WhoFi: quando il Wi-Fi diventa sorveglianza invisibile
La tecnologia che ti riconosce senza telecamere. E solleva domande legali enormi.
Luglio 2025, un team di ricercatori dell’Università Sapienza di Roma pubblica su arXiv uno studio che fa rumore: WhoFi, un sistema di intelligenza artificiale capace di identificare persone tramite segnali Wi-Fi.
Niente telecamere, niente dispositivi indossabili, niente riconoscimento facciale. Solo onde radio e reti neurali profonde.
Il sistema raggiunge oltre il 95% di accuratezza nell’identificazione individuale analizzando come il corpo umano interferisce con le onde Wi-Fi.
Non è fantascienza sperimentale: è tecnologia funzionante, testata su dataset pubblico, replicabile.
E solleva questioni giuridiche che il diritto europeo non ha ancora affrontato compiutamente.
Prima di approfondire gli aspetti giuridici, guarda il video completo dove analizzo tutti i punti chiave di questa tecnologia e le sue implicazioni normative:
Come funziona WhoFi: la biometria invisibile
L’intuizione alla base di WhoFi è elegante quanto inquietante. Quando un’onda Wi-Fi attraversa uno spazio, il suo percorso viene alterato dalla presenza di oggetti e persone.
Queste alterazioni vengono catturate dal Channel State Information (CSI), un parametro tecnico che misura come il segnale cambia mentre si propaga.
Il corpo umano non interferisce col Wi-Fi solo superficialmente, le onde radio penetrano nei tessuti, interagiscono con ossa, organi, composizione corporea.
Ogni corpo produce un pattern di interferenza unico, una “firma biometrica” invisibile e inconsapevole.
I ricercatori hanno addestrato una rete neurale a riconoscere queste firme. Il sistema elabora dati raccolti da router Wi-Fi commerciali standard attraverso multipli canali di frequenza.
Gli esperimenti mostrano accuratezza superiore al 95% nell’identificare diversi soggetti, anche quando cambiano abbigliamento o portano accessori.
Non serve che tu faccia nulla, non serve che porti uno smartphone, basta che tu esista in uno spazio coperto da Wi-Fi.
WhoFi identifica “dati personali” secondo il GDPR?
Questa tecnologia tratta dati personali ai sensi del Regolamento europeo 679/2016?
La risposta è sì, senza ambiguità.
L’Art. 4.1 GDPR definisce dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
WhoFi identifica persone tramite caratteristiche della loro identità fisica.
Il fatto che questa identificazione avvenga attraverso interferenza con onde radio invece che attraverso il volto non cambia la sostanza.
Ma la questione si complica con l’Art. 4.14 GDPR, che definisce “dati biometrici” come dati ottenuti da trattamento tecnico specifico relativi a caratteristiche fisiche che consentono identificazione univoca.
WhoFi rileva dati biometrici? Gli argomenti a favore sono forti: l’interferenza corporea con segnali RF costituisce caratteristica fisica che consente identificazione univoca tramite trattamento tecnico specifico.
Se accettiamo questa qualificazione, scatta il regime dell’Art. 9 GDPR: divieto di trattamento con eccezioni limitate. Serve consenso esplicito, o motivi di interesse pubblico rilevante, o altre eccezioni specifiche come necessità cure mediche.
Se invece si qualifica come semplice dato personale, bastano le basi giuridiche dell’Art. 6: consenso, contratto, obbligo legale, interesse vitale, compito di interesse pubblico, o interesse legittimo bilanciato coi diritti dell’interessato.
La distinzione ha conseguenze pratiche enormi.
Al momento non esistono pronunciamenti di autorità europee su questa tecnologia, ma la tendenza è estendere la nozione di dato biometrico quando si tratta di tecnologie emergenti con potenziale invasivo.
Il problema della trasparenza: come informi su ciò che non percepisci?
Scenario concreto: entri in un edificio videosorvegliato, vedi il cartello, vedi le telecamere, sai di essere osservato. Puoi decidere se entrare o meno.
Ora cambia scenario: entri nello stesso edificio, non c’è alcun cartello, non vedi nulla, ma sei identificato tramite WhoFi installato nei router.
Non lo sai, non lo puoi sapere, le onde radio sono invisibili.
L’Art. 13 GDPR obbliga il titolare a fornire informativa nel momento in cui i dati sono raccolti: identità del titolare, finalità, base giuridica, destinatari, periodo conservazione, diritti dell’interessato.
Il problema: come fornisci informativa efficace su un tracciamento impercettibile?
Cartellonistica fisica come per videosorveglianza? Il limite è che il Wi-Fi non ha “direzione” visibile. Le onde attraversano pareti, si propagano in tutte le direzioni. Dove termina esattamente l’area monitorata?
Notifiche push tramite app? Presuppone che l’interessato abbia installato l’app e tenga lo smartphone attivo e questo esclude eventuali visitatori occasionali.
Opt-in architetturale con reti dedicate? WhoFi non richiede che tu sia connesso alla rete. Funziona su chiunque si trovi fisicamente nell’area coperta, connesso o meno.
La struttura del GDPR è stata pensata per tracciamenti percepibili.
WhoFi rompe questo presupposto: è sorveglianza ambientale passiva che non richiede cooperazione, non lascia tracce percettibili, non ha “momento di innesco” evidente.
Servono linee guida specifiche delle autorità di controllo su identificazione radio-biometrica passiva, con standard minimi di trasparenza e obblighi di notifica attiva.
In assenza, l’implementazione di WhoFi rischia violazione sistematica degli artt. 13-14 GDPR.
AI Act e sistemi biometrici: WhoFi è “alto rischio”?
Il Regolamento UE 2024/1689 (AI Act) introduce classificazione dei sistemi di intelligenza artificiale in base al rischio.
I sistemi ad alto rischio sono soggetti a obblighi stringenti: valutazione di conformità, registrazione in database europeo, documentazione tecnica, human oversight, log completi, cybersecurity.
L’Art. 5 AI Act vieta l’identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a fini di contrasto, salvo eccezioni per sicurezza nazionale e prevenzione minacce terroristiche.
WhoFi rientra in questa definizione? Gli argomenti per classificarlo come identificazione biometrica remota sono solidi. Il sistema riconosce caratteristiche fisiche (interferenza corporea con RF) per stabilire identità.
È “remoto”: avviene a distanza, senza contatto, senza azione del soggetto.
Opera in tempo reale con latenza di pochi secondi.
A differenza della biometria tradizionale che percepisce solo la superficie esterna, WhoFi penetra all’interno del corpo analizzando come le onde interagiscono con strutture interne. Se la scansione dell’iride è biometria, a maggior ragione dovrebbe esserlo l’analisi delle strutture corporee interne.
Anche escludendo il divieto dell’Art. 5 (applicabile solo a law enforcement), resta la classificazione come sistema ad alto rischio dell’Allegato III.
Chi sviluppa WhoFi come prodotto deve: istituire gestione del rischio, garantire qualità dataset, redigere documentazione tecnica, conservare log, garantire trasparenza, progettare human oversight, sottoporsi a valutazione di conformità, registrare il sistema nel database UE.
Chi implementa WhoFi deve: verificare conformità del fornitore, effettuare valutazione d’impatto sui diritti fondamentali, garantire supervisione umana, monitorare performance.
Il costo di conformità non è banale.
Applicazioni legittime: ospedali, uffici, smart building
Non tutto ciò che è tecnicamente possibile è giuridicamente vietato.
Scenari legittimi esistono.
Ospedali: monitoraggio cadute pazienti anziani o con patologie neurologiche. WhoFi potrebbe rilevare movimenti anomali, cadute improvvise, immobilità prolungata. Niente videocamere invasive, niente dispositivi indossabili dimenticati o scarichi. Base giuridica: Art. 6.1.d GDPR (salvaguardia interessi vitali) o Art. 9.2.h (necessità assistenza sanitaria).
Ma servono obblighi rigorosi: DPIA obbligatoria, informativa trasparente ai pazienti, limitazione della finalità (solo rilevazione cadute, non tracciamento continuo), minimizzazione dati (elaborazione in tempo reale, scarto immediato se non c’è evento rilevante), diritto opposizione con alternative garantite.
Smart building: ottimizzazione energetica. WhoFi potrebbe contare presenze, regolare climatizzazione, ottimizzare illuminazione. Base giuridica plausibile: interesse legittimo del gestore (Art. 6.1.f). Ma il bilanciamento è complesso: serve dimostrazione che il risparmio è significativo, non esistono alternative meno invasive, le misure di mitigazione sono adeguate.
In ambiente lavorativo italiano scatta l’Art. 4 Statuto Lavoratori: divieto controllo a distanza dei lavoratori senza accordo sindacale o autorizzazione Ispettorato. WhoFi in ufficio, anche per gestione energetica, potrebbe configurare controllo vietato perché tecnicamente permette di monitorare quanto tempo ciascuno passa alla scrivania.
Principio trasversale: proporzionalità.
Una finalità legittima non giustifica automaticamente qualsiasi mezzo. WhoFi in ospedale per salvare vite è proporzionato. WhoFi in ufficio per risparmiare sul riscaldamento probabilmente no.
Responsabilità legale: chi paga quando il sistema sbaglia?
Scenario: un sistema WhoFi in centro commerciale identifica erroneamente un cliente come soggetto segnalato per taccheggio. Security ferma la persona, perquisizione, imbarazzo pubblico.
Poi si scopre l’errore: falso positivo. Chi risponde?
L’Art. 82 GDPR stabilisce responsabilità solidale: il danneggiato può citare sia il titolare (chi ha implementato WhoFi) sia il responsabile (chi ha fornito la tecnologia), e ciascuno risponde per l’intero danno. Poi, in separato giudizio, si rivalutano quote di colpa.
Provider (chi sviluppa WhoFi): è responsabile se il sistema aveva difetti di progettazione, testing inadeguato, documentazione tecnica ingannevole su accuratezza.
Deve istituire post-market monitoring, segnalare incident gravi, ritirare sistemi non conformi. Sanzioni AI Act fino a 35 milioni o 7% fatturato globale.
Deployer/Titolare (chi implementa): è responsabile primario per scelta di usare WhoFi senza human-in-the-loop, violazione Art. 5.1.d GDPR (esattezza), violazione Art. 22 (decisione automatizzata). Deve garantire supervisione umana, monitorare performance, segnalare malfunzionamenti.
Scenario abuso interno (dati raccolti per scopo A usati per scopo B): responsabilità esclusiva del deployer per violazione limitazione finalità.
Scenario data breach: responsabilità titolare per misure sicurezza inadeguate, possibile rivalsa su provider se sistema aveva vulnerabilità non documentate.
I contratti B2B dovrebbero allocare responsabilità chiaramente: certificazione conformità GDPR/AI Act, livelli minimi accuratezza garantiti, obblighi supporto in caso di incidente, clausole indennizzo per non conformità.
Se il fornitore rifiuta, la tecnologia non è matura per il rilascio regolamentato.
Il futuro della sorveglianza: quando ogni router diventa sensore
WhoFi non è un caso isolato.
È un sintomo di tendenza più ampia: l’ambiente fisico che diventa sensore digitale. Negli ultimi dieci anni, la ricerca su Wi-Fi sensing ha prodotto sistemi per rilevamento cadute, riconoscimento gesti, monitoraggio respirazione, conteggio persone, tracciamento attraverso pareti.
WhoFi porta questo filone a maturità tecnica con accuratezza superiore al 95% su dataset pubblico, architettura replicabile, risultati peer-reviewed.
Nel 2020, tecnologie simili raggiungevano 75% di accuratezza. Miglioramento di 20 punti in 5 anni. Il trend è chiaro.
Scenario plausibile entro 5-10 anni: produttori di router integreranno funzionalità WhoFi-like come feature standard:“Smart home che riconosce membri famiglia, adatta temperatura automaticamente, rileva intrusi senza telecamere”.
Per l’utente medio suona come comodità. Per chi comprende le implicazioni è sorveglianza pervasiva.
Il rischio non è solo commerciale, è anche governativo. Stati che già implementano sorveglianza di massa potrebbero adottare WhoFi come strumento aggiuntivo.
Identificazione via telecamere fallisce in scarsa illuminazione, con maschere, con caschi.
Identificazione Wi-Fi funziona comunque: attraversa ostacoli, penetra abbigliamento, opera senza linea di vista diretta.
La storia insegna: misure di sorveglianza introdotte per emergenze tendono a diventare permanenti.
Il Patriot Act USA, nato dopo l’11 settembre come legislazione temporanea, è diventato permanente.
Lo stato d’emergenza Francia post-attentati 2015 è stato assorbito nel diritto ordinario.
Il social credit cinese, lanciato come pilota anti-frode, è oggi controllo nazionale.
La logica è sempre la stessa: oggi sicurezza, domani controllo. Quando l’infrastruttura tecnica esiste, la tentazione di usarla per scopi diversi è fortissima.
Quali controlli servono?
Servono principi chiari che guidino legislatori e autorità.
Legalità tipizzata: tracciamento biometrico passivo limitato a finalità specifiche previste dalla legge. Prevenire cadute in ospedale: sì. Marketing profilato in negozio: no. Sorveglianza generica “per sicurezza”: mai.
Proporzionalità e temporaneità: configurazione per raccogliere il minimo necessario. Tracciamento discontinuo e rilevazione eventi specifici. Conservazione ben definita e cancellazione automatica dopo periodo breve. Accesso rigorosamente limitato e log auditabili.
Trasparenza radicale: pubblicazione DPIA, base giuridica, documentazione tecnica, procedura opt-out, statistiche di utilizzo. Database pubblico nazionale che elenca dove è installato, chi gestisce, per quale finalità, con quale base giuridica.
Contraddittorio effettivo: se WhoFi genera decisione che impatta un individuo, il soggetto deve essere notificato immediatamente, avere accesso ai dati, poter contestare con ricorso rapido (48-72 ore), ottenere revisione umana qualificata.
Audit indipendenti: certificazione da enti terzi che testano accuratezza, robustezza, equità (assenza bias), sicurezza. Pubblicazione risultati prima dell’implementazione.
Ma la tecnologia corre più veloce del diritto. WhoFi è potenzialmente già funzionante.
L’AI Act entrerà pienamente in vigore nel 2026-2027.
Le linee guida EDPB su identificazione radio-biometrica non esistono ancora.
Nel frattempo, nulla impedisce tecnicamente implementazioni “sperimentali” che raccolgono dati biometrici di migliaia di persone prima che le autorità intervengano.
La scelta è nostra: utenti tracciati o cittadini consapevoli
WhoFi non è il problema, è un sintomo.
Il problema è costruire infrastrutture di sorveglianza prima di avere regole chiare, trasparenza garantita, contrappesi democratici.
La libertà non crolla di colpo. Si consuma per abitudine.
Ogni volta che accettiamo “un po’ di sorveglianza” per “un po’ di sicurezza”, spostiamo l’asticella.
Quello che ieri era intollerabile oggi è normale.
Il Wi-Fi che ti identifica mentre cammini non è distopia futuristica. È realtà tecnica disponibile adesso, pubblicata su repository accademico, replicabile da qualsiasi team con competenze machine learning.
La domanda non è se questa tecnologia esisterà, esiste già.
La domanda è: come la governiamo?
O restiamo utenti passivi, accettando che ogni nostro movimento generi dati, che ogni spazio diventi sensore, che la nostra identità biologica sia costantemente interrogata da sistemi di cui non sappiamo nulla.
Oppure diventiamo cittadini che fanno domande scomode: chi ha installato questo sistema? Con quale autorizzazione? Per quale finalità? Con quali garanzie contro abusi? Con quale procedura di opt-out? Con quale audit indipendente?
Quando dicono “è per il tuo bene”, pretendi di vedere il bugiardino scritto in chiare lettere.
Domande Frequenti
WhoFi può identificarmi anche senza smartphone?
Sì, a differenza di altre tecnologie di tracciamento (Bluetooth, GPS, app), WhoFi non richiede che tu porti dispositivi.
Identifica le persone analizzando come il corpo interferisce fisicamente con le onde Wi-Fi.
Basta che tu sia presente fisicamente in uno spazio coperto da segnale. Non puoi “disattivarlo” lasciando a casa il telefono.
Sarebbe legale installare WhoFi in un negozio o ufficio?
La questione è aperta e dipende da molti fattori.
Un negozio potrebbe tentare di invocare “interesse legittimo” (Art. 6.1.f GDPR), ma dovrebbe dimostrare rigorosamente proporzionalità, necessità e assenza di alternative meno invasive.
Inoltre servirebbe DPIA, informativa trasparente e opt-out effettivo.
Ma se WhoFi viene qualificato come dato biometrico (Art. 9 GDPR), l’interesse legittimo potrebbe non bastare.
In ambiente lavorativo italiano la situazione è ancora più complessa: l’Art. 4 Statuto Lavoratori vieta controllo a distanza dei lavoratori senza accordo sindacale o autorizzazione Ispettorato. WhoFi potrebbe ricadere in questo divieto anche se installato per altri scopi (es. gestione energetica).
Al momento non esistono pronunciamenti di autorità italiane o europee su WhoFi specificamente, quindi chi implementa opera in zona grigia normativa con rischio sanzioni elevato.
Vi è possibilità di sapere se WhoFi è attivo in un edificio?
Trattandosi di uno studio appena pubblicato attualmente non non vi è modo di saperlo con certezza.
L’Art. 13 GDPR richiede informativa “al momento della raccolta dati”, ma non specifica come informare su tracciamento impercettibile. Un’implementazione teoricamente conforme dovrebbe prevedere cartellonistica all’ingresso (tipo videosorveglianza), informativa dettagliata sul sito web del gestore, e possibilità di richiedere documentazione (DPIA, base giuridica).
Ma in assenza di linee guida specifiche delle autorità su identificazione radio-biometrica passiva, molti potrebbero implementare WhoFi senza adeguata trasparenza, proprio perché il framework attuale non è pensato per sorveglianza invisibile.
Questo è esattamente il problema: non puoi esercitare diritti che non sai di dover esercitare.
Potrei oppormi al tracciamento?
In teoria sì, in pratica è molto complicato.
Se il trattamento si basa su “interesse legittimo” (Art. 6.1.f GDPR), hai diritto di opposizione (Art. 21): il titolare deve cessare il trattamento a meno che non dimostri “motivi legittimi cogenti” che prevalgono sui tuoi diritti.
Ma se il trattamento si basa su altre basi giuridiche (consenso già prestato, obbligo legale, interesse pubblico), il diritto di opposizione è limitato o non si applica.
Il problema pratico è ancora più insidioso: come implementi tecnicamente l’opt-out? Il sistema dovrebbe riconoscerti per escluderti dal tracciamento, ma riconoscerti significa comunque trattare i tuoi dati biometrici.
È un paradosso che richiede soluzioni tecniche apposite non ancora standardizzate (es. dispositivi wearable “Do Not Track” che emettono segnale riconoscibile dal sistema).
Cosa rischia chi implementa WhoFi senza autorizzazione adeguata?
I rischi sono potenzialmente molto elevati, ma dipendono da come le autorità qualificheranno la tecnologia.
Se WhoFi viene considerato trattamento di dati biometrici (Art. 9 GDPR) senza base giuridica valida, le sanzioni possono arrivare fino a 20 milioni di euro o 4% del fatturato mondiale annuo (Art. 83 GDPR). Anche violazioni di principi fondamentali (trasparenza, minimizzazione, DPIA mancante) comportano sanzioni dello stesso livello.
Se viene classificato come sistema IA ad alto rischio non conforme, l’AI Act aggiunge sanzioni fino a 35 milioni o 7% del fatturato globale (Art. 99).
Oltre alle multe amministrative: danni reputazionali gravi (scandali privacy danneggiano brand pesantemente), azioni risarcitorie di soggetti danneggiati (Art. 82 GDPR: ogni persona che subisce danno ha diritto a risarcimento), e in casi estremi responsabilità penale (Art. 167 Codice Privacy italiano: detenzione illegittima banche dati biometriche punita con reclusione da 6 mesi a 2 anni).
Ma attenzione, essendo solo un primo studio solo pubblicato, al momento non esistono precedenti specifici su WhoFi, quindi è impossibile dire con certezza come le autorità reagirebbero. Chi implementa ora opera in territorio inesplorato con rischio elevato ma probabilità incerta.
Fonti e approfondimenti:
🔔 Vuoi restare aggiornato ogni settimana su contenuti legali, attualità e consigli pratici?
Iscriviti gratuitamente a uno dei miei canali:
– 🟢 WhatsApp → https://avvocatonardini.it/whatsapp
– 🔵 Telegram → https://t.me/stefano_nardini
– 🔴 YouTube → https://www.youtube.com/@StefanoNardiniStudio
Autore: Avv. Stefano Nardini
Avvocato, esperto in diritto delle nuove tecnologie, privacy e sicurezza informatica. Opera da oltre 20 anni nella consulenza per imprese, professionisti ed enti pubblici su GDPR, compliance e innovazione digitale. Data Protection Officer e Privacy Officer certificato.
Si occupa inoltre di diritto civile e penale, con esperienza in contenzioso, contrattualistica, responsabilità civile, reati connessi all’ambito digitale (cybercrime, trattamento illecito dei dati) e difesa penale tradizionale.
Lavora sul fronte della prevenzione e della gestione pratica dei rischi, unendo competenza tecnica e attenzione ai principi di giustizia ed etica.
🔗 Scopri di più sull’autore
L’autore ha impiegato strumenti di intelligenza artificiale come supporto redazionale, curando personalmente la selezione, l’organizzazione e la verifica rigorosa dei contenuti.
Condividi, scegli il tuo social network!
NEWSLETTER
Ti è piaciuto questo articolo? Ricevi via email i nuovi contenuti su privacy, tecnologia e diritto digitale.
Niente spam, solo contenuti di valore.
Cancellazione immediata quando vuoi.
