statunitensi del 2017, gli ISP hanno ottenuto l'autorizzazione esplicita a monetizzare i dati dei clienti senza il consenso esplicito.

2. Gestione della rete

Bisogni operativi legittimi:

• Allocazione della larghezza di banda e qualità del servizio (QoS)
• Identificazione e prevenzione degli abusi di rete
• Pianificazione della capacità e investimenti nelle infrastrutture
• Trisoluzione dei problemi di connessione problemi

3. Conformità legale

Mandati governativi:

• Leggi sulla conservazione dei dati (varia in base alla giurisdizione)
• Richieste e mandati di comparizione in applicazione della legge
• Applicazione del copyright (DMCA, ecc.)
• Lettere di sicurezza nazionale (NSL) in US

4. Sicurezza e prevenzione degli abusi

Misure di protezione:

• Rilevamento di malware e botnet
• Mitigazione DDoS
• Filtro spam
• Blocco siti di phishing

Leggi globali sulla conservazione dei dati

Stati Uniti

Nessuna legge federale impone la conservazione dei dati dell'ISP per scopi commerciali, ma:

• 18 USC § 2703(f): Richiede la conservazione dei dati su richiesta delle forze dell'ordine
• Patriot Act: Funzionalità di sorveglianza estese
• Modifiche FISA: Consente sorveglianza senza mandato
• Leggi statali: Variano, alcuni stati hanno protezioni della privacy più forti

Gli ISP in genere conservano i dati per 6-18 mesi per scopi aziendali anche senza requisiti legali.

Unione Europea

Scenario complesso con forti protezioni della privacy:

• GDPR: Requisiti rigorosi di protezione dei dati, consenso dell'utente
• ePrivacy Direttiva: Regole specifiche per fornitori di telecomunicazioni
• Direttiva sulla conservazione dei dati: Invalidata dalla Corte UE ma alcuni stati membri implementano ancora variazioni
• Leggi degli stati membri: Periodi di conservazione in genere 6-24 mesi

Altre giurisdizioni

• Australia: Conservazione obbligatoria dei metadati per 2 anni (Telecommunications Act 2015)
• Canada: Nessuna conservazione obbligatoria ma le forze dell'ordine possono richiederne la conservazione
• Regno Unito: L'Investigatory Powers Act (2016) richiede 12 mesi di conservazione
• Russia: Requisiti estesi di conservazione dei dati e sorveglianza in tempo reale
• Cina: Conservazione completa dei dati e accesso governativo requisiti

Casi di monitoraggio ISP nel mondo reale

Scandalo "Supercookie" di Verizon UIDH (2014-2016)

Verizon ha inserito intestazioni di monitoraggio uniche nel traffico dei clienti per due anni prima di essere scoperto:

• Oltre 100 milioni di clienti interessati
• L'intestazione di monitoraggio persisteva anche quando gli utenti cancellavano i cookie
• Taziende di terze parti utilizzavano intestazioni per il monitoraggio tra siti
• FCC ha multato Verizon di 1,35 milioni di dollari (minimo rispetto alle entrate)
• Meccanismo di opt-out richiesto (non opt-in)

Programma preferenze Internet di AT&T

AT&T ha offerto Internet a prezzi scontati in cambio del monitoraggio:

• Sconto di $ 29 al mese per il consenso al monitoraggio
• Cronologia di navigazione raccolta per la pubblicità
• Made opzione di non tracciamento significativamente più costosa
• Sollevati dubbi sul consenso "volontario" sotto pressione economica

Scandalo Phorm dell'ISP del Regno Unito (2006-2008)

• BT, Virgin Media, Talk Talk ha sperimentato segretamente la pubblicità comportamentale
• Comunicazioni dei clienti intercettate senza consenso
• Profili dettagliati creati per pubblicità mirata
• Led a indagini penali e procedimenti di violazione dell'UE

Come proteggere la tua privacy dal monitoraggio dell'ISP

1. Utilizza una VPN (rete privata virtuale)

La protezione più efficace: crittografa tutto il traffico dal tuo dispositivo al server VPN:

Cosa nascondono le VPN al tuo ISP:

• Query DNS (se la VPN utilizza il proprio DNS)
• Siti Web e servizi che utilizzi accesso
• Contenuto delle tue comunicazioni
• Schemi e tempistiche delle tue attività

Cosa non nascondono le VPN:

• Che stai utilizzando una VPN (ovvio dai modelli di traffico)
• Quantità di dati trasferiti
• Tempi di connessione e durata

Scegli una VPN affidabile con una rigorosa politica di no-log. VPN Master Pro fornisce protezione no-log verificata con prevenzione delle perdite DNS.

2. DNS crittografato (DoH/DoT)

Impedisce all'ISP di visualizzare le query DNS:

DNS su HTTPS (DoH):

• Crittografa DNS all'interno di HTTPS
• Incorporato in Firefox, Chrome, Edge, Safari
• Fornitori: Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9 (9.9.9.9)

DNS su TLS (DoT):

• Crittografia TLS dedicata per DNS
• Supportato in modo nativo su Android 9+
• Più trasparente per il monitoraggio della rete

Esempio di configurazione (Firefox DoH):

Impostazioni → Privacy e sicurezza → DNS su HTTPS → Abilita con Cloudflare

3. HTTPS ovunque

• Utilizza le estensioni del browser che applicano HTTPS
• I browser moderni ora avvisano sui siti non HTTPS
• Impedisci all'ISP di vedere il contenuto della pagina e gli URL
• Solo i nomi di dominio rimangono visibili (tramite DNS e SNI)

4. Tor Browser

Massimo anonimato ma con compromessi:

Vantaggi:

• Crittografia multistrato tramite rete volontaria
• Nasconde la destinazione dall'ISP
• Rende anonima la tua identità

Svantaggi:

• Velocità notevolmente inferiori
• Alcuni siti bloccano i nodi di uscita Tor
• Richiede un uso attento per mantenere l'anonimato

5. ISP incentrati sulla privacy

Alcuni ISP danno priorità alla privacy del cliente:

• Sonic.net: ISP statunitense con una forte politica in materia di privacy
• Njalla: VPN incentrata sulla privacy e hosting
• LFornitori locali: Alcuni ISP regionali hanno politiche sulla privacy migliori rispetto ai principali operatori

Leggi attentamente le politiche sulla privacy e scegli gli ISP che si impegnano a raccogliere dati minimi.

6. Protezione a livello di router

• Configura VPN a livello di router (protegge tutti i dispositivi)
• Utilizza DNS che rispetta la privacy sul router (Cloudflare, Quad9)
• Implementa regole firewall che bloccano la telemetria
• Utilizza firmware router open source (DD-WRT, OpenWRT)

Domande frequenti

Conclusion

Il tracciamento ISP rappresenta una delle forme di sorveglianza più pervasive nella vita digitale moderna. A differenza dei cookie che possono essere bloccati o delle cronologie di ricerca che possono essere cancellate, il tracciamento a livello di ISP avviene a livello dell’infrastruttura di rete, al di fuori del controllo dei singoli utenti senza misure proattive sulla privacy.

L'entità del monitoraggio dell'ISP varia in modo significativo in base a:

• Giurisdizione: Leggi e regolamenti locali
• IPolitiche SP: Impegno aziendale per la privacy
• Adozione della crittografia: Quanto il traffico è HTTPS rispetto a HTTP
• Misure di protezione dell'utente: VPN, DNS crittografati, ecc.

Sebbene non sia possibile eliminare completamente la visibilità dell'ISP (vedranno sempre che i dati fluiscono attraverso la loro rete), puoi ridurre drasticamente ciò che possono apprendere sulle tue attività tramite crittografia, VPN e strumenti incentrati sulla privacy.

I passaggi più importanti:

1. Utilizzare una VPN affidabile per tutte le attività sensibili
2. Abilitare DNS crittografato (DoH/DoT) su tutti i dispositivi
3. Verificare HTTPS su tutti i siti web visitati
4. Leggi l'informativa sulla privacy del tuo ISP per capire cosa raccolgono
5. Rimani informato sulle leggi locali sulla privacy e sulle pratiche dell'ISP

La privacy non significa avere qualcosa da nascondere, ma controllare chi ha accesso alle informazioni sulla tua vita, sui tuoi pensieri e sulle tue attività. Non è necessario che il tuo ISP sappia cosa fai online.